Escolar Documentos
Profissional Documentos
Cultura Documentos
Índice
ÍNDICE .......................................................................................................................................................................... 2
ÍNDICE DE FIGURAS....................................................................................................................................................... 9
1. INTRODUÇÃO ....................................................................................................................................................31
34. CONFIGURANDO O DPI – DEEP PACKET INSPECTION (FILTRAGEM DE APLICAÇÕES – IDS/IPS) .........................764
Índice de Figuras
Nos próximos capítulos você aprenderá como configurar está poderosa ferramenta de
proteção às redes. Esta introdução tem como objetivo descrever a organização deste manual
tornando sua leitura a mais simples e agradável possível.
Todos os capítulos começam com uma introdução teórica sobre o tema a ser tratado seguido
dos aspectos específicos de configuração do Aker Firewall. Juntamente com esta introdução
teórica, alguns módulos possuem exemplos práticos do uso do serviço a ser configurado, em
situações hipotéticas, porém, bastante próximas da realidade. Buscamos com isso tornar o
entendimento das diversas variáveis de configuração o mais simples possível.
Recomendamos que este manual seja lido, pelo menos uma vez por inteiro, na ordem
apresentada. Posteriormente, se for necessário, pode-se usá-lo como fonte de referência.
Para facilitar seu uso como referência, os capítulos estão divididos em tópicos, com acesso
imediato pelo índice principal. Desta forma, pode-se achar facilmente a informação desejada.
No decorrer deste manual, aparecerá o símbolo seguido de uma frase escrita em letras
vermelhas. Isto significa que a frase em questão é uma observação muito importante e deve
ser totalmente entendida antes que se prossiga com a leitura do capítulo.
O Aker Firewall possui duas interfaces distintas para sua configuração: uma Interface Remota
e uma Interface Texto (via SSH) Local.
A Interface Remota: é chamada de remota porque por meio dela é possível administrar
remotamente, via Internet, um Aker Firewall localizado em qualquer parte do mundo.
® Aker Security Solutions
31
Esta administração é realizada por meio de um canal seguro entre a interface e o firewall,
com um forte esquema de autenticação e criptografia, de modo a torná-la totalmente
segura.
A Interface Texto (via SSH): é totalmente orientada à linha de comando que roda na
máquina onde o firewall está instalado. O seu objetivo básico é possibilitar a automação
de tarefas da administração do Aker Firewall (por meio da criação de scripts) e possibilitar
uma interação de qualquer script escrito pelo administrador com o Firewall.
Praticamente todas as variáveis que podem ser configuradas pela Interface Remota
poderão ser configuradas também pela Interface Texto (via SSH).
Não é possível o uso simultâneo de várias interfaces gráficas para um mesmo Firewall, nem o
uso da Interface Texto (via SSH) enquanto existir uma Interface Remota aberta.
1.3. O Firewall
A segurança que envolve a rede é construída por um conjunto de programas e técnicas que
tem por finalidade liberar ou bloquear serviços dentro de uma rede interligada à Internet de
forma controlada. Sendo o Firewall a parte mais importante em um programa de segurança,
deve-se sempre se lembrar da importância de utilizar ferramentas que auxiliam na detecção
de brechas e vulnerabilidades dos sistemas operacionais que estão em uso na rede, bem
como, o uso de programas que detectam intrusos ou ataques. É importante também, saber
qual ação a ser tomada quando uma violação ou um serviço importante parar.
Este capítulo mostra como se instala o Aker Firewall, seus requisitos de hardware, software e
instalação.
Para o firewall
Para que o Aker Firewall execute todos os componentes de hardware de maneira satisfatória,
é necessário possuir as seguintes configurações:
Para utilizar um link com alta taxa de transferência ou aplicar criptografia em um link com
velocidade relativamente alta, recomenda-se o uso de um computador mais potente.
Para fazer um melhor uso dos serviços de proxy e de criptografia, será necessário utilizar
memória maior ou igual a 512 Mbytes.
Para armazenar os logs do sistema por um grande espaço de tempo recomenda-se o uso de
discos maiores.
Isso só é necessário durante a instalação ou caso se pretenda utilizar a Interface Texto (via
SSH) a partir do console, entretanto é altamente recomendado em todos os casos.
Placa(s) de rede.
Não existe um número máximo de placas de rede que podem ser colocadas no Firewall. A
única limitação existente é a limitação do próprio hardware. Caso necessite de um grande
número de interfaces de rede, pode-se optar por placas com mais de uma saída na mesma
interface.
Todos os componentes do hardware devem ser suportados pelo sistema operacional na qual a
interface será instalada, em alguma das versões aceitas pelo produto.
Selecione o idioma no qual deseja realizar a instalação (Português ou Inglês) e clique no botão
‘OK’.
Abaixo aparece um texto, dizendo que as configurações do aplicativo podem ser instaladas
para o usuário atual ou para todos os que partilham o computador (para isso é necessário ter
direitos de administrador). Escolher uma das opções: ‘Qualquer pessoa que usa este
computador’ ou ‘Somente para mim’.
O Aker Firewall pode ser adquirido na forma de appliance, i.e. Firewall Box. Sendo comprado
desta forma, o produto já vem instalado e pré-configurado. Caso tenha optado por comprar
apenas o software (versão IS), a instalação deverá ser realizada na máquina escolhida, o que
será explicado neste tópico.
Para instalá-lo deve-se iniciar a máquina com o CD-ROM de instalação ou com o PEN DRIVE
cujos downloads podem ser efetuados no site da Aker.
3. Após identificar em qual device o Linux montou o pen drive, digite o comando
“dd if=<nome do arquivo que fez o download> | gunzip | dd of=/dev/<device que se
encontra o pen drive>”.
Exemplo: “dd if=<aker-box-2.0-pt-installer.img.gz | gunzip | dd of=/dev/sdb”
4. Pronto. Seu pen drive é um instalado dos produtos da Aker.
Pré-requisitos
VM com pelo menos 15 GB de espaço em disco disponível.
Instalação
Ao iniciar o sistema, selecione a opção “ 1. Instalar Aker ‘Firewall 6.7”.
Caso o usuário perca sua senha de acesso, o mesmo deve entrar em contato com o suporte.
A próxima tela permite que o usuário configure a Interface de rede, pressione a tecla “S” para
configurar a interface de rede ou “N” para prosseguir com a instalação.
® Aker Security Solutions
49
Na tela a seguir, selecione a opção 1- Configurar interfaces de rede.
Na próxima tela selecione a interface de rede que a configuração será efetuada, no exemplo
abaixo “ETH0”.
A janela a seguir será exibida, perguntando se o usuário deseja configura uma interface
PPPoE, pressione a tecla “S” para configurar, ou “N” para prosseguir com a instalação da
interface de rede.
Nesta tela a seguir o usuário deve inserir o endereço IP e a máscara para sua rede, uma alias
será configurada para esta interface.
Após efetuar a configuração da interface de rede, selecione a opção “2- configurar rotas
estáticas”.
5.8
Na próxima tela o usuário deve definir qual interface de rede que originará os endereços IP
do firewall em questão.
Ao pressionar a tecla “S” o usuário deve definir um login para o administrador, informar se o
administrador poderá: Configurar o Firewall, Configurar Log e Gerenciar outros usuários.
Após informar as permissões acima, o usuário deve entrar com o nome completo do
administrador e a senha de acesso para o mesmo.
Na próxima tela é necessário que o usuário cadastre um endereço de IP que terá permissão
de administrar o firewall remotamente por meio de outra. Após inserir o endereço IP
pressione a tecla <enter> para prosseguir com a configuração.
Na próxima tela o usuário pode criar um segredo que será usado para gerenciar seu firewall
por meio do Aker Configuration Manager.
Na tela exibida a seguir selecione o modelo do seu hardware (em caso de dúvidas consulte o
datasheet do Aker Firewall: http://www.aker.com.br/sites/default/files/datasheets/dt-
akerFirewallUTM_hardwareEnterprise67.pdf)
Este programa realiza a Instalação do Firewall Aker e da Interface Texto (via SSH) de
configuração local. Surgirá a seguinte pergunta:
Deseja prosseguir com a Instalação do firewall (‘S’ para SIM ou ‘N’ para NÃO)?
Após responder ‘Sim’, o programa de instalação mostra a licença de uso do Aker Firewall. Para
prosseguir, é necessário aceitar todos os termos e condições contidas na licença. Quando
aceitos, o programa prosseguirá com a instalação mostrando seu progresso por meio de uma
série de mensagens autoexplicativas.
Após responder ‘Sim’, serão instaladas todas as dependências necessárias para que o Aker
Firewall funcione.
Configuração do sistema completada. E necessário agora ativar a cópia instalada por meio da
digitação da chave de ativação que foi entregue ao se adquirir o produto.
Após digitar “enter”, o programa mostra uma tela solicitando o caminho onde o arquivo da
chave de ativação está salvo.
Insira a interface externa: a configuração da interface externa é usada apenas para o controle de
licenças do firewall. Deve-se informar o nome da interface que estará conectada à Internet.
Ativação do sistema completada. Agora se configura alguns parâmetros do Firewall Aker: Você
pode cadastrar agora um endereço IP para possibilitar que o firewall seja administrado
remotamente a partir de outra máquina. Deseja cadastrar este IP (S/N).
Após responder ‘Sim’, digite o endereço IP da máquina onde está instalado o Aker Control Center.
Para que seja possível administrar o firewall a partir da Interface Remota é necessário cadastrar
um administrador, devendo-se responder ‘S’ a esta pergunta. De qualquer forma é possível
cadastrar posteriormente outros administradores por meio das interfaces locais de
administração. A explicação de como fazer isso, se encontra no capítulo intitulado ‘Administrando
usuários do firewall’.
Caso tenha optado por incluir um novo administrador, uma tela abre pedindo os dados do
administrador a ser cadastrado. Um exemplo desta tela se encontra abaixo (cabe mencionar que
a senha do administrador a ser cadastrado não é mostrada na tela).
2.6. Como alterar o tipo de interface de rede no VMware para uso no Aker Firewall 6.7
No firewall, por exemplo, depois de alguns testes foi constatado que por estar com a
configuração E1000 a navegação e a rede apresentam certa lentidão. Após realizar a troca
para VMxNet3 a rede e a navegação retorna ao normal.
Ao conectar na VmWare clique com o botão direito do mouse na máquina virtual a ser
alterada e entre nas configurações, conforme apresenta a imagem abaixo:
Para criar uma nova interface com as configurações sugeridas neste documento, clique no
botão ‘Add’:
Escolha o item que irá adicionar, neste caso, a interface de rede clique em ‘Next’:
Apenas os adaptadores de rede que são apropriados para a máquina virtual a qual você está
criando estão disponíveis na janela da Rede escolhida.
Vlance: É uma versão emulada do AMD 79C970 PCnet32- LANCE NIC, e é uma versão antiga
do NIC 10 Mbps com drives disponíveis para quase todos sistemas operacionais convidados
de 32-bit, exceto Windows Vista ou versões posteriores. Uma máquina virtual configurada
com este adaptador de rede pode usar sua rede imediatamente.
VMXNET: O adaptador de rede virtual VMXNET não possui uma versão física.
E1000: É uma versão emulado do Intel 82545EM Gigabit Ethernet NIC. Um driver para este
NIC não é incluso com todos os sistemas operacionais convidados. Tipicamente as versões
Linux 2.4.19 e versões posteriores, Windows XP Professional x64 ou versões posteriores,
Windows Server 2003 (32-bit) e versões superiores incluem o driver E1000.
E1000e: Este recurso emula um novo modelo do Intel Gigabit NIC (número 82574) no
hardware virtual (Este e conhecido como vNIC “E1000e”). O E1000e está disponível apenas
em máquinas virtuais com Hardware versão 8 (e versões mais novas) no vSphere 5. Ele é o
vNIC padrão para Windows 8 e versões mais novas do Windows.
Para Linux o E1000e não está disponível na Interface do usuário (O “E1000”, VMXNET Flexible,
VMXNET Enhanced, e VMXNET3 estão disponíveis para Linux).
Versões 32- e 64-bit Microsoft Windows 2003 (Enterprise, Datacenter, e Standard Editions)
Nota: Você pode usar o adaptador VMXNET 2 Enhanced com outra versão do sistema
operacional Microsoft Windows 2003, mais um workaround (Maneira paliativa de resolver
um problema ou corrigir um sistema de forma ineficiente) é necessário para habilitar a opção
no VMware Infrastructure (VI) Client or vSphere Client. Se o VMXNET Enhanced não for
oferecido com uma opção, veja o tópico “Habilitando adaptadores VMXNET enhanced para
Microsoft Windows Server 2003 (1007195)”.
32-bit version of Microsoft Windows XP Professional
Na atualização do ESX 3.5 versão 4 ou superior, estes sistemas operacionais também são
suportados:
Jumbo Frames não são suportados no Sistema Operacional Solaris para VMXNET2.
VMXNET3: O adaptador VMXNET3 é uma nova geração de um NIC Paravirtualizado que foi
desenvolvido para alta performance, e não é relacionado ao VMXNET ou VMXNET2. Ele
oferece todas os recursos disponíveis no VMXNET2, e adiciona vários recursos novos como o
suporte à multi filas (também conhecido como Receive Side Scaling no Windows), IPv6
offloads, e MSI/MSI-X interrupt delivery.
VMXNET3 é suportado apenas para máquinas virtuais de versão 7 ou posteriores, com uma
lista limitada de sistemas operacionais:
32- and 64-bit versions of Microsoft Windows 7, XP, 2003, 2003 R2, 2008, 2008 R2, and Server
2012
32- and 64-bit versions of Red Hat Enterprise Linux 5.0 and later
32- and 64-bit versions of SUSE Linux Enterprise Server 10 and later
No ESXi/ESX 4.1 e versões anteriores, Jumbo Frames não são suportadas no sistema
operacional Solaris
para VMXNET 2 e VMXNET 3. O recurso é suportado (começando com o ESXi 5.0) apenas para
o VMXNET 3.
Tolerância a Falhas não é suportado em uma máquina virtual configurada com um vNIC
VMXNET3 no vSphere 4.0, mas tem suporte completo no vSphere 4.1.
O Windows Server 2012 e suportado com o VMXNET 3 na atualização ESXi 5.0 versão 1 ou
superior.
Adaptador Caveats
O VMXNET 2 foi apresentado com o ESX 3.5. Máquinas Virtuais configuradas para ter o
adaptador “VMXNET 2” não podem migra para Hosts ESX de versões anteriores, até mesmo
por meio de uma máquina virtual pode-se migrar livremente entre o ESX 3.0 e o ESX 3.0 x.
Caso você tenha que migrar uma máquina virtual entre um host de versão posterior ou
anterior, não escolha VMXNET 2.
Quando uma atualização de hardware virtual transforma uma máquina virtual criada em um
host ESX 2.x para um host ESX 3.x, adaptadores Vlance são automaticamente atualizados para
Flexible. Adaptadores VMXNET não são atualizados automaticamente por que a maioria das
versões de sistemas operacionais convidados Linux não preservam as configurações da rede
de forma confiável quando um adaptador de rede é substituído.
Uma vez que o sistema operacional pensa que o adaptador Flexible ainda é um Vlance, ele
retém as informações. Se a atualização substitui um adaptador VMXNET com um adaptador
Flexible, o sistema operacional equivocadamente descarta as configurações.
ost original: se o VMware Tools for desinstalado na máquina virtual, ele não poderá acessar
seus adaptadores de rede.
Adicionando um disco virtual existente (ESX 2.x) a uma máquina virtual ESX 3.x causa o
downgrade da máquina virtual para ESX 2.x. Case você esteja usando recursos do ESX 3.x
(como: VMXNET 2 enhanced ou adaptadores de rede Flexible) a máquina virtual se tornará
inconstante. Quando você adiciona um disco virtual ESX 2.x a uma máquina ESX 3.x, o
® Aker Security Solutions
73
comando Upgrade Virtual Hardware é usado imediatamente para restaurar a máquina virtual
para a versão ESX 3. Este problema não aparece quando você adiciona um disco virtual
(versão mais antiga) a uma máquina virtual ESXi/ESX 4.0.
Executando o comando “Upgrade Virtual Hardware” altera o disco virtual ESX 2 para
que ele não seja usável em uma máquina virtual ESX 2. Considerando que se-deve
fazer uma cópia do disco antes atualizar uma das duas copias para o formato ESX 3.
Para mais informações sobre o setting flow control (configuração do controle de fluxo), veja
o tópico Configuring Flow Control on ESX e ESXi (1013413)
Firewall Aker
Após ter ou não incluído o administrador, é mostrada uma mensagem perguntando sobre o
cadastro de um segredo compartilhado para administração do Firewall por meio do Aker
Configuration Manager. Se você não possui este produto, responda ‘Não’, caso contrário
consulte o manual do mesmo.
Finalmente, aparece uma mensagem indicando o término da instalação que solicita que a
máquina seja reinicializada para ativar o Aker Firewall. Após reinicializar a máquina, o firewall
já funcionará automaticamente podendo ser configurado remotamente.
Desde de 1997 a Aker contabiliza suas licenças de firewall em software pelo número de endereços
IP na rede LAN do cliente.
O Aker Firewall contabiliza todos os IPs de suas redes protegidas, ou seja, todo dispositivo físico
ou virtual existente (hosts, impressoras, telefone, tablets, máquinas virtuais, etc) conectado à sua
rede local será contabilizado é ficará na tabela do Firewall por 72 horas.
Segue abaixo algumas orientações sobre como proceder em caso de problemas de licenciamento:
1. A licença deve ter quantidade suficiente de IP ´s para atender todos os dispositivos IP da rede
LAN, isto inclui além de computadores, impressoras, celulares, tablets, câmeras, etc., mesmo
que estes NÃO sejam utilizados simultaneamente.
Exemplo: Uma faculdade precisa de uma licença para atender todo o campus, ela tem três turnos
e em cada turno estudam 500 alunos, ela tem 400 dispositivos IPS em sua rede e vai liberar acesso
à internet controlado para os alunos.
Neste caso deve ser cotada uma licença de no mínimo 1900 IPs, pois mesmo se os alunos não
estiverem utilizando à Internet ao mesmo tempo, a rede será usada por 1500 dispositivos
diferentes durante um dia, e mais 400 dispositivos que pertencem à faculdade, isto ocorre porque
um IP pode ficar retido por até 72 horas no firewall.
2. Redes MPLS onde o cliente tem matriz e filiais, neste caso vamos atuar de da seguinte forma:
O cliente deseja controlar todo o acesso à Internet por meio da Matriz, neste caso as
licenças devem atender todos os IPs da matriz e de todas as filiais.
Qualquer caso que seja diferente dos citados acima deverá ser tratado de forma especifica junto
ao suporte.
Status: Clique nesta opção para verificar o estado de uma requisição pendente
Carregar: Clique nesta opção para carregar uma licença que foi obtida previamente;
Também é possível acessar estas opções clicando no ícone , para que a janela de
“Ativação de Licença” seja exibida, e o ícone “Requisitar uma nova licença” seja
habilitado. Ao clicar no ícone a janela com o formulário será exibida (este formulário
deve ser preenchido corretamente).
3. Quando o Servidor Externo receber o formulário, ele irá gerar um protocolo para a
Control Center onde o Firewall está rodando.
Para fazer as requisições não será necessário que a porta 443 (HTTPS) esteja liberada no
Firewall para o servidor da Aker.
Para que a ativação da licença seja efetuada com sucesso, é necessário que o DNS esteja
configurado no Firewall e na estação onde a GUI foi instalada. Caso contrário, o Firewall não
fará a requisição da licença, ou seja, a janela de solicitação de licença ficará indisponível.
Para ativar a licença de um Firewall que esteja sendo gerenciado pelo Aker Configuration
Manager ferramenta que permite o gerenciamento de vários
Esta janela exibe as informações dos Firewalls que são monitorados pelo Aker Configuration
Manager, para aplicar a licença se deve:
Clicar como botão direito do mouse sobre o Firewall desejado, e selecionar a opção
“Aplicar linceça para este firewall”
Faltando 5 dias para que a licença se expire e a renovação da licença não foi efetuada, o
usuário deve entrar em contato com o suporte.
Esta comunicação entre a interface remota e os produtos Aker é criptografada com uma
chave de 256 bits.
Para que a interface remota consiga se conectar ao firewall precisa da adição de uma regra
liberando o acesso TCP para a porta 1020 a partir da máquina da qual se deseja conectar.
A interface é bastante simples de ser utilizada, entretanto, existe uma observação que deve
ser comentada:
O botão esquerdo e direito do mouse, tem funções diferentes na interface. O botão esquerdo
é usado para selecionar entradas em uma lista . O botão direito tem como função mostrar um
menu de opções para uma determinada lista.
Para iniciar a execução da Interface Remota deve-se executar um dos seguintes passos:
A janela mostrada acima é a principal do Aker Firewall e é a partir dela que se tem acesso a
todas as opções de configuração, inclusive à ativação da licença do Firewall. Sem ativação da
licença não é possível realizar as configurações subsequentes.
Opções
Mostrar Tooltips: é uma dica de contexto. É aquela moldura pop up que abre quando
você passa o mouse sobre um elemento HTML (normalmente uma palavra em um
texto) e que contém uma explicação adicional sobre aquele elemento que recebeu o
ponteiro do mouse sobre ele.
Sessão ociosa: Permite definir o tempo máximo, em minutos, que a interface
permanecerá conectada ao firewall sem receber nenhum comando do administrador.
Assim que este tempo limite for atingido, a interface automaticamente será
desconectada do firewall, permitindo que uma nova sessão seja estabelecida. Seu
valor pode variar entre 1 e 60. A caixa ‘Sem limite’ quando estiver marcada não
desconectará a interface do firewall. O Valor padrão é de 1 minuto. Após efetuar as
alterações clique no botão ‘OK’, caso não realize nenhuma alteração, clique no botão
‘Cancelar’.
Remoção: Caso deseje remover alguma regra, filtro, etc., será enviado uma
mensagem com um a pergunta se deseja realmente remover o item selecionado;
Suprimir plug-ins inexistentes: caso não tenha um plug-in da Aker instalado, ao clicar
nessa opção, será mostrada a mensagem do que está faltando.
Firewall: este menu para cadastrar mais firewalls na Interface Remota de modo que
possibilite simultaneamente a administração de diversos Aker Firewalls. Com a
interface conectada a mais de um firewall simultaneamente, é possível usar a
facilidade de arrastar e soltar as entidades e regras entre firewalls, de modo a facilitar
a replicação de determinadas configurações entre eles. Dentro do menu Firewall, tem-
se:
Desabilitar perguntas
Editar cor de fundo: é possível escolher com qual cor de fundo deseja-se trabalhar.
Posteriormente serão dados maiores explicações;
o Formato: define o formato como deseja padronizar a tela do Aker Control Center:
o Pontos: podem-se alterar as cores finais e iniciais. Para isso deve-se escolher a cor e
clicar no botão ‘OK’.
o Opção Padrão: Quando selecionada está opção a tela seguirá com uma configuração
padrão pré-determinada pela Aker.
Se clicar no botão ‘Sim’ a Interface Remota será fechada, se clicar no botão ‘Não’, a
interface continua aberta.
O Menu “Janelas” possui as funções de configuração das janelas abertas e da barra de menu.
Janelas: mostra o item de dispositivos remotos (essa opção também pode ser
acessada pressionando o botão do teclado ‘F9’).
Lado a Lado: selecionando esta opção, as janelas abertas do lado direito da Interface
Remota se ajustam de forma que todas apareceram visíveis.
Cascata: esta opção faz com que as janelas abertas no lado direito da Interface Remota
fiquem posicionadas em forma de cascata, uma na frente da outra.
Ajuda:
Busca por atualizações: Quando selecionada esta opção uma busca por atualizações
pendentes é realizada, conforme mostra imagem abaixo:
Inicialmente nem todas as opções dos menus se encontram habilitadas, por funcionarem
apenas quando houver uma conexão estabelecida. Para ter acesso às demais opções devem
estabelecer uma sessão de administração remota com o firewall que deseja administrar. Para
tanto se devem seguir os seguintes passos:
Dicas para Entidades: quando esta opção estiver ativada, uma pequena caixa com a
descrição de cada entidade irá aparecer quando o mouse for passado sobre seu ícone.
Mostrar ícones nos botões: esta opção, se ativada, faz com que sejam mostrados
ícones nos botões ‘OK’, ‘Cancelar’ e ‘Aplicar’ das janelas.
Janelas: esta opção permite mostrar ou não as janelas padrão do sistema: ‘ajuda’, ‘firewalls’
e ‘entidades’.
Cadastrando Firewalls
Nome: cadastrar o nome pelo qual o firewall será referenciado na Interface Remota;
Nome da máquina: Caso o servidor do Firewall no qual se deseja conectar possua um nome
associado ao IP da máquina, basta colocar este nome nesta opção para que o Control Center
resolva o DNS automaticamente e se conecte no servidor;
Usuário: esse campo identifica o usuário que acessará o firewall. Este campo grava o usuário,
onde aparecerá todas as vezes que o firewall for acessado.
A cada 3 tentativas inválidas, o cliente é bloqueado de acessar a Control Center por 3 minutos.
A cada tentativa inválida gera-se um evento ‘Excesso de tentativas invalidas’ do módulo
Daemons do Firewall.
No final basta clicar em ‘OK’ e o firewall estará cadastrado, como o tipo de autenticação
selecionado. No caso de cancelar o cadastro do firewall, basta clicar em ‘Cancelar’.
Senha: Senha com a qual a chave primária foi salva. Se informar (cadastro), decifra a chave e
manda para o firewall fazer a autenticação. Caso deixe a caixa ‘Salvar Senha’ marcada, não
será necessário digitar a senha quando fizer a conexão (a senha aparecerá na tela como vários
asteriscos ‘*’). Caso ela esteja desmarcada, este campo estará desabilitado.
Figura 53 - Tipos de autenticação (usuário, domínio e senha) para editar o Dispositivo Remoto.
Usuário: O usuário que acessará o firewall. Este campo grava o usuário, é onde aparecerá
todas as vezes que o firewall for acessado.
Senha: A senha do usuário. Caso deixe a caixa ‘Salvar Senha’ marcada, não será necessário
digitar a senha quando fizer a conexão (a senha aparecerá na tela como vários asteriscos ‘*’).
Caso ela esteja desmarcada, este campo estará desabilitado.
Depois de cadastrarmos o firewall, pode-se clicar duas vezes no ícone do firewall criado, no
lado esquerdo da janela, ou clicar uma vez para selecioná-lo e, em seguida, no botão
‘Conectar’.
Ele fará com que a interface se conecte ao firewall escolhido, como mostrado na figura abaixo:
Este é um erro genérico e pode ter uma série de causas. A sua causa mais comum é um erro
na digitação do login ou da senha. Se o login do usuário não estiver cadastrado ou sua senha
estiver errada, o servidor encerrará a conexão. Verifique primeiramente se o seu login e sua
senha foram digitados corretamente. Caso o erro continue, siga a seguinte sequência de
passos:
Ao acessar o firewall e outro usuário já estiver configurando o mesmo a imagem abaixo será
exibida, permitindo que o usuário envie uma mensagem para o outro usuário, mantenha-se
conectado, ou desconectar-se.
Caso queira sair do programa, deve-se clicar no botão ‘Sair’, na barra de ferramentas da janela
principal ou clicar no ‘x’ no canto superior direito da janela.
É possível para qualquer usuário do Aker Firewall alterar a sua senha sempre que desejado.
Para tanto se deve primeiro estabelecer uma sessão de administração (como mostrado no
tópico ‘Iniciando a interface remota’) e após isso se deve executar os seguintes passos:
Figura 60 - Mudar Senha (inserir senha antiga, a nova senha e confirmação da mesma).
Deve-se digitar a senha anterior no campo ‘Senha antiga’ e digitar a nova senha nos campos
‘Nova senha’ e ‘Confirmar senha’ (as senhas aparecerão na tela como vários asteriscos ‘*’).
Após preencher os campos, deve-se pressionar o botão ‘OK’, para alterar a senha ou o botão
‘Cancelar’, caso não queira mudá-la.
Esta opção permite atualizar a chave de ativação do Aker Firewall e dos demais produtos que
possam estar instalados juntos: Antivírus, Spam Meter, Secure Roaming e Web Content
Analyzer.
Esta janela é apenas informativa. Nela são mostrados todos os produtos que estão instalados
junto com o firewall e os dados referentes à licença de cada um deles. Entre estes dados pode-
se verificar a data de expiração, número de licenças, ID e a data de expiração do IDS e etc.,
para cada produto.
Caso se deseje inserir uma nova licença, deve-se clicar no botão ‘Carregar’, localizado na
barra de tarefas. Esta opção abrirá um diálogo onde se pode especificar o arquivo de onde a
nova chave será carregada. No caso do Firewall Box, caso exista mais de um produto instalado
junto com o firewall, as chaves dos produtos adicionais também serão atualizadas.
Da versão 6.0 do Aker Firewall em diante não é mais possível atualizar as chaves de
ativação do firewall digitando-as, apenas carregando-as a partir do arquivo enviado pela Aker
Security Solutions ou um de seus representantes autorizados.
Esta opção permite salvar a configuração completa do firewall na máquina onde está
administrando. No caso de algum desastre, pode-se facilmente restaurar esta configuração
posteriormente.
Após digitar o nome do arquivo salvo, deve-se clicar no botão ‘Salvar’. Caso não queira mais
gravar a cópia de segurança, deve-se clicar no botão ‘Cancelar’.
Por meio de a configuração a seguir, é salvo um backup completo do dispositivo remoto todas
as vezes que se conectar ao mesmo automaticamente, para ativá-la selecione a opção ‘Salvar
o backup automaticamente’ conforme figura a seguir:
Esta janela permite escolher o nome do arquivo de onde a configuração será restaurada. Após
seu nome ser especificado, o firewall lerá todo seu conteúdo, fará vários testes de
consistência e se o seu conteúdo estiver válido será carregado.
Exemplo:
Regras;
Licença;
Certificados;
® Aker Security Solutions
117
Base de dados temporária;
TCP/IP;
Perfis de acesso.
Será exibida a versão do sistema quando da geração do backup e alertas podem ser
exibidos em caso de incompatibilidade.
A Interface Texto (via SSH) de configuração de parâmetros é bastante simples de ser utilizada.
O objetivo dessa funcionalidade é permitir que o usuário salve todas as configurações de forma
eficaz e segura para a restauração do produto. Existem duas formas de fazer o backup
completo: salvá-lo na máquina local ou via FTP. O firewall compactará as pastas: /aker, /bin,
/boot, /etc, /lib, /lib64, /sbin, /usr, /tmp, /aker_funcs.sh /hw_install.sh /recover_conf.sh,
/recover_fw.sh, /var/adm, /var/lib, /var/net-snmp, /var/state, /var/spool/var-tmp no
processo. O arquivo será compactado utilizando o algoritmo xz e armazenado em
/var/spool/backups/Backup_versão_data(YYYY_MM_DD).xz.
Sintaxe:
akbackup ajuda:
Salva o backup em
/var/spool/backups/Backup_Produto_versao_YYYY_MM_DD_HH_MM.xz
Envia para um servidor FTP com o IP, usuário, passaporte e pasta remota definida.
Esta opção permite que o usuário salve o seu backup em uma pasta local.
Para fazer o backup na máquina local dos binários e configurações e salvá-lo localmente use
o comando akbackup salvar_backup sem passar argumentos
Para fazer o backup dos binários, realizar configurações e enviá-lo via FTP para um servidor,
use o comando akbackup salvar_backup <ip do servidor_ftp> <usuário do servidorftp>
<senha do servidor ftp> <pasta> :
Ao criar o backup, ele será enviado para o servidor FTP. Se a transferência for realizada com
sucesso, o arquivo de backup será apagado localmente. Se algum erro ocorrer na transferência, o
arquivo será mantido na pasta de backups para ser enviado manualmente pelo usuário.
O usuário receberá uma mensagem caso não tenha sido possível carregar o backup nas
seguintes situações:
Esta opção serve para reinicializar o firewall, porém não deve ser utilizada em condições
normais de operação. A única operação que exige a reinicializarão do firewall é a carga de um
algoritmo de criptografia externo.
Como todo software, o Aker Firewall pode eventualmente apresentar bugs em seu
funcionamento. À medida que estes problemas são resolvidos, a Aker produz um arquivo que
permite a atualização de seu Aker Firewall e a eliminação destes erros. Algumas vezes
também são adicionadas determinadas características novas em uma versão já existente, de
modo a aumentar sua performance ou aumentar sua flexibilidade.
A janela de atualizações
Esta opção permite aplicar uma atualização ou correção do Aker Firewall remotamente, por
meio da Interface Remota. É possível também atualizar completamente a versão do produto.
Para ter acesso à janela de atualizações deve-se clicar no ícone localizado na barra de
ferramentas, automaticamente a janela será aberta, para que sejam escolhidas as
atualizações a serem aplicadas.
Essa janela se divide em duas abas: ‘Atualização’ e ‘Histórico’, conforme explicadas a baixo:
Por meio dessa janela é possível visualizar o status atual das atualizações/correções aplicadas
na Web Gateway. Caso se trate de cluster a janela apresentará as informações das máquinas
que o compõem. Possui os seguintes campos:
Restauração: Este campo informa se a última atualização aplicada pode ser desfeita.
As atualizações aplicadas por meio dos Patches e dos Hotfixes são alterações que podem ser
desfeitas. Essa opção permite desfazer a última atualização aplicada na máquina, seja hotfix
ou patch. Deve-se observar que as alterações são desfeitas uma por uma, ou seja, se a versão
já estiver no Patch 3, e deseja-se voltar à versão inicial, deve ser desfeito o patch 3, depois o
patch 2, e assim por diante.
O hotfix é uma pequena atualização ou correção realizada para um patch específico. Pode
ser aplicado independente da ordem, o que não acontece com o patch, que deve ser aplicado
na ordem sequencial de atualização.
Para carregar um arquivo de atualização ou correção deve-se clicar no ícone que se encontra
na barra de ferramentas.
Caso queira aplicar o rollback, pelo menos uma máquina deve ser selecionada na aba Patch,
e logo em seguida deve-se clicar no ícone, sendo que essas alterações serão desfeitas uma a
uma, na sequência que foram atualizadas.
Para aplicar rollback em mais de uma máquina ao mesmo tempo, as mesmas devem estar
com a mesma atualização, por exemplo: todas estão com a versão patch 3, e quer voltar para
o patch 1.
Essa aba permite visualizar todo o histórico das aplicações dos patches e hotfixes.
Data: Indica a data que foi realizada alguma aplicação de patch ou hotfix.
A expressão "Versão Corrente" significa que não foi aplicado nenhuma patch.
Observação: Ao clicar no botão OK, o Patch ou o Hotfix não são aplicados, somente é fechada
a janela.
O Aker Update System - AUS tem como função disponibilizar os pacotes de atualização de
todos os produtos da Aker no diretório do Aker Control Center. O sistema funciona de forma
inteligente, onde ele trará somente a última versão para pacotes integrados com o Control
Center, os últimos patches e hotfix.
Primeira opção:
Caso tenha atualização disponível, aparecerá a seguinte notificação no canto direito inferior
da tela do Control Center: “Atualizações prontas”.
A opção “Reempacotar Aker Client” é usada para criar um pacote contendo todas as
configurações dos servidores de autenticação, desta forma, efetuar uma instalação do Aker
Client pre-configurada em uma nova rede corporativa utilizando um GPO (Group Policy
Object- Diretiva de Grupo).
Pacotes MSI
DNS reverso é utilizado para resolver nomes de máquinas a partir de endereços IP. A janela
de resolução de DNS reverso do Aker Firewall serve para prover resolução de endereços sem
a necessidade de utilização de programas adicionais.
Esta janela consiste de um campo para digitar o endereço IP que deseja resolver e uma lista
com os endereços IP já resolvidos anteriormente:
A opção “Mostrar todos”, se estiver marcada, fará com sejam mostrados todos os
endereços IP resolvidos.
O botão “OK” fechará a janela.
Para resolver um endereço, deve-se digitá-lo no campo e pressionar o botão “DNS Reverso”.
Neste momento o endereço será mostrado na lista na parte inferior da janela, junto com o
status da resolução. Após algum tempo, será mostrado o nome da máquina correspondente
ao endereço ou uma indicação de que o endereço informado não possui DNS reverso
configurado.
É possível alternar entre a varredura por endereços IP ou por entidades. A varredura por
entidades é útil quando já têm cadastradas no sistema todas as máquinas, redes e serviços
que serão utilizados. A varredura por IP é mais indicada quando deseja utilizar máquinas,
redes ou serviços que não estão cadastrados e que não deseja cadastrar (por exemplo,
máquinas externas que não serão utilizadas em nenhuma regra de filtragem).
Figura 99 - Simulação de Regras de Filtragem (origem do pacote, destino, data, hora e máscaras).
No caso dos protocolos TCP e UDP, os valores dos serviços são as portas destino; no caso
do ICMP, é o tipo de serviço. E no caso de outros protocolos, o valor do protocolo.
O campo “Dia/Hora” permite que o administrador teste as regras para uma determinada hora
e dia da semana.
Figura 100 - Simulação de Regras de Filtragem (origem do pacote, destino, data, hora e entidade).
O campo “Origem do pacote” especifica a entidade que será usada na origem das conexões
simuladas.
O campo “Destino do pacote” especifica para qual entidade as conexões simuladas devem se
dirigir.
O campo “Serviço” permite especificar o protocolo e a faixa de portas a serem simuladas, por
meio de uma entidade.
O campo “Dia/Hora” permite que o administrador teste as regras para uma determinada hora
e dia da semana.
Só é possível selecionar uma entidade como origem, uma como destino, e uma como
serviço.
3.8. Relatórios
Esta opção possibilita que o administrador imprima um relatório de toda (ou de parte) da
configuração do firewall de forma fácil e rápida. Este relatório é bastante útil para fins de
documentação ou de análise da configuração.
® Aker Security Solutions
136
Para ter acesso a janela de relatórios deve-se:
Esta janela consiste de várias opções distintas, uma para cada parte da configuração do
firewall, que podem ser selecionadas independentemente. Para gerar um relatório, deve-se
proceder da seguinte forma:
Esta opção permite que localize entidades que contenham um determinado endereço IP,
interface ou serviço, bem como regras que contenham uma determinada entidade.
Esta janela consiste de três abas onde cada uma é responsável por um tipo de pesquisa
diferente:
Aba Entidades
Figura 104 - Busca de Entidades (procura de entidade com IP ou nome e últimos resultados).
Esta aba permite localizar entidades pelo endereço IP informado ou pelo seu nome.
Ao clicar duas vezes sobre o nome de uma entidade ou regra mostrada como resultado da
pesquisa, a janela de edição correspondente será aberta, possibilitando que os valores sejam
editados rapidamente.
Esta aba permite localizar entidades do tipo serviço que contenham o protocolo e o serviço
especificados.
Ao clicar duas vezes sobre o nome de uma entidade ou regra, mostrada como resultado da
pesquisa, a janela de edição correspondente será aberta, possibilitando que edite seus
valores rapidamente.
Nesta aba serão carregadas apenas as entidades do tipo Máquina, Rede, Conjunto e Serviço.
Entidade: Quando selecionada uma entidade, uma busca será realizada retornando o número
da regra a qual a entidade pertence. As regras podem ser: Regras VPN, Regras de NAT, Regras
de filtragem ou Regras de Filtragem dentro dos Perfis, se a entidade procurada for do tipo
Rede ou Máquina é iniciada uma busca para saber se ela está presente em alguma entidade
do tipo Conjunto. Caso esteja, as regras que contém essa entidade Conjunto e os tipos
relacionados a ela, serão mostradas e impressas no resultado da busca, e consequentemente,
as regras que contiverem estes conjuntos também serão mostradas.
Ao clicar duas vezes sobre uma entidade ou regra, mostrada como resultado da pesquisa
(Entidades de Conjunto, Regras de Filtragem, Regras de NAT, Regra VPN e Perfil) a janela de
edição correspondente será aberta, possibilitando editar os seus valores rapidamente.
A ferramenta “Busca de Common Name” permite que o usuário realize analises no “Common
Name” de certificados enviados pelo servidor de websites, possibilitando a criação de regras
de bloqueio.
Para efetuar uma análise no “Common Name” do certificado de um site, siga os passos a
seguir:
Ex: www.google.com
Com a informação fornecida o usuário pode criar regras de acesso Http/Https, definindo se
as conexões destinadas a um domínio especifico serão aceitas ou bloqueadas, além de, definir
os padrões de bloqueio, e o período que estas regras serão aplicadas.
Primeiramente, o usuário deve criar uma entidade do tipo “Lista de Padrão de Busca”,
definindo a string ou os parâmetros que serão pesquisados na URL acessada.
Por padrão a janela de entidades é exibida na parte inferior do Aker Control Center,
caso a mesma não esteja sendo exibida pressione a tecla F5;
Clique na opção “Lista”, e então clique com o botão direito sobre “Listas de padrões
de Busca”, para criar uma nova entidade do tipo Lista de Padrões de Busca.
A janela de criação de Entidade será exibida, defina os padrões para a nova entidade e clique
em OK.
Nome: neste campo deve-se definir o nome para a nova entidade do tipo “Lista de Padrões
de Busca”;
Padrão: Cada regra consiste de uma operação, que indica que tipo de pesquisa será feita e o
texto a ser pesquisado. As opções disponíveis são:
Texto: Neste campo deve-se inserir o “Common Name” do certificado do website, exibido na
janela Busca de Common Name, como exibido na imagem a seguir:
Ação: neste campo deve-se definir a ação a ser executada, caso o endereço que o
usuário deseje acessar não se encaixe em nenhuma regra de filtragem. As opções
disponíveis são.
Categorias: Nesse campo é possível associar uma entidade do tipo “categoria” à regra
em criação.
Quota: Quotas são utilizadas para controlar e racionalizar o tempo gastos pelos
funcionários, com acesso aos websites. Assim as quotas são os limites em termos de
tempo de acesso e volume de dados, por usuário. Esta opção permite associar ao
usuário alguma entidade quota criada.
Hora: Período em que a regra será aplicada. Dia da semana e horário. Exemplo:
Permite definir que nas segundas-feiras e nas quartas-feiras o usuário terá acesso à
Internet somente das 12:00 às 14:00.
Período de validade: Neste campo o usuário deve definir a data de início e termino
para a aplicação da regra em questão.
Após inserir uma nova regra, defina os padrões de configuração para os campos abaixo:
Esta opção permite visualizar os alarmes gerados pelo firewall, quando esta opção estiver
marcada nas regras de filtragem ou na janela de ações.
® Aker Security Solutions
150
Para ter acesso à janela de alarmes, deve-se:
O firewall dispõe de um prático sistema para visualizar a rede onde ele se insere de forma
gráfica. Para ter acesso à janela de visualização gráfica da rede, deve-se:
O primeiro item representa o firewall, conectado às suas interfaces de rede. A cada interface,
conectam-se uma ou mais redes e roteadores, que se conectam a mais redes distantes.
Clicando em uma rede com o botão direito do mouse, aparecerá um menu listando as
entidades que fazem parte da mesma, possibilitando ao usuário editá-las.
Na parte superior da janela são mostradas as informações de uso do CPU. Essas informações
estão divididas em três partes: porcentagem ociosa, porcentagem dedicada ao sistema e
porcentagem sendo usada por programas iniciados pelo usuário. A parte inferior da janela
mostra a situação da memória do sistema em Megabytes. Também está dividida em três
partes: quantidade de memória livre, quantidade de memória sendo usada e quantidade de
memória armazenando informações em forma de cache.
É importante observar que a memória cache não é considerada memória usada. Ela é
acessada apenas quando o sistema precisa reabrir um programa. Caso esse programa ainda
esteja em cache, a reabertura será mais rápida. Porém, se o sistema precisar de uma quantidade
maior de memória livre, a área usada para cache é liberada.
É importante observar que o comando fwpacket só captura dados a partir do header do IP.
Atualmente o sniffer de pacotes do firewall só captura dados a partir do header IP. Já está
em aberto uma solicitação para implementar a funcionalidade de captura de informações
relacionadas a camada 2.·.
Esta janela consiste de várias abas. Cada uma das abas permite a captura de tráfego em uma
interface distinta ou em pontos diferentes de uma mesma interface. Para criar novas abas
com sniffer deve-se clicar na última aba onde aparece o texto Novo sniffer.
Onde capturar: Definir o ponto onde a captura deve ser realizada. As seguintes opções estão
disponíveis:
Interface física: Definir que a captura deve ser realizada exatamente como os pacotes são
recebidos pelo firewall
Antes da filtragem: Definir que os pacotes devem ser capturados imediatamente antes de
serem filtrados, i.e., após serem decriptografados e terem seus endereços convertidos, se for
o caso.
Após filtragem: Definir que a captura será realizada apenas dos pacotes que passarem pela
filtragem e eles serão vistos decriptados e com seus endereços convertidos, se for o caso.
Interface física: Definir qual a interface que será utilizada para capturar os pacotes
dir
proto
port
Captura pacotes com a porta de origem ou de destino do pacote igual a port. Todas as
expressões de porta podem ser precedidas de tcp ou udp, assim:
tcp src port
Capturar apenas pacotes tcp com porta de origem port.
Quando o botão Travar seleção estiver selecionado, o pacote selecionado ficará sempre
visível na janela de captura.
O botão Iniciar captura inicia a captura de pacotes, porém envia o resultado apenas para a
janela.
O botão OK encerra a captura e fecha a janela. Caso tenha capturado para um arquivo, ele
estará disponível.
A janela de estado dos agentes externos é puramente informativa e serve para indicar ao
administrador o estado dos Agentes Externos. Isso é muito útil quando se quer configurar um
novo agente externo ou para detectar a ocorrência de possíveis problemas.
Esta janela consiste de uma lista com o nome de todos os agentes externos ativos que sejam
um dos seguintes tipos: Agentes de Antivírus, Agentes IDS, Analisadores de URL,
Autenticadores (Usuário/Senha, Token, RADIUS e LDAP), e Spam Meter.
Status: Informa o estado atual da conexão com o agente externo. Os seguintes estados
podem ser mostrados nesta coluna:
Estado indefinido: Ainda não existem informações disponíveis sobre o estado deste
agente.
Conectado ao principal: O firewall conectou-se com sucesso ao IP principal do agente
externo.
Conectado ao primeiro backup: O firewall conectou-se com sucesso ao IP do 1º backup
do agente externo. Por alguma razão, a conexão inicial ao IP principal não foi possível.
Conectado ao segundo backup. O firewall conectou-se com sucesso ao IP do 2º backup do
agente externo. Por alguma razão, a conexão inicial ao IP do 1º backup não foi possível.
Erro de conexão: Devido a um problema de comunicação com o agente externo, nenhuma
conexão foi estabelecida. Verifique os eventos para maiores informações.
Erro interno: Não foi possível conectar-se ao agente externo por um problema interno.
Verifique os eventos para maiores informações.
Vírus não detectado: Este estado só aparece nos agentes de antivírus e indica que embora
o firewall tenha conseguido se conectar corretamente ao agente, ele não foi capaz de
detectar o vírus de teste que o firewall enviou. Verifique a configuração do antivírus.
® Aker Security Solutions
162
IP do servidor. Um ou mais Endereços IPs do agente externo no qual (ou nos quais), o firewall
conectou-se.
Para os servidores de log, além de o estado “Conectado ou Erro”, haverá mais um estado:
Parcialmente Conectado, isso ocorre quando mais de um servidor está disponível (primeiro e
segundo backup), porém o agente não está conectado a todos eles.
O Verificador de Configurações é uma janela que é mostrada sempre que o firewall é iniciado
e suas configurações iniciais ainda não estão completas. Ele serve para chamar de forma
simples os assistentes que realizam cada uma das etapas principais de configuração do
produto.
Esta janela consiste de 5 grupos de configurações distintas. Cada um dos grupos é mostrado
em azul, caso sua configuração já tenha sido realizada ou em laranja caso não tenha sido
realizada. Em cada um dos grupos é possível clicar no link assistente para invocar a execução
do assistente responsável pela configuração do grupo. No caso em que alguma configuração
não venha a ser realizada nunca (por exemplo, no caso de um firewall que não realizará VPN)
é possível desabilitar a checagem desta configuração marcando a caixa Parar a checagem
automática das configurações de VPN do grupo desejado.
É importante observar que a memória cache não é considerada memória usada. Ela é acessada
apenas quando o sistema precisa reabrir um programa. Caso esse programa ainda esteja em cache,
Recomenda-se que a configuração seja realizada na ordem em que os grupos se encontram de cima
para baixo.
3.17. Diagnóstico
Para ter acesso, basta clicar no botão “Testar Tudo”. Em seguida surgem os dados.
A aba Ping, realiza um teste de ICMP (Ping) no endereço IP ou nome DNS digitado. Este teste
valida à conectividade do Aker Firewall com o endereço testado.
Para acessar, basta digitar o endereço IP desejado e clicar no botão “ping”. Em seguida os
dados são mostrados na tela.
Para acessar, basta digitar o endereço IP ou nome e clicar no botão “traceroute”. Em seguida
os dados serão mostrados na tela.
A aba Nslookup realiza a resolução do nome digitado para seu respectivo endereço IP, este
teste é importante para validar a configuração DNS do Aker Firewall.
Para acessar, basta digitar o nome do servidor para seu respectivo endereço IP e em seguida
clicar no botão “Nslookup”. Os dados serão mostra dos na tela.
Este capítulo mostra como criar os usuários para administrar remotamente o Aker Firewall.
Para que alguma pessoa consiga administrar remotamente o Aker Firewall é preciso ser
reconhecida e validada pelo sistema. Esta validação é realizada na forma de senhas, assim,
para que ela seja possível, cada um dos administradores deverá ser previamente cadastrado
com um login e uma senha.
Além disso, o Aker Firewall permite a existência de vários administradores distintos, cada um
responsável por uma determinada tarefa da administração. Isso, além de facilitar a
administração, permite um maior controle e uma maior segurança. É no cadastro de usuários
que define as respectivas atribuições de cada administrador.
Esta opção só é habilitada quando o usuário que está com a sessão aberta na interface
remota tem autoridade para gerenciar usuários. Isso será comentado em detalhes no próximo
tópico.
Esta janela consiste de uma lista de todos os usuários atualmente definidos para acesso à
administração do firewall, além de um segredo compartilhado (ou senha), para administração
centralizada pelo Aker Configuration Manager. Não havendo o segredo compartilhado, a
configuração será apenas efetuada pelos usuários cadastrados.
1. Selecionar o usuário a ser alterado clicando sobre seu nome. Neste momento são
mostrados os seus atributos nos campos após a listagem de usuários.
2. Alterar o valor dos atributos desejados e clicar no botão Aplicar ou no botão OK. A partir
deste momento as alterações serão efetivadas.
1. Clicar com o botão direito do mouse em qualquer lugar da área reservada para mostrar a
lista (aparece o botão Inserir) e selecionar a opção Incluir no menu pop-up ou clicar no
1. Selecionar o usuário a ser removido, clicar sobre seu nome e clicar no ícone que
representa a remoção na barra de ferramentas, ou clicar com o botão direito do mouse
sobre o nome do usuário a ser removido e selecionar a opção Excluir no menu pop-up.
Login
É a identificação do usuário para o firewall. Não podem existir dois usuários com o mesmo
login. Este login será pedido ao administrador do firewall quando este for estabelecer uma
sessão de administração remota.
O login deve ter entre 1 e 14 caracteres. Não há diferenças entre letras maiúsculas e
minúsculas neste campo.
Nome
Este campo contém o nome completo do usuário associado ao login. Os seus objetivos são de
informação, não sendo usado para qualquer validação.
Este campo será usado em conjunto com o campo login para identificar um usuário perante
o Aker Firewall. Ao digitar a senha, serão mostrados na tela asteriscos "*" ao invés das letras.
O campo senha deve ter no máximo 14 caracteres. Seu tamanho mínimo é configurável por
meio da janela de parâmetros da interface (para maiores informações veja o tópico Utilizando
a interface remota). Neste campo, letras maiúsculas e minúsculas são consideradas
diferentes.
Confirmação
Este campo serve para confirmar a senha digitada no campo anterior, uma vez que aparecem
asteriscos na tela, ao invés dos caracteres propriamente ditos.
Permissões
Este campo define o que um usuário pode fazer dentro do Aker Firewall. Ele consiste de três
opções que podem ser marcadas independentemente.
Caso um usuário não possua nenhum atributo de autoridade, então, esse terá permissão
apenas para visualizar a configuração do firewall e compactar os arquivos de log e de eventos.
Configuração do Firewall
Configuração do Log
Quando esta opção está marcada, o usuário em questão tem poderes para alterar os
parâmetros relacionados ao log (como por exemplo, tempo de permanência do log), alterar
a configuração da janela de ações (tanto as mensagens quanto os parâmetros) e apagar
permanentemente o log e os eventos.
Administrar Usuários
Quando esta opção está marcada, o usuário em questão tem acesso à janela de administração
de usuários, podendo incluir, editar e excluir outros usuários.
Um usuário com este nível de autoridade somente poderá criar, editar ou excluir usuários
com autoridades de níveis iguais ou menores aos que ele possuir (por exemplo, se um usuário
tiver poderes de gerenciar outros usuários e configurar log, então ele poderá criar usuários
que não possuam nenhuma autoridade, que somente possam configurar o log, que somente
possam criar novos usuários ou que possam gerenciar usuários e configurar log. Ele não
poderá nunca criar, nem editar ou excluir, um usuário que possa configurar o firewall).
Esta aba consiste na configuração dos agentes externos que são utilizados para a autenticação
dos usuários que administram o firewall, definindo, assim, regras de autenticação para o
acesso destes.
Selecionar essa opção permite a autenticação dos usuários, por meio de agentes externos
previamente cadastrados no firewall. Também permite definir o autenticador externo, qual o
usuário/grupo que ele pertence, quais as suas permissões de acesso e a definição das
entidades que o usuário utilizará para conectar ao firewall.
Autenticador
Permissões
Este campo define o que um usuário pode fazer dentro do Aker Firewall. Ele consiste de três
opções que podem ser marcadas independentemente.
Entidades
As Entidades são representações de objetos do mundo real para o Aker Firewall. Por meio
delas, podem-se representar máquinas, redes, serviços a serem disponibilizados, entre
outros. Essa opção permite definir de qual entidade o usuário se conectará ao firewall.
Servidor Fingerprint
Essa aba consiste no método de autenticação com certificação digital X.509. O Certificado
Digital pode ser considerado como a versão eletrônica (digital) de uma cédula de identidade,
associa uma chave pública com a identidade real de um indivíduo, de um sistema servidor, ou
de alguma outra entidade. Um certificado digital normalmente é usado para ligar uma
entidade a uma chave pública. Para garantir a integridade das informações contidas neste
arquivo ele é assinado digitalmente, no caso de uma infraestrutura de Chaves Públicas (ICP),
o certificado é assinado pela Autoridade Certificadora (AC) que o emitiu e no caso de um
modelo de Teia de Confiança (Web of trust) como o PGP o certificado é assinado pela própria
entidade e assinado por outros que dizem confiar naquela entidade. Em ambos os casos as
assinaturas contidas em um certificado são atestamentos realizados por uma entidade que
diz confiar nos dados contidos naquele certificado.
Informações referentes à entidade para o qual o certificado foi emitido (nome, e-mail,
CPF/CNPJ, PIS etc.);
A chave pública referente à chave privada de posse da entidade especificada no
certificado;
O período de validade
A localização do "centro de revogação" (uma URL para download da CRL, ou local para
uma consulta OCSP);
A(s) assinatura(s) da(s) AC/entidade(s) que afirma que a chave pública contida naquele
certificado confere com as informações contidas no mesmo.
Um certificado exige alguém para validar que uma chave pública e o nome do dono da chave
vão juntos. Com certificados de PGP, qualquer um pode representar o papel de validador.
Com certificados X.509, o validador é sempre uma Autoridade de Certificação ou alguém
designado por uma CA.
O número da versão do X.509 que identifica o padrão aplicado na versão do X.509 para este
certificado, o que afeta e qual informação pode ser especificada neste.
Quando selecionada, essa opção habilita a autenticação do usuário via certificado digital
X.509.
CN do certificado do firewall:
Essa opção mostra qual certificado o Aker Firewall está utilizando na sua autenticação.
Importar Certificado:
Exporta Certificado: Gravam os dados do certificado, para transportá-lo para uma futura
aplicação desse certificado. Tira uma cópia do certificado.
Autoridade Certificadora:
A autoridade certificadora (CA - certificate authority) deve garantir ao usuário, por meio da
assinatura de seus certificados, que tais entidades são realmente quem dizem ser. Então, a
CA tem um papel básico de garantir a correspondência entre a identidade e a chave pública
de uma determinada entidade, sabendo que tal chave pública corresponde a uma chave
privada que permanece sob guarda exclusiva dessa entidade.
Para tanto, a CA deve ser capaz de realizar todos os processos de emissão de certificados,
verificação de validade, armazenamento, publicação ou acesso on-line, revogação e
arquivamento para verificação futura.
Essa opção seleciona uma autoridade certificadora à qual o usuário está vinculado.
Pseudo Group
Permissões
Esta opção, uma vez escolhida uma Autoridade Certificadora e definidos os níveis/permissões
de acesso para cada grupo, ao trocar de CA todas as permissões relacionadas à outra CA serão
perdidas.
Além da Interface Remota de administração de usuários, existe uma interface local, orientada
a caracteres, que possui praticamente as mesmas capacidades da Interface Remota (E
possível usar todos os comandos sem o prefixo “FW”, para isso execute o comando “fwshell”,
então todos os comandos poderão ser acessados sem o prefixo “FW”). A única função não
disponível é a de alteração das permissões dos usuários. Essa Interface Texto (via SSH), ao
contrário da maioria das demais interfaces orientadas a caracteres do Firewall Aker, é
interativa e não recebe parâmetros da linha de comando.
Para executar qualquer uma das opções mostradas, digite a letra mostrada em negrito. Cada
opção é mostrada abaixo em detalhes:
Figura 149 - Execução do programa para inclusão de usuários como administrados do Aker
Firewall.
Para prosseguir com a inclusão, digite ‘S’. Para abortar, digite ‘N’.
Para prosseguir com a remoção, digite ‘S’. Para abortar, digite ‘N’.
O campo permissões consiste de 3 possíveis valores: CF, CL, e GU, que correspondem
respectivamente às permissões de: Configura Firewall, Configura Log e Gerencia Usuários. Se
um usuário possuir uma permissão, ela será mostrada com o código acima, caso contrário
será mostrado o valor --, indicando que o usuário não a possui.
Ao ser selecionada, o arquivo será compactado e ao final será mostrada uma mensagem
indicando que a operação foi completada (a compactação do arquivo costuma ser uma
operação bastante rápida, durando poucos segundos).
Figura 155 - Edição das configurações do Aker Configuration Manager (Firewall habilitado).
Desabilita acesso pelo Configuration Manager: Quando selecionada essa opção não
será mais possível acessar o Aker Firewall pelo Configuration Manager até que o
usuário habilite o acesso novamente.
Sai do fwadmin: Esta opção encerra o programa fwadmin e retorna para a linha de comando.
Este capítulo mostra como configurar as variáveis que irão influenciar nos resultados de todo
o sistema. Estes parâmetros de configuração atuam em aspectos como a segurança, log do
sistema e tempos de inatividade das conexões.
O botão OK fará com que a janela de configuração de parâmetros seja fechada e as alterações
que foram efetuadas sejam aplicadas.
O botão Cancelar fará com que a janela seja fechada, porém as alterações efetuadas não
sejam aplicadas;
O botão Aplicar enviará para o firewall todas as alterações feitas, porém manterá a janela
aberta.
Aba Global
Nesta janela, estes parâmetros são utilizados pelo filtro de estados e pelo conversor de
endereços. Eles consistem dos seguintes campos:
Interface Externa (Por motivo de controle de licença): Define o nome da interface externa
do firewall. Conexões que vierem por esta interface não contam, na licença.
Tempo limite TCP: Define o tempo máximo, em segundos, que uma conexão TCP pode
permanecer sem tráfego e ainda ser considerada ativa pelo firewall. Seu valor pode variar de
0 a 259200 (72 horas).
Tempo limite UDP: Define o tempo máximo, em segundos, que uma conexão UDP pode
permanecer sem tráfego e ainda ser considerada ativa pelo firewall. Seu valor pode variar de
0 a 259200 (72 horas).
Estes campos são de vital importância para o correto funcionamento do firewall: valores
muito altos poderão causar problemas de segurança para serviços baseados no protocolo
UDP, farão com que o sistema utilize mais memória e o tornarão mais lento. Valores muito
baixos poderão causar constantes quedas de sessão e o mau funcionamento de alguns
serviços.
Tamanho mínimo de senha: Define o número mínimo de caracteres que as senhas dos
administradores devem ter para serem aceitas pelo sistema. Seu valor pode variar entre 4 e
14 caracteres.
É importante que este valor seja o maior possível, de modo a evitar a utilização de senhas que
possam ser facilmente quebradas.
Local: Indica que o log/eventos/estatísticas deve ser salvos em um disco local, na máquina onde
o firewall estiver rodando.
Tamanho (GB) / eventos / log / estatísticas: Os arquivos (log ou evento ou estatística) serão
limitados em tamanho total em disco, ou seja, caso o total de logs em disco ultrapasse o valor
estipulado, os logs mais antigos serão apagados.
ANTES ATUAL
Exemplo:
Configuração do ambiente:
Isso fará com que o primeiro arquivo de log de 100 MB, criado no 1º dia, seja excluído do HD,
fazendo com que este fique com 2,3 GB de arquivos de log.
Depois disso, o firewall recebeu um ataque de flood e começou a gerar 3,4 GB de log por hora.
Quando o arquivo de log (APENAS O ARQUIVO QUE ESTÁ SENDO ESCRITO, SEM CONTAR OS
OUTROS) alcançar 2,4 GB (neste momento o diretório terá 4,7 GB de log), o firewall
rotacionará os logs, excluindo TODOS os registros de log, inclusive o arquivo de 2,4 GB. Na
sequência, criará outro arquivo zerado e começará a gravar os logs nele.
Logar Conversão de Endereço (NAT): Habilita o registro no log do sistema das conversões de
endereços feitas pelo firewall.
Mesmo com esta opção ativa, somente serão logados os pacotes convertidos por meio das
conversões 1: N e N: 1. As conversões por outros tipos de regras não serão registradas.
A ativação desta opção não traz nenhuma informação importante e deve ser utilizada apenas
para fim de testes ou para tentar resolver problemas.
Logar syslog do Unix: Habilita o envio do log e dos eventos do firewall para o daemon de log
do Unix, o syslogd.
Ao habilitar essa opção, os registros de log serão enviados para a fila local0 e os de eventos
para a fila local1.
Esta opção não altera em nada o registro interno do log e dos eventos realizado pelo
próprio firewall.
Parâmetros de Segurança
Permitir pacotes com rota para origem: Habilita a passagem de pacotes que tenham a opção
de registro de rota ou de roteamento dirigido. Se esta opção estiver desmarcada, os pacotes
com alguma destas opções não poderão trafegar.
Cabe ressaltar que a aceitação de pacotes com rota para a origem pode causar uma falha
séria de segurança. A não ser que se tenha uma razão específica para deixá-los passar, esta
opção deve ser mantida desmarcada.
Este parâmetro faz com que o firewall trate o protocolo FTP de forma especial, de modo a
permitir que ele funcione transparentemente para todas as máquinas clientes e servidoras,
Suporte ao Real Áudio: Habilita o suporte para os protocolos Real Áudio e Real Vídeo.
Este parâmetro faz com que o firewall trate o protocolo Real Áudio / Real Vídeo de forma
especial, de modo que permita ele funcionar transparentemente usando conexões TCP e
UDP. A não ser que pretenda usar o Real Áudio ou se pretenda utilizá-lo apenas com conexões
TCP, esta opção deve estar marcada.
O RTSP (Real Time Streaming Protocol) é um protocolo que atua no nível de aplicação que
permite a entrega controlada de dados em tempo real, como áudio e vídeo. Fontes de dados
podem incluir programas ao vivo (com áudio e vídeo) ou algum conteúdo armazenado
(eventos pré-gravados). Ele é projetado para trabalhar com protocolos como o RTP, HTTP
e/ou outro que de suporte a mídia contínua sobre a Internet. Ele suporta tráfego multicast
bem como unicast. E também suporta interoperabilidade entre clientes e servidores de
diferentes fabricantes. Este parâmetro faz com que o firewall trate o protocolo de forma
especial, de modo a permitir que ele funcione transparentemente usando conexões TCP e
UDP.
O PPTP é um protocolo criado pela Microsoft para possibilitar acesso seguro de máquinas
clientes a redes corporativas, por meio de VPN. Este parâmetro faz com que o firewall trate
o PPTP (GRE) de forma especial possibilitando que ele trafegue normalmente por meio dele,
mesmo com a conversão de endereços (NAT) habilitada.
Manter conexões das regras expiradas: mantém a conexão mesmo após o prazo de
validade de a regra ter sido expirada.
Esta opção permite ao usuário permanecer conectado mesmo após o término do período
definido para o fim da conexão.
Ex.: o usuário inicia um download via FTP dentro do horário definido por regra. Caso esta
opção esteja marcada, a conexão (download) não será finalizada no horário definido e sim
após o término de transferência dos arquivos.
Habilita SNMPv3: Quando selecionada essa opção permite definir o tipo de permissão
de um usuário e qual o nível de segurança que ele estará relacionado.
Nome do usuário: Nome do usuário que terá permissão para conferir ou modificar as
informações.
Tipo de permissão: Permite a escolha do tipo de permissão do usuário. Poderá ter
acesso de somente leitura dos dados ou de leitura e escrita.
Nível de segurança: Permite a escolha do tipo de segurança dos dados. Pode-se optar
por nenhuma autenticação, com autenticação ou autenticação com cifragem. Caso a
escolha seja com autenticação, as opções Método de autenticação e senha de
autenticação serão habilitadas. Caso a escolha seja autenticação com cifragem, as
opções Método de cifragem e senha de cifragem serão habilitadas.
AGENTX-MIB.txt IANA-RTPROTO-MIB.txt
BRIDGE-MIB.txt IANAifType-MIB.txt
DISMAN-EVENT-MIB.txt IF-INVERTED-STACK-MIB.txt
DISMAN-SCHEDULE-MIB.txt IF-MIB.txt
DISMAN-SCRIPT-MIB.txt INET-ADDRESS-MIB.txt
EtherLike-MIB.txt IP-FORWARD-MIB.txt
HCNUM-TC.txt IP-MIB.txt
HOST-RESOURCES-MIB.txt IPV6-FLOW-LABEL-MIB.txt
HOST-RESOURCES-TYPES.txt IPV6-ICMP-MIB.txt
IANA-ADDRESS-FAMILY-NUMBERS-MIB.txt IPV6-MIB.txt
IANA-LANGUAGE-MIB.txt IPV6-TC.txt
IPV6-UDP-MIB.txt RFC-1215.txt
NET-SNMP-AGENT-MIB.txt RFC1155-SMI.txt
NET-SNMP-EXAMPLES-MIB.txt RFC1213-MIB.txt
NET-SNMP-EXTEND-MIB.txt RMON-MIB.txt
NET-SNMP-MIB.txt SCTP-MIB.txt
NET-SNMP-PASS-MIB.txt SMUX-MIB.txt
NET-SNMP-TC.txt SNMP-COMMUNITY-MIB.txt
NET-SNMP-VACM-MIB.txt
Aba Monitoramento
Quando utiliza conversão 1-N, ou seja, balanceamento de canal é possível configurar o tipo
de monitoramento a ser realizado pelo firewall para verificar se as máquinas participantes do
balanceamento estão no ar. Os parâmetros de monitoramento permitem modificar os
intervalos de tempo de monitoramento, de modo a ajustá-los melhor a cada ambiente.
Intervalo de ping: Esse campo define de quantos em quantos segundos, será enviado um ping
para as máquinas sendo monitoradas. Seu valor pode variar entre 1 e 60 segundos.
Tempo de ativação: Esse campo define o tempo, em segundos, que o firewall irá esperar,
após receber um pacote de resposta de uma máquina anteriormente fora do ar, até
considerá-la novamente ativa. Esse intervalo de tempo é necessário, pois normalmente uma
máquina responde a pacotes ping antes de estar com todos os seus serviços ativos. Seu valor
pode variar entre 1 e 60 segundos.
Tempo limite dos pedidos: Esse campo define de quantos em quantos segundos, o firewall
requisitará a URL especificada pelo administrador para cada máquina sendo monitorada. Seu
valor pode variar entre 1 e 300 segundos.
Tempo limite de resposta: Esse campo define o tempo máximo, em segundos, que uma
máquina sendo monitorada poderá levar para responder à requisição do firewall e ainda ser
considerada ativa. Seu valor pode variar entre 2 e 300 segundos.
Esta opção permite ao administrador verificar e alterar a data e a hora do firewall. A data e
hora configuradas corretamente são essenciais para o funcionamento da tabela de horário
das regras e dos perfis de acesso WWW, das trocas de chaves por meio do protocolo SKIP e
dos sistemas de log e eventos.
Data e hora
Esta janela consiste de dois campos que mostram o valor da data e hora configurado no
firewall. Para alterar qualquer um destes valores, basta colocar o valor desejado no campo
correspondente. Para escolher o mês podem-se utilizar as setas de navegação.
Fuso Horário
Escolha o fuso horário que mais se aproxima da região aonde o firewall será instalado.
Define o servidor de tempo que será utilizado pelo firewall para sincronizar seu relógio
interno. O NTP suporta até 3 servidores distintos.
Sintaxe:
date dd/mm/[aa]aa
mostra:
dd/mm/[aa]aa:
Esta opcao configura a data atual. Entre com o dia, mes e ano
time hh:mm[:ss]
mostra:
hh:mm[:ss]:
opcional.
mostra:
mostra areas:
mostra <area>:
A Interface Texto (via SSH) de configuração de parâmetros é bastante simples de ser utilizada
e possui exatamente as mesmas capacidades da Interface Remota (E possível usar todos os
comandos sem o prefixo “FW”, para isso execute o comando “fwshell”, então todos comandos
poderão ser acessados sem o prefixo “FW”). Ela possui, opções que não estão disponíveis na
Interface Remota, entre elas: a opção de adicionar até três máquinas possíveis de
administrarem o firewall remotamente, mesmo sem a existência de uma regra liberando sua
conexão. O objetivo desta funcionalidade é permitir que, mesmo que um administrador tenha
Sintaxe:
Uso:
interface_externa = configura o nome da interface externa (conexões que vierem por esta
interface não contam na licença)
-------------------
tempo_limite_tcp : 900 segundos
interface_externa: lnc0
Parâmetros de segurança:
------------------------
ip_direcionado : não
suporte_real_audio: sim
suporte_rtsp : sim
----------------------------------
loga_conversão : não
loga_syslog : não
permanência_log : 7 dias
permanência_event: 7 dias
permanência_stat : 7 dias
-----------------------------------
#/aker/bin/firewall/fwpar rwcommunidade
Este capítulo mostra o que são, para que servem e como cadastrar entidades no Aker Firewall.
Entidades são representações de objetos do mundo real para o Aker Firewall. Por meio delas,
podem-se representar máquinas, redes, serviços a serem disponibilizados, entre outros.
A principal vantagem da utilização de entidades para representar objetos reais é que a partir
do momento em que são definidas no Firewall, elas podem ser referenciadas como se fossem
os próprios objetos, propiciando uma maior facilidade de configuração e operação. Todas as
alterações feitas em uma entidade serão automaticamente propagadas para todos os locais
onde ela é referenciada.
Pode-se definir, por exemplo, uma máquina chamada de Servidor WWW, com o endereço IP
de 10.0.0.1. A partir deste momento, não é mais necessário se preocupar com este endereço
IP. Em qualquer ponto onde seja necessário referenciar esta máquina, a referência será
realizada pelo nome. Caso futuramente seja necessário alterar seu endereço IP, basta alterar
a definição da própria entidade que o sistema automaticamente propagará esta alteração
para todas as suas referências.
Definindo entidades
Antes de explicar como cadastrar entidades no Aker Firewall é necessária uma breve
explicação sobre os tipos de entidades possíveis e o que caracteriza cada uma delas.
Existem 9 tipos diferentes de entidades no Aker Firewall: máquinas, máquinas IPv6, redes,
redes IPv6, conjuntos, conjuntos IPv6, serviços, autenticadores e interfaces.
Para definir uma rede deve-se utilizar uma máscara além do endereço IP. A máscara serve
para definir quais bits do endereço IP serão utilizados para representar a rede (bits com valor
1) e quais serão utilizados para representar as máquinas dentro da rede (bits com valor 0).
Assim, para representar a rede cujas máquinas podem assumir os endereços IP de
192.168.0.1 a 192.168.0.254, deve-se colocar como rede o valor 192.168.0.0 e como máscara
o valor 255.255.255.0. Esta máscara significa que os 3 primeiros bytes serão usados para
representar a rede e o último byte será usado para representar a máquina.
Para verificar se uma máquina pertence a uma determinada rede, basta fazer um E lógico da
máscara da rede, com o endereço desejado e comparar com o E lógico do endereço da rede
com sua máscara. Se eles forem iguais, a máquina pertence à rede, se forem diferentes não
pertence. Vejamos dois exemplos:
Suponha que desejamos verificar se a máquina 10.1.1.2 pertence à rede 10.1.0.0, máscara
255.255.0.0. Temos:
Temos então que os dois endereços são iguais após a aplicação da máscara, portanto a
máquina 10.1.1.2 pertence à rede 10.1.0.0.
Suponha agora que desejamos saber se a máquina 172.16.17.4 pertence à rede 172.17.0.0,
máscara 255.255.0.0. Temos:
Como os endereços finais são diferentes, temos que a máquina 172.16.17.4 não pertence à
rede 172.17.0.0.
Caso seja necessário definir uma rede onde qualquer máquina seja considerada como
pertencente a ela (ou para especificar qualquer máquina da Internet), deve-se colocar como
endereço IP desta rede o valor 0.0.0.0 e como máscara o valor 0.0.0.0. Isto é bastante útil na
hora de disponibilizar serviços públicos, onde todas as máquinas da Internet terão acesso.
Toda a vez que ocorre uma comunicação entre duas máquinas, usando o protocolo IP, estão
envolvidos não apenas os endereços de origem e destino, mas também um protocolo de nível
mais alto (nível de transporte) e algum outro dado que identifique a comunicação
A porta destino é um número fixo que está associado, geralmente, a um serviço único. Assim,
temos que o serviço Telnet está associado com o protocolo TCP na porta 23, o serviço FTP
com o protocolo TCP na porta 21 e o serviço SNMP com o protocolo UDP na porta 161, por
exemplo.
A porta origem é um número sequencial escolhido pelo cliente de modo a possibilitar que
exista mais de uma sessão ativa de um mesmo serviço em um dado instante. Assim, uma
comunicação completa nos protocolos TCP e UDP pode ser representada da seguinte forma:
Para um firewall, a porta de origem não é importante, uma vez que ela é randômica. Devido
a isso, quando se define um serviço, leva-se em consideração apenas a porta de destino.
Além dos protocolos TCP e UDP existem outro protocolo importante: o ICMP. Este protocolo
é utilizado pelo próprio IP para enviar mensagens de controle, informar sobre erros e testar
a conectividade de uma rede.
O protocolo ICMP não utiliza o conceito de portas. Ele usa um número que varia de 0 a 255
para indicar um Tipo de Serviço. Como o tipo de serviço caracteriza unicamente um serviço
entre duas máquinas, ele pode ser usado como se fosse à porta destino dos protocolos, TCP
e UDP, na hora de definir um serviço.
Por último, existem outros protocolos que podem rodar sobre o protocolo IP e que não são
TCP, UDP ou ICMP. Cada um destes protocolos tem formas próprias para definir uma
comunicação e nenhum deles é utilizado por um grande número de máquinas. Ainda assim,
o Aker Firewall optou por adicionar suporte para possibilitar ao administrador o controle
sobre quais destes protocolos podem ou não passar por meio do firewall.
Para entender como isso é realizado, basta saber que cada protocolo tem um número único
que o identifica para o protocolo IP. Este número varia de 0 a 255. Desta forma, podemos
definir serviços para outros protocolos usando o número do protocolo como identificação do
serviço.
A qualidade de serviço pode ser compreendida de duas formas: do ponto de vista da aplicação
ou da rede.
Para uma aplicação oferecer seus serviços com qualidade, tem que atender às expectativas
do usuário em relação ao tempo de resposta e da qualidade do serviço que está sendo
provido. Por exemplo, no caso de uma aplicação de vídeo, fidelidade adequada do som e/ou
da imagem sem ruídos nem congelamentos.
A qualidade de serviço da rede depende das necessidades da aplicação, ou seja, do que ela
requisita da rede a fim de que funcione bem e atenda bem às necessidades do usuário. Estes
requisitos são traduzidos em parâmetros indicadores do desempenho da rede como, por
exemplo, o atraso máximo sofrido pelo tráfego da aplicação entre o computador origem e
destino.
O Aker Firewall implementa um mecanismo com o qual é possível definir uma banda máxima
de tráfego para determinadas aplicações. Por meio de seu uso, determinadas aplicações que
tradicionalmente consomem muita banda, podem ter seu uso controlado. As entidades do
tipo Canal são utilizadas para este fim e serão explicadas logo abaixo.
A janela de cadastro de entidades é onde são cadastradas todas as entidades do Aker Firewall,
independente do seu tipo. Esta janela, por ser constantemente utilizada em praticamente
todas as demais configurações do firewall, normalmente é mostrada sempre aberta na
horizontal, abaixo da janela com os menus de configuração de cada firewall.
Possui uma janela única para todos os firewalls abertos. A janela continuará a mesma,
só mudará o conteúdo que será referente ao firewall selecionado. Os tipos de
entidades mais usados são os únicos apresentados na aba. As entidades
menos utilizadas aparecem no menu.
Nesta janela estão desenhados oito ícones, em forma de árvore, que representam os oito
tipos de entidades possíveis de serem criados.
1. Clicar uma vez no ícone correspondente à entidade do tipo que deseja criar com o botão
direito do mouse e selecionar a opção Inserir no menu pop-up
ou
2. Clicar no ícone correspondente à entidade do tipo que deseja criar e pressionar a tecla
Insert.
No caso das opções Editar ou Incluir, aparecerá à janela de edição de parâmetros da entidade
a ser editada ou incluída. Esta janela será diferente para cada um dos tipos possíveis de
entidades.
Para cadastrar uma entidade do tipo máquina deve-se preencher os seguintes campos:
Nome: É o nome pelo qual a máquina será sempre referenciada pelo firewall. É possível
especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A
opção Automático permite escolher entre estes dois modos de operação: caso ela esteja
marcada, a atribuição será automática, caso contrário, manual.
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades.
Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas
letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker,
AKER e aker são, portanto, consideradas diferentes.
Ícone: É o ícone que aparecerá associado à máquina em todas as referências. Para alterá-lo,
basta clicar sobre o desenho do ícone atual. O Firewall então mostra uma lista com todos os
possíveis ícones para representar máquinas. Para escolher entre eles basta clicar no ícone
desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão
Cancelar.
Após todos os campos estarem preenchidos, deve-se clicar no botão OK para realizar a
inclusão ou alteração da máquina. Para cancelar as inclusões ou alterações realizadas deve
pressionar o botão Cancelar.
Para facilitar a inclusão de várias máquinas seguidamente, existe um botão chamado Nova
(que não estará habilitado durante uma edição). Ao ser clicado, este botão fará com que a
máquina inclua os dados preenchidos e mantenha aberta a janela de inclusão de máquinas
onde estará pronta para uma nova inclusão. Desta forma é possível cadastrar rapidamente
um grande número de máquinas.
Para cadastrar uma entidade do tipo máquina IPv6 deve-se preencher os seguintes campos:
Nome: É o nome pelo qual a máquina será sempre referenciada pelo firewall. É possível
especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A
opção Automático permite escolher entre estes dois modos de operação: caso ela esteja
marcada, a atribuição será automática, caso contrário, manual.
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades.
Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas
letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker,
AKER e aker são, portanto, consideradas diferentes.
Ícone: É o ícone que aparecerá associado à máquina em todas as referências. Para alterá-lo,
basta clicar sobre o desenho do ícone atual. O firewall então mostra uma lista com todos os
possíveis ícones para representar máquinas. Para escolher entre eles basta clicar no ícone
desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão
Cancelar.
Após todos os campos estarem preenchidos, deve-se clicar no botão OK para realizar a
inclusão ou alteração da máquina. Para cancelar as inclusões ou alterações realizadas deve
pressionar o botão Cancelar.
Para facilitar a inclusão de várias máquinas seguidamente, existe um botão chamado Nova
(que não estará habilitado durante uma edição). Ao ser clicado, este botão fará com que a
máquina inclua os dados preenchidos e mantenha aberta a janela de inclusão de máquinas
onde estará pronta para uma nova inclusão. Desta forma, é possível cadastrar rapidamente
um grande número de máquinas.
A notação mais usual que o endereço IPv6 é representado é x:x:x:x:x:x:x:x, onde os "x" são
números hexadecimais, ou seja, o endereço é dividido em oito partes de 16 bits, como no
seguinte exemplo: 1080:0:0:0:8:800:200C:417A
Para cadastrar uma entidade do tipo rede deve-se preencher os seguintes campos:
Nome: É o nome pelo qual a rede será sempre referenciada pelo firewall. É possível
especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A
opção Automático permite escolher entre estes dois modos de operação: caso ela esteja
marcada, a atribuição será automática, caso contrário, manual.
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades.
Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas
letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker,
AKER e aker são consideradas diferentes.
Ícone: É o ícone que aparecerá associado à rede em todas as referências. Para alterá-lo deve
clicar sobre o desenho do ícone atual. O firewall então uma lista com todos os possíveis ícones
para representar redes será mostrada. Para escolher entre eles tem que clicar no ícone
desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão
Cancelar.
Máscara de Rede: Define quais bits do endereço IP serão utilizados para representar a rede
(bits com valor 1) e quais serão utilizados para representar as máquinas dentro da rede (bits
com valor 0)
Intervalo: Este campo mostra a faixa de endereço IP a que pertence à rede e realiza uma
crítica quanto à máscara que está sendo cadastrada, ou seja não permite cadastramento de
máscaras erradas.
Para facilitar a inclusão de várias redes seguidamente, existe um botão chamado Nova (que
não estará habilitado durante uma edição). Ao clicar neste botão fará com que sejam incluídos
os dados preenchidos e manterá aberta a janela de inclusão de redes onde estará pronta para
uma nova inclusão. Desta forma é possível cadastrar rapidamente um grande número de
redes.
Para cadastrar uma entidade do tipo rede IPv6 deve-se preencher os seguintes campos:
Nome: É o nome pelo qual a rede será sempre referenciada pelo firewall. É possível
especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A
opção Automático permite escolher entre estes dois modos de operação: caso ela esteja
marcada, a atribuição será automática, caso contrário, manual.
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades.
Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas
letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker,
AKER e aker são consideradas diferentes.
Ícone: É o ícone que aparecerá associado à rede em todas as referências. Para alterá-lo deve
clicar sobre o desenho do ícone atual. O firewall então mostra uma lista com todos os
possíveis ícones para representar redes. Para escolher entre eles tem que clicar no ícone
desejado e no botão OK. Caso não queira alterá-lo após ver a lista, deve-se clicar no botão
Cancelar.
Após estarem todos os campos preenchidos, deve-se clicar no botão OK para realizar a
inclusão ou alteração da rede. Para cancelar as alterações realizadas ou a inclusão, deve-se
pressionar o botão Cancelar.
Para facilitar a inclusão de várias redes seguidamente, existe um botão chamado Nova (que
não estará habilitado durante uma edição). Ao clicar neste botão fará com que sejam incluídos
os dados preenchidos e manterá aberta a janela de inclusão de redes onde estará pronta para
uma nova inclusão. Desta forma é possível cadastrar rapidamente um grande número de
redes.
Para cadastrar uma entidade do tipo conjunto deve-se preencher os seguintes campos:
Nome: É o nome pelo qual o conjunto será sempre referenciado pelo firewall. É possível
especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A
opção Automático permite escolher entre estes dois modos de operação: caso ela esteja
marcada, a atribuição será automática se não, manual.
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades.
Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas
letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker,
AKER e aker são consideradas diferentes.
Ícone: É o ícone que aparecerá associado ao conjunto em todas as referências. Para alterá-lo,
basta clicar sobre o desenho do ícone atual. O firewall então mostra uma lista com todos os
possíveis ícones para representar conjuntos. Para escolher entre eles basta clicar no ícone
desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão
Cancelar.
Após preencher o nome e escolher o ícone para o conjunto, deve-se definir quais máquinas e
redes farão parte do mesmo. Abaixo estão os passos que devem ser seguidos.
Ou
2. Clicar sobre a entidade que deseja incluir, com isso deve arrastá-la e soltá-la dentro da
janela de entidades do conjunto.
Para remover uma rede ou máquina do conjunto, deve-se proceder da seguinte forma:
1. Clicar com o botão direito do mouse sobre a entidade a ser removida e selecionar a opção
Remover,
Ou
Para facilitar a inclusão de vários conjuntos seguidamente, existe um botão chamado Nova
(que não estará habilitado durante uma edição). Ao ser clicado, este botão fará com que o
conjunto cujos dados foram preenchidos seja incluído e a janela de inclusão de conjuntos
mantida aberta, pronta para uma nova inclusão. Desta forma é possível cadastrar
rapidamente um grande número de conjuntos.
Para cadastrar uma entidade do tipo conjunto IPv6 deve-se preencher os seguintes campos:
Nome: É o nome pelo qual o conjunto será sempre referenciado pelo firewall. É possível
especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A
opção Automático permite escolher entre estes dois modos de operação: caso ela esteja
marcada, a atribuição será automática se não, manual.
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades.
Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas
Ícone: É o ícone que aparecerá associado ao conjunto em todas as referências. Para alterá-lo,
basta clicar sobre o desenho do ícone atual. O firewall então mostra uma lista com todos os
possíveis ícones para representar conjuntos. Para escolher entre eles basta clicar no ícone
desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão
Cancelar.
Após preencher o nome e escolher o ícone para o conjunto, deve-se definir quais máquinas e
redes farão parte do mesmo. Abaixo estão os passos que devem ser seguidos.
1. Clicar com o botão direito do mouse sobre a entidade a ser removida e selecionar a
opção Remover.
Ou
Após todos os campos estarem preenchidos e todas as redes e máquinas que devem fazer
parte do conjunto selecionadas, deve-se clicar no botão OK para realizar a inclusão ou
alteração do conjunto. Para cancelar as alterações realizadas ou a inclusão, deve-se
pressionar o botão Cancelar.
Para facilitar a inclusão de vários conjuntos seguidamente, existe um botão chamado Nova
(que não estará habilitado durante uma edição). Ao ser clicado, este botão fará com que o
conjunto cujos dados foram preenchidos seja incluído e a janela de inclusão de conjuntos
mantida aberta, pronta para uma nova inclusão. Desta forma é possível cadastrar
rapidamente um grande número de conjuntos.
O botão Atualizar permite buscar as categorias no firewall caso tenha havido alguma
atualização.
Quando selecionada a opção Tentar recuperar categorias pelo critério nome quando o
Analisador de Contexto for trocado, permite identificar as categorias pelos nomes que foram
cadastradas, pois ao trocar o analisador de contexto muitas categorias podem ser perdidas.
Selecionar a opção Automático, caso queira atribuir um nome padrão ao tipo de pesquisa.
Preencher o campo nome, onde pode definir um nome específico para a pesquisa.
Os campos Padrão e Texto permitem definir qual será a string ou os parâmetros que serão
pesquisados na URL acessada e qual operação a ser efetuada.
Esta janela permite definir, vários tipos de quotas de acesso do usuário à rede.
Para criar uma quota pode-se selecionar a opção Automático para que seja atribuído um
nome padrão ao tipo de quota a ser definido ou então preencher o campo nome, onde pode
atribuir um nome específico para a lista de quotas.
A opção Tipo da Quota permite escolher se a quota definida será atribuída diariamente,
semanalmente ou mensalmente. Ao marcar qual o tipo de quota desejada, pode associar a
ela a checagem de tempo de acesso e/ou de volume de dados.
A checagem de tempo pode ser definida em dias e/ou horas. Por exemplo, diariamente só vai
ser liberado 3 horas de acesso à internet, ou semanalmente 3 dias ou até mesmo
semanalmente liberado 7 dias.
Existem 10 diferentes tipos de agentes externos, cada um responsável por um tipo distinto
de tarefas:
Autenticadores
Autoridades certificadoras
Autoridades certificadoras são utilizadas para fazer autenticação de usuários por meio de PKI,
com o uso de Smart Cards e para autenticação de firewalls com criptografia IPSEC.
Autenticadores Token
Os agentes IDS (Intrusion Detection Systems - Sistemas detectores de intrusão) são sistemas
que ficam monitorando a rede em tempo real procurando por padrões conhecidos de ataques
ou abusos. Ao detectar uma destas ameaças, ele pode incluir uma regra no firewall que
bloqueará imediatamente o acesso do atacante.
Módulos de Antivírus
Os agentes antivírus são utilizados pelo proxy SMTP, POP3 e Filtro Web para realizarem a
checagem e a desinfecção de vírus de forma transparente em e-mails e nos downloads FTP e
HTTP.
Analisadores de contexto
Os analisadores de contexto são utilizados pelo Filtro Web para controlar o acesso a URLs
baseados em diversas categorias pré-configuradas.
Os servidores de log remoto são utilizados pelo firewall para enviar o log para
armazenamento em uma máquina remota.
Autenticador Radius
Autenticadores LDAP
O autenticador LDAP permite ao firewall autenticar usuário usando uma base LDAP
compatível com o protocolo X500.
Spam Meter
Os servidores de o spam meter são utilizados pelo firewall para classificar e-mails e definir
quais deles serão considerados SPAM.
É possível a instalação de diversos agentes externos em uma mesma máquina, desde que
sejam distintos.
Para cadastrar um agente externo deve-se inicialmente selecionar seu tipo, abrindo o
diretório de Agentes Externos. Independentemente de seu subtipo, todos os agentes
externos possuem os seguintes campos (os demais campos serão então modificados de
acordo com o tipo do agente a ser cadastrado):
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades.
Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas
letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker,
AKER e aker são consideradas diferentes.
Ícone: É o ícone que aparecerá associado ao agente em todas as referências. Para alterá-lo,
basta clicar sobre o desenho do ícone atual. O firewall então mostra uma lista com todos os
possíveis ícones para representar agentes do subtipo selecionado. Para escolher entre eles
basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta
clicar no botão Cancelar.
Backup 1 e Backup 2: Estes campos permitem com que seja especificado até dois endereços
de outras máquinas que também estarão rodando o agente e que servirão como backup no
caso de queda da máquina principal.
Confirmação: Este campo é utilizado apenas para verificar se a senha foi digitada
corretamente. Deve-se digitá-la exatamente como no campo Senha.
Tempo limite do cache: Todas as vezes que é realizada uma autenticação com sucesso, o
firewall mantém em memória os dados recebidos do usuário e do agente. Nas autenticações
seguintes, o firewall possui todos os dados necessários e não mais precisa consultar o agente.
Isso permite um grande ganho de performance.
Este parâmetro permite definir em segundos o tempo em que o firewall deve manter as
informações de autenticação em memória. Para maiores informações, veja o capítulo
intitulado: Trabalhando com proxies.
O botão Importar certificado raiz permite carregar o certificado root da CA no firewall. Ao ser
clicado, a interface abrirá uma janela para especificar o nome do arquivo com o certificado a
ser importado.
É necessário importar um certificado raiz para cada Autoridade Certificadora criada, caso
contrário não será possível autenticar usuários por meio dela.
O Campo Pseudo-grupos permite definir grupos para usuários que se autenticarem por meio
da autoridade certificadora, da mesma forma como define grupos em um sistema
operacional. Desta maneira, é possível criar pseudo-grupos que representem todos os
usuários de uma determinada empresa, departamento, cidade, etc. Após serem criados os
pseudo-grupos, eles podem ser associados a perfis de acesso, da mesma forma como se faz
com grupos de autenticadores ou autenticadores token.
Nome: Campo de preenchimento obrigatório que indica o nome pelo qual o pseudo-grupo
será referenciado pelo firewall. Os demais campos representam dados que serão comparados
com os dados presentes no certificado X509 de cada usuário autenticado. Se um determinado
campo estiver em branco então qualquer valor será aceito no campo correspondente do
certificado, se não apenas certificados que possuírem o campo igual ao valor informado serão
considerados como parte do grupo.
Para que um usuário autenticado por meio da autoridade certificadora seja considerado
como membro de um pseudo-grupo, todos os campos de seu certificado X509 devem ser
iguais aos valores dos campos correspondentes do pseudo-grupo. Campos em branco de um
Para cadastrar um agente externo do tipo Agente IDS, Analisador de contexto, Antivírus,
Spam Meter ou Servidor de Log Remoto, deve-se preencher os seguintes campos adicionais:
Backup 1 e Backup 2: Estes campos permitem especificar até dois endereços de outras
máquinas que também estarão rodando o agente e que servirão como backup no caso de
queda da máquina principal.
Confirmação: Este campo é utilizado apenas para verificar se a senha foi digitada
corretamente. Deve-se digitá-la exatamente como no campo Senha.
Para cadastrar um agente externo do tipo Autenticador LDAP deve-se preencher os seguintes
campos:
Backup 1 e Backup 2: Estes campos permitem especificar até dois endereços de outras
máquinas que também estarão rodando o servidor LDAP e que servirão como backup no caso
de queda da máquina principal.
Tempo limite da cache: Todas as vezes que uma autenticação é realizada com sucesso, o
firewall mantém em memória os dados recebidos do usuário e do agente. Nas autenticações
seguintes, o firewall possui todos os dados necessários e não mais precisa consultar o agente.
Isso permite um grande ganho de performance.
Este parâmetro permite definir em segundos o tempo que o firewall deve manter as
informações de autenticação em memória. Para maiores informações, veja o capítulo
intitulado Trabalhando com proxies.
Permitir senha em branco: permite senhas em branco para o usuário quando marcado;
Método de Autenticação: Este campo especifica se o firewall deve buscar a senha ou deve se
conectar na base LDAP com as credenciais do usuário para validá-lo.
Conectar utilizando as credencias do usuário: Permite ao usuário autenticar-se utilizando
suas credenciais.
Conexão LDAP segura: Este campo especifica se a conexão ao servidor LDAP será encriptada
ou não. Ele consiste das seguintes opções:
1º Backup: Este campo permite com que se especifique outra máquina que também estará
rodando o servidor RADIUS e que servirá como backup no caso de queda da máquina
principal.
Confirmação: Este campo é utilizado apenas para se verificar se o segredo foi digitado
corretamente. Deve-se digitá-lo exatamente como no campo Segredo.
Tempo limite do cache: Todas as vezes que é realizada uma autenticação com sucesso, o
firewall mantém em memória os dados recebidos do usuário e do agente. Nas autenticações
seguintes, o firewall possui todos os dados necessários e não mais precisa consultar o agente.
Isso permite um grande ganho de performance.
Este parâmetro permite definir o tempo, em segundos, que o firewall deve manter as
informações de autenticação em memória. Para maiores informações, veja o capítulo
intitulado Trabalhando com proxies.
Usuários: Este campo serve para que se possa cadastrar e posteriormente associar usuários
específicos RADIUS com perfis de acesso do firewall, uma vez que com este protocolo não é
possível para o firewall conseguir a lista completa de usuários. Somente é necessário realizar
o cadastramento dos usuários que queira se associar com perfis específicos.
Grupos: Este campo serve para cadastrar e posteriormente associar grupos específicos
RADIUS com perfis de acesso do firewall, uma vez que com este protocolo não é possível para
Existe um grupo chamado de RADIUS USERS, gerado automaticamente pelo firewall que
pode ser utilizado para a associação de usuários RADIUS com um perfil de acesso específico.
Todos os usuários autenticados em um determinado servidor RADIUS são considerados como
pertencentes a este grupo. Desta forma, caso queira utilizar um único perfil de acesso para
todos os usuários, não é necessário o cadastramento de nenhum usuário e/ou grupo.
Após todos os campos estarem preenchidos, deve-se clicar no botão OK para realizar a
inclusão ou alteração do agente externo. Para cancelar as alterações realizadas ou a inclusão,
deve-se pressionar o botão Cancelar.
Para facilitar a inclusão de vários agentes seguidamente, existe um botão chamado Nova (que
não estará habilitado durante uma edição). Ao clicar, neste botão fará com que os dados
preenchidos do agente, sejam incluídos e a janela de inclusão de agentes mantida aberta,
pronta para uma nova inclusão. Desta forma é possível cadastrar rapidamente um grande
número de agentes.
Para cadastrar uma entidade do tipo serviço deve-se preencher os seguintes campos:
Nome: É o nome pelo qual o serviço será sempre referenciado pelo firewall. É possível
especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A
opção Automático permite escolher entre estes dois modos de operação: caso ela esteja
marcada, a atribuição será automática, caso contrário, manual.
Ícone: É o ícone que aparecerá associado ao serviço em todas as referências. Para alterá-lo,
deve-se clicar sobre o desenho do ícone atual. O firewall então mostra uma lista com todos
os possíveis ícones para representar serviços. Para escolher entre eles basta clicar no ícone
desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão
Cancelar.
Serviço: É o número que identifica o serviço. No caso dos protocolos TCP e UDP, este número
é a porta destino. No caso de ICMP é o tipo de serviço e no caso de outros protocolos é o
número do protocolo. Para cada protocolo, o firewall possui uma lista dos valores mais
comuns associados a ele, de modo a facilitar a criação do serviço. Entretanto, é possível
colocar valores que não façam parte da lista, simplesmente digitando-os neste campo.
Caso queira especificar uma faixa de valores, ao invés de um único valor, deve-se clicar no
botão ao lado dos nomes De e Para e especificar o menor valor da faixa em De e o maior em
Para. Todos os valores compreendidos entre estes dois, serão considerados como fazendo
parte do serviço.
Proxy: Este campo só se encontra habilitado para os protocolos TCP e UDP, e permite
especificar se a conexão que se enquadrar neste serviço, será automaticamente desviada
para um dos proxies transparentes do Firewall Aker ou não. O valor padrão é Sem Proxy, que
significa que a conexão não deve ser desviada para nenhum proxy. Quando o protocolo TCP
está selecionado, as outras opções são Proxy SMTP, Proxy Telnet, Proxy FTP, Proxy do
usuário, Proxy HTTP e Proxy POP3 que desviam para os proxies SMTP, Telnet, FTP, proxies
criadas pelo usuário, HTTP e POP3, respectivamente. Quando o protocolo UDP está
selecionado, as outras opções são Proxy RPC, que desvia para o proxy RPC, e Proxy do
Usuário.
Tempo(S) limite: Indica o tempo máximo permitido de inatividade de uma conexão com este
serviço. Após esse tempo de inatividade a conexão será removida da tabela de estados do
Aker Firewall.
O serviço Telnet está associado à porta 23, o SMTP à porta 25, o FTP à porta 21, o HTTP à
porta 80 e o POP3 à porta 110. É possível especificar que conexões de quaisquer outras portas
sejam desviadas para um destes proxies, entretanto, isto não é o comportamento padrão e
não deve ser realizado a não ser que tenha conhecimento de todas as possíveis implicações.
Caso tenha especificado que a conexão deve ser desviada para um proxy, pode ser necessário
definir os parâmetros do contexto que será utilizado pelo proxy para este serviço. Caso isso
seja necessário, no momento em que o proxy for selecionado, a janela será expandida para
mostrar os parâmetros adicionais que devem ser configurados.
® Aker Security Solutions
250
A explicação dos parâmetros de cada um dos contextos dos proxies padrão, se encontra nos
capítulos intitulados Configurando o proxy SMTP, Configurando o proxy Telnet,
Configurando o proxy FTP, Configurando o proxy POP3 e Configurando o Proxy RPC e o proxy
DCE-RPC. O proxy HTTP não tem parâmetros configuráveis e suas configurações são descritas
no capítulo Configurando o Filtro Web. Para maiores informações sobre proxies
transparentes e contextos, veja o capítulo intitulado Trabalhando com proxies. Proxies
definidos pelo usuário somente são úteis para desenvolvedores e sua descrição não será
abordada aqui.
Após todos os campos estarem preenchidos, deve-se clicar no botão OK para realizar a
inclusão ou alteração do serviço. Para cancelar as alterações realizadas ou a inclusão, deve-
se pressionar o botão Cancelar.
Para facilitar a inclusão de vários serviços seguidamente, existe um botão chamado Nova (que
não estará habilitado durante uma edição). Ao ser clicado, este botão fará com que o serviço,
cujos dados foram preenchidos, seja incluído e a janela de inclusão de serviços mantida
aberta, pronta para uma nova inclusão. Desta forma é possível cadastrar rapidamente um
grande número de serviços.
Para cadastrar uma entidade do tipo interface é necessário preencher os seguintes campos:
Nome: É o nome pelo qual a interface será sempre referenciada pelo firewall. É possível
especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A
opção Automático permite escolher entre estes dois modos de operação: se ela estiver
marcada, a atribuição será automática caso contrário será manual.
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades.
Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas
letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker,
AKER e aker são consideradas diferentes.
Interface: É o nome do adaptador de rede que será associado à entidade interface. Será
mostrada automaticamente uma lista com todos os adaptadores de rede configurados no
firewall e o endereço IP de cada um, se existir.
Após todos os campos estarem preenchidos, deve-se clicar no botão OK para realizar a
inclusão ou alteração da interface. Para cancelar as alterações realizadas ou a inclusão, deve-
se pressionar o botão Cancelar.
Para facilitar a inclusão de várias interfaces seguidamente, existe um botão chamado Nova
(que não estará habilitado durante uma edição). Ao clicar este botão fará com que os dados
da interface que foram preenchidos sejam incluídos e mantida aberta a janela de inclusão de
interfaces onde estará pronta para uma nova inclusão. Desta forma, é possível cadastrar
rapidamente um grande número de interfaces.
Listas de e-mails são entidades usadas no proxy MSN com o objetivo de definir com quais
pessoas um determinado usuário pode conversar por meio do MSN Messenger.
Nome: É o nome pelo qual a lista de e-mails será sempre referenciada pelo firewall. É possível
especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A
opção Automático permite escolher entre estes dois modos de operação: caso ela esteja
marcada, a atribuição será automática, caso contrário, manual.
A lista deve ter apenas "enter ou (\n)" como separadores na lista de e-mails.
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades.
Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas
letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker,
AKER e aker são consideradas diferentes.
Domínio de E-mail: Este campo é composto pelos e-mails ou domínios que farão parte da
lista. É possível especificar um e-mail completo ou utilizar o símbolo * para representar um
caractere qualquer. As seguintes opções são e-mails válidos:
Para executar qualquer operação sobre um e-mail ou domínio, deve-se clicar sobre ele com
o botão direito e a seguir escolher a opção desejada no menu que será mostrado. As seguintes
opções estão disponíveis:
Figura 193 - Opção para realizar uma operação sobre um e-mail ou domínio.
A lista deve ter apenas "enter ou (\n)" como separadores na lista de domínios.
Para cadastrar uma entidade do tipo lista de arquivos deve-se preencher os seguintes
campos:
Nome: É o nome pelo qual a lista de tipos de arquivos será sempre referenciada pelo firewall.
É possível especificar este nome manualmente ou deixar que ele seja atribuído
automaticamente. A opção Automático permite escolher entre estes dois modos de
operação: caso ela esteja marcada, a atribuição será automática, caso contrário, manual.
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades.
Desta forma é possível a existência de várias entidades compostas de nomes com as mesmas
letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker,
AKER e aker são consideradas diferentes.
Para executar qualquer operação sobre uma entrada da lista, deve-se clicar sobre ela com o
botão direito e a seguir escolher a opção desejada no menu que será mostrado. As seguintes
opções estão disponíveis:
Duplicar: Criar uma nova entrada na lista, idêntica à entrada selecionada, sendo indicada para
criar vários tipos com a mesma descrição;
Acumuladores são entidades usadas nas regras de filtragem com o objetivo de coletar
estatísticas sobre o tráfego de rede. Um mesmo acumulador pode ser utilizado em várias
regras de filtragem. O tráfego que encaixar em cada uma destas regras é sumarizado pelo
acumulador. A sua utilização está descrita nos capítulos: O Filtro de Estados e Visualizando
estatísticas.
Para cadastrar uma entidade do tipo acumulador deve-se preencher os seguintes campos:
Nome: É o nome pelo qual o acumulador será sempre referenciado pelo firewall. É possível
especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A
opção Automático permite escolher entre esses dois modos de operação: se ela estiver
marcada, a atribuição será automática caso contrário será manual.
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades.
Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas
letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker,
AKER e aker são consideradas diferentes.
Ícone: É o ícone que aparecerá associado ao acumulador em todas as referências. Para alterá-
lo, basta clicar sobre o desenho do ícone atual. O firewall então uma lista com todos os
possíveis ícones para representar interfaces será mostrada. Para escolher entre eles basta
® Aker Security Solutions
255
clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar
no botão Cancelar.
Após todos os campos estarem preenchidos, deve-se clicar no botão OK para realizar a
inclusão ou alteração do acumulador. Para cancelar as alterações realizadas ou a inclusão,
deve-se pressionar o botão Cancelar.
Canais são entidades usadas nas regras de filtragem com o objetivo de limitar a banda de
determinados serviços, máquinas, redes e/ou usuários. Seu uso está descrito no capítulo: O
Filtro de Estados.
Para cadastrar uma entidade do tipo Canal deve-se preencher os seguintes campos:
Nome: É o nome pelo qual o canal será sempre referenciado pelo firewall. É possível
especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A
opção Nome automático permite escolher entre estes dois modos de operação: caso ela
esteja marcada, a atribuição será automática, caso contrário, manual.
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades.
Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas
letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker,
AKER e aker são consideradas diferentes.
Largura de Banda: É um campo texto usado para designar a largura de banda (velocidade
máxima de transmissão em bits por segundo) deste Canal. Esta banda será compartilhada
entre todas as conexões que usarem este Canal. Deve ser escolhida a unidade de medida mais
conveniente.
Banda de upload: velocidade máxima de transmissão em bits por segundo definida para
realizar um upload.
Banda de download: velocidade máxima de transmissão em bits por segundo definida para
realizar um download.
Buffer: É um campo texto usado para designar o tamanho do buffer (espaço temporário de
dados utilizado para armazenar pacotes que serão transmitidos) utilizado por este Canal.
Deve ser escolhida a unidade de medida. É possível especificar este tamanho manualmente
ou deixar que ele seja atribuído automaticamente.
A opção Automático permite escolher entre estes dois modos de operação: se ela estiver
marcada, a atribuição será automática, senão manual.
Após todos os campos estarem preenchidos, deve-se clicar no botão OK para realizar a
inclusão ou alteração do Canal. Para que as alterações e as inclusões sejam canceladas deve-
se pressionar o botão Cancelar.
Para facilitar a inclusão de vários Canais seguidamente, existe um botão chamado Nova (que
não estará habilitado durante uma edição). Ao clicar este botão fará com que os dados do
canal que foram preenchidos sejam incluídos e mantida aberta a janela de inclusão de canais
onde estará pronta para uma nova inclusão. Desta forma é possível cadastrar rapidamente
um grande número de canais.
O Aker Firewall suporta modificações de valores DSCP (Differentiated Services Code Point).
Alterar Valores DiffServ DS: Esta opção permite que o usuário defina a prioridade dos valores
DiffServ DS.
A utilização da Interface Texto (via SSH) na configuração das entidades é bastante simples e
possui praticamente todos os recursos da Interface Remota (E possível usar todos os
Sintaxe:
fwent mostra
<base_dn><act_class><usr_attr><grp_attr>
<<pwd_attr>|<-bind> >< <-ssl>|<-tls>|<-nenhuma>>
< <-no_pwd>|<-pwd> > <t.cache>
< <-append_dn> | <-no_append_dn> >
< <-ldap_v3> | <-no_ldap_v3> >
< <-case_sensitive> | <-case_insensitive> >
fwent inclui radius <nome> <IP1> <porta1> [ <IP2> <porta2> ] <senha> <t.cache>
fwent inclui anti-virus <nome> <IP1> [<IP2>] [<IP3>] <senha>
fwent inclui ids <nome> <IP1> [<IP2>] [<IP3>] <senha>
fwent inclui spam-meter <nome> < <local> | <IP1> [<IP2> [<IP3> <senha> >
fwent inclui analisador-url <nome> <IP1> [<IP2>] [<IP3>] <senha>
fwent inclui interface <nome> <dispositivo> [<comentario>]
fwent inclui acumulador <nome> [<comentario>]
fwent inclui servico <nome> [TCP | UDP | ICMP | OUTRO] <valor>[..<valor>
fwent inclui ca <nome> <Arquivo com certificado root> <URL com CRLs>:
® Aker Security Solutions
259
fwent inclui pipe <nome> <banda em Kbits/s> [<tamanho da fila> <bytes|pacts>]
fwent inclui log_remoto <nome> <IP> [IP] [IP] <senha>
fwent inclui quota <nome> [ kbytes <max kbytes> ] [ segundos <max seconds> ] <tipo>
fwent - Interface Texto (via SSH) para configuração das entidades
Ajuda do programa:
(NOTA: Somente podem fazer parte de um conjunto entidades do tipo máquina ou rede)
#fwent mostra
Máquinas:
---------
cache 10.4.1.12
firewall 10.4.1.11
Redes:
------
AKER 10.4.1.0 255.255.255.0
Internet 0.0.0.0 0.0.0.0
Conjuntos:
----------
Máquinas Internas cache firewall
Autenticadores:
---------------
Autenticador NT 10.0.0.1 10.0.0.2 600
Unix 192.168.0.1 192.168.0.2 192.168.0.3 600
Autenticadores do tipo token:
-----------------------------
Autenticador token 10.0.0.1 10.0.0.2 600
Agentes IDS:
------------
Agente IDS 10.10.0.1
Entidade incluída
Exemplo 3:(cadastrando uma entidade do tipo rede)
Exemplo 8: (incluindo uma entidade do tipo autenticador token, utilizando uma máquina
primária e uma secundária, como backup)
1 - A primeira janela a seguir é uma breve explicação dos procedimentos a serem realizados:
Este capítulo mostra como configurar as regras que propiciarão a aceitação ou não de
conexões pelo firewall. Este módulo é o mais importante do sistema e é onde normalmente se
gasta o maior tempo de configuração.
Um filtro de pacotes é o módulo que irá decidir se um determinado pacote poderá passar por
meio do firewall ou não. Deixar um pacote passar, implica em aceitar um determinado
serviço. Bloquear um pacote significa impedir que este serviço seja utilizado.
Para que seja decidido qual ação a ser tomada para cada pacote que chega ao firewall, o filtro
de pacotes possui um conjunto de regras configurado pelo administrador do sistema. Para
cada pacote que chega, o filtro de pacotes percorre este conjunto de regras, na ordem em
que foi criado, verificando se este, encaixa em alguma das regras. Se ele se encaixar em uma
regra então a ação definida para ela será executada. Caso o filtro termine a pesquisa de todas
as regras e o pacote não se encaixe em nenhuma delas então a ação padrão será executada.
Vamos analisar como isso permite a solução de diversos problemas apresentados pelos filtros
de pacotes tradicionais.
Para usar um serviço UDP, a máquina cliente inicialmente escolhe um número de porta (que
é variável cada vez que o serviço for utilizado) e envia um pacote para a porta da máquina
servidora correspondente ao serviço (porta na máquina servidora é fixa). A máquina
servidora, ao receber a requisição, responde com um ou mais pacotes para a porta da
máquina cliente. Para que a comunicação seja efetiva o firewall deve permitir a passagem dos
pacotes de solicitação do serviço e de resposta. O problema é que o protocolo UDP não é
orientado à conexão, isto significa que se um determinado pacote for observado
isoladamente, fora de um contexto, não pode saber se ele é uma requisição ou uma resposta
de um serviço.
Nos filtros de pacotes tradicionais; como o administrador não pode saber inicialmente, qual
a porta será escolhida pela máquina cliente para acessar um determinado serviço, ele pode
ou bloquear todo o tráfego UDP ou permitir a passagem de pacotes para todas as possíveis
portas. Ambas as abordagens possuem alguns problemas.
O FTP é um dos protocolos mais populares da Internet, porém é um dos mais complexos de
ser tratado por um firewall. Vamos analisar seu funcionamento:
Para acessar o serviço FTP, inicialmente a máquina cliente abre uma conexão TCP para a
máquina servidora na porta 21. (a porta usada pelo cliente é variável). Esta conexão é
chamada de conexão de controle. A partir daí, para cada arquivo transferido ou para cada
listagem de diretório, uma nova conexão for estabelecida, chamada de conexão de dados.
Esta conexão de dados pode ser estabelecida de duas maneiras distintas:
1. O servidor pode iniciar a conexão a partir da porta 20 em direção a uma porta variável,
informada pelo cliente pela conexão de controle (este é chamado de FTP ativo)
2. O cliente pode abrir a conexão a partir de uma porta variável para outra porta variável do
servidor, informada para o cliente por meio da conexão de controle (este é chamado de
FTP passivo).
O Aker Firewall tem a capacidade de vasculhar o tráfego da conexão de controle FTP e desta
forma descobrir qual o tipo de transferência que será utilizada (ativa ou passiva) e quais
portas serão usadas para estabelecer as conexões de dados. Desta forma, todas as vezes que
o filtro de pacotes determinar que uma transferência de arquivos seja realizada, ele
acrescenta uma entrada na tabela de estados de modo a permitir que a conexão de dados
seja estabelecida. Esta entrada só fica ativa enquanto a transferência estiver se realizando e
caso a conexão de controle esteja aberta, propiciando o máximo de flexibilidade e segurança.
Neste caso, para configurar o acesso FTP deve-se acrescentar uma regra liberando o acesso
para a porta da conexão de controle (porta 21). Todo o resto será realizado automaticamente.
O protocolo Real Áudio é o mais popular protocolo de transferência de som e vídeo em tempo
real por meio da Internet.
Para que seja possível uma transmissão de áudio ou vídeo é necessário que o cliente
estabeleça uma conexão TCP para o servidor de Real Áudio. Além desta conexão, para
conseguir uma melhor qualidade de som, o servidor pode abrir uma conexão UDP para o
cliente, para uma porta randômica informada em tempo real pelo cliente, e o cliente também
pode abrir outra conexão UDP para o servidor, também em uma porta randômica informada
pelo servidor no decorrer da conexão.
O filtro de estados do Aker Firewall acompanha toda a negociação do servidor Real Áudio com
o cliente de modo a determinar se as conexões UDP serão abertas e quais portas serão usadas
acrescentando esta informação em uma entrada na sua tabela de estados. Esta entrada na
tabela de estados só fica ativa enquanto a conexão de controle TCP estiver aberta,
propiciando o máximo de segurança.
O protocolo Real Vídeo é suportado pelo firewall. Assim como o Real Áudio, as transações são
controladas pelo firewall, permitindo uma total segurança do uso de aplicações de Real Vídeo.
Existem vários critérios possíveis para realizar filtragem de pacotes. A filtragem de endereços
pode ser considerada a mais simples de todas, pois ela consiste em fazer uma comparação
entre os endereços dos pacotes e os endereços das regras. Caso os endereços sejam iguais, o
pacote é aprovado. Esta comparação é realizada da seguinte forma:
Vamos agora aplicar a regra a um pacote que trafega da máquina 10.1.1.2 para a máquina
10.3.7.7. Aplica-se a máscara da regra aos dois endereços, o da regra e o do pacote e verifica
se os endereços de destino e o de origem são iguais.
Temos então que os dois endereços origem são iguais após a aplicação da máscara. Veremos
agora para o endereço destino:
Como o endereço destino do pacote não está igual ao endereço destino da regra após a
aplicação da máscara, por definição, esta regra não se aplicaria a este pacote.
Esta operação é realizada em toda a lista de endereços e máscaras destino e origem até o fim
da lista, ou até uma das regras aplicar para o pacote examinado. Uma lista de regras teria a
seguinte forma:
Além dos endereços origem e destino, cada pacote IP possui um protocolo e um serviço
associado. Esta combinação de serviço mais protocolo pode ser utilizado como mais um
critério de filtragem.
Os serviços no protocolo TCP, por exemplo, estão sempre associados a uma porta (para
maiores informações, veja o capítulo intitulado Cadastrando Entidades). Assim, pode-se
também associar uma lista de portas aos endereços.
Pegaremos como exemplo dois serviços conhecidos, o POP3 e o HTTP. O POP3 está associado
à porta 110 do servidor e o HTTP está associado à porta 80. Assim, iremos acrescentar estas
portas no formato da regra. Teremos então:
Esta regra autoriza todo pacote que vai da rede 10.1.x.x para a rede 10.2.x.x e que utiliza os
serviços HTTP ou POP3 a trafegar pelo firewall.
Assim, em uma primeira etapa compara-se os endereços da regra com os do pacote. Caso
estes endereços sejam iguais após a aplicação das máscaras, passa-se a comparar o protocolo
e a porta destino no pacote com o protocolo e a lista de portas associados à regra. Se o
protocolo for o mesmo e se for encontrada uma porta da regra igual à porta do pacote, esta
regra por definição se aplica ao pacote, caso contrário à pesquisa continua na próxima regra.
Configurar as regras de filtragem no Aker Firewall é algo muito fácil em função de sua
concepção inteligente. Toda a parte de endereços IP, máscaras, protocolos, portas são
interfaces e são configuradas nas entidades (para maiores informações, veja o capítulo
intitulado Cadastrando Entidades). Com isso, ao configurar uma regra não é necessário
preocupar com qual porta um determinado serviço utiliza ou qual o endereço IP de uma rede.
Tudo isso já foi previamente cadastrado. Para facilitar ainda mais, todos os serviços mais
utilizados na Internet já vêm previamente configurado de fábrica, não havendo a necessidade
de gastar tempo pesquisando os dados de cada um.
O funcionamento do filtro é simples: o firewall irá pesquisar uma a uma as regras definidas
pelo administrador, na ordem especificada, até que o pacote se encaixe em uma delas. A
partir deste momento, ele irá executar a ação associada à regra, que pode ser aceita, rejeitada
ou descartada (estes valores serão explicados no próximo tópico). Caso a pesquisa chegue ao
final da lista e o pacote não se enquadre em nenhuma regra então este será descartado (é
possível configurar ações para serem executadas neste caso). Isto será tratado no capítulo
intitulado: Configurando as ações do sistema.
O botão OK fará com que o conjunto de regras seja atualizado e passe a funcionar
imediatamente.
O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela seja
fechada.
O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a janela
aberta
Quando se clica sobre uma regra que tenha algum comentário, este aparecerá na parte
inferior da janela.
Para executar qualquer operação sobre uma determinada regra, deve-se clicar com o botão
direito do mouse sobre o campo que queira alterar. Aparecerá um menu com as opções de
entidades referentes ao campo, como na figura abaixo:
Inserir: Incluir uma nova regra na lista. A nova regra será incluída abaixo da regra existente.
Copiar: Copiar a regra selecionada.
Colar: Cola a regra copiada.
Dica: A posição de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a
nova posição desejada, soltando em seguida.
Política Padrão: pode-se definir uma nova política, clicando no botão "Política" na barra de
ferramentas do Firewall. É possível editar um nome e uma cor para cada política, inclusive a
padrão.
Para adicionar uma entidade a um destes campos, pode-se proceder de duas formas:
1. Selecionar a entidade a ser incluída, clicando sobre ela na tabela de entidades, e a arraste
para o campo correspondente. As teclas Insert e Delete podem inserir e remover as
entidades respectivamente.
2. Clicar com o botão direito do mouse sobre o campo onde se deseja adicionar as entidades,
será exibida uma lista das entidades pertinentes ao campo selecionado, bem como que
tipo de ação se deseja aplicar sobre as mesmas.
Para remover uma entidade de um destes campos, deve-se proceder da seguinte forma:
1. Clicar com o botão direito do mouse sobre o campo onde se encontra a entidade que se
deseja remover e será exibida uma lista das entidades participantes do campo com a
opção de remoção das entidades.
2. Pode-se utilizar a opção Remover Entidade para eliminar várias entidades de uma vez.
Parâmetros da regra:
Além das especificações básicas de uma regra, entidades de origem, entidades de destino e
serviços, deve-se levar em conta outros parâmetros de configuração:
Acumulador: Define qual o acumulador para os pacotes da regra. A opção nenhum desativa
a contabilização dos pacotes que se encaixem nesta regra. Se for escolhido um acumulador,
serão adicionados a ele a quantidade de bytes e pacotes encaixados nesta regra.
® Aker Security Solutions
280
Canal: Define o canal que será utilizado para controlar a banda para a regra. A opção nenhum
desativa a utilização de controle de banda para esta regra.
Ação: Este campo define qual a ação a ser tomada para todos os pacotes que se encaixem
nesta regra. Ela consiste nas seguintes opções:
Aceita: Autorizar os pacotes, que encaixaram na regra, a passarem por meio do firewall.
Rejeita: Impedir a passagem pelo firewall, dos pacotes que se encaixaram nesta regra. Assim
será enviado um pacote ICMP para a máquina de origem do pacote dizendo que o destino é
inatingível. Esta opção não funciona para alguns tipos de serviço ICMP, devido a uma
característica inerente a este protocolo.
Descarta: Significa que os pacotes que se encaixarem nesta regra não passarão pelo firewall,
mas não será enviado nenhum pacote para a máquina de origem.
Log: Definir quais tipos de ações serão executadas pelo sistema quando um pacote se encaixar
na regra. Ele consiste em várias opções que podem ser selecionadas independentemente uma
das outras. Os valores possíveis são:
Logs: Se esta opção estiver selecionada, todos os pacotes que se enquadrarem nesta
regra serão registrados no log do sistema.
Envia e-mail: Se esta opção estiver selecionada, será enviado um e-mail todas as vezes
que um pacote enquadrar-se nesta regra (a configuração do endereço de e-mail será
mostrada no capítulo intitulado configurando as ações do sistema).
Enviar Trap SMNP: Se esta opção estiver selecionada, será enviada uma Trap SNMP
para cada pacote que enquadrar nesta regra (a configuração dos parâmetros para o
envio das traps será mostrada no capítulo intitulado configurando as ações do
sistema).
No caso do protocolo TCP, somente serão executadas as ações definidas na regra para o
pacote de abertura de conexão. No caso do protocolo UDP, todos os pacotes que forem
® Aker Security Solutions
281
enviados pela máquina cliente e se enquadrarem na regra (exceto os pacotes de resposta)
provocarão a execução das ações.
Tabela de horários: Definir as horas e dias da semana em que a regra será aplicável. As linhas
representam os dias da semana e as colunas representam as horas. Caso queira que a regra
seja aplicável em determinada hora o quadrado deve ser preenchido, caso contrário o
quadrado deve ser deixado em branco.
Para facilitar sua configuração, pode-se clicar com o botão esquerdo do mouse sobre um
quadrado e a seguir arrastá-lo, mantendo o botão pressionado. Isto faz com que a tabela seja
alterada na medida em que o mouse se move.
Período de validade: Permitir o cadastro de duas datas que delimitam um período fora do
qual a regra não tem validade. É um recurso muito útil para, por exemplo, liberar o tráfego
relacionado a um evento não recorrente, como um teste. Se o período ainda não tiver
começado ou estiver expirado, o número da regra será mostrado sobre um fundo vermelho.
Verificação de regras
O botão verificar faz a verificação da conexão com o Aker Control Center e a verificação das
regras eclipsadas. A primeira permite checar se existe alguma regra que impeça o usuário de
conectar-se no firewall que ele está atualmente configurando.
Obs.: Todas as regras que são verificadas, são regras que já existem ou seja, que já foram
definidas.
O administrador pode definir Qualidade de Serviço (QoS) diferenciada para cada tipo de regra.
No caso da figura abaixo, foi criado um canal de 10Mb - ADSL e aplicado nas regras 1 e 2. O
servidor "Correio_SMTP" possui prioridade no tráfego pois a prioridade para ele no canal está
como "Muito alto".
Para ajustes de prioridade de canal, deve-se clicar como o botão direito na entidade Canal e
escolher a prioridade pelo botão deslizando. Veja a figura abaixo:
Este recurso permite que o administrador do firewall faça um agrupamento de regras dentro
de um levantamento realizado dos fluxos que ocorrerem entre as suas sub redes.
Para exemplificar, suponha que o administrador possua um firewall colocado entre as redes
interna, DMZ e Internet, conforme esquema abaixo:
Pode-se verificar os possíveis fluxos de dados que poderão ocorrer entre essas redes. Para
cada fluxo foi dada uma numeração e com isso pode-se concluir que os fluxos com números
mais altos (5 e 6) serão considerados os mais inseguros, pois envolvem o acesso da internet
as redes DMZ e interna, respectivamente.
Estes fluxos para o firewall serão desdobrados em regras de filtragem, com isto poderiam ter
as seguintes regras:
Para criar novas “Políticas” deve-se clicar no ícone da barra de ferramentas "Política".
No caso de desabilitar uma política, todas as regras que ela contém também serão
desabilitadas.
A utilização da Interface Texto (via SSH) na configuração das regras de filtragem traz uma
dificuldade gerada pela grande quantidade de parâmetros que devem ser passados pela linha
de comando (E possível usar todos os comandos sem o prefixo “FW”, para isso execute o
comando “fwshell”, então os comandos poderão ser acessados sem o prefixo “FW”).
Não é possível configurar a tabela de horários nem especificar comentários para as regras
por meio da Interface Texto (via SSH). Também não é possível especificar mais de uma
entidade para origem ou destino da regra. Todas as regras acrescentadas por esta interface
são consideradas aplicáveis em todas as horas da semana.
Sintaxe:
Ajuda do programa:
Firewall Aker
fwrule - Configura tabela de regras do filtro de estados
Uso: fwrule [ajuda | mostra]
fwrule [habilita | desabilita | remove] <pos>
fwrule inclui <pos> <origem> <destino>
<aceita | rejeita | descarta>
[pipe <pipe> <peso>] [acumulador <acumulador>]
[loga] [mail] [trap] [programa] [alerta]
[encriptado | usuário ] [<servico> ...]
#/aker/bin/firewall/fwrule mostra
Regra 01
--------
Origem : Internet
Destino : firewall cache
Ação : Descarta
Log : Loga Trap Alerta
Serviços : todos_tcp todos_udp
todos_icmp
Regra 02
--------
Origem : cache firewall
Destino : Internet
Ação : Aceita
Log : Loga
Serviços : http ftp
Regra 03
--------
Origem : Internet
Regra 04
--------
Origem : Empresas externas
Destino : Aker
Ação : Aceita
Log : Loga
Serviços : smtp
#/aker/bin/firewall/fwrule remove 4
Regra 4 removida
As entidades Internet e Mail server, bem como o serviço SMTP devem ter sido previamente
cadastradas no sistema. Para maiores informações sobre como cadastrar entidades no Aker
Firewall, veja o capítulo Cadastrando Entidades.
O uso de "" ao redor do nome da entidade a ser incluída na regra é obrigatório quando este
contém espaços.
O assistente de regras pode ser acionado pelo menu ou pela barra de tarefas. Caso o número
de regras for muito pequeno o próprio assistente será acionado automaticamente.
Figura 217 - Assistente de regras filtragem (janela exibida quando um número pequeno de
regras for detectado.
Esta janela foi criada para organizar suas regras de Q.o.S, no Aker Firewall conhecida como
"canal/pipe". Ela permite que sejam visualizados em apenas uma janela, todas as suas regras
de PIPE, sem a necessidade de visualizar várias janelas separadas como as de Regras de
filtragem Geral e/ou Regras de Filtragem nos Perfis de Acesso.
Para facilitar sua configuração, pode-se clicar com o botão esquerdo do mouse sobre um
quadrado e arrastá-lo, mantendo o botão pressionado. Isto faz com que a tabela seja alterada
na medida em que o mouse se move.
Período de validade: Permitir o cadastro de duas datas que delimitam um período fora
do qual a regra não tem validade. É um recurso muito útil para, por exemplo, liberar o
tráfego relacionado a um evento não recorrente, como um teste. Se o período ainda não
tiver começado ou estiver expirado, o número da regra será mostrado sobre um fundo
vermelho.
Comentário: Inserir um comentário sobre a regra. Muito útil na documentação e
manutenção das informações sobre a utilidade da regra.
Qualquer rede que vai se ligar à Internet necessita de um conjunto de endereços IP atribuídos
por alguma autoridade designada para tal (no Brasil está distribuição é de responsabilidade
da FAPESP). Basicamente existem 3 conjuntos de endereços possíveis, os chamados classe A,
que possibilitam 16.777.214 máquinas dentro da rede, os “classe B”, que possibilitam 65.533
máquinas e os “classe C”, que possibilitam 254 máquinas.
Devido ao grande crescimento apresentado pela Internet nos últimos anos, não existem mais
endereços classe A e B disponíveis. Assim sendo, qualquer rede que venha a se conectar
receberá um endereço classe C que permite o endereçamento de apenas 254 máquinas. Caso
o número de máquinas seja maior do que isso, devem-se adquirir vários endereços classe C o
que dificulta o trabalho de administração, ou utilizar uma solução de conversão de endereços.
A conversão de endereços é uma tecnologia que permite que os endereços das máquinas da
rede interna sejam distribuídos livremente, utilizando endereços classe A. Assim continua a
permitir que todas as máquinas tenham acesso à internet de forma simultânea e transparente
à Internet.
O seu funcionamento é simples, todas as vezes que uma máquina com um endereço
reservado tenta acessar a Internet, o Firewall detecta e automaticamente traduz seu
endereço para um endereço válido. Quando a máquina de destino responde e envia dados
para o endereço válido, o Firewall converte de volta este endereço para o reservado e repassa
os dados para a máquina interna. Da forma que isso é feito, nem as máquinas clientes nem
as máquinas servidoras sabem da existência de tal mecanismo.
Outra vantagem, além da apresentada acima, é que com a conversão de endereços todas as
máquinas da sua rede interna ficam invisíveis para a rede externa, aumentando ainda mais o
nível de segurança da instalação.
As redes internas se constituem de todas as máquinas de uma ou mais sub-redes que estão
sendo protegidas pelo Aker Firewall. Isto inclui todos os dispositivos internos da rede, como
roteadores, switches, máquinas servidoras, máquinas clientes, etc. São os equipamentos que
guardam informações importantes da sua rede, ou são peças chaves para seu funcionamento.
As redes externas são formadas por todas as máquinas que não fazem parte da rede interna.
Elas podem estar ou não sob a responsabilidade administrativa de sua organização.
No caso de uma rede de uma organização se ligando à Internet, a rede externa seria toda à
Internet.
Apesar de tecnicamente possível, os endereços de suas redes internas não devem ser
escolhidos aleatoriamente. Existem alguns endereços reservados especificamente para este
fim. Estes endereços não podem ser atribuídos a nenhuma máquina ligada à Internet.
Existem três tipos diferentes de conversão de endereços: 1-1, N-1, 1-N e N-N. Cada um deles
possui características distintas e normalmente são utilizados em conjunto para conseguir
melhores resultados.
1-1
O tipo 1-1 é o mais intuitivo, porém normalmente o menos útil. Ele consiste em fazer
mapeamentos binários de um para um entre endereços reservados e endereços válidos.
Desta forma, máquinas distintas teriam endereços convertidos distintos.
A grande limitação desta forma de operação é que não é possível colocar um número de
máquinas maior que o número de endereços válidos, uma vez que são sempre convertidos
® Aker Security Solutions
308
na base de um para um. Em compensação, ela permite que máquinas com endereços
reservados possam ser acessadas externamente com endereços válidos.
N-1
A conversão de N-1, como o nome já diz, possibilita que várias máquinas com endereços
reservados utilizem um mesmo endereço válido. Para conseguir este objetivo, ela utiliza
endereços IP em combinação com portas (no caso dos protocolos TCP e UDP) ou com
números de sequência (no caso de ICMP). Este mapeamento é realizado dinamicamente
pelo firewall, cada vez que uma nova conexão for estabelecida. Como existem 65535
portas ou números de sequência distintos é possível à existência de até 65535 conexões
simultâneas ativas utilizando o mesmo endereço.
A única limitação desta tecnologia é que ela não permite que as máquinas internas sejam
acessadas externamente. Todas as conexões devem ser iniciadas internamente.
Quando se utiliza uma conversão de endereço (NAT) no Aker Firewall do tipo “N: 1”, além
da conversão dos endereços IP da rede interna para um único IP válido à Internet, também
é alterado a porta de origem da comunicação.
IP origem;
Porta origem;
IP destino;
Porta destino.
IP origem: 200.0.0.1
Porta origem: Qualquer porta entre 1024 e 65535
IP destino: 200.176.3.142
Porta destino: TCP 80 (HTTP)
A partir do Aker Firewall 6.1 Patch 3 ou superior este valor de “Porta origem” quando se
utiliza a conversão de endereço de “N: 1” varia entre os valores 8176 até 63487. Pode-se
alterar esta faixa de portas, conforme demonstrado abaixo:
Solução:
onde:
nat_init= 30720
nat_end=63472
1-N
N-N
Esta conversão permite que todos os endereços de uma rede sejam convertidos para os
endereços de uma rede virtual automaticamente.
O Aker Firewall permite que qualquer tipo de conversão seja realizada, não se limitando
apenas ao endereço válido da interface externa do firewall, mas sim dando total flexibilidade
ao administrador em utilizar qualquer endereço dentro da rede, inclusive fazendo a
conversão entre redes inválidas.
Suponhamos que uma determinada organização receba uma rede de endereços classe C, com
o formato A.B.C.0. Este é um endereço válido que suporta no máximo 254 máquinas (os
endereços A.B.C.0 e A.B.C.255 são reservados para fins específicos e não podem ser
utilizados, sobrando os valores de A.B.C.1 a A.B.C.254). Suponha ainda que esta rede possua
® Aker Security Solutions
310
1000 máquinas para serem conectadas. Em virtude da impossibilidade de alocar todas as
máquinas no endereço recebido, foi decidido pelo uso da conversão de endereços. Escolheu-
se então um endereço reservado classe A para ser colocado nas máquinas da rede interna, o
10.x.x.x com máscara 255.0.0.0.
O Aker Firewall irá ficar no limite da Internet com a rede interna, que possui endereços
reservados. Ele será o responsável pela conversão dos endereços reservados 10.x.x.x para os
endereços válidos A.B.C.x. Desta forma, o firewall deverá possuir pelo menos dois endereços:
um endereço válido, para que possa ser atingido pela Internet e um reservado, para que possa
ser atingido pela rede interna. (na maioria das instalações, colocam-se duas ou mais placas
de rede no firewall: uma para a rede externa e uma ou mais para a rede interna. Entretanto
é possível, porém não recomendado, fazer esta mesma configuração com apenas uma placa
de rede, atribuindo um endereço válido e um reservado para a mesma placa).
Supondo que seja escolhido o endereço A.B.C.2 para o segmento válido e o 10.0.0.2 para o
segmento reservado. Este endereço válido será utilizado pelo firewall para converter todas as
conexões com origem na rede interna e destino na Internet. Externamente, todas as conexões
serão vistas como se partissem dele.
Outro exemplo seria a de uma organização que possua saídas para a Internet e três classes
de endereços válidos, neste caso o administrador tem a possibilidade de distribuir a
conversão de endereços entre essas três classes, obtendo muito mais flexibilidade na
configuração.
Voltando para o caso da nossa hipotética organização, suponha que em sua rede exista um
servidor WWW, com endereço 10.1.1.5, e que seja desejado que este servidor forneça
informações para a rede interna bem como para a Internet. Neste caso deve-se escolher um
endereço válido para que este possa ser utilizado pelos clientes externos para se conectarem
a este servidor. Suponha que o endereço escolhido tenha sido o A.B.C.10. Deve-se então
acrescentar uma regra de conversão 1-1, de modo a mapear o endereço A.B.C.10 para o
endereço interno 10.1.1.5. A partir deste momento, todos os acessos para A.B.C.10 serão
automaticamente mapeados novamente pelo firewall para 10.1.1.5.
Os endereços válidos escolhidos para realizar a conversão de 1-1 não podem ser atribuídos
a nenhuma máquina real. Desta forma, em nosso exemplo é possível a configuração de até
253 servidores na sua rede interna passíveis de serem acessados externamente (um dos 254
endereços válidos já é usado para que o firewall converta o tráfego de todas as máquinas
clientes).
A.B.C.10 - 10.1.1.1
A.B.C.30 - 10.2.1.1
Desenho do Exemplo 1
Interligando departamentos
Endereços da sub-rede 1:
10.1.x.x
Endereço do servidor: 10.1.1.1
Endereço dos clientes: 10.1.x.x
Endereços do roteador: Rede válida A.B.C.1 , Internet: x.x.x.x
Endereços da sub-rede 2:
Externamente: 10.1.0.2
Internamente:172.16.x.x
10.2.1.1 - 172.16.1.1
Externamente: 10.1.0.3
Internamente:172.16.x.x
10.3.1.1 - 172.16.1.1
Na tabela de roteamento para este tipo de instalação devemos inserir rotas para as sub-
redes 10.1.x.x, 10.2.x.x, 10.3.x.x.
Figura 228 - Exemplo 2 de configuração do Aker Firewall (múltiplas ligações com a Internet).
Desenho do Exemplo 2
Neste exemplo bem mais complexo, mostraremos como utilizar três ligações com a Internet
e duas redes internas, utilizando o conversor de endereços entre elas.
Endereços das placas: Placa 1: 10.0.0.2, Placa 2: 172.16.0.2, Placa 3: A.B.C.2, Placa 4: D.E.F.2,
Placa 5: G.H.I.2
Redes privadas: 10.0.0.0 e 172.16.0.0
Máscara das redes privadas: 255.255.0.0
Servidores da DMZ
Servidor Web - 10.0.0.10
Servidor SMTP - 10.0.0.25
Desenho do Exemplo 3
Com o Aker Firewall é possível realizar um balanceamento dos links para realizar um
aproveitamento mais otimizado dos links. O firewall possui mecanismos de verificação de
ativação dos links, sendo possível dividir o tráfego de forma inteligente pelos links ou desviar
totalmente o tráfego daquele que estiver fora do ar.
O administrador também poderá atribuir pesos às suas conexões, ou seja, as conexões mais
rápidas poderão ter um peso maior do que as conexões mais lentas, desta forma o firewall
dará preferência em enviar o tráfego para o link com maior peso.
O botão OK fará com que o conjunto de regras seja atualizado e passe a funcionar
imediatamente.
O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a janela
aberta
O botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela
seja fechada.
Existe uma barra para inclusão de comentários relativo à regra de conversão.
A opção Ativar NAT, se estiver marcada, fará com que o firewall passe a converter os
endereços de acordo com as regras cadastradas. Caso ela esteja desmarcada, nenhum
tipo de conversão de endereços será realizada.
A barra de rolagem do lado direito serve para visualizar as regras que não couberem na
janela.
Ao clicar sobre uma regra e selecioná-la, se ela possuir um comentário, este aparecerá na
parte inferior da janela.
A posição da regra pode ser alterada clicando e arrastando com o mouse para a nova
posição desejada.
Caso esteja utilizando Conversão 1-N ou Conversão de Serviços 1-N, então cada máquina
pertencente a esse campo terá um peso associado a ela, mostrado entre parênteses, à direita
do nome da entidade. Para alterar o peso de uma determinada máquina, ou seja, fazer com
que ela receba mais conexões que as demais, deve-se clicar com o botão direito sobre o nome
da entidade, na lista da direita, selecionar a opção Alterar peso e escolher o novo valor.
O campo Entidade Origem deve sempre conter os endereços internos (reservados ou não
válidos) das máquinas participantes da conversão, independentemente de seu tipo.
Destino: Este campo serve para especificar as entidades para as quais a conversão de
endereços será efetuada (no caso da conversão N-1) ou as máquinas que acessarão as
máquinas internas por meio do endereço contido no campo Entidade Virtual (para os demais
tipos de conversão). Ao criar várias regras com valores distintos nesse campo, faz com que
uma mesma máquina tenha seu endereço convertido em endereços distintos dependendo
do destino da comunicação.
O valor mais comum para esse campo é a especificação da entidade Internet como destino.
Isso fará com que a conversão de endereços selecionada na regra seja efetuada para todas as
máquinas externas.
Entidade Virtual: Neste campo deve-se configurar a entidade para a qual os endereços
internos serão convertidos ou para o qual as requisições externas devem ser direcionadas. A
entidade virtual deverá sempre ser uma entidade do tipo máquina.
Serviços: Este campo define quais os serviços que farão parte da regra, quando for utilizado
o tipo de conversão de Serviços, N-1 serviços ou 1-N com Serviços. A janela ficará desabilitada
para os demais tipos de conversão.
Serviço Virtual: Serviço que sofrerá a conversão, somente utilizado em Nat de porta.
Comentário: Reservado para colocar uma descrição sobre a regra. Muito útil na
documentação e manutenção das informações sobre sua utilidade.
O botão OK fará com que o conjunto de regras seja atualizado e passe a funcionar
imediatamente.
O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a janela
aberta
O botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela
seja fechada.
Nome: Neste campo dever ser informado um nome para representar o link de acesso à
Internet.
Tipo: Este campo informa qual o tipo da configuração e pode assumir dentre dois valores
possíveis, "estático" ou "dinâmico".
Quando o link for estático é obrigatório cadastrar uma entidade de rede e uma entidade
de máquina (gateway) sendo, neste, caso não permitido o cadastro de entidade de interface
de rede. Quando o link for dinâmico, a situação se inverte, sendo o usuário obrigado a
cadastrar uma entidade do tipo interface, sendo que o cadastro de entidades do tipo rede e
máquina (gateway) não são permitidos.
Interface: Esse campo é utilizado para o cadastro da entidade do tipo interface de rede, a qual
irá representar o link dinâmico.
Peso: Indica um valor a ser atribuído ao link. Quando os pesos são maiores pressupõe que os
links sejam mais rápidos.
Checar host 1: Nesse campo deve ser cadastrada uma entidade que tenha certeza que esteja
logo a seguir do roteador da operadora, de preferência dentro de um ou dois saltos de seu
roteador. Esta entidade será utilizada pelo firewall para determinar se o link está no ar ou
não. Pode ser cadastrado um servidor DNS da operadora ou mesmo roteadores próximos.
Checar host 2 e Checar host 3: Entidades de verificação também utilizadas pelo firewall. Não
é obrigatório que estejam cadastradas as três entidades de verificação, contudo, quanto mais
entidades cadastradas melhor para o sistema de verificação do firewall.
Para executar qualquer operação sobre uma determinada regra, basta clicar com o botão
direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu será acionado sempre
que o botão direito for pressionado, mesmo que não exista nenhuma regra selecionada.
Neste caso, somente as opções Incluir e Colar estarão habilitadas).
Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova será inserida na posição da regra selecionada. Caso contrário, a nova
regra será incluída no final da lista.
Copiar: Copiar a regra selecionada para uma área temporária.
Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver selecionada, a
nova será copiada para a posição da regra selecionada. Caso contrário ela será copiada
para o final da lista.
Excluir: Remover da lista a regra selecionada.
Habilita/Desabilita: Permitir habilitar/desabilitar a regra selecionada, ou seja, ela
permanecerá cadastrada, mas o Firewall se comportará como se a mesma não existisse
(no caso do Disable) e prosseguirá a pesquisa na regra seguinte.
Adicionar entidades: No ponto em que for realizado o clique do mouse, será possível
inserir a entidade no campo correspondente da regra de conversão. Apenas certo número
de entidades poderá ser visualizado. Para escolher outra entidade faça a rolagem da janela
na barra correspondente.
Dica: O método mais prático para o administrador montar sua regra de conversão será
arrastando diretamente as entidades para dentro da regra.
Tipos de NAT: Neste campo é definido o tipo de conversão que a regra realizará. Ela possui
as seguintes opções:
Sem Conversão: Esta opção indica ao firewall que não deve haver conversão de endereços
quando qualquer uma das máquinas pertencentes às Entidades Origem for acessar
qualquer uma das máquinas pertencentes às Entidades Destino e vice-versa.
Conversão 1-1: Esta opção indica ao firewall que quando a máquina listada nas Entidades
Origem for acessar qualquer uma das máquinas pertencentes às Entidades Destino ela
terá seu endereço convertido para o endereço da Entidade Virtual. Todas as vezes que
uma máquina pertencente às Entidades Destino acessar o endereço da Entidade Virtual,
esse último será automaticamente convertido para o endereço real, definido pela
Nas Entidades Origem deve-se colocar uma entidade com o endereço real (interno,
reservado) da máquina para a qual se fará conversão de 1-1. Na Entidade Virtual deve-se
colocar uma entidade com o endereço para o qual o endereço interno será convertido
(endereço válido) e que será acessado pelas máquinas externas.
Conversão N-1: Esta opção indica ao firewall que quando qualquer máquina listada nas
Entidades Origem for acessar qualquer uma das máquinas pertencentes às Entidades
Destino ela terá seu endereço convertido para o endereço da Entidade Virtual. Este tipo
de conversão é útil para possibilitar que um grande número de máquinas utilize apenas
um endereço IP válido para se comunicar por meio da Internet, entretanto ela não permite
com que máquinas externas (listadas nas Entidades Destino) iniciem qualquer
comunicação com as máquinas internas (listadas nas Entidades Origem).
Conversão de Serviços: Esta opção é útil para redes que dispõem de apenas um endereço
IP e necessitam disponibilizar serviços para à Internet. Ela possibilita que determinados
serviços, ao serem acessados no firewall, sejam redirecionados para máquinas internas.
No campo Entidades Origem, deve-se colocar o endereço IP interno (real) da máquina para a
qual os serviços serão redirecionados. No campo Entidades Destino, deve-se colocar as
máquinas que irão acessar os serviços externamente. No campo Serviços, deve-se escolher
todos os serviços que serão redirecionados para a máquina presente em Entidades Origem
quando uma máquina presente nas Entidades Destino acessá-los no endereço IP da Entidade
Virtual.
Conversão 1-N: Esta opção é utilizada para fazer balanceamento de carga, ou seja,
possibilitar que várias máquinas respondam como se fossem uma única.
No campo Entidades Origem deve-se colocar a lista de máquinas que farão parte do
balanceamento e que passarão a responder como se fossem uma única. No campo
Entidades Destino, deve colocar as máquinas que irão acessar as máquinas internas pelo
endereço especificado na entidade presente no campo Entidade Virtual.
Conversão 1:N para serviços: Esta opção é utilizada para fazer balanceamento de carga
para determinados serviços, ou seja, possibilitar que várias máquinas respondam a
requisições destes serviços como se fosse uma única.
Porta: Para efetuar conversões não somente de endereços ip, mas também de portas para
conexão, utiliza-se este tipo de nat, que também é conhecido com PAT (port address
translation).
1:N para Porta: Faz balanceamento de servidores efetuando conversões não somente de
endereços ip, mas também as portas de conexão, sendo que após a conversão os acessos
são distribuídos entre os servidores que fazem parte do balanceamento.
Conversão N:N: Esta opção indica ao firewall que os endereços pertencentes à rede
listada nas Entidades Origem, ao acessar qualquer uma das máquinas pertencentes às
Entidades Destino, serão convertidos para os endereços da rede no campo Entidade
Virtual, ou seja, nesta conversão deve-se usar uma entidade de rede na coluna origem e
uma entidade de rede na coluna entidade virtual. O campo destino pode ser preenchido
da mesma maneira como é realizado para os demais tipos de NAT.
Além disso, as máscaras de rede da entidade de origem e da entidade virtual precisam ser
iguais para que o NAT funcione. Por exemplo:
IP Máscara de rede
Figura 236 - Máscaras de rede da entidade de origem e virtual devem ser iguais.
Nesse caso, todos os IPs da rede 192 serão convertidos para a 172.
Figura 237 - Configuração dos parâmetros de monitoramento a ser realizado pelo firewall.
O campo Tipo de monitoramento, permite definir o método utilizado pelo firewall para
verificar se as máquinas participantes do balanceamento (máquinas definidas no campo
Entidades Origem) estão no ar. Ela consiste das seguintes opções:
Sem monitoramento: Se essa opção for selecionada, o firewall não monitorará as máquinas
e assumirá que elas estão sempre ativas.
Pacotes Ping: Se essa opção for selecionada, o firewall monitorará as máquinas por meio de
pacotes ICMP de Echo Request e Echo Reply (que também são utilizados pelo comando PING,
daí o nome dessa opção).
Pedidos HTTP: Se essa opção for selecionada, o firewall monitorará as máquinas por meio de
requisições HTTP. Nesse caso, deve-se especificar a URL (sem o prefixo http://) que o firewall
tentará acessar em cada máquina para verificar se ela está ativa ou não.
Algoritmo de balanceamento de carga: Esse campo permite definir o método utilizado para
balancear as requisições entre as máquinas presentes no campo Entidades Origem. Ele
consiste das seguintes opções:
Persistência entre conexões: Esse campo permite definir o tempo de persistência da sessão
em protocolos ou aplicativos que utilizem mais de uma conexão em tempos diferentes, ou
seja, o tempo máximo de espera por uma nova conexão após o término da primeira. Neste
intervalo de tempo as novas conexões serão direcionadas pelo firewall ao mesmo servidor.
É necessária a inclusão de uma regra de Não Conversão com origem nas redes internas e
destino nas próprias redes internas caso se pretenda administrar o firewall por uma máquina
interna que participará de qualquer tipo de conversão. Essa regra deverá estar antes das
demais regras de conversão.
Suponha que uma empresa possua as máquinas e serviços abaixo e deseja implementar a
conversão de endereços. A empresa possui uma conexão dedicada com à Internet e seu
provedor distribuiu uma faixa de endereços IP válidos na Internet de 200.120.210.0 até
200.120.210.63.
Na regra 1 colocamos as redes internas da empresa (DMZ e Interna) em não tradução. Esta
regra possibilita que caso alguma máquina interna da rede for administrar o firewall o seu
endereço não é convertido e a administração seja possível. Estaria também correto em
Na regra 2 o servidor servidor web fará uma conversão de 1:1 para o endereço
200.120.210.15, ou seja, caso alguém da Internet procure pelo IP 200.120.210.15 será
enviado para o servidor web (IP 10.20.0.50). Do mesmo modo caso o servidor web origine
uma conexão para Internet o seu IP será 200.120.210.15.
Cabe ressaltar que a ordem das regras é de extrema importância. Vamos supor que a regra 2
seja movida para a última posição. Neste caso alguém que viesse procurando pela máquina
200.120.210.15 seria enviado para o sevidor web, entretanto quando o sevidor web fosse
originar uma conexão para à Internet o mesmo teria seu endereço convertido para
200.120.210.16, pois a regra da antiga posição 5 é que iria atender primeira a conversão.
Suponha agora que a empresa não possua uma faixa de endereços IP da Internet e sim um
Único IP válido. Neste caso é conveniente fazer a conversão de serviços. Com este tipo de
configuração poderá ser realizado um aproveitamento deste único IP para diversos tipos de
serviços. No caso o IP é o 200.120.210.15.
Na regra 3, alguém da Internet está procurando pela mesma máquina 200.120.210.15, porém
na porta do SMTP (25/TCP). O firewall irá mandar esta conexão para o endereço da entidade
Correio_SMTP.
Já a regra 4 possibilita que o servidor web da empresa seja acessado pela porta HTTP
(80/TCP).
Finalizando, a regra 6 permite que qualquer outra máquina origine conexão para Internet, no
caso sendo visualizado o IP 200.120.210.15 no destino.
Apesar de ser possível utilizar a conversão de serviços no caso do cenário 1, a Aker recomenda
que esta configuração seja utilizada no caso da empresa possuir somente um único endereço
IP válido para Internet.
Neste cenário será descrito como realizar o balanceamento de links. Suponha que a empresa
possua dois prestadores de conexão IP para Internet, por exemplo, Embratel e Intelig. No caso
cada operadora forneceu sua faixa de endereço IP para a empresa.
A segunda fase da montagem é bem simples, bastando colocar em cada regra de conversão
duas ou mais entidades virtuais, uma com endereço de cada prestador de serviço.
Uma limitação desta implementação é quanto à origem da conexão pela Internet. Os DNS
devem ter entradas duplas de IP e devem trabalhar em modo Round-Robin. O problema está
quando um link de determinada operadora cai, o firewall não tem como desviar as conexões
que são originadas pela Internet. Para contornar este problema o administrador poderia
utilizar de scripts para remover do DNS o IP da operadora que esteja fora do ar, pois o firewall
passa para o log de eventos desta informação.
Ajuda do programa:
(Pode ser um inteiro positivo ou a palavra FIM para incluir no final da tabela)
serviço 1 = lista de nomes dos serviços para a nova regra. São aceitos
apenas serviços dos protocolos TCP ou UDP
#/aker/bin/firewall/fwnat mostra
Parâmetros Globais:
-------------------
Regras de Conversão:
--------------------
Regra 02
--------
Tipo: serviços
Origem: Server
Destino: Internet
Entidade virtual: Firewall - interface externa
Serviços: MYSQL POP3 SMTP
Regra 03
--------
Tipo: 1-1
Origem: Web Server_001
Destino: Internet
Entidade virtual: External Web server
Regra 04
--------
Tipo: n-n
Origem: rede1
Destino: internet
Entidade Virtual: rede2
Regra 05
--------
Tipo: 1-n
Origem: server1, server2, server3
Destino: Internet
Entidade virtual: Virtual Server
Balanceamento: randômico Monitoramento: http
URL: www.aker.com.br
Regra 06
Exemplo 2: (Incluindo uma regra de conversão 1-1 no final da tabela. Mapeando o servidor
SMTP Server, com endereço reservado para o External Server, com endereço válido para
todas as máquinas da Internet).
#/aker/bin/firewall/fwnat inclui 1 Serviços "Server 2" Internet "External Server 2" Telnet FTP
Regra incluída na posição 1
#/aker/bin/firewall/fwnat remove 3
Regra 5 removida
O assistente de configuração NAT pode ser acionado tanto pela barra de ferramentas como
pelo menu. As janelas abaixo irão solicitar diversas informações de modo que a conversão
seja configurada.
1 - A janela inicial informa sobre o que é o NAT. Clique no botão Próximo para continuar com
a configuração.
Figura 243 - Seleção das redes que tem a necessidade de acessar à Internet compartilhando um endereço IP.
Figura 247 - Escolha do endereço IP utilizados por máquinas externas a ser utilizado no servidor.
Este capítulo mostra como configurar as regras que propiciarão a criação de canais seguros
de comunicação na Internet. Estes canais seguros são usados para interligar instituições pela
Internet de forma a permitir que os dados fluam entre elas sem o risco de serem lidos ou
alterados por estranhos.
Esta tradução pode ocorrer por muitos motivos, mas principalmente para que estações
utilizando endereçamento privado (RFC 1918) acessem à Internet. Dessa forma, se a estação
10.10.10.1 necessita acessar um servidor na internet, então será necessário traduzir o
endereço 10.10.10.1 para um endereço publicamente conhecido. Como os principais
protocolos de transporte (no caso, TCP e UDP) utilizam o conceito de multiplexação por meio
de portas de origem e destino, então podemos utilizar somente um endereço IP público para
traduzir vários endereços privados (NAT masquerade ou NAT Hide), utilizando portas
diferentes e armazenando todas estas informações em uma tabela de conexões.
Entretanto, o protocolo ESP (utilizado no IPSEC) não utiliza o mesmo conceito de portas
utilizado nos protocolos TCP e UDP e, portanto, não é possível fazer a tradução de endereço
e utilizar a informação de portas de origem e destino como forma de multiplexação das
conexões. Para que uma conexão VPN funcione quando existe um equipamento fazendo NAT
(Hide ou muitos-para-um) entre os pontos que estão estabelecendo a VPN é necessário que
haja um mecanismo para garantir que os pacotes serão traduzidos adequadamente, desde a
origem até o destino final. Este mecanismo é chamado de NAT Transversal.
Este recurso pode ser utilizado com conexões VPN do tipo gateway-to-gateway ou client-to-
gateway e deve ser verificado na documentação do equipamento se o mesmo suporta NAT
Transversal ou UDP Encapsulation (expressão também utilizada por alguns fabricantes).
Para desativar o uso do NAT Transversal no Aker Firewall é necessário iniciar o daemon
"fwiked" com a opção -T, ficando: "aker/bin/firewall/fwiked-T".
A Internet é uma rede mundial composta de milhares de máquinas espalhadas por todo o
mundo. Quando duas máquinas quaisquer estão se comunicando, todo o tráfego entre elas
passa por diversas outras máquinas (roteadores, switches, etc.) desde sua origem até seu
destino. Na quase totalidade das vezes, a administração destas máquinas intermediárias é
realizada por terceiros e nada se pode afirmar quanto a sua honestidade (na maioria das
vezes, não é nem possível saber antecipadamente por quais máquinas os pacotes passarão
até atingir seu destino).
Qualquer uma destas máquinas que estiver no caminho dos pacotes pode visualizar seu
conteúdo e/ou alterar qualquer um destes. Isto é um problema sério e sua importância é
aumentada ainda mais quando existe a necessidade de transmitir dados confidenciais e de
grande impacto.
Para resolver este problema, pode-se usar um canal seguro de dados. Um canal seguro de
dados pode ser visto como se fosse um túnel. De um lado são colocadas as informações que
só poderão ser lidas novamente após saírem do outro lado.
Na prática, o que é realizado é dar um tratamento especial aos dados a serem transmitidos
de modo que estes não possam ser alterados durante seu caminho (autenticação), nem
visualizados (criptografia). A combinação das duas técnicas produz dados invisíveis e
imutáveis para qualquer máquina que se encontre no caminho dos pacotes, da origem ao
destino.
O que é criptografia?
Ao manter um destes dois componentes secretos (no caso, a chave), torna impossível a
visualização dos dados por terceiros.
Quando a assinatura digital é gerada, ela passa a ser transmitida para o destino junto com os
dados. Caso estes tenham sofrido quaisquer alterações no caminho, o recipiente quando
calcular a assinatura digital dos dados recebidos e compará-la com a assinatura recebida irá
perceber que as duas são diferentes e concluir que os dados foram alterados.
Por meio do processo de autenticação descrito acima é possível garantir a origem das
mensagens em uma comunicação entre duas partes. Entretanto, para que isso seja possível é
necessário que as entidades que estão se comunicando já tenham previamente trocado
informações por meio de algum meio fora do tráfego normal dos dados. Esta troca de
informações normalmente consiste no algoritmo a ser utilizado para a autenticação e sua
chave.
O problema surge quando é necessário assegurar a origem das mensagens de uma entidade
com a qual nunca existiu comunicação prévia. A única forma de resolver este problema é
delegar a uma terceira entidade o poder de realizar estas autenticações (ou em termos mais
técnicos, realizar a certificação da origem de uma mensagem). Esta terceira entidade é
chamada de Entidade Certificadora e para que seja possível ela assegurar a origem de uma
mensagem, ela já deve ter realizado uma troca de informações com a entidade que está sendo
certificada.
Certificado digital é um documento fornecido pela Entidade Certificadora para cada uma das
entidades que irá realizar uma comunicação, de forma a garantir sua autenticidade.
Cabe comentar que um dos parâmetros para medir a resistência de um algoritmo é o tamanho
de suas chaves. Quanto maior o número de bits das chaves, maior o número de possíveis
combinações e, teoricamente, maior é a resistência do algoritmo contra ataques.
Algoritmos de autenticação:
MD5
SHA
SHA é a abreviatura de Secure Hash Algorithm. Ele é um algoritmo que gera assinaturas
digitais de 160 bits para mensagens de qualquer tamanho. Ele é considerado mais seguro
que o MD5, porém tem uma performance em média 50% inferior (na implementação do
Aker Firewall).
A versão implementada pelo Aker Firewall é o SHA-1, uma revisão no algoritmo inicial para
corrigir uma pequena falha. Entretanto ele será chamado sempre de SHA, tanto neste
manual quanto nas interfaces de administração.
DES
O algoritmo DES é um anagrama para Data Encription Standard, foi criado pela IBM na
década de 70 e foi adotado pelo governo americano como padrão até recentemente. Ele
é um algoritmo bastante rápido em implementações de hardware, porém não tão rápido
quando implementado em software. Suas chaves de criptografia possuem tamanho fixo
de 56 bits, número considerado pequeno para os padrões atuais. Devido a isso, deve-se
dar preferência a outros algoritmos em caso de aplicações críticas.
Este algoritmo consiste na aplicação do algoritmo DES três vezes, usando três chaves
distintas, sobre os mesmos dados. Isto equivale a se utilizar um algoritmo com chave de
112 bits, o que representa uma segurança extremamente maior do que a oferecida pelo
DES. O problema deste algoritmo é que ele é duas vezes mais lento que o DES (na
implementação utilizada no Aker Firewall).
AES
O algoritmo AES foi escolhido dentre muitos concorrentes pelo NIST para substituir o já
inseguro e ineficiente DES. AES é um anagrama para Advanced Encryption Standard. O
algoritmo escolhido em concurso foi o Rijndael, e ele utiliza 256 bits de chave, sendo ao
mesmo tempo muito mais seguro e rápido que o DES ou mesmo o 3DES.
O Aker Firewall trabalha com o AES utilizando chaves de 256 bits, o que garante um nível
altíssimo de segurança. Ele é a escolha recomendada.
Blowfish
O algoritmo Blowfish foi criado como uma possível substituição ao DES. Ele é um algoritmo
extremamente rápido (quando comparado com outros algoritmos de criptografia),
bastante seguro e pode trabalhar com vários tamanhos de chaves, de 40 a 438 bits.
O Aker Firewall trabalha com o Blowfish utilizando chaves de 128 ou 256 bits, o que
garante um nível altíssimo de segurança.
RSA
Um problema básico que ocorre quando se configura um canal seguro é como configurar as
chaves de autenticação e criptografia e como realizar trocas periódicas destas chaves.
É importante realizar trocas periódicas de chaves para diminuir a possibilidade de quebra das
mesmas por um atacante e para diminuir os danos causados caso ele consiga decifrar uma
das chaves. Suponha que um atacante consiga em seis meses quebrar as chaves usadas por
um algoritmo de criptografia (este tempo é totalmente hipotético, não tendo nenhuma
relação com situações reais). Se uma empresa usar as mesmas chaves, por exemplo, durante
1 ano, então um atacante conseguirá decifrar todo o tráfego nos últimos 6 meses desta
empresa. Em contrapartida, se as chaves forem trocadas diariamente, este mesmo atacante,
após 6 meses, conseguirá decifrar o tráfego do primeiro dia e terá mais 6 meses de trabalho
para decifrar o tráfego do segundo dia e assim por diante.
O Aker Firewall possui quatro métodos para trocas de chaves: IPSEC-IKE, AKER-CDP, SKIP e
manual:
Esta opção estará disponível apenas quando utilizar o conjunto completo de protocolos
IPSEC.
O IPSEC (IP Security) é um conjunto de protocolos padronizados (RFC 2401- RFC 2412)
desenvolvidos pela IETF. O IPSec oferece transferência segura de informações por meio
de rede IP pública ou privada. Uma conexão via IPSec envolve sempre 3 etapas:
AH - Authentication Header
ESP - Encapsulation Security Payload
IKE - Internet Key Exchange Protocol
SKIP é um anagrama para Simple Key Management for IP. Ele é basicamente um algoritmo
que permite que as trocas de chaves sejam realizadas de forma automática e com uma
frequência extremamente elevada, tornando inviável a quebra destas chaves. O
funcionamento do SKIP é complexo nossa abordagem ficará limitada a descrever seu
funcionamento.
Basicamente o SKIP trabalha com três níveis diferentes de chaves:
Os algoritmos utilizados para autenticar o pacote e encriptar a chave são definidos pelo
remetente e informados como parte do protocolo. Desta forma, não é necessário
configurar estes parâmetros no recipiente.
Neste caso, toda a configuração de chaves é realizada manualmente. Isto implica que
todas as vezes que uma chave for trocada, ambos os Firewalls participantes de um canal
seguro terão que ser reconfigurados simultaneamente.
O Aker Firewall possibilita a criação de dois tipos de canais seguros distintos, chamados de
Firewall-Firewall e Cliente-Firewall. Cada um destes tipos de canais possui objetivos e
limitações diferentes e normalmente são combinados para atingir o máximo de segurança e
flexibilidade.
Este tipo de canal seguro é o mais comum e é suportado pelo Aker Firewall desde sua
versão 1.31. Ele consiste na utilização de criptografia e autenticação entre dois firewalls,
interligados por meio da Internet ou de outro meio qualquer. Os pontos de entrada e
saída do canal são os dois firewalls, o que significa que toda a criptografia é realizada
transparentemente por eles e nenhum software adicional necessita ser instalado em
nenhuma máquina cliente.
A única limitação desta solução é que ela exige a presença de dois firewalls, um na entrada
de cada rede, para que o canal seguro possa ser criado.
Estes canais são suportados pelo Aker Firewall a partir da versão 3.10. Eles permitem com
que uma máquina cliente (Família Windows e Linux) estabeleça um canal seguro
diretamente com um Aker Firewall. Portanto é necessária à instalação de um programa,
chamado de Aker Client, em cada uma destas máquinas.
A principal vantagem desta tecnologia é possibilitar com que clientes acessem uma rede
coorporativa com total segurança e transparência (transparência na medida em que as
aplicações que estejam rodando na máquina com o cliente de criptografia instalado
desconhecem sua existência e continuam funcionando normalmente).
Apesar de ser bastante útil, esta tecnologia possui algumas desvantagens e limitações:
Para definirmos um canal seguro firewall-firewall deve-se escolher primeiro dois grupos de
máquinas que irão trocar informações entre si de forma segura. Estes grupos de máquinas
terão seus pacotes autenticados e, caso desejado, criptografados. É necessário que exista um
firewall nas duas extremidades do canal. Estes firewalls serão responsáveis por
autenticar/verificar e criptografar/desencriptar os dados a serem transmitidos e recebidos,
respectivamente.
O Aker Firewall suporta a existência de diversos canais seguros simultâneos, entre pontos
distintos. A união destes diversos canais produz uma lista, onde cada entrada define
completamente os parâmetros de um canal seguro. Cada uma destas entradas recebe o nome
de Associação de Segurança ou SA.
Uma última observação sobre canais de criptografia Firewall-firewall é que estes são
unidirecionais, ou seja, caso deseje configurar uma comunicação segura entre duas redes, A
e B, deve-se configurar dois canais diferentes: um canal com origem na rede A e destino na
rede B e outro com origem na rede B e destino na rede A. Os pacotes que forem enviados de
A para B seguirão a configuração do primeiro canal e os pacotes de B para A seguirão a
configuração do segundo. Isto será ilustrado com mais clareza nos exemplos abaixo:
Neste exemplo será mostrado como definir um canal seguro de comunicação entre duas
redes, por meio da Internet, usando dois Aker Firewalls. O canal será criado de forma com
que toda a comunicação entre estas duas redes seja segura. Como o algoritmo de
autenticação foi escolhido o MD5 e como algoritmo de criptografia, o DES.
Entidades:
Regra de criptografia 1:
Regra de criptografia 2:
Entidades:
Regra de criptografia 1:
Regra de criptografia 2:
Note que a regra 1 do Aker Firewall 1 é exatamente igual à regra 1 do Aker Firewall 2,
exceto no campo relativo ao sentido. O mesmo ocorre com as regras 2.
Neste exemplo o nosso canal seguro será definido apenas para um grupo de máquinas dentro
de cada uma das duas redes. Além disso, definiremos algoritmos diferentes para os fluxos
entre estes grupos.
Na prática, configurar algoritmos diferentes para os dois sentidos de um canal seguro pode
ser interessante quando as informações de um determinado sentido tiverem um valor maior
do que as do sentido oposto do fluxo. Neste caso, utiliza-se um algoritmo mais seguro no
sentido mais crítico.
Neste exemplo, vamos supor que as redes 1 e 2 possuam dois endereços classe B: A1.B1.0.0
e A2.B2.0.0, respectivamente.
Entidades:
Regra de criptografia 1:
Entidades:
Regra de criptografia 1:
Regra de criptografia 2:
Note que neste caso as regras aparecem colocadas em uma ordem diferente nos dois
firewalls: a regra 1 no Firewall 1 é igual à regra 2 do Firewall 2 (com os sentidos invertidos) e
a regra 2 no Firewall 1 é igual à regra 1 no Firewall 2 (novamente com os sentidos trocados).
Neste exemplo, a ordem das regras não faz diferença (observe, entretanto que em alguns
casos isto pode não ser verdade).
Certificados IPSEC
Os certificados IPSEC são certificados padrão X.509 utilizados pelo firewall para identificarem-
se junto a seus pares quando do estabelecimento dos canais criptográficos firewall-firewall
no padrão IPSEC (veja a seção Configurando túneis IPSEC, logo abaixo). Seu uso, entretanto,
não é obrigatório, já que é possível estabelecer canais IPSEC usando segredos compartilhados.
Para que um firewall aceite um certificado apresentado por outro, é preciso que ele possua
o certificado da Autoridade Certificadora que o emitiu.
Uma requisição é um formulário a ser preenchido com seus dados para que a autoridade
certificadora gere um certificado. Um certificado é uma carteira de identidade para autenticar
(reconhecer como o próprio) o seu proprietário. O Aker Firewall utilizará estes certificados
para autenticar frente a seus pares quando da negociação de um canal IPSEC. Desta forma
cada um dos dois Firewalls envolvidos num canal IPSEC tem que gerar seu próprio certificado.
O botão Inserir permite incluir uma nova requisição, podendo ser local ou remota, sendo
que as requisições e certificados locais ficam na janela "deste firewall" e certificados e
requisições remotas ficam na janela "outros firewalls".
O botão Copiar cópia o certificado/requisição selecionado.
O botão Colar cola da memória o certificado/requisição copiado.
O botão Excluir remove da lista o certificado/requisição selecionado.
O botão Importar permite que seja carregado um certificado que foi exportado.
O botão Exportar permite que salve o certificado selecionado.
O botão Submeter permite que carregue um certificado exportado ou carregue um
certificado de acordo com uma requisição selecionada (somente aparece quando
inserindo um novo certificado).
O botão Instalar fará com que a janela seja fechada e atualizada.
O botão Atualizar recarregada as informações de certificados.
Para gerar um certificado é necessário que primeiro gere uma requisição no Aker Firewall,
com esta requisição faça um pedido a uma autoridade certificadora para gerar o certificado
e depois importe o certificado para o Aker Firewall.
Desta maneira, a operação deve se dar da seguinte forma (para o certificado local):
Domínio (CN): É o identificador principal do dono da requisição. Este campo deve ser
preenchido com common name.
Tamanho da chave: Se o certificado for local com criação de nova chave ou remoto, este
campo conterá o comprimento da chave em bits. Caso contrário (certificado local
adicional) ele não poderá ser modificado, uma vez que a chave que já existe será utilizada.
O botão OK fará com que o conjunto de fluxos seja atualizado e passe a funcionar
imediatamente.
O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela
seja fechada.
O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a janela
aberta
A barra de rolagem do lado direito serve para visualizar os fluxos que não couberem na
janela.
Ao clicar sobre um fluxo e selecioná-lo, se ele possuir um comentário, este aparecerá na
parte inferior da janela.
Dica: A posição de cada regra pode ser alterada, bastando-se clicar e arrastar a mesma para
a nova posição desejada, soltando em seguida. Observe que o cursor de indicação do mouse
irá mudar para uma mão segurando um bastão.
Para executar qualquer operação sobre um determinado fluxo, basta clicar com o botão
direito do mouse sobre ele. Aparecerá o seguinte menu: (este menu será acionado sempre
que pressionar o botão direito, mesmo que não exista nenhum fluxo selecionado. Neste caso,
somente as opções Inserir e Copiar estarão habilitadas).
Inserir: Esta opção permite incluir um novo fluxo na lista. Se algum fluxo estiver
selecionado, o novo será inserido na posição do fluxo selecionado. Caso contrário, o novo
fluxo será incluído no final da lista.
Copiar: Esta opção cópia o fluxo selecionado para uma área temporária.
Colar: Esta opção cópia o fluxo da área temporária para a lista. Se um fluxo estiver
selecionado, o novo será copiado para a posição do fluxo selecionado. Caso contrário ele
será copiado para o final da lista.
Excluir: Esta opção apaga o fluxo selecionado.
Habilitar/Desabilitar: Esta opção permite desabilitar o fluxo selecionado.
Dica: Todas estas opções podem ser executadas a partir da barra de ferramentas localizada
na parte superior da janela. Neste caso, primeiro seleciona-se o fluxo, clicando-o com o botão
esquerdo, e em seguida clica-se na opção desejada.
Caso queira incluir ou editar fluxos, pode-se fazer de duas formas: As entidades envolvidas
podem ser arrastadas para o fluxo que vão participar ou clicando com o botão direito do
mouse sobre o campo desejado, neste caso será dada a opção de inserir, apagar ou editar
entidades como mostrado a seguir:
Túneis IPSEC servem para criar uma VPN entre duas redes. A palavra túnel é utilizada para
diferenciar das VPNs comuns, pois efetivamente cria um canal virtual entre os firewalls
envolvidos, possibilitando, por exemplo, que redes com endereços inválidos se comuniquem
de maneira segura por meio da Internet.
Para configurar canais IPSEC, deve-se selecionar a opção IPSEC, na janela Firewall-Firewall.
Isto provocará a alteração da janela de forma a mostrar os campos necessários para esta
configuração.
Direção: Define em que sentido o fluxo será aplicado. Só existem duas opções
possíveis: ou o pacote está sendo criptografado (encriptação) ou o pacote está sendo
desencriptado (decriptação). (para maiores detalhes, veja o tópico intitulado
Planejando a instalação).
Gateway Remoto: Define a entidade do tipo máquina que será o gateway remoto, ou
seja, na outra ponta do túnel IPSEC, é possível definir até três gateways remotos, desta
forma criasse uma redundância de link para estes túneis, ou seja, caso o link do
primeiro gateway remoto estiver inoperante será estabelecido o túnel por meio do
Cada um dos dois firewalls envolvidos no túnel precisa ter certeza da identidade do outro, de
forma a evitar ataques de falsificação. Para isso, há dois modos selecionáveis:
Segredo Compartilhado: Uma sequência de caracteres que funciona como uma senha
e deve ser igual de cada um dos lados do túnel.
Certificado local a apresentar para a outra ponta do túnel (Remote Gateway) e dado
de identificação exigido do firewall remoto. Este dado será um endereço de e-mail
para certificados criados com a opção USER- FQDN e nome de uma máquina (Fully
Qualified Domain Dame), se a opção for FQDN.
Avançado
A janela de avançado inclui uma escolha da ponta local do túnel, para os casos da rede de
passagem entre o firewall e o roteador ser inválida.
Modo
Principal: Ao escolher este modo de autenticação a negociação de chaves IKE será realizada
com uma velocidade de processamento mais lenta, mas de forma protegida, ou seja,
criptografada.
Agressivo: Ao escolher este modo de autenticação a negociação de chaves IKE NÃO será
realizada de forma protegida, oferecendo maior velocidade do que o “modo Principal”.
Ponta do túnel local: Nesta opção o usuário deve indicar qual o IP que irá responder pelos
pacotes de requisição de troca de chaves
Não é possível alterar o valor do campo “kBytes” para valores maiores que 0 e menores
que 100 para a Fase 1, e na Fase 2 não é possível alterar o valor do campo “kBytes” para
valores maiores que 0 e menores que 50.
Clicando no item Túneis IPSEC, dentro do menu Informações, a janela abaixo aparecerá.
Na janela acima, é possível visualizar quais SPIs IPSEC foram negociadas para cada um dos
túneis configurados, bastando para isso clicar sobre a regra correspondente. Se houver mais
de uma SPI, é porque o firewall negocia uma nova sempre antes de a anterior acabar, de
forma a nunca interromper o tráfego dentro da VPN. Descrição de cada coluna:
Ao clicar em "Bytes de lote Transferidos", pode-se ver um gráfico de uso dos túneis, que é
atualizado a cada cinco segundos. Ele mostra o tráfego agregado de todas as SPIs de cada
regra, permitindo verificar, em tempo real o uso efetivo de banda criptografada.
Para utilizar troca de chaves manual, deve-se selecionar a opção Manual, na janela
Firewall/Firewall. Isto provocará a alteração da janela de forma a mostrar os campos
necessários para esta configuração.
Os bytes perdidos que são apresentados nas abas “Visualização e Pacotes de Lotes
Perdidos” são contabilizados quando ocorre algum erro no pacote de criptografia. Pacotes
perdidos por causa da rede não são contabilizados nestas janelas.
Visando oferecer maior segurança e confiabilidade para as conexões de seus clientes, a Aker
Security Solutions traz uma nova funcionalidade: o VPN fail over.
Seu principal objetivo é realizar a verificação de links específicos, desta forma, é possível que
o administrador configure rotas seguras quando algum desses links ficar inativo. Além disso,
pode-se configurar uma VPN definindo se ela será ativa ou não quando o link em questão
estiver inativo, assim cria-se uma rota segura para ele e evita-se a perda de conectividade de
sua rede.
Primeiramente, o link desejado deve ser configurado no VPN fail over, que passará a ser
monitorado e terá regras de VPN definidas para quando o link selecionado ficar inativo. No
caso de inatividade, a regra de VPN será ativada e todo o tráfego que era realizado pelo link
será realizado pela VPN (também é possível configurar a regra para que a VPN fique
desabilitada quando o link estiver inativo). Ao restabelecer a conexão do link, a VPN será
desabilitada e o tráfego, realizado pelo seu link de origem, tudo de forma automatizada.
Figura 264 - Exemplo de funcionamento VPN Fail over "link ativado e VPN desativada"
Figura 265 - Figura 245 - Exemplo de funcionamento VPN Fail over "link inativo e VPN ativada"
Nessa aba, o usuário deve criar as regras de monitoramento que serão associadas à VPN. A
seguir, mais detalhes sobre as opções dessa aba:
Nome: neste campo, o usuário deve definir o nome da regra (esse nome será exibido na aba
VPN fail over para a associação de VPN).
Verificar máquina: neste campo, o usuário deve definir que IP (IP da máquina, firewall, ou
roteador) ficará responsável pela verificação do link, ou seja, um ponto de verificação que
informará se o link está ativo ou inativo.
Nessa aba, o usuário pode definir qual VPN será usada para o link desejado e que ação deverá
ser tomada.
Regra de VPN: aqui o usuário define que regra de VPN será usada na regra de monitoramento
selecionada. A configuração da VPN é realizada no menu “Criptografia”, opção
“Firewall/Firewall”.
Ação: neste campo, o usuário deve definir qual a ação a ser tomada quando o link em questão
se encontrar inativo, as opções são:
Habilitar VPN: ao selecionar esta opção, a VPN será ativada quando o link estiver inativo.
Desabilitar VPN: ao selecionar esta opção, a VPN será desativada quando o link estiver
inativo.
Por meio da Interface Texto (via SSH) é possível realizar todas as configurações mostradas
acima. A descrição de cada configuração distinta se encontra em um tópico separado (E
possível usar todos os comandos sem o prefixo “FW”, para isso execute o comando “fwshell”,
então os comandos poderão ser acessados sem o prefixo “FW”).
A Interface Texto (via SSH) de configuração dos certificados IPSEC é de uso simples e possui
as mesmas capacidades da Interface Remota.
Sintaxe:
Ajuda do programa:
Aker Firewall
certificados instalados
Carregando certificados
A Interface Texto (via SSH) de configuração dos certificados de criptografia é de uso simples
e possui as mesmas capacidades da Interface Remota.
Localização do programa:/aker/bin/firewall/fwcert
Sintaxe:
fwcert ajuda
fwcert mostra [local | ca | negociação | revogação]
fwcert carrega [local | ca] <arquivo> [-f]
fwcert carrega revogação <arquivo>
fwcert remove <código> [-f]
Ajuda do programa:
Aker Firewall
fwcert - Configura os certificados para criptografia
Uso: fwcert ajuda
fwcert mostra [local | ca | negociação | revogação]
fwcert carrega [local | ca] <arquivo> [-f]
fwcert carrega revogação <arquivo>
fwcert remove <código> [-f]
#/aker/bin/firewall/fwcert mostra ca
Nome: Aker Security Solutions
Código: 1
#/aker/bin/firewall/fwcert remove 2 -f
Entidade certificadora removida
Sintaxe:
Ajuda do programa:
Aker Firewall
fwcripto - Configura a tabela de autenticação e criptografia
Uso: fwcripto [mostra | ajuda]
fwcripto [habilita | desabilita | remove] <pos>
fwcripto inclui <pos> <origem> <destino> <envia | recebe>
ipsec <gateway> <ss <segredo> | cert <local> <remoto>>
fwcripto inclui <pos> <origem> <destino> <envia | recebe>
manual <spi> <MD5 | SHA> <chave autenticação> NENHUM
fwcripto inclui <pos> <origem> <destino> <envia | recebe>
manual <spi> <MD5 | SHA> <chave autenticação>
<DES | BFISH128 | BFISH256> <tamanho_iv> <chave criptografia>
fwcripto inclui <pos> <origem> <destino> <envia | recebe>
manual <spi> <MD5 | SHA> <chave autenticação>
Este comando permite o balanceamento de link, que utiliza um link dedicado ponto a ponto
e uma VPN, para manter uma conexão segura entre dois pontos, mesmo quando o link
dedicado cair.
Esta Interface Texto (via SSH) possui as mesmas capacidades da Interface Remota com a
exceção de que por meio dela não é possível atribuir comentários.
Localização do programa:/aker/bin/firewall/fwlinkred
Sintaxe:
Aker Firewall
Onde:
Este capítulo mostra como configurar o firewall e o Aker Client de modo a propiciar a criação
de canais seguros entre máquinas clientes e um Aker Firewall.
Para que seja possível o estabelecimento de canais seguros entre clientes e um firewall, é
necessário que a seguinte lista de condições seja atendida:
1. O Aker Client esteja instalado em todas as máquinas que estabelecerão canais seguros
com o firewall, no caso de utilizarem o Secure Roaming;
Ou
O botão OK fará com que a janela de configurações do Secure Roaming seja fechada e as
alterações efetuadas aplicadas;
O botão Cancelar fará com que a janela seja fechada porém as alterações efetuadas não
sejam aplicadas;
O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a janela
aberta.
Aba Geral
Número máximo de conexões simultâneas: Aqui você pode configurar o número máximo
de clientes conectados simultaneamente no Secure Roaming, L2TP ou PPTP em um
determinado tempo. Use esta opção para evitar com que o servidor tenha uma sobrecarga
por excesso de clientes, o que pode diminuir a performance.
O número não pode ser superior ao de sua licença. Se estiver em 0, nenhum cliente será
permitido.
Limite de conexões simultâneas: Indica o limite máximo de conexões permitido por sua
licença.
Cabe ressaltar que outros serviços podem estar utilizando a mesma porta do firewall como
por exemplo o “clientLess” o que causaria problemas de autenticação dos usuários
externos.
Para evitar este problema é recomendado que o usuário use a porta padrão ou use uma
porta que não esteja sendo utilizada pelo firewall.
Aba Acesso
1. Nenhum: Sem controle de acesso. Todo cliente tem permissão para conectar ao
servidor.
2. Permitir entidades listadas: Somente os endereços IP listados, ou endereços que
pertençam às entidades rede e/ou conjunto listados, poderão estabelecer
conexão.
3. Proibir entidades listadas: As entidades listadas, ou que pertençam a entidades
rede e/ou conjunto listados, não serão capazes de estabelecer conexões. As
demais entidades serão.
A figura a seguir mostra o menu pop-up com todas as opções listadas acima. Ele é
mostrado ao clicar com o botão direito do mouse em alguma entidade listada. No exemplo
da figura, a entidade clicada foi Host4:
Para adicionar ou remover uma entidade do Conjunto de endereços, basta proceder como na
Lista de controle de acesso.
As redes nesse campo definem um conjunto de endereços, não uma sub-rede no sentido de
roteamento IP. Isso quer dizer que, por exemplo, se a interface do firewall estiver na sub-rede
10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for incluída no Pool de endereços, o primeiro
endereço atribuível seria 10.0.0.1 e o último 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0,
a faixa iria de 10.1.0.0 a 10.1.0.255, incluindo-se ambos os extremos.
L2TP é uma extensão do PPP (Point-to-Point Protocol), unindo características de outros dois
protocolos proprietários: o L2F (Layer 2 Forwarding) da Cisco e o PPTP (Point-to-Point
Tunneling Protocol) da Microsoft. É um padrão da IETF (Internet Engineering Task Force), que
conta com a participação da Cisco e do PPTP fórum, entre outros líderes de mercado.
Permite o transporte de protocolos que não o IP, como o IPX (Internetwork Packet
Exchange, da Novell/Xerox) e o SNA, assim como outros protocolos dos terminais;
Mecanismo simples de tunelamento para implementar funcionalidades de LAN e IP
de forma transparente, possibilitando serviços de VPN IP de forma bastante simples;
Simplifica a interação entre as redes do cliente e do provedor;
Fácil configuração para o cliente.
Referências: Steven Brown, Implementing Virtual Private Networks, McGraw Hill, 1999.
Habilitar L2TP: Este campo habilita o servidor de L2TP no Aker Firewall e permite
configurar outros campos como:
A figura a seguir mostra o menu pop-up com todas as opções listadas acima. Ele é
mostrado ao clicar com o botão direito do mouse em alguma entidade listada. No exemplo
da figura, a entidade clicada foi Host4:
As redes nesse campo definem um conjunto de endereços, não uma sub-rede no sentido
de roteamento IP. Isso quer dizer que, por exemplo, se a interface do firewall estiver na sub-
rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for incluída no Pool de endereços, o
primeiro endereço atribuível seria 10.0.0.1 e o último 10.0.0.255. Se fosse a rede
10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a 10.1.0.255, incluindo-se ambos os extremos.
# fwl2tp ajuda
Firewall Aker
Uso: fwl2tp help
fwl2tp mostra
fwl2tp < habilita | desabilita >
fwl2tp ipsec ss < segredo >
fwl2tp ipsec cert < fqdn >
fwl2tp ipsec nenhum
fwl2tp dns_1 < dns_server >
os parâmetros são:
Windows 7 / XP
Na imagem acima, 192.168.0.100 é o endereço do Aker Firewall com servidor L2TP visível pelo
Cliente de VPN. Este endereço pode ser um nome, como firewall.empresa.com.br.
Na imagem acima, devem ser preenchidos o nome de usuário e senha que serão utilizados
para autenticar o cliente de VPN no Aker Firewall.
Após clicar em Close, será criada uma nova conexão, que precisa ser editada, no passo
seguinte. Não clique em Connect now.
Habilitar PPTP: Este campo habilita o servidor de PPTP no Aker Firewall e permite configurar
outros campos como:
A figura a seguir mostra o menu pop-up com todas as opções listadas acima. Ele é
mostrado ao clicar com o botão direito do mouse em alguma entidade listada. No exemplo
da figura, a entidade clicada foi Host4:
Aker Firewall
fwpptpsrv mostra
fwpptpsrv limpa
os parâmetros são:
clientes de VPN
Windows Vista / XP
No Windows Vista, crie uma nova conexão de VPN, no Network and Sharing Center. No
Windows XP, isso deve ser realizado na janela Network Connections. Um assistente para a
criação desta conexão aparecerá, e deve ser preenchido de acordo com as imagens abaixo:
Figura 285 - Configurando o Cliente PPTP para autenticação com PAP (Windows Vista/XP).
Na imagem acima, 192.168.0.100 é o endereço do AKER FIREWALL com servidor PPTP visível
pelo cliente de VPN. Este endereço pode ser um nome, como firewall.empresa.com.br.
Na imagem acima, devem ser preenchidos o nome de usuário e senha que serão utilizados
para autenticar o cliente de VPN no AKER FIREWALL.
Após clicar em Close, será criada uma nova conexão, que precisa ser editada, no passo
seguinte. Não clique em Connect now.
:
Configurando o servidor Radius Microsoft – IAS
Após cadastrar o(s) firewall(s), define-se as regras de acesso remoto (Remote Access Policies),
efetue suas configurações iguais às exibidas abaixo:
Também é necessário que no Microsoft Active Directorytm, selecione os usuários que podem
efetuar estas autenticações e permitam que VPN e Dial-in, vejam na janela abaixo:
Para suporte CHAP, é necessário alterar as políticas de segurança do Windows, de forma que
o mesmo salve as senhas com criptografia reversível e, após este passo, alterar as senhas dos
usuários. Mais informações neste link:
http://technet.microsoft.com/en-us/library/cc782191(WS.10).asp
O conjunto de protocolos IPSEC (em especial IKE e ESP) não foi projetado para o uso em modo
cliente-servidor. Por isso, diversas extensões na sua implementação original (RFC 2401 e
família) são necessárias para que o mesmo possa ser utilizado com esta finalidade.
Diferentemente do que ocorre com as VPNs L2TP/IPSEC e PPTP, não existe um padrão
devidamente normatizado para essas extensões necessárias ao funcionamento de VPNs IPSEC
modo túnel para clientes remotos. O que existe são uma série de propostas de RFCs (Internet
Drafts) que nunca foram aceitas pelo IETF, mas mesmo assim, são utilizadas largamente por
diversos fabricantes de equipamentos e clientes de VPN.
A seguir, explicamos os diversos problemas encontrados para estabelecer esse tipo de VPN e
indicamos as soluções encontradas, indicando as RFCs e drafts correspondentes, quando for
o caso.
A proposta mais aceita para extensão do IKE nesse sentido chama-se 1XAUTH, uma proposta
da Cisco cujo draft mais recente é o 2draft-beaulieu-ike-xauth-02, de outubro de 2001. Essa
proposta é largamente utilizada por diversos fabricantes e propõe estender o protocolo IKE
incluindo uma segunda etapa de autenticação entre as fases 1 e 2 tradicionais. Com isso, após
o estabelecimento de uma SA ISAKMP durante a fase 1, antes de estabelecer SAs de fase 2
(ESP), uma nova troca cifrada verifica as credenciais do usuário.
Um problema importante a ser resolvido nas VPNs IPSEC para clientes é a configuração de
rede do mesmo. Geralmente, uma interface virtual é criada no computador onde executa o
cliente de VPN e está interface recebe endereços e rotas da rede interna protegida pelo
gateway de VPNs. Para não precisar configurar cada um dos clientes com endereços IPs
estáticos e diferentes, é necessária uma solução que permita ao servidor de VPN informar ao
cliente quais configurações utilizar.
A proposta mais aceita para solucionar essa questão chama-se Mode Config3, também
produzida pela Cisco em outubro de 2001 e que tem como draft mais recente o draftdukes-
ike-mode-cfg-024. Essa proposta é também largamente utilizada por diversos fabricantes de
equipamento de VPN e propõe, do mesmo modo que o XAUTH, entre as fases 1 e 2, executar
uma série de perguntas e respostas entre o cliente e o servidor de criptografia, com o
propósito de configurar aquele a partir desse.
A proposta padronizada para este fim e o suporte padrão para DPD em qualquer túnel IPsec
que está descrita na RFC 3706 e consiste em permitir a ambos endpoints IPSEC enviar pacotes
de ping protegidos pela SA de fase 1 (ISAKMP) de acordo com sua necessidade. Esses pacotes
geralmente são enviados em intervalos bem mais curtos que a troca de chave, uma vez que
toda a transação de enviá-los, respondê-los e recebê-los tem um custo muito baixo.
O DPD (Dead peer detection - método de detecção Dead Internet Key exchange (IKE) Peer)
usa o tráfego IPSec para reduzir o número de mensagens IKE (Internal key Exchange) que
precisam confirmar sua existência. O DPD, como outros mecanismos keepalive, é necessário
para determinar quando se deve executar o IKE Peer Failover (para Dead Peers), e quando
recuperar recursos que foram perdidos.
O DPD do Aker Firewall possui intervalo de 60 segundos (DPD Interval), e seu número
máximo de retentativas é 5 (DPD Retries).
Habilitar Cliente IPSEC: Este campo habilita o servidor de IPSEC Client no Aker Firewall e
permite configurar outros campos como:
Lista de endereços que podem ser atribuídos a clientes - Conjunto de Endereços: Lista
de endereços que podem ser atribuídos a clientes remotamente conectados ao firewall.
Os endereços de máquinas listados e todos os endereços que compõem as redes e
conjuntos incluídos somam-se para definir o conjunto de endereços atribuíveis a clientes.
Notar que as entidades listadas devem estar conectadas a algum adaptador de rede
configurado no firewall. Caso contrário, não será possível estabelecer conexão com tal
entidade.
A figura a seguir mostra o menu pop-up com todas as opções listadas acima. Ele é
mostrado ao clicar com o botão direito do mouse em alguma entidade listada. No exemplo
da figura, a entidade clicada foi Host4:
Figura 303 - Lista de endereços que podem ser atribuídos aos clientes.
As redes nesse campo definem um conjunto de endereços, não uma sub-rede no sentido
de roteamento IP. Isso quer dizer que, por exemplo, se a interface do firewall estiver na sub-
rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for incluída no Pool de endereços, o
primeiro endereço atribuível seria 10.0.0.1 e o último 10.0.0.255. Se fosse a rede
10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a 10.1.0.255, incluindo-se ambos os extremos.
Lista de endereços que são redes protegidas – Redes Protegidas: Lista de endereços de
hosts ou redes protegidas pela VPN IPSEC, quando utilizado os clientes da VPN IPSEC Client
recebem rotas para alcançarem estes endereços sem alterar o default gateway da sua
estação. Quando deixar este campo em branco os clientes da VPN IPSEC Client recebem o
endereço IP do Aker Firewall como default gateway.
A figura a seguir mostra o menu pop-up com todas as opções listadas acima. Ele é
mostrado ao clicar com o botão direito do mouse em alguma entidade listada. No exemplo
da figura, a entidade clicada foi Host4:
As redes nesse campo definem um conjunto de endereços, não uma sub-rede no sentido
de roteamento IP. Isso quer dizer que, por exemplo, se a interface do firewall estiver na sub-
rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for incluída no Pool de endereços, o
primeiro endereço atribuível seria 10.0.0.1 e o último 10.0.0.255. Se fosse a rede
10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a 10.1.0.255, incluindo-se ambos os extremos.
Grupos: Este campo permite definir as opções de autenticação do IPSEC para os clientes:
Aker Firewall
fwipseccli mostra
os parâmetros são:
Configurando os Clientes
Shared Secret
Para a configuração deve ser preenchido os campos de acordo com as imagens abaixo:
Além disso, atenção ao fato que o iPhone exige que o "Hostname or IP Address for Server"
seja igual ao Subject Alternative Name do firewall, sob pena de recusar o certificado e
impedir a conexão.
A configuração do Portal VPN SSL e do Apple é bastante simples, uma vez que todos os
detalhes de funcionamento do portal e do applet são responsabilidade do firewall. Ao
administrador cabe definir nome do portal, qual o certificado será utilizado pelo firewall e etc.
Todas estas configurações são feitas na janela VPN SSL. Para acessá-la, deve-se:
Quando selecionada a opção Enable VPN SSL, os campos de edição das configurações do
portal e do applet são habilitados.
No portal web, o cliente se autentica no firewall e como resultado recebe o applet que
implementa o túnel SSL.
Título do Portal: Este campo informa o nome do portal. Possui um limite máximo de 64
caracteres e somente aceita texto simples.
Mostrar campo Domínio: Quando selecionada essa opção permite mostrar o campo domínio
no formulário de login do portal. A seleção desse campo é opcional.
Usar o protocolo SSLv2: Quando selecionada essa opção, opta por utilizar a versão 2 do
protocolo SSL. Ele não é utilizado por padrão devido à existência de um bug de segurança.
Forçar autenticação x.509: Esta opção permite forçar uma autenticação x.509, pois impede
que o usuário se autentique sem ser por meio do certificado digital.
Permitir que um usuário tenha acesso por diferentes IPs ao mesmo tempo: Esta opção
permite ao usuário se logar no portal a partir de um ou mais IPs diferentes simultaneamente.
Informação de logon: Esse campo permite incluir o texto que será apresentado no portal com
informações básicas sobre o seu funcionamento. Não possui tamanho definido e pode ser
escrito usando o formato HTML.
pop-up não aberto: Esse campo é informativo. Caso o applet apresente erro ao carregar, este
texto será mostrado ao usuário como resposta ao erro ocorrido.
Usar o logo customizado: Ao habilitar essa opção, permite ao usuário apresentar o seu
logotipo no applet.
Alterar arquivo: Este botão permite trocar o logotipo apresentado. Este botão apenas
aparece quando a opção Usar o logo customizado for selecionada.
Porta: Esta opção permite definir a porta na qual o applet vai se conectar no firewall para
fazer o túnel SSL.
Usando a applet: Este campo mostra informações gerais de utilização do applet. O texto não
pode ser em formato HTML e não possui tamanho definido.
Visualização: Nesta área podem ser visualizadas todas as configurações visuais aplicadas ao
applet, sendo incluso o título e os logotipos da Aker e do Cliente.
Cliente
O cliente necessita de um browser e do Java virtual Machine instalado para ter acesso, que é
realizado por meio da seguinte url: https:\\ IP do Firewall a ser acessado.
Para essa funcionalidade é necessário habilitar o “Filtro WEB” e marcar a opção “Forçar
Autenticação” na aba Geral.
Após o usuário aceitar os certificados, aparecerá uma tela de autenticação, onde usuário e
senha definirão qual o perfil de acesso e quais portas de comunicação terão permissão na
VPN.
Figura 324 – Mensagem que o assistente está pronto para realizar a instalação.
Figura 326 – Mensagem de instalação do Aker Authentication Agent foi instalado com sucesso.
Após a autenticação ser realizada com sucesso teremos o Applet rodando com as informações
que foram configuradas na sessão Applet que vimos há pouco:
O acesso aos serviços por meio da VPN é realizado por meio do IP:
127.0.0.1:<porta>
Este capítulo mostra para que serve e como configurar a Proxy SSL no Aker Firewall.
Um Proxy SSL é uma VPN cliente-firewall, realizada por meio do protocolo SSL, e que tem
como principal característica a utilização do suporte nativo a este protocolo que está presente
em várias aplicações: navegadores, leitores de e-mail, emuladores de terminal, etc. Devido
ao suporte nativo destas aplicações, não é necessária a instalação de nenhum cliente para o
estabelecimento da VPN.
Para utilizar um Proxy SSL em uma comunicação, é necessário executar uma sequência de 2
passos:
Criar um serviço que será interceptado pelo proxy SSL e edita-se os parâmetros do
contexto a ser usado por este serviço (para maiores informações, veja o capítulo
intitulado Cadastrando Entidades).
Acrescentar regras de filtragem de perfis SSL, permitindo o uso do serviço criado no
passo 1, para as redes ou máquinas desejadas (para maiores informações, veja o item
Configurando regras de Proxy SSL).
A janela de propriedades de um contexto SSL será mostrada quando a opção Proxy SSL for
selecionada. Por meio dela é possível definir o comportamento do proxy SSL quando este for
lidar com o serviço em questão.
Aba Geral
Porta do servidor: Este campo indica a porta que o servidor estará esperando receber a
conexão, em claro, para o serviço em questão.
Permitir autenticação de usuário: Este campo, se estiver marcado, indica que os usuários
podem se autenticar no estabelecimento dos Proxies SSL. Caso ele esteja desmarcado,
somente sessões anônimas serão autorizadas, o que implica na utilização do perfil de acesso
padrão sempre.
Forçar autenticação de usuário: Se este campo estiver marcado, não serão aceitas sessões
de Proxy SSL nas quais o usuário não tenha apresentado um certificado X.509 válido.
Conexão: Este campo indica o tempo máximo em segundos que o firewall aguardará pelo
estabelecimento da conexão com o servidor.
Autenticação SSL: Este campo indica o tempo máximo em segundos que o firewall aguardará
para que o cliente realize, com sucesso, uma autenticação SSL.
Avançado: Este botão permite o acesso a parâmetros de configuração que não são
normalmente utilizados.
São eles:
Permitir um usuário acessar de IPs diferentes ao mesmo tempo: Este campo, se estiver
marcado, permite que um mesmo usuário estabeleça sessões simultâneas a partir de
máquinas diferentes. Caso esteja desmarcado, se um usuário já possuir uma sessão em uma
máquina, tentativas de abertura a partir de outras máquinas serão recusadas.
Tempo de manutenção de sessão: Como não existe o conceito de sessão em uma Proxy SSL,
é necessário que o proxy simule uma sessão, mantendo um usuário logado por algum tempo
após o fechamento da última conexão, caso seja necessário impedir que um mesmo usuário
acesse simultaneamente de máquinas diferentes. O que este campo especifica é por quanto
tempo, em segundos, o firewall deve considerar um usuário como logado após o fechamento
da última conexão.
Permitir o uso de SSL v2: Este campo indica se o firewall deve ou não aceitar uma conexão
SSL usando a versão 2 deste protocolo.
Esta aba é utilizada para especificar o certificado X.509 que será apresentado ao cliente
quando ele tentar estabelecer uma Proxy SSL. É possível criar uma requisição que
posteriormente será enviada para ser assinada por uma CA ou importar um certificado X.509
já assinado, em formato PKCS#12.
Criar requisição:
Este botão permite que seja criada uma requisição que posteriormente será enviada a uma
CA para ser assinada. Ao ser clicado, serão mostrados os campos do novo certificado a ser
gerado e que devem ser preenchidos.
Após o preenchimento deve-se clicar no botão OK, que fará com que a janela seja alterada
para mostrar os dados da requisição recém criada, bem como dois botões para manipulá-la:
O botão Salvar em arquivo permite salvar a requisição em um arquivo para que ela seja então
enviada a uma CA que irá assiná-la. O botão Instalar esta requisição permite importar o
certificado já assinado pela CA.
Para maiores informações de como realizar o cadastramento das regras, consultar o tópico
Cadastrando perfis de acesso.
Neste capítulo será mostrada a relação entre os três grandes módulos do Aker Firewall: o filtro
de pacotes, o conversor de endereços e o módulo de criptografia e autenticação. Será
mostrado também o fluxo pelo qual os pacotes atravessam desde sua chegada ao Firewall até
o momento de serem aceitos ou rejeitados.
Nos capítulos anteriores deste manual foram mostrados separadamente os três grandes
módulos do Aker Firewall e todos os detalhes pertinentes à configuração de cada um. Será
mostrado agora como um pacote os atravessam e quais alterações ele pode sofrer em cada
um deles.
Basicamente, existem dois fluxos distintos: um para pacotes que são emitidos pela rede
interna e tem como destino alguma máquina da rede externa (fluxo de dentro para fora) ou
pacotes que são gerados na rede externa e tem como destino alguma máquina da rede
interna (fluxo de fora para dentro).
Todo o pacote da rede interna ao atingir o firewall passa pelos módulos na seguinte ordem:
módulo de montagem, filtro de pacotes, conversor de endereços e módulo de encriptação.
O módulo de montagem
O filtro de pacotes
O filtro de pacotes possui a função básica de validar um pacote de acordo com as regras
definidas pelo administrador, e a sua tabela de estados, e decidir se este deve ou não ser
O conversor de endereços
Independentemente de ter sido convertido ou não, o pacote será repassado para o módulo
de criptografia.
O módulo de encriptação
Todo o pacote proveniente da rede externa, em direção à rede interna, ao atingir o firewall
passa pelos módulos na seguinte ordem: módulo de montagem, módulo de decriptação,
conversor de endereços e filtro de pacotes.
O módulo de montagem
A outra função deste módulo é assegurar que todos os pacotes que cheguem de uma rede
para a qual existe um canal seguro estejam vindo criptografados. Caso um pacote venha de
uma rede para a qual existe um canal de criptografia ou autenticação e se este pacote não
estiver autenticado ou criptografado, ele será descartado.
Caso o pacote tenha sido validado com sucesso, este será repassado para o conversor de
endereços.
O conversor de endereços
Independentemente de ter sido convertido ou não, o pacote será repassado para o filtro de
pacotes.
O filtro de pacotes
O filtro de pacotes é o último módulo do fluxo de fora para dentro. Ele possui a função básica
de validar os pacotes recebidos de acordo com as regras definidas pelo administrador, e a sua
tabela de estados, e decidir se este deve ou não ser autorizado a trafegar pelo firewall. Se ele
decidir que o pacote pode trafegar, este será repassado para a máquina destino, caso
contrário ele será descartado.
Quando vai configurar as regras de filtragem para serem usadas com máquinas cujos
endereços serão convertidos surge à seguinte dúvida: Deve-se usar os endereços reais das
máquinas ou os endereços virtuais?
No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro e depois possuem
seus endereços convertidos (se for o caso), ou seja, o filtro recebe os endereços reais das
máquinas.
No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo conversor de
endereços que converte os endereços destino dos IPs virtuais para os endereços reais. Após
® Aker Security Solutions
456
isso os pacotes são enviados para o filtro de pacotes, ou seja, novamente o filtro de pacotes
recebe os pacotes com os endereços reais.
Em ambos os casos, o filtro não sabe da existência dos endereços virtuais, o que nos leva a
fazer a seguinte afirmação:
Ao criar regras de filtragem deve-se ignorar a conversão de endereços. As regras devem ser
configuradas como se as máquinas origem e destino estivessem conversando diretamente entre
si, sem o uso de qualquer tipo de conversão de endereços.
No tópico anterior, mostramos como configurar as regras de filtragem para máquinas cujos
endereços serão convertidos. A conclusão foi de que deveria trabalhar apenas com os
endereços reais, ignorando a conversão de endereços. Agora, pode-se acrescentar mais uma
pergunta: ao configurar os fluxos de criptografia para máquinas que sofrerão conversão de
endereços, deve-se usar os endereços reais destas máquinas ou os endereços virtuais?
Para responder esta pergunta, novamente deve-se analisar o fluxo dos pacotes:
No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro, depois possuem
seus endereços convertidos (se for o caso) e por fim são repassados para o módulo de
encriptação. Devido a isso, o módulo de encriptação recebe os pacotes como se eles fossem
originados dos endereços virtuais.
No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo módulo de
decriptação e são decriptados (se for o caso). A seguir são enviados para o conversor de
endereços, que converte os IPs virtuais para reais, e por fim são enviados para o filtro de
pacotes. O módulo de decriptação recebe os pacotes antes de eles terem seu endereço
convertido e, portanto, com os endereços virtuais.
Em ambos os casos, o módulo de criptografia recebe os pacotes como se eles tivessem origem
ou destino nos IPs virtuais.
Este capítulo mostra como configurar a proteção contra ataques no módulo de segurança do
Aker Firewall.
SYN Flood é um dos mais populares ataques de negação de serviço (denial of service). Esses
ataques visam impedir o funcionamento de uma máquina ou de um serviço específico. No
caso do SYN Flood, é possível inutilizar quaisquer serviços baseados no protocolo TCP.
1. A máquina cliente envia um pacote para a máquina servidora com um flag especial,
chamado de flag de SYN. Este flag indica que a máquina cliente deseja estabelecer uma
conexão.
2. A máquina servidora responde com um pacote contendo os flags de SYN e ACK. Isto
significa que ela aceitou o pedido de conexão e está aguardando uma confirmação da
máquina cliente para marcar a conexão como estabelecida.
3. A máquina cliente, ao receber o pacote com SYN e ACK, responde com um pacote
contendo apenas o flag de ACK. Isto indica para a máquina servidora que a conexão foi
estabelecida com sucesso.
Nem todas as máquinas são passíveis de serem atingidas por ataques de SYN Flood.
Implementações mais modernas do protocolo TCP possuem mecanismos próprios para
inutilizarem ataques deste tipo.
O Aker Firewall possui um mecanismo que visa impedir que um ataque de SYN flood seja bem
sucedido. Seu funcionamento baseia-se nos seguintes passos:
Com estes procedimentos, o firewall consegue impedir que a fila de conexões em andamento
na máquina servidora fique cheia, já que todas as conexões pendentes serão estabelecidas
tão logo os pacotes de reposta atinjam o firewall. O ataque de SYN flood, portando, não será
efetivado.
Cabe enfatizar que todo o funcionamento desta proteção baseia-se no intervalo de tempo máximo
de espera pelos pacotes de confirmação dos clientes. Se o intervalo de tempo for muito pequeno,
conexões válidas podem ser recusadas. Se o intervalo for muito grande, a máquina servidora, no caso
Para ter acesso a janela de configuração dos parâmetros de proteção contra SYN Flood, deve-
se:
Ativar proteção SYN flood: Esta opção deve estar marcada para ativar a proteção
contra SYN flood e desmarcada para desativá-la (ao desabilitar a proteção contra SYN
flood, as configurações antigas continuam armazenadas, mas não podem ser
alteradas).
O valor ideal deste campo pode variar para cada instalação, mas sugere-se valores entre 3 e
10, que correspondem a intervalos de tempo entre 1,5 e 5 segundos.
Esta lista define as máquinas ou redes que serão protegidos pelo firewall.
Para incluir uma nova entidade na lista de proteção, deve-se proceder de um dos seguintes
modos:
Para remover uma entidade da lista de proteção, deve-se marcá-la e pressionar a tecla delete,
ou escolher a opção correspondente no menu de contexto, acionado com o botão direito do
mouse ou com a tecla correspondente:
A proteção também é útil para evitar abuso do uso de determinados serviços (sites de
download, por exemplo) e evitar estragos maiores causados por vírus, como o NIMDA, que
fazia com que cada máquina infectada abrisse centenas de conexões simultaneamente.
O Aker Firewall possui um mecanismo que visa impedir que um ataque de Flood seja bem
sucedido. Seu funcionamento baseia na limitação de conexões que possam ser abertas
simultaneamente a partir de uma mesma máquina para uma entidade que está sendo
protegida.
O que é um Spoofing?
O spoofing do IP, como foi descrito, é uma estratégia desajeitada e entediante. No entanto,
uma análise recente revelou a existência de ferramentas capazes de executar um ataque de
spoofing em menos de 20 segundos. O spoofing de IP é uma ameaça perigosa, cada vez maior,
mas, por sorte, é relativamente fácil criar mecanismos de proteção contra ela. A melhor
defesa contra o spoofing é configurar roteadores de modo a rejeitar qualquer pacote recebido
cuja origem alegada seja um host da rede interna. Essa simples precaução impedirá que
qualquer máquina externa tire vantagem de relacionamentos confiáveis dentro da rede
interna.
O Aker Firewall possui um mecanismo que visa impedir que um ataque de Spoofing seja bem
sucedido. Seu funcionamento baseia-se no cadastramento das redes que estão sendo
protegidas pelo firewall ou seja, atrás de cada interface de rede do firewall.
Nas redes internas, só serão aceitos pacotes das entidades cadastradas e, das externas,
somente pacotes cujo IP origem não se encaixe em nenhuma entidade cadastrada nas redes
internas (todas).
O administrador do firewall deve então fazer o levantamento destas redes, criar as entidades
correspondentes e utilizar a Interface Remota para montar a proteção.
Status: Neste campo é mostrado o estado da interface, ou seja, se está ativa ou não.
Este campo não pode ser editado.
Tipo: Por padrão este campo é marcado como Externa. Ao clicar com o botão direito
do mouse poderá ser trocado o tipo para Protegida, passando o campo Entidades para
a condição de editável.
Protegida significa que a interface está conectada a uma rede interna e somente serão aceitos
pacotes com endereços IP originados em alguma das entidades especificadas na regra.
Externa significa que é uma interface conectada a Internet da qual serão aceitos pacotes
provenientes de quaisquer endereços origem, exceto os pertencentes a entidades listadas
nas regras de interfaces marcadas como Protegidas.
A Interface Texto (via SSH) de configuração da proteção contra SYN flood é bastante simples
de ser usada e tem as mesmas capacidades da Interface Remota (E possível usar todos os
comandos sem o prefixo “FW”, para isso execute o comando “fwshell”, então todos os
comandos poderão ser acessados sem o prefixo “FW”).
Localização do programa:/aker/bin/firewall/fwflood
Sintaxe:
Ajuda do programa:
Firewall Aker
fwflood - Configura parâmetros de proteção contra SYN Flood
Uso: fwflood [ativa | desativa | mostra | ajuda]
fwflood [inclui | remove] <nome>
fwflood tempo <valor>
Localização do programa:/aker/bin/firewall/fwmaxconn
Sintaxe:
Firewall Aker
Uso: fwmaxconn ajuda
fwmaxconn mostra
fwmaxconn inclui <pos> <origem> <destino> <serviço> <n_conns>
fwmaxconn remove <pos>
fwmaxconn < habilita | desabilita > <pos>
os parâmetros são:
pos: posição da regra na tabela
origem: máquina/rede de onde se origina as conexões
destino: máquina/rede a que se destinam as conexões
serviço: serviço de rede para o qual existe a conexão
n_conns: número máximo de conexões simultâneas de mesma origem
Regra 02
--------
Regra 03
--------
Origem: Rede_Internet
Destino: Rede_Interna
Serviços: Gopher
Conexões: 100
Localização do programa:/aker/bin/firewall/fwifnet
Firewall Aker
Uso: fwifnet [ajuda | mostra]
fwifnet inclui interface <nome_if> [externa]
fwifnet inclui rede <nome_if> <rede> [rede1] [rede2] ...
fwifnet remove [-f] interface <nome_if>
fwifnet remove rede <nome_if> <endereco_IP> <mascara>
fwifnet <habilita | desabilita>
Ajuda do programa:
Firewall Aker
Status do modulo anti-spoofing: habilitado
Interface cadastrada: Interf_DMZ
Rede permitida: Rede_DMZInterface
cadastrada: Interf_externa (externa)
Interface cadastrada: Interf_interna
Rede permitida: Rede_Interna
O firewall, por padrão, vem com bloqueio de excesso de tentativas de login inválidas via
control center. Caso um IP realize três tentativas de conexões com usuários e/ou senhas
inválidos, o firewall não permite mais conexões por um período de tempo.
Este capítulo mostra como configurar as respostas automáticas do sistema para situações
pré-determinadas.
O Aker Firewall possui um mecanismo que possibilita a criação de respostas automáticas para
determinadas situações. Estas respostas automáticas são configuradas pelo administrador
em uma série de possíveis ações independentes que serão executadas quando uma situação
pré-determinada ocorrer.
O objetivo das ações é possibilitar um alto grau de interação do Firewall com o administrador.
Com o uso delas, é possível, por exemplo, que seja executado um programa capaz de chamá-
lo por meio de um pager quando a máquina detectar que um ataque está em andamento.
Desta forma, o administrador poderá tomar uma ação imediata, mesmo que ele não esteja
no momento monitorando o funcionamento do Firewall.
Ao selecionar esta opção, a janela de configurações das ações a serem executadas é exibida.
As ações dividem-se em módulos (Autenticação/Criptografia, Criptografia IPSEC, dentre
outros) e, para cada mensagem de log, evento ou pacote não enquadrado na regra, é possível
determinar ações independentes.
Se a opção estiver marcada com o ícone aparente, a ação correspondente será executada
pelo Firewall quando a mensagem ocorrer. São permitidas as seguintes ações:
Logar: Quando selecionada essa opção, todas as vezes que a mensagem correspondente
ocorrer, ela será registrada pelo firewall;
Enviar e-mail: Quando selecionada essa opção, será enviado um e-mail todas as vezes que
a mensagem correspondente ocorrer (a configuração do endereço de e-mail será
mostrada no próximo tópico);
Executar programa: Ao marcar essa opção, será executado um programa definido pelo
administrador todas as vezes que a mensagem correspondente ocorrer (a configuração
do nome do programa a ser executado será mostrada no próximo tópico);
Disparar mensagens de alarme: Quando selecionada essa opção, o firewall mostra uma
janela de alerta todas as vezes que a mensagem correspondente ocorrer. Esta janela de
alerta será mostrada na máquina onde a Interface Remota estiver aberta e, se a máquina
permitir, será emitido também um aviso sonoro. Caso a Interface Remota não esteja
aberta, não será mostrada nenhuma mensagem e esta opção será ignorada (esta ação é
particularmente útil para chamar a atenção do administrador quando ocorrer uma
mensagem importante);
Enviar trap SNMP: Quando selecionada essa opção, será enviada uma Trap SNMP para o
gerente SNMP todas as vezes que a mensagem correspondente ocorrer (a configuração
dos parâmetros de configuração para o envio das traps será mostrada no próximo tópico).
O botão OK fará com que a janela de ações seja fechada e as alterações efetuadas
aplicadas;
O botão Cancelar fará com que a janela seja fechada porém as alterações efetuadas não
serão aplicadas;
Para que o sistema consiga executar as ações deve-se configurar certos parâmetros (por
exemplo, para o Firewall enviar um e-mail, o endereço tem que ser configurado). Estes
parâmetros são configurados por meio da janela de configuração de parâmetros para as
ações.
Esta janela é mostrada Quando selecionada Parâmetros na janela de Ações. Ela tem o
seguinte formato:
Arquivo de Programa: Este parâmetro configura o nome do programa que será executado
pelo sistema quando ocorrer uma ação marcada com a opção Programa. Deve ser
colocado o nome completo do programa, incluindo o caminho. Deve-se atentar para o
O programa receberá os seguintes parâmetros pela linha de comando (na ordem em que
serão passados):
Nome efetivo do usuário: Este parâmetro indica a identidade com a qual o programa externo
será executado. O programa terá os mesmos privilégios deste usuário.
Este usuário deve ser um usuário válido, cadastrado no Linux. Não se deve confundir com
os usuários do Aker Firewall, que servem apenas para a administração do Firewall.
Comunidade SNMP: Este parâmetro configura o nome da comunidade SNMP que deve
ser enviada nas traps.
As traps SNMP enviadas terão o tipo genérico 6 (enterprise specific) e o tipo específico 1
para log ou 2 para eventos. Elas serão enviadas com o número de empresa (enterprise
number) 2549, que é o número designado pela IANA para a Aker Consultoria e Informática.
Caso queira enviar e-mails para vários usuários, pode-se criar uma lista e colocar o nome
da lista neste campo.
® Aker Security Solutions
479
É importante notar que caso algum destes parâmetros esteja em branco, à ação
correspondente não será executada, mesmo que ela esteja marcada para tal.
A Interface Texto (via SSH) para a configuração das ações possui as mesmas capacidades da
Interface Remota, porém, é de fácil uso (E possível usar todos os comandos sem o prefixo
“FW”, para isso execute o comando “fwshell”, então todos os comandos poderão ser
acessados sem o prefixo “FW”).
Sintaxe:
fwaction ajuda
fwaction mostra
fwaction atribui <numero> [loga] [mail] [trap] [programa] [alerta]
fwaction <programa | usuário | comunidade> [nome]
fwaction ip [endereço IP]
fwaction e-mail [endereço]
Ajuda do programa:
fwaction - Interface Texto (via SSH) para a configuração das ações do sistema
Uso: fwaction ajuda
fwaction mostra
fwaction atribui <numero> [loga] [mail] [trap] [programa] [alerta]
#fwaction mostra
Condições Gerais:
Mensagens do log:
(...)
Parâmetros de configuração:
programa: /aker/bin/pager
usuário: nobody
e-mail: root
comunidade:
ip:
Exemplo 3: (atribuindo as ações para os Pacotes fora das regras e mostrando as mensagens)
Mensagens do log:
(...)
Parâmetros de configuração:
programa : /aker/bin/pager
usuário : nobody
e-mail : root
comunidade:
ip :
#fwaction atribui 2
#fwaction mostra
Condições Gerais:
Mensagens do log:
Parâmetros de configuração:
programa: /aker/bin/pager
usuário: nobody
e-mail: root
comunidade:
ip:
Este capítulo mostra como visualizar o log do sistema, um recurso imprescindível na detecção
de ataques, no acompanhamento e monitoramento do firewall e na fase de configuração do
sistema.
O log é o local onde o firewall guarda todas as informações relativas aos pacotes recebidos.
Nele podem aparecer registros gerados por qualquer um dos três grandes módulos: filtro de
pacotes, conversor de endereços e criptografia/autenticação. O tipo de informação guardada
no log depende da configuração realizada no firewall, mas basicamente ele inclui informações
sobre os pacotes que foram aceitos, descartados e rejeitados, os erros apresentados por
certos pacotes e as informações sobre a conversão de endereços.
Mesmo que o sistema tenha sido configurado para registrar todo o tipo de informação, muitas
vezes está interessado em alguma informação específica (por exemplo, suponha que queira
ver as tentativas de uso do serviço POP3 de uma determinada máquina que foram rejeitadas
em um determinado dia, ou ainda, quais foram aceitas). O filtro de log é um mecanismo
oferecido pelo Aker Firewall para se criar visões do conjunto total de registros, possibilitando
que se obtenham as informações desejadas facilmente.
O filtro só permite a visualização de informações que tiverem sido registradas no log. Caso
queira obter uma determinada informação, é necessário inicialmente configurar o sistema
para registrá-la e então utilizar um filtro para visualizá-la.
Todas as vezes que a opção Log for selecionada é mostrada automaticamente a barra de
ferramentas de Log. Esta barra, que estará ao lado das outras barras, poderá ser arrastada e
ficar flutuando acima das informações do Log. Ela tem o seguinte formato:
Este ícone somente irá aparecer quando o firewall estiver fazendo uma
procura no Log. Ele permite interromper a busca do firewall;
Realiza uma resolução reversa dos IP que estão sendo mostrados pelo Log;
Na parte superior da janela, encontram-se os botões Salvar, Remover e Novo. Permite gravar
um perfil de pesquisa que poderá ser usado posteriormente pelo administrador.
Para aplicar um filtro salvo, basta selecionar seu nome no campo Filtros e todos os campos
serão automaticamente preenchidos com os dados salvos.
O filtro padrão é configurado para mostrar todos os registros do dia atual. Para alterar a
visualização para outros dias, na janela Data/Hora, pode-se configurar os campos De e Até
para os dias desejados (a faixa de visualização compreende os registros da data inicial à data
final, inclusive).
Caso queira ver os registros cujos endereços origem e/ou destino do pacote pertençam a um
determinado conjunto de máquinas, pode-se utilizar os campos IP / Máscara ou Entidade para
especificá-lo.
O botão permite a escolha do modo de filtragem a ser realizado: caso o botão esteja
selecionado, serão mostrados na janela os campos, chamados de IP, Máscara (para origem
do pacote) e IP, Máscara (para Destino do pacote). Estes campos poderão ser utilizados para
especificar o conjunto origem e/ou o conjunto destino. Neste caso, pode-se selecionar uma
entidade em cada um destes campos e estas serão utilizadas para especificar os conjuntos
origem e destino. O botão pode ser usado independente um do outro, ou seja pode-se optar
que seja selecionado pela entidade na origem e por IP e Máscara para o destino.
Para monitorar um serviço específico deve-se colocar seu número no campo Porta. A partir
deste momento só serão mostradas entradas cujo serviço especificado for utilizado. É
importante também que seja selecionado o protocolo correspondente ao serviço desejado
no campo protocolo, mostrado abaixo.
No caso dos protocolos TCP e UDP, para especificar um serviço, deve-se colocar o número
da porta destino, associada ao serviço, neste campo. No caso do ICMP deve-se colocar o tipo
de serviço. Para outros protocolos, coloca-se o número do protocolo desejado.
Além destes campos, existem outras opções que podem ser combinadas para restringir ainda
mais o tipo de informação mostrada:
Ação:
Representa qual ação o sistema tomou ao lidar com o pacote em questão. Existem as
seguintes opções possíveis, que podem ser selecionadas independentemente:
Prioridade:
Aviso
Os registros que se enquadram nesta prioridade normalmente indicam que algum tipo de
ataque ou situação bastante séria (como por exemplo, um erro na configuração dos fluxos
de criptografia) está ocorrendo. Este tipo de registro sempre vem precedido de uma
mensagem que fornece maiores explicações sobre ele.
Nota
Informação
Os registros desta prioridade acrescentam informações úteis mas não tão importantes
para a administração do Firewall. Estes registros nunca são precedidos por mensagens
explicativas. Normalmente se enquadram nesta prioridade os pacotes aceitos pelo
firewall.
Depuração
Os registros desta prioridade não trazem nenhuma informação realmente útil, exceto
quando se está configurando o sistema. Enquadram-se nesta prioridade as mensagens de
conversão de endereços.
Esta opção permite visualizar independentemente os registros gerados por cada um dos
três grandes módulos do sistema: filtro de pacotes, conversor de endereços, módulo de
criptografia, IPSEC e Clustering.
Protocolo:
Este campo permite especificar o protocolo dos registros a serem mostrados. As seguintes
opções são permitidas:
TCP
Serão mostrados os registros gerados a partir de pacotes TCP. Se esta opção for
marcada, a opção TCP/SYN será automaticamente desmarcada.
TCP/SYN
UDP
ICMP
Outro
Serão mostrados registros gerados a partir de pacotes com protocolo diferente de TCP, UDP
e ICMP. Pode-se restringir mais o protocolo a ser mostrado, especificando seu número por
meio do campo Porta destino ou Tipo de Serviço.
A janela de log será mostrada após a aplicação de um filtro novo. Ela consiste de uma lista
com várias entradas. Todas as entradas possuem o mesmo formato, entretanto, dependendo
do protocolo do pacote que as gerou, alguns campos podem estar ausentes. Além disso,
algumas entradas serão precedidas por uma mensagem especial, em formato de texto, que
trará informações adicionais sobre o registro (o significado de cada tipo de registro será
mostrado no próximo tópico).
Observações importantes:
Verde Informação
Amarelo Nota
Vermelho Aviso
Ao clicar com o botão esquerdo sobre uma mensagem, aparecerá na parte inferior da tela
uma linha com informações adicionais sobre o registro.
Esta opção é bastante útil para enviar uma cópia do log para alguma outra pessoa, para
guardar uma cópia em formato texto de informações importantes ou para importar o log por
um analisador de log citados acima. Ao ser clicado, será mostrada a seguinte janela:
Para exportar o conteúdo do log, basta fornecer o nome do arquivo a ser criado, escolher seu
formato e clicar no botão Salvar. Para cancelar a operação, clique em Cancelar.
O botão Próximos, representado como uma seta para a direita na barra de ferramentas,
mostra os próximos 100 registros selecionados pelo filtro. Se não existirem mais registros,
esta opção estará desabilitada.
O botão Últimos, representado como uma seta para a esquerda na barra de ferramentas,
mostra os 100 registros anteriores. Se não existirem registros anteriores, esta opção
estará desabilitada.
O botão Ajuda mostra a janela de ajuda específica para a janela de log.
Abaixo segue a descrição do formato de cada registro, seguido de uma descrição de cada um
dos campos. O formato dos registros é o mesmo para a Interface Remota e para a Interface
Texto (via SSH).
Qualquer um destes registros pode vir precedido de uma mensagem especial. A listagem
completa de todas as possíveis mensagens especiais e seus significados se encontra no
apêndice A.
Formato do registro:
<Data> <Hora> - <Repetição> <Ação> TCP <Status> <IP origem> <Porta origem> <IP
destino> <Porta destino> <Flags> <Interface>
A: Pacote autenticado
E: Pacote encriptado
S: Pacote usando troca de chaves via SKIP ou AKER-CDP
Ação: Este campo indica qual foi à ação tomada pelo firewall com relação ao pacote. Ele
pode assumir os seguintes valores:
S: SYN
F: FIN
A: ACK
P: PUSH
R: RST (Reset)
U: URG (Urgent Pointer)
Protocolo UDP
Formato do registro:
® Aker Security Solutions
498
<Data> <Hora> - <Repetição> <Ação> UDP <Status> <IP origem> <Porta origem> <IP
destino> <Porta destino> <Interface>
A: Pacote autenticado
E: Pacote encriptado
S: Pacote usando troca de chaves via SKIP ou AKER-CDP
Ação: Este campo indica qual foi à ação tomada pelo firewall com relação ao pacote. Ele
pode assumir os seguintes valores:
Protocolo ICMP
Formato do registro:
<Data> <Hora> - <Repetição> <Ação> ICMP <Status> <IP origem> <IP destino> <Tipo de
serviço> <Interface>
Ação: Este campo indica qual foi à ação tomada pelo firewall com relação ao pacote. Ele
pode assumir os seguintes valores:
Outros protocolos
Formato do registro:
<Data> <Hora> - <Repetição> <Ação> <Protocolo> <Status> <IP origem> <IP destino>
<Interface>
A: Pacote autenticado
E: Pacote encriptado
S: Pacote usando troca de chaves via SKIP ou AKER-CDP
Ação: Este campo indica qual foi à ação tomada pelo firewall com relação ao pacote. Ele
pode assumir os seguintes valores:
Protocolo: Nome do protocolo do pacote que gerou o registro (caso o firewall não consiga
resolver o nome do protocolo, será mostrado o seu número).
IP origem: Endereço IP de origem do pacote que gerou o registro.
Formato do registro:
<Data> <Hora> - <Repetição> C <Protocolo> <IP origem> <Porta origem> <IP convertido>
<Porta convertida>
A Interface Texto (via SSH) para o acesso ao log tem funcionalidade similar à da Interface
Remota, porém possui opções de filtragem bem mais limitadas. Além disso, por meio da
Interface Texto (via SSH), não se tem acesso às informações complementares que são
mostradas quando se seleciona uma entrada do log na Interface Remota ou quando se ativa
a opção Expande mensagens (E possível usar todos os comandos sem o prefixo “FW”, para
isso execute o comando “fwshell”, então os comandos poderão ser acessados sem o prefixo
“FW”).
Sintaxe:
Firewall Aker
fwlog apaga [log | log6 | eventos] [<data_inicio> <data_fim>]
fwlog mostra [log | log6 | eventos] [local | cluster] [<data_inicio> <data_fim>] [prioridade]
Para "mostra" temos: data_inicio = data a partir da qual os registros serão mostrados
data_fim = data até onde mostrar os registros
(As datas devem estar no formato dd/mm/aaaa)
Este capítulo mostra como visualizar os eventos do sistema, um recurso muito útil para
acompanhar o funcionamento do firewall e detectar possíveis ataques e erros de
configuração.
Eventos são as mensagens do firewall de nível mais alto, ou seja, não relacionadas
diretamente a pacotes (como é o caso do log). Nos eventos, podem aparecer mensagens
geradas por qualquer um dos três grandes módulos (filtro de pacotes, conversor de endereços
e autenticação/criptografia) e por qualquer outro componente do firewall, como por
exemplo, os proxies e os processos servidores encarregados de tarefas específicas.
Basicamente, o tipo de informação mostrada varia desde mensagens úteis para acompanhar
o funcionamento do sistema (uma mensagem gerada todas as vezes que a máquina é
reiniciada, todas as vezes que alguém estabelece uma sessão com o firewall, etc.) até
mensagens provocadas por erros de configuração ou de execução.
Mesmo que o sistema tenha sido configurado para registrar todos os possíveis eventos,
muitas vezes está interessado em alguma informação específica (por exemplo, suponha que
queira ver todas as mensagens do dia de ontem). O filtro de eventos é um mecanismo
oferecido pelo Aker Firewall para criar visões do conjunto total de mensagens, possibilitando
que obtenha as informações desejadas facilmente.
O filtro só permite a visualização de informações que tiverem sido registradas nos eventos.
Caso queira obter uma determinada informação deve-se inicialmente configurar o sistema
para registrá-la e então utilizar um filtro para visualizá-la.
Na parte superior da janela, encontram-se os botões Salvar, Remover e Novo. O botão Salvar
permite que seja salvo os campos de um filtro de forma a facilitar sua aplicação posterior e o
botão excluir permite que seja excluído um filtro salvo não mais desejado.
Para aplicar um filtro salvo, deve-se selecionar seu nome no campo Filtros e todos os campos
serão automaticamente preenchidos com os dados salvos.
O filtro padrão é configurado para mostrar todos as mensagens do dia atual. Para alterar a
visualização para outros dias, pode-se configurar a Data Inicial e a Data Final para os dias
desejados (a faixa de visualização compreende os registros da data inicial à data final,
inclusive).
Além de especificar as datas, é possível também determinar quais mensagens devem ser
mostradas. A opção Filtrar por permite escolher entre a listagem de mensagens ou de
prioridades.
Dica: Para selecionar todas as mensagens de um módulo, deve-se clicar sobre a caixa à
esquerda do nome do módulo.
Ao selecionar filtragem por prioridade, será mostrado na lista do lado esquerdo da janela
o nome de todos os módulos que compõem o firewall. Ao clicar em um destes módulos,
serão mostradas na lista à direita as diferentes prioridades das mensagens que podem ser
geradas por ele.
Abaixo, está a lista com todas as prioridades possíveis, ordenadas das mais importantes
para as menos importantes (caso tenha configurado o firewall para mandar uma cópia dos
eventos para o syslog, as prioridades com as quais as mensagens serão geradas no syslog
são as mesmas apresentadas abaixo):
Erro
Os registros que se enquadrarem nesta prioridade indicam que algum tipo de situação
séria e não considerada normal ocorreu (por exemplo, uma falha na validação de um
usuário ao estabelecer uma sessão de administração remota).
Aviso
Informação
Os registros desta prioridade acrescentam informações úteis mas não tão importantes
para a administração do Firewall (por exemplo, uma sessão de administração remota foi
finalizada).
Depuração
Como última opção de filtragem, existe o campo Filtrar no complemento por. Este campo
permite que seja especificado um texto que deve existir nos complementos de todas as
mensagens para que elas sejam mostradas. Desta forma, é possível, por exemplo,
visualizar todas as páginas WWW acessadas por um determinado usuário, bastando para
isso colocar seu nome neste campo.
A janela de eventos será mostrada após a aplicação de um novo filtro. Ela consiste de uma
lista com várias mensagens. Normalmente, cada linha corresponde a uma mensagem distinta,
porém existem mensagens que podem ocupar 2 ou 3 linhas. O formato das mensagens será
mostrado na próxima seção.
Observações importantes:
Azul Depuração
Verde Informação
Amarelo Notícia
Vermelho Advertência
Preto Erro
Ao clicar com o botão esquerdo sobre uma mensagem, aparecerá na parte inferior da tela
uma linha com informações adicionais sobre ela.
Esta opção é bastante útil para enviar uma cópia do log para alguma outra pessoa, para
guardar uma cópia em formato texto de informações importantes ou para importar os
eventos por um analisador de log citado acima. Ao ser clicado, será mostrada a seguinte
janela:
Para exportar o conteúdo dos eventos, basta fornecer o nome do arquivo a ser criado,
escolher seu formato e clicar no botão Salvar. Para cancelar a operação, clique em Cancelar.
O botão Próximos 100, representado como uma seta para a direita na barra de
ferramentas mostra as últimas 100 mensagens selecionadas pelo filtro. Se não existirem
mais mensagens, esta opção estará desabilitada.
O botão Últimos 100, representado como uma seta para a esquerda na barra de
ferramentas mostra as 100 mensagens anteriores. Se não existirem mensagens
anteriores, esta opção estará desabilitada.
O botão Ajuda mostra a janela de ajuda específica para a janela de eventos.
Abaixo segue a descrição do formato das mensagens, seguido de uma descrição de cada um
de seus campos. A listagem completa de todas as possíveis mensagens e seus significados se
encontra no apêndice A.
Formato do registro:
Outra utilização para este tipo de informação é a realização de bilhetagem da rede. Tendo-se
conhecimento da quantidade de bytes que cada máquina transferiu na rede, calcula-se o
quanto que cada uma deve ser taxada.
Para realizar bilhetagem de rede, deve ser criado uma regra de filtragem com um
acumulador diferente para cada máquina a ser taxada. Todos os acumuladores devem ter
regras de estatísticas associados a eles. Estas regras são configuradas na janela de visualização
de estatística.
Criação de Acumuladores:
Após a criação dos acumuladores e sua associação com as regras de filtragem desejadas,
devemos criar regras de estatística que definem os intervalos de coleta e quais
acumuladores serão somados para gerar o valor da estatística em um dado momento.
Esta etapa será explicada neste capítulo.
A janela de estatísticas contém todas as regras de estatística definidas no Aker Firewall. Cada
regra será mostrada em uma linha separada, composta de diversas células. Caso uma regra
esteja selecionada, ela será mostrada em uma cor diferente:
O botão OK fará com que o conjunto de estatísticas seja atualizado e passe a funcionar
imediatamente.
O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela
seja fechada.
O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a janela
aberta.
A barra de rolagem do lado direito serve para visualizar as regras que não couberem na
janela.
® Aker Security Solutions
517
Cada regra de estatística é composta dos seguintes campos:
Nome: Nome da estatística, utilizada para facilitar a sua referência. Deve possuir um
nome único entre o conjunto de regras;
Intervalo: Corresponde ao intervalo de tempo que fará a totalização da regra, ou seja, a
soma dos valores de todos os acumuladores presentes na regra;
Acumulador: Este campo define quais os acumuladores farão parte da regra;
Hora: Esta tabela define as horas e dias da semana em que a regra é aplicável. As linhas
representam os dias da semana e as colunas às horas. Caso queira que a regra seja
aplicável em determinada hora o quadrado deve ser preenchido, caso contrário o
quadrado deve ser deixado em branco.
Para interagir com a janela de regras, utilize a barra de ferramentas localizada na parte
superior da janela ou clicar com o botão direito sobre ela.
Visualizando estatísticas
ou texto.
Leitura: Mostra um conjunto de 100 registros de cada vez. Cada registro refere à
contabilização dos acumuladores da estatística em um determinado tempo.
O botão Remover desta pasta irá remover o conjunto de registros com o tempo especificado.
O botão Começar a busca, atualiza a lista de estatísticas de acordo com as datas definas nos
campos Início e Fim.
Ao pressionar o botão de salvar estatísticas a janela abaixo irá aparecer de modo a escolher
o nome do arquivo. Este arquivo é gravado no formato CSV que permite sua manipulação por
meio de planilhas de cálculo.
A Interface Texto (via SSH) para o acesso às estatísticas tem funcionalidade similar à da
Interface Remota (E possível usar todos os comandos sem o prefixo “FW”, para isso execute o
comando “fwshell”, então os comandos poderão ser acessados sem o prefixo “FW”). Todas as
funções da Interface Remota estão disponíveis, exceto a opção de verificar os dados por meio
de gráfico e de se verificar em quais regras os acumuladores de uma determinada estatística
estão presentes.
O símbolo “: “(dois pontos) informa que a regra é válida para os dois dias da semana que
aparecem separados por / .Ex: Dom/Seg
O símbolo”.” (ponto) informa que a regra só é válida para o dia da semana que segue o
caractere / .Ex: Dom/Seg - Seg
O símbolo “'“ (acento) informa que a regra são é válida para o dia da semana que antecede o
caractere / .Ex: Dom/Seg - Dom
Sintaxe:
Fwstat ajuda
mostra [[-c] <estatística> [<data inicial> <data final>]]
inclui <estatística> <período> [<acumulador1> [acumulador2] ...]
remove <estatística>
desabilita <estatística> [<dia> <hora>]
habilita <estatística> [<dia> <hora>]
Ajuda do programa:
Firewall Aker
Uso: fwstat ajuda mostra [[-c] <estatística> [<data inicial> <data final>]]
inclui <estatística> <período> [<acumulador1> [acumulador2] ...]
remove <estatística>
desabilita <estatística> [<dia> <hora>]
habilita <estatística> [<dia> <hora>]
#fwstat mostra
Nome : estatística1 (habilitada)
----
Período : 17400 segundo (s)
Acumuladores: a1
Horário :
Dia\Hora|0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
-------------------------------------------------------------------------------
Dom/Seg |: : : : : : : : : : : : : : : :
Ter/Qua |: : : : : : : : : : : : : : : :
Qui/Sex |: : : : : : : : : : : : : : : :
Sab |' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' '
Neste capítulo mostra como visualizar e remover conexões TCP e sessões UDP em tempo real.
Conexões ativas são conexões TCP ou sessões UDP que estão ativas por meio do firewall. Cada
uma destas conexões foi validada por meio de uma regra do filtro de estados, acrescentada
pelo administrador do sistema, ou por uma entrada na tabela de estados, acrescentada
automaticamente pelo Aker Firewall.
Para cada uma destas conexões, o firewall mantém diversas informações em suas tabelas de
estado. Algumas destas informações são especialmente úteis para o administrador e podem
ser visualizadas a qualquer momento por meio da janela de conexões ativas. Dentre estas
informações, pode-se citar a hora exata do estabelecimento da conexão e o tempo em que
ela se encontra parada, isto é, sem que nenhum pacote trafegue por ela.
A janela de conexões ativas é onde são mostradas todas as conexões IPv4 e IPv6, que estão
passando pelo firewall em um determinado instante. As janelas para os protocolos TCP e UDP
são exatamente iguais, com a exceção do campo chamado Status que somente existe na
janela de conexões TCP.
Para simplificar o entendimento, fala-se de conexões TCP e UDP, entretanto, isto não é
totalmente verdadeiro devido ao protocolo UDP ser um protocolo não orientado à conexão.
Na verdade, quando se fala em conexões UDP refere-se às sessões onde existe tráfego nos
dois sentidos. Cada sessão pode ser vista como um conjunto dos pacotes de requisição e de
resposta que fluem por meio do firewall para um determinado serviço provido por uma
determinada máquina e acessado por outra.
Essa janela é composta de quatro pastas: nas duas primeiras são mostradas uma lista com
as conexões ativas tanto IPv4 como IPv6 e as duas últimas permitem visualizar gráficos em
tempo real das máquinas e serviços mais acessados, das conexões IPv4e IPv6.
As pastas, conexão IPv4 e conexão IPv6, consistem de uma lista com uma entrada para cada
conexão ativa. Na parte inferior da janela é mostrada uma mensagem informando o número
total de conexões ativas em um determinado instante. As velocidades, total e média, são
exibidas na parte inferior da janela.
A opção Remover, que aparece ao clicar com o botão direito sobre uma conexão, permite
remover uma conexão.
Ao remover uma conexão TCP, o firewall envia pacotes de reset para as máquinas
participantes da conexão, efetivamente derrubando-a, e remove a entrada de sua tabela de
estados. No caso de conexões UDP, o firewall simplesmente remove a entrada de sua tabela
de estados, fazendo com que não sejam mais aceitos pacotes para a conexão removida.
O botão DNS, localizado na barra de ferramentas, acionará o serviço de nomes (DNS) para
resolver os nomes das máquinas cujos endereços IPs aparecem listados. Cabe ser
observado, os seguintes pontos:
A opção Mostrar velocidade das conexões, se ativa, faz com que a interface calcule e
mostre a velocidade de cada conexão em bits/s.
É possível ordenar a lista das conexões por qualquer um de seus campos, bastando para
isso clicar no título do campo. O primeiro clique produzirá uma ordenação ascendente e
o segundo uma ordenação descendente.
As abas, gráfico IPv4 e gráfico IPv6, consistem de dois gráficos: o gráfico superior mostram os
serviços mais utilizados e o gráfico inferior mostram as máquinas que mais acessam serviços
ou que mais são acessadas. No lado direito existe uma legenda mostrando qual máquina ou
serviço correspondem a qual cor do gráfico.
Cada linha presente na lista de conexões ativas representa uma conexão. O significado de
seus campos é mostrado a seguir:
Porta origem: Porta usada pela máquina de origem para estabelecer a conexão.
Estado Atual: Este campo só aparece no caso de conexões TCP. Ele representa o estado da
conexão no instante mostrado e pode assumir um dos seguintes valores:
SYN Enviado: Indica que o pacote de abertura de conexão (pacote com flag de SYN) foi
enviado, porém a máquina servidora ainda não respondeu.
SYN Trocados: Indica que o pacote de abertura de conexão foi enviado e a máquina servidora
respondeu com a confirmação de conexão em andamento.
Escutando Porta: Indica que a máquina servidora está escutando na porta indicada,
aguardando uma conexão a partir da máquina cliente. Isto só ocorre no caso de conexões de
dados FTP.
A Interface Texto (via SSH) para acesso à lista de conexões ativas possui as mesmas
capacidades da Interface Remota (E possível usar todos os comandos sem o prefixo “FW”,
para isso execute o comando “fwshell”, então todos os comandos poderão ser acessados sem
o prefixo “FW”). O mesmo programa trata as conexões TCP e UDP.
Sintaxe:
Ajuda do programa:
IP_destino Porta_destino
Este capítulo mostra para que serve e como configurar os Relatórios no Aker Firewall.
Visando disponibilizar informações a partir de dados presentes nos registros de log e eventos,
bem como apresentar uma visão sumarizada dos acontecimentos para a gerência do Firewall,
foi desenvolvida mais esta ferramenta. Neste contexto trataremos dos relatórios que nutrirão
as informações gerenciais.
Os relatórios são gerados nos formatos HTML, TXT ou PDF, publicados via FTP em até três
sites distintos ou enviados por meio de e-mail para até três destinatários distintos. Podem ser
agendados das seguintes formas: "Diário", "Semanal", "Quinzenal", "Mensal", "Específico" e
também em tempo real de execução.
Para executar qualquer relatório, deve-se clicar com o botão direito do mouse sobre ele.
Aparecerá o seguinte menu: (este menu será acionado sempre que for pressionado o botão
direito, mesmo que não exista nenhum relatório selecionado. Neste caso, somente as opções
Inserir estará habilitada); inclusive podendo ser executada a partir da barra de ferramentas.
TXT: Quando selecionada esta opção é gerado um arquivo chamado report.txt que
contém o relatório.
HTML: Quando selecionada esta opção é gerado um arquivo chamado index.html
que contém o relatório.
PDF: Quando selecionada esta opção é gerado um arquivo chamado report.pdf
que contém o relatório.
Aba Sub-relatório
Esta aba é composta por duas colunas, onde será necessário indicar filtros para ambas.
Na coluna de "Sub-relatório" deverá ser incluído qual tipo de sub-relatório e como será
agrupado, por exemplo: "Não agrupar", "Quota", "Usuário". Esta opção varia conforme o tipo
de sub-relatório selecionado. É possível definir relacionamentos com lógica "E" ou "OU" e um
limite para TOP.
Métodos de Publicação
Método FTP
Nesta aba, o usuário poderá indicar até três servidores para onde serão enviados os relatórios
via ftp.
Como utilizar:
Método SMTP
Nesta aba o usuário poderá indicar até três destinatários, para onde serão enviados os
relatórios por meio de e-mail.
Como utilizar:
Esta opção permite a geração de relatório em tempo real, ou seja, o administrador do firewall
pode gerar relatórios no momento em que desejar. O produto continuará funcionando
normalmente. Quando o relatório estiver pronto, salve-o em um diretório conforme
desejado, logo em seguida será exibido uma janela mostrando o relatório. Nesta opção a
coluna Método de Publicação não estará disponível.
Os registros de Logs e/ou Eventos são exportados nos formatos TXT ou CSV, publicados via
FTP em até três sites distintos ou localmente em uma pasta do próprio Firewall. Podem ser
agendados das seguintes formas: "Diário", "Semanal" e/ou “Mensal”.
Para executar qualquer exportação, deve-se clicar com o botão direito do mouse sobre ele.
Aparecerá o seguinte menu: (este menu será acionado sempre que for pressionado o botão
direito, mesmo que não exista nenhum relatório selecionado. Neste caso, somente a opção
Inserir estará habilitada); inclusive podendo ser executada a partir da barra de ferramentas.
Aba Geral
FTP:
Nesta aba, o usuário poderá indicar até três servidores para onde serão enviados os dados via
ftp.
Como utilizar:
Nesta aba, o usuário poderá indicar em qual diretório local do Aker Firewall deseja salvar os
dados exportados.
Proxies são programas especializados que geralmente rodam em firewalls e que servem como
ponte entre a rede interna de uma organização e os servidores externos. Seu funcionamento
é simples: eles ficam esperando por uma requisição da rede interna, repassam está requisição
para o servidor remoto na rede externa, e devolvem sua resposta de volta para o cliente
interno.
Na maioria das vezes os proxies são utilizados por todos os clientes de uma sub-rede e devido
a sua posição estratégica, normalmente eles implementam um sistema de cache para alguns
serviços. Além disso, como os proxies trabalham com dados das aplicações, para cada serviço
é necessário um proxy diferente.
Proxies tradicionais
Para que uma máquina cliente possa utilizar os serviços de um proxy é necessário que a
mesma saiba de sua existência, isto é, que ela saiba que ao invés de estabelecer uma conexão
com o servidor remoto, ela deve estabelecer a conexão com o proxy e repassar sua solicitação
ao mesmo.
Existem alguns clientes que já possuem suporte para proxies embutidos neles próprios (como
exemplo de clientes deste tipo, pode-se citar a maioria dos browsers existentes atualmente).
Neste caso, para utilizar as funções de proxy, basta configurá-los para tal. A grande maioria
dos clientes, entretanto, não está preparada para trabalhar desta forma. A única solução
possível neste caso, é alterar a pilha TCP/IP em todas as máquinas clientes de modo a fazer
com que transparentemente as conexões sejam repassadas para os proxies.
Esta abordagem traz inúmeras dificuldades, já que além de ser extremamente trabalhoso
alterar todas as máquinas clientes, muitas vezes não existe forma de alterar a implementação
TCP/IP de determinadas plataformas, fazendo com que clientes nestas plataformas não
possam utilizar os proxies.
Outro problema dos proxies tradicionais, é que eles só podem ser utilizados para acessos de
dentro para fora (não pode solicitar para que clientes externos repassem suas solicitações
para o seu proxy para que este repasse para seu servidor interno).
Proxies transparentes
Seu funcionamento é simples, todas as vezes que o firewall decide que uma determinada
conexão deve ser tratada por um proxy transparente, esta conexão é desviada para o proxy
em questão. Ao receber a conexão, o proxy abre uma nova conexão para o servidor remoto
e repassa as requisições do cliente para este servidor.
A grande vantagem desta forma de trabalho, é que torna possível oferecer uma segurança
adicional para certos serviços sem perda da flexibilidade e sem a necessidade de alteração de
nenhuma máquina cliente ou servidora. Além disso, é possível utilizar proxies transparentes
em requisições de dentro para fora e de fora para dentro, indiferentemente.
O Aker Firewall introduz uma novidade com relação aos proxies transparentes: os contextos.
Para entendê-los, vamos inicialmente analisar uma topologia de rede onde sua existência é
necessária.
Suponha que exista um Aker Firewall conectado a três redes distintas, chamadas de redes A,
B e C, e que as redes A e B sejam redes de dois departamentos de uma mesma empresa e a
rede C a Internet. Suponha ainda que na rede A exista um servidor SMTP que seja utilizado
também pela rede B para enviar e receber correio eletrônico. Isto está ilustrado no desenho
abaixo:
É importante que exista um meio de tratar diferentemente as conexões para A com origem
em B e C: a rede B utilizará o servidor SMTP de A como relay ao enviar seus e-mails, entretanto
este mesmo comportamento não deve ser permitido a partir da rede C. Pode-se também
querer limitar o tamanho máximo das mensagens originadas na rede C, para evitar ataques
de negação de serviço baseados em falta de espaço em disco, sem ao mesmo tempo querer
limitar também o tamanho das mensagens originadas na rede B.
Para possibilitar este tratamento diferenciado, foi criado o conceito de contextos. Contextos
nada mais são que configurações diferenciadas para os proxies transparentes de modo a
possibilitar comportamentos diferentes para conexões distintas.
No exemplo acima, poderia criar dois contextos: um para ser usado em conexões de B para A
e outro de C para A.
O Aker Firewall implementa proxies transparentes para os serviços FTP, Telnet, SMTP, POP3,
HTTP, HTTPS, RPC, DCE-RPC, SIP, H323, MSN e proxies não transparentes para os serviços
acessados por meio de um browser WWW (FTP, Gopher, HTTP e HTTPS) e para clientes que
suportem o protocolo SOCKS. Para utilizar os proxies não transparentes é necessário um
cliente que possa ser configurado para tal. Dentre os clientes que suportam este tipo de
configuração, pode-se citar o Mozilla Firefox (Tm) e o Internet Explorer (Tm).
Os proxies transparentes podem ser utilizados tanto para controlar acessos externos às redes
internas quanto acessos de dentro para fora. Os proxies não transparentes somente podem
ser usados de dentro para fora.
O Aker Firewall permite ainda implementar Proxies criados pelo usuário que são proxies
criados por terceiros utilizando a API de desenvolvimento que a Aker Security Solutions provê.
O objetivo é possibilitar que instituições que possuam protocolos específicos possam criar
suporte no firewall para estes protocolos.
Os proxies SOCKS, Telnet e WWW do Aker Firewall suportam autenticação de usuários, isto
é, podem ser configurados para só permitir que uma determinada sessão seja estabelecida
caso o usuário se identifique para o firewall, por meio de um nome e uma senha, e este tenha
permissão para iniciar a sessão desejada.
O grande problema que surge neste tipo de autenticação é como o firewall irá validar os
nomes e as senhas recebidas. Alguns produtos exigem que todos os usuários sejam
cadastrados em uma base de dados do próprio firewall ou que sejam usuários válidos da
No Aker Firewall, optou-se por uma solução mais versátil e simples de ser implantada: ao
invés de exigir um cadastramento de usuários no firewall, estes são validados nos próprios
servidores da rede local, sejam estes Unix ou Windows Server tm.
Para que seja possível ao firewall saber em quais máquinas ele deve autenticar os usuários, e
também para possibilitar uma comunicação segura com estas máquinas, foi criado o conceito
de autenticadores. Autenticadores são máquinas Unix ou Windows Servertm, que rodam um
pequeno programa chamado de Agente de autenticação. Este programa é distribuído como
parte do Firewall Aker e tem como função básica servir de interface entre o firewall e a base
de dados remota.
Para que o Aker Firewall utilize uma base de dados em um servidor remoto, deve-se efetuar
os seguintes procedimentos:
O Aker Firewall 6.7 é incompatível com versões anteriores a 4.0 dos agentes de autenticação.
Caso tenha realizado upgrade de uma versão anterior e esteja utilizando autenticação, é
necessário reinstalar os autenticadores.
É possível também realizar autenticações por meio dos protocolos LDAP e RADIUS. Neste caso,
não existe a necessidade de instalação dos autenticadores nas máquinas servidoras, bastando-se
criar os autenticadores dos tipos correspondentes e indicar ao firewall que eles devem ser
utilizados, de acordo com os passos 2 e 3 listados acima.
#/ ./aginst
O símbolo # representa o prompt do shell quando executado como root, ele não deve ser
digitado como parte do comando.
Caso tenha respondido "Sim" quando o programa de instalação perguntou se o agente deveria
ser iniciado automaticamente, uma chamada será criada em um arquivo de inicialização da
máquina de modo a carregar automaticamente o agente. O nome deste arquivo de inicialização
é dependente da versão de Unix utilizada.
Cada linha deve conter o endereço IP de um Aker Firewall que irá utilizar o agente, um ou
mais espaços em branco ou caracteres tab e a senha de acesso que o firewall irá utilizar
para a comunicação.
Linhas começadas pelo caractere #, bem como linhas em branco, são ignoradas.
10.0.0.1 teste_de_senha
10.2.2.2 123senha321
Suponha que o agente esteja localizado no diretório /usr/local/bin e que se tenha criado o
arquivo de configuração com o nome /usr/local/etc/fwagaut.cfg. Neste caso, para executar o
agente, a linha de comando seria:
/usr/local/bin/fwagaut -c /usr/local/etc/fwagaut.cfg
Caso queira executar o agente com o arquivo de configuração no local padrão, não é
necessário a utilização da opção -c , bastando simplesmente executá-lo com o comando:
/usr/local/bin/fwagaut
Onde “pid” é o número do processo do agente de autenticação. Para ser obtido este número,
pode-se executar o comando.
O agente de autenticação escuta requisições na porta 1021/TCP. Não pode existir nenhuma
outra aplicação utilizando está porta enquanto o agente estiver ativo.
O programa inicialmente mostra uma janela pedindo uma confirmação para prosseguir com
a instalação. Deve-se responder Sim para continuar com a instalação. A seguir será mostrada
uma janela com a licença e pôr fim a janela onde pode especificar o diretório de instalação.
Após selecionar o diretório de instalação, deve-se pressionar o botão Copiar arquivos, que
realizará toda a instalação do agente. Esta instalação consiste na criação de um diretório
chamado de fwntaa, dentro do diretório Arquivos de Programas, com os arquivos do agente,
a criação de um grupo chamado de Firewall Aker com as opções de configuração e remoção
do agente e a criação de um serviço chamado de Agente de autenticação do Aker Firewall.
Este serviço é um serviço normal do Windows Servertm e pode ser interrompido ou iniciado
por meio do Painel de Controle, no ícone serviços.
O agente de autenticação escuta requisições nas portas 1016/TCP e 1021/TCP. Não pode
existir nenhuma outra aplicação utilizando estas portas enquanto o agente estiver ativo.
Para ter acesso ao programa de configuração, deve-se clicar no menu Iniciar, selecionar o
grupo Firewall Aker e dentro deste grupo a opção Configurar agente de autenticação. Ao ser
realizado isso, será mostrada a janela de configuração do agente, que está distribuída em três
abas:
Esta aba consiste em todas as opções de configuração do agente. Na parte superior existe
dois botões que permitem testar a autenticação de um determinado usuário, a fim de
verificar se o agente está funcionando corretamente. Na parte inferior da pasta existe uma
lista com os firewalls autorizados a se conectarem ao agente de autenticação.
Esta aba é muito útil para acompanhar o funcionamento do agente de autenticação. Ela
consiste de uma lista com diversas mensagens ordenadas pela hora. Ao lado de cada
mensagem existe um ícone colorido, simbolizando sua prioridade. As cores têm o seguinte
significado:
Verde Depuração
Azul Informação
Amarelo Notícia
Vermelho Advertência
Preto Erro
Caso não queira que uma determinada prioridade de mensagens seja gerada, basta
desmarcar a opção a sua esquerda.
Aba Sobre
Esta é uma aba meramente informativa e serve para obter algumas informações do cliente.
Dentre as informações úteis se encontram sua versão e release.
Para facilitar a remoção do agente de autenticação para NT, existe um utilitário que a realiza
automaticamente. Para iniciá-lo, deve-se clicar no menu Iniciar, selecionar o grupo Firewall
Aker e dentro deste grupo a opção Remover agente de autenticação. Ao ser realizado isso,
será mostrada uma janela de confirmação.
Caso deseje desinstalar o agente, deve-se clicar no botão Sim, caso contrário, deve-se clicar
no botão Não, que cancelará o processo de remoção.
Este capítulo mostra quais são e como devem ser configurados os parâmetros de
autenticação, essenciais para que seja possível a autenticação de usuários pelo firewall.
Essa janela consiste de seis partes distintas: a primeira aba corresponde ao Controle de
Acesso onde os usuários e grupos de autenticadores são associados com perfis de acesso. A
configuração desta aba será vista em detalhes em Perfis de Acesso de Usuários, na segunda
A janela de controle de acesso permite que seja criada a associação de usuários/grupos com
um perfil de acesso.
A última coluna, quando preenchida, especifica redes e máquinas onde a associação é válida.
Se o usuário se encaixar na regra, mas estiver em um endereço IP fora das redes e máquinas
cadastradas, então a regra será pulada, permitindo a atribuição de outro perfil ao usuário.
Esse tipo de restrição é muito útil para permitir acesso às áreas sensíveis da rede apenas de
alguns locais físicos com segurança aumentada.
Para associar um usuário ou grupo com um determinado perfil de acesso, deve-se proceder
da seguinte maneira:
1. Clicar com o botão direito do mouse na lista de regras e selecionar a opção Inserir;
2. Selecione o autenticador do qual se deseja obter a lista de usuários ou grupos, clicando-
se com o botão direito no campo Autenticador;
3. Clicar com o botão direito sobre o campo Usuário/Grupo e selecione entre listagem de
usuários ou grupos e sua lista será montada automaticamente a partir do autenticador
selecionado. A partir de a lista selecione o usuário ou grupo desejado.
4. Clicar com o botão direito sobre o campo Perfil para selecionar o perfil desejado,
conforme o menu abaixo:
5. Caso queira, arraste algumas entidades máquina, rede ou conjuntos para o campo
entidades. Se o usuário estiver fora dessas entidades, a regra será pulada.
Para remover uma regra entre um usuário/grupo e um perfil, deve-se proceder da seguinte
maneira:
Para alterar a posição de uma regra dentro da lista, deve-se proceder da seguinte forma:
Pesquisar todos autenticadores: Este parâmetro indica se o firewall deve tentar validar um
usuário nos próximos autenticadores da lista no caso de um autenticador retornar uma
mensagem de senha inválida.
Se esta opção estiver marcada, o firewall percorre todos os autenticadores da lista, um a um,
até receber uma resposta de autenticação correta ou até a lista terminar. Caso ela não esteja
marcada, a pesquisa será encerrada no primeiro autenticador que retornar uma mensagem
de autenticação correta ou de senha inválida.
Esta opção só é usada para respostas de senha inválida. Caso um autenticador retorne
uma resposta indicando que o usuário a ser validado não está cadastrado na base de dados
de sua máquina, o firewall continuará a pesquisa no próximo autenticador da lista,
independentemente do valor desta opção.
Pesquisar autenticador interno: Este parâmetro indica se a base de usuários locais do firewall
- definida na pasta Autenticação Local - deve ser consultada para validar a senha dos usuários.
Permitir domínios especificados pelo usuário: Este parâmetro indica se o usuário na hora de
se autenticar pode informar ao firewall em qual autenticador ele deseja ser validado.
Se esta opção estiver marcada, o usuário pode acrescentar juntamente ao seu nome, um
sufixo formado pelo símbolo / e um nome de autenticador, fazendo com que a requisição de
autenticação seja enviada diretamente para o autenticador informado. Caso ela não esteja
marcada, a autenticação será realizada na ordem dos autenticadores configurada pelo
administrador.
O uso desta opção não obriga que o usuário informe o nome do autenticador, apenas
permite que ele o faça, se desejar. Caso o usuário não informe, a autenticação seguirá na
ordem normal.
Para ilustrar a especificação de domínio, pode-se tomar como base um sistema no qual
existam dois autenticadores configurados, chamados de Unix e Windows Server. Neste
sistema, se um usuário chamado administrador desejar se autenticar na máquina Windows
Server, então ele deverá entrar com o seguinte texto, quando lhe for solicitado seu login ou
username: administrador/Windows Server. Caso ele não informe o sufixo, o Aker Firewall
tentará autenticá-lo inicialmente pela máquina Unix e caso não exista nenhum usuário
cadastrado com este nome ou a opção Pesquisa em todos os autenticadores estiver marcada,
ele então tentará autenticar pela máquina Windows Server.
Autenticadores a pesquisar
1. Clicar com o botão direito do mouse onde aparecerá um menu suspenso (figura
abaixo) ou arrastando a entidade autenticador para o local indicado;
Para mudar a ordem de pesquisa dos autenticadores, deve-se proceder da seguinte forma:
Dica: A adição ou remoção dos autenticadores pode ser realizada diretamente com o mouse,
bastando clicar e arrastar os mesmos para a janela correspondente, soltando em seguida.
Habilitar autenticação PKI: Essa opção indica se o firewall aceitará ou não a autenticação de
usuários por meio de smart cards. Caso ela esteja ativa, deve-se configurar as autoridades
certificadoras nas quais o firewall confia.
Habilitar autenticação por token: Essa opção indica se o firewall aceitará ou não a autenticação de
usuários por meio de tokens. Caso ela esteja ativa, deve-se configurar o nome do autenticador
token a ser consultado para validar os dados recebidos.
Autenticador token a pesquisar: Este campo indica o autenticador token para o qual os dados
a serem validados serão repassados.
Estes parâmetros indicam que tipos de autenticação serão aceitas nos proxies e em que
ordem serão validadas. Isso é importante pois quando um usuário é autenticado por meio de
um browser, por exemplo, não é possível que ele especifique se está utilizando token ou
usuário/senha. As opções possíveis de configuração são:
Esta aba, pode cadastrar uma série de usuários e associar um grupo a cada um deles. Se a
opção de usar a base local de usuários estiver habilitada, então esses usuários também serão
verificados como se estivessem em um autenticador remoto. Eles compõem o autenticador
local.
Para incluir um usuário, clique com o botão da direita e escolha Inserir, ou então use o toolbar
e clique no botão inserir. Pode-se usar o botão Inserir no seu teclado.
Para alterar o nome do usuário e seu nome completo, basta dar um duplo clique no campo
correspondente:
Para alterar a senha ou o grupo a que está associado ao usuário, use o menu de contexto
sobre o item, clicando com o botão direito do mouse.
Para criar ou remover grupos, o procedimento é o mesmo, mas na lista lateral direita.
® Aker Security Solutions
576
Figura 414 - Autenticação local – criar ou remover grupos.
Grupos vazios não serão mantidos pelo firewall, apenas aqueles que contiverem ao menos
um usuário.
É preciso escolher uma entidade rede ou uma entidade máquina, que definirão a origem do
tráfego e associá-las ao perfil, de forma que o tráfego originário dessas entidades não
precisará de autenticação por usuário.
O Acesso por IP estará habilitado sempre que houver pelo menos uma regra habilitada
nesta aba. A autenticação por IP só funciona com o Proxy HTTP/HTTPS.
A janela acima tem a função de configurar a integração do Aker Firewall ao Microsoft Active
Directory (AD) e utilizar o login automaticamente, sem que seja solicitada a digitação no
browser.
Esta integração é realizada por meio do Kerberos, Winbind e Samba e o comportamento deste
autenticador será idêntico aos outros tipos de autenticações suportadas pelo Aker Firewall
podendo listar os usuários e grupos para a vinculação com os perfis de acesso.
Habilitar NTLM: ativando esta opção, uma entidade com o nome NTLM_Auth, estará
disponível para a configuração na Aba Métodos da janela de Autenticação.
Active directory:
Host: nome netbios do servidor com o Microsoft Active Directory, obtido a partir do
comando hostname executado neste servidor.
Autenticação
Esta integração está disponível somente para o Filtro Web, em próximas versões a
integração se estenderá para todas as funcionalidades do Aker Firewall.
Para usuários que não estiverem cadastrados no domínio do Microsoft Active Directory a
autenticação será realizada por meio de um POP-UP no browser do usuário que será solicitada
a cada 15 minutos para autenticação http 1.1, e solicitada apenas uma vez para autenticação
Java.
A autenticação transparente está disponível somente para o Filtro Web e Modo PROXY
ATIVO, em próximas versões a integração se estenderá para todas as funcionalidades do Aker
Firewall.
Em autenticações via java é necessário liberar a consulta do certificado nas portas HTTP,
e HTTPS sem proxy. Esta regra deve vir antes da regra de autenticação.
A regra deve tem como origem a Rede interna do usuário com destino aos IPS da url
ocsp2.globalsign.com, como exibido na imagem a seguir:
A Interface Texto (via SSH) permite configurar o tipo de autenticação que será realizada e a
ordem de pesquisa dos autenticadores (E possível usar todos os comandos sem o prefixo
“FW”, para isso execute o comando “fwshell”, então os comandos poderão ser acessados sem
o prefixo “FW”).
Sintaxe:
Ajuda do programa:
Firewall Aker
fwauth - Configura parâmetros autenticação
Uso: fwauth [mostra | ajuda]
AUTENTICACAO PKI:
-----------------
Não ha autenticadores cadastrados
Neste capítulo mostra para que servem e como configurar perfis de acesso no Aker Firewall.
Para possibilitar este controle de acesso em nível de usuários, o Aker Firewall introduziu o
conceito de perfis de acesso. Perfis de acesso representam os direitos a serem atribuídos a
um determinado usuário no firewall. Estes direitos de acesso englobam todos os serviços
suportados pelo firewall, o controle de páginas WWW e o controle de acesso por meio do
proxy SOCKS. Desta forma, a partir de um único local, consegue definir exatamente o que
pode e não pode ser acessado.
Para que seja possível o uso de perfis de acesso é necessário que o Aker Client esteja instalado
em todas as máquinas clientes ou que se use a opção de autenticação por Java no Filtro Web.
Caso contrário, só será possível a utilização de controle de acesso a páginas WWW ou a serviços
por meio do proxy SOCKS. A autenticação de usuários por meio do Filtro Web (sem Java) e SOCKS
são possíveis na medida em que eles solicitarem um nome de usuário e uma senha e pesquisarem
o perfil correspondente quando não identificarem uma sessão ativa para uma determinada
máquina.
A janela de perfis contém todos os perfis de acesso definidos no Firewall. Ela consiste de uma
lista onde cada perfil é mostrado em uma linha separada.
Para executar qualquer operação sobre um determinado perfil, deve-se clicar sobre ele e a
seguir clicar na opção correspondente na barra de ferramentas. As seguintes opções estão
disponíveis:
Dica: Todas as opções mostradas acima podem ser executadas a partir da barra de
ferramentas, bem como a opção de relatório dos Perfis, todos localizados logo acima da lista.
Na opção relatório dos perfis, primeiro selecionam-se os itens para relatório, e em seguida
indica o caminho e clique no botão Gerar.
Para excluir um perfil de acesso, ele não poderá estar associado a nenhum usuário (para
maiores informações veja o tópico Associando Usuários com Perfis de Acesso)
O perfil filho, criado com a opção Inserir perfil filho herdará automaticamente as
configurações do perfil pai.
Na parte superior de ambas as pastas se encontram o campo Nome, que serve para
especificar o nome que identificará unicamente o perfil de acesso. Este nome será mostrado
na lista de perfis e na janela de controle de acesso. Não podem existir dois perfis com o
mesmo nome.
Prioridade das Regras: Permite definir a prioridade entre as regras do perfil e as regras de
seus perfis filhos.
Configura a prioridade para as regras dos perfis filhos: Se esta opção estiver
marcada, as regras dos perfis filhos irão aparecer acima das regras dos perfis pais,
isto é, elas terão prioridade sobre as regras do pai. Caso contrário, as regras do
perfil pai terão prioridade sobre as regras dos seus perfis filhos. Ou seja, nos perfis
filhos, as regras herdadas do pai irão aparecer acima de suas regras.
Horário padrão: Esta tabela define o horário padrão para as regras de filtragem WWW.
Posteriormente, ao se incluir regras de filtragem WWW, existe a opção de se utilizar este
horário padrão ou especificar um horário diferente.
As linhas representam os dias da semana e as colunas às horas. Caso queria que a regra seja
aplicável em determinada hora então o quadrado deve ser preenchido, caso contrário o
quadrado deve ser deixado em branco. Para facilitar sua configuração, pode-se clicar com o
A opção de filtragem FTP e GOPHER permitem a definição de regras de filtragem de URLs para
os protocolos FTP e GOPHER. Ela consiste de uma lista onde cada regra é mostrada em uma
linha separada.
Na parte inferior da pasta existe um grupo que define a ação a ser executado caso o endereço
que o cliente desejou acessar não se encaixe em nenhuma regra de filtragem. Este grupo é
chamado de Ação padrão para o protocolo e consiste de duas opções.
Permitir: Se esta opção for à selecionada, então o firewall aceitará as URLs que não se
enquadrarem em nenhuma regra.
Bloquear: Se esta opção for à selecionada, então o firewall rejeitará as URLs que não se
enquadrarem em nenhuma regra.
Para executar qualquer operação sobre uma determinada regra, basta clicar sobre ela e a
seguir clicar na opção correspondente na barra de ferramentas. As seguintes opções estão
disponíveis:
Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova será inserida na posição da regra selecionada. Caso contrário, a nova
regra será incluída no final da lista.
Excluir: Remover da lista a regra selecionada.
Copiar: Copiar a regra selecionada para uma área temporária.
Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver selecionada, a
nova será copiada para a posição da regra selecionada. Caso contrário ela será copiada
para o final da lista.
Desabilitar: Ativar ou desativar a regra selecionada na lista.
Dica: A posição de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a
nova posição desejada, soltando em seguida. Observe que o cursor de indicação do mouse
irá mudar para uma mão segurando um bastão.
Cada regra de filtragem consiste de uma operação, que indica qual tipo de pesquisa será
realizada e o texto a ser pesquisado. Para acessar estas opções de operação clique na
entidade que selecionada na coluna Padrões de Texto e a tela a seguir será exibida:
Limite de busca: Esse campo permite escolher em qual parte da URL será realizado a busca,
sendo que os parâmetros a serem pesquisados serão definidos no campo Text Patterns.
Ação: Define a ação a ser executada caso o endereço que o usuário desejou acessar não se
encaixe em nenhuma regra de filtragem. Consiste em duas opções.
Permitir: Se esta opção for à selecionada, então o firewall aceitará as URLs que não se
enquadrarem em nenhuma regra.
Bloquear: Se esta opção for à selecionada, então o firewall rejeitará as URLs que não se
enquadrarem em nenhuma regra.
Categorias: Nesse campo, permite associar alguma entidade categoria à regra que está sendo
criada.
Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gastos pelos
funcionários, com acesso aos sites da WEB. Assim as quotas são os limites em termos de
tempo de acesso e volume de dados, por usuário. Esta opção permite associar ao usuário
alguma entidade quota criada.
Time: Período em que a regra é aplicada. Dia da semana e horário. Exemplo: Permite definir
que nas segundas-feiras e nas quartas-feiras o usuário terá acesso à Internet somente das
12:00 às 14:00.
Aba Geral
Bloquear: Este campo define as opções de bloqueio em sites WWW. São elas:
URLs com endereço IP: Se esta opção estiver marcada, não será permitido o acesso a URLs
com endereços IP ao invés de nome (por exemplo, http://10.0.1.6), ou seja, somente será
possível se acessar URLs por nomes.
Caso tenha configurado o Filtro Web para fazer filtragem de URLs, deve-se configurar esta opção
de modo que o usuário não possa acessar por meio de endereços IP, caso contrário, mesmo com o
nome bloqueado, o usuário continuará acessando a URL por meio de seu endereço IP. É possível
acrescentar endereços IP nas regras de filtragem WWW do perfil (caso queria realizar filtragem com
esta opção ativa), entretanto, devido a estes sofrerem mudanças e ao fato de muitos servidores
terem mais de um endereço IP, isto se torna extremamente difícil. Por outro lado, muitos
administradores percebem que sites mal configurados (especialmente os de webmail) utilizam
redirecionamento para servidores pelo seu endereço IP, de forma que, com esta opção desmarcada,
tais sites ficam inacessíveis.
Java, Javascript e Activex: Este campo permite definir uma filtragem especial para páginas
WWW, bloqueando, ou não, tecnologias consideradas perigosas ou incômodas para alguns
ambientes. Ela possui três opções que podem ser selecionadas independentemente:
Javascript, Java e Activex.
A filtragem de Javascript, Java e ActiveX é realizada de forma com que a página filtrada seja
visualizada como se o browser da máquina cliente não tivesse suporte para a(s) linguagem(s)
filtrada(s). Em alguns casos, isto pode fazer com que as páginas percam sua funcionalidade.
Uma vez configurado que se deve realizar o bloqueio, o mesmo será realizado por meio de
regras globais, iguais para todos os perfis. Para configurar estas regras de bloqueio de
banners, deve-se:
Esta janela é formada por uma série de regras no formado de expressão regular. Caso uma
URL se encaixe em qualquer regra, a mesma será considerada um banner e será bloqueada.
O protocolo HTTPS, para a URL inicial é filtrado como se fosse o protocolo HTTP. Além disso, uma
vez estabelecida à comunicação não é mais possível para o firewall filtrar qualquer parte de seu
conteúdo, já que a criptografia é realizada diretamente entre o cliente e o servidor.
Na parte inferior da pasta existe um grupo que define a ação a ser executado caso o endereço
que o cliente desejou acessar não se encaixe em nenhuma regra de filtragem. Este grupo é
chamado de Ação padrão para o protocolo e consiste de três opções.
Permitir: Se esta opção for à selecionada, então o firewall aceitará as URLs que não se
enquadrarem em nenhuma regra.
Bloquear: Se esta opção for à selecionada, então o firewall rejeitará as URLs que não se
enquadrarem em nenhuma regra.
Para executar qualquer operação sobre uma determinada regra, basta clicar sobre ela e a
seguir clicar na opção correspondente na barra de ferramentas. As seguintes opções estão
disponíveis:
Dica: A posição de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a
nova posição desejada, soltando em seguida. Observe que o cursor de indicação do mouse
irá mudar para uma mão segurando um bastão.
Cada regra de filtragem consiste de uma operação, que indica que tipo de pesquisa será
realizada e, o texto a ser pesquisado. As seguintes opções operação estão disponíveis:
Especificar os arquivos que serão bloqueados pelo perfil juntamente com o Filtro Web.
O tipo MIME é usado para indicar o tipo de dado que está no corpo de uma resposta em um
protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo e o segundo
indica o subtipo. O navegador usa esta informação para decidir como mostrar a informação
que ele recebeu do mesmo modo como o sistema operacional usa a extensão do nome do
arquivo.
Sites Excluídos:
Deve-se escolher a operação e o texto a ser incluído para análise. Sites que se enquadrarem
na lista de excluídos não serão analisados.
Opções de operação:
URL Bloqueada:
Permitir a configuração de qual ação deve ser executada pelo firewall quando um usuário
tentar acessar uma URL não permitida. Ela consiste das seguintes opções:
Mostrar: Essa opção permite definir a página que será mostrada ao usuário, quando a
tentativa de acesso a uma URL for bloqueada. Então se pode optar em mostrar a
página padrão ou redirecionar para a página escolhida, que será personalizada de
acordo com os checkboxes selecionados. Segue abaixo a descrição de cada opção e o
detalhamento das variáveis criadas.
Método: Informa qual o método utilizado pelo protocolo HTTP. Ex: GET, PUT, POST.
Quando selecionado o Método é criada a variável method.
Nome do Perfil: Nome dado, pelo usuário, ao perfil escolhido. Quando selecionada
essa opção é criada a variável perfil.
Ip do usuário: Endereço IP do usuário que tentou acessar a URL que foi bloqueada.
Quando selecionado o Método é criada a variável IP.
Razões: Ao selecionar a Razão é criada a variável razão. Ao habilitar essa opção será
mostrada a razão do bloqueio do site. Por exemplo, temos as seguintes razões:
"categoria da URL",
"regra de bloqueio",
"quota bytes excedidos",
"quota bytes insuficientes",
"quota tempo excedido",
"tipo de objeto não permitido",
"tipo de arquivo não permitido globalmente",
"tipo de arquivo não permitido no perfil",
"connect para a porta especificada não permitido”
Nome do Usuário: Nome do usuário que tentou acessar a URL. Ao selecionar o nome
do usuário é criada a variável user.
Site da URL bloqueado: Mostra a URL que o usuário tentou acessar e foi bloqueada.
Ao selecionar o Site da URL bloqueado é criada a variável url.
Quando o proxy ativo estiver sendo utilizado é uma URL for bloqueada por uma quota ou
por lista de padrão de busca, a página padrão para o bloqueio não será mostrada.
Em preview, aparece como será a URL e o que será enviado via método GET.
Permite Messenger: Se esta opção estiver desmarcada, os usuários que pertencerem a este
perfil não poderão acessar o Messenger, mesmo que exista uma regra de filtragem
permitindo este acesso.
É fundamental que o tipo mime do Messenger esteja bloqueado no proxy HTTP, caso contrário
poderá ser possível acessar o Messenger por meio deste serviço. Esta opção de bloqueio já vem
configurada como padrão, mas é importante atentar a isso caso se realize configurações no proxy
HTTP.
Não Filtrado: Esta opção só estará disponível caso a caixa Permite Messenger esteja ativa.
Ela indica que o usuário poderá usar MSN Messenger, sem nenhum tipo de filtragem (ex:
tempo de conversação, etc.).
Filtrado: Esta opção só estará disponível caso a caixa Permite Messenger esteja ativa. Ela
indica que o usuário poderá usar o MSN Messenger, porém de forma controlada, ou seja,
definida por meio das regras de filtragem para este serviço.
Permite notificações do Hotmail: Esta opção (que só estará ativa caso o acesso filtrado ao
MSN Messenger tenha sido selecionado) permite que o usuário receba notificações de
mensagens disponíveis no Hotmail.
Incluir conversas nos registros de log: Se esta opção estiver habilitada, todas as conversas
entre os usuários serão logadas
Bloquear versão: Estas opções permitem que sejam bloqueadas as versões específicas do
cliente MSN Messenger.
Caso tenha selecionado a opção de acesso filtrado ao Messenger, é necessário criar uma ou
mais regras para definir que tipo de acesso será permitido. Para executar qualquer operação
sobre uma regra, basta clicar sobre ela com o botão direito e a seguir escolher a opção
desejada no menu que irá aparecer. As seguintes opções estão disponíveis:
Figura 435 - Menu (inserir/desabilitar) para executar qualquer operação sobre a regra.
Os campos “Origem” e “destino” são baseados no fluxo das mensagens, por exemplo: Para que
A e B possam conversar uma regra deve ser criada, para que A (origem) escreva para B (Destino) e
vice-versa, sendo B (origem) possa escreve para A (Destino).
Ação: Define a ação a ser executada caso o endereço que o usuário desejou acessar não se
encaixe em nenhuma regra de filtragem. Consiste em duas opções:
• Aceita: Se esta opção for à selecionada, então o firewall aceitará as URLs que não se
enquadrarem em nenhuma regra.
• Rejeita: Se esta opção for à selecionada, então o firewall rejeitará as URLs que não se
enquadrarem em nenhuma regra.
Tipos de Arquivos Permitidos: Nesta coluna pode-se definir que tipos de arquivos podem ser
enviados/recebidos por meio do Messenger. Para isso deve-se inserir uma ou mais entidades
do tipo Lista de Tipo de Arquivo (para maiores informações veja o capítulo Cadastrando
entidades), contendo a lista de tipos de arquivos permitidos.
Tipos de serviços: Nesta coluna pode-se especificar quais serviços adicionais podem ser
utilizados por meio do Messenger. A definição dos tipos de serviços possíveis é realizada
dentro da configuração do proxy MSN. Para maiores informações veja o capítulo
Configurando o proxy MSN.
Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gasto pelos
funcionários, com acesso a sites da WEB. Assim as quotas são os limites em termos de tempo
de acesso e volume de dados, por usuário. Esta opção permite associar ao usuário alguma
entidade quota criada. A contabilização de quotas funciona da seguinte maneira: Uma quota
especifica esteja em regras distintas, desta forma o tempo e volume dos dados desta conta
serão somando, fazendo um cálculo de todas as regras em que a quota em questão está
localizada (caso exista quotas distintas para cada uma das regras, estas quotas serão
contabilizadas separadamente). Downloads e uploads também são contabilizados.
As conversas dos usuários não serão logadas ao habilitar a opção “Logar”, para que as conversas
sejam logadas a opção “Incluir conversas nos registros de log” deve estar habilitada.
Pastas compartilhadas: Nesta opção pode-se optar por permitir ou não que o usuário
compartilhe pastas no MSN.
Tabela de Horários: Horário em que o usuário poderá utilizar o serviço Messenger, dividido
nas 24 horas do dia. Caso seja desejado é possível copiar o horário padrão do perfil de acesso,
clicando-se com o botão direito sobre a tabela de horários e selecionando-se a opção Usar
tabela de horário padrão do perfil.
Habilitar regras de segurança: Esta opção deve estar selecionada para que as regras sejam
criadas.
Aceitar clientes antigos: Esta opção é usada para permitir que usuários que estejam usando
uma versão desatualizada do Aker Client se conectem no Firewall. Caso esta opção esteja
desmarcada estes usuários não poderão acessar o Firewall.
Item: Esta opção permite que o administrador selecione quais os tipos de itens e seus
respectivos estados terão permissão para se autenticar no Firewall
Log: Esta opção permite que o administrador defina se os logs de autenticação serão gravados
ou não.
Aceitar: Se esta opção for selecionada, as definições feitas nesta regra serão
permitidas.
Rejeitar: Se esta opção for selecionada, as definições feitas nesta regra serão
rejeitadas.
Filtro de plataforma por string: Este campo permite que o usuário faça filtros de versões de
sistemas operacionais, por exemplo: Fedora, ubuntu, debian ou Windows XP, vista, 7 ou 8.
Ação padrão: Estão opção define se todos os usuários poderão se autenticar no Firewall ou
não.
A opção de regras permite especificar regras de filtragem para o perfil de acesso. Seu formato
é exatamente igual à janela de regras de filtragem com a única exceção de que não se devem
especificar entidades origem para a regra. Aqui também é possível trabalhar com Políticas de
Regras de Filtragem. (para maiores informações, consulte o capítulo intitulado Filtro de
Estados).
As regras de filtragem para os perfis de acesso consideram como origem a máquina na qual a
sessão foi estabelecida. Devido a isso, é necessário apenas especificar as entidades destino e
serviços que podem ser acessados.
A opção de regras SOCKS permite especificar regras de filtragem para o acesso por meio do
proxy SOCKS. Seu formato é exatamente igual à janela de regras de filtragem com a única
exceção de que não se deve especificar entidades origem para a regra (para maiores
informações, consulte o capítulo intitulado Filtro de Estados).
As regras de filtragem para o proxy SOCKS consideram como origem a máquina na qual a
sessão foi estabelecida. Devido a isso é necessário apenas especificar as entidades destino e
serviços que podem ser acessados.
Esta aba permite configurar os serviços para que possam ser acessados por meio de Proxy SSL
e/ou VPN SSL pelos usuários que se enquadrarem neste perfil de acesso. Seu formato é
exatamente igual à janela de regras de filtragem com as exceções de que não se deve
especificar entidades origem para a regra e de que nem todas as opções estão disponíveis
(acumulador, canal, etc.). Aqui também é possível trabalhar com Políticas de Regras de
Filtragem. (para maiores informações, consulte o capítulo intitulado O Filtro de Estados).
Tipo: Indica o tipo de conexão SSL. Pode ser direta ou por meio do applet.
A conexão direta é denominada Proxy Reverso SSL, que possibilita a utilização de certificados
X.509 com tamanhos de chaves 1024, 2048 ou 4096 bits. O Cliente abre uma conexão SSL com
o Firewall, e o Firewall abre uma conexão normal com o servidor.
Na conexão via applet o cliente abre uma conexão via SSL com o Firewall por meio de uma
página WEB. O Firewall disponibiliza um applet de redirecionamento que o cliente irá baixá-
lo em sua máquina. Esse applet inicia uma conexão com o Firewall via SSL e o Firewall inicia
uma conexão com o servidor.
Ação: Este campo define qual a ação a ser tomada para todos os pacotes que se encaixem
nesta regra. Ela consiste nas seguintes opções:
Log: Definir quais tipos de ações serão executadas pelo sistema quando um pacote se encaixar
na regra. Ele consiste em várias opções que podem ser selecionadas independentemente uma
das outras.
Hora: Definir as horas e dias da semana em que a regra será aplicável. As linhas representam
os dias da semana e as colunas representam as horas. Caso queira que a regra seja aplicável
em determinada hora o quadrado deve ser preenchido, caso contrário o quadrado deve ser
deixado em branco.
As regras de filtragem para os perfis de acesso consideram como origem a máquina na qual a
sessão foi estabelecida. Devido a isso é necessário apenas especificar as entidades destino e serviços
que podem ser acessados.
Aba Configuração
Essa aba permite que sejam configuradas as opções de acesso do Secure Roaming que variam
de acordo com as permissões do cliente que está conectado. Para as demais configurações,
veja o capítulo Configurações do Secure Roaming.
Essa aba permite configurar as regras para filtros de aplicação. Estas regras permitem, por
exemplo, que determinados tipos de arquivos sejam bloqueados de acordo com seu tipo real,
independentemente de sua extensão ou protocolo que esteja sendo utilizado para enviá-los.
É possível também ao invés de bloquear, simplesmente mudar a prioridade de um serviço ou
tipo de arquivo sendo transmitido.
Uma das grandes utilizações destes filtros é para otimizar o acesso à Internet. É possível, por
exemplo, que todos os usuários tenham um acesso rápido à Internet, porém quando estes
tentarem baixar arquivos cujos tipos não sejam considerados importantes, por exemplo, mp3,
vídeos, etc., a conexão sendo utilizada para transferir estes arquivos automaticamente fique
com uma largura de banda bastante reduzida.
Para executar qualquer operação sobre uma regra, basta clicar sobre ela com o botão direito
e a seguir escolher a opção desejada no menu que irá aparecer. As seguintes opções estão
disponíveis:
Destino: Especificar os destinos da comunicação que o filtro estará inspecionando, para isso
deve-se inserir uma ou mais entidades do tipo máquinas, redes ou conjuntos (para maiores
informações veja o capítulo Cadastrando entidades).
Serviço: Especificar os serviços da comunicação que o filtro estará inspecionando, para isso
deve-se inserir uma ou mais entidades do tipo serviço (para maiores informações veja o
capítulo Cadastrando entidades).
Filtros de Aplicação: Indicar quais os filtros que estarão ativos para as conexões que forem
em direção a um dos destinos especificados na regra e utilizando um dos serviços também
especificados. A definição dos filtros é realizada na janela de Filtragem de Aplicações. Para
maiores informações veja o capítulo Configurando Filtragem de Aplicações.
Canal: Esta coluna só estará habilitada caso a ação Mudar prioridade tenha sido selecionada.
Ela indica qual a nova prioridade que será atribuída à conexão. Deve-se inserir uma entidade
do tipo canal (para maiores informações veja o capítulo Cadastrando entidades).
Ação: Esta coluna indica a ação que será tomada pelo firewall caso um dos filtros
especificados seja aplicado. Ela consiste das seguintes opções:
Aceita: Significa que a conexão será autorizada a passar por meio do firewall.
Mudar prioridade: Indica que a conexão será aceita, porém com uma prioridade diferente,
que deverá ser especificada na coluna Canal.
Bloqueia origem: Indica que a máquina que originou a conexão deverá ser bloqueada por
algum tempo (isso significa que todas as conexões originadas nela serão recusadas). A coluna
Rejeita: Significa que a conexão não passará pelo firewall e será enviado um pacote de reset
para a máquina originária da comunicação.
Descarta: Significa que a conexão não passará pelo firewall, mas não será enviado nenhum
pacote para a máquina de origem.
Tempo de bloqueio: Esta coluna só estará habilitada caso a ação Bloqueia origem tenha sido
selecionada. Ela indica por quanto tempo a máquina origem será bloqueada.
Uma vez que os perfis de acesso estão criados, torna-se necessário associá-los com usuários
e grupos de um ou mais autenticadores ou autoridades certificadoras do firewall. Isto é
realizado por meio da janela de controle de acesso.
A aba de controle de acesso permite que seja criada a associação de usuários/grupos com um
perfil de acesso.
Na parte inferior da janela existe um campo chamado Perfil Padrão onde se pode selecionar
o perfil que será associado aos usuários que não se enquadrem em nenhuma regra de
associação.
Para associar um usuário ou grupo com um determinado perfil de acesso, deve-se proceder
da seguinte maneira:
1. Clique com o botão direito do mouse na lista de regras e selecionar a opção Inserir;
4. Clicar com o botão direito sobre o campo Perfil para selecionar o perfil desejado,
conforme o menu a seguir:
5. Caso deseje, arraste algumas entidades máquina, rede ou conjuntos para o campo
entidades. Se o usuário estiver fora dessas entidades, a regra será pulada.
Para remover uma regra entre um usuário/grupo e um perfil, deve-se proceder da seguinte
maneira:
Para alterar a posição de uma regra dentro da lista, deve-se proceder da seguinte forma:
A caixa Ativar controle de acesso por endereço IP origem deverá estar marcada para que o firewall
use esta facilidade.
Este capítulo mostra o que é o Cliente de Autenticação Aker e para que serve essa ferramenta
que propicia grande nível de segurança.
É possível visualizar a qualquer momento os usuários que possuem sessão estabelecida com
o firewall, por meio do cliente de autenticação, e remover uma destas sessões. Isto é realizado
por meio da janela de usuários logados.
Figura 456 - Usuários conectados (máquina, nome, domínio, perfil, inicio, TPC e nº de
usuários conectados.)
Esta janela consiste de uma lista com uma entrada para cada usuário. Na parte inferior da
janela é mostrada uma mensagem informando o número total de usuários com sessões
estabelecidas um determinado instante. Para os usuários logados via Secure Roaming, serão
mostrados também os dados da conexão (endereço IP e portas) junto com o estado de
estabelecimento da mesma.
É possível ordenar a lista das sessões por qualquer um de seus campos, bastando para isso
clicar no título do campo. O primeiro clique produzirá uma ordenação ascendente e o
segundo uma ordenação descendente.
Cada linha presente na lista de sessões de usuários representa uma sessão. O significado de
seus campos é mostrado a seguir:
Ícone: É mostrado a esquerda do nome de cada usuário e pode assumir três formas distintas:
Cadeado: Este ícone indica que o usuário se logou por meio do cliente de criptografia apenas.
Usuário: Este ícone indica que o usuário se logou por meio do cliente de autenticação apenas.
Usuário dentro do cadeado: Este ícone indica que o usuário se logou por meio do cliente de
autenticação e de criptografia.
Máquina: Endereço IP ou nome (caso o DNS esteja ativo) da máquina na qual a sessão foi
estabelecida.
Domínio: Nome do domínio, i.e. autenticador, no qual o usuário se autenticou. Caso o usuário
não tenha especificado domínio ao se logar, este campo aparecerá em branco.
A Interface Texto (via SSH) para acesso à lista de usuários logados possui as mesmas
capacidades da Interface Remota e é simples de ser utilizado. Ele é o mesmo programa que
produz a lista de conexões ativas TCP e UDP, mostrado anteriormente.
Sintaxe:
IP_destino Porta_destino
Este capítulo mostra quais as funções oferecidas pelo proxy SMTP e como realizar sua
configuração.
O proxy SMTP é um programa especializado do Aker Firewall realizado para trabalhar com
correio eletrônico (SMTP é um anagrama para Simple Mail Transfer Protocol, que é o nome
completo do serviço de transferência de correio eletrônico na Internet). Este proxy possibilita
que sejam realizadas filtragens de e-mails baseadas em seu conteúdo ou em qualquer campo
de seu cabeçalho. Ele também atua como uma barreira protegendo o servidor SMTP contra
diversos tipos de ataques.
Uma mensagem de e-mail é formada por três partes distintas: envelope, cabeçalho e corpo.
Cada uma destas partes possui um papel específico:
Envelope
O envelope é chamado desta forma por ser análogo a um envelope de uma carta comum.
Nele se encontram as informações do emissor e dos destinatários de uma mensagem.
Para cada recipiente de um domínio diferente é gerado um novo envelope. Desta forma,
um servidor SMTP recebe no envelope de uma mensagem o nome de todos os recipientes
da mensagem que se encontram no seu domínio.
O envelope não é visto pelos destinatários de uma mensagem. Ele somente é usado entre
os servidores SMTP.
Cabeçalho
O corpo é composto pela mensagem propriamente dita, da forma com que foi produzida
pelo emissor.
Existem diversos ataques passíveis de serem realizados contra um servidor SMTP. São eles:
O proxy SMTP do Aker Firewall impede estes ataques na medida em que só permite a
utilização de comandos considerados seguros e validando os parâmetros de todos os
comandos.
Estes ataques consistem em enviar linhas de comando muito grandes, fazendo com que
um servidor que não tenha sido corretamente desenvolvido apresente falhas de
segurança.
O proxy SMTP do Aker Firewall impede estes ataques na medida em que limitam o
tamanho máximo das linhas de comando que podem ser enviadas para o servidor.
Ataques de relay
Estes ataques consistem em utilizar o servidor SMTP de terceiros para enviar suas
mensagens de correio eletrônico. Desta forma, utiliza-se os recursos computacionais que
deveriam estar disponíveis para requisições válidas.
O proxy SMTP do Aker Firewall impede ataques de relay desde que corretamente
configurado.
Para se utilizar o proxy SMTP em uma comunicação, é necessário executar uma sequência de
2 passos:
1. Criar um serviço que será desviado para o proxy SMTP e editar os parâmetros do
contexto a ser usado por este serviço (para maiores informações, veja o capítulo
intitulado Cadastrando Entidades).
A janela de propriedades de um contexto SMTP será mostrada quando a opção Proxy SMTP
for selecionada. Por meio dela é possível definir o comportamento do proxy SMTP quando
este for lidar com o serviço em questão.
Aba Geral
® Aker Security Solutions
630
Figura 459 - Serviços: geral.
Tamanho máximo da mensagem: Este campo indica o tamanho máximo, em bytes ou kbytes,
de uma mensagem para que ela possa ser aceita pelo proxy. Caso não queira definir um
tamanho máximo, basta marcar a opção Sem Limite, localizada à direita deste campo.
Registrar na lista de eventos: Este campo indica se as mensagens que não se enquadrarem
em nenhuma regra SMTP deste contexto devem ser registradas na lista de eventos.
Envia cópia de todas as mensagens: Independente de uma mensagem ter sido aceita ou
rejeitada, é possível enviar uma cópia completa dela para um endereço de e-mail qualquer.
Este campo indica se deve ou não ser enviada está cópia.
E-mail padrão: Indica o endereço de e-mail padrão, para o qual serão enviadas as cópias das
mensagens que não se enquadrarem em nenhuma regra SMTP deste contexto (se a opção
Envia Cópia de todas as mensagens estiver marcada). Este e-mail também pode ser
referenciado em qualquer regra de filtragem do contexto.
Aba de Relay
Esta pasta serve para especificar uma lista de domínios válidos para recebimento de e-mails.
E-mails destinados a quaisquer domínios não listados serão rejeitados antes mesmo que se
comece sua transmissão.
Caso a lista de domínios esteja em branco o firewall não fará controle de relay, ou seja, aceitará
e-mails destinados a quaisquer domínios.
Diferentemente do controle de relay de servidores SMTP, o firewall apenas pode basear seu
controle no destinatário dos e-mails, e não no remetente, uma vez que não possui a lista de usuários
válidos do servidor SMTP protegido.
O número máximo de anexos que o proxy SMTP do firewall trata por padrão é de 200. Caso um e-
mail passe pelo proxy SMTP contendo um número de anexos maior que esse, o e-mail não será
enviado e o remetente da mensagem receberá um e-mail informando que houve um erro no envio.
Aba de Regras
Nesta pasta são mostradas todas as regras de filtragem para o contexto. Estas regras
possibilitam que o administrador configure filtros de e-mails baseados em seu conteúdo.
Para executar qualquer operação sobre uma determinada regra, basta clicar com o botão
direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu será acionado sempre
que pressionar o botão direito, mesmo que não exista nenhuma regra selecionada. Neste
caso, somente as opções Incluir e Colar estarão habilitadas).
Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova será inserida na posição da regra selecionada. Caso contrário, a nova
regra será incluída no final da lista.
Dica: Todas as opções mostradas acima podem ser executadas a partir da barra de
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a regra, clicando-
o com o botão esquerdo, e em seguida clica-se na opção desejada.
A ordem das regras na lista de regras de filtragem SMTP é de fundamental importância. Ao receber
uma mensagem, o firewall pesquisará a lista a partir do início procurando uma regra na qual a
mensagem se enquadre. Tão logo uma seja encontrada, a ação associada a ela será executada.
Nesta janela são configurados todos os parâmetros relativos a uma regra de filtragem para
um contexto SMTP. Cada regra consiste basicamente de 3 condições independentes que
podem ou não estar preenchidas (ou seja, é possível criar regras com apenas uma ou duas
condições).
Nome: Nome que define unicamente a regra dentro do contexto. Este nome será mostrado
na lista de regras do contexto SMTP. Não podem existir duas regras com o mesmo nome.
Os campos TO e CC são tratados de forma diferente pelo proxy SMTP: o campo TO é tratado com
uma lista dos vários recipientes da mensagem, retirados do envelope da mensagem. O campo CC é
tratado como um texto simples, retirado do cabeçalho da mensagem, e sua utilidade é bastante
limitada.
Pesquisa: Tipo de pesquisa a ser executada no campo definido acima. São elas:
CONTÉM: O campo a ser pesquisado deve conter o texto informado em qualquer posição.
NÃO CONTÉM: O campo a ser pesquisado não pode conter o texto informado.
É: O conteúdo do campo a ser pesquisado deve ser exatamente igual ao texto informado.
NÃO É: O conteúdo do campo a ser pesquisado deve ser diferente do texto informado.
COMEÇA COM: O conteúdo do campo a ser pesquisado deve começar com o texto
informado.
NÃO COMEÇA COM: O conteúdo do campo a ser pesquisado não pode começar com o
texto informado.
TERMINA COM: O conteúdo do campo a ser pesquisado deve terminar com o texto
informado
NÃO TERMINA COM: O conteúdo do campo a ser pesquisado não pode terminar com o
texto informado.
CONTÉM PALAVRAS: Neste tipo de pesquisa, o texto informado é considerado como
formado por palavras individuais (separadas por espaços), ao invés de um texto contínuo.
Para se enquadrar na pesquisa, o campo em questão deve conter todas as palavras
informadas, independentemente de sua posição.
Texto: Texto a ser pesquisado. Este campo é tratado como um texto contínuo que será
comparado com o campo especificado, exceto no caso da pesquisa CONTÉM PALAVRAS,
Os campos Campo, Pesquisa e Texto aparecem 3 vezes. Desta forma, é possível definir até 3
condições distintas que uma mensagem deve cumprir para que seja enquadrada pela regra. Caso não
queira especificar três condições, basta deixar as demais com o valor NENHUM no parâmetro campo.
Ativação dos filtros: Este campo só tem sentido quando especifica mais de uma condição. Ele
indica que tipo de operação será usada para relacioná-las:
Somente se todos são verdadeiros: Para que uma mensagem enquadre na regra, é
necessário que ela satisfaça todas as condições.
Se qualquer um for verdadeiro: Para que uma mensagem enquadre na regra, basta ela
satisfazer uma das condições.
Ação: Este campo indica se as mensagens que se enquadrarem na regra devem ser aceitas ou
rejeitadas pelo proxy SMTP.
Enviar cópia: Para toda mensagem que se enquadrar na regra, independentemente de ter
sido aceita ou rejeitada, é possível enviar uma cópia completa dela para um endereço de e-
mail qualquer. Este campo indica se deve ou não ser enviada está cópia. Caso ele esteja
marcado, deve-se escolher uma das seguintes opções de envio:
Nesta pasta são mostradas todas as regras de filtragem de DNS para o contexto. Estas regras
possibilitam que o administrador configure filtros de e-mails baseados no nome retornado
pelo DNS reverso do servidor SMTP que estiver enviando a mensagem.
Para executar qualquer operação sobre uma determinada regra, basta clicar com o botão
direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu será acionado sempre
que se pressionar o botão direito, mesmo que não exista nenhuma regra selecionada. Neste
caso, somente as opções Incluir e Colar estarão habilitadas).
Dica: Todas as opções mostradas acima podem ser executadas a partir da barra de
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a regra, clicando-
o com o botão esquerdo, e em seguida clica-se na opção desejada.
Nome: Nome que define unicamente a regra dentro do contexto. Este nome será mostrado
na lista de regras do contexto SMTP. Não podem existir duas regras com o mesmo nome.
Registrar na lista de eventos: Registrar no log de eventos do firewall caso a regra tenha sido
executada.
Verificar alias: Se esta opção estiver marcada, o firewall comparará todos os nomes
retornados pelo DNS para verificar se algum deles se encaixa na regra.
Ação: Ação a ser executada pelo firewall caso a regra seja atendida. Ela pode ser Aceita ou
Rejeitada.
Estas pastas são especificadas as regras de tratamento de arquivos anexados. Essas regras
permitem que, caso uma mensagem tenha sido aceita, ela tenha seus arquivos anexados
removidos ou checados contra vírus. Elas permitem também que se rejeite uma mensagem
por completo, caso ela contenha um arquivo anexo inaceitável (com vírus, por exemplo).
Agente de antivírus para checagem dos arquivos: Esse campo indica o agente antivírus que
será utilizado para checar vírus dos arquivos anexados a mensagens de e-mail. Esse agente
deve ter sido previamente cadastrado no firewall. Para maiores informações veja o capítulo
intitulado Cadastrando entidades.
Permitir a passagem de anexos mal codificados: Se esta opção estiver marcada, anexos que
apresentem erros de codificação serão aceitos pelo firewall, caso contrário à mensagem será
recusada.
Para executar qualquer operação sobre uma determinada regra, basta clicar com o botão
direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu será acionado sempre
que se pressionar o botão direito, mesmo que não exista nenhuma regra selecionada. Neste
caso, somente as opções Incluir e Colar estarão habilitadas).
Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova será inserida na posição da regra selecionada. Caso contrário, a nova
regra será incluída no final da lista.
Copiar: Copiar a regra selecionada para uma área temporária.
Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver selecionada, a
nova será copiada para a posição da regra selecionada. Caso contrário ela será copiada
para o final da lista.
Editar: Abrir a janela de edição para a regra selecionada.
Excluir: Remover da lista a regra selecionada.
Renomear: Renomear a regra selecionada da lista.
Dica: Todas as opções mostradas acima podem ser executadas a partir da barra de
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a regra, clicando-
o com o botão esquerdo, e em seguida clica-se na opção desejada.
Nesta janela são configurados todos os parâmetros relativos a uma regra de filtragem de
arquivos para um contexto SMTP. Ela consiste dos seguintes campos:
Nome: Definir unicamente a regra dentro do contexto. Este nome será mostrado na lista de
regras de arquivos. Não podem existir duas regras com o mesmo nome.
Filtrar por tipo MIME: Permitir a definição de uma regra de filtragem de arquivos baseando-
se em seu tipo MIME. Ao ser marcada, deve-se especificar seu tipo e seu subtipo.
Filtrar por nome: Permitir a realização de filtragens a partir (de parte) do nome, do arquivo
anexado. Ao ser marcado, deve-se especificar o tipo de pesquisa a ser efetuada e o texto a
Ação: Indica qual a ação a ser tomada pelo firewall quando um arquivo se enquadrar na regra.
Ela consiste de três opções:
Aceita o anexo: Se essa opção for selecionada o firewall irá manter o arquivo anexado na
mensagem.
Remove o anexo: Se essa opção for selecionada o firewall irá remover o arquivo anexado
da mensagem.
Descarta mensagem: Se essa opção for selecionada o firewall recusará a mensagem
completa.
Remove anexo infectado: Se essa opção for selecionada o firewall irá verificar o arquivo
anexado da mensagem contra vírus. Caso exista vírus o firewall tomará uma das seguintes
ações: se o arquivo puder ser desinfectado, o vírus será removido e o arquivo reanexado
à mensagem. Caso o arquivo não possa ser desinfectado, o firewall o removerá e
acrescentará uma mensagem informando ao destinatário desse fato.
Descarta mensagem infectada: Se essa opção for selecionada o firewall irá verificar o
arquivo anexado da mensagem contra vírus. Caso exista vírus o firewall tomará uma das
seguintes ações: se o arquivo puder ser desinfectado, o vírus será removido e o arquivo
reanexado à mensagem. Caso o arquivo não possa ser desinfectado, o firewall recusará a
mensagem.
Recomenda-se utilizar as ações que removem os arquivos anexados nos e-mails recebidos pela
companhia e as que bloqueiam a mensagem por completo nas regras aplicadas aos e-mails que saem.
Notifica emissor no caso de remoção do arquivo anexado: Se essa opção estiver marcada, o
firewall enviará uma mensagem para o emissor de um e-mail todas as vezes que um ou mais
de seus arquivos anexados for removido.
Envia cópia para o administrador do arquivo anexado for removido: Se essa opção estiver
marcada, o firewall enviará uma cópia de todos os arquivos removidos para o administrador.
Caso ela esteja marcada, deve-se escolher uma das seguintes opções de envio:
Esta pasta contém opções de bloqueio de sites considerados fontes de SPAM. O bloqueio é
realizado em tempo real, mediante consulta a uma ou mais listas de bloqueio dinâmicas,
mantidas por terceiros. Ela consiste das seguintes opções:
Black list padrão: São três listas negras que contém vários relays acusados de fazer SPAM
(envio de mensagem não desejada). Elas são gerenciadas por organizações e o firewall
simplesmente consultam-nas, antes de aceitar os e-mails. Marque as opções
correspondentes se desejar utilizar está facilidade.
Black list do usuário: São listas negras configuráveis pelo administrador do firewall. Ela
consiste de uma lista de listas negras, cada uma com os seguintes campos:
Zona de DNS: É a zona completa de DNS que deverá ser consultada pelo firewall. Caso um
endereço IP esteja presente nessa zona, e-mails vindos dele serão recusados.
Esta aba contém as opções de configuração da comunicação do firewall com o Spam Meter,
um produto criado pela Aker Security Solutions com o objetivo de atribuir notas a mensagens
de e-mail, de acordo com a probabilidade de estas serem ou não SPAM. Ela consiste das
seguintes opções:
Base a usar: O Spam Meter permite a utilização de diversas bases para realizar a classificação
de mensagens. A ideia por trás disso é permitir que cada pessoa ou grupo de pessoas com
características semelhantes possam ter suas mensagens classificadas por uma base que
melhor reflita sua definição de SPAM. O Aker Firewall não permite a utilização de bases
distintas por pessoas ou grupos, porém é possível utilizar uma base distinta para cada
contexto SMTP. Este campo serve para especificar o nome da base que será utilizada por este
contexto.
Níveis de Spam: Este controle permite a definição de dois limites de notas (entre 0 e 100)
para a filtragem de mensagens: Limite 1 e Limite 2.
Limite 1: Define o limite, faixa verde, até o qual as mensagens são consideradas como não
SPAM.
Limite 2: Define, junto com o Limite 1, as faixas amarelas e vermelhas. A faixa amarela indica
e-mails que potencialmente são SPAM mas que o SPAM Meter não tem certeza suficiente. A
faixa vermelha indica mensagens que foram consideradas SPAM.
Detecção de SPAM aprimorada: Se esta opção estiver selecionada o Spam Meter tentará
detectar a maior quantidade possível de mensagens SPAM, com o inconveniente de
eventualmente poder gerar mais falsos positivos, ou seja, mensagens que seriam válidas
classificadas como potenciais SPAM.
Redução de Falso-positivo: Se esta opção estiver selecionada, o Spam Meter tentará reduzir
ao máximo os falsos positivos, com o inconveniente de eventualmente classificar como
inofensiva uma mensagem que seria SPAM.
Ação: Este campo indica as ações que devem ser executadas pelas mensagens que se
enquadrarem em cada uma das áreas definidas pelos limites 1 e 2. As seguintes opções estão
disponíveis:
Aceitar: As mensagens que se enquadrarem nesta faixa serão aceitas sem qualquer
modificação. Normalmente esta ação é associada à faixa verde.
Descartar: As mensagens que se enquadrarem nesta faixa serão descartadas pelo firewall,
isto é, elas serão recebidas por ele e o servidor que as enviou será informado do sucesso no
envio, no entanto elas nunca serão reenviadas aos usuários que as deveriam receber. Esta
ação deve ser utilizada apenas na faixa vermelha e seu objetivo é impedir que potenciais
emissores de SPAM saibam se conseguiram ou não enviar suas mensagens.
Rejeitar: As mensagens que se enquadrarem nesta faixa serão rejeitadas pelo firewall, isto é,
o servidor que as enviou será informado que elas foram recusadas e que ele não deve tentar
enviá-las novamente. Esta ação deve ser utilizada apenas na faixa vermelha.
Enviar cópia: Para toda mensagem, independentemente de ter sido aceita ou rejeitada, é
possível enviar uma cópia completa dela para um endereço de e-mail qualquer. Este campo
indica se deve ou não ser enviada está cópia. Caso ele esteja marcado, deve-se escolher uma
das seguintes opções de envio:
Usar plug-in: Esse campo indica os destinatários que treinarão mensagens por meio do plug-
in de treinamento disponibilizado pela Aker (disponível inicialmente para Outlook e
Thunderbird). Neste caso, as mensagens não serão modificadas em nenhuma forma, apenas
alguns campos novos serão acrescentados no cabeçalho. Ele especifica uma entidade do tipo
de e-mails que deve ter sido previamente cadastrada no firewall (para maiores informações
veja o capítulo intitulado Cadastrando entidades).
Usar sub-mensagens (.eml): Os destinatários que estiverem neste campo receberão suas
mensagens originais encapsuladas em outra, que conterá botões que os possibilitará de
realizar o treinamento (a mensagem inicial virá sem nenhuma modificação, porém em alguns
leitores de e-mail será necessário clicar sobre ela para pode visualizá-la). Ele especifica uma
entidade do tipo de e-mail que deve ter sido previamente cadastrada no firewall (para
maiores informações veja o capítulo intitulado Cadastrando entidades).
Usar layout HTML: Os destinatários que estiverem neste campo receberão suas mensagens
originais acrescidas de um novo layout HTML, que conterá botões que os possibilitará de
realizar o treinamento. Ele especifica uma entidade do tipo de e-mails que deve ter sido
previamente cadastrada no firewall (para maiores informações veja o capítulo intitulado
Cadastrando entidades).
Endereço para treinamento: Este campo deve ser preenchido com o nome ou endereço IP da
máquina na qual o firewall está rodando, de modo a que os leitores de e-mails dos clientes
saibam para onde enviar o resultado do treinamento.
As listas serão pesquisadas pelo firewall na ordem em que aparecem, isto é, se um destinatário
estiver em duas ou mais listas, a mensagem será modificada de acordo com a lista superior.
Caso um usuário não apareça em nenhuma lista ele não poderá realizar treinamento da base.
Aba Avançado
Esta pasta permite o acesso às opções de configuração avançadas do proxy SMTP. Elas
permitem um ajuste fino do funcionamento do proxy. As opções são:
Permite cabeçalho incompleto: Se esta opção estiver marcada como NÃO, não serão aceitas
mensagens cujos cabeçalhos não contenham todos os campos obrigatórios de uma
mensagem SMTP.
® Aker Security Solutions
649
Número de processos: Este campo indica o número máximo de cópias do proxy que poderão
estar ativas em um determinado momento. Como cada processo trata uma conexão, este
número também representa o número máximo de mensagens que podem ser enviadas
simultaneamente para o contexto em questão. Caso o número de conexões ativas atinja este
limite, os clientes que tentarem enviar novas mensagens serão informados que o servidor se
encontra temporariamente impossibilitado de aceitar novas conexões e que devem tentar
novamente mais tarde.
É possível utilizar este número de processos como uma ferramenta para controlar o número
máximo de mensagens simultâneas passando pelo link, de forma a não saturá-lo.
Tempo limite de resposta do cliente: Este parâmetro indica o tempo máximo, em segundos,
que o proxy espera entre cada comando do cliente que está enviando a mensagem SMTP.
Caso este tempo seja atingido sem receber nenhum comando do cliente, o proxy assume que
este caiu e derruba a conexão.
Tempo limite de resposta para servidor: Para cada um dos possíveis comandos válidos do
protocolo SMTP, existe um tempo máximo de espera por uma resposta do servidor. Caso não
receba nenhuma resposta dentro deste período, o proxy assume que o servidor caiu e
derruba a conexão. Neste grupo é possível configurar o tempo máximo de espera, em
segundos, para cada um destes comandos.
Todos os demais parâmetros se referem aos tempos limites de resposta para cada comando
SMTP e não devem ser modificados a não ser que haja uma razão específica para fazê-lo.
Este capítulo mostra como configurar o proxy telnet para realizar autenticação de usuários.
O proxy Telnet é um programa especializado do Aker Firewall realizado para trabalhar com o
protocolo Telnet, que é o protocolo utilizado para emulação de terminais remotos. A sua
função básica é possibilitar a realização de uma autenticação em nível de usuário para as
sessões telnet a serem estabelecidas. Este tipo de autenticação permite uma grande
flexibilidade e um elevado nível de segurança.
Para utilizar o proxy Telnet para realizar autenticações em uma comunicação, é necessário
executar uma sequência de 2 passos:
1. Criar um serviço que será desviado para o proxy Telnet e editar os parâmetros do contexto
a ser usado por este serviço (para maiores informações, veja o capítulo intitulado
Cadastrando Entidades).
2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1, para
as redes ou máquinas desejadas (para maiores informações, veja o capítulo intitulado O
Filtro de Estados).
A partir deste momento, todas as vezes que uma sessão telnet enquadrar na regra criada que
foi estabelecida, o firewall solicitará uma identificação do usuário e uma senha. Se a
identificação e a senha forem válidas e o usuário em questão tiver permissão, a sessão será
estabelecida. Caso contrário o usuário será informado do erro e a sessão cancelada.
A janela de propriedades de um contexto Telnet será mostrada quando a opção Proxy Telnet
for selecionada. Por meio dela é possível definir o comportamento do proxy Telnet quando
este for lidar com o serviço em questão.
Somente aceita conexões de máquinas com DNS reverso válido: Ao selecionar essa opção,
somente serão aceitas conexões de máquinas cujo DNS reverso esteja configurado e aponte
para um nome válido.
Permissão Padrão: Indicar a permissão que será aplicada a todos os usuários que não
estiverem presentes e que não façam parte de nenhum grupo presente na lista de
permissões. O valor aceita permite que a sessão de telnet seja estabelecida e o valor rejeita
impede sua realização.
Número máximo de sessões simultâneas: Definir o número máximo de sessões telnet que
podem estar ativas simultaneamente neste contexto. Caso o número de sessões abertas
atinja este limite, os usuários que tentarem estabelecer novas conexões serão informados
que o limite foi atingido e que devem tentar novamente mais tarde.
Tempo limite de inatividade: Definir o tempo máximo, em segundos, que o proxy pode ficar
sem receber dados da sessão Telnet e ainda considerá-la ativa.
Para executar qualquer operação sobre um usuário ou grupo na lista de permissões, basta
clicar com o botão direito do mouse sobre ele. Aparecerá o seguinte menu: (este menu será
acionado sempre que se pressionar o botão direito, mesmo que não exista nenhum
usuário/grupo selecionado. Neste caso, somente as opções Incluir e Colar estarão
habilitadas).
Dica: Todas as opções mostradas acima podem ser executadas a partir da barra de
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se o usuário/grupo,
clicando-o com o botão esquerdo, e em seguida clica-se na opção desejada.
Para alterar a posição de um usuário ou grupo dentro da lista, deve-se proceder da seguinte
forma:
Este capítulo mostra como configurar o proxy FTP, de forma a bloquear determinados
comandos da transferência de arquivos.
O proxy FTP é um programa especializado do Aker Firewall realizado para trabalhar com o
protocolo FTP, que é o protocolo utilizado para a transferência de arquivos pela Internet. A
sua função básica é possibilitar que o administrador defina os comandos que podem ser
aceitos e impedir, por exemplo, a criação de novos arquivos ou de diretórios.
Para utilizar o proxy FTP para realizar o controle de uma transferência de arquivos é
necessário executar uma sequência de 2 passos:
1. Criar um serviço que será desviado para o proxy FTP e editar os parâmetros do contexto a ser
usado por este serviço (para maiores informações, veja o capítulo intitulado Cadastrando
Entidades).
2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1, para as
redes ou máquinas desejadas (para maiores informações, veja o capítulo intitulado O Filtro
de Estados).
O proxy FTP não realiza autenticação de usuários. Para possibilitar que certos usuários tenham
privilégios diferentes é necessário criar serviços do proxy FTP com contextos distintos e associar cada
um destes serviços com um perfil de acesso.
A janela de propriedades de um contexto FTP será mostrada quando selecionar a opção Proxy
FTP, na janela de edição de serviços. Por meio dela é possível definir o comportamento do
proxy FTP quando este for lidar com o serviço em questão.
Somente aceita conexões de máquinas com DNS reverso válido: Ao selecionar essa opção,
somente serão aceitas conexões de máquinas cujo DNS reverso esteja configurado e aponte
para um nome válido.
Permitir que o servidor abra conexões em qualquer porta com o cliente: Esta opção permite
que o servidor FTP comunique-se com o cliente por uma porta diferente do padrão que é TCP
20.
Número máximo de conexões simultâneas: Definir o número máximo de sessões FTP que
podem estar ativas simultaneamente neste contexto. Caso o número de sessões abertas
atinja este limite, os usuários que tentarem estabelecer novas conexões serão informados
que o limite foi atingido e que devem tentar novamente mais tarde.
Tempo limite de inatividade: Definir o tempo máximo, em segundos, que o proxy pode ficar
sem receber dados da sessão FTP e ainda considerá-la ativa.
O valor deste campo deve ser menor ou igual ao valor configurado no campo Tempo limite
TCP, nos parâmetros de configuração globais. (para maiores informações, veja o capítulo
intitulado Configurando os parâmetros do sistema.
Esta janela permite a criação de uma lista de regras que poderão ser aceitas ou não, de acordo
com ícone na coluna Ação que terão as opções Aceita ou Rejeita.
Para poder inserir um comando na coluna FTP é necessário clicar com o botão direito dentro
do componente e selecionar a opção inserir, assim depois de inserida a regra, deve-se clicar
na coluna FTP e selecionar a opção desejada ou digitar outro comando.
mkd - Criar diretório: Ao selecionar essa opção, será possível a criação de diretórios por meio
das conexões FTP que se encaixarem neste contexto.
xmkd - Criar diretório estendido: Ao selecionar essa opção, será possível a criação de
diretórios estendidos por meio das conexões FTP que se encaixarem neste contexto.
xrmd - Apaga um diretório estendido: Ao selecionar essa opção, será possível remover
diretórios estendidos por meio das conexões FTP que se encaixarem neste contexto.
list - Listar diretório: Ao selecionar essa opção será possível a visualização do conteúdo de
diretórios (comandos DIR ou LS) por meio das conexões FTP que se encaixarem neste
contexto.
nlst - Listar nomes dos diretórios: Ao selecionar essa opção será possível a visualização dos
nomes dos diretórios, por meio das conexões FTP que se encaixarem neste contexto.
retr - Download de arquivos: Ao selecionar essa opção, será possível fazer download de
arquivos por meio das conexões FTP que se encaixarem neste contexto.
stor - Upload de arquivos: Ao selecionar essa opção, será possível fazer upload de arquivos
por meio das conexões FTP que se encaixarem neste contexto.
stou - Upload de apenas um arquivos: Ao selecionar essa opção, será possível fazer upload
de um arquivo com o nome único no diretório corrente.
appe - Adicionar arquivo com a criação: Ao selecionar essa opção, será possível concatenar
os dados no fim de um arquivo. Caso o arquivo não exista ele será criado.
dele - Remove arquivos: Ao desmarcar essa opção, não será possível remover arquivos por
meio das conexões FTP que se encaixarem neste contexto.
rnfr - Renomear arquivos: Se esta opção estiver desmarcada, não será possível renomear
arquivos por meio das conexões FTP que se encaixarem neste contexto.
Este capítulo mostra quais as funções oferecidas pelo proxy POP3 e como realizar a sua
configuração.
O proxy POP3 é um programa especializado do Aker Firewall realizado para trabalhar com
correio eletrônico. Este proxy possibilita realizar filtragens de e-mails baseadas em seus
arquivos anexos. Ele também atua como uma barreira protegendo o servidor POP3 contra
diversos tipos de ataques.
POP3 é um anagrama para protocolo Post Office, que é o nome completo do serviço de download
de mensagens de correio eletrônico na Internet.
Existem diversos ataques passíveis de serem realizados contra um servidor POP3. São eles:
O proxy POP3 do Aker Firewall impede estes ataques na medida em que só permitem a
utilização de comandos considerados seguros e validando os parâmetros de todos os
comandos.
Estes ataques consistem em enviar linhas de comando muito grandes, fazendo com que
um servidor que não tenha sido corretamente desenvolvido apresente falhas de
segurança.
O proxy POP3 do Aker Firewall impede estes ataques na medida em que limita o tamanho
máximo das linhas de comando que podem ser enviadas para o servidor.
Para utilizar o proxy POP3 em uma comunicação, é necessário executar uma sequência de 2
passos:
1. Criar um serviço que será desviado para o proxy POP3 e editar os parâmetros do contexto
a ser usado por este serviço (para maiores informações, veja o capítulo intitulado
Cadastrando Entidades).
2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1, para
as redes ou máquinas desejadas (para maiores informações, veja o capítulo intitulado O
Filtro de Estados).
A janela de propriedades de um contexto POP3 será mostrada quando a opção Proxy POP3
for selecionada. Por meio dela é possível definir o comportamento do proxy POP3 quando
este for lidar com o serviço em questão.
Configurações: É formado por diversos campos que indicam as ações a serem executadas
pelo proxy POP3:
Agente de antivírus: Indicar o agente antivírus que será utilizado para checar vírus dos
arquivos anexados a mensagens de e-mail. Esse agente deve ter sido previamente
cadastrado no firewall. Para maiores informações veja o capítulo intitulado
Cadastrando entidades.
E-mail padrão: Indicar o endereço de e-mail padrão, para o qual serão enviadas as
cópias das mensagens que não se enquadrarem em nenhuma regra deste contexto
(se a opção Envia Cópia estiver marcada). Este e-mail também pode ser referenciado
em qualquer regra de filtragem do contexto.
Número máximo de processos: Indicar o número máximo de cópias do proxy que
poderão estar ativas em um determinado momento. Como cada processo trata uma
conexão, este número também representa o número máximo de mensagens que
podem ser transmitidas simultaneamente para o contexto em questão. Caso o
número de conexões ativas atinja este limite, os clientes que tentarem enviar novas
mensagens devem repetir a tentativa posteriormente.
Tempo limite de resposta: Indicar o tempo máximo, em segundos, que o proxy espera
a conexão em inatividade. Caso este tempo seja atingido o proxy encerra a conexão.
Permitir anexos mal formatados: Permitir que anexos que estejam mal codificados
passem pelo firewall e sejam entregues aos clientes de e-mail.
Lista de regras: Nessa lista são especificadas as regras de tratamento de arquivos anexados
que permitem que uma mensagem tenha seus arquivos anexados removidos ou checados
contra vírus.
Para executar qualquer operação sobre uma determinada regra, deve-se clicar com o botão
direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu será acionado sempre
que pressionar o botão direito, mesmo que não exista nenhuma regra selecionada. Neste
caso, somente as opções Incluir e Colar estarão habilitadas).
Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova será inserida na posição da regra selecionada. Caso contrário, a
nova regra será incluída no final da lista.
® Aker Security Solutions
664
Editar: Abrir a janela de edição para a regra selecionada.
Excluir: Remover da lista a regra selecionada.
Renomear: Renomear a regra selecionada.
Dica: Todas as opções mostradas acima podem ser executadas a partir da barra de
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a regra, clicando-
o com o botão esquerdo, e em seguida clica-se na opção desejada.
Nome: Definir unicamente a regra dentro do contexto. Este nome será mostrado na lista de
regras de arquivos. Não podem existir duas regras com o mesmo nome.
Filtrar por tipo MIME: Permitir definir uma regra de filtragem de arquivos baseando-se em
seu tipo MIME. Ao ser marcada, deve-se especificar seu tipo e seu subtipo.
Filtrar por nome: Permitir realizar filtragens a partir (de parte) do nome, do arquivo anexado.
Ao ser marcado, deve-se especificar o tipo de pesquisa a ser efetuada e o texto a ser
pesquisado. As seguintes opções de pesquisa estão disponíveis:
Ativação do filtro: Caso tenha especificado filtragem por tipo MIME e por nome, esse campo
permite especificar se a regra deve ser aplicada Somente se ambos são verdadeiros (valor E)
ou Se qualquer um for verdadeiro (valor OU).
Ação: Indica qual a ação a ser tomada pelo firewall quando um arquivo se enquadrar na regra.
Ela consiste em três opções:
Aceita o anexo: Ao selecionar essa opção o firewall irá manter o arquivo anexado na
mensagem.
Remove o anexo: Ao selecionar essa opção o firewall irá remover o arquivo anexado da
mensagem.
Remove anexo infectado: Ao selecionar essa opção o firewall irá verificar o arquivo
anexado da mensagem contra vírus. Caso exista vírus o firewall tomará uma das seguintes
ações: se o arquivo puder ser desinfectado, o vírus será removido e o arquivo reanexado
à mensagem. Caso o arquivo não possa ser desinfectado, o firewall o removerá e
acrescentará uma mensagem informando o destinatário desse fato.
Caso a caixa Registrar na lista de eventos estiver marcado, quando a regra for atendida a
mesma será registrada no log de eventos.
Envia cópia para o administrador se o arquivo anexado for removido: Ao marcar essa opção,
o firewall enviará uma cópia de todos os arquivos removidos para o administrador. Caso ela
esteja marcada, deve-se escolher uma das seguintes opções de envio:
E-mail Padrão: A cópia da mensagem é enviada para o e-mail padrão, definido na janela
de propriedades do contexto.
Outro: A cópia da mensagem é enviada para o endereço especificado no campo à direita.
Observação 1:
Observação 2:
Filtro Web: Para os casos de acesso simultâneos (de um mesmo usuário) somente o tempo
de carregamento do maior site é que será contabilizado.
Esta janela permite mostrar todas as informações de quota de acesso, especificadas por
usuário.
Reiniciar o tempo do usuário: Ao clicar com o botão direito do mouse em cima do usuário e
ao selecionar essa opção zera toda a quota de tempo de acesso para todas as quotas desse
usuário. Caso clique em cima da quota, só será zerado aquela quota específica referente a
esse usuário.
Reiniciar o tráfego do usuário: Ao clicar com o botão direito do mouse em cima do usuário e
ao selecionar essa opção opta em zerar todas as quotas de volume de dados desse usuário.
Caso clique em cima da quota, só será zerado aquela quota específica referente a esse
usuário.
Reiniciar hora e tráfego do usuário: Ao clicar com o botão direito do mouse em cima do
usuário e ao selecionar essa opção opta em zerar toda quota de tempo de acesso e a quota
de volume, para esse usuário. Caso clique em cima da quota, só será zerado aquela quota
específica referente a esse usuário.
Mostra valores relativos: Mostra os valores das quotas gastas em forma de porcentagem.
Visualização da Quota
Esta janela permite mostrar todas as informações de quota de acesso, especificados por
quota.
Reinicia o tempo do usuário: Ao clicar com o botão direito do mouse em cima do usuário e
ao selecionar essa opção zera toda a quota de tempo de acesso para todas as quotas desse
® Aker Security Solutions
672
usuário. Caso clique em cima da quota, só será zerado aquela quota específica referente a
esse usuário.
Reinicia o tráfego do usuário: Ao clicar com o botão direito do mouse em cima do usuário e
ao selecionar essa opção opta em zerar todas as quotas de volume de dados desse usuário.
Caso clique em cima da quota, só será zerado aquela quota específica referente a esse
usuário.
Reinicia hora e tráfego do usuário: Ao clicar com o botão direito do mouse em cima do
usuário e ao selecionar essa opção opta em zerar toda quota de tempo de acesso e a quota
de volume, para esse usuário. Caso clique em cima da quota, só será zerado aquela quota
específica referente a esse usuário.
Este capítulo mostra para que serve e como configurar o Filtro Web.
O filtro web é um programa especializado do Aker Firewall realizado para trabalhar com os
protocolos que compõem a chamada WWW (World Wide Web). Dentre entre estes
protocolos, estão o HTTP, HTTPS, FTP e Gopher.
Este produto possui como principal função controlar o acesso dos usuários internos à
Internet, definindo quais páginas os usuários poderão acessar e se podem ou não transferir
arquivos, por exemplo. Além disso, ele pode bloquear tecnologias consideradas perigosas
para algumas instalações como o Active-XTM, scripts (JavaScript) e até applets JavaTM. Mais
ainda, ele possibilita a remoção dos banners das páginas, de forma a aumentar a sua
velocidade de carga e reduzir a utilização do link.
Para que o proxy não transparente tenha a mesma performance do transparente, é necessário que
os browsers suportem o envio de requisições HTTP 1.1 via proxies.
Neste tipo de instalação, para assegurar uma total proteção, basta configurar o filtro de
estados (para maiores informações, veja o capítulo intitulado O Filtro de Estados) de forma a
permitir que a máquina com o cache seja a única que possa acessar os serviços ligados ao
WWW, e que as máquinas clientes não possam abrir nenhuma conexão em direção à máquina
onde se encontra o cache. Realizado isso, configura-se todas as máquinas clientes para
utilizarem o Filtro Web do firewall e configura-se o firewall para utilizar o cache na máquina
desejada.
Para se utilizar o filtro web do Aker Firewall no modo não transparente (normal), é necessária
a seguinte sequência de passos:
1. Criar os perfis de acesso desejados e os associar com os usuários e grupos desejados. (Isso
foi descrito no capítulo chamado Perfis de acesso de usuários);
2. Editar os parâmetros de configuração do Filtro Web (isso será mostrado no tópico
chamado Editando os parâmetros do filtro web);
3. Criar uma regra de filtragem possibilitando que as máquinas clientes tenham acesso ao
proxy (para maiores informações, veja o capítulo intitulado O Filtro de Estados).
O filtro web não transparente escuta conexões na porta 80, utilizando o protocolo TCP.
Caso seja necessário, pode-se alterar este valor para qualquer porta, bastando para isso
acrescentar o parâmetro -p porta, onde porta é o número da porta que queira que ele escute,
na hora de iniciá-lo. A linha de comando a ser alterada se encontra no arquivo
/aker/bin/firewall/rc.aker, e deve ser alterada de /aker/bin/firewall /fwhttppd para
/aker/bin/firewall/fwhttppd -p 8080, por exemplo.
Para utilizar o filtro web no modo transparente é necessário executar uma sequência de 2
passos:
1. Criar um serviço que será desviado para o Filtro Web transparente (HTTP e/ou HTTPS)
e editar os parâmetros do contexto a ser usado por este serviço (para maiores
informações, veja o capítulo intitulado Cadastrando Entidades).
2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1,
para as redes ou máquinas desejadas (para maiores informações, veja o capítulo
intitulado O Filtro de Estados).
Para utilizar o filtro web, é necessária a definição de alguns parâmetros que determinarão
características básicas de seu funcionamento. Esta definição é realizada na janela de
configuração do Filtro Web. Para acessá-la, deve-se:
Aba Geral
O botão OK fará com que a janela de configuração do Filtro Web seja fechada e as
alterações salvas.
O botão Aplicar enviará para o firewall todas as alterações feitas, porém manterá a janela
aberta.
O botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela
seja fechada.
Cache Interno Habilitado: Esta opção permite que o firewall funcione como servidor de
cache.
Cache externo Habilitado: Esta opção permite definir se o Filtro Web irá redirecionar suas
requisições para um servidor de cache. Caso esta opção esteja habilitada, todas as
requisições recebidas serão repassadas para o servidor de cache, no endereço IP e porta
especificada. Caso contrário, o Filtro Web atenderá todas as requisições.
Páginas que contenham o campo “Expires” definido no cabeçalho HTTP serão apagadas do
cache quando o valor “Expires” for alcançado. Caso esta informação não esteja no cabeçalho
HTTP, ela será mantida no cache pelo périodo de 72 horas.
IP: Este campo especifica o endereço IP do servidor de cache para onde as requisições
serão redirecionadas, caso a opção habilita cache estiver ativa.
Porta: Este campo especifica a porta na qual o servidor de cache espera receber conexões,
caso a opção habilita cache estiver ativa.
Para o cliente de autenticação em Java funcionar em seu browser, ele deve ter o suporte
Java instalado e habilitado, além de permitir o uso do protocolo UDP para applets Java.
Este campo ativa ou não a autenticação de usuários do Filtro Web. Caso ele esteja
marcado, será solicitada ao usuário uma identificação e uma senha todas as vezes que
ele tentar iniciar uma sessão, e esta somente será iniciado caso ele seja autenticado por
algum dos autenticadores.
Utiliza cliente de autenticação em Java: Esta opção instrui o proxy a utilizar o cliente de
autenticação em Java, mesmo quando operando de modo não transparente. A vantagem
deste cliente é permitir que a autenticação do usuário seja completa (como quando se usa
o cliente de autenticação para Windows, e não apenas para o Filtro Web).
Caso o usuário esteja utilizando o Cliente de Autenticação Aker para Windows esteja com
uma sessão estabelecida com o Firewall, então não será solicitado nome nem senha, ou seja,
o proxy se comportará como se não estivesse realizando autenticação de usuários, mas ele
está de fato fazendo-o. Se a sessão do Cliente de Autenticação for finalizada, então o proxy
solicitará um nome de usuário e senha no próximo acesso. Para maiores informações sobre o
Cliente de Autenticação Aker, leia o capítulo (Autenticação de usuários).
Tempos Limites
Leitura: Definir o tempo máximo, em segundos, que o proxy aguarda por uma requisição
do cliente, a partir do momento que uma nova conexão for estabelecida. Caso este tempo
seja atingido sem que o cliente faça uma requisição, a conexão será cancelada.
Resposta: Definir o tempo máximo, em segundos, que o proxy aguarda por uma resposta
de uma requisição enviado para o servidor WWW remoto ou para o servidor de cache,
caso a opção habilita cache esteja ativa. Caso este tempo seja atingido sem que o servidor
comece a transmitir uma resposta, a conexão com o servidor será cancelada e o cliente
receberá uma mensagem de erro.
HTTPS: Definir o tempo máximo, em segundos, que o proxy pode ficar sem receber dados
do cliente ou do servidor em uma conexão HTTPS, sem que ele considere a conexão inativa
e a cancele.
Manter ativo: Definir quanto tempo um usuário pode manter uma conexão keep-alive
(HTTP 1.1) com o proxy inativa, antes que o proxy a encerre, liberando o processo para
outro usuário. Recomenda-se manter este tempo bastante baixo, para evitar o uso
desnecessário de todos os processos do sistema.
Timeout das sessões web: Indica quanto tempo uma sessão web vai ficar sendo
monitorada, permitindo ao administrador do firewall saber quais são as sessões web
ativas do seu firewall.
Exemplo: Se for marcado 30 segundos nesse campo, a janela de sessões web (Informação
-> Sessões Web) só vai mostrar as sessões ativas dos últimos 30 segundos.
Performance
Não permitir a transferência de arquivos comprimidos: Permite que o Firewall não aceite
transferências do filtro Web que tenham dados compactados.
Logar toda URL aceita: Permite que o Firewall registre todas as URL que são realizadas em
método (GET, POST e etc.), sendo assim teremos um volume de logs muito maior para
geração de relatórios e contabilização de Quotas.
Quotas
Interromper download caso o volume seja excedido: Essa opção permite interromper a
transferência dos arquivos caso a quota tenha excedido. Caso essa opção não esteja
marcada o firewall vai verificar a quota do usuário antes dele começar a fazer o download.
Interromper downloads caso o tempo seja excedido: Permite que o tempo da quota seja
"gasto" enquanto durar o tempo do download, por exemplo, se o usuário quiser fazer o
download de um arquivo de 100 MB e esse download levar 30 minutos, vão ser gastos
100 MB de volume e 30 minutos de tempo da quota, caso essa opção não esteja marcada,
só vão ser gastos 100 MB, e não os 30 minutos.
Esta aba serve para compor o Layout da janela de autenticação do Aker Firewall.
Autenticação - Este campo é composto por duas opções que serão disponibilizadas para o
usuário quando do logon no Firewall; e poderá se conectar habilitando:
Mostrar botão S/Key - Esta opção permite que os usuários se autentiquem usando S/Key.
Mostrar campo domínio - O usuário informará o domínio para logar-se no Filtro Web.
Logotipo
Usar logo personalizada - Ao marcar esta opção, será necessário indicar o caminho que
se encontra a logotipo.
Habilitar tela de splash: Esta opção exibe uma janela com a URL especificada antes de solicitar
a autenticação do usuário por meio do cliente de autenticação em Java.
Esta aba é usada para configurar a autenticação de usuários antes que estes possam ter
acesso à Internet. Esta autenticação é usada para reforçar o nível de segurança em websites,
e também para ter controle sobre o acesso à Internet em sua rede.
Tempo limite
Tempo limite de autenticação: Definir o tempo máximo (em minutos) que a autenticação
do usuário permanecerá ativa, após este tempo o usuário deverá se autenticar novamente.
Valor padrão é 120 minutos.
Opções
Mostrar campo Domínio: Ao marcar esta opção o usuário deverá informar o domínio para
logar-se no Filtro Web.
Logo
Usar logo personalizado: Ao marcar esta opção, será necessário indicar o caminho que se
encontra a logotipo.
Para que a autenticação ClientLess seja estabelecida com sucesso é necessário que o
“common name (CN)” do certificado esteja como entrada no DNS, ou seja, o usuário deve
inserir uma entrada no servidor de DNS com o mesmo nome usado no common name (CN) do
certificado, apontando para as interfaces internas que serão autenticadas.
A opção “Forçar autenticação” que se encontra na “aba Geral” deverá estar selecionada
para o que a autenticação seja requisitada toda vez que um usuário tente acessar a Internet.
Regra 3
Da rede LAN para a Interface Interna do FW, liberando as portas 80 e 443 sem proxy.
Regra 4
Ao tenta obter acesso à Internet em um computador sem o certificado instalado como uma
autoridade certificadora, será mostrada esta janela a seguir:
Em dispositivos moveis, será solicitado uma permissão para o uso de um certificado não
instalado.
Analisador de URL: Especificar o agente analisador de URLs que será utilizado para
categorizar as páginas da Internet. Esse agente deve ter sido previamente cadastrado no
firewall. Para maiores informações veja o capítulo intitulado Cadastrando entidades.
URL Bloqueada: Permitir a configuração de qual ação deve ser executado pelo firewall
quando um usuário tentar acessar uma URL não permitida. Ela consiste das seguintes: opções:
Mostrar: Essa opção permite definir a página que será mostrada ao usuário, quando a
tentativa de acesso a uma URL for bloqueada. Então pode optar em mostrar a página padrão
ou redirecionar para a página escolhida, que será personalizada de acordo com os checkboxes
selecionados. Segue abaixo a descrição de cada opção e o detalhamento das variáveis criadas.
Cada um desses checkbox selecionado é um parâmetro. Isso é utilizado para identificar aonde
e porque a página foi bloqueada, por exemplo, se a página foi bloqueada porque caiu em
alguma categoria, passar por parâmetro qual a categoria que causou o bloqueio da página.
® Aker Security Solutions
689
Domínio: Ao selecionar essa opção será mostrado o domínio da URL.
Exemplo: Na url www.aker.com.br, o seu domínio seria aker.com.br. Ao selecionar o
domínio, é criada a variável domain.
Método: Informa qual o método utilizado pelo protocolo HTTP. Ex: GET, PUT, POST.
Ao selecionar o Método é criada a variável method.
Nome do perfil: Nome dado, pelo usuário, ao perfil escolhido. Ao selecionar essa
opção é criada a variável perfil.
IP do usuário: Endereço IP do usuário que tentou acessar a URL que foi bloqueada. Ao
selecionar o Método é criada a variável IP.
Razões: Ao selecionar a Razão é criada a variável reason. Ao habilitar essa opção será
mostrada a razão do bloqueio do site. Por exemplo, temos as seguintes razões:
"categoria da URL",
"regra de bloqueio",
"quota bytes excedidos",
"quota bytes insuficientes",
"quota tempo excedido",
"tipo de objeto não permitido",
"tipo de arquivo não permitido globalmente",
"tipo de arquivo não permitido no perfil",
"connect para a porta especificada não permitida”
Nome da categoria: Nome da Categoria que a URL foi associada. Ao selecionar a
Categoria é criada a variável cats.
Nome do usuário: Nome do usuário que tentou acessar a URL. Ao selecionar o nome
do usuário é criada a variável user.
Número da regra: Número da Regra de Filtragem que a URL se enquadrou. Ao
selecionar o número da regra é criada a variável rule.
Site da URL bloqueado: Mostra a URL que o usuário tentou acessar e foi bloqueada.
Ao selecionar o Site da URL bloqueado é criada a variável url.
No preview, aparece como será a URL e o que será enviado via método GET.
Arquivos Bloqueados
É possível utilizar dois critérios complementares para decidir se um arquivo transferido deve
ser bloqueado: a extensão do arquivo ou seu tipo MIME. Se um destes critérios for atendido,
em outras palavras, se a extensão do arquivo estiver entre aquelas a serem analisadas ou o
tipo MIME da mensagem estiver entre aqueles a serem bloqueados, então o arquivo deverá
ser bloqueado pelo firewall.
O tipo MIME é usado para indicar o tipo de dado que está no corpo de uma resposta em um
protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo e o segundo
indica o subtipo. O navegador usa esta informação para decidir como mostrar a informação
que ele recebeu do mesmo modo como o sistema operacional usa a extensão do nome do
arquivo.
URL Bloqueada: Permitir a configuração de qual ação deve ser executado pelo firewall
quando um usuário tentar acessar uma URL não permitida. Ela consiste das seguintes: opções:
Mostrar: Essa opção permite definir a página que será mostrada ao usuário, quando a
tentativa de acesso a uma URL for bloqueada. Então pode optar em mostrar a página padrão
ou redirecionar para a página escolhida, que será personalizada de acordo com os checkboxes
selecionados. Segue abaixo a descrição de cada opção e o detalhamento das variáveis criadas.
Cada um desses checkbox selecionado é um parâmetro. Isso é utilizado para identificar aonde
e porque a página foi bloqueada, por exemplo, se a página foi bloqueada porque caiu em
alguma categoria, passar por parâmetro qual a categoria que causou o bloqueio da página.
"categoria da URL",
"regra de bloqueio",
"quota bytes excedidos",
"quota bytes insuficientes",
"quota tempo excedido",
"tipo de objeto não permitido",
"tipo de arquivo não permitido globalmente",
"tipo de arquivo não permitido no perfil",
"connect para a porta especificada não permitido”
No preview, aparece como será a URL e o que será enviado via método GET.
Downloads
Especificar os arquivos que serão analisados contra vírus pelo Download manager do Aker
Firewall, ou seja, para os quais o firewall mostra ao usuário uma página web com o status do
download do arquivo e realizará seu download em background. Esta opção é interessante
para arquivos potencialmente grandes (arquivos compactados, por exemplo) ou para
arquivos que normalmente não são visualizáveis de forma on-line pelo navegador.
É possível utilizar dois critérios complementares para decidir se um arquivo transferido deve
ser analisado: a extensão do arquivo ou seu tipo MIME. Se um destes critérios for atendido,
em outras palavras, se a extensão do arquivo estiver entre aquelas a serem analisadas ou o
tipo MIME da mensagem estiver entre aqueles a serem analisados, então o arquivo deverá
ser analisado pelo firewall.
O tipo MIME é usado para indicar o tipo de dado que está no corpo de uma resposta em um
protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo e o segundo
indica o subtipo. O navegador usa esta informação para decidir como mostrar a informação
que ele recebeu do mesmo modo como o sistema operacional usa a extensão do nome do
arquivo.
Sites Excluídos:
Deve-se escolher a operação e o texto a ser incluído para análise. Sites que se enquadrarem
na lista de excluídos não serão analisados.
Configurações:
Online
Habilitar antivírus: Ao selecionar essa caixa, permitirá que o firewall faça a verificação
antivírus dos conteúdos que tiverem sendo baixados.
Analise de Vírus: Opção para mostrar uma página caso seja encontrado um vírus
durante a análise do antivírus. A página poderá ser a do próprio firewall ou
personalizada pelo usuário. É possível personalizar a mensagem para cada tipo de
vírus encontrado, bastando utilizar a string {VIR} que será substituída pelo nome do
vírus.
O Aker Antivírus Module suporta diversas opções de varredura de vírus, worms, dialers, hoax,
cavalo de troia e análise heurísticas, abaixo segue uma lista de opções suportadas:
Opções de análise: Utilizado para selecionar quais os tipos de bloqueio que devem ser
realizados (Spywares, Jokes, Dialers, Ferramentas Hacker) e se será ou não utilizado um
método de detecção heurístico (caso seja marcado, poderá ser utilizado às opções baixo,
médio ou alto);
Varredura de Arquivos:
Aba SSL
O proxy HTTPS é a parte do Filtro Web que trata as conexões TCP pela porta 443. O princípio
de funcionamento é o de um ataque man-in-the-middle: as máquinas clientes que fazem o
acesso por meio do Aker Firewall, e este com o servidor remoto, de forma transparente.
Certificado digital é um documento fornecido pela Entidade Certificadora para cada uma das
entidades que irá realizar uma comunicação, de forma a garantir sua autenticidade.
Formato PKCS#12
O formato PKCS#12 foi criado pela “RSA Laboratories” para armazenamento do certificado
X.509 acompanhado da chave privada. Esse arquivo geralmente tem a extensão “pfx” e “p12”.
Comunicação HTTPS
Quando o cliente acessa um site com HTTPS o servidor envia ao cliente o certificado X.509
(que contém sua chave pública).
Validade do certificado;
Se o CN (Common Name) do certificado é o host da url;
Se a autoridade certificadora que assinou o certificado é uma autoridade confiável.
Os clientes precisam confiar nessa CA inserida no Aker Firewall para que seu browser não
detecte o ataque. Logo, dois certificados são necessários, um para os clientes e outro para o
Aker Firewall.
Outros certificados que aparecem são os utilizados pelo Aker Firewall para validar os sites
remotos.
Para o firewall poder gerar certificados ele atua como uma Autoridade certificadora (CA), ou
seja, ele gera os certificados para os sites no qual é acessado por meio do Proxy. Para poder
realizar este processo alguns pré-requisitos são necessários:
Para o processo de geração do certificado há várias possibilidades, neste FAQ serão explicadas
duas delas. Para o correto funcionamento do firewall não é necessário realizar estas duas
formas, portanto escolha uma delas e realize somente ela.
Ao final de qualquer um dos dois processos escolhidos haverá dois arquivos que serão
utilizados no processo do Proxy HTTPS:
O Arquivo PKCS#12 será utilizado na configuração do Proxy HTTPS. O arquivo X.509 precisa
ser importado na seção de autoridades certificadoras raiz confiáveis dos navegadores
conforme demonstrado posteriormente.
O proxy HTTPS ativo (man-in-the-middle) é habilitado por padrão e tem como opção a
filtragem do serviço para determinadas portas e entidades.
Controle SSL -proxy Ativo: Permitir a definição das portas de conexão segura (HTTPS) que
serão aceitas pelo firewall. Caso um cliente tente abrir uma conexão para uma porta não
permitida, o firewall mostra uma mensagem de erro e não possibilitará o acesso.
Permite HTTPS apenas para a porta padrão (443): caso queira utilizar apenas a
porta padrão (443), deve-se selecionar a primeira opção. Essa é a configuração a
ser utilizada na grande maioria dos firewalls.
Permite HTTPS para todas as portas: indica ao firewall que ele deve aceitar
conexões HTTPS para quaisquer portas. Essa configuração não é recomendada
para nenhum ambiente que necessite de um nível de segurança razoável, já que é
® Aker Security Solutions
700
possível para um usuário utilizar o proxy para acessar serviços não permitidos
simulando uma conexão HTTPS.
Permite HTTPS para as entidades listadas abaixo: que possibilita ao administrador
definir exatamente quais portas serão permitidas. Nesse caso devem ser
cadastradas as entidades correspondentes aos serviços desejados. Para maiores
informações, veja o capítulo intitulado Cadastrando Entidades.
basicConstraints= CA:TRUE"
Lista de exceções do HTTPS: aqui vão entidades do novo tipo “Listas de Common
Name SSL”, que ficam na aba listas no widget de entidades. Devem ser cadastrados
os Common Names dos sites que não devem passar pelo proxy.
RANDFILE = .rnd
[ ca ]
default_ca = CA_default
[ CA_default ]
certs = certs
crl_dir = crl
database = database.txt
new_certs_dir = certs
certificate = cacert.pem
serial = serial.txt
crl = crl.pem
private_key = private\cakey.pem
RANDFILE = private\private.rnd
default_days = 365
[ policy_match ]
commonName = supplied
emailAddress = optional
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
[ req ]
default_bits = 1024
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
[ req_distinguished_name ]
commonName = Common Name (eg, your website's domain
name)
commonName_max = 64
emailAddress = Email Address
emailAddress_max = 40
countryName = Country Name (2 letter code)
countryName_min =2
countryName_max =2
countryName_default = BR
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
0.organizationName = Organization Name (eg, company)
organizationalUnitName = Organizational Unit Name (eg, section)
countryName_default = BR
[ v3_ca ]
certificatePolicies=2.5.29.32.0
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints=critical,CA:TRUE
keyUsage = critical,cRLSign, keyCertSign, digitalSignature
Neste momento será solicitada a senha para armazenamento da chave, está senha
será utilizada posteriormente para abertura da chave privada.
7. Crie o certificado X.509. Este é o arquivo que será utilizado futuramente para
instalação nos clientes:
openssl req -extensions v3_ca -config autoassinado.conf -new -x509 -days 3650 -key
ca.key -out firewall.cer
Neste momento algumas informações serão solicitadas, a primeira delas é a senha da chave
privada criada no passo anterior.
Após a finalização deste processo temos o nosso certificado conforme imagem a seguir:
Porém temos dois arquivos, um para a chave privada e outro para o certificado, desta forma
será necessário colocá-los em um único arquivo no formato PKCS#12, que é o formato
reconhecido pelo firewall.
Neste processo serão solicitadas duas senhas, a primeira para abertura da chave privada e a
segunda para a exportação do arquivo PKCS#12. Esta segunda senha será utilizada no
momento da importação do arquivo PKCS#12 no firewall.
Utilizando CA Microsoft:
® Aker Security Solutions
706
Este item não demonstra como efetuar a instalação de uma autoridade certificadora (CA) no
Windows, e sim como utilizar uma já instalada, sendo a instalação desta um pré-requisito
para continuidade deste processo.
2. Selecione a sua CA
6. Selecione um local para salvar o arquivo. Este é o arquivo que será utilizado
futuramente para instalação nos clientes.
8. Volte para a tela principal da autoridade certificadora. Clique com o botão direito do
mouse no nome da CA e clique em All Tasks (Todas as tarefas) e clique em Back up
CA (Fazer Backup da autoridade de cert...)
Após este processo, será gerado o arquivo PKCS#12 com a chave privada e o certificado desta
CA.
A importação deste certificado na base do Windows tem efeito em todos os aplicativos que
consultam esta base como base dos certificados confiáveis desta forma os certificados
gerados pelo Filtro Web serão validados nas estações de trabalho filtradas, sem apresentar
as mensagens de segurança mostradas acima. Na lista destes aplicativos estão:
Internet Explorer;
Google Chrome;
Windows live messenger (MSN).
1. Abra a Microsoft Management Console. Acesse: Iniciar > Executar e digite mmc e
clique em OK.
Aba Avançado
Filtro Navegador
Essa lista é criada pelo próprio usuário e nela devem ser inseridos os vários tipos de
navegadores que se deseja bloquear ou liberar, abaixo segue um exemplo de como devem
ser incluídos:
A validação do browser é realizada ANTES do header stripping, assim sendo é possível substituir
versão por uma string fixa sem perder esta filtragem.
Reescrita de URLs
No campo URL anterior como o próprio o nome já diz deve ser informado o endereço que
será traduzido para um novo endereço informado no campo. URL reescrita.
Por exemplo:
O Header stripping funciona da seguinte forma, todas as linhas do header HTTP são
comparadas individualmente com todas as expressões cadastradas. Caso uma se encaixe, a
linha é substituída e a próxima linha é tratada. A primeira linha (com a requisição) não é
filtrada (ou seja, não é comparada com as expressões). O Header stripping funciona apenas
na remoção do header do cliente para o servidor;
Seguem abaixo, exemplos de como preencher os campos: O que procurar e o Substituir por:
Esta opção permite que o administrador configure o bloqueio o acesso a contas especificas
em seu domínio, controlando quais domínios de e-mail os usuários poderão acessar evitando
a perda de produtividade por exemplo, prevenindo que os usuários de sua rede acessem
serviços da web que não estejam relacionados a sua empresa (na imagem acima foi usado o
Google). Nesta janela o administrador pode adicionar linhas de configuração no cabeçalho
HTTP das conexões HTTP e HTTPS, (sendo que o campo “domínio” pode ter até 156
caracteres e o campo “Linhas” pode ter várias linhas de no máximo 512 caracteres)
fazendo com que o cabeçalho identifique quais os domínios os usuários podem acessar.
https://support.google.com/a/answer/1668854?hl=pt-BR.
Domínio: Neste campo deve-se inserir o domínio do servidor no qual serão adicionadas as
linhas no cabeçalho HTTP.
Ex: Google.com (apenas contas especificadas no campo abaixo poderão ser acessadas no
domínio Google.com)
Linha: Neste campo o usuário deve inserir os valores que serão permitidos no domínio
especificado acima.
O usuário pode inserir quantas linhas desejar para cada domínio configurado, contudo isso
poderá ultrapassar o limite do cabeçalho HTTP e alguns servidores não aceitaram o pacote.
Caracteres como acentuação, cedilha, ou qualquer outro caracter que não seja alfa numérico
não serão permitidos.
A configuração do Header Stripping deve ser realizada com muito cuidado já que ele pode
potencialmente inviabilizar o uso da Internet.
Deve-se tomar o cuidado de SEMPRE acrescentar um \r\n no final de uma substituição que
envolva uma linha.
Para que o bloqueio dos navegadores seja de fato realizado, faz-se necessário que as
estações que tentem utilizá-los passem por proxy.
Para configurar esta janela é necessário clicar no checkbox “habilitar cache hierárquico”.
Esta janela existe a lista de caches remotos, e ainda permite que o usuário adicione, edite ou
delete caches remotos.
Para adicionar um novo cache remoto, clique com o botão direito no espaço em branco na
lista de caches remotos, e selecione a opção “Inserir”. A janela a seguir será exibida:
Tipo: Define a hierarquia de cache, podendo optar pelo "Pai" ou pelo "Filho".
Porta de Cache: Número da porta pelo qual o proxy atende aos seus pedidos.
Porta ICP: Utilizada para perguntar a sua vizinhança sobre o estado dos objetos.
Logar na cache: Permite definir um usuário e senha, para logar na cache pai e nas caches
filhos, para que assim possa obter informações sobre o estado dos objetos, através do
protocolo ICP.
Não buscar na cache os domínios: Nessa opção permite restringir quais os domínios estarão
relacionados para cada cache.
A Interface Texto (via SSH) exibe as informações do cache e permite que o usuário limpe o
cache (E possível usar todos os comandos sem o prefixo “FW”, para isso execute o comando
“fwshell”, então os comandos poderão ser acessados sem o prefixo “FW”).
Sintaxe:
fwcache apaga
fwcache informação
# fwcache informacao
http_port 33128
cache_effective_user squid
cache_effective_group squid
pid_filename /var/run/squid.pid
error_directory /usr/local/squid/share/errors/Portuguese
cache_log /usr/local/squid/log/cache.log
cache_access_log none
cache_store_log none
cache_mem 32 MB
#debug_options ALL,9
Sessões Web
Perfil: Indica qual o perfil de acesso que o usuário caiu quando tentou acessar a URL.
Ação: Indica se as sessões web que passaram pelo firewall foram aceitas ou rejeitadas.
Agora deve-se habilitar os eventos 340 (Contabilidade de tráfego HTTP WWW) e 341
(Contabilidade de tráfego HTTP downloads) que se encontram na pasta Proxy HTTP, para
habilitar-los deve-se clicar com o botão direto do mouse no campo ação e marcar a opção
“Logar” conforme figura abaixo:
Agora deve-se criar uma nova regra no perfil desejado para passar pelo Proxy, conforme a
figura a seguir:
Na aba “Sub-relatório” deve-se clicar com o botão direito na coluna de “Dados de relatório”,
e adicione um novo item, então selecione “Contabilidade do tráfego web – tempo
consumido” para este. Na coluna “Agrupar por” deve-se clicar com o botão direito e
selecionar a opção “Não agrupar” conforme a figura abaixo:
Este capítulo mostra para que serve e como configurar o Proxy Socks.
O proxy SOCKS é um programa especializado do Aker Firewall realizado para trabalhar com
programas que suportem o protocolo SOCKS nas versões 4 ou 5.
Este proxy possui como função principal prover uma melhor segurança para protocolos
passarem por meio do firewall, principalmente protocolos complexos que utilizam mais de
uma conexão. É possível por meio do uso do SOCKS 5 realizar autenticação de usuários para
quaisquer serviços que passem pelo firewall, mesmo sem o uso do cliente de autenticação.
Ele é um proxy não transparente (para maiores informações, veja o capítulo intitulado
Trabalhando com proxies), desta forma, os clientes que forem utilizá-lo devem ter suporte
para trabalhar com proxies e devem ser configurados para usá-lo.
Para utilizar o proxy SOCKS do Aker Firewall, é necessário a seguinte sequência de passos:
1. Criar os perfis de acesso desejados e associá-los aos usuários e grupos desejados. (Isso foi
descrito no capítulo chamado Perfis de acesso de usuários);
2. Editar os parâmetros de configuração do proxy SOCKS (isso será mostrado no tópico
chamado Editando os parâmetros do proxy SOCKS);
3. Criar uma regra de filtragem possibilitando que as máquinas clientes tenham acesso ao
proxy (para maiores informações, veja o capítulo intitulado O Filtro de Estados).
O proxy SOCKS do Aker Firewall escuta conexões na porta 1080, utilizando o protocolo TCP.
Caso seja necessário, pode-se alterar este valor para qualquer porta, bastando para isso
acrescentar o parâmetro -p porta, onde porta é o número da porta que queira que ele escute,
na hora de iniciá-lo. A linha de comando a ser alterada se encontra no arquivo
/aker/bin/firewall/rc.aker, e deve ser alterada de /aker/bin/firewall/fwhttppd para
/aker/bin/firewall/fwhttppd -p 8080, por exemplo.
Para utilizar o Proxy SOCKS, é necessário à definição de alguns parâmetros que determinarão
características básicas de seu funcionamento. Esta definição é realizada na janela de
configuração do proxy SOCKS. Para acessá-la, deve-se:
O botão OK fará com que a janela de configuração do proxy SOCKS seja fechada e as
alterações salvas.
O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a janela
aberta.
Autentica usuários SOCKS: Este campo ativa ou não a autenticação de usuários do proxy
SOCKS. Caso ele esteja marcado, será solicitada ao usuário uma identificação e uma senha
todas as vezes que ele tentar iniciar uma sessão e está somente será iniciado caso ele seja
autenticado por algum dos autenticadores.
Caso o usuário esteja utilizando o Cliente de Autenticação Aker e esteja com uma sessão
estabelecida com o Firewall, então não será solicitado nome nem senha, ou seja, o proxy se
comportará como se não estivesse realizando autenticação de usuários, mas ele está de fato
fazendo-o. Se a sessão do Cliente de Autenticação for finalizada, então o proxy solicitará um
nome de usuário e senha no próximo acesso. Para maiores informações sobre o Cliente de
Autenticação Aker, leia o capítulo Autenticação de Usuários.
A versão 4 do protocolo SOCKS não permite realizar autenticação de usuários, dessa forma,
a única maneira de autenticar clientes utilizando essa versão do protocolo é com o uso do
cliente de autenticação. Caso essa opção esteja marcada, a versão suportada pelo cliente for
a 4 e não existir uma sessão de perfil de acesso ativa, então o firewall não permitirá acessos
para o cliente.
Tempo limite de resposta: Este parâmetro define o tempo máximo, em segundos, que o
proxy aguarda por dados do cliente, a partir do momento que uma nova conexão for
estabelecida. Caso este tempo seja atingido sem que o cliente envie os dados necessários, a
conexão será cancelada.
Número máximo de processos: Este campo define o número máximo de processos do proxy
SOCKS que poderão estar ativos simultaneamente. Como cada processo atende uma única
conexão, este campo também define o número máximo de requisições que podem ser
atendidas simultaneamente.
O proxy RPC é um programa especializado do Aker Firewall realizado para trabalhar com o
protocolo RPC, mais especificamente, o SUN RPC, descrito na RFC1050. A sua função básica é
fazer chamadas a funções remotas (Remote Procedure Call), ou seja, funções disponibilizadas
por outras máquinas acessíveis por meio do firewall. Exemplos de protocolos que usam o RPC
são os portmapper e o NFS.
Quando um cliente deseja realizar uma chamada RPC para um determinado número de
processo, o firewall verifica a ação relacionada àquele processo. Se permitir, o proxy insere
as regras de liberação de portas direta e automaticamente no kernel. Caso contrário, o
firewall bloqueia o processo como se ele estivesse indisponível.
Criar um serviço que será desviado para o proxy RPC e editar os parâmetros do
contexto a ser usado por este serviço (para maiores informações, veja o capítulo
intitulado Cadastrando Entidades);
Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1,
para as redes ou máquinas desejadas (para maiores informações, veja o capítulo
intitulado Filtro de Estados).
O proxy DCE-RPC é um programa especializado do Aker Firewall realizado para trabalhar com
o protocolo RPC, mais especificamente, o DCE- RPC. A sua função básica é fazer chamada às
funções remotas (Remote Procedure Call), ou seja, funções disponibilizadas por outras
máquinas acessíveis por meio do firewall. Exemplos de protocolos que usam o DCE- RPC são
os Transmission Control Protocol (TCP) e o HTTP.
Quando um cliente deseja realizar uma chamada DCE-RPC para um determinado número de
processo, o firewall verifica a ação relacionada àquele processo. Se permitir, o proxy insere
as regras de liberação de portas direta e automaticamente no kernel. Caso contrário, o
firewall bloqueia o processo como se ele estivesse indisponível.
® Aker Security Solutions
744
Ele é um proxy transparente (para maiores informações veja o capítulo intitulado
Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem da sua
existência.
Criar um serviço que será desviado para o proxy DCE-RPC e editar os parâmetros do contexto
a ser usado por este serviço (para maiores informações, veja o capítulo intitulado
Cadastrando Entidades).
Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1, para as
redes ou máquinas desejadas (para maiores informações, veja o capítulo intitulado O Filtro
de Estados).
Ação padrão: Indicar a ação que será aplicada a todos os serviços remotos que não estiverem
presentes na lista de permissões. O valor aceita permite que o serviço seja utilizado e o valor
rejeita impede sua utilização.
Para executar qualquer operação sobre um serviço na lista de permissões, basta clicar com o
botão direito do mouse sobre ele na coluna RPC. Aparecerá o seguinte menu (Caso não exista
nenhum serviço selecionado, somente as opções Inserir e Apagar estarão presentes):
Para alterar a ação aplicada a um serviço, deve-se clicar com o botão direito do mouse sobre
ele na coluna Ação e escolher uma das opções, Aceita ou Rejeita, que aparecerão no menu
seguinte:
Figura 541 - Menu de execução da janela RPC (inserir, apagar, rejeitar ou aceitar).
A janela de propriedades de um contexto RPC será mostrada quando for selecionado o protocolo
TCP e a opção Proxy DCE-RPC na janela de edição de serviços. Por meio dela é possível definir o
comportamento do proxy DCE-RPC quando este for lidar com o serviço em questão.
Ação padrão: Indicar a ação que será aplicada a todos os serviços remotos que não estiverem
presentes na lista de permissões. O valor aceita permite que o serviço seja utilizado e o valor
rejeita impede sua utilização.
Para executar qualquer operação sobre um serviço na lista de permissões, basta clicar com o
botão direito do mouse sobre ele na coluna RPC. Aparecerá o seguinte menu (Caso não exista
nenhum serviço selecionado, somente as opções Inserir e Apagar estarão presentes):
Para alterar a ação aplicada a um serviço, deve-se clicar com o botão direito do mouse sobre
ele na coluna Ação e escolher uma das opções, Aceita ou Rejeita, que aparecerão no menu
seguinte:
Figura 544 - Menu de execução da janela DCE-RPC (inserir, apagar, rejeitar ou aceitar).
Este capítulo mostra para que serve e como configurar o proxy MSN.
Este proxy possui como função principal controlar um importante canal de trânsito de
informações que é o MSN Messenger, possibilitando que não se abra mão de seu uso, ao
mesmo tempo em que se evita a perda de produtividade. Integrado ao sistema de perfis de
acesso, esse sistema se adaptará à realidade das corporações, onde cada usuário terá
privilégios distintos.
Estar integrado ao sistema de perfil de acesso (permitindo controle por usuários e grupos).
Definir white-lists e black-lists por perfil.
Controlar o horário de uso.
Controlar o tempo de uso por dia (configurado no perfil) para cada usuário.
Controlar o envio/recebimento de arquivo (inclusive por tipo).
Controlar convites para outros serviços (vídeo, áudio, games, etc.).
Realizar um log de sessões.
O MSN Messenger por padrão trabalha na porta TCP 1863, porém também pode se conectar
aos servidores por meio do protocolo HTTP e SOCKS. O Proxy MSN da Aker controla os dados
que trafegarão por meio de um proxy transparente (ver mais detalhes em Trabalhando com
proxies).
Para utilizar o proxy MSN do Aker Firewall é necessário a seguinte sequência de passos:
Para utilizar o proxy MSN é necessário à definição de alguns parâmetros que determinarão
características básicas de seu funcionamento. Esta definição é realizada na janela de
configuração do proxy MSN. Para acessá-la, deve-se:
O botão OK fará com que a janela de configuração do proxy MSN seja fechada e as
alterações salvas.
O botão Aplicar enviará para o firewall todas as alterações feitas, porém manterá a janela
aberta.
O botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela
seja fechada.
Esta aba define os serviços adicionais que poderão ser utilizados por meio de uma conexão
MSN. Estes serviços poderão posteriormente ser controlados a partir das regras dos perfis de
cada usuário.
Para inserir um novo tipo de serviço, deve-se clicar com o botão direito e selecionar a opção
Novo.
Para remover um tipo de serviço, deve-se clicar com o botão direito sobre o serviço a ser
removido e escolher a opção Remover.
Para editar qualquer um dos campos de um serviço, basta clicar com o botão direito sobre a
coluna cujo valor se deseja alterar e modificar o dado diretamente no menu que irá aparecer.
Aba Mensagens
Esta aba permite configurar as mensagens que serão mostradas aos usuários internos e
externos quando eles não tiverem permissão de executar uma determinada ação por meio
do proxy Messenger.
Essa aba controla o acesso dos usuários, por meio da vinculação de um passport a um perfil.
No campo Passport, seleciona-se uma entidade do tipo lista de e-mails, essa entidade será
associada a algum perfil definido no Firewall.
Por exemplo: *@aker.com.br --> perfil "Teste", isso significa que todos os usuários que
tiverem o login no MSN terminando por @aker.com.br irá automaticamente cair no perfil
teste.
Essa aba permite configurar a quantidade máxima de descritores (socket) e/ou arquivos que
o processo do proxy MSN pode abrir. O valor padrão é de 1024, mas pode chegar a até 8192
no máximo.
O Aker Firewall conta com a análise de vírus para arquivos transferidos. Para ativar essa
verificação marque a opção “Habilitar Antivírus no MSN” caso deseje que o firewall análise os
arquivos.
Marque "Usar Antivírus Local" para que o firewall utilize o antivírus já incluído nele, caso
contrário, inclua a autenticação e o endereço de IP do seu servidor Antivírus.
São limites em termos de tempo de acesso ao volume de dados por usuários na WEB. Elas são
utilizadas para controlar e racionalizar o tempo gasto de cada funcionário com acessos a
Internet. As quotas são definidas das seguintes formas:
Agora uma nova regra deve ser criada para isso siga os passos abaixo:
Crie uma nova regra, e nesta regra selecione a entidade tipo Quota que foi criada, e então
habilite a opção Logar;
Agora deve-se criar uma entidade do tipo Lista de e-mails, liberando o domínio desejado;
Agora deve-se criar uma regra no Perfil, que esteja passando pelo proxy;
Este capítulo mostra para que serve e como configurar O DPI - Deep Packet Inspection
(Filtragem de Aplicações – IDS/IPS).
Esta filtragem baseia-se no controle dos dados que estão passando por meio do Aker Firewall.
É possível analisar o conteúdo de protocolos e tipos reais de arquivos que estão trafegando,
independentemente de que porta de comunicação esteja utilizando e automaticamente
bloqueá-los ou colocá-los em uma prioridade de tráfego mais baixa, evitando o consumo de
banda com recursos desnecessários.
Esta filtragem pode ser realizada de forma global, tratando qualquer pacote que passe pelo
firewall ou por perfis de acesso. Em especial, os seguintes tipos de tráfego podem ser
identificados:
Para utilizar o DPI (Filtragem de Aplicação – IDS/IPS) do Aker Firewall deve-se seguir os passos
abaixo:
Esta janela é composta por duas abas, uma com a definição das regras globais da filtragem de
aplicações e outra que permite a criação dos filtros que serão utilizados nestas regras e nas
regras de filtragem dos perfis de acesso.
Esta aba disponibiliza as regras de aplicação que serão utilizadas pelo firewall de forma global.
É possível também criar regras específicas para os perfis de acesso (para maiores informações
veja Cadastrando perfis de acesso).
Uma das grandes utilizações destes filtros é para otimização do acesso à Internet. É possível,
por exemplo, que todos os usuários tenham um acesso rápido à Internet, porém quando estes
tentarem baixar arquivos cujos tipos não sejam considerados importantes, por exemplo, mp3,
vídeos, etc, a conexão sendo utilizada para transferir estes arquivos automaticamente fique
com uma largura de banda bastante reduzida.
Para executar qualquer operação sobre uma regra, basta clicar sobre ela com o botão direito
e a seguir escolher a opção desejada no menu que irá aparecer. As seguintes opções estão
disponíveis:
Origem: Especificar as origens da comunicação que o filtro estará inspecionando, para isso
deve-se inserir uma ou mais entidades do tipo máquinas, redes ou conjuntos (para maiores
informações veja o capítulo Cadastrando entidades).
Destino: Especificar os destinos da comunicação que o filtro estará inspecionando, para isso
deve-se inserir uma ou mais entidades do tipo máquinas, redes ou conjuntos (para maiores
informações veja o capítulo Cadastrando entidades).
Ação: Indicar a ação que será tomada pelo firewall caso um dos filtros especificados seja
aplicado. Ela consiste das seguintes opções:
Aceita: Significa que a conexão será autorizada a passar por meio do firewall.
Rejeita: Significa que a conexão não passará pelo firewall e será enviado um pacote
de reset para a máquina originária da comunicação.
Descarta: Significa que a conexão não passará pelo firewall, mas não será enviado
nenhum pacote para a máquina de origem.
Mudar prioridade: Indica que a conexão será aceita, porém com uma prioridade
diferente, que deverá ser especificada na coluna Canal.
Bloqueia origem: Indica que a máquina que originou a conexão deverá ser bloqueada
por algum tempo (isso significa que todas as conexões originadas nela serão
recusadas). A coluna Tempo de Bloqueio serve para especificar por quanto tempo a
máquina permanecerá bloqueada.
Canal: Esta coluna só estará habilitada caso a ação Mudar prioridade tenha sido
selecionada. Ela indica a nova prioridade que será atribuída à conexão. Deve-se inserir
uma entidade do tipo canal (para maiores informações veja o capítulo Cadastrando
entidades).
Tempo de bloqueio: Esta coluna só estará habilitada caso a ação Bloqueia origem tenha sido
selecionada. Ela indica por quanto tempo a máquina origem será bloqueada.
Os filtros de aplicações informam ao firewall o que deve ser buscado em uma comunicação
para possibilitar a identificação de um determinado protocolo ou tipo de arquivo. O produto
já vem com vários filtros pré-configurados, porém é possível que o administrador configure
novos filtros para atender às suas necessidades.
Esta janela está dividida em três partes. Na parte superior aparece uma lista dos filtros
atualmente criados. Ao selecionar um filtro, serão mostrados na parte inferior da janela as
operações de pesquisa relacionadas a ele. E na parte esquerda da janela é exibido a divisão
das aplicações por grupos de assinaturas.
® Aker Security Solutions
769
Nome: Nome pelo qual o filtro será referenciado no restante do firewall;
Filtros predefinidos não podem ser editados, apenas os filtros criados pelo usuário
podem ser editados. Filtros criados pelo usuário por padrão são designados para
o grupo “LOCAL".
Não é possível criar novos grupos ou remover grupos existentes.
Protocolo: Indica em que protocolo o ataque será pesquisado. As seguintes opções estão
disponíveis:
Filtros que vem da base podem ser do tipo IP. Usuários só podem criar filtros com
os protocolos TCP e UDP.
Direção: Direção em que os dados serão analisados para verificar a existência da sequência
definida em O que filtrar;
Parte 2
Operações
O que filtrar: Neste campo deve-se colocar a sequência de bytes que identifica o ataque;
Iniciar em (bytes): Este campo serve para especificar em que posição do fluxo de dados deve-
se começar a pesquisa;
Profundidade da procura: Este campo indica a quantidade de bytes que será analisada a
partir da posição de início de pesquisa;
Sequência de bytes: Definir a sequência de dados que será pesquisada nos dados do
arquivo/protocolo ou nos metadados (cabeçalho);
Url de referência: URL que permite obter maiores informações sobre o ataque (este campo é
puramente informativo);
® Aker Security Solutions
771
Para executar qualquer operação sobre um filtro, basta clicar sobre ele com o botão direito e
a seguir escolher a opção desejada no menu que irá aparecer. As seguintes opções estão
disponíveis:
Para alterar o nome do filtro ou a forma de concatenação das operações do mesmo, basta
clicar com o botão direito sobre a coluna correspondente. Para incluir, editar ou excluir
operações de um determinado filtro, deve-se selecioná-lo na parte superior da janela e a
seguir clicar com o botão direito sobre qualquer uma das operações. O seguinte menu
aparecerá:
Figura 568 - Menu de operação para acessar o nome do filtro ou forma de concatenação.
Este capítulo mostra as funções oferecidas pelo conjunto IPS/IDS e como realizar sua
configuração.
O módulo de IPS/IDS do Aker Firewall reúne diversas funções para identificação e bloqueio
de ataques em tempo real. Este módulo trabalha de forma integrada com o firewall e
consegue, com isso, oferecer um alto grau de proteção. O módulo interno vem com vários
ataques pré-configurados, sendo possível sua atualização por meio da Internet. Além do
módulo interno, é possível também utilizar um IDS externo, de forma a complementar ainda
mais o nível de segurança da solução.
Esta janela é composta por quatro abas, cada uma responsável por um aspecto distinto da
configuração do módulo de IDS.
Regras IDS
Para executar qualquer operação sobre uma regra, basta clicar sobre ela com o botão direito
e a seguir escolher a opção desejada no menu que irá aparecer. As seguintes opções estão
disponíveis:
Origem: Especificar as origens da comunicação que o filtro estará inspecionando, para isso
deve-se inserir uma ou mais entidades do tipo máquinas, redes ou conjuntos (para maiores
informações veja o capítulo Cadastrando entidades).
Destino: Especificar os destinos da comunicação que o filtro estará inspecionando, para isso
deve-se inserir uma ou mais entidades do tipo máquinas, redes ou conjuntos (para maiores
informações veja o capítulo Cadastrando entidades).
Filtros IDS: Nesta coluna deve-se selecionar os filtros IDS que estarão ativos para esta
comunicação. Deve-se escolher um dos grupos de filtros disponíveis e posteriormente, caso
seja desejado, habilitar individualmente os filtros dentro de cada grupo. Uma vez inseridos os
filtros, é possível clicar sobre esta mesma coluna com o botão direito, escolher o nome do
grupo de filtros desejado e indicar se os ataques pertencentes a este grupo devem ser
selecionados automaticamente, opção Selecionar todo o grupo, ou manualmente por meio
da opção Seleção manual.
® Aker Security Solutions
777
Ação: Esta coluna indica a ação que será tomada pelo firewall caso um dos filtros
especificados seja aplicado. Ela consiste das seguintes opções:
Bloqueia: Indica que a máquina que originou a conexão deverá ser bloqueada por algum
tempo (isso significa que todas as conexões originadas nela serão recusadas).
Tempo de Bloqueio: Esta coluna indica por quanto tempo uma máquina atacante
permanecerá bloqueada.
Filtros IDS
Esta janela serve para se ver os filtros de IDS que estão disponíveis no firewall bem como criar
novos filtros. Ela consiste de uma lista com os filtros atualmente criados. É possível ver esta
lista de três maneiras distintas: por grupo de filtros (conforme mostrado no tópico anterior),
por classe de ameaça ou uma lista linear com todos os filtros. O campo Organizar por,
localizado na parte superior da janela permite a escolha da forma de visualização mais
adequada.
Organizar por: Permite que o usuário selecione o modo de exibição, as opções disponíveis
são:
Filtros predefinidos não podem ser editados, apenas os filtros criados pelo usuário
podem ser editados. Filtros criados pelo usuário por padrão são designados para
o grupo “LOCAL".
Não é possível criar novos grupos ou remover grupos existentes.
Para o funcionamento satisfatório do modulo IPS/IDS se sugere o uso mínimo de
2 Gigas de memória RAM (o recomendado é 6 Gigas).
Protocolo: Indica em que protocolo o ataque será pesquisado. As seguintes opções estão
disponíveis:
® Aker Security Solutions
779
Figura 575 - Opções de protocolos
Filtros que vem da base podem ser do tipo IP. Usuários só podem criar filtros com
os protocolos TCP e UDP.
Direção: Direção em que os dados serão analisados para verificar a existência da sequência
definida em O que filtrar.
OU: Ao receber um pacote é necessário que apenas uma das operações do filtro em questão
sejam analisadas;
Parte 2
Operações
O que filtrar: Neste campo deve-se colocar a sequência de bytes que identifica o ataque.
Iniciar em (bytes): Este campo serve para especificar em que posição do fluxo de dados deve-
se começar a pesquisa.
Profundidade da procura: Este campo indica a quantidade de bytes que será analisada a
partir da posição de início de pesquisa.
Url de referência: URL que permite obter maiores informações sobre o ataque (este campo é
puramente informativo).
Ao selecionar um filtro é mostrada na parte inferior da janela uma URL de referência, que
permite ao administrador obter maiores informações sobre o ataque.
Para inserir um novo filtro, deve-se clicar com o botão direito sobre a lista de filtros e
selecionar a opção Novo filtro. A seguinte janela será mostrada:
Nome do filtro: Nome pelo qual o filtro será referenciado no restante do firewall;
URL de referência: URL que permite obter maiores informações sobre o ataque (este campo
é puramente informativo);
Grupos predefinidos não podem ser editados, apenas os filtros criados pelo usuário podem
ser editados. Filtros criados pelo usuário por padrão são designados para o grupo “LOCAL":
Protocolo: Indica em que protocolo o ataque será pesquisado. As seguintes opções estão
disponíveis:
Classificação: Classe de ameaça que será detectado pelo filtro, as opções disponíveis são:
Direção: Direção em que os dados serão analisados para verificar a existência da sequência
definida em O que filtrar;
Portscan
Esta aba serve para configurar a proteção contra ataques de varreduras de portas. Estes
ataques consistem em tentar acessar todas ou várias portas de comunicação em uma ou mais
máquinas de uma rede. Ele é normalmente o primeiro ataque realizado por um hacker, já que
objetiva determinar quais os serviços e máquinas que estão ativos em uma rede.
Para configurar a proteção contra varredura de portas, os seguintes parâmetros devem ser
preenchidos:
Número permitido de portas varridas: Este campo indica o número máximo de portas que
podem ser acessadas em uma mesma máquina. Tentativas de acesso de um número maior
de portas farão que a máquina origem seja bloqueada.
Número permitido de máquinas x portas: Este campo indica o número máximo de portas
que podem ser acessadas em uma ou mais máquinas. Para este parâmetro é a mesma coisa
se um potencial atacante acessa duas portas em uma máquina ou uma porta em duas
máquinas. Tentativas de acesso de um número maior de portas farão que a máquina origem
seja bloqueada.
Exemplo: Se o valor deste parâmetro for 12, uma pessoa qualquer poderia acessar as
seguintes combinações sem ser considerado um ataque:
Tempo limite de detecção: Este campo indica o tempo em que as informações de acesso
serão mantidas pelo firewall. Valores muito baixos possibilitarão varreduras de portas muito
lentas (por exemplo, 1 porta por hora). Valores muito altos ocuparão memória
desnecessariamente.
Entidades protegidas: Esta lista indica as entidades (máquinas, redes ou conjuntos) que
estarão protegidas contra ataques de varreduras de portas.
Para incluir uma nova entidade nesta lista, deve-se proceder de um dos seguintes modos:
Para remover uma entidade da lista, deve-se marcá-la e pressionar a tecla delete, ou escolher
a opção correspondente no menu de contexto, acionado com o botão direito do mouse ou
com a tecla correspondente:
Para incluir uma nova entidade nesta lista, deve-se proceder de um dos seguintes modos:
Para remover uma entidade da lista, deve-se marcá-la e pressionar a tecla delete, ou escolher
a opção correspondente no menu de contexto, acionado com o botão direito do mouse ou
com a tecla correspondente:
IDS Externo
Habilitar agente de IDS: Esta opção deve estar marcada para ativar o suporte a agentes IDS
externos e desmarcada para desativá-lo. (ao se desabilitar o suporte a agentes IDS, as
configurações antigas continuam armazenadas, mas não podem ser alteradas).
Agente de IDS a ser usado: Esse campo indica o agente IDS que estará habilitado a incluir
regras de bloqueio no firewall. Esse agente deve ter sido previamente cadastrado no firewall.
Para maiores informações veja o capítulo intitulado Cadastrando entidades.
Status permite ao administrador verificar o status da conexão com o agente IDS. Um valor
verde, com a palavra Conectados, indica que o firewall conseguiu autenticar-se e estabelecer
com sucesso a comunicação com o agente.
O botão Remover fará com que todas as regras cadastradas pelo agente IDS sejam excluídas
do firewall.
Esta funcionalidade proporciona ao Aker Firewall uma poderosa plataforma para o sistema de
detecção e prevenção de intrusões (IDS/IPS) e também para o filtro de aplicações. Atuando em modo
passivo e ativo, analisando o tráfego de rede de acordo com as regras definas pelo usuário, e ainda
executando as ações para cada tipo de ameaça detectada. Nesta janela o usuário pode criar variáveis
para análise e tratamento automático, configuração da atualização automática da base de
assinaturas de ataques dos filtros DPI (Deep Packet Inspection) e os filtros IDS/IPS, ou fazer esta
atualização no momento desejado.
Configurações geral:
Nesta janela é possível que o usuário crie variáveis (entidades) que serão usadas pelos filtros
melhorando a capacidade de identificação de padrões de dados dentro das conexões,
possibilitando assim o tratamento automático.
Esta janela permite que o usuário configure o download automático da base de assinaturas
de ataques dos filtros DPI (Deep Packet Inspection) e os filtros IDS/IPS.
A base de assinaturas do usuário e atualizada, de acordo com a sua licença sendo que:
Usuários que possuam licença básica: Esta licença permite que o usuário receba
as assinaturas de IDS/IPS e de filtros de aplicação da Aker.
Usuários que possuam licença avançada: Esta licença permite que o usuário
receba todas as assinaturas disponíveis da base Sourcefire VRT Certified Rules.
Habilitar download automático das bases de filtros: Permite que o usuário define o período
de atualização automática dos filtros.
Período: Neste campo o usuário deve definir o período que a atualização será feita, as opções
disponíveis são:
o Diário;
o Semanal;
o Mensal;
Hora: Neste campo o usuário deve selecionar o horário que a atualização automática será
feita;
Esta janela permite que o usuário faça a atualização de sua base de assinaturas de ataques
atualizando os filtros DPI (Deep Packet Inspection) e filtros IDS/IPS no momento desejado.
É possível a qualquer momento visualizar a lista de IPs que estão bloqueados no firewall,
devido à inclusão de uma regra de bloqueio temporária do módulo de IDS/IPS.
Esta janela consiste de uma lista onde cada IP bloqueado é mostrado em uma linha, com as
seguintes informações:
Para remover um IP da lista, basta selecioná-lo e então clicar com o botão direito. Ao ser
mostrado o menu pop-up, basta selecionar a opção Remover IP;
Para atualizar a lista de IPs, basta clicar com o botão direito e selecionar a opção Atualizar no
menu pop-up.
No caso de se desejar utilizar um IDS externo, além da configuração mostrada em IDS Externo,
faz-se necessário a instalação do plug-in para possibilitar a comunicação deste IDS externo
com o firewall. A instalação do plug-in para IDS é bastante simples. Efetue o download no site
da Aker (http://www.aker.com.br), inicie o programa que acabou de efetuar o download.
O programa inicialmente mostra uma janela pedindo uma confirmação para prosseguir com
a instalação. Deve-se clicar no botão Continuar para prosseguir com a instalação. A seguir
será mostrada uma janela com a licença de uso do produto e pedindo uma confirmação para
continuar. Deve-se clicar no botão Eu Concordo para continuar com a instalação.
Para ter acesso ao programa de configuração deve-se clicar no menu Iniciar, e selecionar o
grupo Aker Firewall. Dentro de este selecionar, o grupo Detecção de Intrusão e então a opção
Detecção de Intrusão. A seguinte janela será mostrada:
Esta janela consiste de 4 abas. Na primeira, que está sendo mostrada acima, é onde é
realizada a configuração do plug-in. Ela consiste de uma lista com o nome das diversas
configurações criadas pelo administrador e que depois serão mostradas como opção de ação
no console de administração do Real Secure. Pode-se especificar o nome de uma das
configurações quando na execução de um evento ou utilizar o botão Default para especificar
uma configuração que será executada por padrão, isto é, quando não for especificada o nome
de nenhuma configuração.
Para criar uma nova configuração, basta clicar no botão Inserir, localizado na parte esquerda
superior da janela. Fazendo isso, uma configuração em branco será criada. Para editar os
parâmetros desta ou de qualquer outra configuração basta clicar sobre seu nome e a seguir
modificar os parâmetros desejados.
Notificação: Este campo permite definir que ações serão executadas pelo firewall quando
uma regra de bloqueio for acrescentada pela execução da configuração. Caso a opção Padrão
seja selecionada, então as ações associadas à mensagem Regra de bloqueio IDS acrescentada
serão executadas. Caso contrário pode-se especificar exatamente que ações devem ser
tomadas. Para maiores informações sobre a configuração das ações, veja o capítulo
Configurando as ações do sistema.
Bloqueio: Este campo permite definir que tipo de bloqueio será realizado quando a
configuração for executada. Existem três opções possíveis que podem ser selecionadas
independentemente (quando mais de uma opção for selecionada, a regra bloqueará pacotes
que se enquadrem em todas as opções marcadas e não em apenas algumas):
Origem: Os pacotes que tiverem endereço origem igual ao da regra serão bloqueados.
Destino: Os pacotes que tiverem endereço destino igual ao da regra serão bloqueados.
Serviço: Os pacotes que utilizarem serviço igual ao da regra serão bloqueados. Se esta opção
for marcada, deve-se selecionar quais protocolos estarão associados ao serviço por meio do
campo Protocolo. Isto é necessário devido a uma limitação do Real Secure na medida em que
não fornece o protocolo de um determinado serviço, apenas seu número. Como o NFR
inspeciona apenas tráfego TCP, esse protocolo deve ser selecionado no caso desse IDS.
Tempo de ativação da regra: Este campo permite definir por quanto tempo as regras
acrescentadas por esta configuração ficarão ativas. Caso a opção Tempo de ativação esteja
marcada, deve-se especificar o tempo, em segundos, que a regra ficará ativa. Caso esta opção
não esteja marcada, a regra será mantida até a próxima reinicialização do firewall.
Firewalls Usados: Este campo serve para definir em quais firewalls as regras temporárias
serão acrescentadas. Para cada firewall deve-se configurar uma senha de acesso e seu
endereço IP. A senha de acesso deve ser a mesma configurada na definição da entidade do
agente IDS (para maiores informações veja o capítulo Cadastrando Entidades). Ao clicar no
botão incluir ou editar, a seguinte janela será mostrada:
O botão de Flush é utilizado para apagar as regras dinâmicas adicionadas pelos IDS nos
firewalls selecionados.
Após realizar todas as modificações deve-se clicar no botão Aplicar. Caso esteja utilizando o
Real Secure será então mostrada uma janela informando que os Global Responses do Real
Secure serão alterados e pedindo uma confirmação para continuar. Deve-se clicar no botão
Sim para salvar a nova configuração.
Esta aba é muito útil para acompanhar o funcionamento do agente. Ela consiste de uma lista
com diversas mensagens ordenadas pela hora. Ao lado de cada mensagem existe um ícone
colorido, simbolizando sua prioridade.
Sintaxe:
Ajuda do programa:
max_portas = define o número máximo de portas que podem ser acessadas por uma máquina
em um mesmo servidor sem que isso seja considerado portscan.
max_acessos = define o número máximo de acessos distintos (portas X No. de servidores) que
podem ser acessadas por uma máquina, sem ser considerado portscan.
tempo_deteccao = define o tempo, em segundos, que um acesso realizado por uma máquina
não mais será contabilizado em futuras detecções contra portscan
tempo_bloqueio = define o tempo, em segundos, que uma máquina será bloqueada após se
detectar um portscan.
#/aker/bin/firewall/fwportscan ativa
#/aker/bin/firewall/fwportscan mostra
Sintaxe:
Ajuda do programa :
#/aker/bin/firewall/fwids habilita
A entidade Agente_IDS deve ter sido previamente cadastrada no sistema. Para maiores
informações sobre como cadastrar entidades no Aker Firewall , veja o capítulo intitulado
Cadastrando Entidades.
Parâmetros de configuração:
---------------------------
Agente: Agente_IDS
#/aker/bin/firewall/ fwids bloqueia origem 192.168.0.25 destino 10.0.0.38 servico 80/ tcp
3600.
Este capítulo mostra para que serve e como configurar a rede no Aker Firewall.
Esta opção permite configurar todos os parâmetros de TCP/IP do firewall por meio da
Interface Remota. É possível configurar os endereços de interfaces de rede, DNS e
roteamento básico e avançado, bem como as opções de PPPoE, 3G/4G e Servidor/Relay
DHCP.
Esta janela permite que o usuário configure os parâmetros DHCP do firewall. A seguir mais
informações sobre a opções desta janela.
Nesta aba são definidas as opções do firewall em relação ao serviço DHCP. Ela consiste das
seguintes opções:
Não está usando DHCP: Ao selecionar essa opção, o firewall não atuará como servidor DHCP
nem efetuará relay entre redes conectadas a ele.
Relay DHCP entre redes: Permitir que se defina que o firewall realizará o relay de pacotes
DHCP entre as redes selecionadas. Ela é utilizada quando se possui apenas um servidor DHCP
e se deseja que ele forneça endereços para máquinas localizadas em sub-redes distintas,
conectadas diretamente ao firewall.
Servidor DHCP Interno: Esta opção é designada para redes pequenas que não possuem um
servidor DHCP ou que possuíam em um modem ADSL. Ela permite que o firewall atue como
um servidor DHCP.
Os IPs reservados não podem estar dentro da faixa de IPs configurada para distribuição.
Exemplo: Para Reservar o IP: 10.4.0.25, o usuário deve criar um escopo com IP inicial 10.4.0.1 e IP
final 10.4.0.24, deixando o IP que será reservado (10.4.0.25) fora da faixa de IPs. Os demais escopos
com essa mesma faixa de IPs não podem conter o IP reservado (10.4.0.25), sendo assim, o IP inicial
de um segundo escopo deve iniciar em 10.4.0.26.
O firewall enviará aos clientes seu endereço como o servidor de DNS, e seu domínio como nome
do domínio para estes clientes.
Nesta pasta são configuradas todas as opções relacionadas com a resolução de nomes ou
DNS. Ela consiste dos seguintes campos:
Ativar DNS: Esta opção deve ser marcada para ativar a resolução de nomes via DNS e
desmarcada para desativá-la.
Servidor primário: Definir o servidor DNS primário que será consultado para se resolver um
nome. Ele é obrigatório se a opção DNS ativo estiver marcada.
Servidor secundário: Definir o servidor DNS secundário que será consultado se o primário
estiver fora do ar. Ele é opcional.
Servidor terciário: Definir o servidor DNS terciário que será consultado se o primário e os
secundários estiverem fora do ar. Ele é opcional.
Nesta aba podem ser configurados os endereços IP atribuídos a todas as interfaces de rede
reconhecidas pelo firewall. Ela consiste de uma lista onde são mostrados os nomes de todas
as interfaces e os endereços IP e máscaras de cada uma (é possível configurar até 31
endereços distintos para cada interface). Caso uma interface não tenha um endereço IP
IPv4
IPv6
Alias
Para configurar ou modificar o endereço IP ou máscara de uma interface e até mesmo atribuir
um alias para a interface, deve-se clicar sobre a entrada do dispositivo correspondente e usar
o menu suspenso que irá surgir:
VLAN
Para criar uma VLAN associada a uma interface, deve-se clicar na interface desejada no lado
esquerdo da janela. Aparecerá o seguinte menu suspenso:
Uma VLAN usa o sistema de VLAN tagging (802.1q) para permitir que, com uma conexão
somente o switch tenha acesso a todas as suas VLANs, inclusive controlando o acesso entre
elas. Para cada uma, uma interface virtual será criada dentro do Firewall.
Desabilitar interface: desativa todas as outras interfaces e fazer com que outro nó assuma,
permitindo assim uma maior disponibilidade dos links.
Usar PPPoE: permite definir que está interface trabalhe com PPPoE (usado basicamente para
a conexão com modems ADSL). Ao ser selecionada, a seguinte janela será mostrada:
Nome do dispositivo: Este campo indica o nome do dispositivo interno que será utilizado na
comunicação PPPoE. É importante que no caso de que haja mais de uma interface
trabalhando em PPPoE, que eles sejam distintos.
Ativar no boot: Se esta opção estiver marcada, o firewall ativará o PPPoE automaticamente,
ao iniciar a máquina.
Serviço PPPoE ativado sob demanda: Se esta opção estiver marcada, o firewall ativará o
serviço PPPoE apenas quando houver tráfico de rede direcionado por meio desta interface de
rede.
Senha: Senha que será utilizada na autenticação durante o estabelecimento da sessão PPPoE.
Não será possível ao usuário remover ou editar os endereços autoconfigurados (que são
derivados dos endereços MAC).
As interfaces que estiverem em vermelho, indicam que não estão presentes em todos os
nodos do cluster.
36.5. Roteamento
Roteamento é uma atividade realizada na camada de rede, cujo objetivo é definir qual será o
caminho trilhado pelos dados (empacotados) até que cheguem ao seu destino. O dispositivo
responsável por esta atividade é o roteador que possui em sua memória tabelas com as
informações necessárias para determinar o destino dos pacotes que recebe. Visando oferecer
uma rede de alta performance e com mais segurança, o Aker Firewall oferece roteamento
avançado usando os protocolos RIP, RIPng, OSPF, OSPF6, e BGP. A seguir mais informações
sobre estes protocolos.
Esta janela possibilita configurar rotas IPv4 e Ipv6 no firewall. Divide-se em duas partes:
Métrica: É o valor de distância da rede. A distância pode ser medida, por número de
dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por um valor
associado à velocidade do link.
Rota Padrão: Pode-se especificar o roteador padrão, por qual todos os pacotes serão
encaminhados.
Para a inclusão de uma nova rota, basta clicar no botão direito do mouse e irá aparecer o
menu .
Para remover ou editar uma rota, basta clicar com o botão direito sobre ela.
Habilita Roteamento IPV6: Essa opção permite ativar ou desativar o roteamento de pacotes
IPv6
Prefixo: Informa quantos bits a rede é composta. Valor entre 0 e 128 que define quantos bits
do endereço serão usados no roteamento
Métrica: É o valor de distância da rede. A distância pode ser medida, por número de
dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por um valor
associado à velocidade do link.
Rota padrão: Nesse campo deve ser informado o endereço IP da rota padrão. A validação
normal dos endereços IPv6 se aplica também a este campo.
Dispositivos de Gateway Padrão: Pode-se especificar a porta padrão, por qual todos os
pacotes serão encaminhados. Pode-se deixar em branco, não será opcional se o gateway
padrão for autoconfigurado.
Rotas com escopo de link são as que começam pelo prefixo fe80: definido no macro
FWTCPIP_IPV6_AUTOCONF_PREFIX.
Devido a uma limitação do Linux, não é possível remover o módulo de IPv6 uma vez que ele
tenha sido instalado. Também, se o módulo não estava instalado no kernel, os daemons todos
do firewall estavam escutando um socket IPv4. Sendo assim, ao modificar o valor desta opção,
a GUI deverá mostrar um aviso ao administrador dizendo: “This setting will be fully functional
only after the next firewall reboot”.
36.6. RIP
Para acessar o RIP na Interface Texto (via SSH) do Aker Firewall siga os passos abaixo:
O usuário deve entrar com o comando “enable” verificando seu acesso, para efetuar
futuras configurações
Configuração RIP
Comando: router rip
® Aker Security Solutions
820
O comando router rip e necessário para habilitar o RIP. Para desabilitar o RIP, use o comando
no router. O RIP deve ser habilitado antes de realizar qualquer comando RIP.
Desabilita o RIP.
Define a interface RIP habilitada pela network. As interfaces que tem os endereços
correspondentes com a network serão habilitadas.
Este grupo de comandos ativa ou desativa interfaces RIP entre determinados números de um
endereço de rede especificado. Por exemplo, se a rede para 10.0.0.0/24 esta com o RIP
ativado, isso resultaria em todos os endereços de 10.0.0.0 a 10.0.0.255 serem habilitados para
o RIP. A comando no network desativará o RIP para a rede especificada.
Define uma interface RIP ativada pelo ifname. O envio e recebimento de pacotes RIP será
ativado na porta especificada com o comando network ifname. O comando no network
ifname desativará o RIP na interface especificada.
Especifica o RIP neighbor quando um vizinho não entende o multicast, este comando é usado
para especificar os vizinhos. Em alguns casos, nem todos os roteadores serão capazes de
compreender o multicast, onde os pacotes são enviados a uma rede ou a um grupo de
endereços. Numa situação em que um vizinho não pode processar pacotes multicast, é
necessário estabelecer uma ligação direta entre os roteadores.
No exemplo abaixo segue uma configuração de RIP muito simples. Sendo que a
interface eth0 é a interface que corresponde ao endereço de 10.0.0.0/8 que são RIP enabled.
!
router rip
network 10.0.0.0/8
network eth0
Passive interface
Este comando define a interface selecionada para o modo passivo (passive mode). Com a
interface em mode passivo todos os pacotes recebidos são processados normalmente e o
ripd não envia pacotes RIP multicast ou unicast exceto para RIP neighbors que forem
especificados com o comando neighbor. A interface pode ser especificada como default para
fazer que o ripd seja padrão passivo em todas as interfaces.
RIP split-horizon
É importante notar que RIPv1 não pode ser autenticado. Além disso, se o RIPv1 estiver
ativado, o RIP irá responder aos pacotes solicitados (REQUEST packets), enviando o estado de
sua tabela de roteamento RIP para quaisquer roteadores remotos.
Define a versão RIP parar leitura e envio. A versão poder ser tanto à versão 1, quanto a versão
2.
Este comando substitui a configuração da versão global do RIP, e seleciona qual versão do RIP
enviará pacotes para a interface especifica. Escolha o RIP Versão 1, RIP Versão 2, ou as duas
versões. Em casos aonde as duas versões forem especificadas, os pacotes serão tanto
Broadcast quanto Multicast.
Este comando substitui a configuração da versão global do RIP, e seleciona qual versão de
pacotes RIP serão aceitas nesta interface. Escolha o RIP Versão 1, RIP Versão 2, ou as duas
versões.
O comando redistribute bgp redistribui informações de roteamento das entradas da rota bgp
para dentro das tabelas RIP. O comando no redistribute bgp desabilita as rotas.
O comando route faz com que a rota estática somente dentro do RIP. Este comando deve ser
usado apenas por usuários avançados que tenham conhecimento maior sobre o protocolo
RIP. Na maioria dos casos, recomendamos a criação de uma rota estática, é que esta rota seja
redistribuída no RIP usando o comando redistribute static.
® Aker Security Solutions
824
Filtragem de rotas RIP
Rotas RIP podem ser filtradas pelo comando distribute-list.
Você pode aplicar access list (mais conhecido como ACL) para a interface com um comando
distribute-list. Access_list é o nome da lista de acesso.
Direct significa IN ou OUT. Se o direct for IN a lista de acesso será aplicada para os pacotes
de entrada.
O comando distribute-list pode ser usado para filtrar o caminho do RIP (RIP path). O
comando distribute-list pode aplicar o access-list para uma interface escolhida. Primeiro
deve-se especificar uma access-list, e então o nome da access-list será usado no comando
distribute-list. Por exemplo, na configuração eth0 será permitido apenas os caminhos que
correspondam à rota 10.0.0.0/8
!
router rip
distribute-list private in eth0
!
access-list private permit 10 10.0.0.0/8
access-list private deny any
Você pode aplicar o prefix-list para a interface com um comando distribute-list. Prefix_list é o
nome da lista de prefixo. Direct significa IN ou OUT, se o direct for IN a lista de prefixo será
aplicada para os pacotes de entrada.
Este comando modifica o valor métrico padrão para as rotas redistribuídas. Este comando
não afetará rotas conectadas mesmo que sejam redistribuídas pelo o comando redistribute
connected. Para modifica o valor métrico das rotas conectadas (connected route’s value) use
o comando redistribute connected metric ou route-map. O comando offset-list também afeta
as rotas conectadas.
RIP distance
O valor da distância é usado no “Zebra daemon”.
Define a distância padrão do RIP para o valor especificado quando o endereço IP de origem
da rota corresponde ao prefixo especificado.
Define a distância RIP padrão para o valor especificado quando o endereço IP de origem da
rota corresponde ao prefixo especificado e a lista de acesso especificada (access-list).
RIP route-map
O uso do route-map support do ripd.
O ripd aplica route-map após as rotas estarem listadas na tabela de rotas e antes que as rotas
sejam anunciadas a uma interface (algo como um filtro de saída).
Este comando corresponde à interface de entrada. O Ripd permite que apenas um nome.
Cisco significa interface que inclui o next-hop das rotas. Ripd significa interface para onde está
rota será enviada.
Este comando corresponde ao valor métrico de atualizações RIP. Para compatibilidade com
outro protocolo, a metric range será mostrada como <0-4294967295>. Mas, para o protocolo
RIP apenas o intervalo de valor <0-16> faz sentido.
Este comando define o valor do next hop no protocolo RIPv2. Este comando não afeta RIPv1
porque não há nenhum campo next hop no pacote.
Define uma métrica para uma rota correspondente ao enviar o pacote. A faixa de valor
métrica é muito grande para compatibilidade com outros protocolos. Para RIP, os valores
métricos validos são de 1 a 16.
Autenticação RIP
O RIPv2 permite que os pacotes sejam autenticados, por meio de uma simples senha de texto,
incluído com o pacote, ou por meio de uma checagem MD5 mais segura baseada em
HMAC (keyed-Hashing for Message AuthentiCation), o RIPv1 não pode ser autenticado, assim
A versão 2 do RIP tem autenticação de texto simples (simple text authentication). Este
comando define a sequência da autenticação. A sequência deve ser menor que 16 caracteres.
!
key chain test
key 1
key-string test
!
RIP Timers
O RIP protocolo tem vários temporizadores (Timers). O usuário pode configurar os valores
dos temporizadores pelo comando timers basic.
O comando timers basic permite que os valores padrão dos temporizadores listados acima
sejam alterados.
O comando no timers basic redefinirá os temporizadores para a configuração padrão que foi
mostrada acima.
O comando exibe todas as rotas RIP. Para as rotas que serão recebidas por meio de RIP, este
comando exibirá o tempo em que o pacote foi enviado e suas informações, além de, exibir
esta informação para rotas redistribuídas no RIP.
O comando debug rip packet exibirá informações detalhadas sobre os pacotes RIP. A origem
é o número da porta do pacote, é o packet dump serão mostrados.
O comando show debugging rip mostrará todas as informações atualmente definidas para o
Ripd debug.
36.8. OSPF
O protocolo OSPF (Open Shortest Path First) é a alternativa para redes de grande porte, onde
o protocolo RIP não pode ser utilizado, devido às suas características e limitações.
O OSPF permite a divisão de uma rede em áreas, e torna possível o roteamento dentro de
cada área (o roteamento das áreas e realizado por meio dos roteadores de borda. Com isso,
usando o OSPF, é possível criar redes hierárquicas de grande porte, sem que seja necessário
que cada roteador tenha uma tabela de roteamento gigantesca, com rotas para todas as
redes, como seria necessário no caso do RIP. O OSPF é projetado para intercambiar
informações de roteamento em uma interconexão de rede de tamanho grande ou muito
grande, como por exemplo, a Internet.
O OSPF é eficiente em vários pontos, requer pouquíssima sobrecarga de rede mesmo em
interconexões de redes muito grandes, pois os roteadores que usam OSPF trocam
informações somente sobre as rotas que sofreram alterações e não toda a tabela de
roteamento, como é realizado com o RIP.
A suas vantagens são: Maior velocidade de convergência, suporte a várias métricas, caminhos
múltiplos, sem loop nem contagem ao infinito e sincronismo entre os bancos.
Custo OSPF: O custo OSPF também é chamado de métrica, ou seja, a métrica é expressa como
um valor de “custo”. O melhor caminho possui o custo mais baixo, sendo tipicamente o de
maior largura de banda. É o custo da rota para se chegar a um determinado lugar.
Área OSPF: Área é a designação atribuída a um subconjunto dos roteadores e redes que
constituem o sistema autônomo e que participam numa instância do protocolo OSPF, isto é,
Redistribuir: Nessa opção são escolhidas as rotas que serão informadas para os outros
roteadores.
Redes Locais: São Rotas localmente conectadas, correspondem às sub redes configuradas
nas interfaces de redes.
Rotas de Outros Protocolos: Ao selecionar essa opção as rotas redistribuídas serão aquelas
determinadas pelos protocolos RIP e o OSPF. Haverá uma troca de informações na
comunicação entre eles, ou seja, o que foi aprendido por um protocolo será informado pelo
outro e vice versa.
Ativando esta opção devem-se selecionar quais as redes e hosts deseja-se receber e distribuir
novas rotas por meio dos protocolos RIP e/ou OSPF. Por meio deste filtro desconsideram-se
as informações que não são necessárias para nosso ambiente e também assim não é
informado aos outros roteadores rotas de redes que não são utilizadas pela Aker.
Para acessar o OSPF na Interface Texto (via SSH) do Aker Firewall siga os passos abaixo:
O usuário deve entrar com o comando “enable” verificando seu acesso, para efetuar
futuras configurações
OSPF Terminologia
· Interface: Interface geralmente refere-se ao Link;
· Link State: O status entre dois routers. É advertido por pacotes LSA;
· AS: Grupo de routers que trocam informações de roteamento e usam um mesmo protocolo;
· Area: Uma coleção de redes e routers que possuem a mesma identificação de área e trocam
informações de estado de link;
· Neighbors: Dois routers que possuem suas interfaces em uma mesma rede, geralmente
descobertos e mantidos em relação pelos pacotes hello;
· Hello: Protocolo usado para estabelecer e manter relações entre vizinhos, enviados de 10
em 10 segundos no endereço: 224.0.0.5;
· Router ID: Número único de 32-bit usado para identificar o router dentro da AS. O maior IP
na interface que estiver ativa será escolhido como padrão. Usado para definir o DR e o BDR
no caso de empate.
· Hello intervals: É o tempo em segundos que o router envia pacotes hello (10s default);
· Dead intervals: É o tempo em segundos que o router espera um hello de um vizinho, se não
responder ele coloca o router como down. O tempo dead é 4 vezes o valor do tempo Hello;
® Aker Security Solutions
833
· Area-ID: Identificação da área;
· Auth Password: Se a auth estiver habilitada, 2 router devem trocar a mesma senha;
· Stub area Flag: Dois routers devem ter o mesmo Flag de área Stub no pacote hello.
· Neighborship database: Uma lista de todos os vizinhos que o router mantém uma
comunicação bidirecional;
· Link-state database or Topological database: Base de dados do estado dos links de todos
os routers da rede. Todos os routers da mesma área têm a mesma informação de Link-state;
· Routing table or forwarding database: Base de dados gerada quando o algoritmo SPF é
executado na base de dados de Link-state;
· Topologia Broadcast multiaccess: Redes que suportam mais de dois routers ligados juntos
com capacidade de mensagens broadcast. O seguimento ethernet é um exemplo dessa
topologia;
· Topologia Point-to-Point: Uma rede que associa um único par de routers. Uma linha serial
T1 é exemplo.
· Topologia Non-Broadcast multiaccess (NBMA): Redes que suportam muitos routers mas
não têm a capacidade de executar broadcast. O Frame-Relay e X.25 são exemplos de NBMA.
Não há opções específicas do ospfd, opções comuns podem ser especificadas para o ospfd.
O ospfd precisa adquirir as informações da interface zebra para poder funcionar. Portanto
o zebra deve estar em execução antes de carregar o ospfd. Além disso, se o zebra for
reiniciado então o ospfd deve ser reiniciado também.
Tipos de Routers
· Router Interno – São roteadores o quais as interfaces pertencem a mesma área. Todos os
routers na mesma área compartilham do mesmo Banco de Dados (DB) de estado de enlace
(idênticos);
· Router do Backbone – São roteadores que tem pelo menos uma interface conectada na
Área 0. A área 0 serve como área de trânsito entre áreas do OSPF;
· Area Border Router (ABR) – Roteadores que tem interfaces conectadas as diversas áreas. Esse
router mantém Link-state database distintos para cada área à qual estão conectados. Os
ABR’s são pontos de saída da área. Os ABRs podem resumir as informações de Link-state
database e distribuir no backbone, em seguida o backbone encaminha para outras áreas.
· Autonomous System Boundary Router (ASBR) – Routers que tem pelo menos uma interface
em uma rede externa (outro AS) e outra dentro da rede OSPF. Esse router faz Redistribuição
de rotas entre o OSPF e o não-OSPF.
O ospfd ainda não suporta múltiplos processos OSPF, então você não pode especificar um
número de processo OSPF.
Este comando define o router-ID do processo OSPF. O router-ID pode ser um endereço IP do
roteador, mas não e obrigatório, ele pode ser qualquer número arbitrário de 32 bits. No
entanto, deve ser único dentro de todo o domínio OSPF para o speaker OSPF (Não é
recomendado configurar vários speakers OSPF com o mesmo router-ID). Se não for
especificado, então o ospfd obterá um router-ID automaticamente do zebra.
O padrão do OSPF para o comportamento ABR não permite que um ABR considere rotas por
meio de áreas que não sejam backbone, mesmo quando suas ligações com o backbone
estiverem desligadas, ou quando houver outros ABRs anexados em non-backbone areas que
ainda podem alcançar o backbone. Esta restrição existe principalmente para garantir que os
loops de roteamento sejam evitados.
Note-se que as áreas com links virtuais totalmente adjacentes são consideradas "transit
capable" e pode sempre ser usada para o tráfego da rota backbone, portanto, não são
afetados por esta configuração.
Observação: Embora a definição da ABR (Area Border Router) na especificação OSPF não
requer que um roteador com múltiplas áreas anexadas tenha uma conexão backbone, é
necessário para fornecer roteamento para área interna é destinos externos. Se este
requerimento não for cumprido, todo o tráfego, destinado para as áreas que não estejam
conectadas a um ABR ou fora do domínio OSPF, será descartado.
O sucessor do RFC1583 (RFC2328), sugere uma alteração no caminho do algoritmo para evita
possíveis loops de roteamento que eram possíveis na versão antiga do OSPFv2. Mais
especificamente, exige que os inter-area path e intra-area path tenham a mesma preferência,
mas os dois ainda preferem caminhos externos.
Configura o ospfd para registrar as mudanças nas adjacências. Com o parâmetro opcional,
todas as alterações do status da adjacência serão mostradas. Sem detalhes, apenas as
mudanças completas ou regressões serão mostradas.
Cálculos consecutivos SPF serão sempre separados pelo menos por tempo de espera
(holdtime) em milissegundos. O tempo de espera é adaptável e inicialmente está definido
para o initial-holdtime configurado com o comando acima. Eventos que ocorrem dentro do
tempo de espera do cálculo SPF anterior faram com que o tempo de espera aumente pela
initial-holdtime , interligado pelo maximum-holdtime configurado com este comando. Se o
tempo de espera adaptável passar sem acionar qualquer evento SPF então o holdtime atual
será redefinido para o initial-holdtime. O atual holdtime pode ser visualizado com o
comando show ip ospf.
router ospf
Neste exemplo, o delay é definido como 200 ms, o initial holdtime é definido como 400ms é o
maximum holdtime de 10s. Por isso sempre haverá pelo menos 200 ms entre um evento que
requer o cálculo SPF e o cálculo SPF atual. Cálculos futuros consecutivos SPF serão sempre
separados entre 10s a 400ms, o tempo de espera aumentará 400ms cada vez que um evento
de SPF ocorre dentro do tempo de espera do cálculo SPF anterior.
Quando ativado por um período após a inicialização permite OSPF a convergir primeiro sem
afetar as rotas existentes usadas por outros roteadores, enquanto permite que quaisquer
stub link conectados e/ou rotas redistribuídas para serem acessíveis quando habilitados por
um período de tempo antes do desligamento permite que o roteador se-exime do domínio
OSPF.
Este comando define a largura de banda de referência (reference bandwidth) para os cálculos
de custos, onde está largura de banda é considerada equivalente a um custo OSPF 1,
especificado em MB. O padrão é 100 MB.
Esta configuração deve ser consistente em todos os roteadores dentro do domínio OSPF.
Este comando especifica a interface OSPF que está habilitada. Se a interface tem um endereço
192.168.1.0/24 então o comando abaixo permite ospf nesta interface de modo que o
roteador possa fornecer informações sobre a rede para os outros roteadores OSPF por meio
desta interface.
router ospf
router ospf
network 192.168.1.0/24 area 0.0.0.0
network 10.0.0.0/8 area 0.0.0.10
Em vez de sumarizar os caminhos intra area deve-se filtrá-los. Intra area paths deste intervalo
não são anunciados em outras áreas. Este comando faz sentido apenas no ABR.
router ospf
network 192.168.1.0/24 area 0.0.0.0
network 10.0.0.0/8 area 0.0.0.10
Configura a área como um Shortcut capable. Esta ação requer que o 'abr-type' esteja definido
para 'shortcut'.
Configurar a área para ser uma stub area. Ou seja, uma área onde nenhum roteador origina
rotas externas ao OSPF, assim uma área onde todas as rotas externas são via ABR (s). Por isso
o ABRs para essa área não precisa passar AS-External LSAs (type-5s) ou ASBR-Summary LSAs
(type-4). Eles precisam apenas passar o Network-Summary (type-3) LSAs em tal área,
juntamente com uma sumerização da rota padrão.
O comando acima impede que um ospfd ABR coloque as sumarizações da inter-area dentro
da stub area especificada.
A Filtragem Type-3 summary-LSA e anunciada para outras áreas que foram originadas de
caminhos intra-area (intra-area paths) de áreas especificas.
router ospf
network 192.168.1.0/24 area 0.0.0.0
network 10.0.0.0/8 area 0.0.0.10
area 0.0.0.10 export-list foo
!
access-list foo permit 10.10.0.0/16
O comando acima tem a mesma função do comando export-list, mas se aplica a caminhos
anunciados em áreas especificadas como Type-3 summary-LSAs.
Filtragem Type-3 summary-LSAs para a área que esteja usando as listas de prefixo (prefix
lists). Este comando só faz sentido no ABR.
Especifica que os pacotes OSPF devem ser autenticados com MD5 HMACs dentro da área
fornecida. Keying material também deve ser configurado em uma per-interface basis.
Autenticação MD5 também pode ser configurada em uma per-interface basis. Tais
configurações per-interface irão substituir qualquer configuração per-area authentication.
OSPF interface
Comando de Interface: ip ospf authentication-key AUTH_KEY
Define a chave de autenticação OSPF para uma senha simples. Depois de definir AUTH_KEY,
todos os pacotes OSPF são autenticados (AUTH_KEY tem comprimento de até 8 caracteres).
O comando acima especifica que a autenticação MD5 HMAC deve ser utilizada nesta
interface. MD5 Keying material também deve ser configurado é substitui qualquer
autenticação habilitada em uma per-area basis.
Note que a autenticação OSPF MD5 requer que o tempo nunca vá em sentido contrário (hora
correta não é importante, apenas que ele nunca vá em sentido contrário mesmo por meio de
redefinições). Se o ospfd for capaz de reestabelecer adjacências com seus vizinhos depois de
restart/reboot, o host deve ter o tempo do sistema para ser definido no boot a partir de uma
fonte externa ou não volátil (por exemplo, battery backed clock, NTP, etc) ou então o relógio
do sistema devem ser periodicamente salvo a um non-volative storage será restaurado no
boot se a autenticação MD5 funcionar de forma confiável.
O comando acima define uma chave de autenticação OSPF para uma senha de criptografia. O
algoritmo de criptografia é o MD5.
O Keyid identifica a chave secreta usada para criar o message digest. Esta identificação é parte
do protocolo e deve ser consistente em roteadores em um link.
KEY é a chave atual do message digest key, de até 16 caracteres (maiores sequencias de
caracteres serão descartadas), e está associada com o keyid fornecido.
Define custo de link para a interface especificada. O valor do custo será definido para o campo
métrico do roteador LSA (router-LSA’s metric field) e será utilizado para o cálculo SPF.
Este comando define o número de segundos para o valor RouterDeadInterval timer utilizado
para o Wait Time é o Inactivity Timer. Este valor deve ser o mesmo para todos os roteadores
ligados a uma rede comum. O valor padrão é 40 segundos.
Se "minimal" for especificado, então o dead-interval será definido para 1 segundo e um deve
especificar um hello-multiplier. O hello-multiplier especifica quantos Hellos devem ser
enviados por segundo, de 2 (cada 500ms) a 20 (cada 50ms). Assim, pode-se ter 1s de tempo
de convergência para OSPF. Se o formulário for especificado, então o “hello-interval”
anunciado nos pacotes Hello será definido como “0”, é o hello-interval nos pacotes Hello
recebidos não estarão marcados, assim, o hello-multiplier não precisa ser o mesmo em vários
roteadores em um link comum.
O comando acima define o número de segundos para o valor do Hello Interval timer.
Definindo este valor, o pacote Hello será enviado a os segundos do valor do temporizador
(timer value seconds) na interface especificada. Este valor deve ser o mesmo para todos os
roteadores ligados a uma rede comum. O valor padrão é 10 segundos.
Este comando não tem efeito se o ip ospf dead-interval minimal também for especificado
para a interface.
O valor padrão é 1.
Este comando define o número em segundos para o valor do Rxmt Interval timer. Esse valor
é usado quando a Database Description e o Link State estão sendo retransmitindo (estado do
link e informações do router). O valor padrão é de 5 segundos.
Este comando define o número de segundos para o valor InfTransDelay (tempo de demora
para nova transmissão). A LSAs' age (idade da LSA) deve ser incrementado comeste valor
durante a transmissão.
Este comando redistribui rotas do protocolo especificado ou OSPF, com o tipo e conjunto
métrico se especifico, que filtra as rotas utilizando o route-map fornecido se especificado. As
Rotas redistribuídas também podem ser filtradas como listas de distribuição.
As rotas redistribuídas serão distribuídas no OSPF como o Type-5 External LSAs em links para
áreas que aceitam rotas externas.
Este comando gera um AS-External (type-5) LSA descrevendo uma rota padrão em todas
external-routing capable areas.
Aplica o filtro da lista de acesso (access-list filter) NAME, para as rotas redistribuídas do tipo
fornecido, antes de permitir que as rotas sejam redistribuídas no OSPC.
Mostrar a tabela de encaminhamento OSPF (OSPF routing table), com base no SPF mais
recente.
Debugging OSPF
Este comando exibe o router ID é o OSPF instance ID, basta digitar "show ipv6 ospf6 <cr>".
Este comando e usado para ver a configuração de interface OSPF como custos.
36.10. BGP
BGP (Border Gateway Protocol), é um protocolo de roteamento dinâmico, que é utilizado para
comunicações entre sistemas autônomos (ASs). O BGP foi projetado para evitar loops de
roteamento em topologia arbitrarias.
® Aker Security Solutions
848
Para acessar o OSPF na Interface Texto (via SSH) do Aker Firewall siga os passos abaixo:
O usuário deve entrar com o comando “enable” verificando seu acesso, para efetuar
futuras configurações
As opções do bgpd serão descritas a seguir. Opções comuns também podem ser
especificadas.
`-p PORT'
`--bgp_port=PORT'
`-r'
BGP router
Primeiramente você deve configurar o roteador BGP com o comando router bgp. Para
configurar o roteador BGP, você precisa AS number. O AS number é uma identificação do
sistema autônomo (AS autonomous system). O protocolo BGP utiliza o AS number para
detectar se a conexão BG e interna ou externa.
Este comando ativa um processo de protocolo BGP com o asn (ASN-Autonomous system
number) que foi especificado. Com parâmetro você pode introduzir quaisquer comandos
BGP, mas você não pode criar diferentes processo BGP, sob diferentes asn sem especificar o
multiple-instance.
Este comando especifica o router-ID se o bgpd conectar-se ao zebra ele obterá informações
de interface e endereço. Nesse caso, o valor padrão do router ID será selecionado como o
maior endereço IP das interfaces. Quando o router zebra não está habilitado, o bgpd não
pode obter informações interface para que o router-id seja definido como 0.0.0.0, então o
router-id deve ser definido manualmente.
BGP distance
COMANDO BGP: distance bgp <1-255> <1-255> <1-255>
Este comando muda o valor de distância do BGP. Cada parâmetro é o valor de distância para
rotas externas, rotas internas e rotas locais.
Rota BGP
router bgp 1
network 10.0.0.0/8
O exemplo acima mostra que a rede 10.0.0.0 / 8 será anunciada para todos os vizinhos. Alguns
roteadores de fornecedores não anunciam rotas se estas não estiverem presentes em suas
tabelas de roteamento IGP.
Este comando especifica um endereço agregado. Rotas agregadas não serão anunciadas.
Redistribute to BGP
Este comando cria um novo vizinho, cujo remote-as será asn. O Peer pode ser um endereço
IPv4 ou um endereço IPv6.
router bgp 1
No exemplo acima, o roteador em AS-1 está tentando agrupar com AS-2 em 10.0.0.1.
Este comando deve ser o primeiro comando usado quando um neighbor está sendo
configurado. Se o remote-as não for especificado, o bgpd vai mostrar a seguinte mensagem:
Podemos excluir a configuração do vizinho com o comando no neighbor peer remote-as as-
number, mas toda configuração do vizinho será apagada, quando você quiser preservar a
configuração, mas deseja deixar o BGP peer, use esta sintaxe.
Ao se conectar a um BGP peer usando um endereço link-local IPv6, você tem que especificar
o ifname da interface usado para a conexão. Para especificar endereços IPv4, veja o comando
neighbor peer update-source abaixo.
Este comando especifica uma rota nexthop, que será anunciada como equivalente ao
endereço do roteador BGP.
Este comando especifica o endereço de origem IPv4. Para usar a sessão BGP para este vizinho,
pode ser especificado diretamente como um endereço IPv4 ou como um nome de interface
(caso o zebra esteja sendo usado, o daemon deve estar em execução para que BGPD possa
recuperar o interface state).
O padrão bgpd não e usado para anunciar a rota padrão (0.0.0.0 / 0) mesmo que esteja na
tabela de roteamento. Este comando deve e usado para anunciar as rotas padrões para os
peers.
Este comando especifica um valor padrão de peso (default weight) para as rotas do vizinho.
Peer filtering
Comando BGP: neighbor peer distribute-list name [in|out]
Este comando especifica uma lista de distribuição (distribute-list) para os peers. O Direct deve
ser “in ou out”.
Este comando aplica um mapa de rotas (route-map) sobre o vizinho. O Direct deve ser “in
ou out”.
Autonomous System
O AS number (Autonomous System) é um dos elementos essenciais do BGP. O AS-Path
framework oferece distance vector metric é loop detection para BGP.
Para mostrar rotas BGP que tem informações específicas sobre AS path use o comando
show ip bgp.
Este comando mostras as rotas BGP que se correspondem com o AS Path regular
expression line.
AS: VAL
Este formato representa 4 octetos dos valores das comunidades. O AS tem 2 octetos de
alta ordem em formato de dígitos. O VAL tem 2 octetos de baixa ordem em formato de
dígitos. Este formato é útil para definir o valor da política orientada AS ( AS oriented policy
value). Por exemplo, 7675:80 pode ser usado quando o AS 7675 quer passar pelo valor
da política local 80 para o neighboring peer.
Internet
no-export
no-advertise
local-AS
Existem dois tipos de listas de comunidade; uma delas é a lista de comunidade padrão
(standard community list), a outra e a lista de comunidade expandida (expanded
community list). A lista de comunidade padrão define o atributo das comunidades e a lista
de comunidade expandida define a sequência de atributo das comunidades com
expressão regular. A lista de comunidade padrão é compilada em formato binário quando
definida pelo usuário. A lista de comunidade padrão será comparada diretamente com o
BGP communities attribute nas atualizações do BGP, portanto, comparação será mais
rápido do que a lista de comunidade expandida.
Este comando define uma nova lista de comunidade padrão. Community é o valor das
comunidades (Community é compilado na estrutura da comunidade). Podemos definir
múltiplas listas de comunidade sobre o mesmo nome. Uma vez que a community list
corresponde à commuinity attribute nas atualizações do BGP, este comando permitirá ou
negará a definição da lista de comunidade (community list definition). Quando não
houver nenhuma entrada que corresponda à definição, o pedido será negado. Quando
a community estiver em branco ela corresponde a qualquer rota.
Este comando define uma nova lista de comunidade expandida. Line é uma expressão de
sequência do atributo das comunidades (string expression. Of communities atribute).
Line pode incluir uma expressão regular para corresponder o atributo das comunidades
nas atualizações de BGP.
Este comando mostra a informação atual da lista de comunidade. Quando name for
especificado as informações da lista de comunidade especificadas serão mostradas.
# show ip community-list
deny internet
permit :
deny internet
Este comando define uma nova lista de comunidade. <1-99> é o número da lista de
comunidade padrão. O nome da comunidade de lista dentro desta faixa define a lista de
® Aker Security Solutions
859
comunidade padrão. Quando community está em branco ela corresponde a qualquer
rota.
Este comando define uma nova lista de comunidade. <100-199> é o número da lista de
comunidade expandida. O nome da comunidade de lista dentro desta faixa define a lista
de comunidade expandida.
Quando o tipo de lista de comunidade não é definido, o tipo da lista de comunidade será
detectado automaticamente. Se community pode ser compilado no atributo de
comunidades (communities atribute), a lista de comunidade será definida como uma lista
de comunidade padrão, caso contrário ela será definida como uma lista de comunidade
expandida. O uso deste recurso não é recomendado.
Este comando combinar atualizações BGP usando a lista de comunidade word (communit
list word). Quando a palavra-chave exact-match for especificada, a combinação
acontecerá apenas quando as atualizações BGP têm os mesmos valores de comunidades
especificados na lista da comunidade.
Este comando remove o valor das comunidades do BGP communities attribute. Word é o
nome da lista de comunidade. Quando o valor de comunidade da rota BGP corresponde
à lista de comunidade word, o valor de comunidades será removido. Quando todos os
valores de comunidades forem removidos, os communities attribute da atualização BGP
serão completamente removidos.
O comando show ip bgp community exibe rotas BGP, que tem atributo de comunidades
(community atribute). Quando community for especificada, as rotas BGP que
correspondem ao valor da comunidade serão exibidas. Para esse comando, a palavra-
chave internet não pode ser utilizada para um valor de comunidade (community
value). Quando exact-match for especificado, exibirá apenas as rotas que têm uma
correspondência exata (exact-match).
Seguindo a configuração acima 10.0.0.0/8 de AS 100 para AS 7675. A rota tem o valor de
comunidade 7675:80 de forma que quando a configuração acima existe no AS 7675, a
preferência local da rota anunciada será ajustada para o valor 80.
O seguinte exemplo de rotas de filtro BGP tem o valor da comunidade 1:1. Quando não
houver correspondência na lista de comunidade o comando ira negar). Para evitar a
filtragem de todas as rotas, e preciso definir a permissão de pelo menos uma rota.
No exemplo abaixo keyword internet corresponde a todas as rotas BGP, mesmo que a
rota não tem o atributo de comunidades (communities atribute). Então a lista de
comunidade INTERNET será a mesma do exemplo acima FILTER.
Existem dois formatos para definir o Extended Community value. Uma delas é AS based
format é o outro IP address based format.
AS: VAL
7675:100
IP-Address:VAL
10.0.0.1:100
Estes comandos excluem as Extended community lists especificadas pelo nome. Todas as
comunidades estendidas (extended communities) dividem um único namespace para
que as Extended community lists possam ser removidas simplesmente especificar ao o
nome.
# show ip extcommunity-list
Show IP BGP
Comando: show ip bgp
Show IP BGP
Comando: show ip bgp regexp line
Capability Negotiation
Por padrão, o Firewall trará o peering com capacidade mínima para ambos os lados. Por
exemplo, o roteador local tem capacidade Unicast e Multicast, e o roteador remoto tem
capacidade unicast.
IPv6 Support
Router Advertisement
Comando de Interface: no ipv6 nd suppress-ra
valid-lifetime -
O período de tempo em segundos, que o prefixo será válido para on-link determination.
preferred-lifetime -
O período de tempo em segundos, que os endereços gerados a partir do prefixo
permanecem preferenciais.
off-link - indica que a propaganda não faz afirmações sobre as propriedades on-link ou
off-link do prefixo.
no-autoconfig – indica para os hosts no link local, que o prefixo especifico não
pode ser usado pelo “auto configuração IPv6 (IPv6 autoconfiguration)”.
router-address - indica aos hosts no link local, que o prefixo especifico contém um
endereço IP completo por configuração R flag (complete IP address by setting R
flag)
O comando acima define o tempo máximo permitido entre o envio de anúncios não
solicitados do roteador multicast da interface em segundos. Este valor não deve ser
menos que 3 segundos.
Default: 600
Define o tempo máximo permitido entre o envio de anúncios não solicitados do roteador
multicast da interface em milissegundos. Este valor deve ser menos que 30
milissegundos.
Default: 600000
Indica o valor que será colocado no campo Router Lifetime de anúncios de roteador
enviados da interface em segundos. Definindo o valor zero indica que o roteador não
deve ser considerado um roteador padrão nesta interface. Este número deve ser zero ou
entre um valor especificado com ipv6 nd ra-interval (ou padrão) e 9000 segundos.
Default: 1800
Indica o valor que será colocado no campo Reachable Time nas mensagens de anúncio
do roteador que foram enviadas pelo roteador em milissegundos. O tempo configurado
permite que o roteador detecte vizinhos indisponíveis. O valor zero significa não
especificado por este roteador. Este número não dever ser maior que 3.600.000
milissegundos (1 hora).
Default: 0
Ativa/desativa Flag nos anúncios de roteador IPv6 (IPv6 router advertisements) que
indicará aos hosts que eles devem usar um protocolo gerenciado (stateful) para auto
configuração de endereços, na inclusão de qualquer endereço auto configurado usando
a autoconfiguração de endereço sem estado (stateless address autoconfiguration).
Ativa/desativa Flag nos anúncios de roteador IPv6 (IPv6 router advertisements) que
indicará aos hosts que eles devem usar o protocolo administrador (stateful) para obter
informações de autoconfiguração que não sejam de endereços.
Ativa/desativa Flag nos anúncios de roteador IPv6 (IPv6 router advertisements) que
indicará aos hosts que o roteador vai agir como um Home Agent.
Indica o valor que será colocado na opção Home Agent, quando o Home Agent config flag
estiver definido, indicará aos hosts a preferência do Home Agent.
Indica o valor que será colocado na opção Home Agent, quando o Home Agent config flag
estiver definido indicará o Home Agent Lifetime para os hosts. O valor 0 significa que
Router Lifetime deve ser colocado.
Default: 0
Adiciona uma opção Advertisement Interval que indica aos hosts o tempo máximo em
milissegundos, entre sucessivos Router Advertisements que não foram solicitados.
36.11. Avançado
Para realizar com sucesso esta configuração, é necessário cadastrar as entidades de origem,
destino e serviço antes do início do processo. Este cadastramento pode ser realizado tanto na
Interface Remota do Aker Control Center como no modo texto utilizando o comando “fwent”
no console do Aker Firewall.
Laboratório
Testes e configurações
Configurações do FW A:
Configurações do FW B:
Esta configuração faz com que todo o tráfego entre as redes 192.168.0.0/24 e 172.16.21.0/24
seja balanceado pelos 3 links.
Aker Firewall
fwadvroute refresh
Os parâmetros são:
-P : Persistência de conexão.
A seguir, serão demonstrados alguns exemplos práticos das sintaxes utilizadas nesta
configuração:
Nota: Os nomes das entidades utilizadas nos exemplos são apenas nomes de demonstração
para facilitar a compreensão.
Sintaxe: fwadvroute inclui <pos> -src <src_ents> -dst <dst_ents> [-svc <svc_ents>] -gw
<gw_ent>
Cria e/ou define uma rota especificando a posição, origem, serviço (caso haja), destino e o
gateway desejado.
Exemplo: fwadvroute inclui 1 -src "rede interna" -dst host1 -gw server1
Note que para indicar a entidade "rede interna" foi utilizada aspas, pois, nomes de
entidades que contenham mais de uma palavra devem estar sempre entre aspas.
® Aker Security Solutions
875
Caso o espaço para indicar o serviço a ser utilizado estiver vazio, serão considerados todos
os serviços para esse roteamento.
Localização do programa:/aker/bin/firewall/fwinterface
Para configurar uma interface deve-se digitar o nome da mesma. A tecla <enter> retorna ao
menu anterior.
Esta opção é configurada apenas pelo console do Aker Firewall e está disponível somente no Aker
Firewall Box com suporte para conexão Wireless.
O Aker Firewall possui suporte a múltiplas SSIDs, ou seja, podem ser configuradas diferentes
redes sem fio no mesmo equipamento conforme a necessidade. Atualmente o limite de SSIDs é
4 (1master + 3virtuais), ou seja, 4 redes wireless distintas.
No Aker Firewall, para utilizar múltiplas SSID é necessário criar várias interfaces utilizando o
seguinte comando:
Logo após um comando, é obrigatório inserir os dados necessários quando o espaço para
inseri-los estiver entre os sinais "< e >" (menor que, e maior que). Caso este espaço estiver
entre os sinais "[e]" (colchetes), será facultativo a inserção dos mesmos.
Vários desses comandos são autoexplicativos, por este motivo será enfatizada às
particularidades dos comandos mais importantes:
Dentre os modos existentes, o mais utilizado é o "AP" (Modo Master), que permite outras
máquinas se conectarem nele.
As interfaces wireless são definidas por "ath", logo, caso existam 3 interfaces listadas, estas
serão definidas por: ath0, ath1 e ath2.
Caso queira listar uma determinada interface, basta defini-la na frente do comando.
akwireless wep_chave <interface> <índice> <chave> = habilitar autenticação WEP com índice
e chave indicados.
Para mostrar os canais disponíveis, basta utilizar este comando sem indicar o canal.
Esta configuração é realizada apenas por meio da Interface Texto (via SSH).
Nos dias atuais as redes wireless são vulneráveis de varias formas (espionagem, uso ilegal,
acessos não autorizado, e ataque de negação de serviço conhecidos como “warchalking e
DOS Attack”). Estes problemas são o principal obstáculo no uso de redes wireless, que tanto
preocupa os usuários que estão sujeitos a expor seus computadores a acessos ilegais através
de redes Wi-Fi. Em redes cabeadas estes ataques são realizados através dos cabos de rede,
em redes wireless este ataque pode vir de qualquer computador que esteja em sua
vizinhança.
Para este problema o Aker Firewall oferece o WIDS (Wireless Intrusion Detection System)
que monitora as redes WI-FI com o intuito de detectar a presença de usuários não
autorizados, pontos de acesso não autorizados (Rogue Access Point) e o uso de ferramentas
de ataques a redes wireless em tempo real. O WIDS possui a capacidade de:
Autoaprendizagem, autodefesa e contra ataques, incluindo o envio de alertas ao
administrador de rede. O WIDS é similar ao IDS padrão, a diferença e que o WIDS possui
recursos específicos para invasão de WLAN.
Acesse o menu “TCP/IP” do firewall o qual está sendo gerenciado, e selecione Wireless:
No próximo passo o usuário deve especificar o canal o qual a interface AP está utilizando
akddns ip <ip>
lista = lista modelos de gateways que podem ser consultados para obter IP publico
O cliente DDNS utilizara um dos meios abaixo para obter o IP publico do hostname
configurado:
gateway = consulta um gateway (roteador, etc) para obter o IP publico do hostname sendo
configurado
web = consulta uma pagina WEB que contém o IP publico para o hostname sendo
configurado
será feita
Logo após um comando, é obrigatório inserir os dados necessários quando o espaço para
inseri-los estiver entre os sinais “< e >” (menor que, e maior que). Caso esse espaço estiver
entre os sinais “[e]” (colchetes), será facultativo a inserção dos mesmos.
Vários desses comandos são autoexplicativos, por este motivo será enfatizada às
particularidades dos comandos mais importantes:
Sintaxe: ddns interface eth0 = Com esse comando, o IP dinâmico a ser atualizado no servidor
será o existente na interface fornecida (ex. eth0).
® Aker Security Solutions
893
ddns gateway <tipo_gateway> <ip_gateway> <porta_gateway> [login_gateway]
[pwd_gateway] = monitora o IP de um gateway da rede
Sintaxe: ddns gateway linksys 10.0.0.1 80 usuários senha com esse comando, o IP dinâmico a
ser atualizado no servidor será o de um gateway (ex. modem) da rede. Normalmente, seria o
IP externo da rede. Para uma lista com os tipos de gateway suportados, execute o comando
“ddns lista”.
Com esse comando, o IP dinâmico a ser atualizado no servidor será obtido a partir de uma
página web localizada na URL fornecida, após o token configurado.
A partir de agora, o Aker Firewall UTM passa a suportar conexão pelos modems 3G e 4G. Essa
funcionalidade foi desenvolvida para garantir maior mobilidade e facilidade no acesso à
Internet.
O Aker Firewall permite que você conecte um modem 3G/4G em sua porta USB e essa
conexão passa a ser utilizada como um link de dados para acesso à Internet.
Na janela “Interfaces de rede”, ao conectar o seu modem 3G/4G, uma nova interface
chamada “Internet Móvel” será exibida.
Para configurar sua conexão de internet móvel, clique com o botão direito na interface virtual
do dispositivo móvel e opte pela opção "Usar internet móvel". A janela a seguir será exibida:
Ao realizar o procedimento acima, uma janela de configuração será aberta com os seguintes
campos:
Nome do dispositivo: neste campo o usuário deve selecionar a interface que será usada
na conexão 3G/4G.
Ativar no boot: esta opção permite efetuar a conexão automaticamente, após ligar o Aker
Firewall BOX;
Usar configuração DNS do servidor: permite a utilização das configurações de DNS,
fornecidas pela operadora do 3G/4G;
Usar rota Padrão do Servidor: esta opção permite que se utilize como rota padrão o link
de internet móvel (apenas no caso da rota padrão não ter sido configurada previamente);
Provedor: neste campo, o usuário deve selecionar o provedor de Internet de sua rede
3G/4G.
APN: neste campo, o usuário deve definir a APN (Access Point Name) de seu provedor
para que este possa se conectar à Internet.
TIM;
CLARO;
VIVO.
Testando a conexão
Após configurar a interface de dispositivo móvel, o Aker Firewall vai tentar discar para a
operadora. Esse procedimento pode não funcionar por problemas na operadora.
® Aker Security Solutions
896
Para verificar se conexão foi efetuada com sucesso, observe a cor da interface criada. Se tiver
com uma cor clara, quer dizer que o modem conectou-se normalmente. Se a cor for escura,
significa que houve algum problema. Então, repita o procedimento e, se o problema
continuar, contate o departamento de suporte da Aker Security Solutions.
ZTE MF622
ZTE MF626 ZTE 6535-Z
ZTE MF628
ZTE MF633 DefaultVendor= 0x19d2
ZTE MF636 DefaultProduct= 0x2000
ZTE MF637
ONDA MT503HS
DefaultVendor= 0x19d2
DefaultProduct= 0x2000 DefaultVendor= 0x19d2
DefaultProduct= 0x2000
ZTE MF638 (aka "Onda MDC525UP")
ONDA MT505UP
DefaultVendor= 0x19d2
DefaultProduct= 0x2000 DefaultVendor= 0x19d2
DefaultProduct= 0x2000
ZTE AC8710
ZTE AC2726 Novatel Wireless Ovation MC950D HSUPA
Novatel Wireless Merlin XU950D
Configuração# Novatel Wireless Ovation 930D
Toshiba G450
DefaultVendor= 0x1c9e
DefaultProduct= 0x1001 DefaultVendor= 0x0930
DefaultProduct= 0x0d46
Alcatel X200/X060S
UTStarcom UM175
DefaultVendor= 0x1bbb
DefaultProduct= 0xf000 DefaultVendor= 0x106c
DefaultProduct= 0x3b03
DefaultVendor= 0x1ab7
DefaultVendor= 0x05c6 DefaultProduct= 0x5700
DefaultProduct= 0x1000
A-Link 3GU
BandLuxe C120
DefaultVendor= 0x1e0e
DefaultVendor= 0x1199
DefaultProduct= 0x0fff
Sierra Wireless AirCard 881U Cricket A600
Huawei E1612
DefaultVendor= 0x1c9e
DefaultProduct= 0xf000 DefaultVendor= 0x12d1
DefaultProduct= 0x1446
D-Link DWM-162-U5, Micromax MMX 300c
Huawei E1690
DefaultVendor= 0x05c6 Huawei E1692
DefaultProduct= 0x2001 Huawei E1762
DefaultVendor= 0x1004
DefaultProduct= 0x613a DefaultVendor= 0x1ee8
DefaultVendor= 0x1ee8
DefaultProduct=0x0009
Huawei U8110 / U8300 / Joy, Vodafone 845
(Android smartphone) Olivetti Olicard 145
HSDPA USB modem from dealextreme Huawei V725 Phone (aka Vodafone 725)
D-Link DWM-156 HSUPA 3.75G USB Modem ZTE MF637 (Variant for Orange France)
Huawei U8220, T-Mobile Pulse (Android ZTE MF691 (T-Mobile Rocket 2.0)
smartphone)
DefaultVendor= 0x19d2
DefaultVendor= 0x12d1 DefaultProduct=0x1201
DefaultProduct=0x1030
ZTE MF192
D-Link DWM-156 HSUPA 3.75G USB Modem
DefaultVendor= 0x19d2
DefaultVendor= 0x07d1 DefaultProduct=0x1216
DefaultProduct=0xa804
ZTE MF190 (Variant)
Sony Ericsson MD400G
DefaultVendor= 0x19d2
DefaultVendor= 0x0fce DefaultProduct=0x0149
DefaultProduct= 0xd103
Visiontek 82GH 3G
ZTE "ffe" devices 1 (e.g. Cricket A605)
DefaultVendor= 0x230d
DefaultVendor= 0x19d2 DefaultProduct=0x0007
DefaultProduct=0xffe6
ZTE MF190
HP LaserJet Professional P1102
DefaultVendor= 0x19d2
DefaultProduct= 0x1224 DefaultVendor= 0x03f0
DefaultProduct=0x002a
JOA Telecom LM-700r
Mobile Action ("Smart Cable")
DefaultVendor= 0x198a
DefaultProduct=0x0003 DefaultVendor= 0x0df7
Alcatel-Lucent T930S
DefaultVendor= 0x12d1
DefaultProduct=0x14ba DefaultVendor= 0x04cc
DefaultProduct=0x225c
Option Beemo / Pantech P4200 LTE
Axesstel MU130
DefaultVendor= 0x106c
DefaultProduct=0x3b14 DefaultVendor= 0x1726
DefaultProduct=0xf00e
Huawei E355s-1
Explay Slim
DefaultVendor= 0x12d1 DefaultVendor= 0x1c9e
DefaultProduct=0x1f01 DefaultProduct=0x9e08
DefaultVendor= 0x19d2
DefaultProduct=0x1227
DefaultVendor= 0x05c6
Huawei E3276s-151 and E3251 DefaultProduct=0x9024
Outros termos também são utilizados pelos diversos fabricantes para descrever o método,
dentre eles: trunking de porta, link bundling, Ethernet/network/NIC bonding, ou Grupo de
Placas de Rede.
Atualmente o padrão definido pelo IEEE (Institute of Electrical and Electronic Engineers) é o
IEEE 802.1ax Aggregation Control Protocol (LACP) - que substituiu o anterior: IEEE 802.3ad.
A agregação pode ser implementada em qualquer uma das três camadas mais baixas do
modelo OSI. Exemplos comuns de agregação na camada 1 são linhas de energia (por
exemplo, IEEE 1901) e dispositivos de redes sem fio (por exemplo, IEEE 802.11) que combinam
múltiplas bandas de frequência em um único canal de maior capacidade. Na camada 2 do
modelo OSI (camada de enlace, por exemplo, frame de Ethernet em redes locais ou multi-link
PPP em WANs, endereço MAC) a agregação ocorre, normalmente, nas portas de switch, que
podem ser portas físicas ou virtuais, gerenciadas por um sistema operacional - por exemplo,
Open vSwitch. A agregação também pode ocorrer na camada 3 do modelo OSI, ou seja, na
camada de rede (por exemplo, IP ou IPX), usando o round-robin scheduling - ou com base em
valores de hash calculado a partir de campos no cabeçalho do pacote ou uma combinação
destes dois métodos. Independentemente da camada de agregação em que ocorre, a carga
da rede é balanceada em todos os links. A maioria dos métodos fornecem redundância e
failover.
mode = 1 (failover)
Política ativo-backup: Apenas um dos canais no grupo estará em uso efetivo (o canal
principal). Se o canal principal apresentar alguma falha, outro canal será ativado. O endereço
MAC do vínculo é externamente visível em apenas uma porta (adaptador de rede) para evitar
confundir o switch. Este modo fornece tolerância a falhas.
Política XOR: Balanceamento que usa o algoritmo XOR com o MAC da placa de rede de
destino do pacote para selecionar a interface de rede que será utilizada. Isso seleciona o
mesmo canal para cada endereço MAC de destino. Este modo fornece balanceamento de
carga e tolerância a falhas.
mode = 3 (broadcast)
Política de Broadcast: Transmite tudo em todas as interfaces agrupadas. Este modo fornece
tolerância a falhas.
mode = 4 (802.3ad)
Miimon
O padrão inicial do Link Aggregation era o IEEE 802.3ad, mas em 2008, ele foi transferido
formalmente para o grupo 802.1 com o nome 802.1ax, pois algumas camadas do 802.1 se
posicionam acima do Link aggregation. Como o Linux ainda se refere ao padrão com o nome
802.3ad, adotaremos esta nomenclatura para evitar confusão, pois é ela que será vista ao se
verificar os arquivos via linha de comando.
No 802.3ad é definido o Link Aggregation Control Protocol (LACP), que define um padrão para
a troca de informações entre equipamentos de diferentes fabricantes para definirem a
identidade de cada grupo de Link Agreggation (LAG) - quais interfaces são membros de cada
grupo. Para isso, frames (LACPDUs) serão enviados a todas as interfaces que possuem o
protocolo habilitado. Ao encontrar outro equipamento que possui LACP habilitado, as
informações são trocadas o que permitem detectar múltiplos links entre as estações e
combiná-las para formar um único link lógico.
De acordo com a especificação IEEE, os pacotes enviados ao mesmo endereço IP são
encaminhados ao mesmo adaptador. Quando operandos neste modo, os pacotes são
distribuídos neste padrão (modo padrão). Nunca alternando entre as interfaces (round-robin)
para aumentar o throughtput de transmissão.
Entre as limitações do protocolo, que importante destacar que, para o Link Aggregation
definido pelo IEEE serão necessárias interfaces full-duplex, utilizando MAC definidos pelo
padrão IEEE 802.3. Caso as interfaces possuam diferentes velocidades, não será possível
equilibrar a carga, por isso, recomenda-se utilizar interfaces com a mesma velocidade.
Switch
Quando esses passos forem efetuados, a configuração atual será relida e então as interfaces
serão reconfiguradas e esta configuração será aplicada. A seguir estão descritos os
procedimentos passos para se alterar o modo de “802.3ad” para balance-rr (Round-Robin).
Vemos que “bond0” está com padrão, 802.3ad. Editamos o arquivo ifcfg-bond0,
substituindo o modo na linha BONDING_OPTS.
DEVICE=bond0
Por meio deste método, não apenas o modo, mas toda configuração que fica presente na
linha “BONDING_OPTS” poderá ser alterada. Caso esteja utilizando um cluster, as
configurações serão replicadas para o outro nó.
36.22. Wireless
Nesta aba são definidas as opções do firewall em relação ao serviço Wireless. Ela consiste das
seguintes opções:
Canal: Canal que será usado pelo AP (Access Point) para trocar dados com o dispositivo cliente
na rede wireless. Este canal deve ser o mesmo nos dois roteadores (Master e Slave).
AP Isolation: Ao habilitar esta opção os usuários conectados à rede wireless e não poderão
se comunicar, tendo apenas o acesso à Internet.
Ao executar todos os passos acima, clique em “Aplicar” para que a conexão seja
estabelecida automaticamente.
Nesta aba você pode visualizar todos os usuários que estão conectados em sua rede wireless.
Nesta aba e possivel habilitar a filtragem de endereços MAC com as seguintes ooções:
Permitir apenas estes endereços Mac
Permitir todos endereços MAC, excluindo estes
Nesta aba é possível inserir o endereço MAC do Access Point Master, para que o Access Point
Slave receba o sinal para redistribuição.
Para que o funcionamento do WDS seja realizado com sucesso, as placas wireless devem ser
similares tanto em Aker BOX, ou em terceiros, ou seja, ao usar placas wireless diferentes o
funcionamento do WDS poderá apresentar falhas.
Este capítulo mostra para que serve e como configurar o Aker Firewall em modo bridge.
O Aker Firewall modo bridge possibilita ao usuário criar, deletar e visualizar interfaces Bridge.
Também possibilita a criação de IPs, VLANs, rotas padrão para VLAN e alias, para Interfaces
Bridge. Esta configuração é realizada via Interface Remota (Control Center) ou Interface Texto
(via SSH).
Os pacotes que passarem por Interfaces filhas de uma Interface Bridge não terão seus campos
de IP modificados, dessa forma, deixando o Firewall indetectável nessa camada. Ao receber
um pacote, o Firewall analisará as camadas de rede, e de aplicação, assim aplicando filtros,
liberando, descartando ou bloqueando o pacote. Estes filtros são: as regras de filtragem,
proxies transparentes, regras pipes, logs de pacotes, filtro de IPS/IDS, filtro de aplicativos e
outras funcionalidades que não alteram o roteamento é o IP do pacote.
Não e possível colocar um IP na interface física que foi configurada com Bridge pela Interface
Remota ou Interface Texto (via SSH).
O Aker Firewall em modo bridge permite à criação de uma interface Bridge com duas ou mais
interfaces físicas.
1. Acessar o Aker Firewall via Interface Texto (via SSH), e então deve-se acessar a opção
“1 – Configurar Interfaces de rede”.
Figura 650 - Aperte a tecla “Enter”, para concluir a inserção de sua nova interface Bridge.
Este capítulo mostra como configurar a tolerância a falhas e o cluster cooperativo do Aker
Firewall.
Quanto mais os computadores ganham espaço nas empresas, nos escritórios e na vida das
pessoas em geral, mais se ouve falar em "alta disponibilidade". Por um simples e bom motivo:
nenhum usuário quer que a sua máquina pare de funcionar ou que os recursos de rede não
possam mais ser acessados. É justamente a alta disponibilidade que vai garantir a
continuidade de operação do sistema na prestação de serviços de rede, armazenamento ou
processamento, mesmo se houver falhas em um ou mais de seus elementos.
Assim, alta disponibilidade é hoje um assunto que interessa a um número cada vez maior de
usuários. Tornou-se um requisito fundamental para os sistemas que ficam no ar 24 horas por
dia, sete dias por semana, ou que não possam ficar fora do ar por até mesmo alguns minutos.
Afinal, paradas não planejadas podem comprometer, no mínimo, a qualidade do serviço, sem
contar os prejuízos financeiros.
Tolerância às falhas nada mais é que um agrupamento de recursos que fornece ao sistema a
ilusão de um recurso único. A maioria dos seus componentes, encontram-se duplicados, desta
forma, mesmo que um componente individual apresente falhas o serviço não é
comprometido. Para possibilitar a redundância de recursos é necessário um mecanismo de
gerência, de forma a tornar seu funcionamento transparente.
A tolerância às falhas do Aker Firewall é composta por dois sistemas idênticos, ou seja, duas
máquinas com o mesmo Sistema Operacional, mesmas placas de rede e com a mesma versão
do Firewall, conectadas entre si. A exigência de se usar o mesmo sistema operacional se dá
Além de estarem conectadas entre si, o que deve ser realizado por uma interface de rede, é
necessário que todas as placas de rede correspondentes das duas máquinas estejam
conectadas em um mesmo hub ou switch, de forma que ambos os firewalls tenham acesso às
mesmas máquinas e roteadores.
No Aker Firewall em modo cooperativo, mais de um host (os nodos do cluster) precisam
receber os mesmos pacotes, para posteriormente cada um deles possam decidir se estes
pacotes são ou não de sua responsabilidade. Como os switches não estão preparados
nativamente para isso, uma das duas técnicas precisa ser empregada (UNICAST ou
MULTICAST).
A primeira técnica é chamada de modo unicast, implica-se em reconfigurar o switch para que
ele saiba que um determinado endereço ethernet (MAC) está em duas ou mais portas
simultaneamente, significando que ele deve copiar o pacote com esse endereço destino em
todas elas, e jamais aprendê-lo como estando em uma porta apenas. Nesse modo, todos os
firewalls do cluster usam o mesmo endereço MAC. O único inconveniente desse modo é que
são raros os switches que o suportam.
A segunda técnica é chamada de modo multicast, ela faz com que os firewalls de um cluster
registrem um endereço ethernet multicast em suas interfaces e respondam as chamadas de
ARP para o IP virtual com esse endereço. Se o switch não for configurado para limitar o
espalhamento de pacotes multicast, todos os pacotes destinados ao firewall serão
redistribuídos em todas as portas, como se fossem pacotes broadcast.
Para fazer essa configuração, existem duas opções: faz manualmente no switch, ou então
utiliza o protocolo IGMP, onde cada firewall anuncia ao switch que é membro do grupo
multicast correspondente ao endereço escolhido. Seu switch deve suportar uma dessas duas
opções. Além disso, existem alguns roteadores que não aprendem o endereço multicast
ethernet da resposta ARP enviada pelo firewall. Nesses casos, as entradas para o firewall
devem ser adicionadas manualmente em suas tabelas.
Para que possa ser iniciada a configuração do Cluster, é necessário que previamente exista
uma licença de cluster e que já tenha sido aplicada no Firewall.
Essa janela permite a criação de um novo cluster. O usuário deverá preencher os seguintes
campos:
Interface: Esse campo permite a escolha de uma entidade que representa uma interface de
controle do firewall. Essa entidade será usada pelo firewall para controle do cluster.
Botão Ok: Ao término da escolha das opções, deve-se clicar no botão Ok. Se a licença tiver
sido aplicada anteriormente, o cluster será habilitado, caso tenha algum problema, aparecerá
uma mensagem informando que não foi possível habilitá-lo.
Se a criação do cluster tiver sido realizada com sucesso a Interface Remota será
desconectada para garantir que toda a configuração do firewall seja recarregada, assim o
usuário deverá conectar novamente.
® Aker Security Solutions
938
Caso o usuário deseje fazer alguma alteração nas configurações do cluster criado, deverá
acessar a Janela de Configuração de Cluster. Abaixo seguem as descrições dos campos:
Informações Gerais
Tipo de Cluster: Esta opção permite selecionar o tipo de cluster desejado ou desabilitá-lo.
Interface de Controle: Essa informação é definida na hora da criação do cluster, não podendo
ser alterada posteriormente. Todos os seus outros membros utilizarão essa mesma entidade.
Interfaces
Nessa parte da janela permite a visualização das características de configuração das interfaces
de rede dos membros do cluster. Essas características pertencem a todos os membros,
incluindo os ativados, desativados e os que vierem a ser incluídos.
IP Virtual: É o IP virtual que representa as máquinas do cluster para a rede atual. Deverá ser
definido apenas nos casos de cluster cooperativos.
Modo: Esse campo informa o modo como os pacotes são redistribuídos dentro de um grupo
de máquinas. O modo UNICAST é o padrão, mas pode ser alterado para o modo Multicast ou
Multicast com IGMP.
IP Multicast: As informações contidas nesse campo, são alteradas de acordo com o modo
indicado/escolhido, mas só poderá ser editado quando for escolhido o modo multicast IGMP.
MAC: Esse campo indica o endereço físico da placa de rede. Pode ser informado quando o
modo escolhido for o Multicast. Caso não seja especificado o cluster, vai ser utilizado o
endereço que consta na placa, se for escolhido o modo Multicast IGMP o MAC não será
configurado, ou seja, não poderá ser editado.
Nessa janela pode-se incluir um novo membro do cluster. Para incluí-lo, clique com o botão
direito do mouse no componente que mostra as informações dos membros. Clique no botão
Nessa janela se preenche todas as informações do firewall que será adicionado ao cluster.
Abaixo segue a descrição dos campos:
Informação da conexão
Informação do Firewall
Mestre: Requisita que durante a primeira convergência, esta seja a máquina Mestre,
que é a máquina ativa que tratará as requisições
Nenhum: As maquinas irão decidir entre elas quem deve ser a estação mestre e qual
estação será escravo.
O membro do cluster, também pode ser incluído por meio do ícone presente na barra
de ferramentas.
Os valores são acumulativos, a cada segundo os dados são somados ao valor anterior.
Aba Gráfico
Esta janela permite a visualização gráfica das informações referentes ao tratamento dado aos
pacotes dos nodos que passam pelo Firewall. Esse gráfico permite a visualização de até 8
nodos.
As informações do tráfego de cada nodo são mostradas em porcentagem. Esta aba possui
vários tipos de filtros, permitindo ao usuário, para uma eventual comparação de dados, filtrar
informações em percentual, das atividades de cada firewall.
Após clicar na aba “Configuração do Cluster” será aberta uma janela mostrando a seguinte
mensagem “Você mão tem um cluster configurada. Deseja criar um agora?”.
Interface: Esse campo permite a escolha de uma entidade que representa uma
interface de controle do firewall. Essa entidade será usada pelo firewall para controle
do cluster.
Será aberta uma janela informando: “A nova configuração do cluster foi aplicada com
sucesso!”. Clicar no botão “OK”.
Clicar no botão “OK”, em seguida, aparecerá uma popup informando que você será
desconectado para recarregar as novas configurações.
Clicar no botão “OK”. Conecte novamente via Control Center, vá em “Configurações do Sistema”,
clique em “Configuração do Cluster” e na opção “Tipo de Cluster” selecione a opção “Cluster
Cooperativo” e clique no botão “Aplicar”.
Figura 665 - Pop-up informando que ao mudar o tipo de cluster será realizado um reinício do servidor.
Clique com o botão direito sobre cada uma das interfaces cadastradas e selecione a opção
“Multicast” conforme a figura a seguir:
Copie os quatro últimos octetos do endereço MAC de cada interface que nesse caso é
17:C6:4E:65 para cadastrar na configuração de cluster.
Repita todo o procedimento em todos os outros servidores que irão participar do Cluster
Cooperativo, tomando cuidado para não repetir os nomes dos servidores.
Após esse procedimento para confirmar a montagem do cluster, conecte via “Aker Control
Center” vá em “Configuração do Sistema” e abra a janela “Configuração do Cluster”:
® Aker Security Solutions
952
Figura 671 - Cluster cooperativo montado.
/aker/bin/firewall # fwcluster
Aker Firewall
Uso: fwcluster [ajuda | mostra]
fwcluster tipo <off | failover | ha | coop>
fwcluster interface_controle <if>
fwcluster peso <peso>
fwcluster nome <nome>
fwcluster <habilita | desabilita> [master / slave] [ -f ]
fwcluster <inclui | remove> <if> <maquina> [ -f ]
fwcluster <modo> <if> [multicast [igmp <ip>] [mac <mac>] | unicast]
fwcluster limpa [ -f ]
(!) onde:
if : entidade interface
peso : peso desta maquina no cluster
maquina: endereço IP virtual a remover ou incluir (entidade maquina)
master: argumento opcional que indicara essa máquina a ser master
slave: argumento opcional que indicara essa máquina a ser slave
-f: argumento opcional que forca a aplicação da configuração mesmo
com a control center autenticada
A segui um exemplo da topologia de uma rede com três firewalls em cluster e duas redes
(rede 192 e rede 10).
Antes que se inicie a montagem do cluster, primeiramente devem ser cadastradas todas as
interfaces, lembrando que diferente do cluster no firewall 4.5, aqui todos os firewalls
possuem endereços ip diferentes.
Em seguida crie uma entidade virtual para cada uma das placas, exceto para a interface de
controle, essas entidades terão valor igual para todos os firewalls do cluster.
Após aplicar todas essas configurações em todos os firewalls participantes, habilite o cluster
em cada um deles:
/aker/bin/firewall/fwcluster habilit
As máquinas do cluster não precisam ser iguais, mas as placas de rede sim.
Para o cluster failover utilize apenas 2 firewalls, já que apenas um responderá por todo o tráfego.
O nó Master sempre será o nó que possuir o maior número de IDS (não é possível visualizar o IDS)
das configurações, ou seja, o nó com menor número será o nó Slave e o nó com maior número será
o Master.
Este capítulo mostra onde estão localizados e para que são usados os arquivos que fazem
parte do Aker Firewall.
Neste tópico serão mostrados quais são e onde se localizam os arquivos do sistema. Isto é
muito importante na hora de fazer os backups ou para diagnosticar possíveis problemas de
funcionamento.
Árvore de diretórios
Programas executáveis
Este capítulo mostra os comandos que podem ser utilizados no shell do Aker Firewall Box.
O Aker Firewall Box é composto por um sistema integrado de hardware e software. A grande
vantagem dessa plataforma é que ela dispensa maiores conhecimentos de sistemas
operacionais. Além disso, por não possuir disco rígido e por ser formada por um hardware
industrial, a plataforma apresenta potencialmente maior resistência contra danos,
especialmente picos de energia, o que acaba por possibilitar um funcionamento ainda mais
estável.
O Firewall BOX está disponível em diversos modelos, que visam atender as necessidades de
pequenas, médias e grandes empresas.
A lista completa dos modelos disponíveis é frequentemente atualizada e está disponível em:
http://www.aker.com.br
Ao se realizar esse procedimento, primeiro será necessário apertar a tecla Enter até que
apareça o pedido de senha, que inicialmente é '123456'. Entrando-se corretamente a senha,
o prompt seguinte aparecerá: Aker >
Caso tenha perdido a senha de acesso local ao Aker Firewall Box, deve-se entrar em contato com
o suporte técnico, para realizar o procedimento de reset da mesma.
No prompt do shell, podem ser digitados todos os comandos normais do Aker Firewall,
conforme documentados nos tópicos relativos à Interface Texto (via SSH) de cada capítulo.
Além desses, existem comandos específicos ao firewall box que estão documentados a seguir.
É possível digitar os comandos do firewall no shell sem o prefixo fw, isto é, ent ao invés de fwent.
Para sair do shell, pode-se ou digitar os comandos exit ou quit ou simplesmente apertar as
teclas Ctrl + D.
help
Comando
?
Comando shutdown
Comando reboot
Comando password
A evolução tecnológica traz confortos e também cobranças. É comum ouvirmos pessoas querendo
que o dia tivesse mais horas e a semana, mais dias. Com esta evolução, a velocidade com que as
informações chegam também cresceu a passos largos, criando nas pessoas a necessidade de estar
sempre a par dos acontecimentos, quase que na mesma velocidade em que eles acontecem.
Normalmente, as pessoas que mais sentem o impacto destes acontecimentos são os executivos e
profissionais que precisam ausentar-se com frequência de seus locais de trabalho, já que em várias
vezes será necessário tomar decisões estratégicas, sem contar com ferramentas de apoio para
auxiliá-lo.
Esta prerrogativa motivou a Aker Security Solutions a desenvolver o Aker Client, ferramenta segura
e robusta, focada na necessidade de oferecer ao cliente uma solução capaz de encurtar distâncias de
maneira rápida, sem que isto represente uma vulnerabilidade para a empresa.
Com interface amigável e de fácil utilização, o Aker Client permite que um usuário remoto possa
acessar a rede de sua empresa, de onde quer que esteja com a mesma comodidade que teria se
estivesse em seu local de trabalho, utilizando uma conexão segura através da Internet sob a forma
de uma VPN. Em outras palavras o uso do Aker Client permite que, mesmo a vários quilômetros de
distância, os recursos para executar as tarefas diárias, sejam elas corriqueiras ou estratégicas,
estejam disponíveis sempre que for preciso permitindo que qualquer usuário esteja mais próximo
das informações que necessita para executar seu trabalho de maneira segura e eficiente.
Com o Aker Client, a sensação experimentada pelo usuário é a de que sua máquina foi virtualmente
transportada para dentro da rede corporativa, como se ele realmente estivesse nas dependências
físicas da empresa, compartilhando switches, impressoras e outros recursos físicos e lógicos. A
criação de perfis de acesso possibilita um maior controle no fluxo das informações que passam pelo
túnel, permitindo que o Administrador possa identificar e contornar o uso indevido dos recursos
oferecidos.
A ferramenta está dividida em dois componentes distintos: do lado da empresa, o Secure Roaming
do Firewall Aker permanece escutando a rede em tempo integral à espera de novas conexões, a fim
de viabilizar a criação do túnel quando solicitado. Já do lado do usuário, a conexão com o servidor é
estabelecida através do Aker Client, módulo de fácil configuração que introduz os parâmetros
necessários para que o cliente possa negociar com o servidor a criação do túnel e tráfego dos dados,
sempre que necessário.
Todas estas características fazem do Aker Client uma ferramenta totalmente segura e confiável, ideal
para as empresas que desejam qualidade e confiança na hora de disponibilizar aos seus funcionários
um produto capaz de prover uma solução de conexão ao mesmo tempo simples e eficiente.
41.1. Autenticação
O crescimento das redes abertas fez com que surgissem vários problemas de segurança, que vão
desde o roubo de senhas e interrupção de serviços até problemas de personificação, onde uma
pessoa faz-se passar por outra para obter acesso privilegiado.
Com isso, surgiu a necessidade de autenticação, que consiste na verificação da identidade tanto dos
usuários quanto dos sistemas e processos.
Para possibilitar que o firewall saiba exatamente quais usuários estão utilizando quais máquinas, o
Aker Client deve ser instalado em todas as máquinas nas quais se pretende utilizar o controle de
acesso por usuário. Este programa, que funciona de forma totalmente transparente para os usuários
finais, intercepta o logon destes usuários no domínio ou solicita uma nova autenticação caso esteja
utilizando autenticação por token, smart cards ou mesmo usuário e senha, enviando esses dados de
forma criptografada para o firewall. O firewall, então, valida os dados recebidos utilizando seus
agentes de autenticação, autenticadores token ou autoridades certificadoras e, caso o usuário tenha
sido validado corretamente, estabelece uma sessão para o usuário validado a partir da máquina na
qual ele estabeleceu a sessão.
41.2. VPN
A evolução tecnológica traz confortos e também cobranças. É comum ouvirmos pessoas querendo
que o dia tivesse mais horas e a semana, mais dias. Com esta evolução, a velocidade com que as
Com o Aker Client, a sensação experimentada pelo usuário é a de que sua máquina foi virtualmente
transportada para dentro da rede corporativa, como se ele realmente estivesse nas dependências
físicas da empresa, compartilhando switches, impressoras e outros recursos físicos e lógicos. A
criação de perfis de acesso possibilita um maior controle no fluxo das informações que passam pelo
túnel, permitindo que o Administrador possa identificar e contornar o uso indevido dos recursos
oferecidos. Isso tudo é possível por causa da VPN (Virtual Private Network) que é um canal privado
que interliga dois pontos, através da formação de um túnel virtual entre eles, utilizando para isso a
infraestrutura de uma rede pública já existente para o tráfego de dados.
Mas por que falar sobre VPNs? O bom entendimento deste conceito e de outros que estão
relacionados a ele serão de fundamental importância na compreensão do funcionamento do Aker
Client, já que a ferramenta baseia-se justamente na implementação destes conceitos e facilidades.
As VPNs surgiram da necessidade de baratear e facilitar a interconexão de empresas com suas filiais
e parceiros em pontos remotos, tendo em vista que estas expansões sempre esbarraram nos custos
envolvidos na manutenção de linhas privadas de dados e dos equipamentos necessários para garantir
a comunicação de um ponto a outro.
Como consequência ao crescimento da Internet, houve uma grande melhoria na qualidade dos
serviços, implantação de novos backbones, aumento nas velocidades de transmissão e baixa
acentuada nos custos. Este crescimento acabou contribuindo também para a expansão no uso das
VPNs, pois é mais fácil aproveitar uma boa estrutura já existente para interligar diversos pontos do
que partir do início e criar outra, totalmente nova.
Além do crescimento da Internet, diversos fatores contribuíram para a adoção do uso das VPNs como
solução de interconexão corporativa: a escalabilidade e o leque de serviços que podem ser
implementados, aliados ao menor custo de manutenção, podem ser considerados os de maior peso
já que assim fica mais fácil acomodar o crescimento da rede interna, independente do porte da
empresa, e integrar outros serviços, conforme a necessidade.
Apesar destas facilidades é necessário levar em consideração que a Internet é uma rede pública não
confiável e qualquer pessoa pode capturar os pacotes de dados e obter acesso a informações
confidenciais e estratégicas. Esta característica torna necessária a utilização de meios que garantam
a inviolabilidade dos dados que trafegarem pelo túnel, possibilitando conexões seguras entre as
entidades envolvidas. A maneira mais confiável de fornecer esta segurança é combinando diferentes
técnicas, como algoritmos de criptografia, mecanismos de autenticação e trocas de chaves, a fim de
atingir um alto nível de confiança.
Levando em conta estas premissas e as vantagens no uso das VPNs como solução de interligação
corporativa, a Aker desenvolveu uma ferramenta capaz de viabilizar este acesso de maneira segura
Por ser a peça-chave na criação do canal encriptado que fará a ponte entre a máquina do cliente e o
servidor colocado na rede interna, a preocupação com a segurança oferecida durante a transmissão
de dados deve ser maximizada, sem que isso comprometa a qualidade e facilidade de uso da
ferramenta. A segurança implementada no Aker Client agrega chaves de 256 bits, autenticação de
usuários e outros algoritmos de criptografia reconhecidos no mercado pela robustez e dificuldade de
quebra de segredo.
A ferramenta está dividida em dois componentes distintos: do lado da empresa, o Secure Roaming
do Firewall Aker permanece escutando a rede em tempo integral à espera de novas conexões, a fim
de viabilizar a criação do túnel quando solicitado. Já do lado do usuário, a conexão com o servidor é
estabelecida através do Secure Roaming no Aker Client, módulo de fácil configuração que introduz
os parâmetros necessários para que o cliente possa negociar com o servidor a criação do túnel e
tráfego dos dados, sempre que necessário.
Todas estas características fazem do Aker Client uma ferramenta totalmente segura e confiável, ideal
para as empresas que desejam qualidade e confiança na hora de disponibilizar aos seus funcionários
um produto capaz de prover uma solução de conexão ao mesmo tempo simples e eficiente.
Este manual foi desenvolvido de maneira a abordar os conceitos necessários para o bom
entendimento do produto, ensinando como a ferramenta deve ser configurada, a fim de obter
melhor desempenho em sua utilização. Assim, no Capítulo 1 entraremos em mais detalhes sobre o
que é VPN e quais os principais conceitos envolvidos. O Capítulo 2 trata de Criptografia, sua
importância e principais algoritmos utilizados.
VPN
As VPNs são redes virtuais que permitem o estabelecimento de canais privados de comunicação
entre dois pontos distintos, utilizando para isso toda a estrutura já previamente criada de uma rede
pública. Desta maneira, é possível a uma empresa utilizar e disponibilizar um amplo leque de serviços
a preços mais competitivos já que são reduzidos os custos com links dedicados e equipamentos em
geral.
Para a implantação de uma VPN, normalmente é utilizada a estrutura de uma rede pública já
existente, como a Internet, mas o acesso também pode ser realizado através do uso de backbones
de empresas que prestam este tipo de serviço. Neste caso, há garantia de maior qualidade no serviço
prestado, mas ao mesmo tempo ocorre uma ligeira elevação no custo final. Devido ao grande alcance
que a Internet possui, este costuma ser o caminho mais adotado. Ainda assim, independente da
estrutura escolhida, é possível encurtar distâncias, fazendo com que as empresas possam expandir
sua área de atuação de maneira mais efetiva.
No entanto, apesar da Internet ser um meio de grande alcance, deve-se garantir que os dados que
trafeguem por um túnel não sejam interceptados, conhecidos ou mesmo alterados. Por este motivo,
uma VPN deve garantir a Confidencialidade, Integridade e Autenticidade dos dados.
• Integridade: na eventualidade dos dados serem capturados, deve-se garantir que estes não
sejam adulterados e reencaminhados, de tal forma que quaisquer tentativas nesse sentido não
tenham sucesso, permitindo que somente dados válidos sejam recebidos pelas aplicações suportadas
pela VPN.
• Autenticidade: somente usuários e equipamentos que tenham sido autorizados a fazer parte
de uma determinada VPN é que podem trocar dados entre si, ou seja, um elemento de uma VPN
somente reconhecerá dados originados por um segundo elemento que seguramente tenha
autorização para fazer parte da VPN.
A escolha para o transporte dos dados normalmente recai sobre a Internet. No entanto por ser uma
rede pública, é mais simples interceptar os dados que trafegam por ela e, por isso, torna-se
necessário garantir que mesmo sendo interceptados, os dados não poderão ser acessados por
pessoas que não estejam autorizadas a conhecer seu conteúdo. Para garantir a confidencialidade e
inviolabilidade dos dados deve-se implementar técnicas de criptografia a fim de garantir que os dados
trafeguem seguramente pelo canal.
O “tunelamento” é uma técnica na qual um canal virtual é gerado através da rede de comunicação
para permitir o tráfego de dados entre dois pontos distintos. Nesta técnica os dados são
encapsulados e criptografados na entrada do túnel, e quando chegam ao final, são convertidos ao
formato original tornando o acesso ao seu conteúdo novamente possível. A aplicação da criptografia
garante que durante o transporte por uma rede não confiável, os dados estejam inacessíveis mesmo
que sejam interceptados.
Há dois tipos de túneis: os estáticos e os dinâmicos. Se o túnel é criado apenas quando há necessidade
e finalizado quando o tráfego de dados torna-se desnecessário, é chamado dinâmico. Já os túneis
estáticos permanecem ativos por um período maior de tempo, com uso constante do canal de dados.
Por este motivo costumam ser mais utilizados na interligação entre empresas.
Como, na maioria dos casos os meios de transmissão não ficam alocados o tempo inteiro, ocorre uma
utilização mais racional dos recursos disponíveis, pois com o fechamento de túneis desnecessários
os meios de transmissão ficam livres para que outros usuários também possam alocá-los quando
necessário.
Figura 675 - Dados encriptados passando pelo túnel virtual através de uma rede pública
Para poder trafegar pelo túnel, os dados devem ser encapsulados na origem e desencapsulados no
destino. Encapsular um dado significa acrescentar ao pacote original um cabeçalho que contenha as
informações de criptografia e roteamento necessárias para que ele possa chegar ao seu destino e ser
desencapsulado de maneira correta. A estes dados encapsulados, é dado o nome de payload.
Formas de Conexão
Entre as formas de realizar a conexão usando uma VPN, pode-se citar o acesso através da estrutura
de um provedor de acesso à Internet, através de acesso discado direto ou utilizando um link dedicado
já existente para criar uma nova rede virtual. Classificando cada tipo de acesso a uma VPN, chegamos
às seguintes configurações:
Esta costuma ser a forma de acesso mais utilizada, pois permite a conexão entre um usuário remoto
e uma rede corporativa, através da Internet. Utilizando um software específico para este fim, o
usuário cria um túnel (dinâmico) que o ligue diretamente à rede corporativa, a fim de que possa
utilizar seus recursos remotamente.
Pela facilidade de acesso, que pode acontecer através de acesso discado comum ou conexão xDSL,
por exemplo, é bastante utilizado por usuários que precisam deslocar-se para outras localidades ou
ter acesso aos recursos da rede diretamente de casa.
LAN-to-LAN
Neste caso o acesso acontece através de links dedicados que interligam dois locais fisicamente
distantes. Para esta estrutura deve haver um gateway seguro (roteador ou firewall) em cada ponta
do túnel para servir de interface entre o túnel e a LAN privada.
É um modelo bastante utilizado para interligar filiais da empresa ou então prover um acesso seguro
entre uma empresa e seus parceiros, por exemplo. Como estes túneis permanecem ativos por um
tempo prolongado, a conexão LAN-to-LAN encaixa-se perfeitamente na definição de túneis estáticos.
Protocolos de Tunelamento
A definição do protocolo a ser utilizado deve levar em conta o tipo de acesso, criptografia e
compressão dos dados que serão utilizados para o tráfego de informações dentro do túnel.
Os protocolos utilizados para tunelamento devem pertencer à camada 2 ou 3 do Modelo OSI. Dentre
os protocolos da camada 2, podemos destacar o L2F, PPTP e L2TP. Já na camada 3, o encapsulamento
de pacotes IP é realizado com cabeçalhos do próprio protocolo IP, ou utilizado o protocolo IPSec.
Quando uma conexão for estabelecida, as duas extremidades do túnel negociam os parâmetros de
compressão, criptografia e endereçamento. Para que isso ocorra, as duas pontas devem estar
utilizando o mesmo protocolo de tunelamento.
Nesta sessão serão definidos os principais protocolos utilizados e como ocorre o encapsulamento dos
dados.
Protocolo genérico comumente utilizado em VPNs para encapsulamento de pacotes que serão
enviados através de um túnel pela Internet. Túneis formados a partir do GRE devem ser configurados
manualmente nos roteadores de origem e de destino e, devido a esta pouca mobilidade e dificuldade
na configuração, estes túneis costumam ser mais utilizados na interligação de redes (conexão LAN-
to-LAN).
Por ser um protocolo simples, o GRE não possui informações suficientes para fazer um controle
efetivo da entrega do pacote transportado e a única informação relativa à rota que carrega em seu
cabeçalho é o endereço do roteador de destino.
Protocolo orientado à conexão desenvolvido pelo Fórum PPTP – consórcio formado por várias
empresas, entre elas US Robotics, Microsoft e 3Com – e definido na RFC 2637. Tornou-se bem
popular depois que a Microsoft passou a oferecer suporte a ele no serviço RAS (Remote Access
Service), incorporando-o ao Sistema Operacional Windows NT 4 e criando patches adicionais nos
Sistemas Operacionais Windows 95 e 98.
Como o PPP (Point-to-point Protocol) é o protocolo mais utilizado para realizar acesso remoto na
Internet, o PPTP aproveita sua estrutura para estabelecer a conexão e, em seguida, fazer o
tunelamento dos pacotes até seu destino final. Na implementação atual, o PPTP encapsula os pacotes
PPP usando uma forma modificada de um protocolo GRE, que acaba por garantir flexibilidade para
trabalhar com protocolos diferentes do IP.
Normalmente a conexão é realizada através de uma linha telefônica ou diretamente através da rede,
onde, neste caso, o usuário “disca” o endereço IP do servidor. O PPP realiza a conexão com
o NAS (Network Access Server), que pode tanto ser do provedor de Internet quanto um servidor da
própria rede, e criptografa os dados. Em seguida, o PPTP cria uma conexão de controle (túnel PPTP)
que vai do cliente até o servidor de destino. Assim que os pacotes chegam, são desmontados para
que os pacotes PPP passem pela descriptografia e sejam encaminhados ao seu destino final.
Protocolo desenvolvido pela Cisco que permite a criação de túneis por meio de uma conexão discada,
possibilitando o tráfego de dados dos usuários remotos para suas redes corporativas. Por ser um
protocolo da camada 2 e realizar o tunelamento independente do IP, o L2F é capaz de trabalhar com
protocolos diferentes, tais como IPX e NetBEUI, e com outros meios de transmissão como o Frame
Relay e o ATM.
Para realizar uma conexão, o usuário estabelece uma conexão PPP com o Provedor de Serviços (ISP).
Em seguida o provedor estabelece um túnel L2F com o gateway da Intranet que, por sua vez,
autentica o nome de usuário e senha do cliente, estabelecendo a conexão PPP entre estes dois
últimos. O passo seguinte é a autenticação, que ocorre em duas etapas: a primeira acontece no
Provedor de Serviços e a segunda no gateway da intranet. Há ainda uma terceira etapa de
autenticação, também no gateway da Intranet, mas esta é opcional.
Protocolo orientado à conexão, formado a partir da junção do L2F e do PPTP. Utiliza o PPP para
realizar a conexão dial-up que será tunelada através da Internet até determinado destino (endpoint).
O protocolo de tunelamento é baseado na estrutura fornecida pelo L2F, permitindo o transporte de
pacotes X.25, frame-relay e ATM. Para fortalecer a criptografia dos dados transmitidos, o L2TP utiliza
a criptografia fornecida pelo IPSec.
É composto por dois tipos de mensagens: de controle e de dados que também são conhecidas por
pacote de controle e pacote de dados, respectivamente. A mensagem de controle é usada no
® Aker Security Solutions
975
estabelecimento, manutenção e fechamento de conexões de controle e de sessão. Estas mensagens
usam um canal de controle nativo do protocolo para garantir a entrega. Já as mensagens de dados
são usadas para encapsular o tráfego da Camada de Enlace que esteja sendo transmitido através da
sessão L2TP.
A autenticação, realizada via CHAP, ocorre durante o estabelecimento da conexão de controle que,
após ter sido estabelecida, permite a criação de conexões individuais. Cada sessão corresponde a um
único caminho entre o servidor (LNS) e o concentrador da conexão (LAC).
As conexões podem ser iniciadas tanto pelo concentrador quanto pelo servidor. No primeiro caso, o
concentrador recebe uma conexão e a encaminha para o servidor; já no segundo caso, o servidor é
quem inicia a conexão e solicita ao concentrador que a encaminhe ao seu destino.
Conforme mostrado na Figura 7, quando um datagrama IP é encapsulado por outro datagrama IP,
um novo cabeçalho é inserido externamente ao cabeçalho inicial. Entre eles, estão todos os outros
cabeçalhos relativos ao trajeto, tais como os cabeçalhos de segurança referentes à configuração do
túnel e seus limites (ponto de entrada e saída). O cabeçalho interno armazena os dados do remetente
e destinatário iniciais do datagrama e não é modificado durante o encapsulamento.
A segurança da transmissão propriamente dita é realizada por meio de trocas de chaves de sessão e
certificados. Quando o datagrama chega a seu destino final, é desencapsulado e entregue ao
endereço de destino indicado no campo “Destination Address” original.
Figura 680 - Exemplo de encapsulamento de um pacote para tráfego pelo túnel (tunelamento IP).
O IPSec é um conjunto de protocolos desenvolvido pela IETF que visa garantir maior segurança no
tráfego de dados privados em redes públicas. O principal objetivo é assegurar confidencialidade,
integridade e autenticidade durante uma transmissão de dados através de uma rede pública. Sua
implementação é obrigatória nas soluções que utilizam o IPv6, e apenas opcional para as que utilizam
IPv4. Independentemente da plataforma, tem sido amplamente adotado por diversos fabricantes de
hardware e software.
A arquitetura do IPSec define um novo cabeçalho que deve ser adicionado entre o cabeçalho IP e os
dados, permitindo que os pacotes IP sejam criptografados e encapsulados com um cabeçalho
adicional deste mesmo protocolo para que sejam transportados através de um túnel. Seu principal
objetivo é oferecer mecanismos de segurança a pacotes IP, através de dois cabeçalhos de extensão:
o AH (Authentication Header) e o ESP (Encapsulation Security Payload).
O AH foi desenvolvido para garantir a autenticidade e a integridade dos pacotes IP, já que sua
utilização oferece proteção contra modificações nos campos de valor fixo do pacote IP, proteção
contra spoofing e, opcionalmente, proteção contra ataques de replay. Já o ESP trabalha com a
criptografia do conteúdo do pacote e é inserido entre o cabeçalho IP e o restante do datagrama.
41.4. Criptografia
Certas informações são estratégicas e, como tal, só devem ser acessadas por quem de direito. Em
tomadas de decisões importantes, vence quem consegue antecipar certos comportamentos (ou
acontecimentos) e planejar as ações necessárias para tirar melhor proveito da situação. Mas como
garantir a confidencialidade e inviolabilidade dos dados? Como ter a certeza que
apenas A e B tiveram acesso a eles? Como saber se a informação final realmente corresponde à
informação original?
Tal como Alexandre, vários imperadores, governantes, estadistas, empresários e até usuários comuns
já buscaram alguma maneira de deixar ocultas certas informações que não deveriam chegar ao
conhecimento de terceiros, a não ser que fosse realmente necessário. A Criptografia é justamente a
ciência que busca encontrar meios eficientes para garantir este “segredo” em torno da informação.
A estratégia consiste em, através de algoritmos bem definidos e testados, criar formas complexas de
codificar a mensagem, dificultando acessos indevidos ao seu conteúdo.
Além de prover confidencialidade, autenticação, integridade dos dados, a criptografia também deve
garantir o não repúdio da informação.
As implementações para prover confidencialidade e segurança que a Criptografia oferece, vão desde
identificação digital até operações bem mais complexas, envolvendo dados altamente sigilosos e
estratégicos. A gama de aplicações é infinita, e sempre há aqueles que tentam tirar proveito de
brechas, buscando favorecimento próprio.
Com os recursos computacionais modernos deve tentar identificar padrões ou mesmo forçar diversas
combinações (ataques de força bruta) até conseguir chegar à mensagem original ou à chave de
criptografia. Quanto maior a complexidade do algoritmo utilizado, maior o tempo necessário para
descobrir o padrão utilizado e, assim, acessar o conteúdo encriptado. Esta força contrária acaba
permitindo que a Criptografia nunca se transforme em uma ciência ultrapassada, pois deverá estar
em constante busca por novas formas de dificultar o acesso indevido às informações que estiverem
resguardadas por ela.
Nesta Seção, vamos abordar os principais conceitos relacionados à Criptografia. Falaremos sobre os
principais algoritmos, o que é PKI, certificados e outros assuntos correlatos, mas também
importantes para o melhor entendimento acerca dos conceitos que serão aplicados no uso do Aker
Client.
Algoritmos de Criptografia
A criptografia dos dados deve ser realizada através de um algoritmo que tenha a capacidade de
codificá-los, de tal maneira que apenas pessoas autorizadas consigam acesso ao conteúdo original.
Existem diferentes tipos de algoritmos, cada um utilizando técnicas diferentes para criptografar os
dados, normalmente baseadas na combinação de métodos matemáticos complexos. Assim, na hora
de determinar o algoritmo a ser utilizado, é importante levar em consideração o valor da informação
que está sendo protegida, pois o tempo necessário para “quebra” da chave deve ser superior ao
tempo necessário à guarda daquela informação.
Nesta seção vamos explicar os tipos de algoritmos existentes e os principais algoritmos conhecidos
existentes em cada categoria.
Nesta modalidade a mesma chave utilizada para criptografar uma mensagem é utilizada para
descriptografá-la. O problema em haver apenas uma chave para realizar as duas tarefas é que faz
com seja necessário conseguir um meio seguro para transmitir a chave para o destinatário, já que
sem ela fica quase impossível decifrar o conteúdo da mensagem.
Algoritmo criado pela IBM em 1970 e adotado pelo governo dos EUA como padrão de codificação a
ser empregado pelos órgãos governamentais daquele país. É considerado de fácil implementação,
utiliza uma chave de 56 bits e opera em blocos de 64 bits, produzindo um texto do mesmo tamanho
que o original.
Como o tamanho da chave é pequeno, este algoritmo é considerado “fraco” para os padrões atuais
já que pode ser
O algoritmo utilizado pelo AES é o Rijndael, criado pelos belgas Vincent Rij men e Joan Dae men, e
que utiliza chaves de 128, 192 e 256 bits. Seu método de codificação é baseado em fases, cuja
quantidade depende da chave escolhida. A cada fase são aplicadas várias técnicas de cifragem, que
resultam em blocos de dados de 128 bits.
Durante o concurso, o código foi amplamente divulgado para discussões. Estima-se que o tempo
necessário para ser quebrado gire em torno de 30 anos, fazendo com que seja considerado seguro.
Estes algoritmos utilizam o conceito de “chave pública” e “chave privada”. As chaves são geradas em
pares e a privada deve ser mantida em segredo, conhecida apenas por seu dono. Já a chave pública
pode ser distribuída livremente. Quando um usuário X envia uma mensagem para o usuário Y, deve
encriptá-la com a chave pública de Y e assiná-la com a chave de privada de X. O usuário Y só terá
acesso ao conteúdo da mensagem se usar a chave pública de X – para verificar a sua identidade – e,
depois, a privada de Y, para acessá-la. Ao mesmo tempo que serve para criptografar a mensagem, a
chave privada também serve para atestar a identidade do remetente, pois é presumido que apenas
ele a possui.
São considerados mais seguros que os de chave simétrica, mas ao mesmo tempo muito mais lentos,
sendo que esta característica muitas vezes se torna uma desvantagem. Como presume-se que apenas
o dono tem conhecimento de sua chave privada, estes algoritmos são muito utilizados quando
deseja-se atestar a procedência de uma mensagem (assinatura digital).
• RSA
Este algoritmo utiliza a teoria dos Números Primos para escolher as chaves que serão utilizadas.
A chave pública é gerada através da multiplicação de dois números primos muito grandes, gerando
um terceiro número. Partindo do princípio que é muito difícil deduzir um número muito
grande através de fatoração, é considerado difícil de ser quebrado, e por isso tornou-se um dos
algoritmos de chave assimétrica mais populares no mercado.
• Diffie Hellman
Função HASH
As funções hash são equações matemáticas capazes de receber uma mensagem em texto de
qualquer tamanho e produzir um valor único, de tamanho fixo, também conhecido como resumo da
mensagem (hash).
Na criação do resumo da mensagem, a alteração de qualquer bit faz com que o hash final também
seja alterado. Assim, se o destinatário da mensagem aplicar a função hash na mensagem recebida,
deverá obter o mesmo valor associado à mensagem original. Um valor dehash diferente indica que a
mensagem original foi adulterada.
Esses algoritmos costumam ser muito utilizados nas aplicações de assinaturas digitais, em conjunto
com os algoritmos de chave pública, onde arquivos maiores precisam ser comprimidos de maneira
segura. Como os resumos das mensagens possuem tamanho fixo, fica mais rápido utilizar uma função
de hash e “resumir” a mensagem, e só então usar a chave privada do usuário para encriptá-la
novamente e, assim, atestar sua identidade.
MD5
Abreviação de Message Digest 5. É um algoritmo, que assim como o MD2 e o MD4, cria um código
numérico e exclusivo ( hash ), a partir dos caracteres existentes em uma mensagem seja qual for o
tamanho desta última. O resultado será um número de tamanho fixo que serve para identificar se a
mensagem permanece íntegra ou não.
Foi proposto em 1991 após a descoberta de ataques de criptoanálise contra a função de hash no
MD4. Como seu hash é de apenas 128 bits, está caindo em desuso por ser considerado vulnerável ao
mesmo tipo de ataque.
SHA-1
Este algoritmo gera um valor hash de 160 bits, a partir de uma mensagem de tamanho arbitrário.
Foi originado do MD4, mas com melhorias nas vulnerabilidades que haviam sido encontradas
anteriormente.
Atualmente, não há nenhum ataque de criptoanálise conhecido contra o SHA-1 e ataques de força
bruta possuem tempo de resposta inviável, devido ao valor do hash implementado no algoritmo.
PKI
Com o crescimento das transações realizadas via Internet, tornou-se necessário instituir um
mecanismo capaz de gerenciar o uso de Certificados e Chaves Públicas na identificação digital. O
objetivo era criar uma estrutura confiável, cujo objetivo é assegurar transparência e segurança nas
relações virtuais.
Baseia-se em um sistema de confiança onde duas partes distintas possuem uma relação de confiança
mútua com uma terceira entidade, chamada Autoridade Certificadora (CA), cuja principal atribuição
é atestar a identidade das partes envolvidas em uma transação.
Os principais serviços que uma solução PKI deve oferecer são o registro de chaves e emissão,
revogação e cancelamento de certificado para uma chave pública. Por ser uma solução recente, ainda
não há uma padronização quanto a práticas e funcionalidades oferecidas, mas a IETF montou um
grupo denominado PKIX (Public Key Infrastructure Workgroup), cujo objetivo é elaborar as propostas
para promover a interoperabilidade e uniformização de procedimentos.
O Brasil possui sua própria estrutura de chaves públicas, denominada ICP Brasil. Foi estabelecida em
2000 e tem como objetivo regulamentar as práticas e procedimentos relativos à certificação digital
baseada em chave pública que devem ser implementados pelas organizações governamentais e
privadas brasileiras.
Esta é a estrutura-chave de uma solução PKI. É ela quem controla a concessão, emissão e revogação
dos Certificados Digitais. Por serem consideradas totalmente confiáveis, possuem autoridade
suficiente para assegurar a identidade das partes envolvidas em uma transação a fim de afastar a
possibilidade de fraudes e garantir a transparência na negociação. Isto significa que estas entidades
devem manter uma relação de confiança com a AC que assina seu certificado, assim, se uma entidade
confia em uma AC e na política adotada para controlar a emissão e gerenciamento de certificados,
quer dizer que também confia na validade e teor dos outros certificados emitidos por aquela mesma
AC.
As ACs devem disponibilizar relações diárias e atualizadas sobre os Certificados que forem revogados.
Estas listas são chamadas CRLs (Ceritficate Revocation Lisst) e servem para controlar Certificados cuja
data de validade expirou, ou aqueles que foram revogados por outros motivos.
Uma AC pode estar encadeada a outra AC através de hierarquias de certificação. Neste caso, uma CA
deve validar sua assinatura através da assinatura de uma CA que esteja hierarquicamente acima dela.
Os certificados digitais podem ser utilizados por diversas entidades, sejam elas pessoas,
computadores, departamentos, órgãos, etc, como forma de garantir a idoneidade de todos as partes
envolvidas em uma transação.
No Brasil, este papel é desempenhado pelo ITI (Instituto Nacional de Tecnologia da Informação),
autarquia responsável pela definição e atribuição de regras e papéis às Autoridades Certificadoras
Brasileiras.
Certas atividades desempenhadas na Internet ou em uma rede corporativa necessitam que seja
realizada a validação da identidade das partes envolvidas na transação. Como garantir que um
usuário é realmente quem diz ser, ou que estamos realmente utilizando a página de serviços do
banco XYZ?
Os Certificados Digitais são documentos emitidos pelas ACs, que contêm informações detalhadas
sobre uma determinada entidade, a fim de atestar a identidade de quem o utiliza. O processo de
emissão de um Certificado é iniciado quando uma entidade (empresas, pessoas) faz uma requisição
formal a uma AC, fornecendo dados relevantes sobre ela, que serão utilizados na emissão daquele
Certificado. A AC, por sua vez, verifica se as informações fornecidas são verdadeiras e, neste caso,
gera o Certificado. Nessa fase, a AC assina o novo Certificado com sua chave privada e o disponibiliza
para a entidade solicitante, juntamente com um par de chaves, sendo uma privada e uma pública,
que serão usadas para validar a identidade do proprietário.
Uma autoridade certificadora confiável (AC) cria o certificado e o assina digitalmente utilizando sua
chave privada.
Os exemplos de aplicação de Certificados Digitais são variados, mas os mais comuns ocorrem na
validação das entidades envolvidas em uma transação bancária, comércio eletrônico e autenticidade
do remetente de uma mensagem eletrônica.
Para possibilitar que o firewall saiba exatamente quais usuários estão utilizando quais máquinas,
existe um programa chamado Cliente de Autenticação Aker, que deve ser instalado em todas as
máquinas nas quais pretende-se utilizar controle de acesso por usuário. Este programa, que funciona
de forma totalmente transparente para os usuários finais, intercepta o logon destes usuários no
domínio, ou solicita uma nova autenticação caso se esteja utilizando autenticação por token ou smart
cards, e envia esses dados, de forma criptografada, para o firewall. O firewall então valida os dados
recebidos utilizando seus agentes de autenticação, autenticadores token ou autoridades
certificadoras e caso o usuário tenha sido validado corretamente, estabelece uma sessão para o
usuário validado a partir da máquina na qual ele estabeleceu a sessão.
A partir deste momento, o usuário terá seu perfil de acesso configurado e terá acesso a todos os
serviços liberados para ele. Quando ele efetuar logoff, o cliente de autenticação detectará este fato
e informará ao firewall que o usuário finalizou sua sessão. Novamente, tudo é realizado de forma
transparente e automática.
O cliente de autenticação utilizará a porta 1022/UDP (serviço Aker-CL) para se comunicar com
os firewalls com os quais ele estabelecerá as sessões de usuários, está mesma porta é usada para
encerrar a sessão de autenticação, ou seja, é necessário liberar a porta 1022 para realizar a
autenticação e para encerrar a autenticação. É necessário que exista pelo menos uma regra de
filtragem liberando o acesso a partir das máquinas com o cliente instalado para o firewall, caso
contrário não será possível o estabelecimento das sessões.
Pré-requisitos
Software
Hardware
• CPU: atinge no mínimo uma velocidade de 100 Kb/s sem sacrificar uma parcela significativa da CPU
em plataformas Pentium-2, com processadores de 500MHz.
A instalação no Sistema operacional Windows é rápida e pode ser concluída em poucos minutos.
Após finalizada, é necessário realizar as configurações necessárias para conectá-lo ao servidor,
conforme será mostrado abaixo:
5. Agora é necessário definir onde o aplicativo será instalado. O produto indica o local
de instalação padrão. Caso não desejar utilizá-lo, clique no botão Alterar e especifique
o local da instalação. Caso contrário, clique no botão Avançar;
A versão do kernel deve ser 2.6.17 ou superior. É importante ressaltar que alguns pré-requisitos
devem ser atendidos, como por exemplo a existência do pacote Kernel-Devel correspondente ao
kernel do sistema operacional.
No exemplo demonstrado abaixo foi utilizado o Sistema Operacional Fedora Core 7 versão 2.6.21.
3 Assim que o script de instalação for iniciado, ele verifica a existência de três pacotes que devem
estar previamente instalados. São eles: kernel-devel (com a mesma versão do kernel do Sistema
Operacional), GCC e Make. Caso não seja encontrado algum dos 3 pacotes, a instalação será
abortada.
4 O script irá instalar o pacote qt-aker. É necessário a confirmação do usuário para o que o
pacote seja instalado, caso não seja instalado, ele prosseguirá com a instalação, mas o Aker
Client poderá ter problemas com sua execução.
O Aker Client é a versão utilizada pelos usuários remotos para conectar-se ao servidor através de
uma VPN ou para autenticação dos empregados no ambiente da empresa. É uma ferramenta de fácil
configuração e a sua utilização pelo usuário final é simples e intuitiva. Neste capítulo, será
demonstrada como é realizada a configuração do Aker Client, explicando as telas envolvidas e
apresentando algum outro conceito que seja necessário para o completo entendimento do produto.
A tela inicial do produto está dividida em 6 abas, que serão descritas abaixo:
Servidores
O primeiro passo é configurar a conexão com o servidor. Podem ser configuradas várias conexões
diferentes, caso haja mais de um servidor responsável por responder às requisições para
estabelecimento da VPN/Autenticação, ou mais de um usuário utilizando o mesmo computador.
Todas as conexões configuradas serão listadas na tela inicial do produto, informando o status da
conexão.
• Novo Servidor: este botão abre uma nova janela, onde devem ser feitas as configurações
necessárias;
• Editar Servidor: modifica uma conexão já existente. Caso a conexão já tenha sido estabelecida, será
necessário desfazê-la para poder editar os parâmetros de conexão.
• Exportar Servidores: Este campo tem a função de salvar toda as configurações feitas no Aker Client
em um arquivo XML. É importante ressaltar que só são gravadas as configurações globais, ou seja, as
que não são configurações exclusivas de um determinado usuário (Essas configurações globais serão
explicadas logo abaixo).
Essas informações gravadas serão utilizadas na "ferramenta para reempacotar" do Aker Control
Center no Aker Firewall 6.1. (Para saber mais sobre a ferramenta de reempacotar, consulte o manual
do Fw6.1)
• Conectar/Desconectar: faz ou desfaz uma conexão com o servidor. Enquanto a conexão estiver
sendo feita, será mostrado o botão Abortar, que se for pressionado, fará com que o processo de
conexão seja finalizado.
Toda configuração do Secure Roaming é global. Por isso não é necessário configurar as
permissões de acesso, como é realizada na autenticação.
Para criar um servidor novo, clique no botão Novo Servidor localizado na parte superior da janela,
ou clique com o botão direito do mouse dentro da tela principal.
• Descrição: nome pelo qual a conexão será conhecida, facilitando sua identificação.
• Nome/Endereço do Servidor: neste campo deve ser inserido o nome de DNS ou o endereço IP do
servidor onde será realizada a conexão. Esse endereço IP pode ser diferente do endereço real do
servidor caso ele se encontre atrás de um gateway que faz NAT (tradução de endereços).
• Protocolo por usuário (FW 6.1 ou maior): essa opção poderá ser selecionada apenas quando a
conexão a ser estabelecida for com o Aker Firewall 6.1 ou posteriores. Deve ser utilizada para
autenticação por usuários, quando mais de um usuário usar mais de um endereço IP de origem (p.ex:
quando mais de um usuário usar o mesmo endereço IP de origem).
• Modo de Ativação: define quando a sessão de autenticação deve começar e terminar. Existem
duas opções possíveis:
- Sincronizar com conexão dialup: o estado da conexão será sincronizado com o adaptador dial-up.
Assim a VPN será estabelecida quando o usuário conectar-se a um servidor dial-up, e derrubada
quando ele desconectar-se. Este método é o mais recomendado para aqueles usuários que não
possuem acesso permanente à Internet.
• Modo de login: esse campo permite definir o modo de login. O Aker Client oferece 4 tipos: Logon
do sistema, Usuário/Senha, Certificados X509 e RSA SecurID.
• Salvar senha: ao selecionar essa opção, permite salvar a senha informada no campo anterior.
- RSA SecurID:
® Aker Security Solutions
1004
• Usuário: Informa o usuário do servidor.
Os dados de PIN e de próximo token a serem obtidos do dispositivo criptográfico serão solicitados
interativamente no momento do logon.
Permissões de acesso: São as permissões de acessos dos usuários do Aker Client. Para cada servidor
pode-se definir quais os usuários terão acesso a ele. Essas permissões dividem-se em dois tipos de
acesso, a global e a específica.
• Global: Todos os usuários que têm acesso à máquina terão a permissão de iniciar ou encerrar a
conexão com esse servidor.
• Usuário permitido: Nesse campo são listados os usuários que têm acesso à máquina. Podem ser
tanto usuários locais como usuários de domínio.
•Descrição: nome pelo qual a conexão será conhecida, facilitando sua identificação.
• Nome/Endereço do Servidor: neste campo deve ser inserido o nome de DNS ou o endereço IP do
servidor onde será realizada a conexão. Esse endereço IP pode ser diferente do endereço real do
servidor caso ele se encontre atrás de um gateway que faz NAT (tradução de endereços). É possível
inserir três endereços diferentes para o estabelecimento da conexão, apenas o primeiro desses
campos é de preenchimento obrigatório.
• Portas: aqui devem ser selecionadas as portas TCP e UDP que serão utilizadas para o tráfego de
dados e estabelecimento da conexão. Obrigatoriamente, essas portas devem ser as mesmas
constantes na configuração do servidor ou os números de porta traduzidos, se o servidor estiver com
suas portas traduzidas por um gateway de NAT.
• Modo de ativação: define quando a conexão VPN deve começar e terminar. Existem cinco opções
possíveis:
- Início manual/Final automático: São conexões acionadas manualmente por usuários que têm
permissão de acesso e cujo fim ocorre automaticamente ao fim de sua sessão no sistema operacional.
O fim também pode ocorrer antes disso, a critério do usuário.
- Sincronizar com conexão dial-up: o estado da conexão será sincronizado com o adaptador dial-up.
Assim a VPN será estabelecida quando o usuário conectar-se a um servidor dial-up, e derrubada
quando ele desconectar-se. Este método é o mais recomendado para aqueles usuários que não
possuem acesso permanente à Internet.
• Usar configurações do sistema: Ao selecionar essa opção, não será necessário preencher as
informações de localização. Serão utilizadas as informações de proxy HTTP já configuradas no
sistema.
• Porta: aqui deve ser selecionada a porta utilizada no proxy HTTP. Por padrão, a porta 80.
• Obter dados do logon: Ao selecionar essa opção não será necessário preencher as informações de
logon para autenticação no proxy. Serão utilizadas as informações já configuradas no sistema.
Para que o valor da porta seja um valor padrão, o botão "Padrão" deve ser pressionado.
41.9. Certificados
Janela onde são gerenciados todos os certificados que serão usados durante a autenticação de
usuários, com as informações pertinentes de cada certificado identificadas nas colunas de cada item.
Desta maneira fica mais fácil realizar atualização, remoção ou inserção de novos certificados, sempre
que necessário.
Os botões localizados na parte superior da tela são úteis para executar as ações de gerenciamento
de certificados, como segue abaixo. Os campos destinatário indica o proprietário do certificado, o
emissor é quem valida o certificado, os campos Válido a partir de e Válido até, indicam a janela de
tempo de validade do certificado, não pode ser utilizado nem antes e nem depois dessa data. Local
de: é o local onde a chave privada correspondente ao certificado está instalada. (Reescrever)
• Carregar certificado: carrega um arquivo de certificado, que pode estar codificado em DER ou Base
64. Esse arquivo é gerado pela CA a partir da requisição que deve ser criada anteriormente. Quando
um certificado é carregado sua requisição é removida do disco, mas é possível fazer cópias de
segurança com o botão Salvar requisição localizado na aba "Requisições de Certificado, caso deseje
usar a mesma requisição para criar certificados a partir de CAs diferentes.
• Ver certificado: Este campo permite uma visualização dos detalhes do certificado, como mostra a
figura abaixo:
• Remover certificado: remove o certificado e a chave privada associada. Se o certificado que deve
ser deletado estiver em um token criptográfico, será necessário informar a senha do token para
poder remover o certificado;
• Salvar backup: salva um certificado e seu par de chaves no formato PKCS#12, que é um documento
distribuído pelo RSA Laboratories que define um formato de arquivo usado para guardar uma chave
privada e seu certificado correspondente protegidos por uma senha baseada em uma chave
simétrica;
As Requisições são documentos criados quando uma entidade deseja solicitar um certificado digital
a uma CA. Em um primeiro momento, um par de chave assimétrico é gerado. Em seguida, a chave
pública é anexada às informações da entidade (nome, endereço, etc.) e por fim, tudo é assinado com
a chave privada do par. O documento resultante pode então ser enviado a uma CA e as informações
contidas nele podem ser usadas para gerar um certificado.
• Nova Requisição: abre uma janela para a criação de novas requisições e chaves privadas;
• Salvar Requisição: este botão faz com que seja salva uma cópia da requisição já criada em disco,
com a extensão '.csr'. Este arquivo pode ser usado pela CA para emitir um certificado;
• Remover Requisição: este botão remove uma requisição e a chave privada associada a ela. Caso a
Requisição seja criada em um token criptográfico, será necessário inserir a senha do token em
questão para apagar a chave privada;
Para criar uma requisição é necessário clicar no botão Nova Requisição e preencher os seguintes
campos:
• Alvo da Requisição: determina qual campo do certificado X.509 será usado na identificação. É
possível escolher entre “Pessoa”, onde a necessário fornecer um endereço eletrônico, e “Servidor”,
onde é necessário fornecer o domínio;
• País: código identificador de duas letras (BR para Brasil por exemplo);
• Estado ou Província: identificação do estado (Distrito Federal, São Paulo, Minas Geris, etc.).
• Especificações da Chave: nessa opção deve ser especificado onde será gerada a chave, se no disco
rígido ou em um token criptográfico.
• Senha da chave privada: Neste campo é informada a senha usada para a criação da chave privada.
De acordo com o meio de geração do par de chaves assimétricas, a criação do certificado pode
demorar alguns segundos, fazendo com que durante a geração da chave alguns botões das janelas
de criação de requisições e de certificados sejam desabilitados.
Os tokens utilizados pelo Aker Client são dispositivos criptográficos externos, cuja função é
armazenar chaves e certificados de forma segura, impossibilitando que sejam copiados. Eles
permitem a utilização de um esquema de autenticação de dois fatores, pois é necessário ter a posse
do token e também conhecer a senha ou pin de segurança, para que possa ser utilizado.
O suporte do Aker Client para tokens criptográficos é baseado na especificação PKCS#11, versão 2.20,
do RSA Laboratories. Para que o token esteja em conformidade com o Aker Client é necessário que
tenha suporte a este padrão, por meio de uma biblioteca dinâmica que pode ser obtida com o próprio
fabricante do token (arquivos com extensão dll no Windows, ou so, no UNIX).
Esta janela mostra a biblioteca dinâmica que está sendo utilizada, bem como sua versão, o nome do
fabricante e a descrição. Os tokens ou certificados presentes no token são carregados apenas quando
uma biblioteca é corretamente carregada.
Estas bibliotecas podem ser adicionadas, removidas ou recarregadas, de acordo com o botão
utilizado:
• O botão Carregar biblioteca: cadastra uma nova biblioteca dinâmica junto ao Aker Client, deixando-
a passível de ser carregada posteriormente;
• O botão Remover biblioteca retira uma biblioteca da lista das bibliotecas cadastradas junto ao Aker
Client;
Procurar bibliotecas: procura bibliotecas associadas a tokens comuns e cadastra as que foram
encontradas junto ao Aker Client.
• Clique no botão Carregar biblioteca e procure pelo arquivo com extensão dll (Windows) ou so
(Unix) da biblioteca;
® Aker Security Solutions
1014
• No quadro de bibliotecas disponíveis, marque a caixa localizada à direita do nome;
Se o arquivo selecionado for uma biblioteca válida, as informações adicionais referentes a ela serão
mostradas na janela. Caso contrário, uma mensagem de erro será mostrada indicando que aquela
não é uma biblioteca válida.
Pode ocorrer da biblioteca dinâmica do token não ser encontrada ou ele não ser reconhecido pelo
Sistema Operacional. Neste caso, entre em contado com revendedor para obter maiores informações
de como utilizar as funções PKCS#11 do token, ou as atualizações necessárias.
41.12. Segurança
Esta aba exibe os status da segurança do seu sistema. É importante que o sistema em uso
esteja com a segurança ativada e atualizada, para que o Aker Client estabeleça a conexão.
Tela que mostra o registro de atividade do Aker Client. As ações de conexão, desconexão e erros
ocorridos durante estas operações ficam armazenadas no cliente, facilitando para o Administrador o
diagnóstico de algum problema que esteja ocorrendo durante a conexão. A página possui o seguinte
formato:
Através do botão Salvar é possível exportar todos os registros em arquivos texto para análise futura.
Quanto ao botão Limpar, através dele é possível remover todas as mensagens de registro
armazenadas pelo Aker Client. É importante ressaltar que quando o log é totalmente apagado
através do botão Limpar, a única possibilidade de recuperação é se alguma cópia de segurança que
tenha sido realizada através do botão Salvar for restaurada.
É possível ainda determinar as prioridades que serão mostradas na tela. Cada uma possui um nível
de criticidade diferente e todas são referenciadas por cores, a fim de facilitar a identificação visual.
• Informação (cor verde): mensagens com esta prioridade acrescentam informações úteis para a
administração do Aker Client, tais como status da conexão.
• Atenção (cor amarela): mensagens com esta prioridade indicam que certas ações foram rejeitadas
ou descartadas pelo sistema, devido a algum erro ocorrido. Em algumas situações, estas mensagens
podem ser precedidas por outras mensagens explicativas.
• Erro (cor vermelha): as mensagens com esta prioridade indicam problemas importantes para a
execução do Aker Client e são acompanhadas de uma mensagem explicativa.
41.14. Sobre
Esta janela mostra as informações da versão atual do produto e sua data de compilação, que pode
ser importante ao usuário quando entrar em contato com o suporte da Aker.
Nessa janela também é possível mudar o idioma do produto, podendo o usuário optar entre dois
idiomas: o Português e o Inglês.
O usuário que não tiver permissão de administrador, só terá acesso para visualizar as configurações
relacionadas ao seu perfil. Caso necessite fazer alguma alteração deverá contatar o administrador da
máquina ou do domínio.
A GUI que vai aparecer para esse tipo de usuário terá apenas dois botões habilitados: "Visualizar
Servidor" e "Conectar" conforme imagem abaixo
Para o usuário ter a GUI com privilégios administrativos, terá que está cadastrado no "Domain
controllers".
Glossário
Backbone Também conhecida como “espinha dorsal” de uma rede. Pode ser
local ou abranger longas distâncias.
Links Indicados
• ITI Brasil: Instituto Nacional de Tecnologia da Informação. Órgão do Governo que atua como
Autoridade Certificadora Raiz da ICP Brasil. Divulgação de eventos, software livre, literatura
específica e fóruns virtuais.
http://www.iti.br/
• PPTP: página da Microsoft com um artigo explicativo com uma visão geral do tráfego PPTP.
www.technetbrasil.com.br/Downloads/ArtigosTecnicos/windows2003/CG0103.pdf
http://www.iec.org
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120t/120t1/l2tpt.h
tm
® Aker Security Solutions
1019
• RFC 2003 - IP Encapsulation within IP: RFC que traz as especificações necessárias para realizar o
encapsulamento de datagramas IP dentro de outro datagrama IP.
ftp://ftp.rfc-editor.org/in-notes/rfc2003.txt
• RFC 2661 – Layer Two Tunneling Protocol “L2TP”: RFC que descreve as características do protocolo
L2TP.
ftp://ftp.rfc-editor.org/in-notes/rfc2661.txt
• RFC 2341 – Cisco Layer Two Forwarding Protocol “L2F”: RFC que descreve as características do
protocolo L2F.
Conforme mostrado no Capítulo X, neste anexo vamos diferenciar as opções de serviços existentes
para cada protocolo. O leitor notará que apesar da ocorrência de nomes iguais de serviços,
normalmente estes referem-se a assuntos distintos e, por isso, é importante saber diferenciá-los na
hora de criar uma regra.
• ICMP
• Source quench (porta 4): Aviso ao host solicitante que diminua a intensidade da comunicação.
• Time exceded (porta 11): Indica quando é excedido o tempo máximo para chegarem todas as partes
de um datagrama.
• ggp (porta 1): Usado por um gateway para troca de informações de roteamento.
• egp (porta 8): Protocolo que informa a um dispositivo de rede IP como alcançar outras redes IP.
• TCP
• chargen (porta 19): Gerar respostas de caracteres enviados por meio da rede.
• smtp (porta 25): Protocolo para Transmissão de mensagens de e-mail de uma máquina para outra.
• netbios-ssn (porta 139): Serviço de sessões do Netbios usado no Red hat Enterprise Linux pelo
Samba.
• Lótus note (porta 1352): Usada para administração remota do Lotus notes.
• UDP
• echo (porta 7): Mostra o payload do datagrama que você quer enviar.
• time (porta 37): Permitir que o horário do servidor seja consultado pelas estações.
42.1. Introdução
A Web permite que cada documento na rede tenha um endereço único, que indica o nome
do arquivo, diretório, nome do servidor e o método pelo qual ele deve ser requisitado e se
esse endereço foi chamado de URL. URL (Uniform Resource Locator, numa tradução literal,
localizador uniforme de recursos). Uma URL tem a seguinte estrutura:
http://www.seed.net.tw/~milkylin/htmleasy.html. Onde: http:// é o método pelo qual ocorrerá
a transação entre cliente e servidor. HTTP (Hypertext Transfer Protocol, ou protocolo de
transferência de arquivos de hipertexto) é o método utilizado para transportar páginas de
Web pela rede. Outros métodos comuns são: ftp:// (para transferir arquivos), news:// (grupos
de discussão) e mailto:// (para enviar correio eletrônico).
A produtividade é fundamental para todas as empresas. Para isso, buscam utilizar de forma
racional seus recursos de rede. Apesar de a Web ser uma incrível ferramenta de trabalho, ela
também pode causar uma enorme queda na produtividade. Definir algumas regras pode
proteger seu negócio e seus funcionários. Páginas Web contêm programas que são
usualmente inocentes e algumas vezes úteis - por exemplo, animações e menus pop-up. Mas
existem sites questionáveis e maliciosos que nem sempre estão com as melhores intenções.
Ao navegar na Web, operadores de sites podem identificar seu computador na Internet, dizer
quais páginas você acessou, de que página você veio, usar cookies para criar um perfil seu e
instalar spywares em seu computador - tudo sem o seu conhecimento. Worms destrutivos
podem ainda entrar em seu sistema por meio de seu navegador:
Além de atividades maliciosas instigadas por usuários externos, os negócios podem ser
colocados em uma posição vulnerável por funcionários que se engajarem em uma atividade
ilegal e/ou indesejável durante o horário de trabalho e usando computadores da empresa.
Esta prerrogativa motivou a Aker Security Solutions a desenvolver o Web Content Analyzer,
ferramenta segura e inteligente, focada em oferecer ao cliente uma solução capaz de suprir
as necessidades de monitoramento e controle em tempo real do uso da Internet pelos
usuários, com limitação dos sites possíveis de acesso, proteção antivírus e emissão de
relatórios de utilização.
O produto faz toda filtragem a partir da pesquisa do endereço a ser acessada, essa pesquisa
é realizada anteriormente na Aker por uma equipe altamente qualificada, que classifica
milhares de sites novos por dia distribuídos em 24 (vinte quatro) categorias. Ao administrador
resta apenas escolher os usuários e grupos de usuários autorizados ou não a ter acesso a
determinados sites.
Com interface amigável e de fácil utilização, o Web Content Analyzer permite ao usuário,
acessar sites confiáveis e, sempre utilizando para navegar um PC ou notebook, utilizando uma
conexão segura por meio de um firewall/Proxy. Em outras palavras o uso do Web Content
Analyzer inibe o uso do computador de trabalho para acessos a informações irrelevantes no
trabalho.
A ferramenta trabalha também em conjunto com o Aker Web Control que possui plug-ins de
configuração para Microsoft ISA Server®, SQUID Server® e para o Firewall Checkpoint®.
® Aker Security Solutions
1026
O Aker Web Control para Squid é um produto à parte que possibilita ao Squid aceitar ou
rejeitar acessos de acordo com o nível de acesso de cada usuário e a categoria da página
desejada, de acordo com o arquivo de configuração do Squid.
O Aker Web Control para ISA Server é um produto à parte que possibilita ao ISA Server aceitar
ou rejeitar acessos de acordo com o nível de acesso de cada usuário e a categoria da página
desejada.
Todas estas características fazem do Web Content Analyzer uma poderosa ferramenta de
controle ao acesso à internet, quando trabalhando em conjunto com um Firewall ou um
servidor Proxy compatível.
42.2. Pré-requisitos
Software
O Analisador de URL Aker executa sobre os sistemas operacionais Windows Server e Linux
GNU em plataformas Intel 32 ou compatíveis.
Ele é compatível com o Firewall Aker, MS Proxy Server e MS ISA Server, Checkpoint Firewall 1
e Squid Internet Object Cache. Com exceção do Firewall Aker, os demais produtos necessitam
de um plugin para se comunicarem com o Analisador de URLs.
Hardware
O Aker Web Content Analyzer funciona nas seguintes versões de Sistemas Operacionais:
Ler o contrato, em caso de acordo selecionar a opção “Aceito o contrato de licença”. Clicar
no botão “Avançar”.
Nesta fase será realizada a inserção de informações necessárias para que a instalação seja
personalizada:
Optar se as configurações para o aplicativo serão instaladas para o usuário atual “Somente
para mim” ou para todos que compartilham o computador “Qualquer pessoa que usa este
computador”;
Clicar em “Avançar”.
Esta tela permite selecionar os recursos que serão instalados. Atualmente, o Plugin de
instalação do Aker Web Content Analyzer vem acompanhado pelo Plugin do Aker Web
Control. Isto é, ao instalar o AWCA, automaticamente será instalado o AWC. Se caso desejar
instalar apenas o plugin do Aker Web Content Analyzer, deve-se clicar no ícone
“AkerWebControlPlugin”, selecionar a opção “Todo o recurso não estará disponível” e, em
seguida clicar no botão “Avançar”.
Após o término da instalação, automaticamente irá aparecer uma tela dizendo que o produto
foi instalado com êxito. Para terminar, basta clicar em “Concluir”.
A instalação realizada em Linux é bastante simples e requer apenas alguns passos que serão
demonstrados a seguir. Crie um diretório e copie o arquivo AkerWebContentAnalyzer-
server-br-3.0-3.fc8.tar.bz2 para dentro dele.
./akerwebcontentanalyzer-3.4-pt-linux-server-012.bin
Em seguida, será apresentado cada um dos menus de acesso e configuração no Aker Firewall:
Categorias, Gerenciamento da base de URLs e Teste de URL.
A atualização das assinaturas de URLs podem ser configuradas para serem realizadas de
maneira automática. É nessa aba que o administrador irá selecionar os dias da semana/mês
que as atualizações serão efetuadas, assim como o horário da atualização.
Nessa aba, serão apresentados os sites que possuem a base de assinaturas de URLs de onde
os administradores poderão atualizar suas assinaturas. Clicando no botão “Atualiza a lista de
sites” o sistema irá buscar por configurações de novos sites disponíveis atualizando assim a
lista.
Observação: É possível realizar a atualização da base de URLs manualmente, para isso siga os
passos a seguir:
42.8. Categorias
O administrador pode criar sua própria base de categorização nas seguintes situações:
A criação das categorias pode ser realizada em dois níveis: o nível pai e o nível filho. Para criar
uma nova categoria pai, o administrador do produto deve clicar com o botão direito do mouse
no menu “Categorias” e escolha a opção "Nova Categoria". Para se criar uma categoria filho
deve-se clicar com o botão direito do mouse na categoria escolhida e escolha a opção "Nova
Categoria".
Deve-se escolher o ícone da categoria, clicar com o mouse neste item e apertar o botão “OK”.
Categoria: Educação;
Descrição: Sites de organização educacional ou que de alguma maneira contribua para
a divulgação da educação.
Poderá ser utilizado um dos ícones oferecidos pelo AWCA ou algum outro, desde que seja 32 por
32 pixels e que esteja em formato png.
Após a criação da categoria é necessário criar uma lista de expressões. As categorias com
expressões cadastradas aparecem em negrito. Para criar essa lista, o administrador do
produto deve selecionar a categoria e clicar com o botão direito na parte branca do menu
“Categorias” e configurar as opções necessárias. As opções são duas:
Expressão: Define qual será a string ou os parâmetros que serão pesquisados na URL
acessada e qual operação a ser efetuada. A operação pode ser de vários tipos
diferentes, alguns deles seriam “*Aker*” (contém), “Aker” (é), “*Aker” (termina com),
“Aker*” (começa com).
Cada entrada na lista de expressões da janela de categorias deve seguir a semântica (A string
digitada não faz distinção entre maiúsculo e minúsculo):
Local de Busca: Define o local específico da busca nos sites. Ao clicar com o botão
direito poderão ser definidos quatro formas de busca. Abaixo segue um exemplo de
preenchimento desses campos, tomando como base o endereço:
http://www.aker.com.br/index.php?pag_cod=1&ling=pt_br
Para confirmar se as expressões que foram definidas estão realmente funcionando, digite no
campo "URL" um texto. Logo em seguida clique no botão de pesquisa para que seja verificado
se o texto que você digitou está sendo ou não enquadrado nas expressões.
Para criar estas expressões podemos contar com os recursos de exportar e importar,
facilitando a migração de outras bases de URLs para a base da Aker.
Tipo de importação: indica de qual arquivo será realizada a importação. Possui duas opções:
Após selecionar o arquivo e o tipo de importação clique no botão “Importar” e o Aker Control
Center irá importar todas as expressões do arquivo. Ao final será apresentado um resumo da
importação contendo as informações como:
Botão exportar: Salva as customizações das categorias, funcionando como uma forma
de backup para uma recuperação futura ou para utilização em outro Aker Web
Content Analyzer;
Botão importar: Recuperar as customizações das categorias exportadas.
Esse menu é constituído de uma lista de ícones com os nomes das categorias em que a URL
do teste se enquadra.
Ao escrever o nome da URL (no campo em branco http://) e clicar em Categorizar, o produto
irá informar qual a categoria da URL e mostrar os ícones correspondentes. Se a URL não está
associada a nenhuma categoria definida será mostrado a mensagem “Não encontrado”.
43.1. Introdução
O e-mail corporativo é uma ferramenta indispensável para fechar novos negócios, parcerias
e trocar informações. No entanto, ainda é uma porta de entrada para ameaças virtuais, que
podem roubar informações estratégicas e prejudicar o ambiente de rede da empresa.
Ao abrir sua caixa postal para ler seus e-mails, qualquer usuário se depara diariamente com
uma grande quantidade de mensagens indesejadas, tais como propagandas, correntes,
pornografia e até mesmo programas invasores disfarçados de mensagens legítimas. Uma
pesquisa realizada por empresas de Segurança da Informação constatou que o Brasil aparece
em quinto lugar na lista dos maiores emissores de lixo eletrônico na rede mundial. Outros
estudos recentes estimam que dois terços de todas as mensagens de correio eletrônico que
circulam diariamente na Internet são consideradas SPAM e este percentual aumenta todos
os meses. Como a maior parte das mensagens de SPAM são enviadas para conjuntos
aleatórios de endereços de e-mail, não há como prever se uma mensagem com conteúdo
impróprio será recebida por uma determinada pessoa.
Uma das grandes dificuldades ao tentar lidar com este problema, no entanto, é definir o que
são mensagens indesejadas, já que a internet possui um grande número de usuários distintos
® Aker Security Solutions
1059
e que possuem visões diferentes sobre o tema. Um e-mail recebido e lido por uma pessoa
sobre um determinado assunto pode não interessar a outra, e assim sucessivamente.
Em virtude desta dificuldade, a única maneira viável de conseguir resolver de forma definitiva
o mal causado pelo SPAM é possibilitar que cada usuário, ou grupo de usuários com
características semelhantes, possa treinar o sistema Antispam para que este aprenda seus
gostos e preferências e consiga filtrar de forma eficiente suas mensagens. O Aker SPAM
Meter foi criado tendo este princípio como ponto de partida.
O Aker SPAM Meter permite que cada pessoa, ou grupo de pessoas, classifique seus e-mails
de acordo com seu perfil, fazendo com que o produto aprenda o que esta pessoa deseja
receber. A solução possui também atualização diária de uma base de dados, gerada pela Aker,
com informações sobre SPAM, possibilitando identificar novas ameaças automaticamente.
Outro ponto importante sobre o produto é que ele atribui um percentual de 0 a 100% para
classificar as mensagens. Nessa escala de probabilidade, o '0%' significa que definitivamente
não é spam, e '100%' é a certeza absoluta de que é spam. Desta forma, além de cada usuário
ou grupo poder treinar individualmente o que é o não SPAM dentro de sua ótica, é possível
também que ele defina o que fazer com as mensagens em várias faixas de certeza. É possível,
por exemplo, descartar as mensagens que o sistema classifica com mais de 95% de certeza de
serem SPAM, mudar o assunto das mensagens que ficarem entre 85% e 95% e aceitar as
demais.
O produto faz uma análise do conteúdo do e-mail, baseada em dados estatísticos, ou seja,
atribui uma nota para cada mensagem com base em dados estatísticos gerados a partir de
milhares de mensagens em diferentes línguas, pré-classificadas em spam e não spam. Quanto
maior a base de mensagens utilizadas para gerar os dados estatísticos e quanto mais
específicos forem os dados, melhor é o resultado do programa, que em boas condições pode
inclusive superar o resultado de um ser humano desempenhando uma classificação manual.
Para conseguir um melhor índice de classificação de mensagens, o produto conta com duas
bases de dados distintas: uma gerada pela Aker e é atualizada diariamente, que representa
de forma genérica os conceitos de spam e não spam, e outra que é produzida a partir do
treinamento realizado por cada usuário ou grupo. Com a combinação de ambas as bases, o
sistema imediatamente consegue atingir um nível bom de classificação, utilizando para isso
os dados estatísticos da Aker, ao mesmo tempo em que permite também que seja refinado
pelos usuários até o ponto da quase perfeição.
O Aker SPAM Meter é extremamente rápido e consegue atingir até 99% de acerto na
classificação dos e-mails. A solução sendo uma das formas mais eficientes de classificação de
O Aker Spam Meter é controlado remotamente por meio do Aker Control Center, que é um
framework integrado de gerência multiplataforma e que controla, a partir de um ponto
central, todas as soluções Aker.
Dispositivos Remotos
Para começar a utilizar o programa, clique em Iniciar, Programas, Aker Control Center,
Dispositivos remotos, Aker Firewall, Spam Meter;
A configuração de o Aker Spam Meter é simples, mas requer atenção em algumas explicações
que serão dadas a seguir. O spam Meter utilizado no Aker Firewall possui 4 itens: Banco de
Dados, Classificação de e-mail, Configuração do Filtro e Gráfico de Notas. Cada assunto foi
agrupado em menus distintos.
Após aberto o “Bancos de Dados”, surgirá a seguinte tela com as abas: Estado, Lista das bases
de dados e Parâmetros.
A aba “Estado” apresenta as informações com relação ao estado atual dos downloads e
uploads das bases de dados.
Os uploads são e-mails classificados manualmente pelos usuários que podem ou não ser
enviados para a Aker de forma a melhorar a classificação dos e-mails e das bases de
assinaturas.
O botão “Atualizar Agora” realiza o download da base de assinaturas de e-mail mais atual
A aba “Lista das bases de dados” apresenta todas as bases de Dados existentes atualmente
no sistema, assim como seus respectivos status e tamanho da base.
Também pode ser realizada a atualização da base de dados, o seu recálculo (informações
referentes à pontuação dos e-mails) ou sua exclusão, selecionando a base de dados desejada
e clicando em um dos botões apresentados:
Aba Parâmetros
Geração de base: As gerações das bases de dados podem ser efetuadas sobre
demanda (on-demand) conforme mostrado na sub-opção, “Estado” e “Lista das bases
de Dados”. Porém, podemos configurar a geração para ser realizada
automaticamente marcando essa opção e selecionando o intervalo para a atualização
da base.
Fazer download das atualizações da base de dados: Essa opção permite a
configuração do servidor que fornece a base de dados para download assim como o
horário para que o Aker Spam Meter possa efetuar o download. O download será
realizado diariamente, no horário estipulado.
Permitir upload da Base de Dados: Caso o administrador do produto queira enviar
para a Aker a base de e-mails classificada manualmente, ele poderá fazer isso
conforme visto na opção “Estado” ou configurando o envio automático por meio da
marcação dessa opção e configuração do intervalo de upload (em semanas).
Usar Proxy
Dessa forma, o administrador do produto poderá ver qual a pontuação que o Aker Spam
Meter dará à mensagem.
Opções de classificação:
Detecção de SPAM aprimorada: Utiliza menos tokens, fazendo com que a classificação
seja mais rápida, mas aumenta o número de falsos positivos;
Redução de Falso-positivo: Utiliza um número maior de tokens, fazendo com que a
classificação seja mais precisa, mas deixando o processo mais lento;
Base: Seleciona qual a base de tokens que será utilizada na classificação do e-mail.
Em Linux, o comando "du -sh" não faz a soma do tamanho de cada arquivo, ele só faz a
soma do tamanho dos blocos do HD que cada arquivo usa, variando de acordo com o HD
que foi formatado. Em um HD que foi formatado para que assim cada bloco possuísse 4
KB, ou seja 4096 bytes, pode ser observado o seguinte comportamento:
Isso se deve ao fato de que cada arquivo de 1024 bytes está consumindo fisicamente 4 KB do
disco que é o tamanho de cada bloco. Assim, cada arquivo de 1024 bytes é "contabilizado" no
"du -sh" como 4096 bytes.
Lembrando que este comportamento só acontece em sistemas Unix, não sendo possível no
Windows, que o tamanho é contabilizado como o esperado.
Portas
Portas do Servidor: Esse campo indica a porta de escuta do Servidor do Aker Spam
Meter que recebe e classifica os e-mails;
Porta da Interface: É a porta que ficará em escuta para aceitar que as conexões para
o Aker Control Center vão poder se conectar ao Aker Spam Meter.
Token Cache
O ícone “Padrão” permite retornar a quantidade máxima de tokens para 500000 Tokens, que
é a configuração padrão.
Observação: É possível realizar a atualização da base de URLs manualmente, para isso siga os
passos a seguir:
O Aker Spam Meter possui plug-ins para alguns clientes de e-mail. Esses plug-ins servem para que
o cliente possa classificar manualmente seus e-mails como spam ou não spam, de maneira
integrada ao cliente de e-mail, utilizado hoje em dia por ela sem que seja necessário que o Aker
Spam Meter insira nenhum anexo ao e-mail para realizar essa classificação. O objetivo desse
anexo é apenas mostrar rapidamente como funciona o plugin e como utilizá-lo.
Microsoft Outlook;
Mozilla Thunderbird.
Dessa forma, ao receber um e-mail, o usuário poderá ver a classificação do e-mail recebido de
acordo com a base de análise bayesiana do Aker Spam Meter e poderá ter botões para classificar
manualmente a mensagem como sendo um Spam ou Não spam.
44.1. Introdução
Os vírus de computador constituem uma das maiores ameaças às grandes redes. Os vírus
podem atacar quase todos os computadores, independentemente de sua função ou
localização. Os dispositivos podem ser atacados a partir da Internet, por e-mail ou por meio
de mídia infectada. Em outras palavras, os vírus podem ganhar acesso a PCs por meio de
qualquer entrada para o dispositivo. Os danos causados por vírus pode variar desde aquele
que são apenas perceptíveis até os absolutamente desastrosos. Por essa razão, as soluções
antivírus devem constituir uma parte essencial de todos os projetos de segurança da
informação.
Uma variante de vírus é um vírus que foi alterado para tirar proveito de um código de vírus
já criado. Fazendo isso, o vírus não é imediatamente detectado pelo software antivírus, que
procura o vírus original.
Worm - Uma forma de vírus mais eficaz que localiza sistemas vulneráveis e, em
seguida, se cópia para esses sistemas. Os métodos mais frequentes de propagação são
as listas de distribuição de e-mails, os scripts de assinatura de e-mails e as pastas
compartilhadas na rede. Os worms podem ou não ter um efeito (payload) prejudicial.
Atualmente, o efeito típico de um worm é deixar o computador mais suscetível a
outros vírus maliciosos.
Hoax - Um e-mail que normalmente declara que está prejudicando o computador,
mas na verdade não tem o efeito mencionado. Alguns hoaxes pedem ao leitor do e-
mail para tomar algum tipo de medida prejudicial, como excluir um arquivo
importante. A maioria dos hoaxes é espalhada por indivíduos bem intencionados que
desejam alertar outros indivíduos em relação a um possível vírus que, na realidade, é
apenas um hoax.
Mesmo que uma empresa já possua um sistema de antivírus corporativo instalado nos
servidores internos e nas máquinas dos usuários, estes podem falhar ou não localizar um
vírus, reforçando a necessidade de se possuir máquinas dedicadas para a desinfecção de
mensagens e arquivos baixados da Internet.
O Aker Antivírus Module é uma ferramenta indispensável para tornar instalações que
utilizam o Aker Firewall, Aker Web Gateway ou Aker Secure Mail Gateway ainda mais seguras.
Uma única máquina pode ser instalada na rede e ser utilizada por diversos firewalls e
gateways ao mesmo tempo. Além disso, por estar disponível para plataformas Windows,
Linux ou poder ser instalada nos próprios boxes dos produtos com os quais se integram, o
produto consegue atender os requisitos de preço/performance de organizações de todos os
tamanhos.
O Aker Antivírus Module é um antivírus para gateways, que se integra nativamente ao Aker
Firewall, ao Aker Web Gateway e ao Aker Secure Mail Gateway, possibilitando que mensagens
de correio eletrônico e arquivos baixados via Web sejam desinfectados antes de serem
enviados às máquinas ou servidores internos.
O Aker Antivírus Module é instalado juntamente com outros produtos, como por exemplo, o
Aker Firewall ou outro produto Aker, herdando funcionalidades comuns como: administração
de usuários, visualização de logs, Atualizações, etc. A figura abaixo ilustra o funcionamento
dessa instalação:
Ao tentar fazer downloads pela internet por meio de uma rede local, o Aker Firewall irá
estabelecer uma conexão com o Aker Antivírus Module, enviando os arquivos para que ele
faça uma análise, verificando se estes estão infectados ou não. Depois de analisados, o Aker
Antivírus Module comunicará ao Firewall que irá bloquear ou liberar, dependendo da
resposta que lhe foi dada, reportando ao usuário que está conectado na rede local na qual se
deseja fazer o download (nesse exemplo está sendo utilizado o Firewall, mas poderia ser
outro produto Aker, como o Aker Web Gateway).
O Aker Antivírus Module é gerenciado remotamente por meio do Aker Control Center, que é
um Framework integrado de gerência multiplataforma e que controla, a partir de um ponto
central, todas as soluções Aker.
Para realizar a customização deve-se ter um dispositivo do Aker Antivírus Module cadastrado
no Aker Control Center. Para cadastrar um dispositivo:
Se a janela “Dispositivos Remotos” não estiver visível, clique no menu “Janelas” do Control
Center e escolha a opção que possui o nome “Janelas”. Marque a opção “Dispositivos
Remotos”.
O Aker Antivírus Module fornece uma interface para configuração e controle dos partners
engines (parceiros). Esses parceiros são fornecidos por terceiros. Atualmente é utilizado o
KASPERSKY e Clam AV.
44.6. Configurações
A janela Configurações
Essas informações são muito importantes para o administrador verificar se o seu produto
está atualizado com a última versão existente na página da Aker www.aker.com.br.
Informações do Engine:
No caso do parceiro KASPERSKY, essa janela mudará apenas as informações do engine como:
Fornecedor, versão, quantidade de malwares conhecidos, data da base de assinaturas e
marca registrada. Observa-se também que o logo do produto e a marca localizada na parte
inferior da janela será a do parceiro aplicado. Conforme demonstrado a seguir:
A atualização das assinaturas é realizada por meio da Internet. Para isso, o sistema precisa ter
acesso a Rede Mundial de Computadores para realizar o download das assinaturas. Se para
acessar a Internet, o Aker Antivírus Module precisar utilizar ou se autenticar em algum proxy,
as informações necessárias para permitir esse acesso serão configuradas nessa aba.
Habilitar o Servidor Proxy: Ao selecionar esta opção irá habilitar os campos Proxy e
Porta.
o Proxy: Permite entrar com o endereço IP do servidor.
o Porta: Permite selecionar a porta utilizada na operação.
o Usuário: Neste campo deve se inserir o nome do usuário que irá se autenticar
no Proxy.
® Aker Security Solutions
1085
o Senha: Permite definir uma senha para poder se autenticar.
o Confirmação: É necessário confirmar a senha, digitando-a novamente.
Todas as mensagens abaixo podem aparecer no log do firewall. Sempre que ocorrerem, elas
estarão precedendo um registro que contém as informações sobre o pacote que as produziu.
As mensagens de log são separadas em três categorias:
Autenticação/Criptografia
025 - Algoritmo de criptografia de chave SKIP inválido - Esta mensagem indica que o
algoritmo de criptografia especificado no cabeçalho SKIP não é suportado (o Aker Firewall
somente suporta os algoritmos de criptografia DES, Triplo DES e Blowfish, com 128 e 256 bits
de chaves).
Criptografia IPSEC
040 - Erro finalizando autenticação com o algoritmo escolhido – Esta mensagem indica que
o Firewall não conseguiu autenticar o pacote com o algoritmo HMAC. Provavelmente o
algoritmo de autenticação está com defeito.
039 - Erro iniciando autenticação para o algoritmo especificado – Esta mensagem indica que
o Firewall não conseguiu autenticar o pacote com o algoritmo HMAC. Provavelmente o
algoritmo de autenticação está com defeito.
034 - Header AH com formato incorreto (campo: length) – Esta mensagem indica que o
Firewall recebeu um pacote cifrado com criptografia IPSEC que tem informações de
autenticação no protocolo AH com tamanho incorreto. Veja a RFC 2402.
012 - Pacote não passou pela autenticação – Esta mensagem indica que o pacote em questão
não foi validado com sucesso pelo módulo de autenticação do Firewall. Isto pode ser causado
por uma configuração de chaves de autenticação inválida, por uma alteração indevida no
conteúdo do pacote durante o seu trânsito ou por uma tentativa de ataque de falsificação de
endereços IP (IP spoofing). Para maiores informações veja as RFCs 1825 e 1827.
011 - Pacote sem informação de autenticação – Esta mensagem indica que o pacote em
questão veio sem header de autenticação e a configuração do fluxo seguro correspondente
indica que ele só deveria ser aceito autenticado (ver o capítulo intitulado Criando Canais de
Criptografia). Isto pode ser causado por uma configuração errada nos fluxos de autenticação
(possivelmente só configurando em um dos lados da comunicação) ou por uma tentativa de
ataque de falsificação de endereços IP (IP spoofing). Para maiores informações consultar às
RFC's 1825 e 1827.
® Aker Security Solutions
1089
013 - Pacote sem informação de criptografia – Esta mensagem indica que pacote em questão
não veio criptografado e a configuração do fluxo seguro correspondente indica que ele
deveria vir (ver o capítulo intitulado Criando Canais de Criptografia). Isto pode ser causado
por uma configuração errada nos fluxos de criptografia (possivelmente só configurando em
um dos lados da comunicação) ou por uma tentativa de ataque de falsificação de endereços
IP (IP spoofing). Para maiores informações consultar às RFC's 1825 e 1827.
037 - Padding exigido muito grande – Esta mensagem indica que o Firewall calculou um
tamanho de preenchimento para o protocolo ESP maior que o permitido. Provavelmente o
tamanho de bloco do algoritmo de criptografia é demasiado grande.
036 - SA para este pacote não foi negociada – Esta mensagem indica que o Firewall recebeu
um pacote cifrado com criptografia IPSEC para um canal não negociado.
038 - Tamanho de padding decifrado incorreto – Esta mensagem indica que o firewall
decifrou um pacote que dizia ser maior do que efetivamente é, via criptografia IPSEC.
Provavelmente o pacote está corrompido ou houve erros na troca de chaves.
016 - Tipo de encapsulamento do pacote inválido – Esta mensagem indica que o módulo de
criptografia não reconheceu o tipo de encapsulamento usado neste pacote. Isto pode ser
causado por uma falha na decriptação do pacote (devido a senhas erradas) ou por ter sido
usado um tipo de encapsulamento não suportado. O Aker Firewall trabalha exclusivamente
com encapsulamento em modo de túnel, não aceitando outros modos, por exemplo, modo
de transporte.
035 - Tunelamento AH e ESP simultâneos não permitido – Esta mensagem indica que o
Firewall recebeu um pacote cifrado com criptografia IPSEC duplamente tunelado (via ESP e
AH). Isto não é permitido
Outros
023 - Algoritmo de autenticação do SKIP inválido – Esta mensagem indica que o algoritmo
de autenticação especificado no cabeçalho SKIP não é suportado (o Aker Firewall somente
suporta os algoritmos de autenticação MD5 e SHA-1).
026 - Algoritmo de compressão de dados não suportado – Esta mensagem indica que o
algoritmo de compressão de dados especificado no cabeçalho SKIP não é suportado (o Aker
Firewall não suporta nenhum algoritmo de compressão de dados, uma vez que estes ainda
não estão padronizados).
024 - Algoritmo de criptografia do SKIP inválido – Esta mensagem indica que o algoritmo de
criptografia especificado no cabeçalho SKIP não é suportado (o Aker Firewall somente suporta
os algoritmos de criptografia DES, Triplo DES e Blowfish, com 128 e 256 bits de chaves).
Esta mensagem indica que o filtro de pacotes recebeu um pacote cujo endereço de origem é
igual ao endereço destino e cuja porta de origem é igual à porta destino, caracterizando um
ataque deste tipo.
031 - Autenticação de pacote de controle Aker-CDP inválida – Esta mensagem indica que o
Firewall recebeu um pacote de controle do protocolo Aker-CDP com autenticação inválida. A
causa provável é uma modificação do pacote durante o trânsito ou uma possível tentativa de
ataque.
007 - Conexão de controle não está aberta – Esta mensagem indica que o firewall recebeu
um pacote de uma conexão de dados (de algum protocolo que utilize mais de uma conexão,
como por exemplo, o FTP e o Real Áudio/Real Vídeo) e a conexão de controle correspondente
não estava aberta.
004 - Conexão não consta na tabela dinâmica – Esta mensagem indica que o firewall recebeu
um pacote TCP que não era de abertura de conexão e estava endereçado para uma conexão
não aberta. Isto pode ser causado por um ataque ou simplesmente por uma conexão que
ficou inativa por um tempo superior ao tempo limite para conexões TCP.
015 - Decriptação do pacote apresentou erro – Esta mensagem indica que o módulo de
criptografia, após desencriptar o pacote e realizar os testes de consistência no mesmo,
detectou que o mesmo é inválido. Isto provavelmente é causado por uma configuração errada
da tabela de criptografia ou por um possível ataque de falsificação de endereços IP (IP
spoofing).
041 - Final de Conexão – Esta mensagem é apenas um registro de final de conexão e não deve
aparecer normalmente no log do firewall
008 - Flags TCP do pacote são inválidos – Esta mensagem indica que o Firewall recebeu um
pacote TCP cujos flags estavam inválidos ou contraditórios (por exemplo, SYN e FIN no mesmo
pacote). Isto pode caracterizar um ataque ou uma implementação de TCP/IP defeituosa.
028 - Identificador de espaço de nome de destino inválido – O protocolo SKIP permite que
sejam utilizados outros espaços de nomes, que não endereços IP, para selecionar a associação
de segurança correspondente (SA). O espaço de nome pode ser especificado para a origem
e/ou para o destino. Esta mensagem indica que o espaço de nome de destino não é suportado
(o Aker Firewall somente suporta endereços IP como espaço de nome).
027 - Identificador de espaço de nome de origem inválido – O protocolo SKIP permite que
sejam utilizados outros espaços de nomes, que não endereços IP, para selecionar a associação
de segurança correspondente (SA). O espaço de nome pode ser especificado para a origem
e/ou para o destino. Esta mensagem indica que o espaço de nome de origem não é suportado
(o Aker Firewall somente suporta endereços IP como espaço de nome).
009 - Número de sequência do pacote TCP inválido – Esta mensagem indica que o Firewall
recebeu um pacote TCP cujo número de sequência estava fora dos valores esperados. Isto
pode caracterizar um ataque.
002 - Pacote IP direcionado – Esta mensagem indica que filtro de pacotes recebeu um pacote
IP com uma das seguintes opções: Record Route, Loose Routing ou Strict Routing e ele foi
configurado de modo a não aceitar pacotes IP direcionados. Para maiores informações veja
RFC 791.
033 - Pacote descartado por uma regra de bloqueio IDS – Esta mensagem indica que o
Firewall recebeu um pacote que se enquadrou em uma regra temporária acrescentada pelo
agente de detecção de intrusão e devido a isso, foi descartado (para maiores informações
veja o capítulo intitulado Configurando o IPS/IDS).
005 - Pacote proveniente de interface inválida – Esta mensagem indica que o filtro de pacotes
recebeu um pacote IP proveniente de uma interface diferente da especificada na regra de
filtragem na qual ele se encaixou. Isto pode ser causado por um ataque de falsificação de
endereços IP (IP spoofing) ou por uma configuração errada de uma regra de filtragem.
006 - Pacote proveniente de interface não determinada – Esta mensagem indica que o filtro
de pacotes recebeu um pacote, mas não conseguiu determinar a interface de origem do
mesmo. Como na regra de filtragem correspondente, está especificada uma interface, o
pacote foi rejeitado. Esta mensagem provavelmente nunca será mostrada.
017 - Pacote sem informações de SKIP – Esta mensagem indica que o pacote em questão não
veio com um header SKIP e a configuração do fluxo seguro correspondente indica que ele
deveria vir. Isto provavelmente é causado por uma configuração errada na tabela de
criptografia onde um dos lados está configurado para usar SKIP ou Aker-CDP e o outro não
(ver o capítulo intitulado Criando Canais de Criptografia).
010 - Possível ataque de SYN Flood – Esta mensagem é gerada pelo Firewall todas as vezes
que uma conexão é iniciada para um dos endereços protegidos contra SYN flood e a conexão
® Aker Security Solutions
1092
não foi realizada dentro do prazo máximo estabelecido pelo administrador. Se esta
mensagem ocorrer isoladamente, ou com pouca incidência, então provavelmente o intervalo
de tempo configurado na proteção contra SYN flood (ver o capítulo de Proteção contra SYN
Flood) está muito pequeno. Caso ela apareça várias vezes seguidamente, provavelmente um
ataque de SYN flood foi repelido pelo Firewall.
001 - Possível ataque de fragmentação – Esta mensagem indica que o filtro de pacotes
recebeu um pacote TCP fragmentado no header TCP, possivelmente originado de uma
tentativa de um ataque de fragmentação como Teardrop ou Ping da Morte (PoD). Para
maiores informações veja RFC 1858.
022 - Próximo protocolo do cabeçalho SKIP inválido – Esta mensagem indica que o protocolo
seguinte ao cabeçalho SKIP do pacote em questão não é suportado (o Aker Firewall exige que
após o cabeçalho SKIP venha o cabeçalho de autenticação).
018 - SA para o pacote não contém informações SKIP – Esta mensagem indica que o módulo
de criptografia recebeu um pacote com um header SKIP e a associação de segurança (SA)
correspondente não possui informações sobre SKIP (ver o capítulo intitulado Criando Canais
de Criptografia). Isto provavelmente é causado por uma configuração errada na tabela de
criptografia onde possivelmente um dos lados está configurado para usar SKIP ou Aker-CDP e
o outro não.
021 - SPI inválido para autenticação com SKIP – Esta mensagem indica que foi recebido um
pacote SKIP cujo número de SPI especificado no cabeçalho de autenticação era inválido (o
protocolo SKIP exige que o número do SPI utilizado seja 1).
030 - Tamanho do pacote para protocolo Aker-CDP inválido – Esta mensagem indica que o
Firewall recebeu um pacote do protocolo Aker-CDP com tamanho inválido.
043 - Tempo limite de conexão atingido – Esta mensagem ocorre durante a filtragem dos
pacotes, informa que uma conexão foi retirada da tabela de conexões, pois o seu tempo limite
de ociosidade foi atingido.
020 - Valor do contador do protocolo SKIP inválido – O protocolo SKIP envia em cada pacote
um contador, que é incrementado de hora em hora, com o objetivo de evitar ataques de
repetição de sequência. Esta mensagem indica que o contador recebido no pacote em
questão é inválido. Isto pode ter duas causas distintas: ou relógio interno dos dois firewalls
se comunicando está defasado em mais de uma hora ou ocorreu uma tentativa de ataques
de repetição de sequência.
029 - Versão do protocolo Aker-CDP inválida – Esta mensagem indica que o Firewall recebeu
um pacote do protocolo Aker-CDP com versão inválida.
019 - Versão do protocolo SKIP inválida – Esta mensagem indica que a versão do protocolo
SKIP indicada no pacote em questão é diferente da versão suportada. O Aker Firewall
implementa a versão 1 do protocolo SKIP.
Acesso no console
220 - Erro executando shell – Esta mensagem informa que um erro grave de configuração foi
encontrado que impede o login no console do Firewall Box. Contate o suporte técnico de seu
revendedor.
221 - Erro lendo licença – Esta mensagem indica que as informações de licença do Firewall
estão com algum problema sério que impedem sua leitura. Reinsira a chave de ativação no
Firewall.
224 - Login no console efetuado – Esta mensagem registra o fato de algum operador ter
efetuado login no console do Firewall Box.
223 - Sistema com defeito irremediável. Contate o revendedor – Esta mensagem informa
que um erro grave de configuração foi encontrado que impede o login no console do Firewall
Box. Contate o suporte técnico de seu revendedor.
222 - Tentativa de login inválida: senha incorreta – Esta mensagem indica que alguém tentou
efetuar login no console do Firewall Box, mas não tinha a senha correta.
313 - Aviso importante do Web Content Analyzer – Esta é uma mensagem com prioridade
de aviso gerada pelo Aker Web Content Analyzer. Verifique os complementos para maiores
informações
312 - Informação do Web Content Analyzer – Esta é uma mensagem com prioridade de
informação gerada pelo Aker Web Content Analyzer. Verifique os complementos para
maiores informações.
314 - Mensagem de alerta do Web Content Analyzer – Esta é uma mensagem com prioridade
de alerta gerada pelo Aker Web Content Analyzer. Verifique os complementos para maiores
informações.
311 - Mensagem de debug do Web Content Analyzer – Esta é uma mensagem com prioridade
de depuração gerada pelo Aker Web Content Analyzer. Verifique os complementos para
maiores informações.
315 - O Web Content Analyzer encontrou um erro – Esta é uma mensagem com prioridade
de erro gerada pelo Aker Web Content Analyzer. Verifique os complementos para maiores
informações.
303 - Aviso importante do Antivírus – Esta é uma mensagem com prioridade de aviso gerada
pelo antivírus. Verifique os complementos para maiores informações.
302 - Informação do Antivírus – Esta é uma mensagem com prioridade de informação gerada
pelo antivírus. Verifique os complementos para maiores informações.
304 - Mensagem de alerta do Antivírus – Esta é uma mensagem com prioridade de alerta
gerada pelo antivírus. Verifique os complementos para maiores informações.
305 - O Antivírus encontrou um erro - Esta é uma mensagem com prioridade de erro gerada
pelo antivírus. Verifique os complementos para maiores informações.
Autenticação/Criptografia
142 - Erro ao carregar algoritmo de criptografia – O Aker Firewall pode trabalhar com
algoritmos de criptografia desenvolvidos por terceiros, chamados de algoritmos externos.
Esta mensagem indica que o servidor de criptografia para clientes não conseguiu carregar um
destes algoritmos de criptografia externos. Isto é causado por uma falha de implementação
do algoritmo.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
141 - Erro de comunicação com cliente de criptografia – Esta mensagem, que pode ter várias
causas, indica que o servidor de criptografia para clientes recebeu um pacote criptografado
inválido de um Cliente de Criptografia Aker.
151 - Número de processos excessivos no sistema – Esta mensagem indica que algum dos
módulos externos do firewall, ao tentar criar uma nova instância de si próprio para tratar uma
conexão, detectou que o número de processos executando no sistema está próximo do limite
máximo permitido. Diante disso, a criação do novo processo foi cancelada e a conexão que
deveria ser tratada pelo novo processo foi abortada.
140 - Sessão de criptografia com cliente finalizada – Esta mensagem indica que um cliente
finalizou uma sessão criptografada. A mensagem complementar indica a máquina de origem
da conexão.
Carregar
062 - Dados inválidos recebidos pela carga do Firewall – Esta mensagem indica que foram
enviados dados inválidos para os módulos do Firewall que rodam dentro do kernel do
FreeBSD ou Linux. Os dados inválidos devem necessariamente ter sido produzidos por um
programa rodando na máquina do firewall.
Solução: Procure verificar qual programa produz esta mensagem ao ser executado e não
execute-o mais.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
187 - Usuário sem direito de acesso – Esta mensagem indica que o usuário tentou realizar
uma operação que não lhe era permitida.
Solução: Esta mensagem não deve ser mostrada em condições normais de funcionamento do
Aker Firewall. Se ela aparecer, contate o suporte técnico.
Certificado do servidor
134 - Certificado inválido recebido – Esta mensagem indica que o servidor de certificados do
firewall recebeu um certificado inválido. Isso pode ter uma das seguintes causas:
As mensagens complementares indicam qual destes possíveis erros ocorreu e qual firewall
emitiu o certificado inválido
135 - Certificado recebido e validado corretamente – Esta mensagem indica que o servidor
de certificados do firewall recebeu um certificado de negociação ou revogação válido. As
mensagens complementares indicam que tipo de certificado foi recebido e qual firewall o
emitiu.
133 - Erro ao carregar certificados – Esta mensagem indica que o firewall não conseguiu
carregar alguma lista de certificados de criptografia.
070 - Erro ao carregar tabela de criptografia – Esta mensagem indica que um dos servidores
do firewall não conseguiu carregar a tabela de criptografia.
109 - Erro ao comunicar com servidor de autenticação – Esta mensagem indica que um dos
proxies não conseguiu se comunicar com o servidor de autenticação quando tentou realizar
a autenticação de um usuário. Devido a isso, o usuário não foi autorizado a continuar e a sua
conexão foi recusada.
#ps -ax | grep fwauthd | grep -v grep. Caso o processo não apareça, execute-o com o
comando /etc/firewall/fwauthd. Se o processo estiver ativo ou se este problema voltar a
ocorrer, contate o suporte técnico.
067 - Erro ao criar socket de conexão – Esta mensagem indica que algum dos módulos
externos tentou criar um socket e não conseguiu.
Solução: Verifique o número de arquivos que podem ser abertos por um processo e o número
total para o sistema. Se necessário aumente estes valores. Para maiores informações de como
fazer isso, contate o suporte técnico.
131 - Erro ao enviar dados para o kernel do Firewall – Esta mensagem indica que algum dos
módulos externos tentou enviar informações para os módulos do firewall que rodam dentro
do kernel e não conseguiu. Se existir uma mensagem complementar entre parênteses, esta
indicará quais informações estavam sendo enviadas.
Solução: Verifique se o módulo do Aker Firewall está carregado no kernel. No FreeBSD utilize
o comando kldstat e no Linux o comando lsmod. Em ambos os casos deverá aparecer um
módulo com o nome aker_firewall_mod.
132 - Erro ao salvar certificados – Esta mensagem indica que o firewall não conseguiu salvar
alguma lista de certificados de criptografia no disco.
Solução: Verifique se o existe espaço disponível no diretório '/' do firewall. Isto pode ser
realizado por meio do comando "$df -k". Se este comando mostrar o diretório '/' com 100%
de espaço utilizado, então é isto a causa do problema. Caso exista espaço disponível e ainda
assim este erro apareça, consulte o suporte técnico.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
139 - Sessão de criptografia com cliente estabelecida – Esta mensagem é gerada pelo
servidor de certificados quando um usuário consegue se autenticar corretamente em um
cliente de criptografia e iniciar uma sessão. Nas mensagens complementares é mostrado o
login do usuário que estabeleceu a sessão e os endereços da máquina de origem e destino (o
destino é o endereço da máquina atrás do firewall com a qual o cliente se comunicou
inicialmente).
138 - Usuário não cadastrado para criptografia – Esta mensagem só é mostrada quando a
autenticação de usuários para clientes de criptografia está ativa e indica que um usuário não
cadastrado em nenhum autenticador tentou estabelecer uma sessão de criptografia com o
firewall. A mensagem complementar mostra os endereços da máquina de origem e destino
(o destino é o endereço da máquina atrás do firewall com a qual o cliente tentou se
comunicar).
Cluster cooperativo
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
Controle de QoS
217 - Pedido de fluxo inexistente – Esta mensagem indica que uma inconsistência interna
ocorreu, de forma que um fluxo de dados para controle de banda (QoS), não foi encontrado
218 -Pedido de pipe inexistente – Esta mensagem indica que uma inconsistência interna
ocorreu, de forma que um pipe para controle de banda (QoS), não foi encontrado.
131 - Erro ao enviar dados para o kernel do Firewall – Esta mensagem indica que algum dos
módulos externos tentou enviar informações para os módulos do firewall que rodam dentro
do kernel e não conseguiu. Se existir uma mensagem complementar entre parênteses, esta
indicará quais informações estavam sendo enviadas.
Solução: Verifique se o módulo do Aker Firewall está carregado no kernel. No FreeBSD utilize
o comando kldstat e no Linux o comando lsmod. Em ambos os casos deverá aparecer um
módulo com o nome aker_firewall_mod.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
152 - Máquina de conversão 1-N fora do ar – Essa mensagem indica que uma das máquinas
participantes de uma conversão 1-N (balanceamento de canal) se encontra fora do ar. A
mensagem complementar mostra o endereço IP da máquina em questão.
153 - Máquina de conversão 1-N operacional – Essa mensagem indica que uma das máquinas
participantes de uma conversão 1-N (balanceamento de canal) que se encontrava fora do ar
voltou a funcionar normalmente. A mensagem complementar mostra o endereço IP da
máquina em questão.
058 - Tabela de conversão UDP cheia – A tabela de conversão de endereços UDP encheu. A
única solução para esse problema é diminuir o Tempo limite UDP nos parâmetros de
configuração. Para maiores informações veja o capítulo Configurando os parâmetros do
sistema.
Criptografia IPSEC
191 - Algoritmo de criptografia especificado não implementado – Esta mensagem indica que
foi negociado um canal de criptografia com um algoritmo não implementado. Escolha outros
algoritmos (veja seção Configurando canais Firewall-Firewall).
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
192 - Falhou a expansão de chave criptográfica – Esta mensagem indica que o módulo IPSEC
teve dificuldades em tratar a chave negociada para um canal criptográfico. Esta situação é
anômala e não deve acontecer. Por favor contate o suporte técnico se o Firewall gerar esta
mensagem.
194 - Falhou ao inserir SA no kernel – Esta mensagem indica que foi negociado um canal que
já não existe mais. Para solucionar o problema, recrie o canal, ou aguarde até que todos os
módulos do Firewall saibam da não existência deste canal.
193 - Kernel repassou pacote inválido – Esta mensagem indica que o sistema operacional
passou um pacote incorreto para o Firewall. Ela ocorre apenas no sistema operacional Linux.
189 - Muitas negociações pendentes – Esta mensagem indica que o kernel não está
conseguindo pedir que o daemon de negociações de chave estabeleça um canal. Esta situação
é anômala e não deve acontecer. Contate o suporte técnico se o Firewall gerar esta
mensagem.
190 - SA não tem tipo IPSEC – Esta mensagem indica que foi tentada a configuração de um
canal não IPSEC pelo módulo IPSEC. Esta situação é anômala e não deve acontecer. Por favor
contate o suporte técnico se o Firewall gerar esta mensagem.
Daemon CLR
® Aker Security Solutions
1101
150 - Erro ao baixar CRL – Essa mensagem indica que o firewall não conseguiu baixar a lista
de certificados revogados (CRL) de uma autoridade certificadora. As mensagens
complementares mostram a razão pela qual não foi possível baixar a lista e a URL da qual se
tentou baixá-la.
065 - Erro ao carregar entidades – Esta mensagem indica que algum processo servidor do
firewall não conseguiu carregar a lista de entidades cadastradas no sistema.
067 - Erro ao criar socket de conexão – Esta mensagem indica que algum dos módulos
externos tentou criar um socket e não conseguiu.
Solução: Verifique o número de arquivos que podem ser abertos por um processo e o número
total para o sistema. Se necessário aumente estes valores. Para maiores informações de como
fazer isso, contate o suporte técnico.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
360 - Autenticação para conexão PPTP aceita – Evento gerado quando uma conexão PPTP foi
realizada com sucesso.
361 - Autenticação para conexão PPTP rejeitada – Evento gerado quando uma conexão PPTP
foi rejeitada por falha no logon.
363 - Conexão PPTP encerrada – Evento gerado quando uma conexão PPTP foi finalizada.
362 - Conexão PPTP estabelecida – Evento gerado quando uma conexão PPTP foi realizada
com sucesso.
264 - Conexão teve canal alterado – Esta mensagem indica que uma conexão teve à sua
definição de canal alterada devido a aplicação de uma regra de filtragem de aplicativos.
296 - Download das atualizações dos filtros completo – Esta mensagem indica que o firewall
conseguiu baixar uma nova atualização das assinaturas de IDS ou da Filtragem de Aplicativos.
064 - Erro ao carregar perfis de acesso – Esta mensagem indica que o servidor de
autenticação ou o servidor de login de usuários não conseguiu carregar a lista de perfis de
acesso cadastrados no sistema.
244 - Erro ao enviar arquivo ao cluster – Esta mensagem indica que o firewall servidor do
cluster não está conseguindo enviar arquivo ao cluster. Verifique o segmento de rede de troca
informação dos firewalls cooperativos.
131 - Erro ao enviar dados para o kernel do Firewall – Esta mensagem indica que algum dos
módulos externos tentou enviar informações para os módulos do firewall que rodam dentro
do kernel e não conseguiu. Se existir uma mensagem complementar entre parênteses, esta
indicará quais informações estavam sendo enviadas.
Solução: Verifique se o módulo do Aker Firewall está carregado no kernel. No FreeBSD utilize
o comando kldstat e no Linux o comando lsmod. Em ambos os casos deverá aparecer um
módulo com o nome aker_firewall_mod.
243 - Erro ao replicar estado do cluster – Esta mensagem indica que o firewall servidor do
cluster não está conseguindo replicar o estado do cluster para os outros firewalls. Verifique o
segmento de rede de troca informação dos firewalls cooperativos.
272 - Erro carregando regras de IDS/IPS – Esta mensagem indica que o firewall detectou um
erro ao carregar as regras de IDS/IPS. Ela não deve ocorrer nunca em condições normais. Caso
ocorra, deve-se contatar o suporte técnico.
270 - Erro carregando regras globais de filtragem de aplicativos – Esta mensagem indica que
o firewall detectou um erro ao carregar as regras globais de filtragem de aplicativos. Ela não
deve ocorrer nunca em condições normais. Caso ocorra, deve-se contatar o suporte técnico.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
271 - Erro expandindo regras de IDS/IPS – Esta mensagem indica que o firewall detectou um
erro ao expandir as regras de IDS/IPS. Ela não deve ocorrer nunca em condições normais. Caso
ocorra, deve-se contatar o suporte técnico.
269 - Erro expandindo regras de filtragem de aplicativos – Esta mensagem indica que o
firewall detectou um erro ao expandir as regras de filtragem de aplicativos. Ela não deve
ocorrer nunca em condições normais. Caso ocorra, deve-se contatar o suporte técnico.
295 - Erro fazendo download das atualizações dos filtros – Esta mensagem indica que
ocorreu um erro quando o firewall tentou fazer o download das novas assinaturas de IDS e/ou
da Filtragem de aplicativos. Verifique o complemento para maiores informações.
294 - Erro obtendo data de expiração do IDS – Não foi possível ler a data de expiração de
uma base IDS em disco. Provável base corrompida.
266 - Erro recebendo pacote do Kernel – Esta mensagem é gerada quando o módulo de
filtragem de aplicativos não conseguir ler os pacotes enviados pelo kernel do firewall. Ela não
deve ocorrer nunca em condições normais. Caso ocorra, deve-se contatar o suporte técnico.
268 - Pacote truncado recebido do kernel – Esta mensagem é gerada quando o módulo de
filtragem de aplicativos leu um pacote de tamanho inválido enviado pelo kernel do firewall.
Ela não deve ocorrer nunca em condições normais. Caso ocorra, deve-se contatar o suporte
técnico.
267 - Pacotes perdidos na análise - sistema possivelmente lento – Esta mensagem indica que
o módulo de análise de aplicativos não conseguiu tratar em tempo hábil todos os pacotes que
deveria a fim de verificar todas as regras de filtragem de aplicativos configuradas no firewall.
Possíveis ações que podem ser realizadas pelo administrador são:
Verificar se algum dos filtros está com profundidade de pesquisa muito grande. Se
tiver, tentar diminuir ao máximo este valor;
Não usar regras do tipo: procurar MP3 em todos os serviços. Utilizar somente nos
serviços nos quais este tipo de arquivo possa trafegar nos protocolos: FTP, HTTP,
SMTP, etc.
Não colocar regras Internet - Internet. Sempre que possível utilizar regras do tipo
origem Rede Interna, destino Internet ou vice-versa.
Não verificar arquivos e protocolos da Rede Interna para a DMZ.
114 - Regra de bloqueio temporária acrescentada – Esta mensagem indica que uma regra de
bloqueio temporária foi inserida no firewall. Como dados complementares são mostrados o
módulo que inseriu a regra temporária (IDS, Portscan, etc) e no caso do IDS interno, a razão
pela qual a máquina foi bloqueada.
219 - Apagando registros do sistema de log – Esta mensagem indica que os registros do
sistema de log foram apagados. A mensagem complementar entre parênteses informa se
foram apagados logs, estatísticas ou eventos.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
210 - Erro lendo arquivo de configuração de estatísticas – Esta mensagem indica que houve
um problema ao ler o arquivo de configuração de estatísticas. A solução é restaurá-lo ou
removê-lo e criar as configurações novamente. Veja a seção Arquivos do Sistema.
211 - Erro lendo tabela de entidades – Esta mensagem indica que o módulo gerador de
estatísticas do Firewall não conseguiu ler a tabela de entidades do sistema.
214 - Erro recebendo estatísticas do kernel – Esta mensagem indica que o módulo gerador
de estatísticas do Firewall teve problemas ao ler os dados necessários ao seu cálculo dos
módulos que executam dentro do kernel do sistema operacional
215 - Erro salvando estatísticas do kernel – Esta mensagem indica que o módulo gerador de
estatísticas do Firewall teve problemas ao armazenar os dados coletados (ou enviá-los ao
servidor de log remoto). Se o log for local, verifique a possibilidade de o disco estar cheio. Se
for remoto, verifique a correta conexão com o servidor de log remoto
212 - Não encontrou entidade acumulador – Esta mensagem indica que o módulo gerador
de estatísticas do Firewall encontrou uma inconsistência em sua configuração, isto é, uma
estatística que referencia um acumulador inexistente. A mensagem complementar entre
parênteses indica qual a entidade em questão.
187 - Usuário sem direito de acesso – Esta mensagem indica que o usuário tentou realizar
uma operação que não lhe era permitida.
251 - Host não respondeu e foi marcado como inativo – Esta mensagem indica que a máquina
de teste do balanceamento de link está fora ar ou não foi possível a sua verificação. Para
maiores informações consulte o capítulo intitulado Configurando a Conversão de Endereços.
250 - Host respondeu e foi marcado como ativo – Esta mensagem indica que a máquina de
teste do balanceamento de link está no ar. Para maiores informações consulte o capítulo
intitulado Configurando a Conversão de Endereços.
252 - Link foi marcado como ativo – Esta mensagem indica que o balanceamento de link está
no ar. Para maiores informações consulte o capítulo intitulado Configurando a Conversão de
Endereços.
253 - Link foi marcado como inativo – Esta mensagem indica que o balanceamento de link
está fora do ar. Para maiores informações consulte o capítulo intitulado Configurando a
Conversão de Endereços.
Daemon de Quotas
065 - Erro ao carregar entidades – Esta mensagem indica que algum processo servidor do
firewall não conseguiu carregar a lista de entidades cadastradas no sistema.
261 - Erro ao criar processo – Esta mensagem indica que o firewall tentou criar um novo
processo para cuidar de uma determinada tarefa e não conseguiu. Possíveis causas de erro
são memória insuficiente no firewall ou número de processos ativos excessivamente altos.
263 - Processo foi interrompido – Esta mensagem indica que o processo de monitoramento
do firewall detectou que um processo crítico do sistema não estava mais rodando. Se esta
mensagem aparecer frequentemente, é necessário contatar o suporte técnico para
determinar a causa do problema.
317 - Relatório gerado e publicado com sucesso – Esta mensagem indica que um relatório
que estava agendado foi gerado e publicado com sucesso pelo firewall.
Daemon IPSEC-IKE
201 - Algoritmo criptográfico não suportado – Esta mensagem indica que um outro Firewall
(ou qualquer equipamento que suporte IPSEC) tentou estabelecer um canal criptográfico com
um algoritmo de cifração não suportado pelo Aker Firewall. Escolha outros algoritmos (veja
seção Configurando canais Firewall-Firewall).
198 - Erro comunicando com o kernel – Esta mensagem indica que o daemon de negociação
de chaves IPSEC (fwiked) não está conseguindo se comunicar com os módulos do Firewall que
executam dentro do kernel do sistema operacional.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
206 - Erro enviando mudança de estado ao cluster – Esta mensagem indica que houve um
erro quando enviando mudança do estado do cluster dentro do trabalho cooperativo.
Verifique o segmento de rede onde estão instalados os firewalls.
202 - Erro enviando regra de IKE ao filtro de pacotes – Esta mensagem indica que o daemon
de negociação de chaves IPSEC (fwiked) não está conseguindo se comunicar com os módulos
205 - Erro lendo mudança de estado do cluster – Esta mensagem indica que houve um erro
quando da leitura do estado do cluster dentro do trabalho cooperativo. Verifique o segmento
de rede onde estão instalados os firewalls.
197 - Erro processando configuração – Esta mensagem indica que ocorreu um erro interno
grave no daemon de negociação de chaves IPSEC (fwiked). Esta situação é anômala e não deve
acontecer. Por favor contate o suporte técnico se o Firewall gerar esta mensagem.
195 - Estabelecendo VPN IPSEC para o tráfego – Esta mensagem indica que o daemon de
negociação de chaves IPSEC (fwiked) iniciou o estabelecimento de um canal, por necessidade
imediata de seu uso.
204 - Negociação de IKE falhou (olhar mensagens complementares) – Esta mensagem indica
que houve um problema durante a negociação de chaves IPSEC. Verifique as mensagens
complementares para obter mais detalhes.
203 - Sucesso ativando a SA negociada – Esta mensagem indica que o daemon de negociação
de chaves IPSEC (fwiked) estabeleceu e instalou nos demais módulos do Firewall um canal de
criptografia IPSEC corretamente.
200 - Tentou instalar uma SA não negociada – Esta mensagem indica que o daemon de
negociação de chaves IPSEC (fwiked) encontrou um erro grave de consistência interna. Esta
situação é anômala e não deve acontecer. Por favor contate o suporte técnico se o Firewall
gerar esta mensagem.
196 - Fwiked falhou ao iniciar – Esta mensagem indica que o daemon de negociação de
chaves IPSEC (fwiked) não conseguiu ler suas configurações. Recrie as configurações de
criptografia para solucionar o problema (veja seção Configurando canais Firewall-Firewall).
Daemons do firewall
166 - Alteração da configuração de SNMP – Esta mensagem indica que o administrador que
estava com a sessão de administração aberta alterou os parâmetros de configuração do
agente SNMP
162 - Alteração de conversão – Esta mensagem indica que o administrador que estava com a
sessão de administração aberta alterou algum parâmetro da conversão de endereços ou a
tabela de conversão de servidores. A mensagem complementar indica exatamente o que foi
alterado.
168 - Alteração da lista de controle de acesso – Esta mensagem indica que o administrador
que estava com a sessão de administração aberta alterou a lista de controles de acesso.
163 - Alteração da tabela de criptografia – Esta mensagem indica que o administrador que
estava com a sessão de administração aberta alterou a tabela de criptografia do firewall.
161 - Alteração das regras de filtragem – Esta mensagem indica que o administrador que
estava com a sessão de administração aberta alterou a tabela de regras de filtragem do
firewall.
165 - Alteração de contextos – Esta mensagem indica que o administrador que estava com a
sessão de administração aberta alterou contextos de um dos proxies transparentes do
Firewall. A mensagem complementar indica qual o proxy que teve seus contextos
modificados.
170 - Alteração de entidades – Esta mensagem indica que o administrador que estava com a
sessão de administração aberta alterou a lista de entidades do sistema.
160 - Alteração de parâmetro – Esta mensagem indica que o administrador que estava com
a sessão de administração aberta alterou algum parâmetro de configuração do sistema. A
mensagem complementar indica o nome do parâmetro que foi alterado.
171 - Alteração de parâmetros WWW – Esta mensagem indica que o administrador que
estava com a sessão de administração aberta alterou os parâmetros WWW.
167 - Alteração dos perfis de acesso – Esta mensagem indica que o administrador que estava
com a sessão de administração aberta alterou a lista de perfis de acesso
164 - Alteração na configuração de SYN Flood – Esta mensagem indica que o administrador
que estava com a sessão de administração aberta alterou algum parâmetro da proteção
contra SYN Flood. A mensagem complementar indica exatamente o que foi alterado.
® Aker Security Solutions
1109
178 - Alteração na data/hora do firewall – Esta mensagem indica que o administrador que
estava com a sessão de administração aberta alterou a data e/ou à hora do firewall.
180 - Alteração nos certificados – Esta mensagem indica que o administrador que estava com
a sessão de administração aberta alterou a lista de certificados das entidades certificadoras
ou de revogação do firewall.
179 - Carga do certificado de negociação local – Esta mensagem indica que o administrador
que estava com a sessão de administração aberta carregou ou alterou o certificado de
negociação local do firewall.
065 - Erro ao carregar entidades – Esta mensagem indica que algum processo servidor do
firewall não conseguiu carregar a lista de entidades cadastradas no sistema.
109 - Erro ao comunicar com servidor de autenticação – Esta mensagem indica que um dos
proxies não conseguiu se comunicar com o servidor de autenticação quando tentou realizar
a autenticação de um usuário. Devido a isso, o usuário não foi autorizado a continuar e a sua
conexão foi recusada.
Solução: Verifique se o processo do servidor de autenticação está ativo no firewall. Para fazer
isso, execute o comando
261 - Erro ao criar processo – Esta mensagem indica que o firewall tentou criar um novo
processo para cuidar de uma determinada tarefa e não conseguiu. Possíveis causas de erro
são memória insuficiente no firewall ou número de processos ativos excessivamente alto.
131 - Erro ao enviar dados para o kernel do Firewall – Esta mensagem indica que algum dos
módulos externos tentou enviar informações para os módulos do firewall que rodam dentro
do kernel e não conseguiu. Se existir uma mensagem complementar entre parênteses, esta
indicará quais informações estavam sendo enviadas.
Solução: Verifique se o módulo do Aker Firewall está carregado no kernel. No FreeBSD utilize
o comando kldstat e no Linux o comando lsmod. Em ambos os casos deverá aparecer um
módulo com o nome aker_firewall_mod.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
186 - Erro na operação anterior – Esta mensagem indica que a última operação executada
pelo servidor de comunicação remota não foi executada com sucesso.
Solução: Verifique se o existe espaço disponível no diretório '/' do firewall. Isto pode ser
realizado por meio do comando "$df -k". Se este comando mostrar o diretório '/' com 100%
de espaço utilizado, então é isto a causa do problema. Caso exista espaço disponível e ainda
assim este erro apareça, consulte o suporte técnico.
351 - Excesso de tentativas inválidas. IP bloqueado – Por padrão, o firewall bloqueia durante
cinco minutos todas tentativas de conexão de um determinado IP caso ele possua três
tentativas consecutivas inválidas. O complemento dessa mensagem é o IP que foi bloqueado.
159 - Firewall sendo administrado por outro usuário – Esta mensagem indica que um usuário
conseguiu se autenticar corretamente para estabelecer uma sessão de administração remota,
porém já existia um outro usuário com uma sessão aberta para a mesma máquina e por isso
a conexão foi recusada. A mensagem complementar indica qual o usuário que teve sua sessão
recusada.
176 - Operação sobre o arquivo de eventos – Esta mensagem indica que o administrador que
estava com a sessão de administração aberta realizou uma operação sobre o arquivo de
eventos. As operações possíveis são Compactar e Apagar. A mensagem complementar indica
qual destas operações foi executada.
175 - Operação sobre o arquivo de log – Esta mensagem indica que o administrador que
estava com a sessão de administração aberta realizou uma operação sobre o arquivo de log.
As operações possíveis são Compactar e Apagar. A mensagem complementar indica qual
destas operações foi executada.
177 - Operação sobre o arquivo de usuário – Esta mensagem indica que o administrador que
estava com a sessão de administração aberta realizou uma operação sobre o arquivo de
usuários. As operações possíveis são Incluir, Excluir e Alterar. A mensagem complementar
indica qual destas operações foi executada e sobre qual usuário
188 - Pacote não reconhecido – Esta mensagem indica que o servidor de comunicação do
firewall recebeu uma requisição de serviço desconhecida.
263 - Processo foi interrompido – Esta mensagem indica que o processo de monitoramento
do firewall detectou que um processo crítico do sistema não estava mais rodando. Se esta
® Aker Security Solutions
1111
mensagem aparecer frequentemente, é necessário contatar o suporte técnico para
determinar a causa do problema.
184 - Queda de sessão de administração por erro – Esta mensagem indica que a sessão de
administração que estava ativa foi interrompida devido a um erro de protocolo de
comunicação.
185 - Queda de sessão de administração por inatividade – Quando uma interface remota
estabelece uma conexão de administração, ela passa a enviar periodicamente pacotes para o
firewall indicando que ela continua ativa. Estes pacotes são enviados mesmo que usuário não
execute nenhuma operação.
Esta mensagem indica que a sessão de administração que estava ativa foi interrompida
devido a um tempo limite ter sido atingido, sem o servidor ter recebido nenhum pacote da
interface remota. A sua causa mais provável é uma queda na máquina que rodava a Interface
Remota ou uma queda na rede.
173 - Remoção de conexão ativa – Esta mensagem indica que o administrador que estava
com a sessão de administração aberta removeu uma das conexões ativas. A mensagem
complementar indica se a conexão removida era TCP ou UDP
174 - Remoção de sessão de usuário ativa – Esta mensagem indica que o administrador que
estava com a sessão de administração aberta removeu uma das sessões de usuários que
estavam logados no firewall por meio do Cliente de Autenticação Aker.
Os direitos do usuário são representados por meio de três siglas independentes. Caso o
usuário possua um determinado direito será mostrada a sigla correspondente a ele, caso
contrário será mostrado o valor "--". As siglas e seus significados são os seguintes:
CF - Configura Firewall
CL - Configura Log
GU - Gerencia usuários
187 - Usuário sem direito de acesso – Esta mensagem indica que o usuário tentou realizar
uma operação que não lhe era permitida.
Solução: Esta mensagem não deve ser mostrada em condições normais de funcionamento do
Aker Firewall. Se ela aparecer, contate o suporte técnico.
344 - Versão não suportada do Web Content Analyzer – Não é mais utilizado.
Filtro de pacote
055 - Aker Firewall 6.5 – Inicialização completa – Esta mensagem tem caráter puramente
informativo, servindo para determinar os horários que o Firewall entrou em funcionamento.
Ela será produzida a cada reinicialização da máquina.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
IDS
112 - Erro ao conectar com agente IDS – Esta mensagem indica que o firewall não conseguiu
se conectar ao agente IDS que estaria rodando em uma determinada máquina. A mensagem
complementar indica o nome do agente IDS que não pode ser conectado e o endereço IP que
ele supostamente estaria rodando.
067 - Erro ao criar socket de conexão – Esta mensagem indica que algum dos módulos
externos tentou criar um socket e não conseguiu.
Solução: Verifique o número de arquivos que podem ser abertos por um processo e o número
total para o sistema. Se necessário aumente estes valores. Para maiores informações de como
fazer isso, contate o suporte técnico.
131 - Erro ao enviar dados para o kernel do Firewall – Esta mensagem indica que algum dos
módulos externos tentou enviar informações para os módulos do firewall que rodam dentro
do kernel e não conseguiu. Se existir uma mensagem complementar entre parênteses, esta
indicará quais informações estavam sendo enviadas.
Solução: Verifique se o módulo do Aker Firewall está carregado no kernel. No FreeBSD utilize
o comando kldstat e no Linux o comando lsmod. Em ambos os casos deverá aparecer um
módulo com o nome aker_firewall_mod.
063 - Erro ao ler o arquivo de parâmetros – Esta mensagem é produzida por qualquer um
dos módulos externos ao tentar ler o arquivo de parâmetros do sistema e constatar que este
não existe ou não pode ser lido.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
113 - Erro de comunicação com agente IDS – Esta mensagem indica que o firewall conseguiu
se conectar ao agente IDS, porém não conseguiu estabelecer uma comunicação. A mensagem
complementar indica o nome do agente IDS que provocou o problema e o endereço IP da
máquina onde ele está rodando.
Solução: Verifique se a senha de acesso na definição da entidade está igual à senha colocada
na configuração do agente IDS. Para maiores informações, veja o capítulo intitulado
Cadastrando Entidades.
114 - Regra de bloqueio temporária acrescentada – Esta mensagem indica que uma regra de
bloqueio temporária foi inserida no firewall. Como dados complementares são mostrados o
módulo que inseriu a regra temporária (IDS, Portscan, etc) e no caso do IDS interno, a razão
pela qual a máquina foi bloqueada.
® Aker Security Solutions
1114
Leitura e exportação de logs
356 - Erro criando arquivo local para ser exportado – Não foi possível criar arquivos para
exportá-los. Verifique a permissão do diretório temporário e o espaço em disco. O título do
relatório está no complemento.
352 - Exportação de log finalizada com sucesso – Gerado ao final da exportação de log e
nenhum erro foi detectado. O título do relatório e o ip da máquina/diretório estão no
complemento
354 - Falha ao conectar no servidor FTP para exportar logs ou eventos – Não foi possível
conectar-se no servidor FTP para exportar logs ou ventos. O título e o motivo da falha estão
no complemento.
355 - Falha ao copiar log ou eventos para pasta local – Não foi possível copiar os relatórios
na máquina local. Verifique a permissão do diretório de destino e espaço em disco. O título
do relatório está no complemento.
242 - Erro alterando a configuração do firewall – Esta mensagem indica que o firewall
servidor do cluster não está conseguindo alterar as configurações dos outros firewalls.
Verifique o segmento de rede de troca informação dos firewalls cooperativos.
241 - Erro de processamento no firewall servidor – Esta mensagem indica que o firewall
servidor do cluster não está processando os dados corretamente. Verifique o firewall servidor
quanto a espaço em disco e processador.
240 - Erro enviando dados do firewall servidor – Esta mensagem indica que o firewall servidor
do cluster não está enviando os dados corretamente. Verifique o segmento de rede de troca
informação dos firewalls cooperativos.
239 - Erro recebendo dados do firewall servidor – Esta mensagem indica que o firewall
servidor do cluster não está recebendo os dados corretamente. Verifique o segmento de rede
de troca informação dos firewalls cooperativos
124 - Convergência do cluster completada com sucesso – Esta mensagem indica que todos
os firewalls do cluster estão funcionando corretamente.
067 - Erro ao criar socket de conexão – Esta mensagem indica que algum dos módulos
externos tentou criar um socket e não conseguiu.
Solução: Verifique o número de arquivos que podem ser abertos por um processo e o número
total para o sistema. Se necessário aumente estes valores. Para maiores informações de como
fazer isso, contate o suporte técnico.
131 - Erro ao enviar dados para o kernel do Firewall – Esta mensagem indica que algum dos
módulos externos tentou enviar informações para os módulos do firewall que rodam dentro
do kernel e não conseguiu. Se existir uma mensagem complementar entre parênteses, esta
indicará quais informações estavam sendo enviadas.
Solução: Verifique se o módulo do Aker Firewall está carregado no kernel. No FreeBSD utilize
o comando kldstat e no Linux o comando lsmod. Em ambos os casos deverá aparecer um
módulo com o nome aker_firewall_mod.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
330 - Interface de rede conectada – Interface do heart beat ficou ativa. O complemento é a
interface.
329 - Interface de rede desconectada – Interface do heart beat ficou inativa. O complemento
é a interface.
122 - Máquina participante do cluster fora do ar – Esta mensagem indica que uma das
máquinas participantes do cluster está fora do ar. Verifique a situação da máquina de modo
a solucionar o problema da mesma.
121 - Nova máquina detectada no cluster – Esta mensagem indica que uma nova máquina
foi anexada ao sistema de cluster do firewall.
123 - Pacote de heartbeat inválido – Esta mensagem indica que um pacote de verificação do
cluster foi recebido incorretamente. Verifique se o segmento de comunicação dos firewalls
está funcionando corretamente.
245 - Erro ao agrupar dados do cluster – Esta mensagem indica que o firewall servidor do
cluster não está conseguindo agrupar os dados do cluster. Verifique o segmento de rede de
troca informação dos firewalls cooperativos.
244 - Erro ao enviar arquivo ao cluster – Esta mensagem indica que o firewall servidor do
cluster não está conseguindo enviar arquivo ao cluster. Verifique o segmento de rede de troca
informação dos firewalls cooperativos.
131 - Erro ao enviar dados para o kernel do firewall – Esta mensagem indica que algum dos
módulos externos tentou enviar informações para os módulos do firewall que rodam dentro
do kernel e não conseguiu. Se existir uma mensagem complementar entre parênteses, esta
indicará quais informações estavam sendo enviadas.
Solução: Verifique se o módulo do Aker Firewall está carregado no kernel. No FreeBSD utilize
o comando kldstat e no Linux o comando lsmod. Em ambos os casos deverá aparecer um
módulo com o nome aker_firewall_mod.
243 - Erro ao replicar estado do cluster – Esta mensagem indica que o firewall servidor do
cluster não está conseguindo replicar o estado do cluster para os outros firewalls. Verifique o
segmento de rede de troca informação dos firewalls cooperativos.
Protocolos de roteamento
243 - Erro ao replicar estado do cluster – Esta mensagem indica que o firewall servidor do
cluster não está conseguindo replicar o estado do cluster para os outros firewalls. Verifique o
segmento de rede de troca informação dos firewalls cooperativos.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
Proxy DCE-RPC
067 - Erro ao criar socket de conexão – Esta mensagem indica que algum dos módulos
externos tentou criar um socket e não conseguiu.
Solução: Verifique o número de arquivos que podem ser abertos por um processo e o número
total para o sistema. Se necessário aumente estes valores. Para maiores informações de como
fazer isso, contate o suporte técnico.
131 - Erro ao enviar dados para o kernel do Firewall – Esta mensagem indica que algum dos
módulos externos tentou enviar informações para os módulos do firewall que rodam dentro
do kernel e não conseguiu. Se existir uma mensagem complementar entre parênteses, esta
indicará quais informações estavam sendo enviadas.
Solução: Verifique se o módulo do Aker Firewall está carregado no kernel. No FreeBSD utilize
o comando kldstat e no Linux o comando lsmod. Em ambos os casos deverá aparecer um
módulo com o nome aker_firewall_mod.
337 - Erro conectando ao servidor – O Proxy transparente DCE-RPC não conseguiu se conectar
ao servidor. O complemento mostra o erro ocorrido.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
335 - Serviço DCE-RPC aceito – Conexão do proxy DCE-RPC foi aceita pelas regras do proxy, o
complemento mostra os IPs conectados e o a UUID aceita.
336 - Serviço DCE-RPC bloqueado – Conexão do proxy DCE-RPC foi rejeitada pelas
configurações. O complemento mostra os IPs conectados e as UUID rejeitada.
Proxy FTP
342 - Contabilidade de tráfego FTP (downloads) – Dados de download foram enviados por
meio do proxy FTP.
343 - Contabilidade de tráfego FTP (uploads) – Dados de uploads foram enviados por meio
do proxy FTP.
072 - DNS direto e reverso conflitantes – Quando um proxy do Firewall é configurado para
somente aceitar conexões a partir de máquinas com DNS reverso válido, ele utiliza uma
técnica que consiste em tentar resolver o nome para o endereço IP de origem da conexão.
Caso ele não consiga, ele indica erro mostrando a mensagem anterior e não permite a
realização da conexão. Caso resolva o nome, ele faz uma outra pesquisa de DNS a partir do
nome retornado, buscando seu endereço IP. Se ele não conseguir realizar esta segunda
pesquisa ou se o endereço IP retornado for diferente do endereço de origem, a conexão é
abortada e esta mensagem é produzida.
071 - DNS reverso não configurado – Esta mensagem é produzida por algum dos proxies se
ele tiver sido configurado para somente receber conexões a partir de máquinas com DNS
reverso válido e não tiver conseguido resolver o nome para o endereço IP de origem de uma
conexão. A mensagem complementar indica o endereço IP de origem da conexão.
069 - Erro ao carregar contexto – Esta mensagem indica que um dos proxies transparentes
não conseguiu carregar o contexto especificado.
151 - Número de processos excessivo no sistema – Esta mensagem indica que algum dos
módulos externos do firewall, ao tentar criar uma nova instância de si próprio para tratar uma
conexão, detectou que o número de processos executando no sistema está próximo do limite
máximo permitido. Diante disso, a criação do novo processo foi cancelada e a conexão que
deveria ser tratada pelo novo processo foi abortada.
068 - Tamanho de linha excessivo – Esta mensagem indica que algum proxy do Aker Firewall
recebeu uma linha com um número excessivo de caracteres e devido a isso, derrubou a
conexão. A informação complementar entre parênteses indica o endereço IP da máquina que
causou o problema.
Solução: Esta mensagem é causada por um servidor ou cliente fora dos padrões das RFCs. A
única solução possível para o problema é contatar o administrador da máquina causadora da
mensagem.
151 - Número de processos excessivo no sistema – Esta mensagem indica que algum dos
módulos externos do firewall, ao tentar criar uma nova instância de si próprio para tratar uma
conexão, detectou que o número de processos executando no sistema está próximo do limite
máximo permitido. Diante disso, a criação do novo processo foi cancelada e a conexão que
deveria ser tratada pelo novo processo foi abortada.
151 - Número de processos excessivos no sistema – Esta mensagem indica que algum dos
módulos externos do firewall, ao tentar criar uma nova instância de si próprio para tratar uma
conexão, detectou que o número de processos executando no sistema está próximo do limite
máximo permitido. Diante disso, a criação do novo processo foi cancelada e a conexão que
deveria ser tratada pelo novo processo foi abortada.
Proxy HTTP
101 - ActiveX removido – O Proxy HTTP encontrou um objeto ActiveX que foi removido.
247 - Arquivo com vírus bloqueado – Esta mensagem indica que um arquivo estava com vírus
e não pode ser removido, por isso o arquivo foi bloqueado.
246 - Arquivo com vírus desinfectado – Esta mensagem indica que um arquivo analisado pelo
firewall estava com vírus mas foi desinfectado.
249 - Arquivo não pode ser analisado pois estava cifrado – Esta mensagem indica que o
antivírus do firewall não pode analisar o arquivo pois o mesmo estava cifrado.
248 - Arquivo não pode ser analisado estava corrompido – Esta mensagem indica que o
antivírus do firewall não pode analisar o arquivo pois o mesmo estava corrompido.
098 - Banner removido – Esta mensagem indica que o Filtro Web substitui uma requisição
por uma imagem em branco, visto que a URL se encaixou nas regras de filtragem de banners.
A mensagem complementar entre parênteses indica o nome do usuário que fez a requisição.
A linha de mensagem seguinte indica o endereço IP da máquina da qual a requisição se
originou e a terceira linha indica qual URL que o usuário tentou acessar.
096 - Download de arquivo local aceito – Esta mensagem indica que o Filtro Web aceitou um
pedido de uma URL realizado por um usuário. A mensagem complementar entre parênteses
indica o nome do usuário que fez a requisição. A linha de mensagem seguinte indica o
endereço IP da máquina da qual a requisição se originou e a terceira linha indica qual URL foi
acessada.
064 - Erro ao carregar perfis de acesso – Esta mensagem indica que o servidor de
autenticação ou o servidor de login de usuários não conseguiu carregar a lista de perfis de
acesso cadastrados no sistema.
109 - Erro ao comunicar com servidor de autenticação – Esta mensagem indica que um dos
proxies não conseguiu se comunicar com o servidor de autenticação quando tentou realizar
a autenticação de um usuário. Devido a isso, o usuário não foi autorizado a continuar e a sua
conexão foi recusada.
Solução: Verifique se o processo do servidor de autenticação está ativo no firewall. Para fazer
isso, execute o comando
119 - Erro ao conectar com Web Content Analyzer – Esta mensagem indica que o firewall não
conseguiu se conectar ao Web Content Analyzer que estaria rodando em uma determinada
máquina. A mensagem complementar indica o nome do analisador que não pode ser
conectado e o endereço IP que ele supostamente estaria rodando.
067 - Erro ao criar socket de conexão – Esta mensagem indica que algum dos módulos
externos tentou criar um socket e não conseguiu.
Solução: Verifique o número de arquivos que podem ser abertos por um processo e o número
total para o sistema. Se necessário aumente estes valores. Para maiores informações de como
fazer isso, contate o suporte técnico.
318 - Erro conectando ao serviço de quotas – Algum proxy não conseguiu comunicar-se com
o processo responsável pelas quotas. Verifique se o fwquotad está executando e/ou reinicie
o seu equipamento.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
120 - Erro de comunicação com Web Content Analyzer – Esta mensagem indica que o firewall
conseguiu se conectar ao Web Content Analyzer, porém não conseguiu estabelecer uma
comunicação. A mensagem complementar indica o nome do analisador que provocou o
problema e o endereço IP da máquina onde ele está rodando.
Solução: Verifique se a senha de acesso na definição da entidade está igual à senha colocada
na configuração do Web Content Analyzer. Para maiores informações, veja o capítulo
intitulado Cadastrando Entidades.
126 - Falha de autenticação para proxy – Esta mensagem indica que um usuário informou
uma senha inválida ao tentar autenticar-se em um determinado proxy. As mensagens
complementares indicam o nome do usuário e as máquinas de origem e destino (no caso de
proxy transparente) da conexão.
099 - Java removido – O Proxy HTTP encontrou uma linha de código Java e foi removida.
100 - Javascript removido – O Proxy HTTP encontrou uma linha de código Javascript e foi
removida.
151 - Número de processos excessivo no sistema – Esta mensagem indica que algum dos
módulos externos do firewall, ao tentar criar uma nova instância de si próprio para tratar uma
conexão, detectou que o número de processos executando no sistema está próximo do limite
máximo permitido. Diante disso, a criação do novo processo foi cancelada e a conexão que
deveria ser tratada pelo novo processo foi abortada.
325 - Quota de bytes expirada – Quota de bytes foi consumida pelo usuário
326 - Quota de bytes insuficiente para a operação – Não existem bytes suficientes para
finalizar uma requisição ainda não iniciada. O início da transferência não foi permitido.
327 - Quota de tempo expirada – Informação sobre uma quota de tempo que foi expirada.
095 - URL aceita – Esta mensagem indica que o Filtro Web aceitou um pedido de uma URL
realizado por um usuário. A mensagem complementar entre parênteses indica o nome do
usuário que fez a requisição. A linha de mensagem seguinte indica o endereço IP da máquina
da qual a requisição se originou e a terceira linha indica qual URL foi acessada.
Esta mensagem somente será produzida para URLs do protocolo HTTP quando elas
resultarem em código HTML. Para os protocolos FTP e Gopher, ela será gerada para cada
requisição aceita, independente do seu tipo.
097 - URL rejeitada – Esta mensagem indica que o Filtro Web rejeitou um pedido de uma URL
realizado por um usuário. A mensagem complementar entre parênteses indica o nome do
usuário que fez a requisição. A linha de mensagem seguinte indica o endereço IP da máquina
da qual a requisição se originou e a terceira linha indica qual URL que o usuário tentou acessar.
127 - Usuário não cadastrado para proxy – Esta mensagem indica que um usuário não
cadastrado tentou se autenticar em um determinado proxy. A mensagem complementar
indica as máquinas de origem e destino (no caso de proxy transparente) da conexão.
187 - Usuário sem direito de acesso – Esta mensagem indica que o usuário tentou realizar
uma operação que não lhe era permitida.
Solução: Esta mensagem não deve ser mostrada em condições normais de funcionamento do
Aker Firewall. Se ela aparecer, contate o suporte técnico.
Proxy HTTPS
101 - ActiveX removido – O Proxy HTTP encontrou um objeto ActiveX que foi removido.
098 - Banner removido – Esta mensagem indica que o Filtro Web substitui uma requisição
por uma imagem em branco, visto que a URL se encaixou nas regras de filtragem de banners.
A mensagem complementar entre parênteses indica o nome do usuário que fez a requisição.
A linha de mensagem seguinte indica o endereço IP da máquina da qual a requisição se
originou e a terceira linha indica qual URL que o usuário tentou acessar.
096 - Download de arquivo local aceito – Esta mensagem indica que o Filtro Web aceitou um
pedido de uma URL realizado por um usuário. A mensagem complementar entre parênteses
indica o nome do usuário que fez a requisição. A linha de mensagem seguinte indica o
endereço IP da máquina da qual a requisição se originou e a terceira linha indica qual URL foi
acessada.
064 - Erro ao carregar perfis de acesso – Esta mensagem indica que o servidor de
autenticação ou o servidor de login de usuários não conseguiu carregar a lista de perfis de
acesso cadastrados no sistema.
Solução: Verifique se o processo do servidor de autenticação está ativo no firewall. Para fazer
isso, execute o comando
119 - Erro ao conectar com Web Content Analyzer – Esta mensagem indica que o firewall não
conseguiu se conectar ao Web Content Analyzer que estaria rodando em uma determinada
máquina. A mensagem complementar indica o nome do analisador que não pode ser
conectado e o endereço IP que ele supostamente estaria rodando.
067 - Erro ao criar socket de conexão – Esta mensagem indica que algum dos módulos
externos tentou criar um socket e não conseguiu.
Solução: Verifique o número de arquivos que podem ser abertos por um processo e o número
total para o sistema. Se necessário aumente estes valores. Para maiores informações de como
fazer isso, contate o suporte técnico.
318 - Erro conectando ao serviço de quotas – Algum proxy não conseguiu comunicar-se com
o processo responsável pelas quotas. Verifique se o fwquotad está executando e/ou reinicie
o seu equipamento.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
120 - Erro de comunicação com Web Content Analyzer – Esta mensagem indica que o firewall
conseguiu se conectar ao Web Content Analyzer, porém não conseguiu estabelecer uma
comunicação. A mensagem complementar indica o nome do analisador que provocou o
problema e o endereço IP da máquina onde ele está rodando.
Solução: Verifique se a senha de acesso na definição da entidade está igual à senha colocada
na configuração do Web Content Analyzer. Para maiores informações, veja o capítulo
intitulado Cadastrando Entidades.
324 - Erro de comunicação com o serviço de quotas – Erro ao se comunicar com o servidor
de quotas. O complemento da mensagem mostra detalhes sobre o erro.
099 - Java removido – O Proxy HTTP encontrou uma linha de código Java e foi removida.
100 - Javascript removido – O Proxy HTTP encontrou uma linha de código Javascript e foi
removida.
151 - Número de processos excessivo no sistema – Esta mensagem indica que algum dos
módulos externos do firewall, ao tentar criar uma nova instância de si próprio para tratar uma
conexão, detectou que o número de processos executando no sistema está próximo do limite
máximo permitido. Diante disso, a criação do novo processo foi cancelada e a conexão que
deveria ser tratada pelo novo processo foi abortada.
325 - Quota de bytes expirada – Quota de bytes foi consumida pelo usuário
326 - Quota de bytes insuficiente para a operação – Não existem bytes suficientes para
finalizar uma requisição ainda não iniciada. O início da transferência não foi permitido.
327 - Quota de tempo expirada – Informação sobre uma quota de tempo que foi expirada.
095 - URL aceita – Esta mensagem indica que o Filtro Web aceitou um pedido de uma URL
realizado por um usuário. A mensagem complementar entre parênteses indica o nome do
usuário que fez a requisição. A linha de mensagem seguinte indica o endereço IP da máquina
da qual a requisição se originou e a terceira linha indica qual URL foi acessada.
Esta mensagem somente será produzida para URLs do protocolo HTTP quando elas
resultarem em código HTML. Para os protocolos FTP e Gopher, ela será gerada para cada
requisição aceita, independente do seu tipo.
097 - URL rejeitada – Esta mensagem indica que o Filtro Web rejeitou um pedido de uma URL
realizado por um usuário. A mensagem complementar entre parênteses indica o nome do
usuário que fez a requisição. A linha de mensagem seguinte indica o endereço IP da máquina
da qual a requisição se originou e a terceira linha indica qual URL que o usuário tentou acessar.
187 - Usuário sem direito de acesso – Esta mensagem indica que o usuário tentou realizar
uma operação que não lhe era permitida.
Solução: Esta mensagem não deve ser mostrada em condições normais de funcionamento do
Aker Firewall. Se ela aparecer, contate o suporte técnico.
348 - Arquivo infectado foi bloqueado – Arquivo transferido por meio do proxy MSN foi
analisado e possui vírus. Arquivo bloqueado. O complemento dessa mensagem é o nome do
arquivo.
349 - Arquivo não tem vírus – Arquivo transferido por meio do proxy MSN foi analisado, não
possui vírus e o arquivo aceito. O complemento dessa mensagem descreve o nome do
arquivo.
286 - Conexão do MSN Messenger encerrada por timeout – Esta mensagem indica que uma
conexão com um servidor do serviço MSN Messenger foi encerrada por timeout. Verifique se
o acesso à Internet está funcionando corretamente.
278 - Conversação do MSN Messenger bloqueada – Conversa entre dois usuários foi
bloqueada pelas configurações no proxy MSN.
282 - Convite para transferência de arquivo via MSN Messenger permitido – Esta mensagem
é gerada quando um pedido de transferência de arquivo por meio do Messenger foi recebido
e aceito pelo firewall.
284 - Convite para uso de aplicativo via MSN Messenger permitido – Esta mensagem é
gerada quando um pedido de uso de aplicativo (jogos, vídeo, etc) por meio do Messenger foi
recebido e aceito pelo firewall.
109 - Erro ao comunicar com servidor de autenticação – Esta mensagem indica que um dos
proxies não conseguiu se comunicar com o servidor de autenticação quando tentou realizar
a autenticação de um usuário. Devido a isso, o usuário não foi autorizado a continuar e a sua
conexão foi recusada.
Solução: Verifique se o processo do servidor de autenticação está ativo no firewall. Para fazer
isso, execute o comando
#ps -ax | grep fwauthd | grep -v grep. Caso o processo não apareça, execute-o com o
comando /etc/firewall/fwauthd. Se o processo estiver ativo ou se este problema voltar a
ocorrer, contate o suporte técnico.
243 - Erro ao replicar estado do cluster – Esta mensagem indica que o firewall servidor do
cluster não está conseguindo replicar o estado do cluster para os outros firewalls. Verifique o
segmento de rede de troca informação dos firewalls cooperativos
318 - Erro conectando ao serviço de quotas – Algum proxy não conseguiu comunicar-se com
o processo responsável pelas quotas. Verifique se o fwquotad está executando e/ou reinicie
o seu equipamento.
346 - Erro interno no proxy Messenger – Erro grave envolvendo o proxy MSN ocorreu, por
favor contate o suporte Aker.
350 - Erro no antivírus – O módulo de integração antivírus e proxy MSN apresentou um erro
durante a comunicação com o servidor de antivírus. Verifique as configurações do servidor,
regras de filtragem do firewall e tente novamente. O complemento da mensagem descreve a
etapa de comunicação que falhou.
359 - Logando a conversação do MSN Messenger – Evento loga dados do chat entre os
usuários do Proxy MSN.
281 - Notificação do Hotmail bloqueada – Proxy MSN não permitiu a notificação do Hotmail.
347 - Proxy Messenger não pode salvar o arquivo em disco – Não foi possível salvar o arquivo
temporariamente em disco. Verifique se o firewall possui espaço em disco suficiente para
operar e tente novamente.
288 - Servidor MSN Messenger não responde – Esta mensagem indica que os servidores do
serviço MSN Messenger não estão respondendo. Verifique se a conexão com a Internet está
funcionando corretamente.
® Aker Security Solutions
1128
280 - Tempo diário de uso de MSN Messenger não permitido – Esta mensagem indica que o
tempo diário de conversa por meio do MSN Messenger para o usuário em questão foi
exercido. Este usuário não mais poderá acessar o Messenger no dia corrente.
283 - Transferência de arquivo via MSN Messenger bloqueada – Esta mensagem é gerada
quando um pedido de transferência de arquivo por meio do Messenger foi recebido e
rejeitado pelo firewall.
285 - Uso de aplicativo via MSN Messenger não permitido – Esta mensagem é gerada quando
um pedido de uso de aplicativo (jogos, vídeo, etc) por meio do Messenger foi recebido e
rejeitado pelo firewall.
289 - Usuário entrou no MSN Messenger – Esta mensagem é gerada todas as vezes que um
usuário se autentica no serviço MSN Messenger por meio do Firewall
290 - Usuário saiu do MSN Messenger – Esta mensagem é gerada todas as vezes que um
usuário sai do serviço MSN Messenger, passando por meio do Firewall
291 - Usuário sem permissão tentou entrar no MSN Messenger – Esta mensagem é gerada
todas as vezes que um usuário sem permissão tenta acessar o serviço MSN Messenger
passando por meio do Firewall.
358 - Versão do MSN bloqueada para a utilização – Evento informa que uma versão não
permitida do cliente MSN foi bloqueada.
Proxy POP3
090 - Anexo com vírus removido – Esta mensagem indica que um anexo da mensagem
continha vírus e foi removido. O complemento da mensagem indica quem é o remetente e o
destinatário da mensagem, assim como o nome do vírus encontrado.
093 - Anexo continha vírus e foi desinfectado – Esta mensagem indica que um anexo da
mensagem continha vírus e foi desinfectado. O complemento da mensagem indica quem são
o remetente e o destinatário da mensagem, assim como o nome do vírus encontrado.
094 - Anexo incorretamente codificado (mensagem defeituosa) – Esta mensagem indica que
um anexo de mensagem está incorretamente codificado, ou seja, apresenta erro na
codificação do tipo MIME. Normalmente este arquivo pode ser descartado pelo firewall caso
o administrador configure a opção desejada. Para mais informações leia o capítulo intitulado
Configurando o proxy SMTP.
091 - Anexo removido – Esta mensagem indica que um anexo da mensagem foi removido. O
complemento da mensagem indica quem são o remetente e o destinatário da mensagem.
238 - Entrando em modo STLS - nenhuma análise possível – Esta mensagem indica que o
firewall entrou em modo STLS. Entre em contato com o suporte técnico para a solução.
234 - Erro abrindo arquivo para spool – Esta mensagem indica que o proxy POP3 transparente
não conseguiu abrir o arquivo temporário para salvar a mensagem.
117 - Erro ao conectar com servidor de antivírus – Esta mensagem indica que o firewall não
conseguiu se conectar ao servidor de antivírus que estaria rodando em uma determinada
máquina. A mensagem complementar indica o nome do servidor que não pode ser conectado
e o endereço IP que ele supostamente estaria rodando.
Solução: Verifique se o endereço IP da máquina onde o agente estaria rodando está correto
na definição da entidade (para maiores informações, veja o capítulo intitulado Cadastrando
Entidades) e que o agente está realmente sendo executado na máquina em questão.
067 - Erro ao criar socket de conexão – Esta mensagem indica que algum dos módulos
externos tentou criar um socket e não conseguiu.
Solução: Verifique o número de arquivos que podem ser abertos por um processo e o número
total para o sistema. Se necessário aumente estes valores. Para maiores informações de como
fazer isso, contate o suporte técnico.
231 - Erro conectando-se ao servidor POP3 – Esta mensagem indica que o proxy POP3
transparente não consegui estabelecer a conexão com o servidor. Provavelmente o endereço
está errado ou o servidor está fora do ar.
118 - Erro de comunicação com servidor de antivírus – Esta mensagem indica que o firewall
conseguiu se conectar ao servidor de antivírus, porém não conseguiu estabelecer uma
comunicação. A mensagem complementar indica o nome do agente antivírus que provocou
o problema e o endereço IP da máquina onde ele está rodando.
Solução: Verifique se a senha de acesso na definição da entidade está igual à senha colocada
na configuração do agente antivírus. Para maiores informações, veja o capítulo intitulado
Cadastrando Entidades
228 - Erro enviando dados ao cliente POP3 – Esta mensagem indica que o proxy POP3
transparente encontrou um erro de conexão ao enviar dados para o cliente. As mensagens
complementares informam qual a conexão em questão.
229 - Erro enviando dados ao servidor POP3 – Esta mensagem indica que o proxy POP3
transparente encontrou um erro de conexão ao enviar dados ao servidor. As mensagens
complementares informam qual a conexão em questão.
® Aker Security Solutions
1130
235 - Erro gravando dados no arquivo – Esta mensagem indica que o proxy POP3
transparente encontrou um erro ao gravar a mensagem em espaço de armazenamento
temporário.
227 - Erro recebendo dados do cliente POP3 – Esta mensagem indica que o proxy POP3
transparente encontrou um erro de conexão ao receber dados do cliente. As mensagens
complementares informam qual a conexão em questão.
226 - Erro recebendo dados do servidor POP3 – Esta mensagem indica que o proxy POP3
transparente encontrou um erro de conexão ao receber dados do servidor. As mensagens
complementares informam qual a conexão em questão.
236 - Falta de espaço gravando arquivo – Esta mensagem indica que faltou espaço em disco
para o proxy POP3 transparente gravar as mensagens recebidas.
092 - Mensagem descartada por causa de seu anexo – Esta mensagem indica que uma
mensagem tinha um anexo inaceitável (veja suas regras) e foi bloqueada pelo proxy SMTP do
Firewall. O complemento da mensagem indica quem são o remetente e o destinatário da
mensagem.
151 - Número de processos excessivo no sistema – Esta mensagem indica que algum dos
módulos externos do firewall, ao tentar criar uma nova instância de si próprio para tratar uma
conexão, detectou que o número de processos executando no sistema está próximo do limite
máximo permitido. Diante disso, a criação do novo processo foi cancelada e a conexão que
deveria ser tratada pelo novo processo foi abortada.
230 - Resposta inválida do servidor POP3 – Esta mensagem indica que o proxy POP3
transparente recebeu uma resposta incorreta do servidor. As mensagens complementares
informam que resposta foi esta
232 - Servidor POP3 recusou a conexão – Esta mensagem indica que o proxy POP3
transparente conectou-se ao servidor e este informou estar fora do ar.
073 - Possível ataque de simulação de protocolo – Esta mensagem indica que o firewall
durante o monitoramento de uma sessão de algum protocolo com várias conexões (por
exemplo, FTP e Real Áudio / Real Vídeo) detectou uma tentativa de abertura de conexão para
uma porta menor que 1024 ou para um endereço diferente do esperado. Isso provavelmente
é causado por um ataque ou por uma implementação defeituosa do protocolo.
073 - Possível ataque de simulação de protocolo – Esta mensagem indica que o firewall
durante o monitoramento de uma sessão de algum protocolo com várias conexões (por
exemplo, FTP e Real Áudio / Real Vídeo) detectou uma tentativa de abertura de conexão para
uma porta menor que 1024 ou para um endereço diferente do esperado. Isso provavelmente
é causado por um ataque ou por uma implementação defeituosa do protocolo.
Proxy SIP
067 - Erro ao criar socket de conexão – Esta mensagem indica que algum dos módulos
externos tentou criar um socket e não conseguiu.
Solução: Verifique o número de arquivos que podem ser abertos por um processo e o número
total para o sistema. Se necessário aumente estes valores. Para maiores informações de como
fazer isso, contate o suporte técnico.
131 - Erro ao enviar dados para o kernel do Firewall – Esta mensagem indica que algum dos
módulos externos tentou enviar informações para os módulos do firewall que rodam dentro
do kernel e não conseguiu. Se existir uma mensagem complementar entre parênteses, esta
indicará quais informações estavam sendo enviadas.
Solução: Verifique se o módulo do Aker Firewall está carregado no kernel. No FreeBSD utilize
o comando kldstat e no Linux o comando lsmod. Em ambos os casos deverá aparecer um
módulo com o nome aker_firewall_mod.
063 - Erro ao ler o arquivo de parâmetros – Esta mensagem é produzida por qualquer um
dos módulos externos ao tentar ler o arquivo de parâmetros do sistema e constatar que este
não existe ou não pode ser lido.
243 - Erro ao replicar estado do cluster – Esta mensagem indica que o firewall servidor do
cluster não está conseguindo replicar o estado do cluster para os outros firewalls. Verifique o
segmento de rede de troca informação dos firewalls cooperativos.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
® Aker Security Solutions
1132
Solução: Adquira mais memória RAM ou aumente as partições de swap
319 - Erro de parse do corpo SDP – Mensagem inválida no proxy SIP, os complementos dessa
mensagem informam o erro específico
273 - Erro de rede – Esta é uma mensagem genérica para erros de rede. Favor verificar os
complementos para maiores informações sobre sua causa.
338 - Erro na conexão SIP sobre TCP – Proxy SIP encontrou um erro durante a conexão. O
primeiro complemento detalha os erros que ocorreram.
328 - Resposta para request nunca visto ou já expirado – O proxy SIP encontrou uma resposta
inesperada.
Proxy SMTP
090 - Anexo com vírus removido – Esta mensagem indica que um anexo da mensagem
continha vírus e foi removido. O complemento da mensagem indica quem é o remetente e o
destinatário da mensagem, assim como o nome do vírus encontrado.
093 - Anexo continha vírus e foi desinfectado – Esta mensagem indica que um anexo da
mensagem continha vírus e foi desinfectado. O complemento da mensagem indica quem são
o remetente e o destinatário da mensagem, assim como o nome do vírus encontrado.
094 - Anexo incorretamente codificado (mensagem defeituosa) – Esta mensagem indica que
um anexo de mensagem está incorretamente codificado, ou seja, apresenta erro na
codificação do tipo MIME. Normalmente este arquivo pode ser descartado pelo firewall caso
o administrador configure a opção desejada. Para mais informações leia o capítulo intitulado
Configurando o proxy SMTP.
091 - Anexo removido – Esta mensagem indica que um anexo da mensagem foi removido. O
complemento da mensagem indica quem são o remetente e o destinatário da mensagem.
080 - Cliente SMTP enviou linha de tamanho excessivo – O cliente SMTP enviou uma linha
de tamanho muito grande que não pode ser tratada pelo proxy SMTP. Verifique se o cliente
segue a padronização da RFC ou ajuste o mesmo para tal.
081 - Cliente SMTP fechou conexão – O cliente SMTP fechou inesperadamente a conexão.
Isto pode ter acontecido por intervenção do próprio usuário ou por problemas do cliente.
Normalmente as conexões são restabelecidas automaticamente.
078 - Conexão SMTP bloqueada por RBL – Esta mensagem indica que o proxy SMTP bloqueou
uma conexão devido ao servidor SMTP de origem estar inscrito em uma lista negra de
spammers.
077 - Conexão SMTP bloqueada por regra de DNS – Esta mensagem indica que o proxy SMTP
bloqueou uma conexão devido a uma regra do DNS. Para mais informações leia o capitulo
intitulado Configurando o proxy SMTP.
079 - Conexão SMTP recusada pelo servidor ou servidor fora do ar – Esta mensagem indica
que o proxy SMTP tentou uma conexão com o servidor SMTP de destino, porém o mesmo
pode ter recusado ou está fora do ar. Verifique se o servidor destino está no ar realizando um
telnet na porta 25 do mesmo.
072 - DNS direto e reverso conflitantes – Quando um proxy do Firewall é configurado para
somente aceitar conexões a partir de máquinas com DNS reverso válido, ele utiliza uma
técnica que consiste em tentar resolver o nome para o endereço IP de origem da conexão.
Caso ele não consiga, ele indica erro mostrando a mensagem anterior e não permite a
realização da conexão. Caso resolva o nome, ele faz uma outra pesquisa de DNS a partir do
nome retornado, buscando seu endereço IP. Se ele não conseguir realizar esta segunda
pesquisa ou se o endereço IP retornado for diferente do endereço de origem, a conexão é
abortada e esta mensagem é produzida.
071 - DNS reverso não configurado – Esta mensagem é produzida por algum dos proxies se
ele tiver sido configurado para somente receber conexões a partir de máquinas com DNS
reverso válido e não tiver conseguido resolver o nome para o endereço IP de origem de uma
conexão. A mensagem complementar indica o endereço IP de origem da conexão.
085 - Endereço de e-mail inválido enviado pelo cliente SMTP – Esta mensagem indica que o
cliente SMTP não forneceu um endereço de e-mail em formato válido.
069 - Erro ao carregar contexto – Esta mensagem indica que um dos proxies transparentes
não conseguiu carregar o contexto especificado.
117 - Erro ao conectar com servidor de antivírus – Esta mensagem indica que o firewall não
conseguiu se conectar ao servidor de antivírus que estaria rodando em uma determinada
máquina. A mensagem complementar indica o nome do servidor que não pode ser conectado
e o endereço IP que ele supostamente estaria rodando.
Solução: Verifique se o endereço IP da máquina onde o agente estaria rodando está correto
na definição da entidade (para maiores informações, veja o capítulo intitulado Cadastrando
Entidades) e que o agente está realmente sendo executado na máquina em questão.
® Aker Security Solutions
1134
067 - Erro ao criar socket de conexão – Esta mensagem indica que algum dos módulos
externos tentou criar um socket e não conseguiu.
Solução: Verifique o número de arquivos que podem ser abertos por um processo e o número
total para o sistema. Se necessário aumente estes valores. Para maiores informações de como
fazer isso, contate o suporte técnico.
115 - Erro de comunicação com servidor Spam Meter – Esta mensagem indica que o firewall
não conseguiu se conectar ao Spam Meter que estaria rodando em uma determinada
máquina. A mensagem complementar indica o nome do servidor que não pode ser conectado
e o endereço IP que ele supostamente estaria rodando.
Solução: Verifique se o endereço IP da máquina onde o agente estaria rodando está correto
na definição da entidade (para maiores informações, veja o capítulo intitulado Cadastrando
Entidades) e que o Spam Meter está realmente sendo executado na máquina em questão.
118 - Erro de comunicação com servidor de antivírus – Esta mensagem indica que o firewall
conseguiu se conectar ao servidor de antivírus, porém não conseguiu estabelecer uma
comunicação. A mensagem complementar indica o nome do agente antivírus que provocou
o problema e o endereço IP da máquina onde ele está rodando.
Solução: Verifique se a senha de acesso na definição da entidade está igual à senha colocada
na configuração do agente antivírus. Para maiores informações, veja o capítulo intitulado
Cadastrando Entidades.
087 - Falta de espaço (disco cheio) para analisar mensagem – Esta mensagem indica que o
disco rígido do firewall está cheio. Tente esvaziar os arquivos de logs ou aumentar a
capacidade do disco para o firewall poder analisar a mensagem
075 - Mensagem SMTP aceita – Esta mensagem indica que o proxy SMTP transparente
aceitou uma mensagem e a enviou para o servidor. A mensagem complementar indica quais
as máquinas de origem e destino da conexão e quem são o remetente e o destinatário, da
mensagem.
076 - Mensagem SMTP rejeitada – Esta mensagem indica que o proxy SMTP transparente
rejeitou uma mensagem recebida. Isto foi causado por ter a mensagem, se encaixado em
algum filtro que indicava que ela deveria ser rejeitada ou por ter um tamanho maior que o
tamanho máximo permitido.
299 - Mensagem aceita pela configuração do Spam Meter – Esta mensagem é gerada quando
uma mensagem de e-mail é aceita pelo proxy SMTP devido ter recebido uma nota do Spam
Meter cuja configuração do proxy indicou ao firewall para aceitá-la.
089 - Mensagem com erro de sintaxe – Esta mensagem indica que a mensagem SMTP estava
com erro de sintaxe dos comandos SMTP. Geralmente programas de spammers fazem com
que este erro aconteça.
092 - Mensagem descartada por causa de seu anexo – Esta mensagem indica que uma
mensagem tinha um anexo inaceitável (veja suas regras) e foi bloqueada pelo proxy SMTP do
Firewall. O complemento da mensagem indica quem são o remetente e o destinatário da
mensagem.
297 - Mensagem descartada por configuração do Spam Meter – Esta mensagem é gerada
quando uma mensagem de e-mail é descartada pelo proxy SMTP devido a ter recebido uma
nota do Spam Meter cuja configuração do proxy indicou ao firewall para descartá-la.
088 - Mensagem estourou tamanho máximo permitido – Esta mensagem indica que a
mensagem SMTP ultrapassou o tamanho máximo permitido. Verifique o capítulo Editando os
parâmetros de um contexto SMTP para aumentar o tamanho de recebimento da mensagem.
300 - Mensagem modificada para treinamento pelo Spam Meter – Esta mensagem é gerada
quando uma mensagem de e-mail é modificada pelo proxy SMTP para possibilitar seu
treinamento pelo destinatário a fim de melhorar a classificação de futuras mensagens do
Spam Meter.
298 - Mensagem rejeitada por configuração do Spam Meter – Esta mensagem é gerada
quando uma mensagem de e-mail é rejeitada pelo proxy SMTP devido a ter recebido uma
nota do Spam Meter cuja configuração do proxy indicou ao firewall para rejeitá-la.
151 - Número de processos excessivo no sistema – Esta mensagem indica que algum dos
módulos externos do firewall, ao tentar criar uma nova instância de si próprio para tratar uma
conexão, detectou que o número de processos executando no sistema está próximo do limite
máximo permitido. Diante disso, a criação do novo processo foi cancelada e a conexão que
deveria ser tratada pelo novo processo foi abortada.
082 - Servidor SMTP enviou linha de tamanho excessivo – O servidor SMTP enviou uma linha
de tamanho muito grande que não pode ser tratada pelo proxy SMTP. Verifique se o servidor
segue a padronização da RFC ou ajuste o mesmo para tal.
086 - Tentativa de relay não permitido bloqueada – Esta mensagem indica que uma tentativa
de relay foi bloqueada pelo firewall. Verifique o capítulo Editando os parâmetros de um
contexto SMTP para liberar domínios permitidos para relay
Proxy SOCKS
074 - Comando inválido – Esta mensagem indica que um dos proxies recebeu um comando
considerado inválido da máquina cliente e devido a isso não o repassou para o servidor. As
mensagens complementares indicam qual o comando que tentou ser executado e quais as
máquinas de origem e destino (no caso de proxy transparente) da conexão.
105 - Conexão TCP estabelecida por meio do proxy SOCKS – Essa mensagem indica que o
proxy SOCKS recebeu uma solicitação de estabelecimento de uma conexão TCP e a mesmo
foi estabelecida, devido a existência de uma regra no perfil de acesso correspondente
indicando que o proxy poderia fazê-lo.
106 - Conexão TCP finalizada por meio do proxy SOCKS – Essa mensagem é gerada todas as
vezes que uma conexão TCP é finalizada por meio do proxy SOCKS.
107 - Conexão TCP recusada pelo proxy SOCKS – Essa mensagem indica que o proxy SOCKS
recebeu uma solicitação de estabelecimento de uma conexão TCP e a mesmo foi recusada,
devido a existência de uma regra no perfil de acesso correspondente indicando que o proxy
não deveria aceitar tal conexão.
108 - Dados incorretos recebidos pelo proxy SOCKS – Essa mensagem é gerada quando o
proxy SOCKS recebe dados do cliente em desacordo com a especificação do protocolo SOCKS.
065 - Erro ao carregar entidades – Esta mensagem indica que algum processo servidor do
firewall não conseguiu carregar a lista de entidades cadastradas no sistema.
064 - Erro ao carregar perfis de acesso – Esta mensagem indica que o servidor de
autenticação ou o servidor de login de usuários não conseguiu carregar a lista de perfis de
acesso cadastrados no sistema.
109 - Erro ao comunicar com servidor de autenticação – Esta mensagem indica que um dos
proxies não conseguiu se comunicar com o servidor de autenticação quando tentou realizar
a autenticação de um usuário. Devido a isso, o usuário não foi autorizado a continuar e a sua
conexão foi recusada.
Solução: Verifique se o processo do servidor de autenticação está ativo no firewall. Para fazer
isso, execute o comando
#ps -ax | grep fwauthd | grep -v grep. Caso o processo não apareça, execute-o com o
comando /etc/firewall/fwauthd. Se o processo estiver ativo ou se este problema voltar a
ocorrer, contate o suporte técnico.
067 - Erro ao criar socket de conexão – Esta mensagem indica que algum dos módulos
externos tentou criar um socket e não conseguiu.
Solução: Verifique o número de arquivos que podem ser abertos por um processo e o número
total para o sistema. Se necessário aumente estes valores. Para maiores informações de como
fazer isso, contate o suporte técnico.
126 - Falha de autenticação para proxy – Esta mensagem indica que um usuário informou
uma senha inválida ao tentar autenticar-se em um determinado proxy. As mensagens
complementares indicam o nome do usuário e as máquinas de origem e destino (no caso de
proxy transparente) da conexão.
066 - Nome de perfil de acesso inválido – Esta mensagem indica que o servidor de
autenticação ao procurar o perfil de acesso de um usuário constatou que o mesmo não se
encontra cadastrado no sistema.
151 - Número de processos excessivo no sistema – Esta mensagem indica que algum dos
módulos externos do firewall, ao tentar criar uma nova instância de si próprio para tratar uma
conexão, detectou que o número de processos executando no sistema está próximo do limite
® Aker Security Solutions
1138
máximo permitido. Diante disso, a criação do novo processo foi cancelada e a conexão que
deveria ser tratada pelo novo processo foi abortada.
103 - Pacote UDP aceito pelo proxy SOCKS – Essa mensagem indica que o proxy SOCKS
recebeu uma solicitação de envio de um pacote UDP e o mesmo foi enviado, devido a
existência de uma regra no perfil de acesso correspondente indicando que o proxy poderia
fazê-lo.
104 - Pacote UDP recusado pelo proxy SOCKS – Essa mensagem indica que o proxy SOCKS
recebeu uma solicitação de envio de um pacote UDP e o mesmo foi recusado, devido a
existência de uma regra no perfil de acesso correspondente indicando que o proxy não
deveria aceitar tal requisição.
As mensagens complementares indicam o nome do usuário que tentou enviar o pacote (se a
autenticação de usuários estiver habilitada), o endereço do cliente e o endereço destino.
102 - Pacote fora das regras do proxy SOCKS – Essa mensagem indica que o proxy SOCKS
recebeu uma solicitação de abertura de conexão TCP ou de envio de pacote UDP e a mesma
não se encaixou em nenhuma regra de filtragem do perfil de acesso correspondente. Devido
a isso a solicitação foi recusada.
073 - Possível ataque de simulação de protocolo – Esta mensagem indica que o firewall
durante o monitoramento de uma sessão de algum protocolo com várias conexões (por
exemplo, FTP e Real Áudio / Real Vídeo) detectou uma tentativa de abertura de conexão para
uma porta menor que 1024 ou para um endereço diferente do esperado. Isso provavelmente
é causado por um ataque ou por uma implementação defeituosa do protocolo.
209 - Recebendo número do pipe do kernel – Esta mensagem indica que um proxy não
conseguiu descobrir quais eram o pipe e o acumulador para uma conexão, visto que tiveram
problemas de comunicação com o Kernel.
127 - Usuário não cadastrado para proxy – Esta mensagem indica que um usuário não
cadastrado tentou se autenticar em um determinado proxy. A mensagem complementar
indica as máquinas de origem e destino (no caso de proxy transparente) da conexão.
275 - Conexão TCP aceita pelo proxy SSL – Esta mensagem indica que o firewall recebeu uma
conexão de Proxy SSL e a aceitou.
316 - Conexão TCP em segundo endereço IP recusada pelo proxy SSL – Esta mensagem indica
que um mesmo usuário tentou se conectar ao mesmo tempo na Proxy SSL a partir de duas
máquinas distintas e o firewall estava configurado para não permitir tal acesso.
276 - Conexão TCP recusada pelo proxy SSL – Essa mensagem indica que o proxy SOCKS
recebeu uma solicitação de estabelecimento de uma conexão TCP e a mesmo foi recusada,
devido a existência de uma regra no perfil de acesso correspondente indicando que o proxy
não deveria aceitar tal conexão.
274 - Conexão fora das regras de perfil do proxy SSL – Esta mensagem indica que um usuário
tentou acessar o proxy SSL mas não havia nenhuma regra autorizando seu acesso.
065 - Erro ao carregar entidades – Esta mensagem indica que algum processo servidor do
firewall não conseguiu carregar a lista de entidades cadastradas no sistema.
064 - Erro ao carregar perfis de acesso – Esta mensagem indica que o servidor de
autenticação ou o servidor de login de usuários não conseguiu carregar a lista de perfis de
acesso cadastrados no sistema.
149 -Erro ao carregar pseudo-grupos – Esta mensagem indica que o firewall não conseguiu
carregar a lista de pseudo-grupos das autoridades certificadoras.
131 - Erro ao enviar dados para o kernel do Firewall – Esta mensagem indica que algum dos
módulos externos tentou enviar informações para os módulos do firewall que rodam dentro
do kernel e não conseguiu. Se existir uma mensagem complementar entre parênteses, esta
indicará quais informações estavam sendo enviadas.
Solução: Verifique se o módulo do Aker Firewall está carregado no kernel. No FreeBSD utilize
o comando kldstat e no Linux o comando lsmod. Em ambos os casos deverá aparecer um
módulo com o nome aker_firewall_mod.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
273 - Erro de rede – Esta é uma mensagem genérica para erros de rede. Favor verificar os
complementos para maiores informações sobre sua causa.
126 - Falha de autenticação para proxy – Esta mensagem indica que um usuário informou
uma senha inválida ao tentar autenticar-se em um determinado proxy. As mensagens
complementares indicam o nome do usuário e as máquinas de origem e destino (no caso de
proxy transparente) da conexão.
066 - Nome de perfil de acesso inválido – Esta mensagem indica que o servidor de
autenticação ao procurar o perfil de acesso de um usuário constatou que o mesmo não se
encontra cadastrado no sistema.
Proxy TELNET
072 - DNS direto e reverso conflitantes – Quando um proxy do Firewall é configurado para
somente aceitar conexões a partir de máquinas com DNS reverso válido, ele utiliza uma
técnica que consiste em tentar resolver o nome para o endereço IP de origem da conexão.
Caso ele não consiga, ele indica erro mostrando a mensagem anterior e não permite a
realização da conexão. Caso resolva o nome, ele faz uma outra pesquisa de DNS a partir do
nome retornado, buscando seu endereço IP. Se ele não conseguir realizar esta segunda
pesquisa ou se o endereço IP retornado for diferente do endereço de origem, a conexão é
abortada e esta mensagem é produzida.
071 - DNS reverso não configurado – Esta mensagem é produzida por algum dos proxies se
ele tiver sido configurado para somente receber conexões a partir de máquinas com DNS
reverso válido e não tiver conseguido resolver o nome para o endereço IP de origem de uma
conexão. A mensagem complementar indica o endereço IP de origem da conexão.
069 - Erro ao carregar contexto – Esta mensagem indica que um dos proxies transparentes
não conseguiu carregar o contexto especificado.
Solução: Verifique se o processo do servidor de autenticação está ativo no firewall. Para fazer
isso, execute o comando
#ps -ax | grep fwauthd | grep -v grep. Caso o processo não apareça, execute-o com o
comando /etc/firewall/fwauthd. Se o processo estiver ativo ou se este problema voltar a
ocorrer, contate o suporte técnico.
067 - Erro ao criar socket de conexão – Esta mensagem indica que algum dos módulos
externos tentou criar um socket e não conseguiu.
Solução: Verifique o número de arquivos que podem ser abertos por um processo e o número
total para o sistema. Se necessário aumente estes valores. Para maiores informações de como
fazer isso, contate o suporte técnico
126 - Falha de autenticação para proxy – Esta mensagem indica que um usuário informou
uma senha inválida ao tentar autenticar-se em um determinado proxy. As mensagens
complementares indicam o nome do usuário e as máquinas de origem e destino (no caso de
proxy transparente) da conexão.
151 - Número de processos excessivo no sistema – Esta mensagem indica que algum dos
módulos externos do firewall, ao tentar criar uma nova instância de si próprio para tratar uma
conexão, detectou que o número de processos executando no sistema está próximo do limite
máximo permitido. Diante disso, a criação do novo processo foi cancelada e a conexão que
deveria ser tratada pelo novo processo foi abortada.
129 - Sessão telnet estabelecida – Esta mensagem indica que um usuário se autenticou
corretamente no proxy telnet e tinha permissão para efetuar a conexão desejada. Devido a
isso, a conexão foi estabelecida. As mensagens complementares indicam o nome do usuário
e as máquinas de origem e destino da conexão.
130 - Sessão telnet finalizada – Esta mensagem indica que um usuário se desconectou de
uma sessão telnet. As mensagens complementares indicam o nome do usuário e as máquinas
de origem e destino da conexão.
127 - Usuário não cadastrado para proxy – Esta mensagem indica que um usuário não
cadastrado tentou se autenticar em um determinado proxy. A mensagem complementar
indica as máquinas de origem e destino (no caso de proxy transparente) da conexão.
069 - Erro ao carregar contexto – Esta mensagem indica que um dos proxies transparentes
não conseguiu carregar o contexto especificado.
321 - Erro ao conectar no servidor Spam Meter – Erro ao se comunicar com o processo
responsável por treinar mensagens SMTP. Verifique suas configurações de Spam Meter e
tente novamente.
067 - Erro ao criar socket de conexão – Esta mensagem indica que algum dos módulos
externos tentou criar um socket e não conseguiu.
Solução: Verifique o número de arquivos que podem ser abertos por um processo e o número
total para o sistema. Se necessário aumente estes valores. Para maiores informações de como
fazer isso, contate o suporte técnico.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
Secure Roaming
256 - Aviso importante do Secure Roaming – Esta é uma mensagem com prioridade aviso
gerada pelo Secure Roaming. Verifique os complementos para maiores informações.
254 - Mensagem de debug do Secure Roaming – Esta é uma mensagem com prioridade
depuração gerada pelo Secure Roaming. Verifique os complementos para maiores
informações.
257 - O Secure Roaming encontrou um erro – Esta é uma mensagem com prioridade erro
gerada pelo Secure Roaming. Verifique os complementos para maiores informações.
258 - O Secure Roaming encontrou um erro fatal – Esta é uma mensagem com prioridade
erro fatal gerada pelo Secure Roaming. Verifique os complementos para maiores
informações.
Servidor de Acesso
065 - Erro ao carregar entidades – Esta mensagem indica que algum processo servidor do
firewall não conseguiu carregar a lista de entidades cadastradas no sistema.
064 - Erro ao carregar perfis de acesso – Esta mensagem indica que o servidor de
autenticação ou o servidor de login de usuários não conseguiu carregar a lista de perfis de
acesso cadastrados no sistema.
149 - Erro ao carregar pseudo-grupos – Esta mensagem indica que o firewall não conseguiu
carregar a lista de pseudo-grupos das autoridades certificadoras.
109 - Erro ao comunicar com servidor de autenticação – Esta mensagem indica que um dos
proxies não conseguiu se comunicar com o servidor de autenticação quando tentou realizar
a autenticação de um usuário. Devido a isso, o usuário não foi autorizado a continuar e a sua
conexão foi recusada.
Solução: Verifique se o processo do servidor de autenticação está ativo no firewall. Para fazer
isso, execute o comando
067 - Erro ao criar socket de conexão – Esta mensagem indica que algum dos módulos
externos tentou criar um socket e não conseguiu.
Solução: Verifique o número de arquivos que podem ser abertos por um processo e o número
total para o sistema. Se necessário aumente estes valores. Para maiores informações de como
fazer isso, contate o suporte técnico.
131 - Erro ao enviar dados para o kernel do Firewall – Esta mensagem indica que algum dos
módulos externos tentou enviar informações para os módulos do firewall que rodam dentro
do kernel e não conseguiu. Se existir uma mensagem complementar entre parênteses, esta
indicará quais informações estavam sendo enviadas.
Solução: Verifique se o módulo do Aker Firewall está carregado no kernel. No FreeBSD utilize
o comando kldstat e no Linux o comando lsmod. Em ambos os casos deverá aparecer um
módulo com o nome aker_firewall_mod.
243 - Erro ao replicar estado do cluster – Esta mensagem indica que o firewall servidor do
cluster não está conseguindo replicar o estado do cluster para os outros firewalls. Verifique o
segmento de rede de troca informação dos firewalls cooperativos.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
364 - Excesso de tentativas de logon incorreto – Evento é gerado quando um usuário por
meio do Aker Client ou Cliente Java erra o usuário ou a senha 5 vezes. Seu Ip é bloqueado por
49 minutos.
143 - Falha de autenticação para perfil de acesso – Esta mensagem indica que um usuário
informou uma senha inválida ao tentar se logar no firewall utilizando o Cliente de
Autenticação Aker. As mensagens complementares indicam o nome do usuário e a máquina
de origem da requisição
114 - Regra de bloqueio temporária acrescentada – Esta mensagem indica que uma regra de
bloqueio temporária foi inserida no firewall. Como dados complementares são mostrados o
módulo que inseriu a regra temporária (IDS, Portscan, etc) e no caso do IDS interno, a razão
pela qual a máquina foi bloqueada.
145 - Sessão de perfil de acesso estabelecida – Esta mensagem indica que um usuário se
logou corretamente no firewall utilizando o Cliente de Autenticação Aker. As mensagens
complementares indicam o nome do usuário que estabeleceu a sessão e a máquina a partir
da qual a sessão foi estabelecida
146 - Sessão de perfil de acesso finalizada – Esta mensagem indica que um usuário finalizou
uma sessão no firewall estabelecida por meio do Cliente de Autenticação Aker. As mensagens
complementares indicam o nome do usuário que finalizou a sessão e a máquina a partir da
qual a sessão foi finalizada.
144 - Usuário não cadastrado para perfil de acesso – Esta mensagem indica que um usuário
não cadastrado tentou se logar no firewall utilizando o Cliente de Autenticação Aker. A
mensagem complementar indica a máquina de origem da requisição.
Servidor de autenticação
065 - Erro ao carregar entidades – Esta mensagem indica que algum processo servidor do
firewall não conseguiu carregar a lista de entidades cadastradas no sistema.
149 - Erro ao carregar pseudo-grupos – Esta mensagem indica que o firewall não conseguiu
carregar a lista de pseudo-grupos das autoridades certificadoras.
067 - Erro ao criar socket de conexão – Esta mensagem indica que algum dos módulos
externos tentou criar um socket e não conseguiu.
Solução: Verifique o número de arquivos que podem ser abertos por um processo e o número
total para o sistema. Se necessário aumente estes valores. Para maiores informações de como
fazer isso, contate o suporte técnico.
063 - Erro ao ler o arquivo de parâmetros – Esta mensagem é produzida por qualquer um
dos módulos externos ao tentar ler o arquivo de parâmetros do sistema e constatar que este
não existe ou não pode ser lido.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
111 - Erro de comunicação com agente de autenticação – Esta mensagem indica que o
servidor de autenticação conseguiu se conectar ao agente de autenticação, porém não
conseguiu estabelecer uma comunicação. A mensagem complementar indica o nome do
agente de autenticação que provocou o problema.
151 - Número de processos excessivo no sistema – Esta mensagem indica que algum dos
módulos externos do firewall, ao tentar criar uma nova instância de si próprio para tratar uma
conexão, detectou que o número de processos executando no sistema está próximo do limite
máximo permitido. Diante disso, a criação do novo processo foi cancelada e a conexão que
deveria ser tratada pelo novo processo foi abortada.
SpamMeter integrado
308 - Aviso importante do Spam Meter – Esta é uma mensagem com prioridade de aviso
gerada pelo Spam Meter. Verifique os complementos para maiores informações.
307 - Informação do Spam Meter – Esta é uma mensagem com prioridade de informação
gerada pelo Spam Meter. Verifique os complementos para maiores informações.
309 - Mensagem de alerta do Spam Meter – Esta é uma mensagem com prioridade de alerta
gerada pelo Spam Meter. Verifique os complementos para maiores informações.
311 - Mensagem de debug do Spam Meter – Esta é uma mensagem com prioridade de
depuração gerada pelo Aker Web Content Analyzer. Verifique os complementos para maiores
informações.
<TAG> <MSG1> <MSG2> <DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA
MENSAGEM, MSG1, MSG2>
TAG MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MÓDULO, TEXTO DA MENSAGEM,
MSG1, MSG2
MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA MENSAGEM,
MSG1, MSG2
TAG MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA
MENSAGEM, MSG1, MSG2
CMD: fcntl
CMD: recv
Source: IP – Destination:IP
Source: IP – Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
Source: IP - Destination:IP
MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA MENSAGEM,
MSG1, MSG2
NULL NULL
"avisando" NULL
Information
Notice
Error
upload: errno Error when mapping the compressed file containing the urls to be sent
upload: errno Error when opening the compressed file containing the urls to be sent
NULL Error when saving the file containing the urls to be uploaded
IP NULL
no 'Content-length' nor 'chunked' nor 'close' File not available for download
AKER header chuncked: ChunckedData Error while downloading URLs update file
Erro de parser no arquivo xml de configuração file = Nome do arquivo - lang = Idioma
Upload NULL
NULL NULL
Ip NULL
® Aker Security Solutions
1167
Upload Data receive error
NULL NULL
Ip NULL
NULL URL
Ip NULL
NULL NULL
Header
Data
Packet Size
Greeting Size
Context Number
New context
NULL
Message list
ID training – ERRO
ERRNO
NOME DO PROXY
Complete base
Opening File
Reading File
transfer error
transfer error
unpacking data
Database listing
Classification new
Training new
ID training
Base delete
ERRO
Neste apêndice estão listados os disclaimers das bibliotecas e códigos fontes de terceiro
utilizados no Aker Firewall. Estes disclaimers se aplicam apenas às partes explicitamente
citadas e não ao Aker Firewall como um todo. Eles estão citados aqui devido a exigências das
entidades desenvolvedoras:
Biblioteca DES
THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND ANY EXPRESS OR
IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED
WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR
CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL,
EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA,
OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE
USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH
DAMAGE.
® Aker Security Solutions
1179
The licence and distribution terms for any publically available version or
derivative of this code cannot be changed. i.e. this code cannot simply be
copied and put under another distribution licence
[including the GNU Public Licence.]
The licence and distribution terms for any publically available version or
derivative of this code cannot be changed. i.e. this code cannot simply be
copied and put under another distribution licence
[including the GNU Public Licence.]
Biblioteca SNMP
Algoritmo MD5
Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. All rights reserved.
License to copy and use this software is granted provided that it is identified as the "RSA
Data
Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning or referencing this
software or this function.
License is also granted to make and use derivative works provided that such works are
identified
as "derived from the RSA Data Security, Inc. MD5 Message-Digest Algorithm" in all material
® Aker Security Solutions
1182
mentioning or referencing the derived work.
RSA Data Security, Inc. makes no representations concerning either the merchantability of
this
software or the suitability of this software for any particular purpose. It is provided "as is"
without
express or implied warranty of any kind.
These notices must be retained in any copies of any part of this documentation and/or
software.
Agente SNMP
Copyright (c) 1996,1997 Wes Hardaker and the University of California at Davis
COPYRIGHT
Many portions of the code in this package were distributed by Carnegie Mellon University.
All other code and changes to the original code written by Wes Hardaker at the University of
California at Davis is copyrighted under the following copyright:
Permission is granted to use, copy, modify, and distribute this software and documentation.
This
software is distributed freely and usage of it is not subject to fees of any kind. It may be
included in
a software compact disk set provided that the author is contacted and made aware of its
distribution.
This source code and documentation may be used without charge for both commercial and
non-commercial use. Modification of the source code or documentation is allowed provided
any derivate work is clearly indentified as such and all copyright notices are retained
unmodified. Redistribution of the source code or documentation is unlimited, except by the
limits already mentioned, provided that the redistribution is not for profit. Those wishing to
redistribute this source code or documentation or any work derived from either for profit
must contact Leonard Janke (janke@unixg.ubc.ca) to work out an acceptable arrangement.
Anyone who wishes to distribute a program statically linked against the functions provided
may do so providing that he or she include a copy of this note with the program.
Distribution of libraries compiled from this source code is unlimited if the distribution is not
for profit and this copyright notice is included. Those wishing to distribute libraries compiled
Anyone using this source code or documentation or any work derived from it, including, but
not limited to, libraries and statically linked executable, must do so at his or her own risk, and
with understanding that Leonard Janke will not be held responsible for any damages or losses
that may result.