Akerfirewall 6.7.3 PT Manual 003

Versão: 06/11/2014
Índice
ÍNDICE .......................................................................................................................................................................... 2
ÍNDICE DE FIGURAS....................................................................................................................................................... 9
1. INTRODUÇÃO ....................................................................................................................................................31
1.1. COMO ESTÁ DISPOSTO ESTE MANUAL ............................................................................................................ 31

1.2. INTERFACE TEXTO (VIA SSH) E INTERFACE REMOTA ......................................................................................... 31
1.3. O FIREWALL............................................................................................................................................. 32
1.4. COPYRIGHTS DO SISTEMA ........................................................................................................................... 33
2. INSTALANDO O AKER FIREWALL ........................................................................................................................35
2.1. REQUISITOS DE HARDWARE E SOFTWARE ....................................................................................................... 35

2.2. INSTALANDO A INTERFACE REMOTA - WINDOWS ............................................................................................ 36
2.3. INSTALANDO O AKER FIREWALL BOX ............................................................................................................. 43
2.4. INSTALAÇÃO DO AKER FIREWALL BOX (IS/VM) .............................................................................................. 44
2.5. FIREWALL AKER - PROGRAMA DE INSTALAÇÃO - LINUX ..................................................................................... 62
2.6. COMO ALTERAR O TIPO DE INTERFACE DE REDE NO VMWARE PARA USO NO AKER FIREWALL 6.7.............................. 64
2.7. MÓDULO DE ADMINISTRAÇÃO DE USUÁRIOS REMOTOS E INCLUSÃO DE USUÁRIOS .................................................. 74
2.8. COMO FUNCIONA A CONTABILIZAÇÃO DE IPS NO AKER FIREWALL (LICENCIAMENTO)? ............................................ 75
2.9. COMO FUNCIONA O SISTEMA DE LICENCIAMENTO AUTOMÁTICO DO AKER FIREWALL? ............................................ 76
2.10. COMO ATIVAR A LICENÇA DO FIREWALL PELO AKER CONFIGURATION MANAGER (ACM)? ....................................... 81
2.11. RENOVAÇÃO DA LICENÇA ............................................................................................................................ 85
3. UTILIZANDO O AKER CONTROL CENTER .............................................................................................................88
3.1. O QUE É A ADMINISTRAÇÃO REMOTA DO AKER FIREWALL? ............................................................................... 88

3.2. INICIANDO A INTERFACE REMOTA ................................................................................................................. 90
3.3. FINALIZANDO A ADMINISTRAÇÃO REMOTA ................................................................................................... 107
3.4. MUDANDO SUA SENHA DE USUÁRIO ........................................................................................................... 108
3.5. VISUALIZANDO INFORMAÇÃO DE SESSÃO ..................................................................................................... 110
3.6. UTILIZANDO AS FERRAMENTAS DA INTERFACE REMOTA .................................................................................. 111
3.7. CHAVES DE ATIVAÇÃO.............................................................................................................................. 112
3.8. SALVAR CONFIGURAÇÕES (BACKUP) ............................................................................................................ 113
3.9. RESTAURAR CONFIGURAÇÕES .................................................................................................................... 116
3.1. UTILIZANDO A INTERFACE TEXTO (VIA SSH-AKBACKUP) .................................................................................. 119
3.2. REINICIAR FIREWALL ................................................................................................................................ 121
3.3. ATUALIZAÇÕES ....................................................................................................................................... 122
3.4. MÓDULO DE ATUALIZAÇÃO AUTOMÁTICA – AKER UPDATE SYSTEM (AUS) ......................................................... 127
3.5. REEMPACOTAR AKER CLIENT ..................................................................................................................... 131
3.6. DNS REVERSO ....................................................................................................................................... 132
3.7. SIMULAÇÃO DE REGRAS DE FILTRAGEM ....................................................................................................... 134
3.8. RELATÓRIOS........................................................................................................................................... 136
3.9. BUSCA DE ENTIDADES .............................................................................................................................. 139
3.10. BUSCA DE COMMON NAME ...................................................................................................................... 143
3.11. JANELA DE ALARMES ............................................................................................................................... 150
3.12. MAPA DA REDE ...................................................................................................................................... 153
3.13. ESTATÍSTICAS DO SISTEMA ........................................................................................................................ 154
3.14. UTILIZANDO A JANELA DE SNIFFER DE TRÁFEGO DE PACOTES IP ........................................................................ 158
® Aker Security Solutions

2
3.15. VISUALIZANDO O ESTADO DOS AGENTES EXTERNOS....................................................................................... 161
3.16. UTILIZANDO O VERIFICADOR DE CONFIGURAÇÕES .......................................................................................... 163
3.17. DIAGNÓSTICO ........................................................................................................................................ 165
4. ADMINISTRANDO USUÁRIOS DO FIREWALL ....................................................................................................172
4.1. USUÁRIOS ADMINISTRADORES .................................................................................................................. 172

4.2. UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWADMIN) .................................................................................. 185
5. CONFIGURANDO OS PARÂMETROS DO SISTEMA .............................................................................................196
5.1. UTILIZANDO A INTERFACE REMOTA ............................................................................................................ 196

5.2. UTILIZANDO A INTERFACE TEXTO (VIA SSH-AKDATE)...................................................................................... 211
5.3. UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWPAR) ...................................................................................... 212
6. CADASTRANDO ENTIDADES .............................................................................................................................217
6.1. PLANEJANDO A INSTALAÇÃO...................................................................................................................... 217

6.2. CADASTRANDO ENTIDADES UTILIZANDO A INTERFACE REMOTA ........................................................................ 221
6.3. UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWENT) ...................................................................................... 258
6.4. UTILIZANDO O ASSISTENTE DE ENTIDADES ................................................................................................... 263
7. O FILTRO DE ESTADO .......................................................................................................................................271

7.2. EDITANDO UMA LISTA DE REGRAS USANDO A INTERFACE REMOTA .................................................................... 277
7.3. TRABALHANDO COM POLÍTICAS DE FILTRAGEM ............................................................................................. 285
7.4. UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWRULE) ..................................................................................... 287
7.5. UTILIZANDO O ASSISTENTE DE REGRAS......................................................................................................... 291
7.6. UTILIZANDO REGRAS DE PIPES ................................................................................................................... 303
8. CONFIGURANDO A CONVERSÃO DE ENDEREÇOS .............................................................................................307

8.2. UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWNAT) ...................................................................................... 332
8.3. UTILIZANDO O ASSISTENTE DE CONFIGURAÇÃO NAT ..................................................................................... 337
9. CRIANDO CANAIS DE CRIPTOGRAFIA ...............................................................................................................346
9.1. NAT TRANSVERSAL .................................................................................................................................. 346

9.3. VPN FAIL OVER ...................................................................................................................................... 369
9.4. UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWIPSECCERT) .............................................................................. 373
10. CONFIGURANDO CRIPTOGRAFIA CLIENTE-FIREWALL .......................................................................................381

10.2. AKER SECURE ROAMING .......................................................................................................................... 382
10.3. L2TP ................................................................................................................................................... 388
10.4. PPTP ................................................................................................................................................... 397
10.5. IPSEC CLIENT ........................................................................................................................................ 418
10.6. VPN – SSL............................................................................................................................................ 433
11. CONFIGURANDO O PROXY SSL.........................................................................................................................447
11.1. EDITANDO OS PARÂMETROS DE UM CONTEXTO SSL ....................................................................................... 448

11.2. CONFIGURANDO REGRAS DE PROXY SSL ...................................................................................................... 452
12. INTEGRAÇÃO DOS MÓDULOS DO FIREWALL ....................................................................................................454

3
12.1. O FLUXO DE PACOTES NO AKER FIREWALL .................................................................................................... 454
12.2. INTEGRAÇÃO DO FILTRO COM A CONVERSÃO DE ENDEREÇOS ............................................................................ 456
12.3. INTEGRAÇÃO DO FILTRO COM A CONVERSÃO E A CRIPTOGRAFIA ........................................................................ 457
13. CONFIGURANDO A SEGURANÇA ......................................................................................................................459
13.1. PROTEÇÃO CONTRA SYN FLOOD ................................................................................................................ 459

13.2. UTILIZANDO A INTERFACE REMOTA PARA PROTEÇÃO CONTRA SYN FLOOD......................................................... 461
13.3. PROTEÇÃO DE FLOOD .............................................................................................................................. 463
13.4. UTILIZANDO A INTERFACE REMOTA PARA PROTEÇÃO DE FLOOD ....................................................................... 464
13.5. PROTEÇÃO ANTI SPOOFING ...................................................................................................................... 466
13.6. UTILIZANDO A INTERFACE REMOTA PARA ANTI SPOOFING............................................................................... 467
13.7. UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWFLOOD) - SYN FLOOD ................................................................ 469
13.8. UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWMAXCONN) - PROTEÇÃO DE FLOOD .............................................. 470
13.9. UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWIFNET) - ANTI SPOOFING ............................................................ 471
13.10. BLOQUEIO POR EXCESSO DE TENTATIVAS DE LOGIN INVÁLIDAS .......................................................................... 472
14. CONFIGURANDO AÇÕES DE SISTEMA ..............................................................................................................475

14.2. UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWACTION).................................................................................. 480
15. VISUALIZANDO O LOG DO SISTEMA .................................................................................................................486

15.2. FORMATO E SIGNIFICADO DOS CAMPOS DOS REGISTROS DO LOG ....................................................................... 497
15.3. UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWLOG) ...................................................................................... 501
16. VISUALIZANDO EVENTOS DO SISTEMA ............................................................................................................505

16.2. FORMATO E SIGNIFICADO DOS CAMPOS DAS MENSAGENS DE EVENTOS............................................................... 513
17. VISUALIZANDO ESTATÍSTICAS ..........................................................................................................................515

17.2. UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWSTAT) ..................................................................................... 522
18. VISUALIZANDO E REMOVENDO CONEXÕES .....................................................................................................527

18.2. UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWLIST) ...................................................................................... 532
19. UTILIZANDO O GERADOR DE RELATÓRIOS .......................................................................................................536
19.1. ACESSANDO RELATÓRIOS ......................................................................................................................... 536

19.2. CONFIGURANDO OS RELATÓRIOS ............................................................................................................... 537
19.3. LISTA DOS RELATÓRIOS DISPONÍVEIS ........................................................................................................... 543
20. EXPORTAÇÃO AGENDADA DE LOGS E EVENTOS ..............................................................................546
20.1. ACESSANDO A EXPORTAÇÃO AGENDADA DE LOGS E EVENTOS.......................................................................... 546

20.2. CONFIGURANDO A EXPORTAÇÃO AGENDADA DE LOGS E EVENTOS .................................................................... 547
21. TRABALHANDO COM PROXIES ..............................................................................................................552

21.2. INSTALANDO O AGENTE DE AUTENTICAÇÃO EM PLATAFORMAS UNIX ................................................................. 557
21.3. INSTALANDO O AGENTE DE AUTENTICAÇÃO EM WINDOWS SERVERTM ................................................................ 559
21.4. CONFIGURAÇÃO DO AGENTE DE AUTENTICAÇÃO PARA WINDOWS SERVERTM ....................................................... 560
4
22. CONFIGURANDO PARÂMETROS DE AUTENTICAÇÃO ......................................................................565

22.2. UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWAUTH) .................................................................................... 582
23. PERFIS DE ACESSO DE USUÁRIOS ..........................................................................................................585

23.2. CADASTRANDO PERFIS DE ACESSO .............................................................................................................. 585
23.3. GERAL .................................................................................................................................................. 589
23.4. FTP E GOPHER ..................................................................................................................................... 590
23.5. HTTP/HTTPS ....................................................................................................................................... 594
23.6. MSN MESSENGER .................................................................................................................................. 602
23.7. REGRAS DE SEGURANÇA ........................................................................................................................... 605
23.8. REGRAS ................................................................................................................................................ 608
23.9. REGRAS SOCKS ..................................................................................................................................... 609
23.10. VPN SSL (PROXY SSL) ............................................................................................................................ 610
23.11. SECURE ROAMING .................................................................................................................................. 613
23.12. FILTROS DE APLICAÇÃO ............................................................................................................................ 615
23.13. ASSOCIANDO USUÁRIOS COM PERFIS DE ACESSO .......................................................................................... 617
24. AUTENTICAÇÃO DE USUÁRIOS ..............................................................................................................622
24.1. VISUALIZANDO E REMOVENDO USUÁRIOS CONECTADOS NO FIREWALL.............................................................. 622

24.2. UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWLIST) ...................................................................................... 625
25. CONFIGURANDO O PROXY SMTP .....................................................................................................................628
25.1. EDITANDO OS PARÂMETROS DE UM CONTEXTO SMTP ................................................................................... 630
26. CONFIGURANDO O PROXY TELNET ..................................................................................................................652
26.1.1. EDITANDO OS PARÂMETROS DE UM CONTEXTO TELNET................................................................................... 652
27. CONFIGURANDO O PROXY FTP ........................................................................................................................657
27.1. EDITANDO OS PARÂMETROS DE UM CONTEXTO FTP ....................................................................................... 658
28. CONFIGURANDO O PROXY POP3 .....................................................................................................................662
28.1. EDITANDO OS PARÂMETROS DE UM CONTEXTO POP3 .................................................................................... 663
29. UTILIZANDO AS QUOTAS .................................................................................................................................669
29.1. EDITANDO OS PARÂMETROS DO USO DE QUOTA ........................................................................................... 670
30. CONFIGURANDO O FILTRO WEB ......................................................................................................................675

30.2. EDITANDO OS PARÂMETROS DE FILTRO WEB ................................................................................................ 678
30.3. EDITANDO OS PARÂMETROS DO CACHE (CACHE HIERÁRQUICO) ........................................................................ 724
30.4. UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWCACHE) ................................................................................... 727
30.5. EDITANDO OS PARÂMETROS DE SESSÕES WEB .............................................................................................. 729
30.6. COMO CALCULAR O TEMPO DE CONEXÃO WEB ............................................................................................ 731
31. CONFIGURANDO O PROXY SOCKS....................................................................................................................740

31.2. EDITANDO OS PARÂMETROS DO PROXY SOCKS ............................................................................................ 741
32. CONFIGURANDO O PROXY RPC E O PROXY DCE-RPC .......................................................................................744

5
32.1. EDITANDO OS PARÂMETROS DE UM CONTEXTO RPC ...................................................................................... 745
33. CONFIGURANDO O PROXY MSN ......................................................................................................................752
33.1.1. PLANEJANDO A INSTALAÇÃO...................................................................................................................... 752

33.2. EDITANDO OS PARÂMETROS DO PROXY MSN ............................................................................................... 753
33.3. COMO CALCULAR OS TEMPOS DE NAVEGAÇÃO DOS CHATS DO MSN MESSENGER. ............................................... 757
34. CONFIGURANDO O DPI – DEEP PACKET INSPECTION (FILTRAGEM DE APLICAÇÕES – IDS/IPS) .........................764
34.1.1. PLANEJANDO A INSTALAÇÃO...................................................................................................................... 764

34.1.2. CRIANDO REGRAS DE FILTRAGEM DE APLICAÇÕES ......................................................................................... 765
34.2. CRIANDO FILTROS DE APLICAÇÕES .............................................................................................................. 768
35. CONFIGURANDO IDS/IPS .................................................................................................................................775
35.1. ACESSANDO O MÓDULO IPS/IDS............................................................................................................... 775

35.2. CONFIGURANDO OS PARÂMETROS DPI, E IDS/IPS. ....................................................................................... 786
35.3. VISUALIZANDO OS IPS BLOQUEADOS ........................................................................................................... 790
35.4. INSTALANDO O PLUGIN PARA IDS EXTERNO NO WINDOWS ............................................................................. 793
35.5. UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWPORTSCAN) - PORTSCAN ............................................................ 799
35.6. UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWIDS) - IDS EXTERNO .................................................................. 800
36. CONFIGURAÇÕES TCP/IP .................................................................................................................................804
36.1. CONFIGURAÇÃO TCP/IP .......................................................................................................................... 804

36.2. DHCP .................................................................................................................................................. 805
36.3. DNS .................................................................................................................................................... 809
36.4. INTERFACES DE REDE ............................................................................................................................... 810
36.5. ROTEAMENTO ........................................................................................................................................ 815
36.5.1. GERAL .................................................................................................................................................. 818
36.6. RIP ...................................................................................................................................................... 819
36.7. RIP INTERFACE TEXTO (VIA SSH) ............................................................................................................... 820
36.8. OSPF ................................................................................................................................................... 831
36.9. OSPF INTERFACE TEXTO (VIA SSH) ............................................................................................................ 832
36.10. BGP .................................................................................................................................................... 848
36.11. AVANÇADO............................................................................................................................................ 871
36.12. UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWKEY) NAS CHAVES DE ATIVAÇÃO .................................................. 876
36.13. UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWINTERFACE) NA CONFIGURAÇÃO TCP/IP ....................................... 876
36.14. UTILIZANDO A INTERFACE TEXTO (VIA SSH-AKWIRELESS) NA CONFIGURAÇÃO DE WIRELESS .................................. 884
36.15. MÓDULO DE WIDS ................................................................................................................................ 888
36.16. UTILIZANDO A INTERFACE TEXTO (VIA SSH-AKDDNS) NA CONFIGURAÇÃO DE DDNS ............................................ 891
36.17. CONFIGURAÇÃO DE INTERNET MÓVEL ......................................................................................................... 894
36.18. AGREGAÇÃO DE LINK ............................................................................................................................... 914
36.19. PADRÃO IEEE DE LINK AGGREGATION ........................................................................................................ 916
36.20. CRIANDO INTERFACES LINK AGGREGATION................................................................................................... 917
36.21. CUSTOMIZAÇÃO MANUAL ........................................................................................................................ 920
36.22. WIRELESS .............................................................................................................................................. 921
36.23. O QUE É O WDS? ................................................................................................................................... 924
37. AKER FIREWALL EM MODO BRIDGE .................................................................................................................931
37.1. CRIANDO INTERFACES BRIDGE ................................................................................................................... 931
38. CONFIGURANDO O FIREWALL EM CLUSTER .....................................................................................................935

6
38.1. PLANEJANDO A INSTALAÇÃO ..................................................................................................................... 935
38.2. CONFIGURAÇÃO DO CLUSTER .................................................................................................................... 937
38.3. ESTATÍSTICA DO CLUSTER ......................................................................................................................... 942
38.4. CONFIGURANDO UM CLUSTER COORPORATIVO ............................................................................................. 944
38.5. UTILIZANDO A INTERFACE TEXTO (VIA SSH-FWCLUSTER) ................................................................................ 954
39. ARQUIVOS DO SISTEMA...................................................................................................................................958
39.1. ARQUIVOS DO SISTEMA............................................................................................................................ 958
40. AKER FIREWALL BOX ........................................................................................................................................963
41. AKER CLIENT ....................................................................................................................................................967
41.1. AUTENTICAÇÃO ...................................................................................................................................... 968

41.2. VPN .................................................................................................................................................... 968
41.3. TUNELAMENTO ...................................................................................................................................... 972
41.4. CRIPTOGRAFIA........................................................................................................................................ 977
41.5. CERTIFICADOS DIGITAIS ............................................................................................................................ 983
41.6. CLIENTE DE AUTENTICAÇÃO ...................................................................................................................... 985
41.7. INSTALAÇÃO DO AKER CLIENT.................................................................................................................... 986
41.8. CONFIGURAÇÃO DO AKER CLIENT............................................................................................................... 999
41.9. CERTIFICADOS ...................................................................................................................................... 1008
41.10. REQUISIÇÕES DE CERTIFICADO ................................................................................................................. 1010
41.11. DISPOSITIVOS CRIPTOGRÁFICOS ............................................................................................................... 1013
41.12. SEGURANÇA......................................................................................................................................... 1015
41.13. LOGS .................................................................................................................................................. 1016
41.14. SOBRE ................................................................................................................................................ 1017
42. AKER WEB CONTENT ANALYZER - AWCA ....................................................................................................... 1025
42.1. INTRODUÇÃO ....................................................................................................................................... 1025

42.2. PRÉ-REQUISITOS ................................................................................................................................... 1027
42.3. INSTALANDO O AKER WEB CONTENT ANALYZER ......................................................................................... 1027
42.4. INSTALAÇÃO EM AMBIENTE WINDOWS ..................................................................................................... 1028
42.5. INSTALAÇÃO EM AMBIENTE LINUX............................................................................................................ 1035
42.6. CONFIGURAÇÃO DO AWCA .................................................................................................................... 1040
42.7. GERENCIAMENTO DA BASE DE URLS ......................................................................................................... 1041
42.8. CATEGORIAS ........................................................................................................................................ 1046
42.9. TESTE DE URL ...................................................................................................................................... 1056
43. AKER SPAM METER - ASM ............................................................................................................................. 1059
43.1. INTRODUÇÃO ....................................................................................................................................... 1059

43.2. APRESENTANDO O PRODUTO ASM........................................................................................................... 1060
43.3. COMO FUNCIONA A CLASSIFICAÇÃO .......................................................................................................... 1060
43.4. AKER CONTROL CENTER ......................................................................................................................... 1061
43.5. BANCO DE DADOS................................................................................................................................. 1063
43.6. CLASSIFICAÇÃO DE E-MAIL ...................................................................................................................... 1067
43.7. CONFIGURAÇÕES DO FILTRO ................................................................................................................... 1070
43.8. GRÁFICO DE NOTAS ............................................................................................................................... 1073
43.9. ANEXO – PLUGINS ................................................................................................................................. 1074
44. AKER ANTIVÍRUS - AKAV ................................................................................................................................ 1076
44.1. INTRODUÇÃO ....................................................................................................................................... 1076

7
44.2. APRESENTAÇÃO DO PRODUTO ................................................................................................................. 1077
44.3. CARACTERÍSTICAS PRINCIPAIS .................................................................................................................. 1078
44.4. O AKER ANTIVÍRUS MODULE .................................................................................................................. 1079
44.5. CONFIGURANDO O AKER ANTIVÍRUS MÓDULO ........................................................................................... 1079
44.6. CONFIGURAÇÕES .................................................................................................................................. 1081
44.7. INFORMAÇÕES DO ENGINE...................................................................................................................... 1082
44.8. GERENCIAMENTO DE ATUALIZAÇÕES ......................................................................................................... 1084
45. APÊNDICE A – MENSAGENS DO SISTEMA ....................................................................................................... 1089
45.1. MENSAGENS DO LOG DO FIREWALL .......................................................................................................... 1089

 Autenticação/Criptografia .............................................................................................................. 1089
 Criptografia IPSEC ........................................................................................................................... 1089
 Outros .............................................................................................................................................. 1090
45.2. MENSAGENS DOS EVENTOS DO FIREWALL .................................................................................................. 1094
 Acesso no console............................................................................................................................ 1094
 Analisador de URLs integrado ........................................................................................................ 1094
 Antivírus integrado ......................................................................................................................... 1095
 Autenticação/Criptografia .............................................................................................................. 1095
 Carregar ........................................................................................................................................... 1096
 Certificado do servidor .................................................................................................................... 1097
 Cluster cooperativo ......................................................................................................................... 1099
 Controle de QoS ............................................................................................................................... 1099
 Conversão de Endereço (NAT) ......................................................................................................... 1100
 Criptografia IPSEC ........................................................................................................................... 1101
 Daemon CLR .................................................................................................................................... 1101
 Daemon de conexão PPTP .............................................................................................................. 1102
 Daemon de IPS/IDS e Análise de aplicativos .................................................................................. 1102
 Daemon de log ................................................................................................................................ 1105
 Daemon de monitoramento de links .............................................................................................. 1106
 Daemon de Quotas ......................................................................................................................... 1106
 Daemon IPSEC-IKE ........................................................................................................................... 1107
 Daemons do firewall ....................................................................................................................... 1108
 Filtro de pacote ............................................................................................................................... 1113
 IDS .................................................................................................................................................... 1113
 Leitura e exportação de logs ........................................................................................................... 1115
 Módulo de configuração do cluster ................................................................................................ 1115
 Módulo de controle do cluster ........................................................................................................ 1115
 Módulo de estado do cluster .......................................................................................................... 1117
 Protocolos de roteamento .............................................................................................................. 1117
 Proxies Transparentes ..................................................................................................................... 1118
 Proxy FTP ......................................................................................................................................... 1119
 Proxy H323 (H225.0) ....................................................................................................................... 1120
 Proxy H323 (H245)........................................................................................................................... 1120
 Proxy HTTP ...................................................................................................................................... 1121
 Proxy HTTPS..................................................................................................................................... 1124
 Proxy MSN Messenger .................................................................................................................... 1127
 Proxy POP3 ...................................................................................................................................... 1129
 Proxy Real Áudio ............................................................................................................................. 1131

8
 Proxy RTSP ....................................................................................................................................... 1132
 Proxy SIP .......................................................................................................................................... 1132
 Proxy SMTP...................................................................................................................................... 1133
 Proxy SOCKS .................................................................................................................................... 1137
 Proxy SSL.......................................................................................................................................... 1140
 Proxy TELNET ................................................................................................................................... 1141
 Retreinamento para Spam Meter ................................................................................................... 1143
 Secure Roaming ............................................................................................................................... 1143
 Servidor de Acesso .......................................................................................................................... 1144
 Servidor de autenticação ................................................................................................................ 1146
 SpamMeter integrado ..................................................................................................................... 1147
45.3. FORMATO DE EXPORTAÇÃO DE LOGS E EVENTOS .......................................................................................... 1148
45.4. EVENTOS GERADOS PELO FILTRO WEB ...................................................................................................... 1148
45.5. EVENTOS GERADOS PELO PROXY MSN ...................................................................................................... 1151
45.6. EVENTOS GERADOS PELO PROXY POP3 ..................................................................................................... 1155
45.7. EVENTOS GERADOS PELO PROXY SMTP .................................................................................................... 1156
45.8. EVENTOS GERADOS PELO MÓDULO DE IDS/IPS E FILTRO DE APLICATIVOS ........................................................ 1158
45.9. EVENTOS GERADOS PELO AKER ANTIVÍRUS MODULE .................................................................................... 1160
45.10. EVENTOS GERADOS PELO AKER WEB CONTENT ANALIZER ............................................................................. 1164
45.11. EVENTOS GERADOS PELO AKER SPAM METER ............................................................................................. 1169
46. APÊNDICE B - COPYRIGHTS E DISCLAIMERS.................................................................................................... 1179
Índice de Figuras
Figura 1 – Seleção do idioma para realizar a instalação. ......................................................... 36

Figura 2 - Mensagem de boas vindas do Assistente de Instalação do Aker Control Center 2.
.................................................................................................................................................. 37
Figura 3 - Contrato de licença do Programa. ........................................................................... 38
Figura 4 – Informações do usuário. ......................................................................................... 39
Figura 5 - Pasta de destino. ...................................................................................................... 40
Figura 6 – Instalação em pasta especifica. .............................................................................. 40
Figura 7 - Pronto para instalar o aplicativo.............................................................................. 41
Figura 8 - Barra de status da instalação. .................................................................................. 42
Figura 9 - Mensagem de instalação realizada com êxito. ........................................................ 43
Figura 10 - Termo de Licença. .................................................................................................. 63
Figura 11 - Editar configurações .............................................................................................. 65
Figura 12 - Removendo Interface de rede ............................................................................... 66
Figura 13 - Inserindo uma nova interface ................................................................................ 67
Figura 14 - Escolha do tipo de hardware ................................................................................. 68
Figura 15 - Tipo de adaptador.................................................................................................. 69
Figura 16 - Interface VMxNet3................................................................................................. 70
9
Figura 17 - Sistema de licenciamento automático do Aker Firewall ....................................... 76
Figura 18 - Janela de ativação de Licença ................................................................................ 78
Figura 19 - Formulário para Solicitação de Licença ................................................................. 79
Figura 20 - Erro na Janela do Pedido de licença (DNS não configurado)................................. 80
Figura 21 – Objetos gerenciáveis (Status)................................................................................ 81
Figura 22 – Janela Status.......................................................................................................... 82
Figura 23 – Janela de ativação de licença ................................................................................ 83
Figura 24 – Janela de localização do arquivo da licença.......................................................... 84
Figura 25 – Janela de ativação da licença ................................................................................ 85
Figura 26 – A licença foi aplicada com sucesso ....................................................................... 85
Figura 27 – Acessando o Aker Control Center 2. ..................................................................... 90
Figura 28 - Menu opções. ........................................................................................................ 91
Figura 29 - Tempo de sessão ociosa. ....................................................................................... 92
Figura 30 – Esconder regras. .................................................................................................... 92
Figura 31 – Desabilitar perguntas. ........................................................................................... 92
Figura 32 - Escolha do idioma que deseja acessar o Aker Control Center. ............................. 93
Figura 33 – Cor de fundo do Aker Control Center. .................................................................. 93
Figura 34 – Selecionar cor. ....................................................................................................... 94
Figura 35 - Botão: Padrão. ....................................................................................................... 94
Figura 36 - Aviso de sair do programa. .................................................................................... 94
Figura 37 - Menu Janelas. ........................................................................................................ 95
Figura 38 - Dispositivos remotos ............................................................................................. 95
Figura 39 - Entidades............................................................................................................... 96
Figura 40 - Menu Ajuda............................................................................................................ 96
Figura 41 - Configuração Automática de Atualização. ............................................................. 96
Figura 42 - Notificador de Atualizações. .................................................................................. 97
Figura 43 - Notificador de Instalação de Atualizações............................................................. 97
Figura 44 - Atualizações prontas. ............................................................................................. 98
Figura 45 - Informações sobre o item: Sobre ......................................................................... 98
Figura 46 - Menu Aker Firewall. ............................................................................................... 99
Figura 47 - Caixa de descrição de entidade. .......................................................................... 100
Figura 48 – Botão: Criar novo dispositivo remoto. ................................................................ 100
Figura 49 - Caixa de edição do dispositivo remoto. ............................................................... 101
Figura 50 - Informações requeridas para Editar o Dispositivo Remoto. ............................... 102
Figura 51 – Ícone utilizado para o carregamento de arquivo. ............................................... 103
Figura 52 - Ícone utilizado para mostrar informações do certificado. .................................. 103
Figura 53 - Tipos de autenticação (usuário, domínio e senha) para editar o Dispositivo Remoto.
................................................................................................................................................ 104
Figura 54 – Botão Conectar. .................................................................................................. 105
Figura 55 - Interface conectada ao Firewall escolhido. ......................................................... 105
Figura 56 – Notificação informando que o Firewall já está sendo configurado. ................... 107

10
Figura 57 - Finalizador de administração remota do Aker Firewall (Desconectar do dispositivo
remoto). ................................................................................................................................. 107
Figura 58 – Botão: Sair deste programa. ............................................................................... 107
Figura 59 - Dispositivos remotos (realizar mudança de senha). ............................................ 108
Figura 60 - Mudar Senha (inserir senha antiga, a nova senha e confirmação da mesma).... 109
Figura 61 - Dispositivos remotos (Visualizar Informações da sessão). .................................. 110
Figura 62 - Informação da sessão (mostra dados do Firewall, Licença e Usuário). ............... 111
Figura 63 – Botão: Carregar/Mostrar licença. ....................................................................... 112
Figura 64 - Informações sobre ativação de licenças. ............................................................. 113
Figura 65 – Botão: Salvar um backup do item selecionado. .................................................. 113
Figura 66 - Download das configurações personalizadas e bases de treinamento. .............. 114
Figura 67 - Backup Informações de log. ................................................................................. 114
Figura 68 - Tela de escolha de arquivo para salvar configurações. ....................................... 115
Figura 69 - Salvar o backup automaticamente. ..................................................................... 116
Figura 70 - Botões para restauração de backup. ................................................................... 116
Figura 71- Botão: Carrega backup do arquivo. ...................................................................... 117
Figura 72 - Escolha de arquivo para carregar dados de configuração................................... 117
Figura 73 - Restauração do backup do Antivírus Module...................................................... 118
Figura 74 - Restauração do backup do Aker Spam Meter. .................................................... 118
Figura 75 - Restauração do backup da Web Content Analyzer. ............................................ 119
Figura 76 - Comando usado para salvar o backup ................................................................. 120
Figura 77 - Backup via FTP ..................................................................................................... 120
Figura 78 - Comando usado para salvar o backup e envia-lo via ftp. .................................... 121
Figura 79 - Reiniciar o Firewall. .............................................................................................. 121
Figura 80 - Botão: Atualizações. ............................................................................................ 122
Figura 81 - Sistema de atualização de dados do Firewall. ..................................................... 123
Figura 82 – Botão: Carregar arquivo de atualização.............................................................. 124
Figura 83 - Escolha do arquivo para atualização ou correção. .............................................. 125
Figura 84 – Aplicar patch ou hotfix. ....................................................................................... 125
Figura 85 – Aplicar rollback. ................................................................................................... 125
Figura 86 - Visualização de históricos de aplicação de patches e hotfixes............................ 126
Figura 87 - Acessando o Aker Firewall. .................................................................................. 127
Figura 88 - Notificação sobre atualizações disponíveis no Aker Update System. ................. 127
Figura 89 - Visualizando atualizações disponíveis por meio do Aker Update System. ......... 128
Figura 91 - Acessando as janelas do Aker Update System. ................................................... 129
Figura 93 - Menu - ajuda. ....................................................................................................... 130
Figura 94 – Janela de acesso (Reempacotar Aker Client) ...................................................... 131
Figura 95 – Reempacotar Aker Client .................................................................................... 132
Figura 96 - Janela de DNS reverso. ........................................................................................ 132

11
Figura 97 - DNS reverso. ........................................................................................................ 133
Figura 98 - Simulação de Regras de Filtragem. ...................................................................... 134
Figura 99 - Simulação de Regras de Filtragem (origem do pacote, destino, data, hora e
máscaras). .............................................................................................................................. 135
Figura 100 - Simulação de Regras de Filtragem (origem do pacote, destino, data, hora e
entidade). ............................................................................................................................... 136
Figura 101 – Relatório. ........................................................................................................... 137
Figura 102 - Relatório de configuração do firewall. .............................................................. 138
Figura 103 - Busca de Entidades. ........................................................................................... 139
Figura 104 - Busca de Entidades (procura de entidade com IP ou nome e últimos resultados).
................................................................................................................................................ 140
Figura 105 - Busca de Entidades (Serviços, protocolo e últimos resultados). ....................... 141
Figura 106 - Busca de Entidades (Regras, entidades e últimos resultados). ......................... 142
Figura 107 – Busca de Common Name .................................................................................. 143
Figura 108 - Busca de Common Name ................................................................................... 144
Figura 109 - Entidades ........................................................................................................... 145
Figura 110 - Lista de padrões de busca .................................................................................. 145
Figura 111 - Entidade "lista de padrões de busca" ................................................................ 146
Figura 112 - Opção de operação ............................................................................................ 146
Figura 113 - Common name .................................................................................................. 147
Figura 114- Hora .................................................................................................................... 148
Figura 115 - Período de validade ........................................................................................... 148
Figura 116 - Configuração do Firewall > Perfis ...................................................................... 149
Figura 117 - Http/Https .......................................................................................................... 149
Figura 118 - Aplicar regra http/https ..................................................................................... 150
Figura 119 - Janela de Alarmes. ............................................................................................ 151
Figura 120 - Janela de Alarmes (Descrição). .......................................................................... 152
Figura 121 - Mapa da Rede. ................................................................................................... 153
Figura -122 - Mapa da Rede. .................................................................................................. 154
Figura 123 - Estatísticas do Sistema....................................................................................... 155
Figura 124 - Estatísticas do Sistema....................................................................................... 156
Figura 125 – Relatório de estatística do sistema. .................................................................. 157
Figura 126 - Acesso a janela: Sniffer de tráfego de pacotes IP. ............................................. 158
Figura 127 - Sniffer de Pacotes – Sniffer 1. ............................................................................ 159
Figura 128 - Agentes Externos. .............................................................................................. 161
Figura 129 - Agentes Externos (nome, tipo e status). ........................................................... 162
Figura 130 - Verificador de Configuração. ............................................................................. 163
Figura 131 - Verificador de Configurações ............................................................................ 164
Figura 132 - Diagnósticos. ...................................................................................................... 165
Figura 133 - Janela de Diagnósticos: Tudo............................................................................. 166
Figura 134 - Janela de Diagnósticos: Ping .............................................................................. 167

12
Figura 135 - Janela de Diagnósticos: Traceroute. .................................................................. 168
Figura 136 - Janela de Diagnósticos: Netstat. ........................................................................ 169
Figura 137 - Janela de Diagnósticos: Nslookup...................................................................... 170
Figura 138 - Acesso a janela de Usuários administradores. .................................................. 172
Figura 139 - Janela de Usuários administradores (Usuários internos). ................................. 173
Figura 140 - Usuários Administradores: Agentes externos. .................................................. 177
Figura 141 - Usuários Administradores de autenticação - X509. .......................................... 179
Figura 142 – Importar certificado. ......................................................................................... 181
Figura 143 – Certificado (importado). ................................................................................... 181
Figura 144 – Exportar certificado........................................................................................... 182
Figura 145 – Certificado (exportado). .................................................................................... 182
Figura 146 – Detalhes do Certificado. .................................................................................... 183
Figura 147 – Opção de escolhas do servidor. ........................................................................ 185
Figura 148 - Execução do programa utilizando a Interface Texto (via SSH). ......................... 186
Figura 149 - Execução do programa para inclusão de usuários como administrados do Aker
Firewall. .................................................................................................................................. 187
Figura 150 - Execução do programa para a exclusão de usuários. ........................................ 188
Figura 151 - Execução do programa para a alteração de senha do usuário. ........................ 189
Figura 152 - Execução do programa para exibir a listagem de usuários e permissões. ........ 190
Figura 153 – Compactação do programa para exibir a compactação do arquivo de usuários.
................................................................................................................................................ 191
Figura 154 - Edição das configurações do Aker Configuration Manager. ............................. 192
Figura 155 - Edição das configurações do Aker Configuration Manager (Firewall habilitado).
................................................................................................................................................ 193
Figura 156 - Edição das configurações do Aker Configuration Manager (desabilita, modifica ou
retorna). ................................................................................................................................. 194
Figura 157 - Acesso aos dispositivos remotos (Parâmetros de configuração). ..................... 196
Figura 158 - Parâmetros de configuração do Aker Firewall: global....................................... 197
Figura 159 - Parâmetros de configuração: Log. ..................................................................... 199
Figura 160 - Parâmetros de configuração: Segurança. .......................................................... 202
Figura 161 - Parâmetros de configuração: SNMP. ................................................................. 205
Figura 162 - Parâmetros de configuração: Monitoramento.................................................. 208
Figura 163 - Parâmetros de configuração – Data e hora. ...................................................... 210
Figura 164 - Janela de entidades (Aker Firewall). .................................................................. 221
Figura 165 - Tecla F5 do teclado. ........................................................................................... 221
Figura 166 - Entidades: Instância Aker Firewall. .................................................................... 222
Figura 167 - Cadastro de entidade: Tipo Máquina. ............................................................... 223
Figura 168 - Exclusão de entidade ......................................................................................... 224
Figura 169 - Cadastro de entidade Tipo Máquina IPv6. ........................................................ 225
Figura 170 - Inclusão e edição de redes................................................................................. 227
Figura 171 - Inclusão e edição de redes IPv6. ........................................................................ 228

13
Figura 172 - Inclusão e edição de conjuntos.......................................................................... 230
Figura 173 - Adição de entidades. ......................................................................................... 231
Figura 174 - Edição de conjuntos IPv6. .................................................................................. 232
Figura 175 - Edição de conjuntos IPv6 (entidades a ser adicionada). ................................... 233
Figura 176 - Inclusão e edição das listas de categorias. ........................................................ 234
Figura 177 - Inclusão e edição dos padrões de buscas. ......................................................... 235
Figura 178 - Inclusão e edição de quotas. ............................................................................. 236
Figura 179 - Inclusão e edição de agentes externos. ............................................................. 237
Figura 180 - Cadastro de um agente externo tipo autenticador ou autenticados token. .... 239
Figura 181 - Cadastro de um agente externo tipo Autoridade Certificadora. ....................... 240
Figura 182 - Definição de Pseudo-Grupos para usuários que se autenticarem por meio de
autoridade certificadora. ....................................................................................................... 242
Figura 183 - Cadastro de agente externo tipo Agente IDS. ................................................... 243
Figura 184 - Cadastro de agente externo tipo Analisador de texto. ..................................... 243
Figura 185 - Cadastro de agente externo tipo Módulo de Antivírus. .................................... 244
Figura 186 - Cadastro de agente externo tipo Spam Meter. ................................................. 244
Figura 187 - Cadastro de agente externo Servidor Remoto. ................................................. 245
Figura 188 - Cadastro de agente externo Autenticador LDAP. .............................................. 246
Figura 189 - Cadastro de agente externo Autenticador Radius. ........................................... 248
Figura 190 - Inclusão e edição de serviços............................................................................. 249
Figura 191 - Inclusão e edição de interfaces. ........................................................................ 251
Figura 192 - Inclusão e edição de listas de e-mails. ............................................................... 252
Figura 193 - Opção para realizar uma operação sobre um e-mail ou domínio. .................... 253
Figura 194 - Lista dos tipos de arquivos................................................................................. 254
Figura 195 - Opção para realizar uma operação (Entrada da lista). ...................................... 254
Figura 196 - Acumuladores. ................................................................................................... 255
Figura 197 - Cadastro de entidade tipo Canal. ...................................................................... 257
Figura 198 - Mensagem de entrada no Assistente de criação de entidades......................... 264
Figura 199 - Escolha do tipo de entidade. ............................................................................. 265
Figura 200 - Inserção do endereço de IP da máquina. .......................................................... 266
Figura 201 - Atribuição do nome da entidade. ...................................................................... 267
Figura 202 - Escolha do ícone da entidade. ........................................................................... 268
Figura 203 - Mensagem de finalização do cadastramento de entidades. ............................. 269
Figura 204 – Esquema de funcionamento de um PIM .......................................................... 274
Figura 205 - Dispositivos remotos (Acesso a janela de configuração das regras). ................ 278
Figura 206 - Janelas de regras de filtragem. .......................................................................... 278
Figura 207 - Menu com opções de entidades referente ao campo. ..................................... 279
Figura 208 - Ícones de verificação de regras. ........................................................................ 282
Figura 209 - Verificador de regras. ........................................................................................ 283
Figura 210 - Regras de filtragem (Exemplo de canal de 10Mb - ADSL). ................................ 284
Figura 211 - Ajustes de prioridade de canal. ......................................................................... 284

14
Figura 212 - Exemplo de como trabalhar com políticas de filtragem.................................... 285
Figura 213 - Exemplo de regras de filtragem. ........................................................................ 286
Figura 214 - Interface regras de filtragem. ............................................................................ 286
Figura 215 - Barra de ícones (Política). .................................................................................. 286
Figura 216 - Exibição das regras de filtragem. ....................................................................... 287
Figura 217 - Assistente de regras filtragem (janela exibida quando um número pequeno de
regras for detectado. ............................................................................................................. 291
Figura 218 - Mensagem de boas-vindas ao Assistente de regras filtragem. ......................... 292
Figura 219 - Escolha da rede interna e configuração inicial. ................................................. 293
Figura 220 - Tela de acesso para escolha de acesso restrito ou não à internet. ................... 294
Figura 221 - Escolha se possui ou não DMZ. .......................................................................... 295
Figura 222 - Escolha da entidade DMZ. ................................................................................. 296
Figura 223 - Máquinas DMZ (acesso restrito ou não à Internet). ......................................... 297
Figura 224 - Escolha para configurar outro servidor ou não. ................................................ 302
Figura 225 - Aviso de finalização de configuração das regras de filtragem. ......................... 303
Figura 226 - Janela com as regras de Pipes. .......................................................................... 304
Figura 227 - Exemplo 1 de configuração do Aker Firewall (interligando departamentos). .. 312
Figura 228 - Exemplo 2 de configuração do Aker Firewall (múltiplas ligações com a Internet).
................................................................................................................................................ 314
Figura 229 - Exemplo 3 de configuração do Aker Firewall (montando regras de conversão de
endereços). ............................................................................................................................. 316
Figura 230 - Janela de configuração da conversão de endereços. ........................................ 317
Figura 231 – Janela de configuração da conversão de endereços (NAT). .............................. 318
Figura 232 - Janela de configuração de balanceamento de link. ........................................... 320
Figura 233 - Janela de configuração para adicionar entidades. ............................................ 322
Figura 234 - Janela de inclusão de regras de NAT. ................................................................ 323
Figura 235 - Janela de configuração para ações que deseja ser realizada. ........................... 325
Figura 236 - Máscaras de rede da entidade de origem e virtual devem ser iguais. .............. 325
Figura 237 - Configuração dos parâmetros de monitoramento a ser realizado pelo firewall.
................................................................................................................................................ 326
Figura 238 - Exemplo 1, conversão de endereços. ................................................................ 329
Figura 239 - Exemplo 2, conversão de serviços. .................................................................... 330
Figura 240 - Balanceamento de link (primeira fase). ............................................................. 331
Figura 241 - Montagem das regras do NAT (Segunda fase). ................................................. 332
Figura 242 - Mensagem de boas-vindas ao Assistente de configuração de NAT. ................. 337
Figura 243 - Seleção das redes que tem a necessidade de acessar à Internet compartilhando
um endereço IP. ..................................................................................................................... 338
Figura 244 - Seleção do IP da máquina virtual para realizar a conversão de N-1. ................ 339
Figura 245 - Mensagem se deseja configurar os servidores acessíveis externamente. ........ 340
Figura 246 - Escolha da entidade que deseja tornar acessível na internet. .......................... 341

15
Figura 247 - Escolha do endereço IP utilizados por máquinas externas a ser utilizado no
servidor. ................................................................................................................................. 342
Figura 248 - Escolha para configurar mais servidores. .......................................................... 343
Figura 249 - Finalização do assistente de regras. .................................................................. 344
Figura 250 - Exemplo de configuração de um canal seguro firewall-firewall para uma sub-rede.
................................................................................................................................................ 356
Figura 251 - Canal seguro entre redes. .................................................................................. 358
Figura 252 - Dispositivos remotos (Acesso a janelas de Certificados IPSEC). ........................ 358
Figura 253 - Janela de Certificados IPSEC. ............................................................................. 359
Figura 254 - Barra de ferramentas (Certificados IPSEC). ....................................................... 360
Figura 255 - Janela de ação para Certificados IPSEC. ............................................................ 360
Figura 256 - Dispositivos remotos (Acesso a janela de Firewall/Firewall). ........................... 361
Figura 257 - Janela de Criptografia Firewall/Firewall. ........................................................... 362
Figura 258 - Menu de inserção, cópia ou exclusão para definição dos fluxos de criptografia.
................................................................................................................................................ 363
Figura 259 - Menu de inclusão ou alteração de fluxos. ......................................................... 363
Figura 260 - Configuração de canais IPSEC. ........................................................................... 364
Figura 261 – Definição dos algoritimos de criptográfica e autenticação permitidos pelo firewall
durante negociação das chaves IKE. ...................................................................................... 366
Figura 262 - Visualização do tráfego IPSEC. ........................................................................... 367
Figura 263 - Gráfico de acompanhamento (Bytes de logs transferidos). .............................. 368
Figura 264 - Exemplo de funcionamento VPN Fail over "link ativado e VPN desativada" .... 369
Figura 265 - Figura 245 - Exemplo de funcionamento VPN Fail over "link inativo e VPN ativada"
................................................................................................................................................ 370
Figura 266 - VPN fail over ...................................................................................................... 370
Figura 267 - Janela de configuração VPN Fail Over ............................................................... 371
Figura 268 - VPN Fail over ...................................................................................................... 372
Figura 269 - Dispositivos remoto (Acesso as configurações do Security Roaming). ............. 382
Figura 270 - Configuração geral do Security Roaming ........................................................... 383
Figura 271 - Configuração do Security Roaming. ................................................................... 384
Figura 272 - Lista de controle de acesso do Security Roaming. ............................................ 385
Figura 273 - Menu com escolha das entidades a ser adicionadas ........................................ 386
Figura 274 - Conjunto de endereços do Security Roaming ................................................... 387
Figura 275 - Configuração da VPN L2TP................................................................................. 389
Figura 276 - Menu com escolhas da entidade para adicionar. .............................................. 390
Figura 277 - Configurando o cliente L2TP (Windows Vista/XP). ............................................ 391
Figura 278 - Configurando o cliente L2TP (utilizando VPN). .................................................. 392
Figura 279 - Configurando o cliente L2TP (escolha do IP e nome da conexão). ................... 393
Figura 280 - Configurando o cliente L2TP (nome do usuário e senha utilizados para autenticar
o cliente de VPN no Aker Firewall). ....................................................................................... 394
Figura 281 - Configuração da VPN L2TP concluída. ............................................................... 395

16
Figura 282 – Propriedades de Conexão VPN (edição das propriedades de conexão)........... 396
Figura 283 - Configurando a VPN PP TP. ................................................................................ 397
Figura 284 - Menu com escolhas das entidades para adicionar............................................ 398
Figura 285 - Configurando o Cliente PPTP para autenticação com PAP (Windows Vista/XP).
................................................................................................................................................ 400
Figura 286 - Janela de configuração da VPN no Microsoft Windows®. ................................. 401
Figura 287 - Janela de configuração de rede da VPN no Microsoft Windows®. ................... 402
Figura 288 - Janela de configuração de usuário e senha da VPN no Microsoft Windows®. . 403
Figura 289 - Configuração da VPN no Microsoft Windows® concluída. ................................ 404
Figura 290 - Configurações do Servidor de autenticação Radius do Microsoft Windows
Server®. .................................................................................................................................. 406
Figura 291 - Configurações do Shared secret do servidor de autenticação Radius do Microsoft
Windows Server®. .................................................................................................................. 407
Figura 292 - Definição das regras de acesso remoto do servidor de autenticação Radius do
Microsoft Windows Server®. ................................................................................................. 408
Figura 293 - Especificação das condições de conexão do servidor de autenticação Radius do
Microsoft Windows Server®. ................................................................................................. 409
Figura 294 - Especificação das condições de conexão - Edição. ............................................ 410
Figura 295 - Especificação das condições de conexão – IP.................................................... 411
Figura 296 - Especificação das condições de conexão – Multilink. ....................................... 412
Figura 297 - Especificação das condições de conexão – Authentication. ............................. 413
Figura 298 - Especificação das condições de conexão – Encryption. .................................... 414
Figura 299 - Especificação das condições de conexão – Advanced. ...................................... 415
Figura 300 - Informações dos usuários podem efetuar autenticações. ................................ 416
Figura 301 - Propriedades dos usuários que podem efetuar autenticações. ........................ 417
Figura 302 - Clientes VPN - IPSEC........................................................................................... 420
Figura 303 - Lista de endereços que podem ser atribuídos aos clientes............................... 421
Figura 304 - Lista de endereços que são redes protegidas. .................................................. 422
Figura 305 - Configurações recomendadas para clientes de criptografia – Shared Secret. .. 424
Figura 306 - Configurações recomendadas para clientes de criptografia – X.509. ............... 425
Figura 307 - Configuração da VPN – General......................................................................... 426
Figura 308 - Configuração da VPN – Authentication. ............................................................ 427
Figura 309 - Configuração da VPN – Phase 1. ........................................................................ 427
Figura 310 - Configuração da VPN – Phase 2. ........................................................................ 428
Figura 311 - Configuração da VPN – Connect. ....................................................................... 428
Figura 312 - Configuração iPhone – certificado. .................................................................... 429
Figura 313 - Configuração iPhone– estabelecendo VPN. ...................................................... 430
Figura 314 - Configuração VPN com certificado. ................................................................... 431
Figura 315 - Configuração VPN - Authentication – Local Identity. ........................................ 431
Figura 316 - Configuração VPN - Authentication – Remote Identity. .................................... 432
Figura 317 - Configuração VPN - Authentication – Authentication Method. ........................ 432

17
Figura 318 - VPN SSL. ............................................................................................................. 433
Figura 319 - VPN SSL - Portais. ............................................................................................... 434
Figura 320 - VPN SSL - Applet. ............................................................................................... 436
Figura 321 – Mensagem de boas-vindas ao Assistente de Instalação do Aker Authentication
Agent. ..................................................................................................................................... 438
Figura 322 – Contrato de licença de instalação do programa. .............................................. 439
Figura 323 – Pasta de destino de instalação.......................................................................... 440
Figura 324 – Mensagem que o assistente está pronto para realizar a instalação. ............... 441
Figura 325 – Barra de status da instalação. ........................................................................... 442
Figura 326 – Mensagem de instalação do Aker Authentication Agent foi instalado com
sucesso. .................................................................................................................................. 443
Figura 327 - Perfil de acesso – Permissão VPN. ..................................................................... 444
Figura 328 - VPN SSL – Instruções gerais. .............................................................................. 445
Figura 329 - VPN SSL – Instruções gerais. .............................................................................. 448
Figura 330 - Edição dos parâmetros de um contexto SSL. .................................................... 449
Figura 331 - Exibição do certificado do proprietário – X.509. ............................................... 451
Figura 332 - Fluxo do pacote da rede interna ao atingir o firewall. ...................................... 454
Figura 333 - Fluxo do pacote da rede externa em direção à rede interna. ........................... 455
Figura 334 - SYN Flood. .......................................................................................................... 461
Figura 335 - SYN Flood – Ativação de proteção SYN Flood. .................................................. 462
Figura 336 - Proteção de Flood. ............................................................................................. 464
Figura 337 - Proteção de Flood - Configuração. .................................................................... 465
Figura 338 - Anti Spoofing...................................................................................................... 467
Figura 339 - Anti Spoofing – Ativação do controle. ............................................................... 468
Figura 340 - Bloqueio de excesso de tentativas de login inválidas - Eventos........................ 472
Figura 341 - Ações. ................................................................................................................. 475
Figura 342 - Ações – Mensagens de logs. .............................................................................. 476
Figura 343 - Ações a serem executadas para mensagens exibidas. ...................................... 477
Figura 344 - Ações: Parâmetros. ............................................................................................ 478
Figura 345 - Log. ..................................................................................................................... 487
Figura 346 - Barra de ferramentas de log. ............................................................................. 487
Figura 347 – Botão: Filtragem do Firewall. ............................................................................ 488
Figura 348 – Botão: Interromper busca do Firewall. ............................................................. 488
Figura 349 - Botão: Exportar log. ........................................................................................... 488
Figura 350 – Botão: Apagar log do Firewall. .......................................................................... 488
Figura 351 - Botão: Resolução reversa dos IP ........................................................................ 488
Figura 352 - Botão: atualização de telas de log. .................................................................... 488
Figura 353 - Botão: tempo de atualização do log. ................................................................. 489
Figura 354 - Botão: percorre log. ........................................................................................... 489
Figura 355 - Botão: expandir mensagens de log.................................................................... 489
Figura 356 - Filtro de log. ....................................................................................................... 490

18
Figura 357 - Filtro de log. ....................................................................................................... 492
Figura 358 - Lista com várias entradas de log........................................................................ 495
Figura 359 - Exportador de log. ............................................................................................. 496
Figura 360 - Barra de exportação de log – porcentagem realizada....................................... 497
Figura 361 - Eventos............................................................................................................... 506
Figura 362 - Barra de ferramentas: Eventos. ......................................................................... 506
Figura 363 - Filtro de eventos. ............................................................................................... 507
Figura 364 - Descrição dos Eventos. ...................................................................................... 510
Figura 365 - Exportar log de eventos. .................................................................................... 512
Figura 366 - Janelas de eventos - Estatística. ........................................................................ 516
Figura 367 - Regras de estatística. ......................................................................................... 517
Figura 368 - Barra de ferramentas - Regras de estatística. ................................................... 518
Figura 369 - Visualizar Estatísticas. ........................................................................................ 519
Figura 370 - Botão: gráfico. .................................................................................................... 519
Figura 371 - Botão: Texto. ...................................................................................................... 519
Figura 372 - Botão: remover. ................................................................................................. 520
Figura 373 - Visualizar Estatísticas – Gráfico. ........................................................................ 521
Figura 374 - Botão: salvar estatística. .................................................................................... 521
Figura 375 - Exportar Estatística. ........................................................................................... 522
Figura 376 - Barra de ferramentas: visualização das estatísticas. ......................................... 522
Figura 377 -: Conexões TCP.................................................................................................... 527
Figura 378 - Conexões TCP – Conexões IPv4. ........................................................................ 528
Figura 379 - Conexões TCP – Conexões IPv6. ........................................................................ 529
Figura 380 - Barra de ferramentas: conexões TCP. ............................................................... 529
Figura 381 - Conexões TCP – Gráfico de conexões IPv4. ....................................................... 531
Figura 382 - Relatório............................................................................................................. 536
Figura 383 - Configurando relatório - Diário.......................................................................... 537
Figura 384 - Configuração do relatório - geral. ...................................................................... 538
Figura 385 - Configuração do relatório – sub-relatório. ........................................................ 539
Figura 386 - Configuração do relatório – método de publicação. ......................................... 541
Figura 387 - Configuração do relatório – método de SMTP. ................................................. 542
Figura 388 - Janela de acesso: Exportação Agendada de Logs e Eventos. ............................ 546
Figura 389 - Exportação Agendada de Logs e Eventos - diário. ............................................. 547
Figura 390 - Configuração da Exportação Agendada de Logs e Eventos - geral. ................... 548
Figura 391 - Configuração da Exportação Agendada de Logs e Eventos – método de
publicação. ............................................................................................................................. 549
Figura 392 - Configuração da Exportação Agendada de Logs e Eventos – tipo de publicação.
................................................................................................................................................ 550
Figura 393 - Funcionamento básico de um Proxy tradicional. .............................................. 553
Figura 394 - Funcionamento básico de um Proxy transparente. .......................................... 554
Figura 395 - Proxies transparentes e contextos. ................................................................... 554

19
Figura 396 - Agente de autenticação - Aker. ......................................................................... 560
Figura 397 - Agente de autenticação – Firewall Aker. ........................................................... 561
Figura 398 - Agente de autenticação - Log. ........................................................................... 562
Figura 399 - Agente de autenticação - Sobre. ....................................................................... 563
Figura 400 - Autenticação. ..................................................................................................... 565
Figura 401 - Autenticação de acesso: Controle de acesso. ................................................... 566
Figura 402 - Autenticação de acesso: Listagem de grupos ou usuários. ............................... 567
Figura 403 - Autenticação de acesso: Escolha do perfil desejado. ........................................ 568
Figura 404 - Autenticação de acesso: Métodos. .................................................................... 569
Figura 405 - Autenticação de acesso: Adicionar entidades. .................................................. 571
Figura 406 - Autenticação de acesso: Remover entidades. ................................................... 571
Figura 407 - Autenticação de acesso: Métodos 1. ................................................................. 572
Figura 408 - Autenticação de acesso: Métodos (habilitar autenticação do Token). ............. 573
Figura 409 - Autenticação de acesso: Autenticação para proxies. ........................................ 574
Figura 410 - Autenticação de acesso: Autenticação local. .................................................... 575
Figura 411 - Menu para inclusão de usuário. ........................................................................ 575
Figura 412 - Autenticação – Autenticação local. ................................................................... 576
Figura 413 - Autenticação – alteração de senha ou grupo. ................................................... 576
Figura 414 - Autenticação local – criar ou remover grupos. ................................................. 577
Figura 415 - Controle de acesso por IP. ................................................................................. 578
Figura 416 - Configuração NTLM. .......................................................................................... 579
Figura 417 - Segurança do Windows – solicitação de usuário e senha. ................................ 581
Figura 418 - regra de liberação de consulta do certificado ................................................... 581
Figura 419 - IPS....................................................................................................................... 581
Figura 420 - Perfis. ................................................................................................................. 586
Figura 421 - Perfis – Aker Firewall. ........................................................................................ 587
Figura 422 - Opções de configuração de perfil ..................................................................... 587
Figura 423 - Perfis: Geral........................................................................................................ 589
Figura 424 - Perfis: FTP e GOPHER. ........................................................................................ 590
Figura 425 - Menu de opções (Perfis). .................................................................................. 591
Figura 426 - Opções de operação .......................................................................................... 592
Figura 427 - Geral: HTTP e HTTPS. ......................................................................................... 594
Figura 428 - Janela de acesso: Bloqueio de Banners. ............................................................ 595
Figura 429 - Bloqueio de Banners (URL de banners). ............................................................ 596
Figura 430 - Perfis: bloqueio de URL. ..................................................................................... 597
Figura 431 - Barra de ferramentas (inserir ou desabilitar). ................................................... 597
Figura 432 - Perfis: Arquivos bloqueados. ............................................................................. 599
Figura 433 - Escolhas de operações. ...................................................................................... 600
Figura 434 - Perfis – MSN Messenger. ................................................................................... 602
Figura 435 - Menu (inserir/desabilitar) para executar qualquer operação sobre a regra. ... 603
Figura 436 – Regras de segurança ......................................................................................... 605

20
Figura 437 – Menu opções de plataforma ............................................................................. 606
Figura 438 – Menu de opções Itens ....................................................................................... 606
Figura 439 - verificar filtro por Linux...................................................................................... 607
Figura 440 - Regras: regras de filtragem para o perfil de acesso. ......................................... 608
Figura 441 - Perfis: Socks. ...................................................................................................... 609
Figura 442 - Perfis: VPN-SSL (Proxy SSL). ............................................................................... 610
Figura 443 - Conexão Direta: Proxy Reverso SSL. .................................................................. 611
Figura 444 - Conexão Via Apllet. ............................................................................................ 611
Figura 445 - Conexão Cliente Applet / SSL / Normal. ............................................................ 611
Figura 446 - Perfis: Secure Roaming. ..................................................................................... 613
Figura 447 - Perfis: Security Roaming (conjunto de endereços). .......................................... 614
Figura 448 - Perfis: Filtragem de aplicação. ........................................................................... 615
Figura 449 - Menu (inserir/desabilitar) para executar qualquer operação sobre a regra. ... 616
Figura 450 - Autenticação. ..................................................................................................... 617
Figura 451 - Autenticação: Controle de acesso. .................................................................... 618
Figura 452 - Menu de escolha do usuário. ............................................................................ 619
Figura 453 - Menu de escolha do perfil. ................................................................................ 619
Figura 454 - Controle de acesso por IP. ................................................................................. 620
Figura 455 - Usuários conectados. ......................................................................................... 622
Figura 456 - Usuários conectados (máquina, nome, domínio, perfil, inicio, TPC e nº de usuários
conectados.) ........................................................................................................................... 623
Figura 457 - Barra de ferramentas: usuários conectados...................................................... 623
Figura 458 - Serviços: relay. ................................................................................................... 630
Figura 459 - Serviços: geral. ................................................................................................... 631
Figura 460 - Serviços: relay. ................................................................................................... 632
Figura 461 - Serviço: regras.................................................................................................... 633
Figura 462 - Menu (inserir, copiar, editar, excluir ou renomear). ......................................... 633
Figura 463 - Edição de regra: SMTP. ...................................................................................... 635
Figura 464 - Serviço: DNS. ...................................................................................................... 638
Figura 466 - Serviço: DNS. ...................................................................................................... 640
Figura 467 - Serviço: anexos. ................................................................................................. 641
Figura 469 - Regra: edição de regras e anexos. ..................................................................... 643
Figura 470 - Regra: edição de regras e anexos. ..................................................................... 645
Figura 471 - Serviço: Spam Meter.......................................................................................... 646
Figura 472 - Serviço: Avançado. ............................................................................................. 649
Figura 473 - Serviço: propriedade de um contexto Telnet. ................................................... 653
Figura 474 - Menu (inserir). ................................................................................................... 654
Figura 475 - Janela de inclusão de usuários ou grupos. ........................................................ 655
Figura 476 - Serviços: propriedades de um contexto FTP. .................................................... 658

21
Figura 477 - Janela de lista de regras (aceitas ou não). ......................................................... 659
Figura 478 - Propriedades de um contexto POP3.................................................................. 663
Figura 479 - Operações sobre determinada regra................................................................. 664
Figura 480 - Edição de regras de arquivos. ............................................................................ 665
Figura 481 - Uso de quotas. ................................................................................................... 670
Figura 482 - Uso de quotas: visualização do usuário. ............................................................ 671
Figura 483 - Uso de quotas: visualização da quota. .............................................................. 672
Figura 484 - Conexão (internet, rede interna, firewall e DMZ. ............................................. 676
Figura 485 - Filtro web. .......................................................................................................... 678
Figura 486 - Configuração dos parâmetros do filtro web (geral). ......................................... 679
Figura 487 - Filtro Web: cliente de autenticação................................................................... 683
Figura 488 – Aba Site de autenticação .................................................................................. 684
Figura 489 – Certificado X.509 ............................................................................................... 686
Figura 490 – Detalhes do certificado ..................................................................................... 686
Figura 491 – Forçar autenticação .......................................................................................... 687
Figura 492 - Regras para liberação das portas de autenticação ............................................ 687
Figura 493 - Certificado não confiável .................................................................................. 688
Figura 494 – Janela de autenticação ClientLess..................................................................... 688
Figura 495 - Filtro Web: controle de conteúdo. .................................................................... 689
Figura 496 - Filtro Web: tipo de arquivo. ............................................................................... 691
Figura 497 - Escolha de operação. ......................................................................................... 694
Figura 498 - Filtro Web: antivírus. ......................................................................................... 695
Figura 499 - Diagrama de certificados envolvidos no acesso. ............................................... 698
Figura 500 - Filtro web: configuração. ................................................................................... 700
Figura 501 - Certificado de erro do Firefox. ........................................................................... 702
Figura 502 - Certificado assinado pela CA de erro. ................................................................ 702
Figura 503 - Erro de acesso. ................................................................................................... 703
Figura 504 - Certificado de informação. ................................................................................ 706
Figura 505 - Certificado de informação. ................................................................................ 707
Figura 506 – Certification Authority. ..................................................................................... 708
Figura 507 - Certificado CA – properties. ............................................................................... 708
Figura 508 - Certificado CA – General. ................................................................................... 709
Figura 509 - Certificado CA – Details. .................................................................................... 710
Figura 510 - Certificado CA – All tasks / Back up Ca. ............................................................. 711
Figura 511 - Certificado Authority Backup Wizard. ............................................................... 711
Figura 512 - Certificado Authority Backup Wizard – senha e confirmação. .......................... 712
Figura 513 - Microsoft Management Console. ...................................................................... 713
Figura 514 - Adicionar ou remover Snap-is............................................................................ 714
Figura 515 - Microsoft Management Console – certificates, all task, import). ..................... 715
Figura 516 - Escolha do diretório onde deseja importar o relatório. .................................... 716
Figura 517 - Mozilla Firefox (importar certificado). ............................................................... 716

22
Figura 518 - Mozilla Firefox (criptografia). ............................................................................ 717
Figura 519 - Gerenciador de certificados – autoridades. ...................................................... 718
Figura 520 - Filtro Web: avançado. ........................................................................................ 719
Figura 523 - Adição de cabeçalho HTTP ................................................................................. 722
Figura 524 - Mensagem de bloqueio ..................................................................................... 723
Figura 525 - Cache.................................................................................................................. 724
Figura 526 - Editando os parâmetros de Filtro Web.............................................................. 725
Figura 527 - Configuração de um nodo de cache .................................................................. 726
Figura 528 - Sessões Web. ..................................................................................................... 730
Figura 529 – Configurações do sistema (Ações) .................................................................... 731
Figura 530 - Ações .................................................................................................................. 732
Figura 531 – Criando uma nova regra.................................................................................... 733
Figura 532 – Auditoria (Relatório) ......................................................................................... 734
Figura 533 - Relatório............................................................................................................. 735
Figura 534 – Configuração de relatório (Aba Geral) .............................................................. 736
Figura 535 - Configuração de relatório (Sub-relatório) ......................................................... 737
Figura 536 – Log de chats ...................................................................................................... 738
Figura 537 - Proxy Socks ........................................................................................................ 741
Figura 538 - Autenticação dos usuários Socks. ...................................................................... 741
Figura 539 - Propriedades de um contexto RCP. ................................................................... 746
Figura 540 - Menu de execução da janela RPC. ..................................................................... 747
Figura 541 - Menu de execução da janela RPC (inserir, apagar, rejeitar ou aceitar). ........... 747
Figura 542 - Propriedades de um contexto DCE-RPC. ........................................................... 748
Figura 543 - Menu de execução da janela DCE-RPC. ............................................................. 749
Figura 544 - Menu de execução da janela DCE-RPC (inserir, apagar, rejeitar ou aceitar). ... 749
Figura 545 - Proxy Messenger................................................................................................ 753
Figura 546 - Proxy Messenger – Aba Tipo Serviço. ................................................................ 754
Figura 547 - Proxy Messenger – Aba Mensagens. ................................................................. 755
Figura 548 - Proxy Messenger – Controle de acesso. ............................................................ 756
Figura 549 - Proxy Messenger – Configurações..................................................................... 757
Figura 550 – Criando nova entidade do tipo: Quota ............................................................. 758
Figura 551 – Entidade tipo Quota .......................................................................................... 759
Figura 552 – Criando uma nova regra.................................................................................... 760
Figura 553 – Criando entidades de Tipo: Lista de e-mails ..................................................... 760
Figura 554 – Entidade tipo Lista de e-mails ........................................................................... 761
Figura 555 – Perfis.................................................................................................................. 761
Figura 556 – Logs do Firewall ................................................................................................. 762
Figura 557 – DPI – Deep Packet Inspection (Filtragem de aplicações – IDS/IPS). ................. 765
Figura 558 - DPI – Regras de Filtragem de Aplicações ........................................................... 766

23
Figura 559 - Menu de operação sobre uma regra. ................................................................ 767
Figura 560 – DPI (Filtragem de aplicações – IDS/IPS). ........................................................... 769
Figura 561 – Filtro de Aplicações. .......................................................................................... 769
Figura 562 - Opções de protocolos ........................................................................................ 770
Figura 563 - opções de direção .............................................................................................. 770
Figura 564 - Opções de concatenação ................................................................................... 771
Figura 565 - Opções de busca ................................................................................................ 771
Figura 566 - Opções de sequência de bytes .......................................................................... 771
Figura 567 - Menu de operação sobre um filtro. ................................................................... 772
Figura 568 - Menu de operação para acessar o nome do filtro ou forma de concatenação.
................................................................................................................................................ 772
Figura 569 - Operações de filtragem. .................................................................................... 773
Figura 570 - IPS/IDS. ............................................................................................................... 775
Figura 571 - IPS/IDS – Regras IDS. .......................................................................................... 776
Figura 572 - Menu para execução de operação de regras. ................................................... 777
Figura 573 - IPS/IDS – Filtros IDS............................................................................................ 778
Figura 574 - Classificações ..................................................................................................... 779
Figura 575 - Opções de protocolos ........................................................................................ 780
Figura 576 - Opções de concatenação ................................................................................... 780
Figura 577 - Filtros IDS – Configuração do filtro. ................................................................... 781
Figura 578 - Opções de protocolo.......................................................................................... 782
Figura 579 - Classe de ameaças ............................................................................................. 782
Figura 580 - Opções de direção ............................................................................................. 782
Figura 581 - IPS/IDS - Portscan. ............................................................................................. 783
Figura 582 - IPS/IDS – IDS Externo. ........................................................................................ 785
Figura 583 - IPS/IDS ................................................................................................................ 787
Figura 584 - Configuração geral ............................................................................................. 788
Figura 585 - Download das bases de filtros ........................................................................... 789
Figura 586 - Estado das bases de filtros................................................................................. 790
Figura 587 -: IPs bloqueados. ................................................................................................. 791
Figura 588 - IPs bloqueados. .................................................................................................. 792
Figura 589 - Configuração IDS – configuração. ...................................................................... 794
Figura 590 - Firewalls usados. ................................................................................................ 796
Figura 591 - Configuração de IDS – log. ................................................................................. 797
Figura 592 - Configuração de IDS – eventos. ......................................................................... 798
Figura 593 - TCP/IP. ................................................................................................................ 804
Figura 594 - DHCP. ................................................................................................................. 805
Figura 595 - Servidor DHCP. ................................................................................................... 806
Figura 596 - Relay DHCP entre redes. .................................................................................... 807
Figura 597 - Servidor DHCP interno. ...................................................................................... 808
Figura 598 - DNS..................................................................................................................... 809

24
Figura 599 - TCP/IP - DNS ....................................................................................................... 810
Figura 600 - Interfaces de rede. ............................................................................................. 811
Figura 601 - Interfaces de redes. ........................................................................................... 811
Figura 602 - Menu: configuração ou modificação de endereço IP. ....................................... 812
Figura 603 - Menu de criação: VLAN. .................................................................................... 813
Figura 604 - Configuração PPPoE. .......................................................................................... 814
Figura 605 - Roteamento. ...................................................................................................... 816
Figura 606 - Janela de Roteamento. ...................................................................................... 817
Figura 607 - Roteamento - Geral. .......................................................................................... 818
Figura 608 - Rip via Interface Texto (via SSH) ........................................................................ 820
Figura 609 - Rip via Interface Texto (via SSH) ........................................................................ 833
Figura 610 - Acesso ao protocolo BGP ................................................................................... 849
Figura 611 - Roteamento avançado. ...................................................................................... 871
Figura 612 - Exemplo de laboratório de teste – balanceamento de rotas. ........................... 872
Figura 613 - Teste e configurações – NAT – exemplo A. ....................................................... 873
Figura 614 - Teste e configurações – Balanceamento de link – exemplo B. ......................... 873
Figura 615 - Teste e configurações – NAT exemplo B. .......................................................... 873
Figura 616 - Teste e configurações – Balanceamento de link – exemplo B. ......................... 874
Figura 617 - Roteamento. ...................................................................................................... 874
Figura 618 - Modo de configuração para interfaces de rede. ............................................... 876
Figura 619 - Configuração de Interfaces. ............................................................................... 877
Figura 620 - Lista de interfaces de rede................................................................................. 878
Figura 621 - Módulo de configuração para interfaces de rede. ............................................ 878
Figura 622 - Cadastro de VLan. .............................................................................................. 879
Figura 623 - Configuração de interfaces. ............................................................................... 880
Figura 624 - Configuração de rotas estáticas......................................................................... 881
Figura 625 - Configuração de rotas estáticas – entrada de dados. ....................................... 882
Figura 626 - Configuração de DNS. ........................................................................................ 883
Figura 627 - Módulo de configuração para interfaces de rede. ............................................ 883
Figura 628 – Configurando o WIDS ........................................................................................ 888
Figura 629 – Desabilitando o AP ............................................................................................ 889
Figura 630 – Especificando o canal da interface.................................................................... 889
Figura 631 – Selecionando o nome da Interface ................................................................... 890
Figura 632 – Iniciando o servidor........................................................................................... 890
Figura 633 – janela de monitoramento do WIDS .................................................................. 891
Figura 634 – Opções ao sair do WIDS .................................................................................... 891
Figura 635 - Interfaces de rede .............................................................................................. 895
Figura 636 - Interface de rede” Internet Móvel” ................................................................... 895
Figura 637 - Configuração 3G................................................................................................. 896
Figura 638 – Janela de acesso (Wireless)............................................................................... 922
Figura 639 – Wireless “aba Configurações”........................................................................... 923

25
Figura 640 – Wireless (Avançado).......................................................................................... 924
Figura 641 – WDS no Aker Firewall........................................................................................ 925
Figura 642 – Wireless opção Avançado ................................................................................. 925
Figura 643 – Wireless aba WDS ............................................................................................. 926
Figura 644 – Wireless aba Usuários Conectados ................................................................... 927
Figura 645 – Wireless aba Filtro MAC .................................................................................... 928
Figura 646 - Wireless aba WDS .............................................................................................. 929
Figura 647 - Selecionar a opção “5 – Configurar interfaces Bridge” ..................................... 932
Figura 648 - Selecione a opção “2 – Adicionar interface” ..................................................... 932
Figura 649 - Insira o número o qual a interface Bridge será referenciada ............................ 933
Figura 650 - Aperte a tecla “Enter”, para concluir a inserção de sua nova interface Bridge.
................................................................................................................................................ 933
Figura 651 - Configuração do cluster. .................................................................................... 937
Figura 652 - Criar cluster. ....................................................................................................... 938
Figura 653 - Configuração do cluster – configurações gerais. ............................................... 939
Figura 654 - Configuração do cluster: Adicionar membro..................................................... 941
Figura 655 - Estatísticas do cluster. ....................................................................................... 942
Figura 656 - Estatísticas do cluster: Firewall 1. ...................................................................... 943
Figura 657 - Estatísticas do cluster: Gráfico. .......................................................................... 944
Figura 658 - configuração do Cluster. .................................................................................... 945
Figura 659 - Criar Cluster. ...................................................................................................... 945
Figura 660 - Preenchimento dos campos para criar cluster. ................................................. 946
Figura 661 – Exemplo: criar cluster. ...................................................................................... 947
Figura 662 - Mensagem de configuração realizada com sucesso. ........................................ 947
Figura 663 – Mensagem que o usuário será desconectado para as configurações serem
recarregadas. ......................................................................................................................... 948
Figura 664 - Escolha do cluster corporativo. ......................................................................... 948
Figura 665 - Pop-up informando que ao mudar o tipo de cluster será realizado um reinício do
servidor. ................................................................................................................................. 949
Figura 666 - Configuração do Cluster. ................................................................................... 950
Figura 667 - Escolha Multicast. .............................................................................................. 950
Figura 668 - Adicionar entidades. .......................................................................................... 951
Figura 669 - Acesso ao servidor SSH. ..................................................................................... 952
Figura 670 - Cadastro de MAC. .............................................................................................. 952
Figura 671 - Cluster cooperativo montado. ........................................................................... 953
Figura 672 - Interface Texto (via SSH) – exemplo 1: mostrando a configuração da interface.
................................................................................................................................................ 955
Figura 673 - Esquema de funcionamento do Aker Client ...................................................... 967
Figura 674 – Esquema de funcionamento do Secure Roaming no Aker Client. .................... 970
Figura 675 - Dados encriptados passando pelo túnel virtual através de uma rede pública . 972
Figura 676 - Encapsulamento GRE ......................................................................................... 974

26
Figura 677 - Formato do datagrama da mensagem de controle PPTP .................................. 974
Figura 678 - Encapsulamento de uma mensagem de dados usando PPTP. .......................... 975
Figura 679 - Arquitetura de funcionamento do protocolo L2TP. .......................................... 976
Figura 680 - Exemplo de encapsulamento de um pacote para tráfego pelo túnel (tunelamento
IP). .......................................................................................................................................... 976
Figura 681 - Encapsulamento realizado pelo protocolo IPSec. ............................................. 977
Figura 682 - Certificado .......................................................................................................... 984
Figura 683 - Instalando o Aker Client ..................................................................................... 987
Figura 684 – Contrato de licença do programa ..................................................................... 988
Figura 685 – Informação do usuário ...................................................................................... 989
Figura 686 – Pasta de destino ................................................................................................ 990
Figura 687 – Aplicativo pronto para instalação ..................................................................... 990
Figura 688 – Atualizando o sistema ....................................................................................... 991
Figura 689 – Aker Client foi instalado com sucesso............................................................... 992
Figura 690 - Descompactação ................................................................................................ 993
Figura 691 – Iniciando o instalador........................................................................................ 994
Figura 692 – Verificando o Kernel .......................................................................................... 995
Figura 693 – Verificando o pacote GCC ................................................................................. 995
Figura 694 – Verificando a instalação da ferramenta “make” .............................................. 996
Figura 695 – Verificando o pacote qt-aker ............................................................................ 997
Figura 696 – Instalação do Aker Client .................................................................................. 998
Figura 697 – Instalação finalizada .......................................................................................... 999
Figura 698 – Aba Servidores ................................................................................................ 1000
Figura 699 – menu de opções .............................................................................................. 1001
Figura 700 – Editar servidor ................................................................................................. 1002
Figura 701 – Informação de Acesso ..................................................................................... 1003
Figura 702 – Informações de Acesso (Usuário /Senha) ....................................................... 1004
Figura 703 - Informações de Acesso (Certificado X509) ...................................................... 1004
Figura 704 – Informações de Acesso (RSA SecurID) ............................................................ 1005
Figura 705 – Permissões de Acesso ..................................................................................... 1005
Figura 706 – Editar servidor ................................................................................................. 1006
Figura 707 – Informações de Proxy ..................................................................................... 1008
Figura 708 – Aba Certificados .............................................................................................. 1009
Figura 709 – Detalhes do certificado ................................................................................... 1010
Figura 710 – Aba requisições de certificado ........................................................................ 1011
Figura 711 – Nova requisição ............................................................................................... 1012
Figura 712 - token ................................................................................................................ 1013
Figura 713 – Aba dispositivos .............................................................................................. 1014
Figura 714 - Aba segurança .................................................................................................. 1015
Figura 715 - Logs .................................................................................................................. 1016
Figura 716 - Aba Sobre ......................................................................................................... 1017

27
Figura 717 - Interface Remota em modo não administrativo ............................................. 1018
Figura 718 - Esquema de funcionamento do Web Content Analyzer. ................................ 1026
Figura 719 - Escolha do idioma no qual deseja realizar a instalação. ................................. 1028
Figura 720 – Contrato de licença do programa. .................................................................. 1029
Figura 721 - Preenchimento de informações do usuário. ................................................... 1030
Figura 722 - Seleção dos recursos que deseja instalar. ....................................................... 1031
Figura 723 - Mensagem de aplicativo pronto para ser instalado. ....................................... 1032
Figura 724 - Barra de progressão de instalação. ................................................................. 1033
Figura 725 - Concluindo a Instalação. .................................................................................. 1034
Figura 726 - Instalação Linux: Descompactação. ................................................................. 1035
Figura 727 - Instalação Linux: Execução Script de Instalação. ............................................. 1036
Figura 728 - Termo de Licença. ............................................................................................ 1037
Figura 729 – Instalação do Módulo de Log. ......................................................................... 1038
Figura 730 – Confirmação de usuário e senha. ................................................................... 1039
Figura 731 - Instalação Linux: Criação de Usuário Administrador. ...................................... 1040
Figura 732 - Opções de Configuração do Aker Web Content Analyzer. .............................. 1041
Figura 733 - Gerenciamento de base de URLs. .................................................................... 1041
Figura 734 – Menu: Gerenciamento da base de URLs......................................................... 1042
Figura 735 - Gerenciamento da base de URLs: geral. .......................................................... 1043
Figura 736 – Menu: Gerenciamento da base de URLs frequência de atualização. ............. 1044
Figura 737 – Menu: Gerenciamento da base de URLs atualiza os sites. ............................. 1045
Figura 738 - Categorias. ....................................................................................................... 1046
Figura 739 – Menu: Categorias cria categoria pai. .............................................................. 1047
Figura 740 -– Menu: Categorias cria categoria filho. ........................................................... 1048
Figura 741 - Botão: ícone. .................................................................................................... 1048
Figura 742 – Escolha dos ícones da categoria. .................................................................... 1049
Figura 743 – Janela: Nova Categoria.................................................................................... 1049
Figura 744 – Criação das listas de expressões. .................................................................... 1050
Figura 745 – Menu: categorias cria lista de expressões. ..................................................... 1051
Figura 746 – Menu: Categorias define local de busca. ........................................................ 1052
Figura 747 - Botão: de pesquisa........................................................................................... 1052
Figura 748 – Menu: Categorias. ........................................................................................... 1053
Figura 749 – Importar arquivo. ............................................................................................ 1054
Figura 750 - Teste de URLs. .................................................................................................. 1056
Figura 751 – Teste de URL.................................................................................................... 1056
Figura 752 – Teste de URL já categorizado. ......................................................................... 1057
Figura 753 - Aker Spam Meter: Esquema de Funcionamento. ............................................ 1061
Figura 754 - Spam Meter. .................................................................................................... 1062
Figura 755 - Menu de o Spam Meter. .................................................................................. 1062
Figura 756 - Bancos de dados. ............................................................................................. 1063
Figura 757 - Bancos de dados. ............................................................................................. 1063

28
Figura 758 – Menu Base de Dados: Lista das bases de Dados. ........................................... 1064
Figura 759 - Botões: Salva Backup e Restaura Backup. ....................................................... 1065
Figura 760 - Botões: Atualizar, Recalcular e Excluir·. ........................................................... 1065
Figura 761 - Parâmetros....................................................................................................... 1066
Figura 762 – Parâmetros: usando Proxy. ............................................................................. 1067
Figura 763 - Classificação de e-mail. .................................................................................... 1068
Figura 764 – Menu Filtro: Classificação de e-mail. .............................................................. 1068
Figura 765 - Abrir um arquivo de e-mail. ............................................................................. 1069
Figura 766 - Configurações do filtro. ................................................................................... 1070
Figura 767 - Mensagens salvas para treinamento. .............................................................. 1070
Figura 768 – Configurações do filtro.................................................................................... 1071
Figura 769 - Botão: Padrão. ................................................................................................. 1072
Figura 770 - Botão: Atualização do Servidor........................................................................ 1072
Figura 771 - Gráfico de notas. .............................................................................................. 1073
Figura 772 – Gráfico de notas. ............................................................................................. 1073
Figura 773 – Plugin de o Aker Spam Meter para Mozilla Thunderbird. .............................. 1074
Figura 774 - Aker Antivírus Module: Esquema de Funcionamento 1. ................................. 1078
Figura 775 - Esquema de Funcionamento 3. ....................................................................... 1079
Figura 776 –Antivírus. .......................................................................................................... 1080
Figura 777 - Opções de Configuração do Aker Antivírus Module. ...................................... 1081
Figura 778 – Configurações avançadas. ............................................................................... 1082
Figura 779 - Menu “Informações do Engine” ...................................................................... 1083
Figura 780 – Gerenciamento de atualizações...................................................................... 1084
Figura 781 - Menu “Gerenciamento de atualizações” – “Configuração de Proxy” ............. 1085
Figura 782 - Menu “Gerenciamento de Atualizações” -> “Atualização da base de vírus” .. 1086

29
Introdução

30
1. Introdução
Seja bem-vindo ao manual do usuário do Aker Firewall.
Nos próximos capítulos você aprenderá como configurar está poderosa ferramenta de
proteção às redes. Esta introdução tem como objetivo descrever a organização deste manual
tornando sua leitura a mais simples e agradável possível.
1.1. Como está disposto este manual
Este manual é organizado em vários capítulos. Cada capítulo mostra um aspecto da

configuração do produto e todas as informações relevantes ao aspecto tratado.
Todos os capítulos começam com uma introdução teórica sobre o tema a ser tratado seguido
dos aspectos específicos de configuração do Aker Firewall. Juntamente com esta introdução
teórica, alguns módulos possuem exemplos práticos do uso do serviço a ser configurado, em
situações hipotéticas, porém, bastante próximas da realidade. Buscamos com isso tornar o
entendimento das diversas variáveis de configuração o mais simples possível.
Recomendamos que este manual seja lido, pelo menos uma vez por inteiro, na ordem
apresentada. Posteriormente, se for necessário, pode-se usá-lo como fonte de referência.
Para facilitar seu uso como referência, os capítulos estão divididos em tópicos, com acesso
imediato pelo índice principal. Desta forma, pode-se achar facilmente a informação desejada.
No decorrer deste manual, aparecerá o símbolo seguido de uma frase escrita em letras
vermelhas. Isto significa que a frase em questão é uma observação muito importante e deve
ser totalmente entendida antes que se prossiga com a leitura do capítulo.
1.2. Interface Texto (via SSH) e Interface Remota
O Aker Firewall possui duas interfaces distintas para sua configuração: uma Interface Remota
e uma Interface Texto (via SSH) Local.
 A Interface Remota: é chamada de remota porque por meio dela é possível administrar
remotamente, via Internet, um Aker Firewall localizado em qualquer parte do mundo.
31
Esta administração é realizada por meio de um canal seguro entre a interface e o firewall,
com um forte esquema de autenticação e criptografia, de modo a torná-la totalmente
segura.
A Interface Remota: é de uso intuitivo e está disponível para plataformas Windows e

Linux.
 A Interface Texto (via SSH): é totalmente orientada à linha de comando que roda na
máquina onde o firewall está instalado. O seu objetivo básico é possibilitar a automação
de tarefas da administração do Aker Firewall (por meio da criação de scripts) e possibilitar
uma interação de qualquer script escrito pelo administrador com o Firewall.
Praticamente todas as variáveis que podem ser configuradas pela Interface Remota
poderão ser configuradas também pela Interface Texto (via SSH).
Como as duas interfaces tratam das mesmas variáveis, a funcionalidade, os valores e os

comentários destas têm validade tanto para Interface Remota quanto para a Interface
Texto (via SSH). Devido a isso, os tópicos referentes à Interface Texto (via SSH)
normalmente serão curtos e se limitarão a mostrar seu funcionamento. Caso tenha dúvida
sobre algum parâmetro, deve-se recorrer à explicação do mesmo no tópico relativo à
Interface Remota.
Não é possível o uso simultâneo de várias interfaces gráficas para um mesmo Firewall, nem o
uso da Interface Texto (via SSH) enquanto existir uma Interface Remota aberta.
1.3. O Firewall
Com a evolução da Internet, o ambiente das aplicações em nível de routers, tornou-se

dinâmico e constantemente oferece novos protocolos, serviços e aplicações. Os roteadores e
proxies não são suficientes para garantir a segurança necessária às diversas aplicações da
Internet nem para cumprir as novas necessidades empresariais, alto bandwidth e as
exigências de segurança de redes. Diante dessa necessidade das organizações protegerem
suas redes, a Aker desenvolveu o Aker Firewall.
A segurança que envolve a rede é construída por um conjunto de programas e técnicas que
tem por finalidade liberar ou bloquear serviços dentro de uma rede interligada à Internet de
forma controlada. Sendo o Firewall a parte mais importante em um programa de segurança,
deve-se sempre se lembrar da importância de utilizar ferramentas que auxiliam na detecção
de brechas e vulnerabilidades dos sistemas operacionais que estão em uso na rede, bem
como, o uso de programas que detectam intrusos ou ataques. É importante também, saber
qual ação a ser tomada quando uma violação ou um serviço importante parar.

32
1.4. Copyrights do Sistema
 Copyright (c) 1997-2003 Aker Security Solutions;

 Utiliza a biblioteca SSL escrita por Eric Young (cay@mincon.oz.au). Copyright © 1995 Eric
Young;
 Utiliza o algoritmo AES implementação do Dr. B. R. Gladman (brg@gladman.uk.net);
 Utiliza o algoritmo MD5 retirado da RFC 1321. Copyright © 1991-2 RSA Data Security, Inc;
 Utiliza a biblioteca CMU SNMP. Copyright© 1997 Carnegie Mellon University;
 Utiliza a biblioteca de compressão Zlib. Copyright © 1995-1998 Jean-loup Gailly and Mark
Adler;
 Utiliza a biblioteca QWT escrita por Josef Wilgen. Copyright © 1997;
 Inclui software desenvolvido pela Universidade da Califórnia, Berkeley e seus colaboradores;
 Inclui software desenvolvido por Luigi Rizzo, Universita di Pisa Portions Copyright 2000
Akamba Corp;
 Inclui software desenvolvido por Niklas Hallqvist, Angelos D. Keromytis and Haan Olsson;
 Inclui software desenvolvido por Ericsson Radio Systems.

33
Instalando o Aker Firewall

34
2. Instalando o Aker Firewall
Este capítulo mostra como se instala o Aker Firewall, seus requisitos de hardware, software e
instalação.
2.1. Requisitos de hardware e software
Para o firewall
O Aker Firewall roda sobre o sistema operacional proprietário, em plataformas Intel ou

compatíveis.
Para que o Aker Firewall execute todos os componentes de hardware de maneira satisfatória,
é necessário possuir as seguintes configurações:
 Computador Intel ou compatível com 500MHz ou superior;
Para utilizar um link com alta taxa de transferência ou aplicar criptografia em um link com
velocidade relativamente alta, recomenda-se o uso de um computador mais potente.
 512 Mbytes de memória RAM;
Para fazer um melhor uso dos serviços de proxy e de criptografia, será necessário utilizar
memória maior ou igual a 512 Mbytes.
 20 Gbytes de espaço em disco;
Para armazenar os logs do sistema por um grande espaço de tempo recomenda-se o uso de
discos maiores.
 Leitor de CD-ROM ou pen drive USB, monitor, mouse e teclado;
Isso só é necessário durante a instalação ou caso se pretenda utilizar a Interface Texto (via
SSH) a partir do console, entretanto é altamente recomendado em todos os casos.
 Placa(s) de rede.
Não existe um número máximo de placas de rede que podem ser colocadas no Firewall. A
única limitação existente é a limitação do próprio hardware. Caso necessite de um grande
número de interfaces de rede, pode-se optar por placas com mais de uma saída na mesma
interface.

35
Para a Interface Remota
A Interface Remota de administração do Aker Firewall roda em plataformas Windows, Linux,

em plataformas Intel ou compatíveis.
Para que a Interface Remota execute de maneira satisfatória os componentes de hardware

devem possuir as seguintes configurações:
 Computador Intel ou compatível com 500MHz ou superior;

 256 Mbytes de memória RAM;
 2 Gbytes de espaço livre em disco;
 Monitor;
 Mouse;
 Teclado;
 Placa de rede.
Todos os componentes do hardware devem ser suportados pelo sistema operacional na qual a
interface será instalada, em alguma das versões aceitas pelo produto.
2.2. Instalando a Interface Remota - Windows
A Interface Remota poderá ser instalada nas plataformas Windows ou Linux.

Faça o download e instale Aker Control Center no site: http://www.aker.com.br.
Selecione o idioma no qual deseja realizar a instalação (Português ou Inglês) e clique no botão
‘OK’.
Figura 1 – Seleção do idioma para realizar a instalação.

36
Surgirá a seguinte tela: ‘Bem-vindo ao Assistente de Instalação do Aker Control Center 2’.
Leia as recomendações e clique no botão ‘Avançar’.
Figura 2 - Mensagem de boas vindas do Assistente de Instalação do Aker Control Center 2.

37
Logo em seguida, surgirá a tela com o ‘Contrato de Licença do Programa’. Leia todas as
informações com atenção.
Selecionar a opção ‘Aceito o contrato de licença’ e clique no botão ‘Avançar’.
Figura 3 - Contrato de licença do Programa.

38
A seguir, aparecerá a tela de ‘Informações do usuário’. Os seguintes campos devem ser
preenchidos:
 Nome completo: nome do usuário;

 Empresa: nome da Empresa.
Abaixo aparece um texto, dizendo que as configurações do aplicativo podem ser instaladas
para o usuário atual ou para todos os que partilham o computador (para isso é necessário ter
direitos de administrador). Escolher uma das opções: ‘Qualquer pessoa que usa este
computador’ ou ‘Somente para mim’.
Ao término, clique no botão ‘Avançar’.
Figura 4 – Informações do usuário.

39
A tela ‘Pasta de destino’ permite ao usuário selecionar uma pasta aonde deseja instalar o
aplicativo.
Figura 5 - Pasta de destino.
Em caso de uma pasta especifica clique em ‘Procurar’ e surgirá a tela:
Figura 6 – Instalação em pasta especifica.

40
Procure a pasta na qual deseja salvar. Clique no botão ‘OK’.
Retornando à tela de destino, clique em ‘Avançar’. A mensagem ‘Pronto para instalar o

aplicativo’ surge. Clique no botão ‘Avançar’.
Figura 7 - Pronto para instalar o aplicativo.

41
É possível verificar o status da instalação por meio da barra de status ‘Atualizando o sistema’.
Figura 8 - Barra de status da instalação.

42
Ao concluir a instalação será apresentada a mensagem que o ‘Aker Control Center 2 foi instalado
com êxito’.
Figura 9 - Mensagem de instalação realizada com êxito.
Para finalizar a instalação, deve-se clicar no botão ‘Concluir’.
2.3. Instalando o Aker Firewall box
O Aker Firewall pode ser adquirido na forma de appliance, i.e. Firewall Box. Sendo comprado
desta forma, o produto já vem instalado e pré-configurado. Caso tenha optado por comprar
apenas o software (versão IS), a instalação deverá ser realizada na máquina escolhida, o que
será explicado neste tópico.
Para instalá-lo deve-se iniciar a máquina com o CD-ROM de instalação ou com o PEN DRIVE
cujos downloads podem ser efetuados no site da Aker.
Para gravar o PEN DRIVE, siga os passos abaixo:
1. Efetue o download do arquivo no site da Aker (www.aker.com.br);

43
2. Verifique se o pen drive no Linux está com sdb, digite o comando como root.
“#dmesg | grep sd” ou “#fdisk –l” serão mostradas as informações de disco da
máquina e encontre o pen drive.
3. Após identificar em qual device o Linux montou o pen drive, digite o comando
“dd if=<nome do arquivo que fez o download> | gunzip | dd of=/dev/<device que se
encontra o pen drive>”.
Exemplo: “dd if=<aker-box-2.0-pt-installer.img.gz | gunzip | dd of=/dev/sdb”
4. Pronto. Seu pen drive é um instalado dos produtos da Aker.
2.4. Instalação do Aker Firewall box (IS/VM)

O Aker Firewall pode ser adquirido na forma de appliance, i.e. Firewall Box.
A seguir a instalação do Aker Firewall – IS/VM.
Pré-requisitos
 VM com pelo menos 15 GB de espaço em disco disponível.
Instalação
Ao iniciar o sistema, selecione a opção “ 1. Instalar Aker ‘Firewall 6.7”.
Leia com atenção o texto e digite “S”, e pressione a tecla <enter>.

44
Na próxima tela, digite “sda” para definir o disco aonde a instalação será feita, e pressione a
tecla <enter>
Confirme a instalação do Aker Firewall 6.7,
Selecione a opção 5 no menu do instalador para sair e reiniciar o Aker Firewall.

45
Nesta tela entre com a senha padrão para configurar o Aker Firewall.
Caso o usuário perca sua senha de acesso, o mesmo deve entrar em contato com o suporte.
Em seguida o as informações do contrato de licença entre o usuário e a Aker serão exibidas.

46
47
Pressione a tecla “S”(sim) para continuar a instalação, ou “N” (não) para cancelar.

48
Nesta janela o usuário pode configurar a data e hora do sistema caso esteja incorreta.
Pressione a tecla “S” para configurar a data e hora, ou “N” para prosseguir com a instalação.
Pressione a tecla <enter> para continuar
A próxima tela permite que o usuário configure a Interface de rede, pressione a tecla “S” para
configurar a interface de rede ou “N” para prosseguir com a instalação.
49
Na tela a seguir, selecione a opção 1- Configurar interfaces de rede.
A tela abaixo será exibida, selecione a opção 2 – Configurar interface.
Na próxima tela selecione a interface de rede que a configuração será efetuada, no exemplo
abaixo “ETH0”.

50
A janela a seguir será exibida, perguntando se o usuário deseja configura uma Vlan Filha para
sua Interface, pressione a tecla “S” para configurar, ou “N” para prosseguir com a instalação
da interface de rede.
A janela a seguir será exibida, perguntando se o usuário deseja configura uma interface
PPPoE, pressione a tecla “S” para configurar, ou “N” para prosseguir com a instalação da
interface de rede.

51
A janela a seguir será exibida, perguntando se o usuário deseja usar DHCP nesta interface,
pressione a tecla “S” para configurar, ou “N” para prosseguir com a instalação da interface de
rede.
Nesta tela a seguir o usuário deve inserir o endereço IP e a máscara para sua rede, uma alias
será configurada para esta interface.

52
Após definir as configurações para a interface de rede, o usuário retornara para a tela inicial
da configuração de interfaces de rede, pressione a tecla <enter> para retornar ao menu
principal do modulo de configuração para interfaces de rede.
Após efetuar a configuração da interface de rede, selecione a opção “2- configurar rotas
estáticas”.
5.8

53
Na janela de configuração de rotas estáticas, selecione a opção 2 – Adicionar rotas.
Insira o endereço da rede, e pressione a tecla <enter>. Na tela de configuração de rotas

estáticas selecione a opção “4 – Sair” para retornar ao menu principal do modulo de
configuração para interfaces de rede.

54
No menu principal do modulo de configuração para interfaces de rede selecione a opção “3 –
Configurar servidores DNS”.
Na tela de configuração de DNS selecione a opção “2 – Adicionar novo servidor”.

55
Insira os servidores e selecione a opção “5 – Sair” para retornar ao menu principal do modulo
de configuração para interfaces de rede.
No menu principal do modulo de configuração para interfaces de rede selecione a opção

configurar rota padrão.

56
Na tela de configura de rota padrão, entre com o endereço IP para sua rota, e pressione a
tecla <enter>.
Ao retornar menu principal do modulo de configuração para interfaces de rede selecione a

opção 6 – Aplicar novas configurações.

57
Ao completar o processo de aplicação das configurações selecione a opção “7 – Sair do
programa”.
Na próxima tela o usuário deve definir qual interface de rede que originará os endereços IP
do firewall em questão.
Endereços IPs originados por está interface não serão contabilizados.

58
Na próxima tela o usuário poderá definir uma conta de administrador para seu firewall.
Pressione a tecla “S” para configurar uma conta de administrador ou “N” para prosseguir com
a configuração.
Ao pressionar a tecla “S” o usuário deve definir um login para o administrador, informar se o
administrador poderá: Configurar o Firewall, Configurar Log e Gerenciar outros usuários.
Após informar as permissões acima, o usuário deve entrar com o nome completo do
administrador e a senha de acesso para o mesmo.

59
Pressione “S” para confirmar a criação usuário administrador. Logo após pressione a tecla
<enter> para prosseguir com a instalação.
Na próxima tela é necessário que o usuário cadastre um endereço de IP que terá permissão
de administrar o firewall remotamente por meio de outra. Após inserir o endereço IP
pressione a tecla <enter> para prosseguir com a configuração.
Na próxima tela o usuário pode criar um segredo que será usado para gerenciar seu firewall
por meio do Aker Configuration Manager.
Ao completar a instalação, e configuração inicial pressione <enter> para sair.

60
A configuração do LCD deve ser realizada logo após o termino da instalação do Aker firewall.
Para configurar o LCD do hardware siga os passos a seguir:
Após a instalação do Aker Firewall, retorno ao menu de opções do instalador e selecione a

opção “3. Configurar display LCD”.
Na tela exibida a seguir selecione o modelo do seu hardware (em caso de dúvidas consulte o
datasheet do Aker Firewall: http://www.aker.com.br/sites/default/files/datasheets/dt-
akerFirewallUTM_hardwareEnterprise67.pdf)
Escolha o dispositivo para a instalação, no exemplo abaixo “SDA”.

61
O LCD foi configurado, salve as configurações e reinicia a máquina.
2.5. Firewall Aker - Programa de Instalação - Linux
Este programa realiza a Instalação do Firewall Aker e da Interface Texto (via SSH) de
configuração local. Surgirá a seguinte pergunta:
 Deseja prosseguir com a Instalação do firewall (‘S’ para SIM ou ‘N’ para NÃO)?
Após responder ‘Sim’, o programa de instalação mostra a licença de uso do Aker Firewall. Para
prosseguir, é necessário aceitar todos os termos e condições contidas na licença. Quando
aceitos, o programa prosseguirá com a instalação mostrando seu progresso por meio de uma
série de mensagens autoexplicativas.
Após terminar de copiar os arquivos, o programa de instalação fará algumas perguntas de

modo a realizar a configuração específica para cada sistema.
A tela a seguir será exibida:

62
Figura 10 - Termo de Licença.
Após responder ‘Sim’, serão instaladas todas as dependências necessárias para que o Aker
Firewall funcione.
Configuração do sistema completada. E necessário agora ativar a cópia instalada por meio da
digitação da chave de ativação que foi entregue ao se adquirir o produto.
A chave de ativação, o nome da empresa e o endereço IP da interface externa devem ser

digitados exatamente como constam no documento entregue pela Aker Consultoria e
Informática ou seu representante.
Pressione ‘Enter’ para continuar.
Após digitar “enter”, o programa mostra uma tela solicitando o caminho onde o arquivo da
chave de ativação está salvo.
Caso a chave seja válida, o programa prosseguirá com a instalação.
É necessário definir se o nome da interface de rede externa do firewall e os endereços IP que

se originarem desta interface não serão contabilizados no número máximo de licenças do
produto.
A interface externa deve assumir um dos seguintes valores:

63
 eth0;
 eth1;
 eth2.
Insira a interface externa: a configuração da interface externa é usada apenas para o controle de
licenças do firewall. Deve-se informar o nome da interface que estará conectada à Internet.
A especificação da interface externa não possui nenhuma implicação de segurança. Nenhum

controle de acesso é realizado levando-se em conta esta interface.
Ativação do sistema completada. Agora se configura alguns parâmetros do Firewall Aker: Você
pode cadastrar agora um endereço IP para possibilitar que o firewall seja administrado
remotamente a partir de outra máquina. Deseja cadastrar este IP (S/N).
Após responder ‘Sim’, digite o endereço IP da máquina onde está instalado o Aker Control Center.
Pode-se cadastrar automaticamente um administrador capaz de gerenciar remotamente o

firewall. Este administrador tem plenos poderes em relação ao firewall e a partir dele novos
usuários poderão ser cadastrados.
Em caso de NÃO cadastramento de administrador, não será possível administrar o firewall a

partir da Interface Remota, apenas por meio da Interface Texto (via SSH) local.
Você deseja criar este administrador (S/N)?
Para que seja possível administrar o firewall a partir da Interface Remota é necessário cadastrar
um administrador, devendo-se responder ‘S’ a esta pergunta. De qualquer forma é possível
cadastrar posteriormente outros administradores por meio das interfaces locais de
administração. A explicação de como fazer isso, se encontra no capítulo intitulado ‘Administrando
usuários do firewall’.
Caso tenha optado por incluir um novo administrador, uma tela abre pedindo os dados do
administrador a ser cadastrado. Um exemplo desta tela se encontra abaixo (cabe mencionar que
a senha do administrador a ser cadastrado não é mostrada na tela).
Em caso de falta de energia elétrica, ou reinicialização do sistema, o Firewall armazenará suas

políticas e as aplicará quando o sistema for reiniciado
2.6. Como alterar o tipo de interface de rede no VMware para uso no Aker Firewall 6.7

64
Por padrão ao adicionar uma interface na VmWare ele configura como E1000 ou E1000e, mas
em alguns casos este tipo de configuração não é compatível com o sistema operacional a ser
utilizado.
No firewall, por exemplo, depois de alguns testes foi constatado que por estar com a
configuração E1000 a navegação e a rede apresentam certa lentidão. Após realizar a troca
para VMxNet3 a rede e a navegação retorna ao normal.
Configurando novas interfaces no VmWare
Ao conectar na VmWare clique com o botão direito do mouse na máquina virtual a ser
alterada e entre nas configurações, conforme apresenta a imagem abaixo:
Figura 11 - Editar configurações
Caso seja necessário realizar a troca do tipo de interface remova a anterior:

65
Figura 12 - Removendo Interface de rede
Para criar uma nova interface com as configurações sugeridas neste documento, clique no
botão ‘Add’:

66
Figura 13 - Inserindo uma nova interface
Escolha o item que irá adicionar, neste caso, a interface de rede clique em ‘Next’:

67
Figura 14 - Escolha do tipo de hardware
Na próxima tela, escolha o tipo de interface que utilizará:
(Escolha a VMXNET3 e clique em ‘Next’)

68
Figura 15 - Tipo de adaptador
Na próxima tela serão confirmados o hardware adicionado, o tipo de adaptador e outras

configurações.

69
Figura 16 - Interface VMxNet3
Adicionando a interface VMxNet3, as configurações seguirão o uso normal do virtualizador.
Segue explicação sobre os tipos de interface.
Adaptadores de rede disponíveis
Apenas os adaptadores de rede que são apropriados para a máquina virtual a qual você está
criando estão disponíveis na janela da Rede escolhida.
Vlance: É uma versão emulada do AMD 79C970 PCnet32- LANCE NIC, e é uma versão antiga
do NIC 10 Mbps com drives disponíveis para quase todos sistemas operacionais convidados
de 32-bit, exceto Windows Vista ou versões posteriores. Uma máquina virtual configurada
com este adaptador de rede pode usar sua rede imediatamente.
VMXNET: O adaptador de rede virtual VMXNET não possui uma versão física.
O VMXNET é aprimorado para fornecer maior performance em máquinas virtuais, porque os

sistemas operacionais convidados dos fornecedores não oferecem drivers embutidos para
esta placa, sendo assim, você deve instalar o VMware Tools para ter um driver para o
adaptador de rede VMXNET disponível.

70
Flexible: O adaptador de rede Flexible se identifica com um adaptador Vlance quando uma
máquina virtual faz o boot, mas ele se inicia juntamente com suas funções como uma Vlance
ou como um adaptador VMXNET, dependendo do driver o qual o inicializou. Com o VMware
Tools instalado, o driver do VMXNET altera o adaptador Vlance para o adaptador VMXNET de
maior performance.
E1000: É uma versão emulado do Intel 82545EM Gigabit Ethernet NIC. Um driver para este
NIC não é incluso com todos os sistemas operacionais convidados. Tipicamente as versões
Linux 2.4.19 e versões posteriores, Windows XP Professional x64 ou versões posteriores,
Windows Server 2003 (32-bit) e versões superiores incluem o driver E1000.
Nota: O E1000 não suporta Jumbo Frames antecessores ao ESXi/ESX 4.1.
E1000e: Este recurso emula um novo modelo do Intel Gigabit NIC (número 82574) no
hardware virtual (Este e conhecido como vNIC “E1000e”). O E1000e está disponível apenas
em máquinas virtuais com Hardware versão 8 (e versões mais novas) no vSphere 5. Ele é o
vNIC padrão para Windows 8 e versões mais novas do Windows.
Para Linux o E1000e não está disponível na Interface do usuário (O “E1000”, VMXNET Flexible,
VMXNET Enhanced, e VMXNET3 estão disponíveis para Linux).
VMXNET 2 Enhanced (versão aprimorada): O adaptador VMXNET 2 é baseado no adaptador

VMXNET, mas ele oferece alguns recursos de alta-performance comumente usados em redes
modernas, como o Jumbo Frames e o Hardware offloads. Este adaptador de rede virtual está
disponível para alguns sistemas operacionais convidados no ESXi/ESX 3.5 ou versões
posteriores.
O VMXNET 2 é suportado apenas para os sistemas operacionais convidados abaixo:
Versões 32- e 64-bit Microsoft Windows 2003 (Enterprise, Datacenter, e Standard Editions)
Nota: Você pode usar o adaptador VMXNET 2 Enhanced com outra versão do sistema
operacional Microsoft Windows 2003, mais um workaround (Maneira paliativa de resolver
um problema ou corrigir um sistema de forma ineficiente) é necessário para habilitar a opção
no VMware Infrastructure (VI) Client or vSphere Client. Se o VMXNET Enhanced não for
oferecido com uma opção, veja o tópico “Habilitando adaptadores VMXNET enhanced para
Microsoft Windows Server 2003 (1007195)”.
32-bit version of Microsoft Windows XP Professional
32- and 64-bit versions of Red Hat Enterprise Linux 5.0
32- and 64-bit versions of SUSE Linux Enterprise Server 10
64-bit versions of Red Hat Enterprise Linux 4.0

71
64-bit versions of Ubuntu Linux
Na atualização do ESX 3.5 versão 4 ou superior, estes sistemas operacionais também são
suportados:
Microsoft Windows Server 2003, Standard Edition (32-bit)
Microsoft Windows Server 2003, Standard Edition (64-bit)
Microsoft Windows Server 2003, Web Edition
Microsoft Windows Small Business Server 2003
Jumbo Frames não são suportados no Sistema Operacional Solaris para VMXNET2.
VMXNET3: O adaptador VMXNET3 é uma nova geração de um NIC Paravirtualizado que foi
desenvolvido para alta performance, e não é relacionado ao VMXNET ou VMXNET2. Ele
oferece todas os recursos disponíveis no VMXNET2, e adiciona vários recursos novos como o
suporte à multi filas (também conhecido como Receive Side Scaling no Windows), IPv6
offloads, e MSI/MSI-X interrupt delivery.
VMXNET3 é suportado apenas para máquinas virtuais de versão 7 ou posteriores, com uma
lista limitada de sistemas operacionais:
32- and 64-bit versions of Microsoft Windows 7, XP, 2003, 2003 R2, 2008, 2008 R2, and Server
2012
32- and 64-bit versions of Red Hat Enterprise Linux 5.0 and later
32- and 64-bit versions of SUSE Linux Enterprise Server 10 and later
32- and 64-bit versions of Asianux 3 and later
32- and 64-bit versions of Debian 4
32- and 64-bit versions of Ubuntu 7.04 and later
32- and 64-bit versions of Sun Solaris 10 U4 and later
No ESXi/ESX 4.1 e versões anteriores, Jumbo Frames não são suportadas no sistema
operacional Solaris
para VMXNET 2 e VMXNET 3. O recurso é suportado (começando com o ESXi 5.0) apenas para
o VMXNET 3.

72
Para mais informações veja o tópico Habilitando Jumbo Frames no sistema operacional Solaris
(2012445) - Enabling Jumbo Frames on the Solaris guest operating system (2012445).
Tolerância a Falhas não é suportado em uma máquina virtual configurada com um vNIC
VMXNET3 no vSphere 4.0, mas tem suporte completo no vSphere 4.1.
O Windows Server 2012 e suportado com o VMXNET 3 na atualização ESXi 5.0 versão 1 ou
superior.
Adaptador Caveats
Migrando máquinas virtuais que usam o VNXNET2 enhanced.
O VMXNET 2 foi apresentado com o ESX 3.5. Máquinas Virtuais configuradas para ter o
adaptador “VMXNET 2” não podem migra para Hosts ESX de versões anteriores, até mesmo
por meio de uma máquina virtual pode-se migrar livremente entre o ESX 3.0 e o ESX 3.0 x.
Caso você tenha que migrar uma máquina virtual entre um host de versão posterior ou
anterior, não escolha VMXNET 2.
Atualização de ESX 2.x para ESX 3.x
Quando uma atualização de hardware virtual transforma uma máquina virtual criada em um
host ESX 2.x para um host ESX 3.x, adaptadores Vlance são automaticamente atualizados para
Flexible. Adaptadores VMXNET não são atualizados automaticamente por que a maioria das
versões de sistemas operacionais convidados Linux não preservam as configurações da rede
de forma confiável quando um adaptador de rede é substituído.
Uma vez que o sistema operacional pensa que o adaptador Flexible ainda é um Vlance, ele
retém as informações. Se a atualização substitui um adaptador VMXNET com um adaptador
Flexible, o sistema operacional equivocadamente descarta as configurações.
Depois da atualização do hardware virtual, o adaptador de rede continuará sendo VMXNET,

sem o retornar para a compatibilidade do adaptador Flexible.
ost original: se o VMware Tools for desinstalado na máquina virtual, ele não poderá acessar
seus adaptadores de rede.
Adicionando discos virtuais
Adicionando um disco virtual existente (ESX 2.x) a uma máquina virtual ESX 3.x causa o
downgrade da máquina virtual para ESX 2.x. Case você esteja usando recursos do ESX 3.x
(como: VMXNET 2 enhanced ou adaptadores de rede Flexible) a máquina virtual se tornará
inconstante. Quando você adiciona um disco virtual ESX 2.x a uma máquina ESX 3.x, o
73
comando Upgrade Virtual Hardware é usado imediatamente para restaurar a máquina virtual
para a versão ESX 3. Este problema não aparece quando você adiciona um disco virtual
(versão mais antiga) a uma máquina virtual ESXi/ESX 4.0.
Executando o comando “Upgrade Virtual Hardware” altera o disco virtual ESX 2 para
que ele não seja usável em uma máquina virtual ESX 2. Considerando que se-deve
fazer uma cópia do disco antes atualizar uma das duas copias para o formato ESX 3.
Para mais informações sobre sistemas operacionais convidados, procure o VMware

Compatibility Guide.
Para mais informações sobre o setting flow control (configuração do controle de fluxo), veja
o tópico Configuring Flow Control on ESX e ESXi (1013413)
2.7. Módulo de administração de usuários remotos e Inclusão de usuários
Firewall Aker
Entre o login: administrador
Entre o nome completo: Administrador do Firewall Aker
Entre a senha (6-14): digitar uma senha de 6 a 14 caracteres;
Confirme a senha: confirmar a senha digitada acima;
Confirma inclusão do usuário? (S/N).
Após ter ou não incluído o administrador, é mostrada uma mensagem perguntando sobre o
cadastro de um segredo compartilhado para administração do Firewall por meio do Aker
Configuration Manager. Se você não possui este produto, responda ‘Não’, caso contrário
consulte o manual do mesmo.
Finalmente, aparece uma mensagem indicando o término da instalação que solicita que a
máquina seja reinicializada para ativar o Aker Firewall. Após reinicializar a máquina, o firewall
já funcionará automaticamente podendo ser configurado remotamente.
A senha digitada deve conter de 6 a 14 caracteres.

74
2.8. Como funciona a contabilização de IPs no Aker Firewall (licenciamento)?
Desde de 1997 a Aker contabiliza suas licenças de firewall em software pelo número de endereços
IP na rede LAN do cliente.
O Aker Firewall contabiliza todos os IPs de suas redes protegidas, ou seja, todo dispositivo físico
ou virtual existente (hosts, impressoras, telefone, tablets, máquinas virtuais, etc) conectado à sua
rede local será contabilizado é ficará na tabela do Firewall por 72 horas.
Segue abaixo algumas orientações sobre como proceder em caso de problemas de licenciamento:
1. A licença deve ter quantidade suficiente de IP ´s para atender todos os dispositivos IP da rede
LAN, isto inclui além de computadores, impressoras, celulares, tablets, câmeras, etc., mesmo
que estes NÃO sejam utilizados simultaneamente.
Exemplo: Uma faculdade precisa de uma licença para atender todo o campus, ela tem três turnos
e em cada turno estudam 500 alunos, ela tem 400 dispositivos IPS em sua rede e vai liberar acesso
à internet controlado para os alunos.
Neste caso deve ser cotada uma licença de no mínimo 1900 IPs, pois mesmo se os alunos não
estiverem utilizando à Internet ao mesmo tempo, a rede será usada por 1500 dispositivos
diferentes durante um dia, e mais 400 dispositivos que pertencem à faculdade, isto ocorre porque
um IP pode ficar retido por até 72 horas no firewall.
2. Redes MPLS onde o cliente tem matriz e filiais, neste caso vamos atuar de da seguinte forma:
 O cliente deseja controlar todo o acesso à Internet por meio da Matriz, neste caso as
licenças devem atender todos os IPs da matriz e de todas as filiais.
Qualquer caso que seja diferente dos citados acima deverá ser tratado de forma especifica junto
ao suporte.

75
2.9. Como funciona o sistema de licenciamento automático do Aker Firewall?
O Aker Firewall possui um mecanismo de licenciamento que tem proporciona a maior

segurança para seus clientes. A imagem abaixo descreve como o processo de licenciamento
é feito:
Figura 17 - Sistema de licenciamento automático do Aker Firewall
Veja a explicação da imagem acima:

76
1. Ao acessar o Firewall pela primeira vez após sua instalação (para mais informações
sobre a instalação do Aker Firewall veja o capítulo 2.2 instalação do Aker Firewall
(Is/VM), a mensagem abaixo será exibida solicitando que o usuário escolha uma das
opções abaixo (o Firewall deve estar conectado à Internet {porta HTTPS} com o DNS
devidamente configurado):
Requisição: Clique nesta opção para requisitar uma nova licença;
Status: Clique nesta opção para verificar o estado de uma requisição pendente
Carregar: Clique nesta opção para carregar uma licença que foi obtida previamente;
Também é possível acessar estas opções clicando no ícone , para que a janela de
“Ativação de Licença” seja exibida, e o ícone “Requisitar uma nova licença” seja
habilitado. Ao clicar no ícone a janela com o formulário será exibida (este formulário
deve ser preenchido corretamente).

77
Figura 18 - Janela de ativação de Licença

78
Figura 19 - Formulário para Solicitação de Licença
2. Ao clicar em “Salvar” o formulário será enviado ao Servidor Externo.
3. Quando o Servidor Externo receber o formulário, ele irá gerar um protocolo para a
Control Center onde o Firewall está rodando.
4. Ao protocolo ser gerado, o Servidor Externo o enviará de volta para a IS/VM em

questão.
5. Ao receber o protocolo, a IS/VM o armazenará para a sua verificação. A primeira

verificação será realizada em até 5 minutos. Caso ocorra algum erro à verificação será
realizada em um período aleatório de até 24 horas (o usuário deve entrar em contato
com o suporte caso à ativação de sua licença não seja efetuada no período máximo de
72h).
Para fazer as requisições não será necessário que a porta 443 (HTTPS) esteja liberada no
Firewall para o servidor da Aker.

79
 O procedimento no BOX é muito simples, ao conectar o Box à Internet, a Chave de
Hardware será enviada automaticamente ao Servidor Externo, que irá gerar o
protocolo é o reenviará para o BOX, que então o armazenará para a verificação. A
primeira verificação será realizada em até 5 minutos. Caso ocorra algum erro, à
verificação será realizada em um período aleatório de até 24 horas (o usuário deve
entrar em contato com o suporte caso à ativação de sua licença não seja efetuada
no período máximo de 72h).
Para que a ativação da licença seja efetuada com sucesso, é necessário que o DNS esteja
configurado no Firewall e na estação onde a GUI foi instalada. Caso contrário, o Firewall não
fará a requisição da licença, ou seja, a janela de solicitação de licença ficará indisponível.
Figura 20 - Erro na Janela do Pedido de licença (DNS não configurado)

80
2.10. Como ativar a licença do Firewall pelo Aker configuration Manager (ACM)?
Para ativar a licença de um Firewall que esteja sendo gerenciado pelo Aker Configuration
Manager ferramenta que permite o gerenciamento de vários
Para ativar a licença siga os passos a seguir:
Figura 21 – Objetos gerenciáveis (Status)
 Dentro do Aker Configuration Manager desejado, clique no menu “Objetos

gerenciáveis”
 Selecione a opção “Status”
 A janela a seguir será exibida:

81
Figura 22 – Janela Status
Esta janela exibe as informações dos Firewalls que são monitorados pelo Aker Configuration
Manager, para aplicar a licença se deve:
 Clicar como botão direito do mouse sobre o Firewall desejado, e selecionar a opção
“Aplicar linceça para este firewall”
A janela a seguir será exibida:

82
Figura 23 – Janela de ativação de licença
A janela acima será exibida informando o status da licença do produto.
Para carregar a nova licença se deve:
 Clicar no icone (Carregar informação de chave)

83
Figura 24 – Janela de localização do arquivo da licença
Nesta janela o usuário deve localizar o arquivo da licença e clicar em “Abrir”

84
Figura 25 – Janela de ativação da licença
Ao carregar a nova licença a janela acima será exibida, informando as informações da

licença.
Para finalizar a ativação, clique em “Aplicar licença”.
Figura 26 – A licença foi aplicada com sucesso
2.11. Renovação da licença
O processo de ‘renovação da licença’ é similar ao processo de ‘instalação da licença’. O nó

mestre irá verificar as licenças de todos os outros nós, incluindo os escravos, diariamente.
Caso algum nó encontre uma licença expirada ou que vá expirar em até 30 dias, a requisição
da renovação será realizada automaticamente (similar ao processo de instalação mostrado
acima). Os dados da licença que já se encontram instalados serão recuperados, e a requisição

85
da renovação da licença será realizada automaticamente ao Servidor Externo, que irá gerar
um protocolo, e o enviará de volta ao Firewall IS/VM em questão, que então o armazenará
para a verificação. A primeira verificação será realizada em até 5 minutos. Caso ocorra algum
erro à verificação será realizada em um período aleatório de até 24 horas (o usuário deve
entrar em contato com o suporte caso à renovação de sua licença não seja efetuada no
período de 72h).
Para cluster o processo de renovação será o mesmo. O nó master fará a requisição ao

servidor externo enviando as informações da licença de todos os nós do cluster. A aplicação
da primeira licença em um firewall em cluster será realizada manualmente. Esta aplicação
manual é realizada somente nos firewalls que estiverem em cluster.
Faltando 5 dias para que a licença se expire e a renovação da licença não foi efetuada, o
usuário deve entrar em contato com o suporte.

86
Utilizando o Aker Control Center

87
3. Utilizando o Aker Control Center
Este capítulo lida com o funcionamento da Interface Remota de administração do Aker

Firewall.
3.1. O que é a administração remota do Aker Firewall?
O Aker Firewall pode ser totalmente configurado e administrado remotamente a partir de

qualquer máquina que possua um sistema operacional compatível com uma das versões da
interface remota, que tenha TCP/IP e que consiga acessar a máquina na qual o firewall está
instalado. Isto permite um alto grau de flexibilidade e facilidade de administração,
possibilitando que um administrador monitore e configure vários firewalls a partir de sua
estação de trabalho.
Além dessa facilidade, a administração remota economiza recursos na medida em que

permite que a máquina rodando o firewall não possua monitor ou quaisquer outros
periféricos.
Esta comunicação entre a interface remota e os produtos Aker é criptografada com uma
chave de 256 bits.
Como funciona a administração remota do Aker Firewall?
Para possibilitar a administração remota existe um processo rodando na máquina do firewall

responsável por receber as conexões, validar os usuários e executar as tarefas solicitadas por
estes usuários. Quando um usuário inicia uma sessão de administração remota, a Interface
Remota estabelece uma conexão com o módulo de administração remota do firewall e
mantém esta conexão aberta até que o usuário finalize a sessão.
Toda a comunicação entre a interface remota e o firewall é realizada de maneira segura,

novas chaves de criptografia e autenticação são geradas no início de cada sessão. Além disso,
são empregadas técnicas de segurança para impedir outros tipos de ataques, como por
exemplo: ataques de repetição de pacotes.
Seguem comentários sobre algumas observações importantes da administração remota:
Para que a interface remota consiga se conectar ao firewall precisa da adição de uma regra
liberando o acesso TCP para a porta 1020 a partir da máquina da qual se deseja conectar.
1. Só é possível a abertura de uma conexão de administração remota em um determinado

instante. Se já existir uma interface conectada, pedidos subsequentes de conexão são
recusados e a interface remota informa que já há uma sessão ativa existente.

88
2. Cada um dos usuários da interface remota deve estar cadastrado no sistema. O programa
de instalação pode criar automaticamente um administrador com poderes para cadastrar
os demais administradores. Caso tenha eliminado este administrador ou perdido sua
senha é necessário o uso do módulo local da Interface Remota ou da Interface Texto (via
SSH) para criar um novo administrador. Detalhes de como fazer isso se encontram no
capítulo intitulado: ‘Administrando Usuários do Firewall’.
Como utilizar a interface
A interface é bastante simples de ser utilizada, entretanto, existe uma observação que deve
ser comentada:
O botão esquerdo e direito do mouse, tem funções diferentes na interface. O botão esquerdo
é usado para selecionar entradas em uma lista . O botão direito tem como função mostrar um
menu de opções para uma determinada lista.

89
3.2. Iniciando a interface remota
Para iniciar a execução da Interface Remota deve-se executar um dos seguintes passos:
 Em máquinas Windows, clique no menu ‘Iniciar’ e selecionar o ‘“Aker Control Center

2’”.
Então a janela abaixo será exibida:
Figura 27 – Acessando o Aker Control Center 2.
 Em Linux deve-se acessar o diretório de instalação do Control Center e executar o

seguinte script: 'aker_control_center2_init.sh'.
A janela mostrada acima é a principal do Aker Firewall e é a partir dela que se tem acesso a
todas as opções de configuração, inclusive à ativação da licença do Firewall. Sem ativação da
licença não é possível realizar as configurações subsequentes.

90
No primeiro acesso, todos os dados referentes à licença aparecem em branco e habilitados
para que o Administrador possa carregá-lo. A Licença de Uso consta em um arquivo, que, será
indicado após o botão ‘Carregar’ ter sido clicado, e assim que forem confirmados, os dados
carregados, a janela abre com todos os dados da licença atual, então, surgirá uma janela
confirmando e reiniciando o firewall.
Portanto clique no botão ‘Carregar’, no canto superior direito da interface:
A Interface Remota é composta de 4 menus descritos brevemente a seguir (quando existe um

firewall selecionado, um quinto menu é mostrado com opções específicas para o mesmo):
Opções
O menu ‘Opções’ contém as configurações relacionadas ao layout da Interface Remota.
Figura 28 - Menu opções.
Ao clicar neste menu, as seguintes opções aparecem:
 Mostrar Tooltips: é uma dica de contexto. É aquela moldura pop up que abre quando
você passa o mouse sobre um elemento HTML (normalmente uma palavra em um
texto) e que contém uma explicação adicional sobre aquele elemento que recebeu o
ponteiro do mouse sobre ele.
 Sessão ociosa: Permite definir o tempo máximo, em minutos, que a interface
permanecerá conectada ao firewall sem receber nenhum comando do administrador.
Assim que este tempo limite for atingido, a interface automaticamente será
desconectada do firewall, permitindo que uma nova sessão seja estabelecida. Seu
valor pode variar entre 1 e 60. A caixa ‘Sem limite’ quando estiver marcada não
desconectará a interface do firewall. O Valor padrão é de 1 minuto. Após efetuar as
alterações clique no botão ‘OK’, caso não realize nenhuma alteração, clique no botão
‘Cancelar’.

91
Figura 29 - Tempo de sessão ociosa.
 Remoção: Caso deseje remover alguma regra, filtro, etc., será enviado uma
mensagem com um a pergunta se deseja realmente remover o item selecionado;
 Suprimir plug-ins inexistentes: caso não tenha um plug-in da Aker instalado, ao clicar
nessa opção, será mostrada a mensagem do que está faltando.
 Firewall: este menu para cadastrar mais firewalls na Interface Remota de modo que
possibilite simultaneamente a administração de diversos Aker Firewalls. Com a
interface conectada a mais de um firewall simultaneamente, é possível usar a
facilidade de arrastar e soltar as entidades e regras entre firewalls, de modo a facilitar
a replicação de determinadas configurações entre eles. Dentro do menu Firewall, tem-
se:
Figura 30 – Esconder regras.
 Esconder regras: colapsa as políticas de regra.
Figura 31 – Desabilitar perguntas.
 Desabilitar perguntas
 Assistente de regras de filtragem: assistente para a criação de regras de

filtragem;
 Assistente de Nat: cria regras de Nat;
 Verificador de regras: checagem das regras de filtragem para verificar se não
há regras sobrepostas.

92
 Idiomas: é possível escolher em qual idioma deseja acessar a Interface Remota (Inglês
ou Português).
Figura 32 - Escolha do idioma que deseja acessar o Aker Control Center.
 Editar cor de fundo: é possível escolher com qual cor de fundo deseja-se trabalhar.
Posteriormente serão dados maiores explicações;
Figura 33 – Cor de fundo do Aker Control Center.
o Formato: define o formato como deseja padronizar a tela do Aker Control Center:
o Pontos: podem-se alterar as cores finais e iniciais. Para isso deve-se escolher a cor e
clicar no botão ‘OK’.

93
Figura 34 – Selecionar cor.
o Opção Padrão: Quando selecionada está opção a tela seguirá com uma configuração
padrão pré-determinada pela Aker.
Figura 35 - Botão: Padrão.
Após realizar as escolhas desejadas, clique no botão ‘OK’.
 Sair: Quando selecionada a opção sair surgirá à mensagem abaixo:
Figura 36 - Aviso de sair do programa.
Se clicar no botão ‘Sim’ a Interface Remota será fechada, se clicar no botão ‘Não’, a
interface continua aberta.

94
Janelas
O Menu “Janelas” possui as funções de configuração das janelas abertas e da barra de menu.
Figura 37 - Menu Janelas.
 Barra de ferramentas: esta opção permite definir se a barra de ferramentas na parte

superior da janela principal será mostrada ou não.
 Janelas: mostra o item de dispositivos remotos (essa opção também pode ser
acessada pressionando o botão do teclado ‘F9’).
Figura 38 - Dispositivos remotos
 Entidades: mostra as entidades (pode também ser acessada pressionando o botão

‘F9’ do teclado).

95
Figura 39 - Entidades.
 Lado a Lado: selecionando esta opção, as janelas abertas do lado direito da Interface
Remota se ajustam de forma que todas apareceram visíveis.
 Cascata: esta opção faz com que as janelas abertas no lado direito da Interface Remota
fiquem posicionadas em forma de cascata, uma na frente da outra.
Ajuda:
Figura 40 - Menu Ajuda.
 Configuração de atualização automática: permite a configuração automática. Nesta

janela é possível ‘Habilitar atualização automática’, ‘Baixar atualizações
automaticamente’, e ‘Habilitar atualizações dos manuais’.
Figura 41 - Configuração Automática de Atualização.
Realizado as escolhas, deve-se clicar no botão ‘OK’.

96
 Janelas de Atualizações: neste menu encontram-se os itens Janelas de Downloads que
mostram as atualizações que se deseja baixar.
Figura 42 - Notificador de Atualizações.
A janela ‘Notificador de Instalação de Atualizações' permite selecionar as atualizações que

se deseja instalar.
Figura 43 - Notificador de Instalação de Atualizações.
 Busca por atualizações: Quando selecionada esta opção uma busca por atualizações
pendentes é realizada, conforme mostra imagem abaixo:

97
Figura 44 - Atualizações prontas.
 Sobre: mostra informações sobre o Aker Control Center.
Figura 45 - Informações sobre o item: Sobre
Para encerrar, clique no botão ‘OK’.

98
Aker Firewall
Figura 46 - Menu Aker Firewall.
Inicialmente nem todas as opções dos menus se encontram habilitadas, por funcionarem
apenas quando houver uma conexão estabelecida. Para ter acesso às demais opções devem
estabelecer uma sessão de administração remota com o firewall que deseja administrar. Para
tanto se devem seguir os seguintes passos:
Cadastrar o firewall selecionando o menu ‘Aker Firewalls’ e a opção ‘Novo dispositivo

remoto’ (veja o item ‘Cadastrando Firewalls’ logo a seguir);
Selecionar o firewall com o qual se deseja conectar;
Clicar na opção Conectar.
 Novo Dispositivo Remoto: Cadastra um novo disposto

 Editar: realiza edições;
 Excluir: exclui dispositivo;
 Conectar ao dispositivo selecionado: conecta ao dispositivo;
 Reiniciar dispositivo: reinicia o mesmo;
 Desligar dispositivo: desliga o dispositivo remoto;
 Salva backup automaticamente: os backups serão salvos.
Os itens descritos acima serão abordados nas próximas páginas.

99
 Textos nos botões: marcando esta opção será mostrada juntamente com cada ícone
a ação correspondente do botão. Desmarcando esta opção, será mostrado apenas o
ícone.
 Dicas para Entidades: quando esta opção estiver ativada, uma pequena caixa com a
descrição de cada entidade irá aparecer quando o mouse for passado sobre seu ícone.
Figura 47 - Caixa de descrição de entidade.
 Mostrar ícones nos botões: esta opção, se ativada, faz com que sejam mostrados
ícones nos botões ‘OK’, ‘Cancelar’ e ‘Aplicar’ das janelas.
Janelas: esta opção permite mostrar ou não as janelas padrão do sistema: ‘ajuda’, ‘firewalls’
e ‘entidades’.
Cadastrando Firewalls
Nesta seção demonstramos como cadastrar um ou mais firewalls quando selecionamos a

opção ‘Novo dispositivo remoto’ dentro do menu ‘Firewalls’ ou no ícone ‘Criar dispositivo
remoto’.
Figura 48 – Botão: Criar novo dispositivo remoto.

100
Aparecerá a seguinte janela ‘Editar Dispositivo remoto’. Nessa janela, é possível escolher o
tipo de autenticação desejada. De acordo com cada opção a janela será alterada, mostrando
os campos correspondentes.
Tipo de Autenticação: Usuário/Senha
Figura 49 - Caixa de edição do dispositivo remoto.
Modo de demonstração: Quando selecionada essa opção, será criado um firewall de

demonstração com uma configuração padronizada. Nenhuma conexão real será realizada ao
tentar se conectar neste firewall, podendo-se criar quantos firewalls de demonstração for
desejado, cada um com a configuração distinta um do outro;
Nome: cadastrar o nome pelo qual o firewall será referenciado na Interface Remota;
Nome da máquina: Caso o servidor do Firewall no qual se deseja conectar possua um nome
associado ao IP da máquina, basta colocar este nome nesta opção para que o Control Center
resolva o DNS automaticamente e se conecte no servidor;
Endereço IPv4 e IPv6: cadastrar o endereço IP para conectar no firewall;
Usuário: esse campo identifica o usuário que acessará o firewall. Este campo grava o usuário,
onde aparecerá todas as vezes que o firewall for acessado.

101
Senha: a senha do usuário. Caso deixe a caixa ‘Salvar Senha’ marcada, não será necessário
digitar a senha quando fizer a conexão (a senha aparecerá na tela como vários asteriscos’*’).
Caso ela esteja desmarcada, este campo estará desabilitado.
A cada 3 tentativas inválidas, o cliente é bloqueado de acessar a Control Center por 3 minutos.
A cada tentativa inválida gera-se um evento ‘Excesso de tentativas invalidas’ do módulo
Daemons do Firewall.
No final basta clicar em ‘OK’ e o firewall estará cadastrado, como o tipo de autenticação
selecionado. No caso de cancelar o cadastro do firewall, basta clicar em ‘Cancelar’.
Tipo de Autenticação: X.509
Figura 50 - Informações requeridas para Editar o Dispositivo Remoto.
Essa opção permite autenticação com certificação digital X509.
Certificado da CA: representa o certificado raiz da autoridade certificadora, mostra o Domínio

(C.N) desse certificado.

102
Ao clicar no ícone mostrado abaixo, carrega-se um arquivo com extensão ‘*.cer/*.crt’ que
contém o certificado.
Figura 51 – Ícone utilizado para o carregamento de arquivo.
O ícone a seguir, mostra um resumo das informações do certificado.
Figura 52 - Ícone utilizado para mostrar informações do certificado.
Certificado do Usuário: essa opção permite carregar um pacote de certificado no formato

PKCS#12. Ele desmembra o pacote em dois arquivos, um com o certificado e outro com a
chave. Carrega um certificado com uma senha e a outra senha é para salvar o arquivo da
chave, salvando assim, de forma encriptada.
Senha: Senha com a qual a chave primária foi salva. Se informar (cadastro), decifra a chave e
manda para o firewall fazer a autenticação. Caso deixe a caixa ‘Salvar Senha’ marcada, não
será necessário digitar a senha quando fizer a conexão (a senha aparecerá na tela como vários
asteriscos ‘*’). Caso ela esteja desmarcada, este campo estará desabilitado.
Alterar Senha: Altera a senha cadastrada no campo senha.
Salvar Senha: Permite que a senha seja salva automaticamente.

103
Tipo de Autenticação: Agente externo usuário/senha
Figura 53 - Tipos de autenticação (usuário, domínio e senha) para editar o Dispositivo Remoto.
Essa opção permite autenticação por meio de Agentes Externos.
Usuário: O usuário que acessará o firewall. Este campo grava o usuário, é onde aparecerá
todas as vezes que o firewall for acessado.
Domínio: Nome do domínio no qual o agente externo está rodando
Senha: A senha do usuário. Caso deixe a caixa ‘Salvar Senha’ marcada, não será necessário
digitar a senha quando fizer a conexão (a senha aparecerá na tela como vários asteriscos ‘*’).
Caso ela esteja desmarcada, este campo estará desabilitado.
Fingerprint: É um resumo da identificação do certificado digital do Firewall. Essa opção

possibilita ao usuário identificar quando tem uma mudança do firewall que se costuma
conectar.
Na primeira vez que há a tentativa da conexão não haverá a identificação do firewall. A

partir da segunda vez todas às vezes que é conectado vai comparar com o fingerprint.

104
Apaga Fingerprint: Zera e começa do estado inicial. Se há uma troca do Firewall a
identificação será diferente, então não será possível à conexão, somente se clicar no ícone
apaga fingerprint .
Depois de cadastrarmos o firewall, pode-se clicar duas vezes no ícone do firewall criado, no
lado esquerdo da janela, ou clicar uma vez para selecioná-lo e, em seguida, no botão
‘Conectar’.
Figura 54 – Botão Conectar.
Ele fará com que a interface se conecte ao firewall escolhido, como mostrado na figura abaixo:
Figura 55 - Interface conectada ao Firewall escolhido.

105
Caso não seja possível estabelecer a sessão de administração, será mostrada uma janela com
o erro que impossibilitou sua abertura. Neste caso, existem várias mensagens possíveis.
Abaixo estão listadas as mensagens de erro mais comuns:
 Aker já sendo utilizado por outra interface;
O Aker Firewall só permite a existência de uma sessão de administração em um determinado

instante. Se esta mensagem for mostrada, significa que já existe outra interface remota
conectada ou um módulo de administração local sendo utilizado.
 Erro de rede ou conexão encerrada pelo servidor;
Este é um erro genérico e pode ter uma série de causas. A sua causa mais comum é um erro
na digitação do login ou da senha. Se o login do usuário não estiver cadastrado ou sua senha
estiver errada, o servidor encerrará a conexão. Verifique primeiramente se o seu login e sua
senha foram digitados corretamente. Caso o erro continue, siga a seguinte sequência de
passos:
1. Verifique se o usuário que está tentando se conectar está cadastrado no sistema e se a

sua senha está correta (para fazer isso, utilize o módulo local de administração de
usuários. Veja o capítulo intitulado ‘Administrando usuários do firewall’).
2. Verifique se a rede está funcionando corretamente. É possível fazer isso de várias formas,
uma delas é utilizando o comando ping. (Não se esqueça de acrescentar uma regra
liberando os serviços ICMP ‘echo request’ e ‘echo reply’ para a máquina que se está
testando em direção ao firewall, caso vá utilizar o ping. Para aprender como fazer isso,
veja o capítulo intitulado ‘O Filtro de Estados’). Se isso não funcionar, então a rede está
com problemas de conectividade e isto deve ser corrigido antes de tentar a administração
remota. Caso funcione, veja o passo 3.
3. Verifique se existe uma regra cadastrada liberando o acesso a partir da máquina que
queira conectar ao firewall, utilizando o serviço Aker (TCP, porta 1020). Caso não exista,
insira esta regra (para aprender como fazer isso, veja o capítulo intitulado ‘O Filtro de
Estados’).
Ao acessar o firewall e outro usuário já estiver configurando o mesmo a imagem abaixo será
exibida, permitindo que o usuário envie uma mensagem para o outro usuário, mantenha-se
conectado, ou desconectar-se.

106
Figura 56 – Notificação informando que o Firewall já está sendo configurado.
3.3. Finalizando a administração remota
Existem três formas de finalizar a administração remota do Aker Firewall:
Finalizando a sessão clicando com o botão direito do mouse no firewall conectado e

selecionando ‘Desconectar do dispositivo remoto’;
Figura 57 - Finalizador de administração remota do Aker Firewall (Desconectar do dispositivo remoto).
Clicando em ‘Desconectar do dispositivo remoto’ na barra de ferramentas ou fechando a

Interface Remota. Neste caso você perderá a conexão com todos os firewalls que estiverem
conectados.
Caso queira sair do programa, deve-se clicar no botão ‘Sair’, na barra de ferramentas da janela
principal ou clicar no ‘x’ no canto superior direito da janela.
Figura 58 – Botão: Sair deste programa.

107
3.4. Mudando sua senha de usuário
É possível para qualquer usuário do Aker Firewall alterar a sua senha sempre que desejado.
Para tanto se deve primeiro estabelecer uma sessão de administração (como mostrado no
tópico ‘Iniciando a interface remota’) e após isso se deve executar os seguintes passos:
Figura 59 - Dispositivos remotos (realizar mudança de senha).
 Selecionar o firewall a ser configurado;

 Clicar em Ferramentas;
 Selecionar o item Mudar senha.

108
Então a janela a seguir será exibida:
Figura 60 - Mudar Senha (inserir senha antiga, a nova senha e confirmação da mesma).
Deve-se digitar a senha anterior no campo ‘Senha antiga’ e digitar a nova senha nos campos
‘Nova senha’ e ‘Confirmar senha’ (as senhas aparecerão na tela como vários asteriscos ‘*’).
Após preencher os campos, deve-se pressionar o botão ‘OK’, para alterar a senha ou o botão
‘Cancelar’, caso não queira mudá-la.
Os campos ‘Senha antiga’, ‘Nova senha’ e ‘Confirmar senha’, devem conter de 6 a 14

caracteres.

109
3.5. Visualizando informação de sessão
É possível a qualquer momento visualizar algumas informações sobre a sessão de

administração ativa. Para isso existe uma janela específica que mostra informações úteis
como: login, nome e direitos do usuário que está administrando o firewall e a versão e o
release do Aker Firewall que estiver sendo administrado. São mostradas também à hora de
início da conexão e há quanto tempo ela está ativa. Para abrir esta janela, execute os
seguintes passos:
Figura 61 - Dispositivos remotos (Visualizar Informações da sessão).
 Selecionar o firewall a ser configurado;

 Clicar em Informação;
 Selecionar o item Informações de sessão.

110
Será mostrada então a seguinte janela:
Figura 62 - Informação da sessão (mostra dados do Firewall, Licença e Usuário).
3.6. Utilizando as ferramentas da Interface Remota
O que são as ferramentas da Interface Remota do Aker Firewall?
As ferramentas são um conjunto de utilitários presentes apenas na Interface Remota do Aker

Firewall. Elas servem para facilitar a administração do firewall, provendo uma série de funções
bastante úteis no dia-a-dia.

111
3.7. Chaves de Ativação
Esta opção permite atualizar a chave de ativação do Aker Firewall e dos demais produtos que
possam estar instalados juntos: Antivírus, Spam Meter, Secure Roaming e Web Content
Analyzer.
Para visualizar ou atualizar a licença, deve-se:
Clicar no botão ‘Carregar/Mostrar licença’ na barra de tarefas do firewall que estiver

conectado.
Figura 63 – Botão: Carregar/Mostrar licença.
A janela de ativação de licença

112
Figura 64 - Informações sobre ativação de licenças.
Esta janela é apenas informativa. Nela são mostrados todos os produtos que estão instalados
junto com o firewall e os dados referentes à licença de cada um deles. Entre estes dados pode-
se verificar a data de expiração, número de licenças, ID e a data de expiração do IDS e etc.,
para cada produto.
Caso se deseje inserir uma nova licença, deve-se clicar no botão ‘Carregar’, localizado na
barra de tarefas. Esta opção abrirá um diálogo onde se pode especificar o arquivo de onde a
nova chave será carregada. No caso do Firewall Box, caso exista mais de um produto instalado
junto com o firewall, as chaves dos produtos adicionais também serão atualizadas.
Da versão 6.0 do Aker Firewall em diante não é mais possível atualizar as chaves de
ativação do firewall digitando-as, apenas carregando-as a partir do arquivo enviado pela Aker
Security Solutions ou um de seus representantes autorizados.
3.8. Salvar configurações (backup)
Esta opção permite salvar a configuração completa do firewall na máquina onde está
administrando. No caso de algum desastre, pode-se facilmente restaurar esta configuração
posteriormente.
Para salvar as configurações conecte em um dispositivo remoto e clique no ícone ‘Salvar um

backup do item selecionado’:
Figura 65 – Botão: Salvar um backup do item selecionado.

113
Realizar o download das configurações personalizadas e bases de treinamento dos produtos:
Figura 66 - Download das configurações personalizadas e bases de treinamento.
Figura 67 - Backup Informações de log.

114
A janela para salvar configurações:
Figura 68 - Tela de escolha de arquivo para salvar configurações.
Após digitar o nome do arquivo salvo, deve-se clicar no botão ‘Salvar’. Caso não queira mais
gravar a cópia de segurança, deve-se clicar no botão ‘Cancelar’.
Esta opção permite restaurar a cópia de segurança da configuração completa do firewall

realizada por meio da opção anterior.

115
Salva o backup automaticamente
Por meio de a configuração a seguir, é salvo um backup completo do dispositivo remoto todas
as vezes que se conectar ao mesmo automaticamente, para ativá-la selecione a opção ‘Salvar
o backup automaticamente’ conforme figura a seguir:
Figura 69 - Salvar o backup automaticamente.
Os backups são salvos na pasta de instalação do Aker Control Center.
3.9. Restaurar configurações
Para restaurar uma cópia de segurança, deve-se:
Figura 70 - Botões para restauração de backup.
 Clicar no firewall para o qual será carregada a cópia de segurança.

 Selecionar o item ‘Carregar configurações’ na barra de ferramentas ou no menu com o
nome do firewall selecionado:

116
Figura 71- Botão: Carrega backup do arquivo.
A janela para carregar configurações:
Figura 72 - Escolha de arquivo para carregar dados de configuração.
Esta janela permite escolher o nome do arquivo de onde a configuração será restaurada. Após
seu nome ser especificado, o firewall lerá todo seu conteúdo, fará vários testes de
consistência e se o seu conteúdo estiver válido será carregado.
 O botão ‘Abrir’ carregará a cópia e atualizará a configuração do firewall imediatamente.

 O Botão ‘Cancelar’ fechará a janela, porém a cópia de segurança não será carregada.
É possível escolher, no momento da restauração do backup, quais configurações serão

aplicadas no produto, agrupadas por similaridade.
Exemplo:
 Regras;
 Licença;
 Certificados;
117
 Base de dados temporária;
 TCP/IP;
 Perfis de acesso.
Sendo possível selecioná-las nas janelas a seguir:
Figura 73 - Restauração do backup do Antivírus Module.
Figura 74 - Restauração do backup do Aker Spam Meter.

118
Figura 75 - Restauração do backup da Web Content Analyzer.
Será exibida a versão do sistema quando da geração do backup e alertas podem ser
exibidos em caso de incompatibilidade.
3.1. Utilizando a Interface Texto (via SSH-akbackup)
A Interface Texto (via SSH) de configuração de parâmetros é bastante simples de ser utilizada.
O objetivo dessa funcionalidade é permitir que o usuário salve todas as configurações de forma
eficaz e segura para a restauração do produto. Existem duas formas de fazer o backup
completo: salvá-lo na máquina local ou via FTP. O firewall compactará as pastas: /aker, /bin,
/boot, /etc, /lib, /lib64, /sbin, /usr, /tmp, /aker_funcs.sh /hw_install.sh /recover_conf.sh,
/recover_fw.sh, /var/adm, /var/lib, /var/net-snmp, /var/state, /var/spool/var-tmp no
processo. O arquivo será compactado utilizando o algoritmo xz e armazenado em
/var/spool/backups/Backup_versão_data(YYYY_MM_DD).xz.
Para retornar ao nível raiz deve-se usar o comando “exit”.
A seguir detalhes sobre as opções de salvamento do backup:
Sintaxe:
akbackup ajuda:

119
akbackup carrega_backup <arquivo> -> Carrega o backup de um arquivo
akbackup salva_backup [ip] [usuario] [password] [pasta_remota] ->
Quando é utilizado sem argumentos:
Salva o backup em
/var/spool/backups/Backup_Produto_versao_YYYY_MM_DD_HH_MM.xz
Quando é passado argumentos de IP, usuário, passaporte e pasta remota:
Envia para um servidor FTP com o IP, usuário, passaporte e pasta remota definida.
Fazendo o Backup na máquina local
Esta opção permite que o usuário salve o seu backup em uma pasta local.
 Para fazer o backup na máquina local dos binários e configurações e salvá-lo localmente use
o comando akbackup salvar_backup sem passar argumentos
Figura 76 - Comando usado para salvar o backup
 Fazendo o Backup Via FTP

Esta opção permite que o usuário salve o seu backup em um servidor FTP.
 Para fazer o backup dos binários, realizar configurações e enviá-lo via FTP para um servidor,
use o comando akbackup salvar_backup <ip do servidor_ftp> <usuário do servidorftp>
<senha do servidor ftp> <pasta> :
Figura 77 - Backup via FTP
 Fazendo o Backup na máquina local

Esta opção permite que o usuário salve o seu backup em uma pasta local.

120
 Para fazer o backup na máquina local dos binários, realizar configurações e salvá-lo
localmente, use o comando akbackup salvar_backup sem passar argumentos:
Figura 78 - Comando usado para salvar o backup e envia-lo via ftp.
Ao criar o backup, ele será enviado para o servidor FTP. Se a transferência for realizada com
sucesso, o arquivo de backup será apagado localmente. Se algum erro ocorrer na transferência, o
arquivo será mantido na pasta de backups para ser enviado manualmente pelo usuário.
O usuário receberá uma mensagem caso não tenha sido possível carregar o backup nas
seguintes situações:
 O arquivo apresenta-se corrompido;

 Não há espaço suficiente em disco;
 Caso ocorra algum outro erro (o sistema automaticamente solicitará ao usuário que tome as
devidas medidas para solucioná-lo)
3.2. Reiniciar Firewall
Esta opção serve para reinicializar o firewall, porém não deve ser utilizada em condições
normais de operação. A única operação que exige a reinicializarão do firewall é a carga de um
algoritmo de criptografia externo.
Para reinicializar o firewall deve-se:
Figura 79 - Reiniciar o Firewall.
 Selecionar o item ‘Reiniciar Firewall’ no menu com a opção ‘Ações do Firewall’.

121
3.3. Atualizações
O que são atualizações e onde consegui-las?
Como todo software, o Aker Firewall pode eventualmente apresentar bugs em seu
funcionamento. À medida que estes problemas são resolvidos, a Aker produz um arquivo que
permite a atualização de seu Aker Firewall e a eliminação destes erros. Algumas vezes
também são adicionadas determinadas características novas em uma versão já existente, de
modo a aumentar sua performance ou aumentar sua flexibilidade.
Em ambos os casos, os arquivos de atualização ou correção são disponibilizados de forma

gratuita no site da Aker: basta procurar o menu ‘Download’ e selecionar a opção ‘Correções
e Atualizações’. Estes arquivos são sempre cumulativos, ou seja, é necessário apenas baixar
a última versão disponível e está incluirá as correções presentes nos arquivos de
correção/atualização anteriores.
A janela de atualizações
Esta opção permite aplicar uma atualização ou correção do Aker Firewall remotamente, por
meio da Interface Remota. É possível também atualizar completamente a versão do produto.
Para ter acesso à janela de atualizações deve-se clicar no ícone localizado na barra de
ferramentas, automaticamente a janela será aberta, para que sejam escolhidas as
atualizações a serem aplicadas.
Figura 80 - Botão: Atualizações.
Essa janela se divide em duas abas: ‘Atualização’ e ‘Histórico’, conforme explicadas a baixo:

122
Aba Patch
Figura 81 - Sistema de atualização de dados do Firewall.
Por meio dessa janela é possível visualizar o status atual das atualizações/correções aplicadas
na Web Gateway. Caso se trate de cluster a janela apresentará as informações das máquinas
que o compõem. Possui os seguintes campos:
Id: Refere-se à identificação das máquinas que compõe o cluster.
Nome: Refere-se ao apelido atribuído às máquinas.
Restauração: Este campo informa se a última atualização aplicada pode ser desfeita.
As atualizações aplicadas por meio dos Patches e dos Hotfixes são alterações que podem ser
desfeitas. Essa opção permite desfazer a última atualização aplicada na máquina, seja hotfix
ou patch. Deve-se observar que as alterações são desfeitas uma por uma, ou seja, se a versão
já estiver no Patch 3, e deseja-se voltar à versão inicial, deve ser desfeito o patch 3, depois o
patch 2, e assim por diante.
Última atualização: Identificação do último patch aplicado no membro do cluster.

123
Hotfixes: Lista de hotfixes aplicados dentro do patch. Esta lista mostra a ordem direta de
aplicação dos hotfixes.
O hotfix é uma pequena atualização ou correção realizada para um patch específico. Pode
ser aplicado independente da ordem, o que não acontece com o patch, que deve ser aplicado
na ordem sequencial de atualização.
Caso a atualização ou correção sejam destinados a uma versão diferente de sistema

operacional ou de versão do Aker Web Gateway, então o botão Aplicar ficará desabilitado,
não permitindo sua aplicação.
Para carregar um arquivo de atualização ou correção deve-se clicar no ícone que se encontra
na barra de ferramentas.
Figura 82 – Botão: Carregar arquivo de atualização.

124
Com isso é aberta uma janela, que permite carregar um arquivo de atualização do patch ou
do hotfix, conforme mostra a figura abaixo.
Figura 83 - Escolha do arquivo para atualização ou correção.
Para aplicar o arquivo de atualização/correção, deve-se primeiramente selecionar uma

máquina na aba Patch, e logo em seguida clicar no ícone para que o patch ou o hotfix seja
aplicado.
Figura 84 – Aplicar patch ou hotfix.
Caso queira aplicar o rollback, pelo menos uma máquina deve ser selecionada na aba Patch,
e logo em seguida deve-se clicar no ícone, sendo que essas alterações serão desfeitas uma a
uma, na sequência que foram atualizadas.
Figura 85 – Aplicar rollback.
Para aplicar rollback em mais de uma máquina ao mesmo tempo, as mesmas devem estar
com a mesma atualização, por exemplo: todas estão com a versão patch 3, e quer voltar para
o patch 1.

125
Aba Histórico
Figura 86 - Visualização de históricos de aplicação de patches e hotfixes.
Essa aba permite visualizar todo o histórico das aplicações dos patches e hotfixes.
A aba é composta dos seguintes campos:
ID: Mostra a identificação da máquina de onde foi realizada a atualização.
Usuário: Indica o usuário que aplicou a atualização.
Restauração: Indica se pode ser ou não desfeito a atualização.
Data: Indica a data que foi realizada alguma aplicação de patch ou hotfix.
A expressão "Versão Corrente" significa que não foi aplicado nenhuma patch.
Observação: Ao clicar no botão OK, o Patch ou o Hotfix não são aplicados, somente é fechada
a janela.

126
3.4. Módulo de atualização automática – Aker Update System (AUS)
O Aker Update System - AUS tem como função disponibilizar os pacotes de atualização de
todos os produtos da Aker no diretório do Aker Control Center. O sistema funciona de forma
inteligente, onde ele trará somente a última versão para pacotes integrados com o Control
Center, os últimos patches e hotfix.
Acesso às janelas de configuração
Existem 3 formas de configurar o Módulo de Atualização:
Primeira opção:
Selecionar o produto Aker desejado;
Figura 87 - Acessando o Aker Firewall.
Caso tenha atualização disponível, aparecerá a seguinte notificação no canto direito inferior
da tela do Control Center: “Atualizações prontas”.
Figura 88 - Notificação sobre atualizações disponíveis no Aker Update System.

127
 Clicar com o botão esquerdo do mouse sobre a mensagem e aparecerá a tela
“Notificador de Instalação de Atualizações”. Devem-se escolher individualmente as
atualizações a serem instaladas e clicar no botão “OK”.
Figura 89 - Visualizando atualizações disponíveis por meio do Aker Update System.
Em seguida aparecerá a seguinte tela: “Sistema de Atualização”. Na parte de Patch e possível

assinalar os itens aos quais serão aplicadas as mudanças (a parte descrição informa o que
cada uma corresponde) e informações sobre o PT. Para isso basta escolher a opção desejada
e clicar em “OK”. A atualização será realizada automaticamente, caso queria realizar mais de
uma, deve-se repetir o procedimento acima.

128
Segunda opção:
 Clicar com o mouse no botão de “Atualizações” localizado no canto inferior direito da

tela da Control Center e escolher uma das duas opções: “Atualizações para instalar”
ou “Atualizações para baixar”.
Figura 91 - Acessando as janelas do Aker Update System.

129
Terceira opção
Figura 93 - Menu - ajuda.
 Clicar no ícone “Ajuda” e escolher uma das três opções:
 “Configuração de Atualização Automática”: as atualizações serão realizadas

constantemente conforme tempo estipulado;
 “Janelas de Atualizações”: tem a opção de abrir as “Janelas de Download” ou “Janelas de
Instalação”.

130
3.5. Reempacotar Aker Client
A opção “Reempacotar Aker Client” é usada para criar um pacote contendo todas as
configurações dos servidores de autenticação, desta forma, efetuar uma instalação do Aker
Client pre-configurada em uma nova rede corporativa utilizando um GPO (Group Policy
Object- Diretiva de Grupo).
Para ter acesso a janela “Reempacotar Aker Client” deve-se:
Figura 94 – Janela de acesso (Reempacotar Aker Client)
Pacotes MSI
MSI (Microsoft System Installer) é um software usado para instalação, manutenção e

remoção de softwares em sistemas Windows. Um Pacote MSI contém todas
informações/configurações que o Microsoft Windows Installer requer para instalar ou para
remover a instalação de produtos de software.

131
Figura 95 – Reempacotar Aker Client
3.6. DNS Reverso
DNS reverso é utilizado para resolver nomes de máquinas a partir de endereços IP. A janela
de resolução de DNS reverso do Aker Firewall serve para prover resolução de endereços sem
a necessidade de utilização de programas adicionais.
Para ter acesso a janela de resolução de DNS reverso, deve-se:
Figura 96 - Janela de DNS reverso.

132
 Clicar no menu Ferramentas da janela de administração do firewall.
 Selecionar o item DNS Reverso.
A janela de resolução de DNS reverso
Figura 97 - DNS reverso.
Esta janela consiste de um campo para digitar o endereço IP que deseja resolver e uma lista
com os endereços IP já resolvidos anteriormente:
 A opção “Mostrar todos”, se estiver marcada, fará com sejam mostrados todos os
endereços IP resolvidos.
 O botão “OK” fechará a janela.
Para resolver um endereço, deve-se digitá-lo no campo e pressionar o botão “DNS Reverso”.
Neste momento o endereço será mostrado na lista na parte inferior da janela, junto com o
status da resolução. Após algum tempo, será mostrado o nome da máquina correspondente
ao endereço ou uma indicação de que o endereço informado não possui DNS reverso
configurado.

133
3.7. Simulação de Regras de Filtragem
As varreduras de regras permitem ao administrador testar a configuração das regras de

filtragem do firewall por meio de uma simulação de tentativas de conexões. Ao analisar o
resultado desta simulação, é possível verificar se o firewall está realmente bloqueando as
conexões que não devem ser aceitas e permitindo a passagem das que devem.
Para ter acesso a janela de varreduras, deve-se:
Figura 98 - Simulação de Regras de Filtragem.

 Selecionar o item “Simulação de regras de filtragem”.
Simulação de regras de filtragem
É possível alternar entre a varredura por endereços IP ou por entidades. A varredura por
entidades é útil quando já têm cadastradas no sistema todas as máquinas, redes e serviços
que serão utilizados. A varredura por IP é mais indicada quando deseja utilizar máquinas,
redes ou serviços que não estão cadastrados e que não deseja cadastrar (por exemplo,
máquinas externas que não serão utilizadas em nenhuma regra de filtragem).

134
. É possível selecionar de entidades listadas a informação para os campos “Origem do
pacote”, “Destino do pacote” e “Serviços”, ou digitá-los. Para alternar entre os dois modos de
operação basta clicar nos ícones correspondentes à esquerda de cada um destes campos.
 Simulação de Regras de Filtragem: Quando esta opção estiver selecionada, a janela de

varreduras tem o seguinte formato:
Figura 99 - Simulação de Regras de Filtragem (origem do pacote, destino, data, hora e máscaras).
Os campos “IP” e “Máscara”, dentro de Origem do Pacote, especificam a faixa de máquinas

a serem utilizadas como origem das conexões simuladas. Os campos “IP” e “Máscara”, dentro
de Destino do Pacote especificam a faixa de máquinas a serem utilizadas como destino.
O campo “Serviço” especifica o protocolo e a faixa de portas simuladas.
No caso dos protocolos TCP e UDP, os valores dos serviços são as portas destino; no caso
do ICMP, é o tipo de serviço. E no caso de outros protocolos, o valor do protocolo.
O campo “Dia/Hora” permite que o administrador teste as regras para uma determinada hora
e dia da semana.
 Varredura por Entidades

135
Quando a opção Varrer por Entidades estiver selecionada, a janela de varreduras tem o
seguinte formato:
Figura 100 - Simulação de Regras de Filtragem (origem do pacote, destino, data, hora e entidade).
O campo “Origem do pacote” especifica a entidade que será usada na origem das conexões
simuladas.
O campo “Destino do pacote” especifica para qual entidade as conexões simuladas devem se
dirigir.
O campo “Serviço” permite especificar o protocolo e a faixa de portas a serem simuladas, por
meio de uma entidade.
O campo “Dia/Hora” permite que o administrador teste as regras para uma determinada hora
e dia da semana.
Só é possível selecionar uma entidade como origem, uma como destino, e uma como
serviço.
3.8. Relatórios
Esta opção possibilita que o administrador imprima um relatório de toda (ou de parte) da
configuração do firewall de forma fácil e rápida. Este relatório é bastante útil para fins de
documentação ou de análise da configuração.
136
Para ter acesso a janela de relatórios deve-se:
 Na barra de ferramenta clique no dispositivo remoto que deseja gerar o relatório e

selecione a opção “Relatório”.
Figura 101 – Relatório.

137
A janela Relatório
Figura 102 - Relatório de configuração do firewall.
Esta janela consiste de várias opções distintas, uma para cada parte da configuração do
firewall, que podem ser selecionadas independentemente. Para gerar um relatório, deve-se
proceder da seguinte forma:
1. Marcar os itens que se deseja imprimir.

2. Clicar no botão Procurar e escolha o diretório onde irão ser armazenadas as páginas
HTML.
3. Abrir o diretório e selecionar o arquivo HTML para imprimir seu relatório.
Caso queira cancelar a emissão do relatório, deve-se clicar no botão Cancelar.

138
3.9. Busca de Entidades
Esta opção permite que localize entidades que contenham um determinado endereço IP,
interface ou serviço, bem como regras que contenham uma determinada entidade.
Para ter acesso à janela de localização de entidades, deve-se:
Figura 103 - Busca de Entidades.

 Selecionar o item Busca de entidade.

139
A janela de localização de entidades
Esta janela consiste de três abas onde cada uma é responsável por um tipo de pesquisa
diferente:
Aba Entidades
Figura 104 - Busca de Entidades (procura de entidade com IP ou nome e últimos resultados).
Esta aba permite localizar entidades pelo endereço IP informado ou pelo seu nome.
Procurar: inicia a busca a partir dos dados informados.
Fechar: fecha a janela de localização de entidades.
Ao clicar duas vezes sobre o nome de uma entidade ou regra mostrada como resultado da
pesquisa, a janela de edição correspondente será aberta, possibilitando que os valores sejam
editados rapidamente.

140
Aba Serviços
Figura 105 - Busca de Entidades (Serviços, protocolo e últimos resultados).
Esta aba permite localizar entidades do tipo serviço que contenham o protocolo e o serviço
especificados.
Procurar: inicia a busca a partir dos dados informados.
Fechar: fecha a janela de localização de entidades.
Ao clicar duas vezes sobre o nome de uma entidade ou regra, mostrada como resultado da
pesquisa, a janela de edição correspondente será aberta, possibilitando que edite seus
valores rapidamente.

141
Aba Regras
Figura 106 - Busca de Entidades (Regras, entidades e últimos resultados).
Esta aba permite localizar a regra que a entidade pertence.
Procurar: Este campo inicializa a busca a partir dos dados informados.

Fechar: Este campo fecha a janela de localização de entidades.
Nesta aba serão carregadas apenas as entidades do tipo Máquina, Rede, Conjunto e Serviço.
Entidade: Quando selecionada uma entidade, uma busca será realizada retornando o número
da regra a qual a entidade pertence. As regras podem ser: Regras VPN, Regras de NAT, Regras
de filtragem ou Regras de Filtragem dentro dos Perfis, se a entidade procurada for do tipo
Rede ou Máquina é iniciada uma busca para saber se ela está presente em alguma entidade
do tipo Conjunto. Caso esteja, as regras que contém essa entidade Conjunto e os tipos
relacionados a ela, serão mostradas e impressas no resultado da busca, e consequentemente,
as regras que contiverem estes conjuntos também serão mostradas.
Ao clicar duas vezes sobre uma entidade ou regra, mostrada como resultado da pesquisa
(Entidades de Conjunto, Regras de Filtragem, Regras de NAT, Regra VPN e Perfil) a janela de
edição correspondente será aberta, possibilitando editar os seus valores rapidamente.

142
3.10. Busca de Common Name
A ferramenta “Busca de Common Name” permite que o usuário realize analises no “Common
Name” de certificados enviados pelo servidor de websites, possibilitando a criação de regras
de bloqueio.
Para efetuar uma análise no “Common Name” do certificado de um site, siga os passos a
seguir:
 No Firewall desejado acesse o menu “Ferramentas”;
 Clique na opção “Busca de Common Name”;
Figura 107 – Busca de Common Name
 No campo Http://, digite o endereço do site, o qual a análise será efetuada.
Ex: www.google.com
 Em seguida, clique em “Buscar”.

143
Figura 108 - Busca de Common Name
Ao completar a busca, será exibida a “url”, e o “Common Name” do servidor do site.
Com a informação fornecida o usuário pode criar regras de acesso Http/Https, definindo se
as conexões destinadas a um domínio especifico serão aceitas ou bloqueadas, além de, definir
os padrões de bloqueio, e o período que estas regras serão aplicadas.
Para criar as regras citadas acima siga os passos descritos a seguir:
 Primeiramente, o usuário deve criar uma entidade do tipo “Lista de Padrão de Busca”,
definindo a string ou os parâmetros que serão pesquisados na URL acessada.
Para criar um novo Padrão de texto siga os passos a seguir:
 Por padrão a janela de entidades é exibida na parte inferior do Aker Control Center,
caso a mesma não esteja sendo exibida pressione a tecla F5;

144
Figura 109 - Entidades
 Clique na opção “Lista”, e então clique com o botão direito sobre “Listas de padrões
de Busca”, para criar uma nova entidade do tipo Lista de Padrões de Busca.
Figura 110 - Lista de padrões de busca
A janela de criação de Entidade será exibida, defina os padrões para a nova entidade e clique
em OK.

145
Figura 111 - Entidade "lista de padrões de busca"
Nome: neste campo deve-se definir o nome para a nova entidade do tipo “Lista de Padrões
de Busca”;
Padrão: Cada regra consiste de uma operação, que indica que tipo de pesquisa será feita e o
texto a ser pesquisado. As opções disponíveis são:
Figura 112 - Opção de operação
 CONTÉM: A URL deve conter o texto informado em qualquer posição.

 NÃO CONTÉM: A URL não pode conter o texto informado.
 É: O conteúdo da URL deve ser exatamente igual ao texto informado.
 NÃO É: O conteúdo da URL deve ser diferente do texto informado.
 COMEÇA COM: O conteúdo da URL deve começar com o texto informado.
 NÃO COMEÇA COM: O conteúdo da URL não pode começar com o texto informado.

146
 TERMINA COM: O conteúdo da URL deve terminar com o texto informado.
 NÃO TERMINA COM: O conteúdo da URL não pode terminar com o texto informado.
 EXPRESSÃO REGULAR: O campo a ser pesquisado deverá ser uma expressão regular.
 TUDO: Aceitara todo conteúdo da URL
Texto: Neste campo deve-se inserir o “Common Name” do certificado do website, exibido na
janela Busca de Common Name, como exibido na imagem a seguir:
Figura 113 - Common name
 Ação: neste campo deve-se definir a ação a ser executada, caso o endereço que o
usuário deseje acessar não se encaixe em nenhuma regra de filtragem. As opções
disponíveis são.
 Permitir: Ao selecionar está opção o firewall aceitará as URLs que não se

enquadrarem em nenhuma regra.
 Bloquear: Ao selecionar está opção o firewall rejeitará as URLs que não se
 Categorias: Nesse campo é possível associar uma entidade do tipo “categoria” à regra
em criação.

147
 Canal: Canal é usado nas regras de filtragem com o objetivo de limitar a banda de
determinados serviços, máquinas, redes e/ou usuários.
 Quota: Quotas são utilizadas para controlar e racionalizar o tempo gastos pelos
funcionários, com acesso aos websites. Assim as quotas são os limites em termos de
tempo de acesso e volume de dados, por usuário. Esta opção permite associar ao
usuário alguma entidade quota criada.
 Hora: Período em que a regra será aplicada. Dia da semana e horário. Exemplo:
Permite definir que nas segundas-feiras e nas quartas-feiras o usuário terá acesso à
Internet somente das 12:00 às 14:00.
Figura 114- Hora
 Período de validade: Neste campo o usuário deve definir a data de início e termino
para a aplicação da regra em questão.
Figura 115 - Período de validade
A ordem das regras na lista de regras de filtragem WWW é de fundamental importância.

Ao receber uma solicitação de acesso a um endereço, o firewall pesquisará a lista a partir do
início, procurando por uma regra na qual o endereço se encaixe. Quando a regra é detectada,
a regra associada a mesma será executada.
 Ao concluir a criação da entidade descrita acima, navegue até o menu “Configuração

do Firewall” no Aker Control Center, e acesse a janela “Perfis”;

148
 No “Perfil” o qual as regras de bloqueio ou liberação serão executadas, acesse a opção
“HTTP/HTTPS”, aba “Filtro de URL”;
Figura 116 - Configuração do Firewall > Perfis
 No campo HTTP/HTTPS, clique com o botão direito e selecione a opção “Inserir”;
Figura 117 - Http/Https
Após inserir uma nova regra, defina os padrões de configuração para os campos abaixo:

149
 Limite da busca: Esse campo permite escolher em qual parte da URL será realizado a
busca, sendo que os parâmetros a serem pesquisados serão definidos no campo
descrito abaixo.
 Padrões de Texto: Neste campo o usuário deve selecionar uma entidade “lista de
padrões” previamente criada (a seguir o passo-a-passo para a criação desta entidade).
Esta entidade será associada a regra em criação, permitindo a definição da string ou
os parâmetros que serão pesquisados na URL acessada e qual operação a ser efetuada
(permitir ou bloquear).
Figura 118 - Aplicar regra http/https
Ao concluir a definição dos padrões de sua regra clique em “Aplicar”.
Além do método de bloqueio realizado pelo Common Name do certificado,

procedimento exibido acima, também é possível realizar bloqueios por meio de um
método mais avançado, usando o Proxy ativo, HTTPS transparente (man-in-the-
middle). Para mais informações veja o tópico Advanced HTTPS.
3.11. Janela de Alarmes
Esta opção permite visualizar os alarmes gerados pelo firewall, quando esta opção estiver
marcada nas regras de filtragem ou na janela de ações.
150
Para ter acesso à janela de alarmes, deve-se:
Figura 119 - Janela de Alarmes.
 Clicar no menu Ferramentas na janela do firewall que queira administrar.

 Selecionar o item Janela de alarmes.

151
A janela de alarmes
Figura 120 - Janela de Alarmes (Descrição).
Esta janela consiste de um campo de descrição com as entradas correspondentes a ação

executada pela regra de filtragem.
 O botão Fechar fecha a janela.

 A caixa Não mostrar essa janela automaticamente, se estiver marcada, fará com que a
janela não seja mostrada automaticamente quando ocorrer um evento.
 O botão Salvar grava as entradas em um arquivo de log do tipo texto.
 O botão Apagar limpa todas as entradas contidas na janela.

152
3.12. Mapa da rede
O firewall dispõe de um prático sistema para visualizar a rede onde ele se insere de forma
gráfica. Para ter acesso à janela de visualização gráfica da rede, deve-se:
Figura 121 - Mapa da Rede.
 Clicar no menu “Informação” da janela de administração do firewall.

 Selecionar o item “Mapa da Rede”.
A janela abaixo será exibida:

153
Figura -122 - Mapa da Rede.
O primeiro item representa o firewall, conectado às suas interfaces de rede. A cada interface,
conectam-se uma ou mais redes e roteadores, que se conectam a mais redes distantes.
Clicando em uma rede com o botão direito do mouse, aparecerá um menu listando as
entidades que fazem parte da mesma, possibilitando ao usuário editá-las.
3.13. Estatísticas do sistema
A janela de estatísticas do sistema possui informações sobre uso do processador e uso de

memória do sistema. Para ter acesso a essa janela, deve-se:

154
Figura 123 - Estatísticas do Sistema.
 Clicar no menu Informação da janela de administração do firewall.

 Selecionar o item “Estatísticas do Sistema”.

155
Figura 124 - Estatísticas do Sistema.
Na parte superior da janela são mostradas as informações de uso do CPU. Essas informações
estão divididas em três partes: porcentagem ociosa, porcentagem dedicada ao sistema e
porcentagem sendo usada por programas iniciados pelo usuário. A parte inferior da janela
mostra a situação da memória do sistema em Megabytes. Também está dividida em três
partes: quantidade de memória livre, quantidade de memória sendo usada e quantidade de
memória armazenando informações em forma de cache.

156
A quantidade de memória não afeta de forma significativa a performance do firewall.
Entretanto, pode ocorrer queda de desempenho se o sistema possuir área de memória swap e
estiver fazendo muito uso dessa, o que irá afetar apenas os proxies.
É importante observar que a memória cache não é considerada memória usada. Ela é
acessada apenas quando o sistema precisa reabrir um programa. Caso esse programa ainda
esteja em cache, a reabertura será mais rápida. Porém, se o sistema precisar de uma quantidade
maior de memória livre, a área usada para cache é liberada.
Figura 125 – Relatório de estatística do sistema.

157
3.14. Utilizando a janela de Sniffer de tráfego de pacotes IP
A janela de Sniffer do Aker Firewall permite ao administrador capturar pacotes de uma ou

mais conexões que estiverem trafegando pelo firewall. A grande vantagem deste sniffer em
relação à utilização de um tradicional é que é possível capturar pacotes em vários pontos
distintos dentro de uma interface: é possível ver os pacotes como eles são recebidos (i.e.,
cifrados e com endereços convertidos) ou exatamente antes ou depois da filtragem, o que faz
com que sejam mostrados em claro e com os endereços reais.
É importante observar que o comando fwpacket só captura dados a partir do header do IP.
Atualmente o sniffer de pacotes do firewall só captura dados a partir do header IP. Já está
em aberto uma solicitação para implementar a funcionalidade de captura de informações
relacionadas a camada 2.·.
Para ter acesso à janela de sniffer, deve-se:
Figura 126 - Acesso a janela: Sniffer de tráfego de pacotes IP.

 Selecionar o item Sniffer de tráfego de pacotes IP.

158
A janela de Sniffer de Pacotes
Figura 127 - Sniffer de Pacotes – Sniffer 1.
Esta janela consiste de várias abas. Cada uma das abas permite a captura de tráfego em uma
interface distinta ou em pontos diferentes de uma mesma interface. Para criar novas abas
com sniffer deve-se clicar na última aba onde aparece o texto Novo sniffer.
Para iniciar a captura, devem-se preencher os seguintes campos:
Onde capturar: Definir o ponto onde a captura deve ser realizada. As seguintes opções estão
disponíveis:
Interface física: Definir que a captura deve ser realizada exatamente como os pacotes são
recebidos pelo firewall
Antes da filtragem: Definir que os pacotes devem ser capturados imediatamente antes de
serem filtrados, i.e., após serem decriptografados e terem seus endereços convertidos, se for
o caso.
Após filtragem: Definir que a captura será realizada apenas dos pacotes que passarem pela
filtragem e eles serão vistos decriptados e com seus endereços convertidos, se for o caso.
Interface física: Definir qual a interface que será utilizada para capturar os pacotes

159
Filtro: Este define o filtro que será utilizado na captura dos pacotes. O objetivo deste filtro é
limitar os pacotes recebidos somente ao que interessa. Caso ele esteja em branco todos os
pacotes serão capturados. A sintaxe do filtro é a mesma usada no popular programa tcpdump
e todas suas opções são suportadas. Um resumo das principais opções que podem ser
utilizadas no filtro é:
 dir
Indica a direção em que a transferência ocorrerá, para e/ou do identificador. As direções

possíveis são: src, dst, src or dst e src and dst.
Exemplos:
``src foo''
``dst net 128.3''
''src or dst port ftp-data''
 proto
Qualificador restrito a estipular um tipo particular de protocolo. As opções existentes de

protocolo são:
ether, ip, arp, rarp, tcp e udp.
Exemplos:
`èther src foo''
`àrp net 128.3''
``tcp port 21''
Quando não estipulado, todos os protocolos existentes em opção serão assumidos.
 port
Captura pacotes com a porta de origem ou de destino do pacote igual a port. Todas as
expressões de porta podem ser precedidas de tcp ou udp, assim:
tcp src port
Capturar apenas pacotes tcp com porta de origem port.
Quando o botão Travar seleção estiver selecionado, o pacote selecionado ficará sempre
visível na janela de captura.
O botão Iniciar captura inicia a captura de pacotes, porém envia o resultado apenas para a
janela.
O botão Capturar em arquivo inicia a captura de pacotes e grava os dados no arquivo

especificado. Este arquivo pode posteriormente ser aberto pela maioria dos Sniffers
tradicionais disponíveis no mercado.
O botão OK encerra a captura e fecha a janela. Caso tenha capturado para um arquivo, ele
estará disponível.

160
3.15. Visualizando o Estado dos Agentes Externos
A janela de estado dos agentes externos é puramente informativa e serve para indicar ao
administrador o estado dos Agentes Externos. Isso é muito útil quando se quer configurar um
novo agente externo ou para detectar a ocorrência de possíveis problemas.
Para ter acesso à janela de estado dos agentes externos, deve-se:
Figura 128 - Agentes Externos.

 Selecionar o item Agentes Externos.

161
A janela de agentes externos
Figura 129 - Agentes Externos (nome, tipo e status).
Esta janela consiste de uma lista com o nome de todos os agentes externos ativos que sejam
um dos seguintes tipos: Agentes de Antivírus, Agentes IDS, Analisadores de URL,
Autenticadores (Usuário/Senha, Token, RADIUS e LDAP), e Spam Meter.
Para cada agente listado serão mostradas as seguintes informações:
Nome: Nome da entidade do agente externo.
Tipo: Tipo do agente externo.
Status: Informa o estado atual da conexão com o agente externo. Os seguintes estados
podem ser mostrados nesta coluna:
 Estado indefinido: Ainda não existem informações disponíveis sobre o estado deste
agente.
 Conectado ao principal: O firewall conectou-se com sucesso ao IP principal do agente
externo.
 Conectado ao primeiro backup: O firewall conectou-se com sucesso ao IP do 1º backup
do agente externo. Por alguma razão, a conexão inicial ao IP principal não foi possível.
 Conectado ao segundo backup. O firewall conectou-se com sucesso ao IP do 2º backup do
agente externo. Por alguma razão, a conexão inicial ao IP do 1º backup não foi possível.
 Erro de conexão: Devido a um problema de comunicação com o agente externo, nenhuma
conexão foi estabelecida. Verifique os eventos para maiores informações.
 Erro interno: Não foi possível conectar-se ao agente externo por um problema interno.
Verifique os eventos para maiores informações.
 Vírus não detectado: Este estado só aparece nos agentes de antivírus e indica que embora
o firewall tenha conseguido se conectar corretamente ao agente, ele não foi capaz de
detectar o vírus de teste que o firewall enviou. Verifique a configuração do antivírus.
162
IP do servidor. Um ou mais Endereços IPs do agente externo no qual (ou nos quais), o firewall
conectou-se.
Para os servidores de log, além de o estado “Conectado ou Erro”, haverá mais um estado:
Parcialmente Conectado, isso ocorre quando mais de um servidor está disponível (primeiro e
segundo backup), porém o agente não está conectado a todos eles.
3.16. Utilizando o Verificador de configurações
O Verificador de Configurações é uma janela que é mostrada sempre que o firewall é iniciado
e suas configurações iniciais ainda não estão completas. Ele serve para chamar de forma
simples os assistentes que realizam cada uma das etapas principais de configuração do
produto.
É possível também, a qualquer momento chamar o Verificador de Configuração. Para isso

deve-se executar a seguinte sequência de passos:
Figura 130 - Verificador de Configuração.

 Selecionar o item Verificador de Configurações.

163
A janela do verificador de configurações
Figura 131 - Verificador de Configurações
Esta janela consiste de 5 grupos de configurações distintas. Cada um dos grupos é mostrado
em azul, caso sua configuração já tenha sido realizada ou em laranja caso não tenha sido
realizada. Em cada um dos grupos é possível clicar no link assistente para invocar a execução
do assistente responsável pela configuração do grupo. No caso em que alguma configuração
não venha a ser realizada nunca (por exemplo, no caso de um firewall que não realizará VPN)
é possível desabilitar a checagem desta configuração marcando a caixa Parar a checagem
automática das configurações de VPN do grupo desejado.
 O botão Aplicar salva as opções de checagem e mantem a janela aberta.

 O botão OK fará com que a janela seja fechada e as alterações salvas.
 O botão Cancelar fechará a janela e descartará as modificações efetuadas.
É importante observar que a memória cache não é considerada memória usada. Ela é acessada
apenas quando o sistema precisa reabrir um programa. Caso esse programa ainda esteja em cache,

164
a reabertura será mais rápida. Porém, se o sistema precisar de uma quantidade maior de memória
livre, a área usada para cache é liberada.
Recomenda-se que a configuração seja realizada na ordem em que os grupos se encontram de cima
para baixo.
3.17. Diagnóstico
O Aker Firewall realiza testes básicos de conectividade:
 Ping na rota padrão;

 Ping em lugares conhecidos (Ex. DNS da Google);
 Testes de DNS;
 Teste de HTTP;
 Comando traceroute;
 Comando Netstat;
 Comando Nslookup.
Figura 132 - Diagnósticos.

165
Aba Tudo
É retornado ao usuário o status do acesso à Internet.
Figura 133 - Janela de Diagnósticos: Tudo
Para ter acesso, basta clicar no botão “Testar Tudo”. Em seguida surgem os dados.

166
Aba Ping
A aba Ping, realiza um teste de ICMP (Ping) no endereço IP ou nome DNS digitado. Este teste
valida à conectividade do Aker Firewall com o endereço testado.
Figura 134 - Janela de Diagnósticos: Ping
Para acessar, basta digitar o endereço IP desejado e clicar no botão “ping”. Em seguida os
dados são mostrados na tela.

167
Aba Traceroute
A aba Traceroute realiza um rastreamento entre o Aker Firewall e o endereço IP ou nome

digitado.
Figura 135 - Janela de Diagnósticos: Traceroute.
Para acessar, basta digitar o endereço IP ou nome e clicar no botão “traceroute”. Em seguida
os dados serão mostrados na tela.

168
Aba Netstat
A aba Netstat retorna o status de todas as conexões pertencentes ao Aker Firewall.
Figura 136 - Janela de Diagnósticos: Netstat.
Deve-se clicar no botão “Netstat”. Em seguida os dados são mostrados na tela.

169
Aba Nslookup
A aba Nslookup realiza a resolução do nome digitado para seu respectivo endereço IP, este
teste é importante para validar a configuração DNS do Aker Firewall.
Figura 137 - Janela de Diagnósticos: Nslookup.
Para acessar, basta digitar o nome do servidor para seu respectivo endereço IP e em seguida
clicar no botão “Nslookup”. Os dados serão mostra dos na tela.

170
Administrando usuários do Firewall

171
4. Administrando usuários do Firewall
Este capítulo mostra como criar os usuários para administrar remotamente o Aker Firewall.
O que são usuários do Aker Firewall?
Para que alguma pessoa consiga administrar remotamente o Aker Firewall é preciso ser
reconhecida e validada pelo sistema. Esta validação é realizada na forma de senhas, assim,
para que ela seja possível, cada um dos administradores deverá ser previamente cadastrado
com um login e uma senha.
Além disso, o Aker Firewall permite a existência de vários administradores distintos, cada um
responsável por uma determinada tarefa da administração. Isso, além de facilitar a
administração, permite um maior controle e uma maior segurança. É no cadastro de usuários
que define as respectivas atribuições de cada administrador.
4.1. Usuários Administradores
Para ter acesso à janela de Usuários administradores, na interface remota, deve-se:
Figura 138 - Acesso a janela de Usuários administradores.
 Clicar em ‘Configurações do Sistema’ da janela do firewall que quer administrar.

172
 Selecionar o item ‘Usuários administradores’.
Esta opção só é habilitada quando o usuário que está com a sessão aberta na interface
remota tem autoridade para gerenciar usuários. Isso será comentado em detalhes no próximo
tópico.
A janela de Usuários administradores
Aba ‘Usuários internos
Figura 139 - Janela de Usuários administradores (Usuários internos).
Esta janela consiste de uma lista de todos os usuários atualmente definidos para acesso à
administração do firewall, além de um segredo compartilhado (ou senha), para administração
centralizada pelo Aker Configuration Manager. Não havendo o segredo compartilhado, a
configuração será apenas efetuada pelos usuários cadastrados.
É mostrado o login, o nome completo e as permissões de cada usuário.
 O botão OK fecha a janela de administração de usuários e salva as modificações.

173
 O botão Aplicar aplica permanentemente as alterações realizadas sobre um determinado
usuário sem fechar a janela.
 O botão Cancelar fecha a janela de administração de usuários e descarta todas as
alterações efetuadas.
 Quando um usuário for selecionado, os seus atributos completos são mostrados nos
campos Permissões.
Para alterar os atributos de um usuário, deve-se proceder da seguinte forma:
1. Selecionar o usuário a ser alterado clicando sobre seu nome. Neste momento são
mostrados os seus atributos nos campos após a listagem de usuários.
2. Alterar o valor dos atributos desejados e clicar no botão Aplicar ou no botão OK. A partir
deste momento as alterações serão efetivadas.
Para incluir um usuário na lista, deve-se proceder da seguinte forma:
1. Clicar com o botão direito do mouse em qualquer lugar da área reservada para mostrar a
lista (aparece o botão Inserir) e selecionar a opção Incluir no menu pop-up ou clicar no
ícone que representa a inclusão na barra de ferramentas.

2. Preenche os campos do usuário a ser incluído e clicar no botão Aplicar ou no botão OK.
Para remover um usuário da lista, deve-se proceder da seguinte forma:
1. Selecionar o usuário a ser removido, clicar sobre seu nome e clicar no ícone que
representa a remoção na barra de ferramentas, ou clicar com o botão direito do mouse
sobre o nome do usuário a ser removido e selecionar a opção Excluir no menu pop-up.
Significado dos atributos de um usuário
 Login
É a identificação do usuário para o firewall. Não podem existir dois usuários com o mesmo
login. Este login será pedido ao administrador do firewall quando este for estabelecer uma
sessão de administração remota.
O login deve ter entre 1 e 14 caracteres. Não há diferenças entre letras maiúsculas e
minúsculas neste campo.
 Nome
Este campo contém o nome completo do usuário associado ao login. Os seus objetivos são de
informação, não sendo usado para qualquer validação.
Este nome deve ser um conjunto de caracteres de comprimento entre 0 e 40.

174
 Senha
Este campo será usado em conjunto com o campo login para identificar um usuário perante
o Aker Firewall. Ao digitar a senha, serão mostrados na tela asteriscos "*" ao invés das letras.
O campo senha deve ter no máximo 14 caracteres. Seu tamanho mínimo é configurável por
meio da janela de parâmetros da interface (para maiores informações veja o tópico Utilizando
a interface remota). Neste campo, letras maiúsculas e minúsculas são consideradas
diferentes.
É extremamente importante que as senhas usadas tenham um comprimento grande, o mais

próximo possível do limite de 14 caractéres. Além disso, deve-se sempre utilizar uma combinação
de letras minúsculas, maiúsculas, números e caracteres especiais nas senhas (caracteres especiais
são aqueles encontrados no teclado dos computadores e que não são números nem letras:
"$","&",”]", etc.). Nunca use como senhas palavras em qualquer idioma ou apenas números.
 Confirmação
Este campo serve para confirmar a senha digitada no campo anterior, uma vez que aparecem
asteriscos na tela, ao invés dos caracteres propriamente ditos.
 Permissões
Este campo define o que um usuário pode fazer dentro do Aker Firewall. Ele consiste de três
opções que podem ser marcadas independentemente.
O objetivo destas permissões é possibilitar a criação de uma administração descentralizada

para o firewall. É possível, por exemplo, numa empresa que possua vários departamentos e
vários firewalls, deixar um administrador responsável pela configuração de cada um dos
firewalls e um responsável central com a tarefa de supervisionar a administração. Este
supervisor seria a única pessoa capaz de apagar e alterar a configuração de log e eventos dos
firewalls. Desta forma, apesar de cada departamento ter autonomia de administração é
possível ter um controle central do que cada administrador alterou na configuração e quando
ele realizou cada alteração. Isto é um recurso muito importante para realizar auditorias
internas e aumenta a segurança da administração.
Caso um usuário não possua nenhum atributo de autoridade, então, esse terá permissão
apenas para visualizar a configuração do firewall e compactar os arquivos de log e de eventos.
 Configuração do Firewall

175
Quando esta permissão está marcada, o usuário em questão pode administrar o firewall, isto
é, altera a configuração das entidades, regras de filtragem, conversão de endereços,
criptografia, proxies e parâmetros de configuração que não estejam relacionados ao log.
 Configuração do Log
Quando esta opção está marcada, o usuário em questão tem poderes para alterar os
parâmetros relacionados ao log (como por exemplo, tempo de permanência do log), alterar
a configuração da janela de ações (tanto as mensagens quanto os parâmetros) e apagar
permanentemente o log e os eventos.
 Administrar Usuários
Quando esta opção está marcada, o usuário em questão tem acesso à janela de administração
de usuários, podendo incluir, editar e excluir outros usuários.
Um usuário com este nível de autoridade somente poderá criar, editar ou excluir usuários
com autoridades de níveis iguais ou menores aos que ele possuir (por exemplo, se um usuário
tiver poderes de gerenciar outros usuários e configurar log, então ele poderá criar usuários
que não possuam nenhuma autoridade, que somente possam configurar o log, que somente
possam criar novos usuários ou que possam gerenciar usuários e configurar log. Ele não
poderá nunca criar, nem editar ou excluir, um usuário que possa configurar o firewall).
 Conecta o Configuration Manager
Essa opção habilita/desabilita acessos ao Aker Firewall pelo Configuration Manager. Ao

habilitar conexões a senha comum ao firewall e ao gerenciador (shared secret) deve ser
informada.

176
Aba Agentes Externos
Figura 140 - Usuários Administradores: Agentes externos.
Esta aba consiste na configuração dos agentes externos que são utilizados para a autenticação
dos usuários que administram o firewall, definindo, assim, regras de autenticação para o
acesso destes.
Habilitar autenticação via agentes externos
Selecionar essa opção permite a autenticação dos usuários, por meio de agentes externos
previamente cadastrados no firewall. Também permite definir o autenticador externo, qual o
usuário/grupo que ele pertence, quais as suas permissões de acesso e a definição das
entidades que o usuário utilizará para conectar ao firewall.
Autenticador
Ao clicar com o botão direito em cima da opção autenticador, poderá selecionar um

autenticador (agente externo) habilitado na aba Métodos da Janela Autenticação. Esse
autenticador é responsável por intermediar o processo de autenticação da interface com o
firewall.

177
Usuário/Grupo
Os usuários e os grupos estarão relacionados ao autenticador escolhido. Pode-se associar um

usuário somente ou um grupo deles.
Permissões
Este campo define o que um usuário pode fazer dentro do Aker Firewall. Ele consiste de três
opções que podem ser marcadas independentemente.
O objetivo destas permissões é possibilitar a criação de uma administração descentralizada

para o firewall. É possível, por exemplo, numa empresa que possua vários departamentos e
vários firewalls, deixar um administrador responsável pela configuração de cada um dos
firewalls e um responsável central com a tarefa de supervisionar a administração. Este
supervisor seria a única pessoa capaz de apagar e alterar a configuração de log e eventos dos
firewalls. Desta forma, apesar de cada departamento ter certa autonomia de administração
é possível ter um controle central que grave o que cada administrador altere a configuração
e quando ele realizou cada alteração. Isto é um recurso muito importante para realizar
auditorias internas, além de aumentar a segurança da administração.
Entidades
As Entidades são representações de objetos do mundo real para o Aker Firewall. Por meio
delas, podem-se representar máquinas, redes, serviços a serem disponibilizados, entre
outros. Essa opção permite definir de qual entidade o usuário se conectará ao firewall.
Servidor Fingerprint
É um resumo da identificação do certificado digital do Aker Firewall. Essa opção possibilita ao

usuário identificar quando tem uma mudança do firewall que se costuma conectar.

178
Aba Autenticação X.509
Figura 141 - Usuários Administradores de autenticação - X509.
Essa aba consiste no método de autenticação com certificação digital X.509. O Certificado
Digital pode ser considerado como a versão eletrônica (digital) de uma cédula de identidade,
associa uma chave pública com a identidade real de um indivíduo, de um sistema servidor, ou
de alguma outra entidade. Um certificado digital normalmente é usado para ligar uma
entidade a uma chave pública. Para garantir a integridade das informações contidas neste
arquivo ele é assinado digitalmente, no caso de uma infraestrutura de Chaves Públicas (ICP),
o certificado é assinado pela Autoridade Certificadora (AC) que o emitiu e no caso de um
modelo de Teia de Confiança (Web of trust) como o PGP o certificado é assinado pela própria
entidade e assinado por outros que dizem confiar naquela entidade. Em ambos os casos as
assinaturas contidas em um certificado são atestamentos realizados por uma entidade que
diz confiar nos dados contidos naquele certificado.

179
Um certificado normalmente inclui:
 Informações referentes à entidade para o qual o certificado foi emitido (nome, e-mail,
CPF/CNPJ, PIS etc.);
 A chave pública referente à chave privada de posse da entidade especificada no
certificado;
 O período de validade
 A localização do "centro de revogação" (uma URL para download da CRL, ou local para
uma consulta OCSP);
 A(s) assinatura(s) da(s) AC/entidade(s) que afirma que a chave pública contida naquele
certificado confere com as informações contidas no mesmo.
Um certificado padrão X.509 é outro formato de certificado muito comum. Todos os

certificados X.509 obedecem ao padrão internacional ITU-T X.509; assim (teoricamente)
certificados X.509 criados para uma aplicação podem ser usados por qualquer aplicação que
obedece X.509.
Um certificado exige alguém para validar que uma chave pública e o nome do dono da chave
vão juntos. Com certificados de PGP, qualquer um pode representar o papel de validador.
Com certificados X.509, o validador é sempre uma Autoridade de Certificação ou alguém
designado por uma CA.
Um certificado X.509 é uma coleção de um conjunto padrão de campos contendo

informações sobre um usuário ou dispositivo e sua correspondente chave pública. O padrão
X.509 define qual informação vai ao certificado, e descreve como codificar isto (o formato dos
dados). Todos os certificados X.509 têm os seguintes dados:
O número da versão do X.509 que identifica o padrão aplicado na versão do X.509 para este
certificado, o que afeta e qual informação pode ser especificada neste.
A chave pública do possuidor do certificado junto com um algoritmo de identificação,

especifica qual sistema de criptografia pertence à chave e quaisquer parâmetros associados.
Abaixo, seguem os campos que contém na aba:
Habilitar autenticação X.509:
Quando selecionada, essa opção habilita a autenticação do usuário via certificado digital
X.509.
CN do certificado do firewall:
Essa opção mostra qual certificado o Aker Firewall está utilizando na sua autenticação.
Importar Certificado:

180
Clicar nesse ícone, permite a inclusão de um novo certificado, ou seja, carrega-se o certificado
cadastrado no arquivo, incluindo-o no firewall.
Figura 142 – Importar certificado.
Ao selecionar o certificado e clicar no botão ‘Abrir’, a tela seguinte apresentará 3 solicitações:

‘Senha do certificado’, ‘Senha para salvar a chave privada’ e ‘Confirmação da senha da chave
privada’. Clicar no botão ‘OK’.
Figura 143 – Certificado (importado).
Exporta Certificado: Gravam os dados do certificado, para transportá-lo para uma futura
aplicação desse certificado. Tira uma cópia do certificado.

181
Figura 144 – Exportar certificado.
Escolher e clicar no botão “Salvar”.
A tela seguinte apresentará 4 solicitações: “Senha para salvar o certificado”, “Confirme a

senha do certificado”, “Senha para salvar a chave privada” e “Confirmação da senha da
chave privada”. Clicar no botão “OK”.
Figura 145 – Certificado (exportado).

182
Remove Certificado: Ao clicar nesse ícone, o certificado previamente incluído é removido.
Com isso o Aker Firewall fica sem nenhum certificado.
Mostra detalhes dos certificados: Mostra todas as informações contidas no certificado

habilitado.
Figura 146 – Detalhes do Certificado.
Autoridade Certificadora:
A autoridade certificadora (CA - certificate authority) deve garantir ao usuário, por meio da
assinatura de seus certificados, que tais entidades são realmente quem dizem ser. Então, a
CA tem um papel básico de garantir a correspondência entre a identidade e a chave pública
de uma determinada entidade, sabendo que tal chave pública corresponde a uma chave
privada que permanece sob guarda exclusiva dessa entidade.
Para tanto, a CA deve ser capaz de realizar todos os processos de emissão de certificados,
verificação de validade, armazenamento, publicação ou acesso on-line, revogação e
arquivamento para verificação futura.
Em consequência, uma autoridade certificadora constitui-se de um sistema computacional

completo, capaz de comunicar, processar e armazenar. Além disso, tanto as comunicações
envolvendo esse sistema, quanto o próprio sistema, devem ser também protegidas e a
própria identidade do sistema deve ser garantida, necessidades esta que são atendidas por
intermédio da publicação de uma chave pública pertencente à própria autoridade

183
certificadora. Como tal chave deve também ser garantida com um certificado digital, então,
em geral, uma autoridade certificadora deposita sua chave pública junto à
outra autoridade certificadora, formando uma estrutura de certificação onde algumas CA
funcionam como autoridades certificadoras para outras CAs.
Essa opção seleciona uma autoridade certificadora à qual o usuário está vinculado.
Pseudo Group
Corresponde aos grupos de certificados, relacionados à autoridade certificadora selecionada

na opção acima. O campo “Pseudo Group” não é editável.
Permissões
O campo “Permissões” é editável, podendo, para cada CA selecionada relacionar as

permissões para cada grupo.
Esta opção, uma vez escolhida uma Autoridade Certificadora e definidos os níveis/permissões
de acesso para cada grupo, ao trocar de CA todas as permissões relacionadas à outra CA serão
perdidas.

184
Figura 147 – Opção de escolhas do servidor.
4.2. Utilizando a Interface Texto (via SSH-fwadmin)
Além da Interface Remota de administração de usuários, existe uma interface local, orientada
a caracteres, que possui praticamente as mesmas capacidades da Interface Remota (E
possível usar todos os comandos sem o prefixo “FW”, para isso execute o comando “fwshell”,
então todos os comandos poderão ser acessados sem o prefixo “FW”). A única função não
disponível é a de alteração das permissões dos usuários. Essa Interface Texto (via SSH), ao
contrário da maioria das demais interfaces orientadas a caracteres do Firewall Aker, é
interativa e não recebe parâmetros da linha de comando.
Localização do programa: /etc/firewall/fwadmin

185
Ao ser executado, o programa exibirá a tela a seguir.
Figura 148 - Execução do programa utilizando a Interface Texto (via SSH).
Para executar qualquer uma das opções mostradas, digite a letra mostrada em negrito. Cada
opção é mostrada abaixo em detalhes:

186
 Inclui um novo usuário: Esta opção inclui um novo usuário que poderá administrar o
Aker Firewall remotamente. Ao ser selecionada, é mostrada uma tela pedindo as
diversas informações do usuário. Após todas as informações serem preenchidas é
pedida uma confirmação para a inclusão do usuário.
Figura 149 - Execução do programa para inclusão de usuários como administrados do Aker
Firewall.
Para prosseguir com a inclusão, digite ‘S’. Para abortar, digite ‘N’.

187
 Remoção de usuário cadastrado: Esta opção, remove um usuário cadastrado no
sistema. O login do usuário a ser removido é necessário. A seguir, haverá uma
confirmação para realizar a operação.
Figura 150 - Execução do programa para a exclusão de usuários.
Para prosseguir com a remoção, digite ‘S’. Para abortar, digite ‘N’.

188
 Alteração de senha de usuário: Esta opção altera a senha de um usuário já cadastrado
no sistema. O login do usuário cuja senha será alterada é necessário. Digite a nova
senha. A seguir, haverá uma confirmação para realizar a operação.
Figura 151 - Execução do programa para a alteração de senha do usuário.

189
 Listagem de usuários: Esta lista de usuários cadastrados tem os nomes e as
permissões de todos os usuários autorizados a administrar remotamente o firewall.
Um exemplo de uma possível listagem de usuários é a seguinte:
Figura 152 - Execução do programa para exibir a listagem de usuários e permissões.
O campo permissões consiste de 3 possíveis valores: CF, CL, e GU, que correspondem
respectivamente às permissões de: Configura Firewall, Configura Log e Gerencia Usuários. Se
um usuário possuir uma permissão, ela será mostrada com o código acima, caso contrário
será mostrado o valor --, indicando que o usuário não a possui.

190
 Compacta arquivo de usuários: Esta opção não está presente na Interface Remota e
não possui uso frequente. Ela serve para compactar o arquivo de usuários, removendo
entradas não mais usadas. Ele somente deve ser usado quando for removido um
grande número de usuários do sistema.
Ao ser selecionada, o arquivo será compactado e ao final será mostrada uma mensagem
indicando que a operação foi completada (a compactação do arquivo costuma ser uma
operação bastante rápida, durando poucos segundos).
Figura 153 – Compactação do programa para exibir a compactação do arquivo de usuários.

191
 Edita as opções do Configuration Manager: Esta opção permite alterar as
configurações do Aker Configuration Manager. É possível habilitar/desabilitar acessos
ao Aker Firewall pelo Configuration Manager e modificar a shared secret. Se o acesso
ao firewall não estiver habilitado, será mostrada uma tela pedindo a criação da shared
secret. É necessário preencher a senha e sua confirmação.
Figura 154 - Edição das configurações do Aker Configuration Manager.

192
Se o acesso ao firewall já estiver habilitado, serão mostradas novas opções de configuração:
Figura 155 - Edição das configurações do Aker Configuration Manager (Firewall habilitado).
 Desabilita acesso pelo Configuration Manager: Quando selecionada essa opção não
será mais possível acessar o Aker Firewall pelo Configuration Manager até que o
usuário habilite o acesso novamente.
 Modifica shared secret do Configuration Manager: Permite à alteração da shared

secret. É necessário entrar com a nova senha e com a sua confirmação.

193
Figura 156 - Edição das configurações do Aker Configuration Manager (desabilita, modifica
ou retorna).
 Sai do fwadmin: Esta opção encerra o programa fwadmin e retorna para a linha de comando.

194
Configurando Parâmetros do
Sistema

195
5. Configurando os parâmetros do sistema
Este capítulo mostra como configurar as variáveis que irão influenciar nos resultados de todo
o sistema. Estes parâmetros de configuração atuam em aspectos como a segurança, log do
sistema e tempos de inatividade das conexões.
5.1. Utilizando a Interface Remota
Para ter acesso a janela de configuração de parâmetros, deve-se:
Figura 157 - Acesso aos dispositivos remotos (Parâmetros de configuração).
 Clicar no menu Configurações do Sistema da janela do firewall que quer administrar;

 Selecionar o item Parâmetros de Configuração.
A janela de Parâmetros de configuração
O botão OK fará com que a janela de configuração de parâmetros seja fechada e as alterações
que foram efetuadas sejam aplicadas.
 O botão Cancelar fará com que a janela seja fechada, porém as alterações efetuadas não
sejam aplicadas;
 O botão Aplicar enviará para o firewall todas as alterações feitas, porém manterá a janela
aberta.

196
Significado dos parâmetros
Aba Global
Figura 158 - Parâmetros de configuração do Aker Firewall: global.
Nesta janela, estes parâmetros são utilizados pelo filtro de estados e pelo conversor de
endereços. Eles consistem dos seguintes campos:
Interface Externa (Por motivo de controle de licença): Define o nome da interface externa
do firewall. Conexões que vierem por esta interface não contam, na licença.
Valor padrão: Configurado durante a instalação do firewall pelo administrador.
Tempo limite TCP: Define o tempo máximo, em segundos, que uma conexão TCP pode
permanecer sem tráfego e ainda ser considerada ativa pelo firewall. Seu valor pode variar de
0 a 259200 (72 horas).
Valor padrão: 900 segundos.
Tempo limite UDP: Define o tempo máximo, em segundos, que uma conexão UDP pode
permanecer sem tráfego e ainda ser considerada ativa pelo firewall. Seu valor pode variar de
0 a 259200 (72 horas).

197
Estes campos são de vital importância para o correto funcionamento do firewall: valores
muito altos poderão causar problemas de segurança para serviços baseados no protocolo
UDP, farão com que o sistema utilize mais memória e o tornarão mais lento. Valores muito
baixos poderão causar constantes quedas de sessão e o mau funcionamento de alguns
serviços.
Tamanho mínimo de senha: Define o número mínimo de caracteres que as senhas dos
administradores devem ter para serem aceitas pelo sistema. Seu valor pode variar entre 4 e
14 caracteres.
Valor padrão: 6 caracteres.
É importante que este valor seja o maior possível, de modo a evitar a utilização de senhas que
possam ser facilmente quebradas.
Endereços fixos de configuração remota: São endereços que, independentemente de regras

e de extrapolação dos limites de licenças, podem administrar o firewall (isto é conectar na
porta 1020). Eles servem como medida de prevenção anti-bloqueio do firewall, uma vez que
só podem ser configurados via Interface Texto (via SSH).

198
Aba Log
Figura 159 - Parâmetros de configuração: Log.
Local: Indica que o log/eventos/estatísticas deve ser salvos em um disco local, na máquina onde
o firewall estiver rodando.
Tempo de vida no log / eventos / estatística: Os registros de log, eventos e estatísticas do

firewall são mantidos em arquivos diários. Esta configuração define o número máximo de
arquivos que serão mantidos pelo sistema, em caso de log local. Os valores possíveis vão de 1
a 365 dias.
Valor padrão: 7 dias
Tamanho (GB) / eventos / log / estatísticas: Os arquivos (log ou evento ou estatística) serão
limitados em tamanho total em disco, ou seja, caso o total de logs em disco ultrapasse o valor
estipulado, os logs mais antigos serão apagados.

199
Exemplo da nova rotação de logs do firewall
ANTES ATUAL
Período de 01 vez por dia 01 vez por hora ou arquivo atual

rotação atingindo o tamanho máximo
configurado.
Controles para Ultrapassando o Ultrapassando o tempo ou

exclusão dos tempo limite tamanho limite configurado.
arquivos configurado.
Exemplo:
Configuração do ambiente:
Tempo limite: 07 dias tamanho máximo de log de 2,4 GB
São gerados 100 MB de arquivos de log por hora.
Às 11:59 do 1º dia, haverá aproximadamente 2,4 GB de arquivos de log.
À meia-noite do 2º dia, o firewall rotacionará os logs.
Isso fará com que o primeiro arquivo de log de 100 MB, criado no 1º dia, seja excluído do HD,
fazendo com que este fique com 2,3 GB de arquivos de log.
Depois disso, o firewall recebeu um ataque de flood e começou a gerar 3,4 GB de log por hora.
Quando o arquivo de log (APENAS O ARQUIVO QUE ESTÁ SENDO ESCRITO, SEM CONTAR OS
OUTROS) alcançar 2,4 GB (neste momento o diretório terá 4,7 GB de log), o firewall
rotacionará os logs, excluindo TODOS os registros de log, inclusive o arquivo de 2,4 GB. Na
sequência, criará outro arquivo zerado e começará a gravar os logs nele.
O evento acima aconteceu um pouco antes do natal, em uma sexta-feira, e a empresa

resolveu dar folga a semana toda para emendar com o ano novo. O arquivo de log, após o
ataque de flood, ficou um 01 GB de tamanho e o firewall passou a produzir 1 KB de log por
hora.
06 dias, 23 horas e 59 minutos se passaram e o firewall criou vários arquivos de log,

completando um tamanho total de 1,000160217 GB. À meia-noite, após 07 dias, o firewall

200
rotacionou os logs excluindo apenas o arquivo de 1 GB, criado uma semana atrás, e deixando
apenas 0,000160217 GB de arquivos de log.
No exemplo, foi utilizado o log, mas o funcionamento é igual em relação a eventos e

estatísticas. O rotacionamento não é instantâneo. Ele ocorre de duas maneiras: de hora em
hora ou quando o arquivo em que os registros são gravados ultrapassar o tamanho
configurado.
O Aker Firewall suporta até 3 endereços de servidores Syslog simultâneamente.
Logar Conversão de Endereço (NAT): Habilita o registro no log do sistema das conversões de
endereços feitas pelo firewall.
Valor padrão: Conversões de endereço não devem ser logadas
Mesmo com esta opção ativa, somente serão logados os pacotes convertidos por meio das
conversões 1: N e N: 1. As conversões por outros tipos de regras não serão registradas.
A ativação desta opção não traz nenhuma informação importante e deve ser utilizada apenas
para fim de testes ou para tentar resolver problemas.
Logar syslog do Unix: Habilita o envio do log e dos eventos do firewall para o daemon de log
do Unix, o syslogd.
Valor padrão: Não envia log para o syslogd
Ao habilitar essa opção, os registros de log serão enviados para a fila local0 e os de eventos
para a fila local1.
Esta opção não altera em nada o registro interno do log e dos eventos realizado pelo
próprio firewall.

201
Aba Segurança
Figura 160 - Parâmetros de configuração: Segurança.
Parâmetros de Segurança
Permitir pacotes com rota para origem: Habilita a passagem de pacotes que tenham a opção
de registro de rota ou de roteamento dirigido. Se esta opção estiver desmarcada, os pacotes
com alguma destas opções não poderão trafegar.
Valor padrão: Pacotes IP direcionados não são permitidos.
Cabe ressaltar que a aceitação de pacotes com rota para a origem pode causar uma falha
séria de segurança. A não ser que se tenha uma razão específica para deixá-los passar, esta
opção deve ser mantida desmarcada.
 Suporte FTP: Habilita o suporte específico para o protocolo FTP.
Valor padrão: Suporte FTP está habilitado
Este parâmetro faz com que o firewall trate o protocolo FTP de forma especial, de modo a
permitir que ele funcione transparentemente para todas as máquinas clientes e servidoras,

202
internas ou externas. A não ser que se pretenda usar FTP por meio do firewall, esta opção
deve estar marcada.
 Suporte ao Real Áudio: Habilita o suporte para os protocolos Real Áudio e Real Vídeo.
Valor padrão: Suporte Real Áudio está habilitado
Este parâmetro faz com que o firewall trate o protocolo Real Áudio / Real Vídeo de forma
especial, de modo que permita ele funcionar transparentemente usando conexões TCP e
UDP. A não ser que pretenda usar o Real Áudio ou se pretenda utilizá-lo apenas com conexões
TCP, esta opção deve estar marcada.
 Suporte RTSP: Habilita o suporte para o protocolo RTSP.
Valor padrão: Suporte RTSP está habilitado
O RTSP (Real Time Streaming Protocol) é um protocolo que atua no nível de aplicação que
permite a entrega controlada de dados em tempo real, como áudio e vídeo. Fontes de dados
podem incluir programas ao vivo (com áudio e vídeo) ou algum conteúdo armazenado
(eventos pré-gravados). Ele é projetado para trabalhar com protocolos como o RTP, HTTP
e/ou outro que de suporte a mídia contínua sobre a Internet. Ele suporta tráfego multicast
bem como unicast. E também suporta interoperabilidade entre clientes e servidores de
diferentes fabricantes. Este parâmetro faz com que o firewall trate o protocolo de forma
especial, de modo a permitir que ele funcione transparentemente usando conexões TCP e
UDP.
 Suporte PPTP: Habilita o suporte para o protocolo PPTP da Microsoft.
Valor padrão: Suporte PPTP está habilitado
O PPTP é um protocolo criado pela Microsoft para possibilitar acesso seguro de máquinas
clientes a redes corporativas, por meio de VPN. Este parâmetro faz com que o firewall trate
o PPTP (GRE) de forma especial possibilitando que ele trafegue normalmente por meio dele,
mesmo com a conversão de endereços (NAT) habilitada.
 Suporte H323: Habilita o suporte para o protocolo H.323
Valor padrão: Suporte H.323 está habilitado
O H.323 é um protocolo que permite a implementação de voz sobre IP (VOIP) e é suportado

pela maioria dos dispositivos com esse fim. Este parâmetro faz com que o firewall trate o
H.323 de forma especial possibilitando que ele trafegue normalmente por meio dele, mesmo
com a conversão de endereços (NAT) habilitada.
Algumas aplicações podem não funcionar com o suporte H323 habilitado.

203
 Suporte ao MSN: Habilita o suporte para o MSN Messenger
Valor padrão: Suporte ao MSN Messenger está habilitado.
O MSN Messenger é um protocolo de mensagens instantâneas que permite a comunicação

entre duas ou mais pessoas ao mesmo tempo. Este parâmetro faz com que o firewall trate o
Messenger de forma especial possibilitando que seu uso seja controlado por meio dos perfis
de acesso.
 Suporte SIP: habilita o suporte para o protocolo SIP.
Valor padrão: Suporte SIP está habilitado.
O Protocolo de Iniciação de Sessão (Session Initiation Protocol - SIP) é um protocolo de

aplicação, que utiliza o modelo “requisição-resposta”, similar ao HTTP, para iniciar chamadas
e conferências por meio de redes via protocolo IP.
Algumas aplicações podem não funcionar com o suporte SIP habilitado.
 Suporte DCE-RPC TCP: habilita o suporte o para protocolo DCE-RPC TCP.
Valor padrão: Suporte DCE-RPC TCP está habilitado.
O DCE/RPC TCP é um tipo de protocolo RPC, Chamada de Procedimento Remoto (Remote

Procedure Call), que tem como objetivo permitir o desenvolvimento de aplicações
cliente/servidor. É muito utilizado em administração de domínio e gerenciamento remoto do
servidor.
 Manter conexões das regras expiradas: mantém a conexão mesmo após o prazo de
validade de a regra ter sido expirada.
Valor padrão: manter conexões de regras expiradas.
Esta opção permite ao usuário permanecer conectado mesmo após o término do período
definido para o fim da conexão.
Ex.: o usuário inicia um download via FTP dentro do horário definido por regra. Caso esta
opção esteja marcada, a conexão (download) não será finalizada no horário definido e sim
após o término de transferência dos arquivos.

204
Aba SNMP
Figura 161 - Parâmetros de configuração: SNMP.
 Comunidade de leitura: Este parâmetro indica o nome da comunidade que está

autorizada a ler dados do firewall via SNMP. Caso este campo esteja em branco,
nenhuma máquina estará autorizada a lê-los.
Valor padrão: campo em branco
 Comunidade de escrita: Este parâmetro indica o nome da comunidade que está

autorizada a alterar dados do firewall via SNMP. Caso este campo esteja em branco,
nenhuma máquina estará autorizada a alterá-los
Valor padrão: campo em branco

205
Mesmo com uma comunidade de escrita definida, por razões de segurança, somente poderão
ser alterados algumas variáveis do grupo system.
 Descrição: Tipo de serviço que a máquina disponibiliza para o usuário.

 Contato: Tipo de contato (e-mail, homepage) que o administrador disponibiliza para
o usuário.
 Nome: Nome abreviado do sistema que o identifica na rede, ex: DNS.
 Local: Local físico onde a máquina está instalada.
O SNMPv3 inclui três importantes serviços: autenticação (authentication), privacidade

(privacy) e controle de acesso (access control).
 Habilita SNMPv3: Quando selecionada essa opção permite definir o tipo de permissão
de um usuário e qual o nível de segurança que ele estará relacionado.
 Nome do usuário: Nome do usuário que terá permissão para conferir ou modificar as
informações.
 Tipo de permissão: Permite a escolha do tipo de permissão do usuário. Poderá ter
acesso de somente leitura dos dados ou de leitura e escrita.
 Nível de segurança: Permite a escolha do tipo de segurança dos dados. Pode-se optar
por nenhuma autenticação, com autenticação ou autenticação com cifragem. Caso a
escolha seja com autenticação, as opções Método de autenticação e senha de
autenticação serão habilitadas. Caso a escolha seja autenticação com cifragem, as
opções Método de cifragem e senha de cifragem serão habilitadas.
 Lista de MIBs suportadas para coletas SNMP
AGENTX-MIB.txt IANA-RTPROTO-MIB.txt
BRIDGE-MIB.txt IANAifType-MIB.txt
DISMAN-EVENT-MIB.txt IF-INVERTED-STACK-MIB.txt
DISMAN-SCHEDULE-MIB.txt IF-MIB.txt
DISMAN-SCRIPT-MIB.txt INET-ADDRESS-MIB.txt
EtherLike-MIB.txt IP-FORWARD-MIB.txt
HCNUM-TC.txt IP-MIB.txt
HOST-RESOURCES-MIB.txt IPV6-FLOW-LABEL-MIB.txt
HOST-RESOURCES-TYPES.txt IPV6-ICMP-MIB.txt
IANA-ADDRESS-FAMILY-NUMBERS-MIB.txt IPV6-MIB.txt
IANA-LANGUAGE-MIB.txt IPV6-TC.txt

206
IPV6-TCP-MIB.txt NOTIFICATION-LOG-MIB.txt
IPV6-UDP-MIB.txt RFC-1215.txt
NET-SNMP-AGENT-MIB.txt RFC1155-SMI.txt
NET-SNMP-EXAMPLES-MIB.txt RFC1213-MIB.txt
NET-SNMP-EXTEND-MIB.txt RMON-MIB.txt
NET-SNMP-MIB.txt SCTP-MIB.txt
NET-SNMP-PASS-MIB.txt SMUX-MIB.txt
NET-SNMP-TC.txt SNMP-COMMUNITY-MIB.txt
NET-SNMP-VACM-MIB.txt
Aba Monitoramento

207
Figura 162 - Parâmetros de configuração: Monitoramento.
Quando utiliza conversão 1-N, ou seja, balanceamento de canal é possível configurar o tipo
de monitoramento a ser realizado pelo firewall para verificar se as máquinas participantes do
balanceamento estão no ar. Os parâmetros de monitoramento permitem modificar os
intervalos de tempo de monitoramento, de modo a ajustá-los melhor a cada ambiente.
Monitoramento via ping
Esses parâmetros configuram os tempos utilizados pelo firewall para realizar o

monitoramento via pacotes ICMP Echo Request e Echo Reply. São eles:
Intervalo de ping: Esse campo define de quantos em quantos segundos, será enviado um ping
para as máquinas sendo monitoradas. Seu valor pode variar entre 1 e 60 segundos.

208
Tempo limite de resposta: Esse campo define o tempo máximo, em segundos, que uma
máquina pode permanecer sem responder aos pacotes de ping enviados pelo firewall e ainda
ser considerada ativa. Seu valor pode variar entre 2 e 120 segundos.
Tempo de ativação: Esse campo define o tempo, em segundos, que o firewall irá esperar,
após receber um pacote de resposta de uma máquina anteriormente fora do ar, até
considerá-la novamente ativa. Esse intervalo de tempo é necessário, pois normalmente uma
máquina responde a pacotes ping antes de estar com todos os seus serviços ativos. Seu valor
pode variar entre 1 e 60 segundos.
Monitoramento via HTTP
Esses parâmetros configuram os tempos utilizados pelo firewall para realizar o

monitoramento via requisições HTTP. São eles:
Tempo limite dos pedidos: Esse campo define de quantos em quantos segundos, o firewall
requisitará a URL especificada pelo administrador para cada máquina sendo monitorada. Seu
valor pode variar entre 1 e 300 segundos.
Tempo limite de resposta: Esse campo define o tempo máximo, em segundos, que uma
máquina sendo monitorada poderá levar para responder à requisição do firewall e ainda ser
considerada ativa. Seu valor pode variar entre 2 e 300 segundos.

209
Aba Data e Hora
Figura 163 - Parâmetros de configuração – Data e hora.
Esta opção permite ao administrador verificar e alterar a data e a hora do firewall. A data e
hora configuradas corretamente são essenciais para o funcionamento da tabela de horário
das regras e dos perfis de acesso WWW, das trocas de chaves por meio do protocolo SKIP e
dos sistemas de log e eventos.
 Data e hora
Esta janela consiste de dois campos que mostram o valor da data e hora configurado no
firewall. Para alterar qualquer um destes valores, basta colocar o valor desejado no campo
correspondente. Para escolher o mês podem-se utilizar as setas de navegação.
 Fuso Horário
Escolha o fuso horário que mais se aproxima da região aonde o firewall será instalado.
 O botão Aplicar alterará a data e hora e manterá a janela aberta.

 O botão Cancelar fechará a janela e descartará as modificações efetuadas.

210
 Servidor NTP (Network Time Protocol)
Define o servidor de tempo que será utilizado pelo firewall para sincronizar seu relógio
interno. O NTP suporta até 3 servidores distintos.
5.2. Utilizando a Interface Texto (via SSH-akdate)
A Interface Texto (via SSH) de configuração de parâmetros é bastante simples de ser

utilizada e possui exatamente as mesmas capacidades da Interface Remota. O objetivo
desta funcionalidade é permite que o administrador configure os parâmetros
relacionados à Hora/Data.
Localização do programa: /aker/bin/firewall # akdate
Sintaxe:
Uso: date mostra
date dd/mm/[aa]aa
mostra:
Mostra a data atual.
dd/mm/[aa]aa:
Esta opcao configura a data atual. Entre com o dia, mes e ano
separados pelo caracter '/'.
Uso: time mostra
time hh:mm[:ss]
mostra:
Mostra a hora atual.
hh:mm[:ss]:

211
Esta opcão configura a hora atual. Entre com a hora, minuto e
segundo separados pelo caracter ':'. O valor do segundo e
opcional.
Uso: tmzone [mostra|seleciona] areas <area> <subarea>
mostra:
Mostra o fuso horário atual.
mostra areas:
Mostra as zone de tempo agrupadas por areas
mostra <area>:
Mostra a lista de subareas das areas mostradas com o comando acima
seleciona <area> <subarea>:
Altera a zone de tempo do sistema para a correspondente area e

subárea
Exemplo:(configurando o fuso horário via ssh)
kdate tmzone seleciona America Sao_Paulo
5.3. Utilizando a Interface Texto (via SSH-fwpar)
A Interface Texto (via SSH) de configuração de parâmetros é bastante simples de ser utilizada
e possui exatamente as mesmas capacidades da Interface Remota (E possível usar todos os
comandos sem o prefixo “FW”, para isso execute o comando “fwshell”, então todos comandos
poderão ser acessados sem o prefixo “FW”). Ela possui, opções que não estão disponíveis na
Interface Remota, entre elas: a opção de adicionar até três máquinas possíveis de
administrarem o firewall remotamente, mesmo sem a existência de uma regra liberando sua
conexão. O objetivo desta funcionalidade é permitir que, mesmo que um administrador tenha

212
realizado uma configuração equivocada que impeça sua conexão, ainda assim ele poderá
continuar administrando remotamente o firewall. Este parâmetro chama-se end_remoto.
Localização do programa: /aker/bin/firewall/fwpar
Sintaxe:
fwpar - mostra/altera parâmetros de configuração
Uso:
fwpar [mostra | ajuda]
fwpar interface_externa <nome>
fwpar [tempo_limite_tcp | tempo_limite_udp] <segundos>
fwpar [ip_direcionado] <sim | não>
fwpar [suporte_h323 | suporte_msn | suporte_sip | suporte_dce_rpc | manter_cons_exp ]

<sim | não>
fwpar [suporte_ftp | suporte_real_audio | suporte_rtsp] <sim | não>
fwpar [loga_conversão | loga_syslog] <sim | não>
fwpar [permanência_log | permanência_event | permanência_stat] <dias>
fwpar [serv_log_remoto <nome>]
fwpar [add_remoto <n> <ip_add>]
fwpar [snmp] [rocommunidade | rwcommunidade | descrição | contato | nome | local]

[nome]
mostra = mostra a configuração atual
ajuda = mostra esta mensagem
interface_externa = configura o nome da interface externa (conexões que vierem por esta
interface não contam na licença)
tempo_limite_tcp = tempo máximo de inatividade para conexões TCP

tempo_limite_udp = tempo máximo de inatividade para conexões UDP
ip_direcionado = aceita pacotes IP direcionados
suporte_ftp = habilita suporte ao protocolo FTP

213
suporte_real_audio = habilita suporte ao protocolo Real Áudio
suporte_rtsp = habilita suporte ao protocolo RTSP
suporte_pptp = habilita suporte ao protocolo Microsoft(R) PPTP
suporte_h323 = habilita suporte ao protocolo H.323
suporte_sip = habilita suporte ao protocolo SIP
suporte_dce_rpc = habilita suporte ao protocolo DCE-RPC sobre TCP
manter_cons_exp = mantem conexões de regras expiradas
loga_conversão = registra mensagens de conversão de endereços
loga_syslog = envia mensagens de log e eventos para o syslogd
permanencia_log = tempo de permanência (dias) dos registros de log
permanência_event = tempo de permanência (dias) dos registros de eventos;
permanência_stat = tempo de permanência (dias) das estatísticas;
serv_log_remoto = servidor de log remoto (nome da entidade);
end_remoto = endereço dos três controladores remotos;
rocommunidade = nome da comunidade de leitura para SNMP
rwcommunidade = nome da comunidade de escrita para SNMP
Exemplo 1: (visualizando a configuração)
# fwpar mostra Parâmetros globais:
-------------------
tempo_limite_tcp : 900 segundos
tempo_limite_udp : 180 segundos
interface_externa: lnc0
Parâmetros de segurança:
------------------------
ip_direcionado : não

214
suporte_ftp : sim
suporte_real_audio: sim
suporte_rtsp : sim
end_remoto : 1) 10.0.0.1 2) 10.0.0.2 3)10.0.0.3
Parâmetros de configuração de log:
----------------------------------
loga_conversão : não
loga_syslog : não
permanência_log : 7 dias
permanência_event: 7 dias
permanência_stat : 7 dias
Parâmetros de configuração de SNMP:
-----------------------------------
Exemplo 2: (habilitando pacotes IP direcionados)
#/aker/bin/firewall/fwpar ip_direcionado sim
Exemplo 3: (configurando o nome da comunidade de leitura SNMP)
#/aker/bin/firewall/fwpar rocommunidade public
Exemplo 4: (apagando o nome da comunidade de escrita SNMP)
#/aker/bin/firewall/fwpar rwcommunidade

215
Cadastrando Entidades

216
6. Cadastrando Entidades
Este capítulo mostra o que são, para que servem e como cadastrar entidades no Aker Firewall.
6.1. Planejando a instalação
O que são e para que servem as entidades?
Entidades são representações de objetos do mundo real para o Aker Firewall. Por meio delas,
podem-se representar máquinas, redes, serviços a serem disponibilizados, entre outros.
A principal vantagem da utilização de entidades para representar objetos reais é que a partir
do momento em que são definidas no Firewall, elas podem ser referenciadas como se fossem
os próprios objetos, propiciando uma maior facilidade de configuração e operação. Todas as
alterações feitas em uma entidade serão automaticamente propagadas para todos os locais
onde ela é referenciada.
Pode-se definir, por exemplo, uma máquina chamada de Servidor WWW, com o endereço IP
de 10.0.0.1. A partir deste momento, não é mais necessário se preocupar com este endereço
IP. Em qualquer ponto onde seja necessário referenciar esta máquina, a referência será
realizada pelo nome. Caso futuramente seja necessário alterar seu endereço IP, basta alterar
a definição da própria entidade que o sistema automaticamente propagará esta alteração
para todas as suas referências.
Definindo entidades
Antes de explicar como cadastrar entidades no Aker Firewall é necessária uma breve
explicação sobre os tipos de entidades possíveis e o que caracteriza cada uma delas.
Existem 9 tipos diferentes de entidades no Aker Firewall: máquinas, máquinas IPv6, redes,
redes IPv6, conjuntos, conjuntos IPv6, serviços, autenticadores e interfaces.
As entidades do tipo máquina e rede, como o próprio nome já diz, representam

respectivamente máquinas individuais e redes. Entidades do tipo conjunto representam uma
coleção de máquinas e redes, em qualquer número. Entidades do tipo serviço representam
um serviço a ser disponibilizado por meio de um protocolo qualquer que rode em cima do IP.
Entidades do tipo autenticador representam um tipo especial de máquina que pode ser
utilizada para realizar autenticação de usuários e as entidades do tipo interface, representam
uma interface de rede do firewall.

217
Por definição, o protocolo IP, exige que cada máquina possua um endereço diferente.
Normalmente estes endereços são representados da forma byte a byte, como por exemplo,
172.16.17.3. Desta forma, pode-se caracterizar unicamente uma máquina em qualquer rede
IP, incluindo à Internet, com apenas seu endereço.
Para definir uma rede deve-se utilizar uma máscara além do endereço IP. A máscara serve
para definir quais bits do endereço IP serão utilizados para representar a rede (bits com valor
1) e quais serão utilizados para representar as máquinas dentro da rede (bits com valor 0).
Assim, para representar a rede cujas máquinas podem assumir os endereços IP de
192.168.0.1 a 192.168.0.254, deve-se colocar como rede o valor 192.168.0.0 e como máscara
o valor 255.255.255.0. Esta máscara significa que os 3 primeiros bytes serão usados para
representar a rede e o último byte será usado para representar a máquina.
Para verificar se uma máquina pertence a uma determinada rede, basta fazer um E lógico da
máscara da rede, com o endereço desejado e comparar com o E lógico do endereço da rede
com sua máscara. Se eles forem iguais, a máquina pertence à rede, se forem diferentes não
pertence. Vejamos dois exemplos:
Suponha que desejamos verificar se a máquina 10.1.1.2 pertence à rede 10.1.0.0, máscara
255.255.0.0. Temos:
10.1.0.0 E 255.255.0.0 = 10.1.0.0 (para a rede)
10.1.1.2 E 255.255.0.0 = 10.1.0.0 (para o endereço)
Temos então que os dois endereços são iguais após a aplicação da máscara, portanto a
máquina 10.1.1.2 pertence à rede 10.1.0.0.
Suponha agora que desejamos saber se a máquina 172.16.17.4 pertence à rede 172.17.0.0,
máscara 255.255.0.0. Temos:
172.17.0.0 E 255.255.0.0 = 172.17.0.0 (para a rede)
172.16.17.4 E 255.255.0.0 = 172.16.0.0 (para o endereço)
Como os endereços finais são diferentes, temos que a máquina 172.16.17.4 não pertence à
rede 172.17.0.0.
Caso seja necessário definir uma rede onde qualquer máquina seja considerada como
pertencente a ela (ou para especificar qualquer máquina da Internet), deve-se colocar como
endereço IP desta rede o valor 0.0.0.0 e como máscara o valor 0.0.0.0. Isto é bastante útil na
hora de disponibilizar serviços públicos, onde todas as máquinas da Internet terão acesso.
Toda a vez que ocorre uma comunicação entre duas máquinas, usando o protocolo IP, estão
envolvidos não apenas os endereços de origem e destino, mas também um protocolo de nível
mais alto (nível de transporte) e algum outro dado que identifique a comunicação

218
unicamente. No caso dos protocolos TCP e UDP (que são os dois mais utilizados sobre o IP),
uma comunicação é identificada por dois números: a Porta Origem e a Porta Destino.
A porta destino é um número fixo que está associado, geralmente, a um serviço único. Assim,
temos que o serviço Telnet está associado com o protocolo TCP na porta 23, o serviço FTP
com o protocolo TCP na porta 21 e o serviço SNMP com o protocolo UDP na porta 161, por
exemplo.
A porta origem é um número sequencial escolhido pelo cliente de modo a possibilitar que
exista mais de uma sessão ativa de um mesmo serviço em um dado instante. Assim, uma
comunicação completa nos protocolos TCP e UDP pode ser representada da seguinte forma:
10.0.0.1 1024 10.4.1.2 23 TCP

Endereço origem Porta origem Endereço destino Porta destino Protocolo
Para um firewall, a porta de origem não é importante, uma vez que ela é randômica. Devido
a isso, quando se define um serviço, leva-se em consideração apenas a porta de destino.
Além dos protocolos TCP e UDP existem outro protocolo importante: o ICMP. Este protocolo
é utilizado pelo próprio IP para enviar mensagens de controle, informar sobre erros e testar
a conectividade de uma rede.
O protocolo ICMP não utiliza o conceito de portas. Ele usa um número que varia de 0 a 255
para indicar um Tipo de Serviço. Como o tipo de serviço caracteriza unicamente um serviço
entre duas máquinas, ele pode ser usado como se fosse à porta destino dos protocolos, TCP
e UDP, na hora de definir um serviço.
Por último, existem outros protocolos que podem rodar sobre o protocolo IP e que não são
TCP, UDP ou ICMP. Cada um destes protocolos tem formas próprias para definir uma
comunicação e nenhum deles é utilizado por um grande número de máquinas. Ainda assim,
o Aker Firewall optou por adicionar suporte para possibilitar ao administrador o controle
sobre quais destes protocolos podem ou não passar por meio do firewall.
Para entender como isso é realizado, basta saber que cada protocolo tem um número único
que o identifica para o protocolo IP. Este número varia de 0 a 255. Desta forma, podemos
definir serviços para outros protocolos usando o número do protocolo como identificação do
serviço.

219
O que é Qualidade de Serviço (QoS)?
A qualidade de serviço pode ser compreendida de duas formas: do ponto de vista da aplicação
ou da rede.
Para uma aplicação oferecer seus serviços com qualidade, tem que atender às expectativas
do usuário em relação ao tempo de resposta e da qualidade do serviço que está sendo
provido. Por exemplo, no caso de uma aplicação de vídeo, fidelidade adequada do som e/ou
da imagem sem ruídos nem congelamentos.
A qualidade de serviço da rede depende das necessidades da aplicação, ou seja, do que ela
requisita da rede a fim de que funcione bem e atenda bem às necessidades do usuário. Estes
requisitos são traduzidos em parâmetros indicadores do desempenho da rede como, por
exemplo, o atraso máximo sofrido pelo tráfego da aplicação entre o computador origem e
destino.
O Aker Firewall implementa um mecanismo com o qual é possível definir uma banda máxima
de tráfego para determinadas aplicações. Por meio de seu uso, determinadas aplicações que
tradicionalmente consomem muita banda, podem ter seu uso controlado. As entidades do
tipo Canal são utilizadas para este fim e serão explicadas logo abaixo.

220
6.2. Cadastrando entidades utilizando a Interface Remota
Para ter acesso à janela de cadastro de entidades, siga os passos abaixo:
 Clicar no menu Configuração do Firewall da janela do firewall que se quer administrar;

 Selecionar o item Entidades (a janela será mostrada abaixo da janela com os menus de
configuração dos firewalls).
A janela de cadastro de entidades
Figura 164 - Janela de entidades (Aker Firewall).
É possível também acessar a janela de entidades clicando na tecla:
Figura 165 - Tecla F5 do teclado.

221
Figura 166 - Entidades: Instância Aker Firewall.
A janela de cadastro de entidades é onde são cadastradas todas as entidades do Aker Firewall,
independente do seu tipo. Esta janela, por ser constantemente utilizada em praticamente
todas as demais configurações do firewall, normalmente é mostrada sempre aberta na
horizontal, abaixo da janela com os menus de configuração de cada firewall.
Possui uma janela única para todos os firewalls abertos. A janela continuará a mesma,
só mudará o conteúdo que será referente ao firewall selecionado. Os tipos de
entidades mais usados são os únicos apresentados na aba. As entidades
menos utilizadas aparecem no menu.
É possível posicionar a janela de entidades como se fosse uma janela comum,

bastando para isso clicar sobre sua barra de título e arrastá-la para a posição desejada.
Para criar uma nova entidade, caso a lista de entidades criadas esteja cheia, deve-se
clicar em cima da aba que fica na parte inferior da janela.
Nesta janela estão desenhados oito ícones, em forma de árvore, que representam os oito
tipos de entidades possíveis de serem criados.
Para visualizar as entidades criadas é só clicar no sinal de '+' e as entidades ficarão

listadas logo abaixo do logotipo, ou clicar sobre a aba correspondente a entidade que
se deseja visualizar.
Para cadastrar uma nova entidade, deve-se proceder da seguinte forma:
1. Clicar uma vez no ícone correspondente à entidade do tipo que deseja criar com o botão
direito do mouse e selecionar a opção Inserir no menu pop-up
ou
2. Clicar no ícone correspondente à entidade do tipo que deseja criar e pressionar a tecla
Insert.
Para editar ou excluir uma entidade, deve-se proceder da seguinte forma:

222
1. Selecionar a entidade a ser editada ou excluída (se necessário, expande-se a lista do tipo
de entidade correspondente);
2. Clicar com o botão direito do mouse e selecionar a opção Editar ou Apagar,
respectivamente, no menu pop-up que aparecer;
3. Clicar no ícone correspondente à entidade do tipo que deseja criar e pressionar a tecla
Delete.
No caso das opções Editar ou Incluir, aparecerá à janela de edição de parâmetros da entidade
a ser editada ou incluída. Esta janela será diferente para cada um dos tipos possíveis de
entidades.
O ícone , localizado na parte inferior da janela aciona o assistente de cadastramento de

entidades que será descrito no final deste capítulo.
Incluindo / editando máquinas
Figura 167 - Cadastro de entidade: Tipo Máquina.
Para cadastrar uma entidade do tipo máquina deve-se preencher os seguintes campos:
Nome: É o nome pelo qual a máquina será sempre referenciada pelo firewall. É possível
especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A
opção Automático permite escolher entre estes dois modos de operação: caso ela esteja
marcada, a atribuição será automática, caso contrário, manual.
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades.
Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas
letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker,
AKER e aker são, portanto, consideradas diferentes.

223
Ao excluir uma entidade a qual está sendo usada um alguma regra (Regra de NAT,
Regra de Filtragem, Perfil, Criptografia, Regra de Filtragem de aplicação, Regra de
IPS/IDS) no firewall, será exibido uma mensagem informando quais ações que serão
tomadas ao excluir a entidade em questão, prevenindo maiores danos a sua rede.
Figura 168 - Exclusão de entidade
Ícone: É o ícone que aparecerá associado à máquina em todas as referências. Para alterá-lo,
basta clicar sobre o desenho do ícone atual. O Firewall então mostra uma lista com todos os
possíveis ícones para representar máquinas. Para escolher entre eles basta clicar no ícone
desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão
Cancelar.
Endereço IP: É o endereço IP da máquina a ser criada.
Após todos os campos estarem preenchidos, deve-se clicar no botão OK para realizar a
inclusão ou alteração da máquina. Para cancelar as inclusões ou alterações realizadas deve
pressionar o botão Cancelar.
Para facilitar a inclusão de várias máquinas seguidamente, existe um botão chamado Nova
(que não estará habilitado durante uma edição). Ao ser clicado, este botão fará com que a
máquina inclua os dados preenchidos e mantenha aberta a janela de inclusão de máquinas
onde estará pronta para uma nova inclusão. Desta forma é possível cadastrar rapidamente
um grande número de máquinas.
Incluindo / editando servidor IPv6

224
Figura 169 - Cadastro de entidade Tipo Máquina IPv6.
Para cadastrar uma entidade do tipo máquina IPv6 deve-se preencher os seguintes campos:
Nome: É o nome pelo qual a máquina será sempre referenciada pelo firewall. É possível
AKER e aker são, portanto, consideradas diferentes.
Ícone: É o ícone que aparecerá associado à máquina em todas as referências. Para alterá-lo,
basta clicar sobre o desenho do ícone atual. O firewall então mostra uma lista com todos os
possíveis ícones para representar máquinas. Para escolher entre eles basta clicar no ícone
Cancelar.
Endereço IPv6: É o endereço IPv6 da máquina a ser criada.
inclusão ou alteração da máquina. Para cancelar as inclusões ou alterações realizadas deve
Para facilitar a inclusão de várias máquinas seguidamente, existe um botão chamado Nova
(que não estará habilitado durante uma edição). Ao ser clicado, este botão fará com que a
máquina inclua os dados preenchidos e mantenha aberta a janela de inclusão de máquinas
onde estará pronta para uma nova inclusão. Desta forma, é possível cadastrar rapidamente
um grande número de máquinas.

225
A ampliação de 32 bits do endereço IPv4 para 128 bits no endereço IPv6 é uma das mais
importantes características do novo protocolo. É um imenso espaço de endereçamento, com
um número difícil de ser apresentado (2 elevado a 128), porque são milhares de bilhões de
endereços. O IPv6 acaba ainda com as classes de endereços e possibilita um método mais
simples de autoconfiguração.
O Aker Firewall suporta as seguintes RFCs:
• RFC2460 - Internet Protocol, Version 6 (IPv6) Specification;
• RFC4291 - IP Version 6 Addressing Architecture;
• RFC3484 - Default Address Selection for Internet Protocol version 6 (IPv6);
• RFC4443 - Internet Control Message Protocol (ICMPv6) for the

Internet Protocol Version 6 (IPv6) Specification;
• RFC4862 - IPv6 Stateless Address Autoconfiguration;
• RFC1981 - Path MTU Discovery for IP version 6;
• RFC4861 - Neighbor Discovery for IP version 6 (IPv6);
• RFC4213 - Basic Transition Mechanisms for IPv6 Hosts and Routers.
A notação mais usual que o endereço IPv6 é representado é x:x:x:x:x:x:x:x, onde os "x" são
números hexadecimais, ou seja, o endereço é dividido em oito partes de 16 bits, como no
seguinte exemplo: 1080:0:0:0:8:800:200C:417A
Incluindo / editando redes

226
Figura 170 - Inclusão e edição de redes.
Para cadastrar uma entidade do tipo rede deve-se preencher os seguintes campos:
Nome: É o nome pelo qual a rede será sempre referenciada pelo firewall. É possível
AKER e aker são consideradas diferentes.
Ícone: É o ícone que aparecerá associado à rede em todas as referências. Para alterá-lo deve
clicar sobre o desenho do ícone atual. O firewall então uma lista com todos os possíveis ícones
para representar redes será mostrada. Para escolher entre eles tem que clicar no ícone
Cancelar.
Endereço IP: É o endereço IP da rede a ser criada.
Máscara de Rede: Define quais bits do endereço IP serão utilizados para representar a rede
(bits com valor 1) e quais serão utilizados para representar as máquinas dentro da rede (bits
com valor 0)
Intervalo: Este campo mostra a faixa de endereço IP a que pertence à rede e realiza uma
crítica quanto à máscara que está sendo cadastrada, ou seja não permite cadastramento de
máscaras erradas.

227
Após estarem todos os campos preenchidos, deve-se clicar no botão OK para realizar a
inclusão ou alteração da rede. Para cancelar as alterações realizadas ou a inclusão, deve-se
Para facilitar a inclusão de várias redes seguidamente, existe um botão chamado Nova (que
não estará habilitado durante uma edição). Ao clicar neste botão fará com que sejam incluídos
os dados preenchidos e manterá aberta a janela de inclusão de redes onde estará pronta para
uma nova inclusão. Desta forma é possível cadastrar rapidamente um grande número de
redes.
Incluindo / editando redes IPv6
Figura 171 - Inclusão e edição de redes IPv6.
Para cadastrar uma entidade do tipo rede IPv6 deve-se preencher os seguintes campos:
Nome: É o nome pelo qual a rede será sempre referenciada pelo firewall. É possível
Ícone: É o ícone que aparecerá associado à rede em todas as referências. Para alterá-lo deve
clicar sobre o desenho do ícone atual. O firewall então mostra uma lista com todos os
possíveis ícones para representar redes. Para escolher entre eles tem que clicar no ícone
desejado e no botão OK. Caso não queira alterá-lo após ver a lista, deve-se clicar no botão
Cancelar.
Endereço IPv6: É o endereço IPv6 da rede a ser criada.

228
Tamanho do prefixo da sub-rede: Define quais bits do endereço IP serão utilizados para
representar a rede.
Após estarem todos os campos preenchidos, deve-se clicar no botão OK para realizar a
inclusão ou alteração da rede. Para cancelar as alterações realizadas ou a inclusão, deve-se
Para facilitar a inclusão de várias redes seguidamente, existe um botão chamado Nova (que
não estará habilitado durante uma edição). Ao clicar neste botão fará com que sejam incluídos
os dados preenchidos e manterá aberta a janela de inclusão de redes onde estará pronta para
uma nova inclusão. Desta forma é possível cadastrar rapidamente um grande número de
redes.
Incluindo / editando conjuntos

229
Figura 172 - Inclusão e edição de conjuntos.
Para cadastrar uma entidade do tipo conjunto deve-se preencher os seguintes campos:
Nome: É o nome pelo qual o conjunto será sempre referenciado pelo firewall. É possível
marcada, a atribuição será automática se não, manual.
Ícone: É o ícone que aparecerá associado ao conjunto em todas as referências. Para alterá-lo,
possíveis ícones para representar conjuntos. Para escolher entre eles basta clicar no ícone
Cancelar.
Após preencher o nome e escolher o ícone para o conjunto, deve-se definir quais máquinas e
redes farão parte do mesmo. Abaixo estão os passos que devem ser seguidos.

230
1. Clicar com o botão direito do mouse no campo em branco e selecionar a opção Adicionar
Entidades (a entidade pode ser adicionada clicando-se duas vezes sobre ela ou clicando
uma vez e logo abaixo em Adicionar).
Ou
2. Clicar sobre a entidade que deseja incluir, com isso deve arrastá-la e soltá-la dentro da
janela de entidades do conjunto.
Figura 173 - Adição de entidades.
Para remover uma rede ou máquina do conjunto, deve-se proceder da seguinte forma:
1. Clicar com o botão direito do mouse sobre a entidade a ser removida e selecionar a opção
Remover,
Ou
2. Clicar na máquina ou rede a ser removida e pressionar a tecla Delete.

231
Após todos os campos estarem preenchidos e todas as redes e máquinas que devem fazer
parte do conjunto selecionadas, deve-se clicar no botão OK para realizar a inclusão ou
alteração do conjunto. Para cancelar as alterações realizadas ou a inclusão, deve-se
Para facilitar a inclusão de vários conjuntos seguidamente, existe um botão chamado Nova
(que não estará habilitado durante uma edição). Ao ser clicado, este botão fará com que o
conjunto cujos dados foram preenchidos seja incluído e a janela de inclusão de conjuntos
mantida aberta, pronta para uma nova inclusão. Desta forma é possível cadastrar
rapidamente um grande número de conjuntos.
Editando conjuntos - IPv6
Figura 174 - Edição de conjuntos IPv6.
Para cadastrar uma entidade do tipo conjunto IPv6 deve-se preencher os seguintes campos:
Nome: É o nome pelo qual o conjunto será sempre referenciado pelo firewall. É possível
marcada, a atribuição será automática se não, manual.

232
Ícone: É o ícone que aparecerá associado ao conjunto em todas as referências. Para alterá-lo,
possíveis ícones para representar conjuntos. Para escolher entre eles basta clicar no ícone
Cancelar.
Após preencher o nome e escolher o ícone para o conjunto, deve-se definir quais máquinas e
redes farão parte do mesmo. Abaixo estão os passos que devem ser seguidos.
1. Clicar com o botão direito do mouse no campo em branco e selecionar a opção

Adicionar Entidades (a entidade pode ser adicionada clicando-se duas vezes sobre ela
ou clicando uma vez e logo abaixo em Adicionar).
ou
2. Clicar sobre a entidade que deseja incluir, com isso deve arrastá-la e soltá-la dentro
da janela de entidades do conjunto.
Figura 175 - Edição de conjuntos IPv6 (entidades a ser adicionada).

233
Para remover uma rede ou máquina do conjunto, deve-se proceder da seguinte forma:
1. Clicar com o botão direito do mouse sobre a entidade a ser removida e selecionar a
opção Remover.
Ou
2. Clicar na máquina ou rede a ser removida e pressionar a tecla Delete.
Após todos os campos estarem preenchidos e todas as redes e máquinas que devem fazer
parte do conjunto selecionadas, deve-se clicar no botão OK para realizar a inclusão ou
alteração do conjunto. Para cancelar as alterações realizadas ou a inclusão, deve-se
Para facilitar a inclusão de vários conjuntos seguidamente, existe um botão chamado Nova
(que não estará habilitado durante uma edição). Ao ser clicado, este botão fará com que o
conjunto cujos dados foram preenchidos seja incluído e a janela de inclusão de conjuntos
mantida aberta, pronta para uma nova inclusão. Desta forma é possível cadastrar
rapidamente um grande número de conjuntos.
Incluindo/Editando lista de categorias
Figura 176 - Inclusão e edição das listas de categorias.
Para definir uma lista de categorias é necessário proceder da seguinte forma:
Selecionar a opção Automático, caso queira atribuir um nome padrão a lista.

234
Preencher o campo nome, onde pode definir um nome específico para a lista de categorias.
O botão Atualizar permite buscar as categorias no firewall caso tenha havido alguma
atualização.
Quando selecionada a opção Tentar recuperar categorias pelo critério nome quando o
Analisador de Contexto for trocado, permite identificar as categorias pelos nomes que foram
cadastradas, pois ao trocar o analisador de contexto muitas categorias podem ser perdidas.
Incluindo/Editando lista de padrões de busca
Figura 177 - Inclusão e edição dos padrões de buscas.
Para definir um padrão de pesquisa é necessário proceder da seguinte forma:
Selecionar a opção Automático, caso queira atribuir um nome padrão ao tipo de pesquisa.
Preencher o campo nome, onde pode definir um nome específico para a pesquisa.
Os campos Padrão e Texto permitem definir qual será a string ou os parâmetros que serão
pesquisados na URL acessada e qual operação a ser efetuada.

235
Incluindo/Editando lista de quotas
Figura 178 - Inclusão e edição de quotas.
Esta janela permite definir, vários tipos de quotas de acesso do usuário à rede.
Para criar uma quota pode-se selecionar a opção Automático para que seja atribuído um
nome padrão ao tipo de quota a ser definido ou então preencher o campo nome, onde pode
atribuir um nome específico para a lista de quotas.
A opção Tipo da Quota permite escolher se a quota definida será atribuída diariamente,
semanalmente ou mensalmente. Ao marcar qual o tipo de quota desejada, pode associar a
ela a checagem de tempo de acesso e/ou de volume de dados.
A checagem de tempo pode ser definida em dias e/ou horas. Por exemplo, diariamente só vai
ser liberado 3 horas de acesso à internet, ou semanalmente 3 dias ou até mesmo
semanalmente liberado 7 dias.
A contagem de tempo funciona da seguinte forma: quando o usuário acessa uma

página, conta um relógio de 31 segundos, se o usuário acessar outra página, começa
a contar do zero, mas não deixar de contar, por exemplo, os 10 segundos que o usuário
gastou ao acessar a página anterior.

236
Para o consumo de quota, funciona da seguinte forma: no MSN, para cada janela de
conversação, o tempo é contado separadamente, já na WEB ser tiver acessando 10
sites, será contado somente o tempo de uma.
Incluindo / Editando agentes externos
Agentes externos são utilizados para a definição de programas complementares ao Aker

Firewall. São responsáveis por funções específicas que podem estar rodando em máquinas
distintas. Quando houver necessidade de realização de uma determinada tarefa por um dos
agentes externos, ou vice-versa, o firewall se comunicará com eles e requisitará sua execução.
Figura 179 - Inclusão e edição de agentes externos.
Existem 10 diferentes tipos de agentes externos, cada um responsável por um tipo distinto
de tarefas:
 Autenticadores
Os agentes de autenticação são utilizados para fazer a autenticação de usuários no firewall

utilizando usuários/senhas de bases de dados de diversos sistemas operacionais (Windows
NT, Linux, etc).
 Autoridades certificadoras
Autoridades certificadoras são utilizadas para fazer autenticação de usuários por meio de PKI,
com o uso de Smart Cards e para autenticação de firewalls com criptografia IPSEC.
 Autenticadores Token
Os autenticadores token são utilizados para fazer autenticação de usuários no firewall

utilizando SecurID(R), Alladin e outros.

237
 Agentes IDS
Os agentes IDS (Intrusion Detection Systems - Sistemas detectores de intrusão) são sistemas
que ficam monitorando a rede em tempo real procurando por padrões conhecidos de ataques
ou abusos. Ao detectar uma destas ameaças, ele pode incluir uma regra no firewall que
bloqueará imediatamente o acesso do atacante.
 Módulos de Antivírus
Os agentes antivírus são utilizados pelo proxy SMTP, POP3 e Filtro Web para realizarem a
checagem e a desinfecção de vírus de forma transparente em e-mails e nos downloads FTP e
HTTP.
 Analisadores de contexto
Os analisadores de contexto são utilizados pelo Filtro Web para controlar o acesso a URLs
baseados em diversas categorias pré-configuradas.
 Servidores remotos de log
Os servidores de log remoto são utilizados pelo firewall para enviar o log para
armazenamento em uma máquina remota.
 Autenticador Radius
O autenticador Radius é utilizado para fazer autenticação de usuários no firewall a partir de

uma base Radius.
 Autenticadores LDAP
O autenticador LDAP permite ao firewall autenticar usuário usando uma base LDAP
compatível com o protocolo X500.
 Spam Meter
Os servidores de o spam meter são utilizados pelo firewall para classificar e-mails e definir
quais deles serão considerados SPAM.
É possível a instalação de diversos agentes externos em uma mesma máquina, desde que
sejam distintos.
Para cadastrar um agente externo deve-se inicialmente selecionar seu tipo, abrindo o
diretório de Agentes Externos. Independentemente de seu subtipo, todos os agentes
externos possuem os seguintes campos (os demais campos serão então modificados de
acordo com o tipo do agente a ser cadastrado):

238
Nome: É o nome pelo qual o agente será sempre referenciado pelo firewall. É possível
Ícone: É o ícone que aparecerá associado ao agente em todas as referências. Para alterá-lo,
possíveis ícones para representar agentes do subtipo selecionado. Para escolher entre eles
basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta
clicar no botão Cancelar.
 Para cadastrar um agente externo do tipo Autenticador ou Autenticador Token, é necessário

preencher os seguintes campos adicionais:
Figura 180 - Cadastro de um agente externo tipo autenticador ou autenticados token.
IP: É o endereço IP da máquina onde o agente está rodando.
Backup 1 e Backup 2: Estes campos permitem com que seja especificado até dois endereços
de outras máquinas que também estarão rodando o agente e que servirão como backup no
caso de queda da máquina principal.

239
A máquina principal e as de backup devem compartilhar uma mesma base de usuários, ou
seja, elas devem ser controladoras de domínio primárias e de backup (PDCs e BDCs), no caso
de redes Windows, ou várias máquinas Unix utilizando NIS.
Senha: É a senha utilizada para gerar as chaves de autenticação e criptografia usadas na

comunicação com o agente. Esta senha deverá ser igual à configurada no agente. Para
maiores informações, veja o capítulo intitulado: Trabalhando com proxies.
Confirmação: Este campo é utilizado apenas para verificar se a senha foi digitada
corretamente. Deve-se digitá-la exatamente como no campo Senha.
Tempo limite do cache: Todas as vezes que é realizada uma autenticação com sucesso, o
firewall mantém em memória os dados recebidos do usuário e do agente. Nas autenticações
seguintes, o firewall possui todos os dados necessários e não mais precisa consultar o agente.
Isso permite um grande ganho de performance.
Este parâmetro permite definir em segundos o tempo em que o firewall deve manter as
informações de autenticação em memória. Para maiores informações, veja o capítulo
intitulado: Trabalhando com proxies.
 Para cadastrar um agente externo do tipo Autoridade Certificadora, deve-se preencher os

seguintes campos adicionais:
Figura 181 - Cadastro de um agente externo tipo Autoridade Certificadora.

240
Localização da publicação da lista de certificados revogados (CRL): É a URL da qual será
baixada a lista de certificados revogados da CA (CRL). Esta URL deve ser obrigatoriamente do
protocolo HTTP e deve ser especificada sem o http:// sua frente.
O botão Importar certificado raiz permite carregar o certificado root da CA no firewall. Ao ser
clicado, a interface abrirá uma janela para especificar o nome do arquivo com o certificado a
ser importado.
É necessário importar um certificado raiz para cada Autoridade Certificadora criada, caso
contrário não será possível autenticar usuários por meio dela.
O Campo Pseudo-grupos permite definir grupos para usuários que se autenticarem por meio
da autoridade certificadora, da mesma forma como define grupos em um sistema
operacional. Desta maneira, é possível criar pseudo-grupos que representem todos os
usuários de uma determinada empresa, departamento, cidade, etc. Após serem criados os
pseudo-grupos, eles podem ser associados a perfis de acesso, da mesma forma como se faz
com grupos de autenticadores ou autenticadores token.
Clicando com o botão direito podemos selecionar as seguintes opções:
Inserir: Esta opção permite incluir um novo pseudo-grupo;
Excluir: Esta opção remove da lista o pseudo-grupo selecionado;
Editar: Esta opção abre a janela de edição para o pseudo-grupo selecionado;
Ao clicar no botão Inserir ou Editar, a janela será exibida:

241
Figura 182 - Definição de Pseudo-Grupos para usuários que se autenticarem por meio de autoridade certificadora.
Nome: Campo de preenchimento obrigatório que indica o nome pelo qual o pseudo-grupo
será referenciado pelo firewall. Os demais campos representam dados que serão comparados
com os dados presentes no certificado X509 de cada usuário autenticado. Se um determinado
campo estiver em branco então qualquer valor será aceito no campo correspondente do
certificado, se não apenas certificados que possuírem o campo igual ao valor informado serão
considerados como parte do grupo.
Domínio: Nome da pessoa certificada;
E-mail: Endereço de e-mail Empresa: Nome da empresa;
Departamento: Departamento dentro da empresa Cidade: Cidade onde se localiza a

empresa;
Estado: Estado onde se localiza a empresa;
País: País onde se localiza a empresa que a pessoa certificada trabalha;
Os campos: Domínio, E-mail, Empresa, Departamento, Cidade, Estado e País se referem à

pessoa que o certificado foi emitido.
Para que um usuário autenticado por meio da autoridade certificadora seja considerado
como membro de um pseudo-grupo, todos os campos de seu certificado X509 devem ser
iguais aos valores dos campos correspondentes do pseudo-grupo. Campos em branco de um

242
pseudo-grupo são ignorados na comparação e, portanto, quaisquer valores do certificado
para estes campos serão aceitos.
 Para cadastrar um agente externo do tipo Agente IDS, Analisador de contexto, Antivírus,
Spam Meter ou Servidor de Log Remoto, deve-se preencher os seguintes campos adicionais:
Figura 183 - Cadastro de agente externo tipo Agente IDS.
Figura 184 - Cadastro de agente externo tipo Analisador de texto.

243
Figura 185 - Cadastro de agente externo tipo Módulo de Antivírus.
Figura 186 - Cadastro de agente externo tipo Spam Meter.

244
Figura 187 - Cadastro de agente externo Servidor Remoto.
Backup 1 e Backup 2: Estes campos permitem especificar até dois endereços de outras
máquinas que também estarão rodando o agente e que servirão como backup no caso de
queda da máquina principal.
Senha: É a senha utilizada para gerar as chaves de autenticação e criptografia usadas na

comunicação com o agente. Esta senha deve ser igual à configurada no agente.
Confirmação: Este campo é utilizado apenas para verificar se a senha foi digitada
Para cadastrar um agente externo do tipo Autenticador LDAP deve-se preencher os seguintes
campos:

245
Figura 188 - Cadastro de agente externo Autenticador LDAP.
Backup 1 e Backup 2: Estes campos permitem especificar até dois endereços de outras
máquinas que também estarão rodando o servidor LDAP e que servirão como backup no caso
de queda da máquina principal.
Tempo limite da cache: Todas as vezes que uma autenticação é realizada com sucesso, o
Este parâmetro permite definir em segundos o tempo que o firewall deve manter as
intitulado Trabalhando com proxies.
Configurações LDAP: Neste conjunto de campos deve-se especificar as configurações do

servidor LDAP que será utilizado para a realização das autenticações. A descrição de cada
campo pode ser vista a seguir:
DN Root de conexão: DN do usuário utilizado pelo firewall para as consultas;
Senha Root de conexão: a senha deste usuário;

246
DN Base: DN para começar a busca;
ObjectClass da Conta: valor de objectclass que identifica objetos de contas válidas;
Atributo nome do usuário: o atributo onde encontra o nome do usuário;
Atributo senha: o atributo onde se encontra a senha do usuário;
Atributo grupo: o atributo onde se encontra o grupo do usuário;
Permitir senha em branco: permite senhas em branco para o usuário quando marcado;
Usar a versão 3 do protocolo LDAP: Habilita a o uso da versão 3 do protocolo LDAP;
Ignorar maiúsculas e minúsculas na comparação: Permite que maiúsculas e minúsculas na

comparação sejam equivalentes;
Método de Autenticação: Este campo especifica se o firewall deve buscar a senha ou deve se
conectar na base LDAP com as credenciais do usuário para validá-lo.
Conectar utilizando as credencias do usuário: Permite ao usuário autenticar-se utilizando
suas credenciais.
Hash (RFC2307): Permite autenticação pelo modo Hash (RFC2307);
Adicionar DN Base ao nome do usuário: Permite adicionar DN Base ao nome do usuário na

autenticação;
Conexão LDAP segura: Este campo especifica se a conexão ao servidor LDAP será encriptada
ou não. Ele consiste das seguintes opções:
 SSL: especifica que o firewall usará conexão encriptada via SSL;

 TLS: especifica que o firewall usará conexão encriptada via TLS;
 Nenhuma: especifica que o firewall não usará criptografia ao se conectar ao servidor
LDAP;
Para cadastrar um agente externo do tipo Autenticador Radius deve-se preencher os

seguintes campos adicionais:

247
Figura 189 - Cadastro de agente externo Autenticador Radius.
Porta: Número da porta onde o servidor RADIUS estará escutando as requisições de

autenticação.
1º Backup: Este campo permite com que se especifique outra máquina que também estará
rodando o servidor RADIUS e que servirá como backup no caso de queda da máquina
principal.
Segredo: É o segredo compartilhado utilizado no servidor RADIUS.
Confirmação: Este campo é utilizado apenas para se verificar se o segredo foi digitado
corretamente. Deve-se digitá-lo exatamente como no campo Segredo.
Tempo limite do cache: Todas as vezes que é realizada uma autenticação com sucesso, o
Este parâmetro permite definir o tempo, em segundos, que o firewall deve manter as
intitulado Trabalhando com proxies.
Usuários: Este campo serve para que se possa cadastrar e posteriormente associar usuários
específicos RADIUS com perfis de acesso do firewall, uma vez que com este protocolo não é
possível para o firewall conseguir a lista completa de usuários. Somente é necessário realizar
o cadastramento dos usuários que queira se associar com perfis específicos.
Grupos: Este campo serve para cadastrar e posteriormente associar grupos específicos
RADIUS com perfis de acesso do firewall, uma vez que com este protocolo não é possível para

248
o firewall conseguir a lista completa de grupos. Somente é necessário realizar o
cadastramento dos grupos que quer associar com perfis específicos.
Existe um grupo chamado de RADIUS USERS, gerado automaticamente pelo firewall que
pode ser utilizado para a associação de usuários RADIUS com um perfil de acesso específico.
Todos os usuários autenticados em um determinado servidor RADIUS são considerados como
pertencentes a este grupo. Desta forma, caso queira utilizar um único perfil de acesso para
todos os usuários, não é necessário o cadastramento de nenhum usuário e/ou grupo.
inclusão ou alteração do agente externo. Para cancelar as alterações realizadas ou a inclusão,
deve-se pressionar o botão Cancelar.
Para facilitar a inclusão de vários agentes seguidamente, existe um botão chamado Nova (que
não estará habilitado durante uma edição). Ao clicar, neste botão fará com que os dados
preenchidos do agente, sejam incluídos e a janela de inclusão de agentes mantida aberta,
pronta para uma nova inclusão. Desta forma é possível cadastrar rapidamente um grande
número de agentes.
Incluindo / editando serviços
Figura 190 - Inclusão e edição de serviços.
Para cadastrar uma entidade do tipo serviço deve-se preencher os seguintes campos:
Nome: É o nome pelo qual o serviço será sempre referenciado pelo firewall. É possível

249
Ícone: É o ícone que aparecerá associado ao serviço em todas as referências. Para alterá-lo,
deve-se clicar sobre o desenho do ícone atual. O firewall então mostra uma lista com todos
os possíveis ícones para representar serviços. Para escolher entre eles basta clicar no ícone
Cancelar.
Protocolo: É o protocolo associado ao serviço. (TCP, UDP, ICMP ou OUTROS)
Serviço: É o número que identifica o serviço. No caso dos protocolos TCP e UDP, este número
é a porta destino. No caso de ICMP é o tipo de serviço e no caso de outros protocolos é o
número do protocolo. Para cada protocolo, o firewall possui uma lista dos valores mais
comuns associados a ele, de modo a facilitar a criação do serviço. Entretanto, é possível
colocar valores que não façam parte da lista, simplesmente digitando-os neste campo.
Caso queira especificar uma faixa de valores, ao invés de um único valor, deve-se clicar no
botão ao lado dos nomes De e Para e especificar o menor valor da faixa em De e o maior em
Para. Todos os valores compreendidos entre estes dois, serão considerados como fazendo
parte do serviço.
Proxy: Este campo só se encontra habilitado para os protocolos TCP e UDP, e permite
especificar se a conexão que se enquadrar neste serviço, será automaticamente desviada
para um dos proxies transparentes do Firewall Aker ou não. O valor padrão é Sem Proxy, que
significa que a conexão não deve ser desviada para nenhum proxy. Quando o protocolo TCP
está selecionado, as outras opções são Proxy SMTP, Proxy Telnet, Proxy FTP, Proxy do
usuário, Proxy HTTP e Proxy POP3 que desviam para os proxies SMTP, Telnet, FTP, proxies
criadas pelo usuário, HTTP e POP3, respectivamente. Quando o protocolo UDP está
selecionado, as outras opções são Proxy RPC, que desvia para o proxy RPC, e Proxy do
Usuário.
Tempo(S) limite: Indica o tempo máximo permitido de inatividade de uma conexão com este
serviço. Após esse tempo de inatividade a conexão será removida da tabela de estados do
Aker Firewall.
O serviço Telnet está associado à porta 23, o SMTP à porta 25, o FTP à porta 21, o HTTP à
porta 80 e o POP3 à porta 110. É possível especificar que conexões de quaisquer outras portas
sejam desviadas para um destes proxies, entretanto, isto não é o comportamento padrão e
não deve ser realizado a não ser que tenha conhecimento de todas as possíveis implicações.
Caso tenha especificado que a conexão deve ser desviada para um proxy, pode ser necessário
definir os parâmetros do contexto que será utilizado pelo proxy para este serviço. Caso isso
seja necessário, no momento em que o proxy for selecionado, a janela será expandida para
mostrar os parâmetros adicionais que devem ser configurados.
250
A explicação dos parâmetros de cada um dos contextos dos proxies padrão, se encontra nos
capítulos intitulados Configurando o proxy SMTP, Configurando o proxy Telnet,
Configurando o proxy FTP, Configurando o proxy POP3 e Configurando o Proxy RPC e o proxy
DCE-RPC. O proxy HTTP não tem parâmetros configuráveis e suas configurações são descritas
no capítulo Configurando o Filtro Web. Para maiores informações sobre proxies
transparentes e contextos, veja o capítulo intitulado Trabalhando com proxies. Proxies
definidos pelo usuário somente são úteis para desenvolvedores e sua descrição não será
abordada aqui.
inclusão ou alteração do serviço. Para cancelar as alterações realizadas ou a inclusão, deve-
se pressionar o botão Cancelar.
Para facilitar a inclusão de vários serviços seguidamente, existe um botão chamado Nova (que
não estará habilitado durante uma edição). Ao ser clicado, este botão fará com que o serviço,
cujos dados foram preenchidos, seja incluído e a janela de inclusão de serviços mantida
aberta, pronta para uma nova inclusão. Desta forma é possível cadastrar rapidamente um
grande número de serviços.
Incluindo / editando interfaces
Figura 191 - Inclusão e edição de interfaces.
Para cadastrar uma entidade do tipo interface é necessário preencher os seguintes campos:
Nome: É o nome pelo qual a interface será sempre referenciada pelo firewall. É possível
opção Automático permite escolher entre estes dois modos de operação: se ela estiver
marcada, a atribuição será automática caso contrário será manual.

251
Ícone: É o ícone que aparecerá associado à interface em todas as referências. Para alterá-lo,
possíveis ícones para representar interfaces. Para escolher entre eles deve-se clicar no ícone
Cancelar.
Interface: É o nome do adaptador de rede que será associado à entidade interface. Será
mostrada automaticamente uma lista com todos os adaptadores de rede configurados no
firewall e o endereço IP de cada um, se existir.
Comentário: É um campo texto livre usado apenas para fins de documentação.
inclusão ou alteração da interface. Para cancelar as alterações realizadas ou a inclusão, deve-
Para facilitar a inclusão de várias interfaces seguidamente, existe um botão chamado Nova
(que não estará habilitado durante uma edição). Ao clicar este botão fará com que os dados
da interface que foram preenchidos sejam incluídos e mantida aberta a janela de inclusão de
interfaces onde estará pronta para uma nova inclusão. Desta forma, é possível cadastrar
rapidamente um grande número de interfaces.
Incluindo / editando listas de e-mails
Listas de e-mails são entidades usadas no proxy MSN com o objetivo de definir com quais
pessoas um determinado usuário pode conversar por meio do MSN Messenger.
Figura 192 - Inclusão e edição de listas de e-mails.

252
Para cadastrar uma entidade do tipo lista de e-mails deve-se preencher os seguintes campos:
Nome: É o nome pelo qual a lista de e-mails será sempre referenciada pelo firewall. É possível
A lista deve ter apenas "enter ou (\n)" como separadores na lista de e-mails.
Domínio de E-mail: Este campo é composto pelos e-mails ou domínios que farão parte da
lista. É possível especificar um e-mail completo ou utilizar o símbolo * para representar um
caractere qualquer. As seguintes opções são e-mails válidos:
= *@* - Corresponde a qualquer e-mail
= *@aker.com.br - Corresponde a todos os e-mails do domínio aker.com.br
Para executar qualquer operação sobre um e-mail ou domínio, deve-se clicar sobre ele com
o botão direito e a seguir escolher a opção desejada no menu que será mostrado. As seguintes
opções estão disponíveis:
Figura 193 - Opção para realizar uma operação sobre um e-mail ou domínio.
 Incluir: Esta opção permite incluir um novo endereço;

 Excluir: Esta opção remove da lista o endereço selecionado;
 Importar: Esta opção importa a lista de e-mails a partir de um arquivo .ctt (formado
de contatos do Messenger) ou .txt (arquivo texto com um e-mail por linha);
 Exportar: Esta opção exporta a lista de e-mails para um arquivo .ctt (formado de
contatos do Messenger) ou .txt (arquivo texto com um e-mail por linha).
A lista deve ter apenas "enter ou (\n)" como separadores na lista de domínios.
Incluindo / editando listas de tipos de arquivos

253
Listas de tipos de arquivos são entidades usadas no proxy MSN com o objetivo de definir quais
tipos de arquivos podem ser enviados e recebidos, por meio do MSN Messenger.
Figura 194 - Lista dos tipos de arquivos.
Para cadastrar uma entidade do tipo lista de arquivos deve-se preencher os seguintes
campos:
Nome: É o nome pelo qual a lista de tipos de arquivos será sempre referenciada pelo firewall.
É possível especificar este nome manualmente ou deixar que ele seja atribuído
automaticamente. A opção Automático permite escolher entre estes dois modos de
operação: caso ela esteja marcada, a atribuição será automática, caso contrário, manual.
Desta forma é possível a existência de várias entidades compostas de nomes com as mesmas
Para executar qualquer operação sobre uma entrada da lista, deve-se clicar sobre ela com o
botão direito e a seguir escolher a opção desejada no menu que será mostrado. As seguintes
opções estão disponíveis:
Figura 195 - Opção para realizar uma operação (Entrada da lista).

254
Incluir: Incluir um novo tipo de arquivo;
Excluir: Remover da lista o tipo de arquivo selecionado;
Duplicar: Criar uma nova entrada na lista, idêntica à entrada selecionada, sendo indicada para
criar vários tipos com a mesma descrição;
Para cada entrada, os seguintes campos devem ser preenchidos:
 Extensão: Extensão do arquivo sem o ponto. Ex.: zip, exe, etc.

 Descrição: Breve descrição do tipo associado à extensão.
Incluindo / editando acumuladores
Acumuladores são entidades usadas nas regras de filtragem com o objetivo de coletar
estatísticas sobre o tráfego de rede. Um mesmo acumulador pode ser utilizado em várias
regras de filtragem. O tráfego que encaixar em cada uma destas regras é sumarizado pelo
acumulador. A sua utilização está descrita nos capítulos: O Filtro de Estados e Visualizando
estatísticas.
Figura 196 - Acumuladores.
Para cadastrar uma entidade do tipo acumulador deve-se preencher os seguintes campos:
Nome: É o nome pelo qual o acumulador será sempre referenciado pelo firewall. É possível
opção Automático permite escolher entre esses dois modos de operação: se ela estiver
marcada, a atribuição será automática caso contrário será manual.
Ícone: É o ícone que aparecerá associado ao acumulador em todas as referências. Para alterá-
lo, basta clicar sobre o desenho do ícone atual. O firewall então uma lista com todos os
possíveis ícones para representar interfaces será mostrada. Para escolher entre eles basta
255
clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar
no botão Cancelar.
Comentário: É um campo texto livre, usado apenas para fins de documentação.
inclusão ou alteração do acumulador. Para cancelar as alterações realizadas ou a inclusão,
deve-se pressionar o botão Cancelar.
Para facilitar a inclusão de vários acumuladores seguidamente, existe um botão chamado

Nova (que não estará habilitado durante uma edição). Ao clicar neste botão fará com que os
dados do acumulador que foram preenchidos sejam incluídos e mantida aberta a janela de
inclusão de acumuladores onde estará pronta para uma nova inclusão. Desta forma é possível
cadastrar rapidamente um grande número de acumuladores.

256
Incluindo / editando Canais
Canais são entidades usadas nas regras de filtragem com o objetivo de limitar a banda de
determinados serviços, máquinas, redes e/ou usuários. Seu uso está descrito no capítulo: O
Filtro de Estados.
Figura 197 - Cadastro de entidade tipo Canal.
Para cadastrar uma entidade do tipo Canal deve-se preencher os seguintes campos:
Nome: É o nome pelo qual o canal será sempre referenciado pelo firewall. É possível
opção Nome automático permite escolher entre estes dois modos de operação: caso ela
esteja marcada, a atribuição será automática, caso contrário, manual.

257
Ícone: É o ícone que aparecerá associado ao Canal em todas as referências. Para alterá-lo,
possíveis ícones para representar interfaces. Para escolher entre eles basta clicar no ícone
Cancelar.
Largura de Banda: É um campo texto usado para designar a largura de banda (velocidade
máxima de transmissão em bits por segundo) deste Canal. Esta banda será compartilhada
entre todas as conexões que usarem este Canal. Deve ser escolhida a unidade de medida mais
conveniente.
Banda de upload: velocidade máxima de transmissão em bits por segundo definida para
realizar um upload.
Banda de download: velocidade máxima de transmissão em bits por segundo definida para
realizar um download.
Buffer: É um campo texto usado para designar o tamanho do buffer (espaço temporário de
dados utilizado para armazenar pacotes que serão transmitidos) utilizado por este Canal.
Deve ser escolhida a unidade de medida. É possível especificar este tamanho manualmente
ou deixar que ele seja atribuído automaticamente.
A opção Automático permite escolher entre estes dois modos de operação: se ela estiver
marcada, a atribuição será automática, senão manual.
inclusão ou alteração do Canal. Para que as alterações e as inclusões sejam canceladas deve-
Para facilitar a inclusão de vários Canais seguidamente, existe um botão chamado Nova (que
não estará habilitado durante uma edição). Ao clicar este botão fará com que os dados do
canal que foram preenchidos sejam incluídos e mantida aberta a janela de inclusão de canais
onde estará pronta para uma nova inclusão. Desta forma é possível cadastrar rapidamente
um grande número de canais.
O Aker Firewall suporta modificações de valores DSCP (Differentiated Services Code Point).
Alterar Valores DiffServ DS: Esta opção permite que o usuário defina a prioridade dos valores
DiffServ DS.
6.3. Utilizando a Interface Texto (via SSH-fwent)
A utilização da Interface Texto (via SSH) na configuração das entidades é bastante simples e
possui praticamente todos os recursos da Interface Remota (E possível usar todos os

258
comandos sem o prefixo “FW”, para isso execute o comando “fwshell”, então os comandos
poderão ser acessados sem o prefixo “FW”). As únicas opções não disponíveis são a criação
de serviços que utilizem proxies transparentes e a edição de pseudo-grupos de uma
autoridade certificadora. É importante comentar, entretanto, que na Interface Texto (via SSH)
os agentes externos são mostrados e criados diretamente pelo seu subtipo.
Localização do programa: /aker/bin/firewall/fwent
Sintaxe:
Uso: fwent ajuda
fwent mostra
fwent remove <nome>

fwent inclui máquina <nome> <IP
fwent inclui rede <nome> <IP> <mascara>
fwent inclui conjunto <nome> [<entidade1> [<entidade2>] ...]
fwent inclui máquina_ipv6 <nome> <ipv6>
fwent inclui rede_ipv6 <nome> <ipv6> / <prefixo>
fwent conjunto_ipv6 <nome> [<entidade1> [<entidade2>] ...]
fwent inclui autenticador<nome><IP1> [<IP2>] [<IP3>] <senha> <t. cache>
fwent inclui token <nome><IP1> [<IP2>] [<IP3>] <senha><t. cache>
fwent inclui ldap <nome><IP1> [<IP2>][<IP3>]<root_dn><root_pwd>
<base_dn><act_class><usr_attr><grp_attr>
<<pwd_attr>|<-bind> >< <-ssl>|<-tls>|<-nenhuma>>
< <-no_pwd>|<-pwd> > <t.cache>
< <-append_dn> | <-no_append_dn> >
< <-ldap_v3> | <-no_ldap_v3> >
< <-case_sensitive> | <-case_insensitive> >
fwent inclui radius <nome> <IP1> <porta1> [ <IP2> <porta2> ] <senha> <t.cache>
fwent inclui anti-virus <nome> <IP1> [<IP2>] [<IP3>] <senha>
fwent inclui ids <nome> <IP1> [<IP2>] [<IP3>] <senha>
fwent inclui spam-meter <nome> < <local> | <IP1> [<IP2> [<IP3> <senha> >
fwent inclui analisador-url <nome> <IP1> [<IP2>] [<IP3>] <senha>
fwent inclui interface <nome> <dispositivo> [<comentario>]
fwent inclui acumulador <nome> [<comentario>]
fwent inclui servico <nome> [TCP | UDP | ICMP | OUTRO] <valor>[..<valor>
fwent inclui ca <nome> <Arquivo com certificado root> <URL com CRLs>:
259
fwent inclui pipe <nome> <banda em Kbits/s> [<tamanho da fila> <bytes|pacts>]
fwent inclui log_remoto <nome> <IP> [IP] [IP] <senha>
fwent inclui quota <nome> [ kbytes <max kbytes> ] [ segundos <max seconds> ] <tipo>
fwent - Interface Texto (via SSH) para configuração das entidades
Ajuda do programa:
inclui = inclui uma nova entidade

remove = remove uma entidade existente
Para remove / inclui termos:

nome = nome da entidade a ser criada ou removida
Para inclui temos:
IP = endereço IP da máquina ou da rede

máscara = máscara da rede entidade = nome das entidades a serem acrescentadas no
conjunto
(NOTA: Somente podem fazer parte de um conjunto entidades do tipo máquina ou rede)
senha = senha de acesso

t. cache = tempo em segundos de permanência de uma entrada no cache de
autenticação
TCP = serviço utiliza protocolo TCP

UDP = serviço utiliza protocolo UDP
ICMP = serviço utiliza protocolo ICMP
OUTRO = serviço utiliza protocolo diferente dos acima citados
valor = Número que idêntica o serviço.
Para os protocolos TCP e UDP é o valor da porta associada ao serviço. No
caso de ICMP, é o tipo de serviço e no caso de outros protocolos o número do
próprio protocolo. Pode-se especificar uma faixa por meio da
notação valor1..valor2, que significa a faixa de valores
compreendida entre o valor1 e o valor2 (inclusive).
Para inclui ldap temos:
root_dn = DN do usuário utilizado pelo firewall para as consultas

root_pwd = a senha deste usuário
base_dn = DN para começar a busca
act_class= valor de objectclass que identifica objetos de contas válidas
usr_attr = o atributo onde se encontra o nome do usuário
grp_addr = o atributo onde se encontra o grupo do usuário
260
pwd_addr = o atributo onde se encontra a senha do usuário
-bind = não tenta buscar a senha, em vez disso tenta conectar na base
-append_dn = onde se adiciona base DN ao nome de usuário
-no_append_dn = não adiciona Base DN ao nome do usuário
-ldap_v3 = atributo onde habilita ou não a versão 3 do protocolo LDAP

-no_ldap_v3 = não utiliza versão 3 do protocolo LDAP
-case_sensitive = permite a diferenciação de caracteres maiúsculos e minúsculos
-case_insensitive = ignora maiúsculas e minúsculas nas comparações
LDAP com as credenciais do usuário para validá-lo

-ssl = usar conexão encriptada via ssl
-tls = usar conexão encriptada via tls
-nenhuma = não usar conexão encriptada
-no_pwd = permite senhas em branco para o usuário
-pwd = não permite senhas em branco para o usuário
Exemplo 1:(visualizando as entidades definidas no sistema)
#fwent mostra
Máquinas:
---------
cache 10.4.1.12
firewall 10.4.1.11
Redes:
------
AKER 10.4.1.0 255.255.255.0
Internet 0.0.0.0 0.0.0.0
Conjuntos:
----------
Máquinas Internas cache firewall
Autenticadores:
---------------
Autenticador NT 10.0.0.1 10.0.0.2 600
Unix 192.168.0.1 192.168.0.2 192.168.0.3 600
Autenticadores do tipo token:
-----------------------------
Autenticador token 10.0.0.1 10.0.0.2 600
Agentes IDS:
------------
Agente IDS 10.10.0.1

261
Antivírus:
-----------
Antivírus local 127.0.0.1
Serviços:
---------
echo reply ICMP 8
echo request ICMP 0
FTP TCP 21
snmp UDP 161
telnet TCP 23
Interfaces:
----------
Interface Externa xl0
Interface Interna de0
Exemplo 2:(cadastrando uma entidade do tipo máquina)

#/aker/bin/firewall/fwent inclui máquina Servidor_1 10.4.1.4
Entidade incluída
Exemplo 3:(cadastrando uma entidade do tipo rede)
#/aker/bin/firewall/fwent inclui rede Rede_1 10.4.0.0 255.255.0.0

Entidade incluída
Exemplo 4:(cadastrando uma entidade do tipo serviço)

#/aker/bin/firewall/fwent inclui servico DNS UDP 53
Entidade incluída
Exemplo 5:(cadastrando uma entidade do tipo autenticador)

#/aker/bin/firewall/fwent inclui autenticador "Autenticador Unix" 10.4.2.2 senha_123 900
Entidade incluída
O uso de "" ao redor do nome da entidade é obrigatório quando inclui ou remove

entidades cujo nome contém espaços.
Exemplo 6: (incluindo uma entidade do tipo conjunto, cujos membros são

as máquinas cache e firewall, previamente definidas)
#/aker/bin/firewall/fwent inclui conjunto "Conjunto de teste" cache firewall
Entidade incluída
Exemplo 7: (incluindo uma entidade do tipo interface, sem especificar um comentário)

#/aker/bin/firewall/fwent inclui interface "Interface DMZ" fxp0
Entidade incluída
Exemplo 8: (incluindo uma entidade do tipo autenticador token, utilizando uma máquina
primária e uma secundária, como backup)

262
#/aker/bin/firewall/fwent inclui token "Autenticador token" 10.0.0.1 10.0.0.2 senha 600
Entidade incluída
Exemplo 9: (removendo uma entidade)

#/aker/bin/firewall/fwent remove "Autenticador Unix"
Entidade incluída
6.4. Utilizando o Assistente de Entidades
O assistente de criação de entidades pode ser invocado clicando-se no ícone , localizado

na parte exterior do lado esquerda da janela de entidades. O seu intuito é simplificar a tarefa
de criação das entidades, podendo ser utilizado sempre que desejado. Ele consiste de várias
janelas mostradas em série, dependendo do tipo de entidade a ser criada.
Seu uso é extremamente simples e o exemplificaremos para a criação de uma entidade do

tipo máquina:
1 - A primeira janela a seguir é uma breve explicação dos procedimentos a serem realizados:

263
Figura 198 - Mensagem de entrada no Assistente de criação de entidades.

264
2 - Escolher tipo de entidade. Na segunda janela deve escolher o tipo de entidade a ser
cadastrada:
Figura 199 - Escolha do tipo de entidade.

265
3 - Localizar o endereço IP. Para cadastrar uma máquina deve ser especificado o endereço IP
correspondente. Caso queira obter esse endereço, deve ser informado o nome da máquina
e logo em seguida clicar no botão Resolver:
Figura 200 - Inserção do endereço de IP da máquina.

266
4 - Atribuição do nome da entidade. Pode-se escolher o nome ou usar a atribuição
automática:
Figura 201 - Atribuição do nome da entidade.

267
5 -Escolha do ícone da entidade. Para escolher o ícone da entidade deve-se clicar em um dos
ícones que aparecem na janela. Observe que o ícone selecionado irá aparecer à direita da
janela:
Figura 202 - Escolha do ícone da entidade.

268
6 - Finalização do cadastramento. Será mostrado um resumo dos dados da entidade. Para
cadastrá-la deve-se clicar no botão Finalizar:
Figura 203 - Mensagem de finalização do cadastramento de entidades.

269
O Filtro de Estado

270
7. O Filtro de Estado
Este capítulo mostra como configurar as regras que propiciarão a aceitação ou não de
conexões pelo firewall. Este módulo é o mais importante do sistema e é onde normalmente se
gasta o maior tempo de configuração.
O que é um filtro de pacotes?
Um filtro de pacotes é o módulo que irá decidir se um determinado pacote poderá passar por
meio do firewall ou não. Deixar um pacote passar, implica em aceitar um determinado
serviço. Bloquear um pacote significa impedir que este serviço seja utilizado.
Para que seja decidido qual ação a ser tomada para cada pacote que chega ao firewall, o filtro
de pacotes possui um conjunto de regras configurado pelo administrador do sistema. Para
cada pacote que chega, o filtro de pacotes percorre este conjunto de regras, na ordem em
que foi criado, verificando se este, encaixa em alguma das regras. Se ele se encaixar em uma
regra então a ação definida para ela será executada. Caso o filtro termine a pesquisa de todas
as regras e o pacote não se encaixe em nenhuma delas então a ação padrão será executada.
O que é o filtro de estados do Aker Firewall?
Um filtro tradicional de pacotes baseia suas ações exclusivamente no conjunto de regras

configurado pelo administrador. Para cada pacote que poderá passar pelo filtro, o
administrador tem que configurar uma regra que possibilite sua aceitação. Em alguns casos
isto é simples, mas em outros isto não é possível de ser realizado ou pelo menos não é possível
realizar com a segurança e flexibilidade necessárias.
O filtro de pacotes do Aker Firewall é chamado de filtro de estados. Armazena informações

do estado de todas as conexões que estão fluindo por meio dele e usa estas informações em
conjunto com as regras definidas pelo administrador na hora de tomar a decisão de permitir
ou não a passagem de um determinado pacote. Além disso, diferentemente de um filtro de
pacotes que baseia suas decisões apenas nos dados contidos no cabeçalho do pacote, o filtro
de estados examina dados de todas as camadas e utiliza todos estes dados ao tomar uma
decisão.
Vamos analisar como isso permite a solução de diversos problemas apresentados pelos filtros
de pacotes tradicionais.

271
O problema do protocolo UDP:
Para usar um serviço UDP, a máquina cliente inicialmente escolhe um número de porta (que
é variável cada vez que o serviço for utilizado) e envia um pacote para a porta da máquina
servidora correspondente ao serviço (porta na máquina servidora é fixa). A máquina
servidora, ao receber a requisição, responde com um ou mais pacotes para a porta da
máquina cliente. Para que a comunicação seja efetiva o firewall deve permitir a passagem dos
pacotes de solicitação do serviço e de resposta. O problema é que o protocolo UDP não é
orientado à conexão, isto significa que se um determinado pacote for observado
isoladamente, fora de um contexto, não pode saber se ele é uma requisição ou uma resposta
de um serviço.
Nos filtros de pacotes tradicionais; como o administrador não pode saber inicialmente, qual
a porta será escolhida pela máquina cliente para acessar um determinado serviço, ele pode
ou bloquear todo o tráfego UDP ou permitir a passagem de pacotes para todas as possíveis
portas. Ambas as abordagens possuem alguns problemas.
O Aker Firewall possui a capacidade de se adaptar dinamicamente ao tráfego de modo a

resolver possíveis problemas. Um exemplo é quando um pacote UDP é aceito por uma das
regras configuradas pelo administrador, com isso é adicionada uma entrada em uma tabela
interna, chamada de tabela de estados, de modo a permitir que os pacotes de resposta ao
serviço correspondente possam voltar para a máquina cliente. Esta entrada só fica ativa
durante um curto intervalo de tempo, ao final do qual ela é removida (este intervalo de tempo
é configurado por meio da janela de configuração de parâmetros, mostrada no capítulo
intitulado Configurando os parâmetros do sistema). Desta forma, o administrador não
precisa se preocupar com os pacotes UDP de resposta, sendo necessário apenas configurar
as regras para permitir o acesso aos serviços. Isto pode ser realizado facilmente, já que todos
os serviços possuem portas fixas.
O problema do protocolo FTP:
O FTP é um dos protocolos mais populares da Internet, porém é um dos mais complexos de
ser tratado por um firewall. Vamos analisar seu funcionamento:
Para acessar o serviço FTP, inicialmente a máquina cliente abre uma conexão TCP para a
máquina servidora na porta 21. (a porta usada pelo cliente é variável). Esta conexão é
chamada de conexão de controle. A partir daí, para cada arquivo transferido ou para cada
listagem de diretório, uma nova conexão for estabelecida, chamada de conexão de dados.
Esta conexão de dados pode ser estabelecida de duas maneiras distintas:
1. O servidor pode iniciar a conexão a partir da porta 20 em direção a uma porta variável,
informada pelo cliente pela conexão de controle (este é chamado de FTP ativo)
2. O cliente pode abrir a conexão a partir de uma porta variável para outra porta variável do
servidor, informada para o cliente por meio da conexão de controle (este é chamado de
FTP passivo).

272
Nos dois casos o administrador não tem como saber quais portas serão escolhidas para
estabelecer as conexões de dados e desta forma, se ele desejar utilizar o protocolo FTP por
meio de um filtro de pacotes tradicional, deverá liberar o acesso para todas as possíveis portas
utilizadas pelas máquinas clientes e servidores. Isto tem implicações sérias de segurança.
O Aker Firewall tem a capacidade de vasculhar o tráfego da conexão de controle FTP e desta
forma descobrir qual o tipo de transferência que será utilizada (ativa ou passiva) e quais
portas serão usadas para estabelecer as conexões de dados. Desta forma, todas as vezes que
o filtro de pacotes determinar que uma transferência de arquivos seja realizada, ele
acrescenta uma entrada na tabela de estados de modo a permitir que a conexão de dados
seja estabelecida. Esta entrada só fica ativa enquanto a transferência estiver se realizando e
caso a conexão de controle esteja aberta, propiciando o máximo de flexibilidade e segurança.
Neste caso, para configurar o acesso FTP deve-se acrescentar uma regra liberando o acesso
para a porta da conexão de controle (porta 21). Todo o resto será realizado automaticamente.
O problema do protocolo Real Áudio:
O protocolo Real Áudio é o mais popular protocolo de transferência de som e vídeo em tempo
real por meio da Internet.
Para que seja possível uma transmissão de áudio ou vídeo é necessário que o cliente
estabeleça uma conexão TCP para o servidor de Real Áudio. Além desta conexão, para
conseguir uma melhor qualidade de som, o servidor pode abrir uma conexão UDP para o
cliente, para uma porta randômica informada em tempo real pelo cliente, e o cliente também
pode abrir outra conexão UDP para o servidor, também em uma porta randômica informada
pelo servidor no decorrer da conexão.
Os filtros de pacotes tradicionais não permitem o estabelecimento das conexões UDP do

servidor para o cliente e vice-versa, uma vez que as portas não são conhecidas
antecipadamente, fazendo com que a qualidade, do áudio e vídeo obtido, seja bastante
inferior.
O filtro de estados do Aker Firewall acompanha toda a negociação do servidor Real Áudio com
o cliente de modo a determinar se as conexões UDP serão abertas e quais portas serão usadas
acrescentando esta informação em uma entrada na sua tabela de estados. Esta entrada na
tabela de estados só fica ativa enquanto a conexão de controle TCP estiver aberta,
propiciando o máximo de segurança.
O problema do protocolo Real Vídeo (RTSP):
O protocolo Real Vídeo é suportado pelo firewall. Assim como o Real Áudio, as transações são
controladas pelo firewall, permitindo uma total segurança do uso de aplicações de Real Vídeo.
 Roteamento Broadcast/Multicast: O objetivo principal dos algoritmos de roteamento

broadcast/multicast é entregar pacotes a partir de um nodo da rede para vários outros, mas
273
não todos. Este tipo de operação é utilizada por aplicações que estão separadas, mas
trabalham em cooperação. Bons exemplos são algoritmos distribuídos ou clientes de um
serviço de rede específico, como por exemplo vídeo sob demanda ou vídeo-conferência.
Esta funcionalidade é suportada por meio do mrouted: O mrouted e uma implementação de

DVMRP (Distance Vector Multicast Routing Protocol) Protocolo de roteamento de vetor de
distâncias com suporte para túnel.
Localização do programa: /usr/local/sbin/mrouted
 PIM (Protocol Independent Multicast)
Figura 204 – Esquema de funcionamento de um PIM
PIM é o nome comum para dois protocolos de roteamento multicast
 Multicast Independente (Sparse Mode > PIM-SM): É a implementação USC

(netweb/catarina.usc.edu) original do protocolo de acordo com a RFC 2362.
 Multicast (Dense Mode > PIM-DM): É um protocolo de roteamento multicast a base
de informação de roteamento underlying unicast para inundar (flood) data gramas
multicast para todos os roteadores multicast. Mensagens “Prune” são usadas para
prevenir a propagação de futuros data gramas aos roteadores que não tenham
informação de grupo.
Os protocolos PIM (Protocol Independent Multicast) são chamados de “independentes de

protocolos”, pois usam a lógica dos protocolos de roteamento unicast como apoio, para que
a ocorrência de loop na rede seja evitada). O PIM permite que redes existentes tenham a
capacidade de fazer o roteamento do IP multicast, independentemente de qual protocolo de

274
roteamento unicast está sendo usado. Ele foi criado para usar as tabelas de roteamento
existentes para tomar as decisões de roteamento multicast.
Localiza do programa: /usr/bin/pimd
Montando regras de filtragem em um filtro de pacotes simples
Antes de mostrar como funciona a configuração do filtro de estados do Aker Firewall é

interessante explicar o funcionamento básico de um filtro de pacotes simples:
Existem vários critérios possíveis para realizar filtragem de pacotes. A filtragem de endereços
pode ser considerada a mais simples de todas, pois ela consiste em fazer uma comparação
entre os endereços dos pacotes e os endereços das regras. Caso os endereços sejam iguais, o
pacote é aprovado. Esta comparação é realizada da seguinte forma:
Trabalharemos com a seguinte regra: Todas as máquinas da rede 10.1.x.x podem se

comunicar com as máquinas da rede 10.2.x.x. Escreveremos esta regra utilizando o conceito
de mascaramento (para maiores informações, veja o capítulo intitulado Cadastrando
Entidades). Assim temos:
10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0
------- Origem ------ ------- Destino -------
Vamos agora aplicar a regra a um pacote que trafega da máquina 10.1.1.2 para a máquina
10.3.7.7. Aplica-se a máscara da regra aos dois endereços, o da regra e o do pacote e verifica
se os endereços de destino e o de origem são iguais.
Para o endereço origem temos
10.1.0.0 AND 255.255.0.0 = 10.1.0.0 (para a regra)
10.1.1.2 AND 255.255.0.0 = 10.1.0.0 (para o pacote)
Temos então que os dois endereços origem são iguais após a aplicação da máscara. Veremos
agora para o endereço destino:
10.2.0.0 AND 255.255.0.0 = 10.2.0.0 (para a regra)

275
10.3.7.7 AND 255.255.0.0 = 10.3.0.0 (para o pacote)
Como o endereço destino do pacote não está igual ao endereço destino da regra após a
aplicação da máscara, por definição, esta regra não se aplicaria a este pacote.
Esta operação é realizada em toda a lista de endereços e máscaras destino e origem até o fim
da lista, ou até uma das regras aplicar para o pacote examinado. Uma lista de regras teria a
seguinte forma:
10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0
10.3.3.2 & 255.255.255.255 -> 10.1.2.1 & 255.255.255.255
10.1.1.0 & 255.0.0.0 -> 10.2.3.0 & 255.255.255.0
10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0
Além dos endereços origem e destino, cada pacote IP possui um protocolo e um serviço
associado. Esta combinação de serviço mais protocolo pode ser utilizado como mais um
critério de filtragem.
Os serviços no protocolo TCP, por exemplo, estão sempre associados a uma porta (para
maiores informações, veja o capítulo intitulado Cadastrando Entidades). Assim, pode-se
também associar uma lista de portas aos endereços.
Pegaremos como exemplo dois serviços conhecidos, o POP3 e o HTTP. O POP3 está associado
à porta 110 do servidor e o HTTP está associado à porta 80. Assim, iremos acrescentar estas
portas no formato da regra. Teremos então:
10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 TCP 80 110
------- Origem ------ ------- Destino ------- - Protocolo - --Portas-
Esta regra autoriza todo pacote que vai da rede 10.1.x.x para a rede 10.2.x.x e que utiliza os
serviços HTTP ou POP3 a trafegar pelo firewall.
Assim, em uma primeira etapa compara-se os endereços da regra com os do pacote. Caso
estes endereços sejam iguais após a aplicação das máscaras, passa-se a comparar o protocolo
e a porta destino no pacote com o protocolo e a lista de portas associados à regra. Se o
protocolo for o mesmo e se for encontrada uma porta da regra igual à porta do pacote, esta
regra por definição se aplica ao pacote, caso contrário à pesquisa continua na próxima regra.
Assim um conjunto de regras teria o seguinte formato:

276
10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0 UDP 53
10.3.3.2 & 255.255.255.255 -> 10.1.2.1 & 255.255.255.255 TCP 80
10.1.1.0 & 255.0.0.0 -> 10.2.3.0 & 255.255.255.0 TCP 21 20 113
10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 ICMP 0 8
Montando regras de filtragem para o Aker Firewall
Configurar as regras de filtragem no Aker Firewall é algo muito fácil em função de sua
concepção inteligente. Toda a parte de endereços IP, máscaras, protocolos, portas são
interfaces e são configuradas nas entidades (para maiores informações, veja o capítulo
intitulado Cadastrando Entidades). Com isso, ao configurar uma regra não é necessário
preocupar com qual porta um determinado serviço utiliza ou qual o endereço IP de uma rede.
Tudo isso já foi previamente cadastrado. Para facilitar ainda mais, todos os serviços mais
utilizados na Internet já vêm previamente configurado de fábrica, não havendo a necessidade
de gastar tempo pesquisando os dados de cada um.
Basicamente, para cadastrar uma regra, o administrador deve especificar as entidades de

origem, destino e os serviços que farão parte da regra. Ele pode também especificar uma
interface de origem para os pacotes e definir em quais horários a regra estará ativa, em uma
tabela de horários semanal. Com o uso desta tabela de horários é possível liberar
determinados serviços em determinadas horas do dia (por exemplo, liberar IRC, ou bate-
papo, apenas nos horários fora do expediente). Se um pacote chegar a um horário no qual a
regra não está marcada como ativa, ela será ignorada, fazendo com que a busca continue na
próxima regra da lista.
O funcionamento do filtro é simples: o firewall irá pesquisar uma a uma as regras definidas
pelo administrador, na ordem especificada, até que o pacote se encaixe em uma delas. A
partir deste momento, ele irá executar a ação associada à regra, que pode ser aceita, rejeitada
ou descartada (estes valores serão explicados no próximo tópico). Caso a pesquisa chegue ao
final da lista e o pacote não se enquadre em nenhuma regra então este será descartado (é
possível configurar ações para serem executadas neste caso). Isto será tratado no capítulo
intitulado: Configurando as ações do sistema.
7.2. Editando uma lista de regras usando a Interface Remota
Para ter acesso a janela de configuração de regras deve-se:

277
Figura 205 - Dispositivos remotos (Acesso a janela de configuração das
regras).
 Clicar no menu Configurações do firewall da janela principal.
 Selecionar o item Regras de Filtragem.
A janela de regras de filtragem
Figura 206 - Janelas de regras de filtragem.

278
A janela de regras contém todas as regras de filtragem definidas no Aker Firewall. Cada regra
será mostrada em uma linha separada, composta de diversas células. Caso uma regra esteja
selecionada, ela será mostrada em uma cor diferente.
 O botão OK fará com que o conjunto de regras seja atualizado e passe a funcionar
imediatamente.
 O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela seja
fechada.
 O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá a janela
aberta
 Quando se clica sobre uma regra que tenha algum comentário, este aparecerá na parte
inferior da janela.
Para executar qualquer operação sobre uma determinada regra, deve-se clicar com o botão
direito do mouse sobre o campo que queira alterar. Aparecerá um menu com as opções de
entidades referentes ao campo, como na figura abaixo:
Figura 207 - Menu com opções de entidades referente ao campo.
 Inserir: Incluir uma nova regra na lista. A nova regra será incluída abaixo da regra existente.
 Copiar: Copiar a regra selecionada.
 Colar: Cola a regra copiada.

279
 Excluir: Remover da lista a regra selecionada.
 Habilitar/Desabilitar: Desabilitar/habilitar a regra selecionada.
 Adicionar entidades: Adicionar uma entidade cadastrada no firewall. Veja se o ponteiro do
mouse está sobre o campo o qual se quer inserir a entidade.
 Remover entidades: Remover uma entidade que foi inserida na regra.
Dica: A posição de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a
nova posição desejada, soltando em seguida.
Política Padrão: pode-se definir uma nova política, clicando no botão "Política" na barra de
ferramentas do Firewall. É possível editar um nome e uma cor para cada política, inclusive a
padrão.
Adicionando e removendo entidades e serviços na regra
Para adicionar uma entidade a um destes campos, pode-se proceder de duas formas:
1. Selecionar a entidade a ser incluída, clicando sobre ela na tabela de entidades, e a arraste
para o campo correspondente. As teclas Insert e Delete podem inserir e remover as
entidades respectivamente.
2. Clicar com o botão direito do mouse sobre o campo onde se deseja adicionar as entidades,
será exibida uma lista das entidades pertinentes ao campo selecionado, bem como que
tipo de ação se deseja aplicar sobre as mesmas.
- O duplo-clique na entidade irá permitir a edição da mesma.
Para remover uma entidade de um destes campos, deve-se proceder da seguinte forma:
1. Clicar com o botão direito do mouse sobre o campo onde se encontra a entidade que se
deseja remover e será exibida uma lista das entidades participantes do campo com a
opção de remoção das entidades.
2. Pode-se utilizar a opção Remover Entidade para eliminar várias entidades de uma vez.
Na criação de regras quando selecionada as entidades, deve-se observar a origem e o

destino destas. Se especificar um endereço ipv4 na origem, obrigatoriamente deve-se
especificar um endereço ipv4 no destino, a mesma coisa acontece caso a opção seja o
endereço ipv6.
Parâmetros da regra:
Além das especificações básicas de uma regra, entidades de origem, entidades de destino e
serviços, deve-se levar em conta outros parâmetros de configuração:
Acumulador: Define qual o acumulador para os pacotes da regra. A opção nenhum desativa
a contabilização dos pacotes que se encaixem nesta regra. Se for escolhido um acumulador,
serão adicionados a ele a quantidade de bytes e pacotes encaixados nesta regra.
280
Canal: Define o canal que será utilizado para controlar a banda para a regra. A opção nenhum
desativa a utilização de controle de banda para esta regra.
Ação: Este campo define qual a ação a ser tomada para todos os pacotes que se encaixem
nesta regra. Ela consiste nas seguintes opções:
Aceita: Autorizar os pacotes, que encaixaram na regra, a passarem por meio do firewall.
Rejeita: Impedir a passagem pelo firewall, dos pacotes que se encaixaram nesta regra. Assim
será enviado um pacote ICMP para a máquina de origem do pacote dizendo que o destino é
inatingível. Esta opção não funciona para alguns tipos de serviço ICMP, devido a uma
característica inerente a este protocolo.
Descarta: Significa que os pacotes que se encaixarem nesta regra não passarão pelo firewall,
mas não será enviado nenhum pacote para a máquina de origem.
Log: Definir quais tipos de ações serão executadas pelo sistema quando um pacote se encaixar
na regra. Ele consiste em várias opções que podem ser selecionadas independentemente uma
das outras. Os valores possíveis são:
Logs: Se esta opção estiver selecionada, todos os pacotes que se enquadrarem nesta
regra serão registrados no log do sistema.
Envia e-mail: Se esta opção estiver selecionada, será enviado um e-mail todas as vezes
que um pacote enquadrar-se nesta regra (a configuração do endereço de e-mail será
mostrada no capítulo intitulado configurando as ações do sistema).
Executar programa: Quando selecionada essa opção, será executado um programa

definido pelo administrador todas as vezes que um pacote se enquadrar nesta regra
(a configuração do nome do programa a ser executado será mostrada no capítulo
intitulado configurando as ações do sistema).
Disparar mensagens de alarme: Quando selecionada essa opção, o firewall mostra

uma janela de alerta todas as vezes que um pacote se enquadrar nesta regra. Esta
janela de alerta será mostrada na máquina onde a Interface Remota estiver aberta e,
se a máquina permitir, será emitido também um aviso sonoro. Caso a Interface
Remota não esteja aberta, não será mostrada nenhuma mensagem e esta opção será
ignorada.
Enviar Trap SMNP: Se esta opção estiver selecionada, será enviada uma Trap SNMP
para cada pacote que enquadrar nesta regra (a configuração dos parâmetros para o
envio das traps será mostrada no capítulo intitulado configurando as ações do
sistema).
No caso do protocolo TCP, somente serão executadas as ações definidas na regra para o
pacote de abertura de conexão. No caso do protocolo UDP, todos os pacotes que forem
281
enviados pela máquina cliente e se enquadrarem na regra (exceto os pacotes de resposta)
provocarão a execução das ações.
Tabela de horários: Definir as horas e dias da semana em que a regra será aplicável. As linhas
representam os dias da semana e as colunas representam as horas. Caso queira que a regra
seja aplicável em determinada hora o quadrado deve ser preenchido, caso contrário o
quadrado deve ser deixado em branco.
Para facilitar sua configuração, pode-se clicar com o botão esquerdo do mouse sobre um
quadrado e a seguir arrastá-lo, mantendo o botão pressionado. Isto faz com que a tabela seja
alterada na medida em que o mouse se move.
Período de validade: Permitir o cadastro de duas datas que delimitam um período fora do
qual a regra não tem validade. É um recurso muito útil para, por exemplo, liberar o tráfego
relacionado a um evento não recorrente, como um teste. Se o período ainda não tiver
começado ou estiver expirado, o número da regra será mostrado sobre um fundo vermelho.
Comentário: Inserir um comentário sobre a regra. Muito útil na documentação e manutenção

das informações sobre a utilidade da regra.
Verificação de regras
A verificação de regras é realizada por meio do ícone , ou então automaticamente,

quando o usuário aplica as regras no botão aplicar na janela de Regras de filtragem.
Figura 208 - Ícones de verificação de regras.
O botão verificar faz a verificação da conexão com o Aker Control Center e a verificação das
regras eclipsadas. A primeira permite checar se existe alguma regra que impeça o usuário de
conectar-se no firewall que ele está atualmente configurando.
Exemplo: O ip do usuário é o 10.0.0.1 e o do firewall é o 10.0.0.2 e a porta do control center

é a 1020. Caso exista alguma regra dizendo que é para rejeitar os pacotes de origem 10.0.0.1
e destino 10.0.0.2 na porta 1020, e caso esta regra seja aplicada, implicará na impossibilidade
do usuário se conectar a esse firewall. É um mecanismo para impedir que o próprio usuário
tire o seu acesso de conexão no firewall.
A segunda verificação é a da regra "eclipsa", é necessária essa verificação quando a regra 1

engloba completamente a regra 2, impedindo que a regra 2 seja atingida.

282
Exemplo: A regra 1 tem origem 0.0.0.0 (qualquer origem), destino 0.0.0.0 (qualquer destino)
e todas as portas TCP 7. A regra 2 tem origem 10.0.0.1, destino 10.0.0.2 e porta TCP 7. A
primeira regra faz tudo o que a segunda regra faz, então a segunda regra nunca vai ser
atingida, porque a primeira regra vai ser processada primeiro e não vai deixar com que a outra
regra seja alcançada.
Obs.: Todas as regras que são verificadas, são regras que já existem ou seja, que já foram
definidas.
Figura 209 - Verificador de regras.
Utilização dos Canais na Regra de Filtragem do Aker Firewall
O administrador pode definir Qualidade de Serviço (QoS) diferenciada para cada tipo de regra.
No caso da figura abaixo, foi criado um canal de 10Mb - ADSL e aplicado nas regras 1 e 2. O
servidor "Correio_SMTP" possui prioridade no tráfego pois a prioridade para ele no canal está
como "Muito alto".

283
Figura 210 - Regras de filtragem (Exemplo de canal de 10Mb - ADSL).
Para ajustes de prioridade de canal, deve-se clicar como o botão direito na entidade Canal e
escolher a prioridade pelo botão deslizando. Veja a figura abaixo:
Figura 211 - Ajustes de prioridade de canal.

284
7.3. Trabalhando com Políticas de Filtragem
Este recurso permite que o administrador do firewall faça um agrupamento de regras dentro
de um levantamento realizado dos fluxos que ocorrerem entre as suas sub redes.
Para exemplificar, suponha que o administrador possua um firewall colocado entre as redes
interna, DMZ e Internet, conforme esquema abaixo:
Figura 212 - Exemplo de como trabalhar com políticas de filtragem.
Pode-se verificar os possíveis fluxos de dados que poderão ocorrer entre essas redes. Para
cada fluxo foi dada uma numeração e com isso pode-se concluir que os fluxos com números
mais altos (5 e 6) serão considerados os mais inseguros, pois envolvem o acesso da internet
as redes DMZ e interna, respectivamente.
Estes fluxos para o firewall serão desdobrados em regras de filtragem, com isto poderiam ter
as seguintes regras:

285
Figura 213 - Exemplo de regras de filtragem.
Figura 214 - Interface regras de filtragem.
Para criar novas “Políticas” deve-se clicar no ícone da barra de ferramentas "Política".
Figura 215 - Barra de ícones (Política).

286
A figura abaixo mostra o desdobramento das regras da política. Basta dar um duplo clique na
linha para exibir as regras que ela contém:
Figura 216 - Exibição das regras de filtragem.
No caso de desabilitar uma política, todas as regras que ela contém também serão
desabilitadas.
7.4. Utilizando a Interface Texto (via SSH-fwrule)
A utilização da Interface Texto (via SSH) na configuração das regras de filtragem traz uma
dificuldade gerada pela grande quantidade de parâmetros que devem ser passados pela linha
de comando (E possível usar todos os comandos sem o prefixo “FW”, para isso execute o
comando “fwshell”, então os comandos poderão ser acessados sem o prefixo “FW”).
Não é possível configurar a tabela de horários nem especificar comentários para as regras
por meio da Interface Texto (via SSH). Também não é possível especificar mais de uma
entidade para origem ou destino da regra. Todas as regras acrescentadas por esta interface
são consideradas aplicáveis em todas as horas da semana.

287
Localização do programa: /aker/bin/firewall/fwrule.
Sintaxe:
Uso: fwrule [ajuda | mostra]

fwrule [habilita | desabilita | remove] <pos>
fwrule inclui <pos> <origem> <destino>
<aceita | rejeita | descarta>
[pipe <pipe> <peso>] [acumulador <acumulador>]
[loga] [mail] [trap] [programa] [alerta]
[encriptado | usuário ] [<servico> ...]
Ajuda do programa:
Firewall Aker
fwrule - Configura tabela de regras do filtro de estados
Uso: fwrule [ajuda | mostra]
fwrule [habilita | desabilita | remove] <pos>
fwrule inclui <pos> <origem> <destino>
<aceita | rejeita | descarta>
[pipe <pipe> <peso>] [acumulador <acumulador>]
[loga] [mail] [trap] [programa] [alerta]
[encriptado | usuário ] [<servico> ...]
mostra = mostra todas as entradas da tabela de regras

inclui = inclui uma nova regra de filtragem
habilita = habilita uma regra de filtragem desabilitada
desabilita = desabilita uma regra de filtragem existente
remove = remove uma regra existente
Para inclui temos:

pos = posição onde incluir a nova regra na tabela
(Pode ser um inteiro positivo ou a palavra FIM para incluir
no final da tabela)
aceita = a regra aceita as conexões que se enquadrarem nela
rejeita = a regra rejeita as conexões que se enquadrarem nela e envia
pacote ICMP de destino inatingível para máquina de origem
descarta = a regra descarta os pacotes recebidos (não envia pacote ICMP)
pipe = faz com que o tráfego que se encaixe nesta regra seja
direcionado ao "pipe" indicado com peso relativo dado por:

288
acumulador = faz com que o tráfego que se encaixe nesta regra seja
somado a entidade acumulador especificada
peso = "ocioso", "m_baixo" (muito baixo), "baixo", "normal",
"alto", "m_alto" (muito alto) ou "tr" (tempo real)
loga = loga os pacotes que se enquadrarem na regra
mail = envia e-mail para cada pacote que se enquadre na regra
trap = gera trap SNMP para cada pacote que se enquadre na regra
programa = executa um programa para cada pacote que se enquadre na regra
alerta = abre uma janela de alerta para cada pacote que se enquadre na regra
encriptado = indica que a regra só é válida se os pacotes vierem encriptados
usuário = indica que a regra só é válida se os pacotes vierem
encriptados e o usuário tiver se autenticado previamente no
firewall. Esta condição somente pode ser atendida por
conexões originadas de clientes de criptografia
servico = lista de nomes dos serviços para a nova regra
Para habilita / desabilita / remove temos:
pos = número da regra a ser habilitada, desabilitada ou removida
Exemplo 1: (visualizando as regras de filtragem)
#/aker/bin/firewall/fwrule mostra
Regra 01
--------
Origem : Internet
Destino : firewall cache
Ação : Descarta
Log : Loga Trap Alerta
Serviços : todos_tcp todos_udp
todos_icmp
Regra 02
--------
Origem : cache firewall
Destino : Internet
Ação : Aceita
Log : Loga
Serviços : http ftp
Regra 03
--------
Origem : Internet

289
Destino : Mail server
Ação : Aceita
Log : Loga
Serviços : smtp
Regra 04
--------
Origem : Empresas externas
Destino : Aker
Ação : Aceita
Log : Loga
Serviços : smtp
Exemplo 2: (removendo a quarta regra de filtragem)
#/aker/bin/firewall/fwrule remove 4
Regra 4 removida
Exemplo 3: (incluindo uma nova regra no final da tabela)
#/aker/bin/firewall/fwrule inclui fim Internet "Mail server" aceita loga smtp

Regra incluída na posição 4
As entidades Internet e Mail server, bem como o serviço SMTP devem ter sido previamente
cadastradas no sistema. Para maiores informações sobre como cadastrar entidades no Aker
Firewall, veja o capítulo Cadastrando Entidades.
O uso de "" ao redor do nome da entidade a ser incluída na regra é obrigatório quando este
contém espaços.

290
7.5. Utilizando o assistente de regras
O assistente de regras pode ser acionado pelo menu ou pela barra de tarefas. Caso o número
de regras for muito pequeno o próprio assistente será acionado automaticamente.
1 - Acionando do assistente de regras. A janela abaixo aparecerá quando um número muito

pequeno de regras for detectado.
Figura 217 - Assistente de regras filtragem (janela exibida quando um número pequeno de
regras for detectado.

291
2 - Tela inicial com as explicações necessárias.
Figura 218 - Mensagem de boas-vindas ao Assistente de regras filtragem.
3 - Escolha da rede interna na configuração inicial.

292
Figura 219 - Escolha da rede interna e configuração inicial.
4 - Informação necessária para saber se as máquinas terão acesso irrestrito à Internet.

293
Figura 220 - Tela de acesso para escolha de acesso restrito ou não à internet.

294
5 - Configuração da DMZ.
Figura 221 - Escolha se possui ou não DMZ.

295
6 - Escolha da entidade da DMZ.
Figura 222 - Escolha da entidade DMZ.

296
7 - Informa se a DMZ terá acesso irrestrito à Internet.
Figura 223 - Máquinas DMZ (acesso restrito ou não à Internet).

297
8 - Administração do Firewall. Informar quem terá acesso de administração ao mesmo.
Figura 196 - Configuração do Firewall.

298
9- Registro individual de servidor para a DMZ.
Figura 197 - Registro de configuração do servidor.

299
10 - Informação de servidor específico para a DMZ.
Figura 198 - Escolha da entidade do servidor.

300
11 - Seleção dos serviços do servidor para a DMZ.
Figura 199 - Selecionar o local onde o servidor DMZ ficará disponível.

301
12- Pergunta se deseja configurar outro servidor.
Figura 224 - Escolha para configurar outro servidor ou não.

302
13 - Visualização final das regras de filtragem montada pelo assistente.
Figura 225 - Aviso de finalização de configuração das regras de filtragem.
7.6. Utilizando Regras de Pipes
Esta janela foi criada para organizar suas regras de Q.o.S, no Aker Firewall conhecida como
"canal/pipe". Ela permite que sejam visualizados em apenas uma janela, todas as suas regras
de PIPE, sem a necessidade de visualizar várias janelas separadas como as de Regras de
filtragem Geral e/ou Regras de Filtragem nos Perfis de Acesso.
O Aker Firewall suporta modificações de valores DSCP (Differentiated Services Code

Point).

303
Os campos são muito parecidos com a janela de Regras de Filtragem, contendo:
 Origem: Determina o IP/rede de origem dos pacotes;

 Destino: Determina o IP/rede de destino dos pacotes;
 Serviço: Permite selecionar quais os serviços (TCP, UDP, ICMP ou Outros) utilizará esta
regra de PIPE;
 Canal: O administrador pode definir Qualidade de Serviço (QoS) diferenciada para cada
tipo de regra;
 Hora: Define as horas e dias da semana em que a regra será aplicável. As linhas
representam os dias da semana e as colunas representam às horas. Caso queira que a
regra seja aplicável em determinada hora o quadrado deve ser preenchido, caso contrário
o quadrado deve ser deixado em branco.
Para facilitar sua configuração, pode-se clicar com o botão esquerdo do mouse sobre um
quadrado e arrastá-lo, mantendo o botão pressionado. Isto faz com que a tabela seja alterada
na medida em que o mouse se move.
 Período de validade: Permitir o cadastro de duas datas que delimitam um período fora
do qual a regra não tem validade. É um recurso muito útil para, por exemplo, liberar o
tráfego relacionado a um evento não recorrente, como um teste. Se o período ainda não
tiver começado ou estiver expirado, o número da regra será mostrado sobre um fundo
vermelho.
 Comentário: Inserir um comentário sobre a regra. Muito útil na documentação e
manutenção das informações sobre a utilidade da regra.
A janela de Regras de Pipes
Figura 226 - Janela com as regras de Pipes.

304
Estas regras sobrepõem às configurações de "Canal" das Regras de Filtragem Geral e das
Regras de Filtragem nos Perfis de Acesso.

305
Configurando conversão de
endereços

306
8. Configurando a conversão de endereços
Este capítulo mostra como configurar os parâmetros de conversão de endereços (NAT) de

modo a possibilitar que a rede interna trabalhe com endereços reservados, aumentando sua
capacidade de endereçamento, ocultando as máquinas da rede interna e acessando a
Internet, de forma totalmente transparente. Nesta versão também será possível realizar um
balanceamento de carga das conexões de forma mais inteligente.
O que é conversão de endereços?
Qualquer rede que vai se ligar à Internet necessita de um conjunto de endereços IP atribuídos
por alguma autoridade designada para tal (no Brasil está distribuição é de responsabilidade
da FAPESP). Basicamente existem 3 conjuntos de endereços possíveis, os chamados classe A,
que possibilitam 16.777.214 máquinas dentro da rede, os “classe B”, que possibilitam 65.533
máquinas e os “classe C”, que possibilitam 254 máquinas.
Devido ao grande crescimento apresentado pela Internet nos últimos anos, não existem mais
endereços classe A e B disponíveis. Assim sendo, qualquer rede que venha a se conectar
receberá um endereço classe C que permite o endereçamento de apenas 254 máquinas. Caso
o número de máquinas seja maior do que isso, devem-se adquirir vários endereços classe C o
que dificulta o trabalho de administração, ou utilizar uma solução de conversão de endereços.
A conversão de endereços é uma tecnologia que permite que os endereços das máquinas da
rede interna sejam distribuídos livremente, utilizando endereços classe A. Assim continua a
permitir que todas as máquinas tenham acesso à internet de forma simultânea e transparente
à Internet.
O seu funcionamento é simples, todas as vezes que uma máquina com um endereço
reservado tenta acessar a Internet, o Firewall detecta e automaticamente traduz seu
endereço para um endereço válido. Quando a máquina de destino responde e envia dados
para o endereço válido, o Firewall converte de volta este endereço para o reservado e repassa
os dados para a máquina interna. Da forma que isso é feito, nem as máquinas clientes nem
as máquinas servidoras sabem da existência de tal mecanismo.
Outra vantagem, além da apresentada acima, é que com a conversão de endereços todas as
máquinas da sua rede interna ficam invisíveis para a rede externa, aumentando ainda mais o
nível de segurança da instalação.

307
A conversão de endereços não é compatível com serviços que transmitem endereços IP ou
portas como parte do protocolo. Os únicos serviços deste tipo suportados pelo Aker Firewall
são o FTP, Real Áudio e Real Vídeo.
Quais são as minhas redes internas?
As redes internas se constituem de todas as máquinas de uma ou mais sub-redes que estão
sendo protegidas pelo Aker Firewall. Isto inclui todos os dispositivos internos da rede, como
roteadores, switches, máquinas servidoras, máquinas clientes, etc. São os equipamentos que
guardam informações importantes da sua rede, ou são peças chaves para seu funcionamento.
Quais são as minhas redes externas?
As redes externas são formadas por todas as máquinas que não fazem parte da rede interna.
Elas podem estar ou não sob a responsabilidade administrativa de sua organização.
No caso de uma rede de uma organização se ligando à Internet, a rede externa seria toda à
Internet.
Endereçando as minhas redes internas
Apesar de tecnicamente possível, os endereços de suas redes internas não devem ser
escolhidos aleatoriamente. Existem alguns endereços reservados especificamente para este
fim. Estes endereços não podem ser atribuídos a nenhuma máquina ligada à Internet.
Os endereços reservados são:
De 10.0.0.0 à 10.255.255.255, máscara 255.0.0.0 (classe A)

De 172.16.0.0 à 172.31.0.0, máscara 255.255.0.0 (classe B)
De 192.168.0.0 à 192.168.255.255, máscara 255.255.255.0 (classe C).
Tipos de conversão de endereços
Existem três tipos diferentes de conversão de endereços: 1-1, N-1, 1-N e N-N. Cada um deles
possui características distintas e normalmente são utilizados em conjunto para conseguir
melhores resultados.
 1-1
O tipo 1-1 é o mais intuitivo, porém normalmente o menos útil. Ele consiste em fazer
mapeamentos binários de um para um entre endereços reservados e endereços válidos.
Desta forma, máquinas distintas teriam endereços convertidos distintos.
A grande limitação desta forma de operação é que não é possível colocar um número de
máquinas maior que o número de endereços válidos, uma vez que são sempre convertidos
308
na base de um para um. Em compensação, ela permite que máquinas com endereços
reservados possam ser acessadas externamente com endereços válidos.
 N-1
A conversão de N-1, como o nome já diz, possibilita que várias máquinas com endereços
reservados utilizem um mesmo endereço válido. Para conseguir este objetivo, ela utiliza
endereços IP em combinação com portas (no caso dos protocolos TCP e UDP) ou com
números de sequência (no caso de ICMP). Este mapeamento é realizado dinamicamente
pelo firewall, cada vez que uma nova conexão for estabelecida. Como existem 65535
portas ou números de sequência distintos é possível à existência de até 65535 conexões
simultâneas ativas utilizando o mesmo endereço.
A única limitação desta tecnologia é que ela não permite que as máquinas internas sejam
acessadas externamente. Todas as conexões devem ser iniciadas internamente.
Quando se utiliza uma conversão de endereço (NAT) no Aker Firewall do tipo “N: 1”, além
da conversão dos endereços IP da rede interna para um único IP válido à Internet, também
é alterado a porta de origem da comunicação.
Toda comunicação baseada no protocolo TCP/IP, tem no mínimo os seguintes

parâmetros:
 IP origem;
 Porta origem;
 IP destino;
 Porta destino.
Exemplo: O endereço IP de um computador é 200.0.0.1 e o endereço IP do site do Terra

(http://www.terra.com.br) é 200.176.3.142, como fica esta conexão:
 IP origem: 200.0.0.1
 Porta origem: Qualquer porta entre 1024 e 65535
 IP destino: 200.176.3.142
 Porta destino: TCP 80 (HTTP)
A partir do Aker Firewall 6.1 Patch 3 ou superior este valor de “Porta origem” quando se
utiliza a conversão de endereço de “N: 1” varia entre os valores 8176 até 63487. Pode-se
alterar esta faixa de portas, conforme demonstrado abaixo:
Solução:
Edite o arquivo “rc.aker” no caminho /aker/bin/firewall. Altere a linha:

309
Insmod $MODNAME
Para: insmod $MODNAME nat_init=20000 nat_end=40000
onde:
 nat_init= < início da porta de origem>

 nat_end= <valor máximo da porta de origem>
Os valores padrões são:
 nat_init= 30720
 nat_end=63472
 1-N
Este tipo de conversão é também chamado de balanceamento de carga e possibilita que

vários servidores sejam colocados atrás de um único endereço IP válido. Cada vez que
uma nova conexão é aberta para esse endereço, ela é redirecionada para um dos
servidores internos. A grande vantagem dessa tecnologia é possibilitar que serviços que
demandam uma grande quantidade de recursos possam ser separados em várias
máquinas e serem acessados de forma transparente, por meio de um único endereço. No
caso de quedas de algumas dessas máquinas, as novas conexões são automaticamente
repassadas para as máquinas que ainda estiverem no ar, implantando com isso
mecanismo de tolerância a falhas.
 N-N
Esta conversão permite que todos os endereços de uma rede sejam convertidos para os
endereços de uma rede virtual automaticamente.
Aplicações da conversão de endereços com o Aker Firewall
O Aker Firewall permite que qualquer tipo de conversão seja realizada, não se limitando
apenas ao endereço válido da interface externa do firewall, mas sim dando total flexibilidade
ao administrador em utilizar qualquer endereço dentro da rede, inclusive fazendo a
conversão entre redes inválidas.
Suponhamos que uma determinada organização receba uma rede de endereços classe C, com
o formato A.B.C.0. Este é um endereço válido que suporta no máximo 254 máquinas (os
endereços A.B.C.0 e A.B.C.255 são reservados para fins específicos e não podem ser
utilizados, sobrando os valores de A.B.C.1 a A.B.C.254). Suponha ainda que esta rede possua
310
1000 máquinas para serem conectadas. Em virtude da impossibilidade de alocar todas as
máquinas no endereço recebido, foi decidido pelo uso da conversão de endereços. Escolheu-
se então um endereço reservado classe A para ser colocado nas máquinas da rede interna, o
10.x.x.x com máscara 255.0.0.0.
O Aker Firewall irá ficar no limite da Internet com a rede interna, que possui endereços
reservados. Ele será o responsável pela conversão dos endereços reservados 10.x.x.x para os
endereços válidos A.B.C.x. Desta forma, o firewall deverá possuir pelo menos dois endereços:
um endereço válido, para que possa ser atingido pela Internet e um reservado, para que possa
ser atingido pela rede interna. (na maioria das instalações, colocam-se duas ou mais placas
de rede no firewall: uma para a rede externa e uma ou mais para a rede interna. Entretanto
é possível, porém não recomendado, fazer esta mesma configuração com apenas uma placa
de rede, atribuindo um endereço válido e um reservado para a mesma placa).
Supondo que seja escolhido o endereço A.B.C.2 para o segmento válido e o 10.0.0.2 para o
segmento reservado. Este endereço válido será utilizado pelo firewall para converter todas as
conexões com origem na rede interna e destino na Internet. Externamente, todas as conexões
serão vistas como se partissem dele.
Outro exemplo seria a de uma organização que possua saídas para a Internet e três classes
de endereços válidos, neste caso o administrador tem a possibilidade de distribuir a
conversão de endereços entre essas três classes, obtendo muito mais flexibilidade na
configuração.
Com a conversão de endereços funcionando, todas as máquinas internas conseguem acessar

qualquer recurso da Internet transparentemente, como se elas próprias possuíssem
endereços válidos. Porém, não é possível para nenhuma máquina externa iniciar uma
conexão para qualquer máquina interna (devido ao fato delas não possuírem endereços
válidos). Para resolver este problema, o Aker Firewall possibilita a configuração de regras de
conversão 1-1, o que permite simular endereços válidos para quaisquer endereços
reservados.
Voltando para o caso da nossa hipotética organização, suponha que em sua rede exista um
servidor WWW, com endereço 10.1.1.5, e que seja desejado que este servidor forneça
informações para a rede interna bem como para a Internet. Neste caso deve-se escolher um
endereço válido para que este possa ser utilizado pelos clientes externos para se conectarem
a este servidor. Suponha que o endereço escolhido tenha sido o A.B.C.10. Deve-se então
acrescentar uma regra de conversão 1-1, de modo a mapear o endereço A.B.C.10 para o
endereço interno 10.1.1.5. A partir deste momento, todos os acessos para A.B.C.10 serão
automaticamente mapeados novamente pelo firewall para 10.1.1.5.
Os endereços válidos escolhidos para realizar a conversão de 1-1 não podem ser atribuídos
a nenhuma máquina real. Desta forma, em nosso exemplo é possível a configuração de até
253 servidores na sua rede interna passíveis de serem acessados externamente (um dos 254
endereços válidos já é usado para que o firewall converta o tráfego de todas as máquinas
clientes).

311
O Aker Firewall utiliza a tecnologia de proxy-arp para possibilitar que os servidores virtuais
sejam tratados pelas máquinas pertencentes à rede válida (por exemplo, o roteador externo),
como se fossem máquinas reais.
Exemplos de configurações usando conversão de endereços:
 Se ligando à Internet com uma linha dedicada
Equipamento: 1 roteador, 1 Aker Firewall, n clientes, 2 servidores na rede interna

Endereço válido: A.B.C.x, máscara da rede 255.255.255.0
Endereço reservado: 10.x.x.x máscara da rede 255.0.0.0
Endereço dos servidores: 10.1.1.1, 10.2.1.1
Endereço dos clientes: 10.x.x.x
Endereços do roteador: Rede válida A.B.C.1 , Internet :x.x.x.x
Configuração do Aker Firewall:
Endereços das placas: rede interna: 10.0.0.2, rede válida A.B.C.2

IP virtual para a conversão N-1: A.B.C.2
Rede privada: 10.0.0.0
Máscara da rede privada: 255.0.0.0
Regras de conversão 1-1:
A.B.C.10 - 10.1.1.1
A.B.C.30 - 10.2.1.1
Figura 227 - Exemplo 1 de configuração do Aker Firewall (interligando departamentos).
Desenho do Exemplo 1
 Interligando departamentos

312
Neste exemplo, iremos mostrar como interligar departamentos de uma mesma empresa,
utilizando um conversor de endereços entre estes departamentos.
Equipamento: 1 roteador, 3 Aker Firewall, n clientes, 4 servidores na rede interna

Endereço válido: A.B.C.x, máscara da rede 255.255.255.0
Endereço reservado: 10.x.x.x máscara da rede 255.255.0.0
Endereço reservado:172.16.x.x, máscara 255.255.0.0
Endereços da sub-rede 1:
10.1.x.x
Endereço do servidor: 10.1.1.1
Endereço dos clientes: 10.1.x.x
Endereços do roteador: Rede válida A.B.C.1 , Internet: x.x.x.x
Rede interna: 10.1.0.1, Rede válida A.B.C.2

IP virtual para a conversão N-1: A.B.C.2
Rede privada: 10.0.0.0
Externamente: 10.1.0.2
Internamente:172.16.x.x

Sub-Rede 2: 172.16.0.1, Sub-rede 1:10.1.0.2

IP Virtual para conversão N-1:10.1.0.2
Rede privada (2): 172.16.0.0
10.2.1.1 - 172.16.1.1

313
Externamente: 10.1.0.3
Internamente:172.16.x.x

Sub-Rede 3: 172.16.0.1, Sub-rede 1:10.1.0.3

IP Virtual para conversão N-1:10.1.0.3
Rede privada (3): 172.16.0.0
10.3.1.1 - 172.16.1.1
Na tabela de roteamento para este tipo de instalação devemos inserir rotas para as sub-
redes 10.1.x.x, 10.2.x.x, 10.3.x.x.
Figura 228 - Exemplo 2 de configuração do Aker Firewall (múltiplas ligações com a Internet).

314
 Múltiplas ligações com a Internet
Neste exemplo bem mais complexo, mostraremos como utilizar três ligações com a Internet
e duas redes internas, utilizando o conversor de endereços entre elas.
Equipamento: 3 roteadores, 1 Aker Firewall, n clientes, 2 servidores na rede DMZ

Endereços válidos: A.B.C.x, D.E.F.x, G.H.I.x, todos com máscara de rede 255.255.255.0
Endereço reservado para a rede interna: 10.x.x.x máscara da rede 255.0.0.0
Endereço reservado para a DMZ:172.16.x.x, máscara 255.255.0.0
Endereços dos roteadores: Rede válida A.B.C.1, D.E.F.1, G.H.I.1, Internet :x.x.x.x
Endereços das placas: Placa 1: 10.0.0.2, Placa 2: 172.16.0.2, Placa 3: A.B.C.2, Placa 4: D.E.F.2,
Placa 5: G.H.I.2
Redes privadas: 10.0.0.0 e 172.16.0.0
Máscara das redes privadas: 255.255.0.0
Servidores da DMZ
Servidor Web - 10.0.0.10
Servidor SMTP - 10.0.0.25
Regras de conversão de Endereços
1. Origem - 10.0.0.10 converte para A.B.C.10 quando for para à Internet

2. Origem - 10.0.0.25 converte para D.E.F.25 quando for para à Internet
3. Origem - 172.16.x.x converte para 10.0.0.4 quando for para rede 10.0.0.0
4. Origem - 172.16.x.x converte para D.E.F.25 quando for para Internet
5. Origem - 10.x.x.x converte para A.B.C.20 quando for para Internet

315
Figura 229 - Exemplo 3 de configuração do Aker Firewall (montando regras de conversão de endereços).
Com o Aker Firewall é possível realizar um balanceamento dos links para realizar um
aproveitamento mais otimizado dos links. O firewall possui mecanismos de verificação de
ativação dos links, sendo possível dividir o tráfego de forma inteligente pelos links ou desviar
totalmente o tráfego daquele que estiver fora do ar.
O administrador também poderá atribuir pesos às suas conexões, ou seja, as conexões mais
rápidas poderão ter um peso maior do que as conexões mais lentas, desta forma o firewall
dará preferência em enviar o tráfego para o link com maior peso.
Montando regras de conversão de endereços para o Aker Firewall
Configurar as regras de conversão de endereços no Aker Firewall é algo fácil em função de

sua concepção inteligente. Toda a parte de endereços IP, máscaras, protocolos e portas são
configurados nas entidades (para maiores informações, veja o capítulo intitulado
Cadastrando Entidades). Devido a isso, ao configurar uma regra, não é necessário se
preocupar com qual porta um determinado serviço utiliza ou qual o endereço IP de uma rede
ou máquina. Tudo isso já foi previamente cadastrado. Para facilitar ainda mais, todos os
serviços mais utilizados na Internet já vêm previamente configurado de fábrica, sendo
desnecessário perder tempo pesquisando os dados de cada um.
Basicamente, para cadastrar uma regra de conversão, deve-se especificar as entidades de

origem e destino, tipo de conversão, interface virtual e serviço (se for o caso).

316
O funcionamento da conversão é simples: o firewall pesquisará uma a uma as regras definidas
pelo administrador, na ordem especificada, até que o pacote se encaixe numa delas. A partir
deste momento, ele executará o tipo de conversão associado à regra. Caso a pesquisa chegue
ao final da lista e o pacote não se enquadre em nenhuma regra então este não será
convertido.
Utilizando a Interface Remota
Para ter acesso a janela de configuração da conversão de endereços, deve-se:
Figura 230 - Janela de configuração da conversão de endereços.
 Clicar no menu Configuração do Firewall.

 Selecionar o item NAT.

317
A janela de configuração de conversão de endereços (NAT)
Figura 231 – Janela de configuração da conversão de endereços (NAT).
A janela de conversão de endereços contém todas as regras de conversão definidas no Aker

Firewall. Cada regra será mostrada em uma linha separada, composta de diversas células.
Caso uma regra esteja selecionada, ela será mostrada em uma cor diferente.
imediatamente.
aberta
 O botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela
seja fechada.
 Existe uma barra para inclusão de comentários relativo à regra de conversão.
 A opção Ativar NAT, se estiver marcada, fará com que o firewall passe a converter os
endereços de acordo com as regras cadastradas. Caso ela esteja desmarcada, nenhum
tipo de conversão de endereços será realizada.
 A barra de rolagem do lado direito serve para visualizar as regras que não couberem na
janela.
 Ao clicar sobre uma regra e selecioná-la, se ela possuir um comentário, este aparecerá na
parte inferior da janela.
 A posição da regra pode ser alterada clicando e arrastando com o mouse para a nova
posição desejada.
A janela possui os seguintes campos:

318
Origem: Neste campo especifica-se a lista de todas as entidades cujos endereços serão
convertidos para o endereço da Entidade Virtual, descrita acima. A conversão 1-1 ou
conversão de serviços permitem que apenas uma entidade seja selecionada para este campo
e esta entidade deve ser do tipo máquina.
Caso esteja utilizando Conversão 1-N ou Conversão de Serviços 1-N, então cada máquina
pertencente a esse campo terá um peso associado a ela, mostrado entre parênteses, à direita
do nome da entidade. Para alterar o peso de uma determinada máquina, ou seja, fazer com
que ela receba mais conexões que as demais, deve-se clicar com o botão direito sobre o nome
da entidade, na lista da direita, selecionar a opção Alterar peso e escolher o novo valor.
O campo Entidade Origem deve sempre conter os endereços internos (reservados ou não
válidos) das máquinas participantes da conversão, independentemente de seu tipo.
Destino: Este campo serve para especificar as entidades para as quais a conversão de
endereços será efetuada (no caso da conversão N-1) ou as máquinas que acessarão as
máquinas internas por meio do endereço contido no campo Entidade Virtual (para os demais
tipos de conversão). Ao criar várias regras com valores distintos nesse campo, faz com que
uma mesma máquina tenha seu endereço convertido em endereços distintos dependendo
do destino da comunicação.
O valor mais comum para esse campo é a especificação da entidade Internet como destino.
Isso fará com que a conversão de endereços selecionada na regra seja efetuada para todas as
máquinas externas.
Opções: Tipo de nat que será utilizado.
Entidade Virtual: Neste campo deve-se configurar a entidade para a qual os endereços
internos serão convertidos ou para o qual as requisições externas devem ser direcionadas. A
entidade virtual deverá sempre ser uma entidade do tipo máquina.
Serviços: Este campo define quais os serviços que farão parte da regra, quando for utilizado
o tipo de conversão de Serviços, N-1 serviços ou 1-N com Serviços. A janela ficará desabilitada
para os demais tipos de conversão.
Serviço Virtual: Serviço que sofrerá a conversão, somente utilizado em Nat de porta.
Balanceamento de link: Este campo permite habilitar ou desabilitar o balanceamento de link.

As configurações do balanceamento devem ter sido realizadas quando for selecionada esta
opção.
Comentário: Reservado para colocar uma descrição sobre a regra. Muito útil na
documentação e manutenção das informações sobre sua utilidade.
A janela de configuração de Balanceamento de Link

319
Figura 232 - Janela de configuração de balanceamento de link.
imediatamente.
aberta
seja fechada.
Esta aba possui os seguintes campos:
Nome: Neste campo dever ser informado um nome para representar o link de acesso à
Internet.
Tipo: Este campo informa qual o tipo da configuração e pode assumir dentre dois valores
possíveis, "estático" ou "dinâmico".
Quando o link for estático é obrigatório cadastrar uma entidade de rede e uma entidade
de máquina (gateway) sendo, neste, caso não permitido o cadastro de entidade de interface
de rede. Quando o link for dinâmico, a situação se inverte, sendo o usuário obrigado a
cadastrar uma entidade do tipo interface, sendo que o cadastro de entidades do tipo rede e
máquina (gateway) não são permitidos.
Rede: Cadastre a rede que a operadora forneceu;

320
Gateway: O IP do roteador da operadora deve ser informado (neste caso o firewall fará uma
crítica para verificar se o gateway realmente pertence à rede da operadora);
Interface: Esse campo é utilizado para o cadastro da entidade do tipo interface de rede, a qual
irá representar o link dinâmico.
Peso: Indica um valor a ser atribuído ao link. Quando os pesos são maiores pressupõe que os
links sejam mais rápidos.
Checar host 1: Nesse campo deve ser cadastrada uma entidade que tenha certeza que esteja
logo a seguir do roteador da operadora, de preferência dentro de um ou dois saltos de seu
roteador. Esta entidade será utilizada pelo firewall para determinar se o link está no ar ou
não. Pode ser cadastrado um servidor DNS da operadora ou mesmo roteadores próximos.
Checar host 2 e Checar host 3: Entidades de verificação também utilizadas pelo firewall. Não
é obrigatório que estejam cadastradas as três entidades de verificação, contudo, quanto mais
entidades cadastradas melhor para o sistema de verificação do firewall.
Para executar qualquer operação sobre uma determinada regra, basta clicar com o botão
direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu será acionado sempre
que o botão direito for pressionado, mesmo que não exista nenhuma regra selecionada.
Neste caso, somente as opções Incluir e Colar estarão habilitadas).

321
Figura 233 - Janela de configuração para adicionar entidades.
 Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova será inserida na posição da regra selecionada. Caso contrário, a nova
regra será incluída no final da lista.
 Copiar: Copiar a regra selecionada para uma área temporária.
 Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver selecionada, a
nova será copiada para a posição da regra selecionada. Caso contrário ela será copiada
para o final da lista.
 Habilita/Desabilita: Permitir habilitar/desabilitar a regra selecionada, ou seja, ela
permanecerá cadastrada, mas o Firewall se comportará como se a mesma não existisse
(no caso do Disable) e prosseguirá a pesquisa na regra seguinte.
 Adicionar entidades: No ponto em que for realizado o clique do mouse, será possível
inserir a entidade no campo correspondente da regra de conversão. Apenas certo número
de entidades poderá ser visualizado. Para escolher outra entidade faça a rolagem da janela
na barra correspondente.
Dica: O método mais prático para o administrador montar sua regra de conversão será
arrastando diretamente as entidades para dentro da regra.

322
Dica 2: A posição de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a
nova posição desejada, soltando em seguida. Observe que o cursor de indicação do mouse
irá mudar para uma caixa pontilhada.
No caso de inclusão ou edição de regras, será mostrada a janela de propriedades, descrita na

seção abaixo:
A janela de inclusão de regras de NAT
Figura 234 - Janela de inclusão de regras de NAT.
Tipos de NAT: Neste campo é definido o tipo de conversão que a regra realizará. Ela possui
as seguintes opções:
 Sem Conversão: Esta opção indica ao firewall que não deve haver conversão de endereços
quando qualquer uma das máquinas pertencentes às Entidades Origem for acessar
qualquer uma das máquinas pertencentes às Entidades Destino e vice-versa.
 Conversão 1-1: Esta opção indica ao firewall que quando a máquina listada nas Entidades
Origem for acessar qualquer uma das máquinas pertencentes às Entidades Destino ela
terá seu endereço convertido para o endereço da Entidade Virtual. Todas as vezes que
uma máquina pertencente às Entidades Destino acessar o endereço da Entidade Virtual,
esse último será automaticamente convertido para o endereço real, definido pela

323
entidade presente nas Entidades Origem. Este tipo de conversão é útil para possibilitar o
acesso externo a servidores internos.
Nas Entidades Origem deve-se colocar uma entidade com o endereço real (interno,
reservado) da máquina para a qual se fará conversão de 1-1. Na Entidade Virtual deve-se
colocar uma entidade com o endereço para o qual o endereço interno será convertido
(endereço válido) e que será acessado pelas máquinas externas.
 Conversão N-1: Esta opção indica ao firewall que quando qualquer máquina listada nas
Entidades Origem for acessar qualquer uma das máquinas pertencentes às Entidades
Destino ela terá seu endereço convertido para o endereço da Entidade Virtual. Este tipo
de conversão é útil para possibilitar que um grande número de máquinas utilize apenas
um endereço IP válido para se comunicar por meio da Internet, entretanto ela não permite
com que máquinas externas (listadas nas Entidades Destino) iniciem qualquer
comunicação com as máquinas internas (listadas nas Entidades Origem).
Quando o módulo de Cluster Cooperativo estiver funcionado na conversão de N-1, o IP da

entidade virtual não pode ser nenhum dos atribuídos às interfaces do firewall.
 Conversão de Serviços: Esta opção é útil para redes que dispõem de apenas um endereço
IP e necessitam disponibilizar serviços para à Internet. Ela possibilita que determinados
serviços, ao serem acessados no firewall, sejam redirecionados para máquinas internas.
No campo Entidades Origem, deve-se colocar o endereço IP interno (real) da máquina para a
qual os serviços serão redirecionados. No campo Entidades Destino, deve-se colocar as
máquinas que irão acessar os serviços externamente. No campo Serviços, deve-se escolher
todos os serviços que serão redirecionados para a máquina presente em Entidades Origem
quando uma máquina presente nas Entidades Destino acessá-los no endereço IP da Entidade
Virtual.
Quando o módulo de Cluster Cooperativo estiver funcionado não é possível à conversão

de serviços.
 Conversão 1-N: Esta opção é utilizada para fazer balanceamento de carga, ou seja,
possibilitar que várias máquinas respondam como se fossem uma única.
No campo Entidades Origem deve-se colocar a lista de máquinas que farão parte do
balanceamento e que passarão a responder como se fossem uma única. No campo
Entidades Destino, deve colocar as máquinas que irão acessar as máquinas internas pelo
endereço especificado na entidade presente no campo Entidade Virtual.

324
Figura 235 - Janela de configuração para ações que deseja ser realizada.
 Conversão 1:N para serviços: Esta opção é utilizada para fazer balanceamento de carga
para determinados serviços, ou seja, possibilitar que várias máquinas respondam a
requisições destes serviços como se fosse uma única.
 Porta: Para efetuar conversões não somente de endereços ip, mas também de portas para
conexão, utiliza-se este tipo de nat, que também é conhecido com PAT (port address
translation).
 1:N para Porta: Faz balanceamento de servidores efetuando conversões não somente de
endereços ip, mas também as portas de conexão, sendo que após a conversão os acessos
são distribuídos entre os servidores que fazem parte do balanceamento.
 Conversão N:N: Esta opção indica ao firewall que os endereços pertencentes à rede
listada nas Entidades Origem, ao acessar qualquer uma das máquinas pertencentes às
Entidades Destino, serão convertidos para os endereços da rede no campo Entidade
Virtual, ou seja, nesta conversão deve-se usar uma entidade de rede na coluna origem e
uma entidade de rede na coluna entidade virtual. O campo destino pode ser preenchido
da mesma maneira como é realizado para os demais tipos de NAT.
Além disso, as máscaras de rede da entidade de origem e da entidade virtual precisam ser
iguais para que o NAT funcione. Por exemplo:
IP Máscara de rede
Origem 192.168.0.0 255.255.255.0
Entidade virtual 172.16.0.0 255.255.255.0
Figura 236 - Máscaras de rede da entidade de origem e virtual devem ser iguais.
 Nesse caso, todos os IPs da rede 192 serão convertidos para a 172.

325
A opção Avançado, que somente estará habilitado quando selecionar a conversão de
endereços 1-N ou Conversão de serviços 1-N, permite configurar os parâmetros do
monitoramento que será realizado pelo firewall a fim de detectar se as máquinas
participantes do balanceamento estão no ar ou não e como o balanceamento será realizado.
Ao clicar neste botão, a seguinte janela será mostrada:
Figura 237 - Configuração dos parâmetros de monitoramento a ser realizado pelo firewall.
O campo Tipo de monitoramento, permite definir o método utilizado pelo firewall para
verificar se as máquinas participantes do balanceamento (máquinas definidas no campo
Entidades Origem) estão no ar. Ela consiste das seguintes opções:
Sem monitoramento: Se essa opção for selecionada, o firewall não monitorará as máquinas
e assumirá que elas estão sempre ativas.
Pacotes Ping: Se essa opção for selecionada, o firewall monitorará as máquinas por meio de
pacotes ICMP de Echo Request e Echo Reply (que também são utilizados pelo comando PING,
daí o nome dessa opção).
Pedidos HTTP: Se essa opção for selecionada, o firewall monitorará as máquinas por meio de
requisições HTTP. Nesse caso, deve-se especificar a URL (sem o prefixo http://) que o firewall
tentará acessar em cada máquina para verificar se ela está ativa ou não.
Algoritmo de balanceamento de carga: Esse campo permite definir o método utilizado para
balancear as requisições entre as máquinas presentes no campo Entidades Origem. Ele
consiste das seguintes opções:

326
Round - Robin: Quando selecionada essa opção, o firewall distribuirá sequencialmente as
requisições para as máquinas participantes do balanceamento, uma a uma. Caso as máquinas
tenham pesos diferentes, primeiro será distribuída uma conexão para cada máquina, a seguir
uma conexão para cada máquina que recebeu um número de conexões menor que seu peso
e assim sucessivamente. Quando todas as máquinas receberem o número de conexões
equivalente a seu peso, o algoritmo se inicia.
Aleatório: Quando selecionada essa opção, o firewall distribuirá as conexões de forma

randômica entre as máquinas, ou seja, a probabilidade de uma conexão ser redirecionada
para uma determinada máquina é igual à razão entre seu peso e o peso total de todas as
máquinas.
Persistência entre conexões: Esse campo permite definir o tempo de persistência da sessão
em protocolos ou aplicativos que utilizem mais de uma conexão em tempos diferentes, ou
seja, o tempo máximo de espera por uma nova conexão após o término da primeira. Neste
intervalo de tempo as novas conexões serão direcionadas pelo firewall ao mesmo servidor.
Observações sobre a montagem das regras
É altamente recomendável que as regras de conversão sejam colocadas na seguinte ordem:
1. Regras de Não Conversão;

2. Regras de Conversão de Serviços;
3. Regras de Conversão 1-1 e de N-N;
4. Regras de Conversão de Serviços 1-N;
5. Regras de Conversão 1-N;
6. Regras de Conversão N-1;
7. Regras de Conversão N-N.
É necessária a inclusão de uma regra de Não Conversão com origem nas redes internas e
destino nas próprias redes internas caso se pretenda administrar o firewall por uma máquina
interna que participará de qualquer tipo de conversão. Essa regra deverá estar antes das
demais regras de conversão.
Exemplos - Cenário 1 - Conversão de Endereços
Suponha que uma empresa possua as máquinas e serviços abaixo e deseja implementar a
conversão de endereços. A empresa possui uma conexão dedicada com à Internet e seu
provedor distribuiu uma faixa de endereços IP válidos na Internet de 200.120.210.0 até
200.120.210.63.
Na regra 1 colocamos as redes internas da empresa (DMZ e Interna) em não tradução. Esta
regra possibilita que caso alguma máquina interna da rede for administrar o firewall o seu
endereço não é convertido e a administração seja possível. Estaria também correto em

327
especificar as máquinas que são administradoras (Entidade Origem) e a interface por onde
iremos administrar o firewall (Entidade de Destino) com a opção de "Sem tradução".
Na regra 2 o servidor servidor web fará uma conversão de 1:1 para o endereço
200.120.210.15, ou seja, caso alguém da Internet procure pelo IP 200.120.210.15 será
enviado para o servidor web (IP 10.20.0.50). Do mesmo modo caso o servidor web origine
uma conexão para Internet o seu IP será 200.120.210.15.
A regra 3 é idêntica à regra 2, o servidor 01 fará conversão de 1:1 para o endereço

200.120.210.25.
A regra 4 é o exemplo de balanceamento de carga. Alguém da Internet procurando pela

máquina 200.120.210.20 será enviado para o NT3, NT2 ou NT1. Isto dependerá do cálculo a
ser realizado pelo firewall. No caso abaixo os pesos são diferentes, portanto a máquina NT3
que possui o peso 4 é a que receberá a maior quantidade de conexões. Caso as máquinas NT
tenham de originar conexões para Internet, elas também terão seus endereços convertidos
para 200.120.210.20.
A regra 5 é de conversão de N:1, ou seja qualquer máquina da Rede_Interna (10.20.0.0 com

máscara 255.255.255.0) terá o seu endereço convertido para 200.120.210.16 quando as
mesmas originarem conexão para à Internet. No entanto a recíproca não é verdadeira, caso
alguém da Internet venha procurando conexão para o IP 200.120.210.16 o firewall não
enviará para nenhuma máquina da rede interna e irá descartar os pacotes para esta conexão,
pois o mesmo não sabe para qual máquina enviar a requisição.
Cabe ressaltar que a ordem das regras é de extrema importância. Vamos supor que a regra 2
seja movida para a última posição. Neste caso alguém que viesse procurando pela máquina
200.120.210.15 seria enviado para o sevidor web, entretanto quando o sevidor web fosse
originar uma conexão para à Internet o mesmo teria seu endereço convertido para
200.120.210.16, pois a regra da antiga posição 5 é que iria atender primeira a conversão.

328
Figura 238 - Exemplo 1, conversão de endereços.
Exemplos - Cenário 2 - Conversão de Serviços
Suponha agora que a empresa não possua uma faixa de endereços IP da Internet e sim um
Único IP válido. Neste caso é conveniente fazer a conversão de serviços. Com este tipo de
configuração poderá ser realizado um aproveitamento deste único IP para diversos tipos de
serviços. No caso o IP é o 200.120.210.15.
A regra 1, foi colocada pelos mesmos motivos citados no cenário anterior.
Na regra 2, alguém da Internet esteja procurando pela máquina 200.120.210.15 e na porta

do servidor FTP (21/TCP). Neste caso o firewall irá enviar a conexão para a máquina server1.
Na regra 3, alguém da Internet está procurando pela mesma máquina 200.120.210.15, porém
na porta do SMTP (25/TCP). O firewall irá mandar esta conexão para o endereço da entidade
Correio_SMTP.
Já a regra 4 possibilita que o servidor web da empresa seja acessado pela porta HTTP
(80/TCP).
A regra 5 é um exemplo do balanceamento de carga utilizando uma porta de serviço. Neste

caso alguém da Internet está procurando acesso ao IP 200.120.210.15 para o serviço web

329
seguro (443/TCP), sendo que há três servidores para atender a requisição, no caso NT1, NT2
e NT3. Os princípios para atender estas conexões são os mesmos já explicados no cenário
anterior.
Finalizando, a regra 6 permite que qualquer outra máquina origine conexão para Internet, no
caso sendo visualizado o IP 200.120.210.15 no destino.
Apesar de ser possível utilizar a conversão de serviços no caso do cenário 1, a Aker recomenda
que esta configuração seja utilizada no caso da empresa possuir somente um único endereço
IP válido para Internet.
Figura 239 - Exemplo 2, conversão de serviços.
Exemplos - Cenário 3 - Balanceamento de Link
Neste cenário será descrito como realizar o balanceamento de links. Suponha que a empresa
possua dois prestadores de conexão IP para Internet, por exemplo, Embratel e Intelig. No caso
cada operadora forneceu sua faixa de endereço IP para a empresa.
Primeira Fase - Montagem do Balanceamento
O administrador do firewall então irá realizar o cadastramento e informar as seguintes

entidades e campos:

330
 Nome: Informe um nome para representar o link de acesso à Internet;
 Tipo: Este campo informa qual o tipo da configuração e pode assumir dentre dois valores
possíveis, "estático" ou "dinâmico";
 Rede: Cadastre a rede que a operadora forneceu;
 Gateway: O IP do roteador da operadora deve ser informado (neste caso o firewall fará
uma crítica para verificar se o gateway realmente pertence à rede da operadora);
 Interface: Esse campo é utilizado para o cadastro da entidade do tipo interface de rede, a
qual irá representar o link dinâmico;
 Peso: Um valor a ser atribuído ao link. Quando os pesos são maiores pressupõe que links
sejam mais rápidos.
 Verificar máquina1: Cadastre uma entidade que tenha certeza que esteja logo a seguir do
roteador da operadora, de preferência dentro de um ou dois saltos de seu roteador. Esta
entidade será utilizada pelo firewall para determinar se o link está no ar ou não. Pode ser
cadastrado um servidor DNS da operadora ou mesmo roteadores próximos.
 Verificar máquina2 e Verificar máquina3: Entidades de verificação também utilizadas
pelo firewall. Não é mandatório que estejam cadastradas as três entidades de verificação,
contudo quanto mais entidades cadastradas, melhor para o sistema de verificação do
firewall.
Figura 240 - Balanceamento de link (primeira fase).
Segunda Fase - Montagem das Regras de NAT
A segunda fase da montagem é bem simples, bastando colocar em cada regra de conversão
duas ou mais entidades virtuais, uma com endereço de cada prestador de serviço.

331
Não se esqueça de habilitar na coluna Balanceamento de links o ícone correspondente para
que o serviço possa ser realizado pelo firewall. Cabe ressaltar que o firewall também realizará
uma crítica para determinar se realmente a Entidade Virtual pertence a um link previamente
cadastrado.
Uma limitação desta implementação é quanto à origem da conexão pela Internet. Os DNS
devem ter entradas duplas de IP e devem trabalhar em modo Round-Robin. O problema está
quando um link de determinada operadora cai, o firewall não tem como desviar as conexões
que são originadas pela Internet. Para contornar este problema o administrador poderia
utilizar de scripts para remover do DNS o IP da operadora que esteja fora do ar, pois o firewall
passa para o log de eventos desta informação.
Figura 241 - Montagem das regras do NAT (Segunda fase).
8.2. Utilizando a Interface Texto (via SSH-fwnat)
A Interface Texto (via SSH) de configuração da conversão de endereços é relativamente

simples e tem as mesmas capacidades da Interface Remota, exceto pelo fato de não ser
possível configurar os parâmetros de monitoramento (E possível usar todos os comandos sem
o prefixo “FW”, para isso execute o comando “fwshell”, então os comandos poderão ser
acessados sem o prefixo “FW”).
Localização do programa: /aker/bin/firewall/fwnat

332
Sintaxe:
Firewall Aker fwnat - Configura regras de conversão de endereços (NAT)
Uso: fwnat [ajuda | mostra | ativa | desativa]

fwnat [habilita | desabilita | remove] <pos>
fwnat inclui <pos> 1-1 <origem> <destino> [<entidade virtual> |
-bal <ev_1> <ev_2> ...]
fwnat inclui <pos> n-1 <origem> <destino> [<entidade virtual> |
-bal <ev_1> <ev_2> ...]
fwnat inclui <pos> serviços <origem> <destino> [<entidade virtual> |
-bal <ev_1> <ev_2> ...] <servico1>...<servico2>
fwnat inclui <pos> portas <origem> <destino> [<entidade virtual> |
-bal <ev_1> <ev_2> ...] <servico> <servico virtual>
fwnat inclui <pos> sem_conversao <origem> <destino>
fwnat inclui <pos> 1-n <origem1>...<origem2> <destino> [<entidade virtual> |
-bal <ev_1> <ev_2> ...] <round-robin | randomico> <persist>
nenhum | ping | HTTP <URL>>
fwnat inclui <pos> n-n <origem> <destino> [<entidade virtual> | -bal <ev_1> <ev_2> ...]
Ajuda do programa:
desativa = desativa conversão de endereços

mostra = mostra todas as regras da tabela de conversão
inclui = inclui uma nova regra de conversão
habilita = habilita uma regra de conversão desabilitada
desabilita = desabilita uma regra de conversão existente
remove = remove uma regra de conversão existente
ajuda = mostra esta mensagem Para inclui temos:
pos = posição onde incluir a nova regra na tabela
(Pode ser um inteiro positivo ou a palavra FIM para incluir no final da tabela)
sem_conversão = não realiza conversão entre a origem e o destino
1-1 = realiza conversão de servidores. Neste caso a origem deve

ser obrigatoriamente uma entidade do tipo máquina
n-1= realiza conversão de clientes
serviços = realiza conversão apenas para os serviços citados.

Neste caso a origem deve ser obrigatoriamente uma entidade do
tipo máquina
portas = realiza conversão apenas para o serviço citado.

Neste caso a origem deve ser obrigatoriamente uma entidade do

333
tipo máquina. Além disso, o serviço visível externamente
será o <serviço virtual>
1-n = realiza balanceamento de carga, ou seja, possibilita que

as várias máquinas origem sejam acessadas pelo endereço
IP configurado na entidade virtual, como se fossem uma só
máquina
n-n = Esta conversão permite que todos os endereços de uma rede

sejam convertidos para os endereços de uma rede virtual automaticamente.
serviço 1 = lista de nomes dos serviços para a nova regra. São aceitos
apenas serviços dos protocolos TCP ou UDP
Para habilita / desabilita / remove temos: :
pos = número da regra a ser habilitada, desabilitada ou removida da tabela
Para conversão 1-n temos:
round-robin = Utiliza algoritmo round-robin para o balanceamento das conexões

randômico = Utiliza algoritmo randômico para o balanceamento das conexões
persist = Tempo de persistência (mins) de servidor destino para
conexões originadas do mesmo cliente
nenhum = Não monitora as máquinas origem, isto é, considera que elas estão sempre ativas
ping = Monitora as máquinas origem por meio de pings
HTTP = Monitora as máquinas origem por meio de conexões HTTP
URL = Especifica qual a URL deve utilizada para monitorar as
máquinas, no caso de se utilizar monitoramento HTTP.
Exemplo 1: (Mostrando a configuração)
#/aker/bin/firewall/fwnat mostra
Parâmetros Globais:
-------------------
Conversão de endereços: Ativada
Regras de Conversão:
--------------------

334
Regra 01
--------
Tipo: sem_conversao
Origem: Rede Interna
Destino: Rede Interna
Regra 02
--------
Tipo: serviços
Origem: Server
Destino: Internet
Entidade virtual: Firewall - interface externa
Serviços: MYSQL POP3 SMTP
Regra 03
--------
Tipo: 1-1
Origem: Web Server_001
Destino: Internet
Entidade virtual: External Web server
Regra 04
--------
Tipo: n-n
Origem: rede1
Destino: internet
Entidade Virtual: rede2
Regra 05
--------
Tipo: 1-n
Origem: server1, server2, server3
Destino: Internet
Entidade virtual: Virtual Server
Balanceamento: randômico Monitoramento: http
URL: www.aker.com.br
Regra 06

335
--------
Tipo: n-1
Origem: Rede Interna
Destino: Internet
Entidade virtual: Firewall - interface externa.
Exemplo 2: (Incluindo uma regra de conversão 1-1 no final da tabela. Mapeando o servidor
SMTP Server, com endereço reservado para o External Server, com endereço válido para
todas as máquinas da Internet).
#/aker/bin/firewall/fwnat inclui fim 1-1 "SMTP Server" Internet "External Server”

Exemplo 3: (Incluindo uma regra de conversão n-n na posição 5).
#/aker/bin/firewall/fwnat inclui 5 n-n rede1 internet rede2.

Regra incluída na posição 5.
Exemplo 4: (Incluindo uma regra de conversão de serviços no início da tabela).
#/aker/bin/firewall/fwnat inclui 1 Serviços "Server 2" Internet "External Server 2" Telnet FTP
Exemplo 5: (Removendo a regra 3).
#/aker/bin/firewall/fwnat remove 3
Regra 5 removida
Exemplo 6: (Incluindo uma regra de conversão 1-N, balanceamento, mapeando os

servidores srv01 e srv02 em uma máquina externa chamada de srv_externo, para todas as
máquinas da Internet, e monitorando via ping).
#/aker/bin/firewall/fwnat inclui 4 1-N srv01 srv02 Internet srv_externo round-robin ping


336
8.3. Utilizando o Assistente de Configuração NAT
O assistente de configuração NAT pode ser acionado tanto pela barra de ferramentas como
pelo menu. As janelas abaixo irão solicitar diversas informações de modo que a conversão
seja configurada.
1 - A janela inicial informa sobre o que é o NAT. Clique no botão Próximo para continuar com
a configuração.
Figura 242 - Mensagem de boas-vindas ao Assistente de configuração de NAT.

337
2 - Informe às redes que necessitarão acessar a Internet.
Figura 243 - Seleção das redes que tem a necessidade de acessar à Internet compartilhando um endereço IP.

338
3 - Escolha o IP da Máquina virtual para realizar a conversão N-1.
Figura 244 - Seleção do IP da máquina virtual para realizar a conversão de N-1.

339
4 - Escolha a opção Sim caso queira configurar os servidores que devem aparecer para
Internet.
Figura 245 - Mensagem se deseja configurar os servidores acessíveis externamente.

340
5 - Escolha a entidade para aparecer para a Internet.
Figura 246 - Escolha da entidade que deseja tornar acessível na internet.

341
6 - Escolha o IP da Máquina virtual ao qual o servidor será mostrado para Internet.
Figura 247 - Escolha do endereço IP utilizados por máquinas externas a ser utilizado no servidor.

342
7 - Esta tela irá permitir que mais servidores sejam configurados.
Figura 248 - Escolha para configurar mais servidores.

343
8 - Tela de finalização do Assistente e as regras que foram criadas pelo mesmo.
Figura 249 - Finalização do assistente de regras.

344
Criando canais de criptografia

345
9. Criando canais de criptografia
Este capítulo mostra como configurar as regras que propiciarão a criação de canais seguros
de comunicação na Internet. Estes canais seguros são usados para interligar instituições pela
Internet de forma a permitir que os dados fluam entre elas sem o risco de serem lidos ou
alterados por estranhos.
9.1. Nat Transversal
Network Address Translation (NAT) é a tradução do endereço IP.
Esta tradução pode ocorrer por muitos motivos, mas principalmente para que estações
utilizando endereçamento privado (RFC 1918) acessem à Internet. Dessa forma, se a estação
10.10.10.1 necessita acessar um servidor na internet, então será necessário traduzir o
endereço 10.10.10.1 para um endereço publicamente conhecido. Como os principais
protocolos de transporte (no caso, TCP e UDP) utilizam o conceito de multiplexação por meio
de portas de origem e destino, então podemos utilizar somente um endereço IP público para
traduzir vários endereços privados (NAT masquerade ou NAT Hide), utilizando portas
diferentes e armazenando todas estas informações em uma tabela de conexões.
Entretanto, o protocolo ESP (utilizado no IPSEC) não utiliza o mesmo conceito de portas
utilizado nos protocolos TCP e UDP e, portanto, não é possível fazer a tradução de endereço
e utilizar a informação de portas de origem e destino como forma de multiplexação das
conexões. Para que uma conexão VPN funcione quando existe um equipamento fazendo NAT
(Hide ou muitos-para-um) entre os pontos que estão estabelecendo a VPN é necessário que
haja um mecanismo para garantir que os pacotes serão traduzidos adequadamente, desde a
origem até o destino final. Este mecanismo é chamado de NAT Transversal.
De uma forma bem simples, o NAT Transversal primeiramente verifica se os dois

equipamentos que estão estabelecendo a conexão possuem suporte para NAT Transversal,
em seguida os dois equipamentos devem detectar se existe ou não a tradução de endereços.
Por fim, deve-se negociar os parâmetros do protocolo (portas utilizadas para
encapsulamento, utilização de cookies, etc) e em seguida iniciar a transmissão de dados
utilizando pacotes encapsulados. Todo este processo está descrito no RFC 3947 - Negotiation
of NAT-Traversal in the IKE.
Este recurso pode ser utilizado com conexões VPN do tipo gateway-to-gateway ou client-to-
gateway e deve ser verificado na documentação do equipamento se o mesmo suporta NAT
Transversal ou UDP Encapsulation (expressão também utilizada por alguns fabricantes).

346
O Aker Firewall realizará a detecção automática da necessidade de utilizar o NAT
Transversal para o estabelecimento do túnel.
Para desativar o uso do NAT Transversal no Aker Firewall é necessário iniciar o daemon
"fwiked" com a opção -T, ficando: "aker/bin/firewall/fwiked-T".
9.2. Planejando a instalação.
O que é e para que serve um canal seguro de dados?
A Internet é uma rede mundial composta de milhares de máquinas espalhadas por todo o
mundo. Quando duas máquinas quaisquer estão se comunicando, todo o tráfego entre elas
passa por diversas outras máquinas (roteadores, switches, etc.) desde sua origem até seu
destino. Na quase totalidade das vezes, a administração destas máquinas intermediárias é
realizada por terceiros e nada se pode afirmar quanto a sua honestidade (na maioria das
vezes, não é nem possível saber antecipadamente por quais máquinas os pacotes passarão
até atingir seu destino).
Qualquer uma destas máquinas que estiver no caminho dos pacotes pode visualizar seu
conteúdo e/ou alterar qualquer um destes. Isto é um problema sério e sua importância é
aumentada ainda mais quando existe a necessidade de transmitir dados confidenciais e de
grande impacto.
Para resolver este problema, pode-se usar um canal seguro de dados. Um canal seguro de
dados pode ser visto como se fosse um túnel. De um lado são colocadas as informações que
só poderão ser lidas novamente após saírem do outro lado.
Na prática, o que é realizado é dar um tratamento especial aos dados a serem transmitidos
de modo que estes não possam ser alterados durante seu caminho (autenticação), nem
visualizados (criptografia). A combinação das duas técnicas produz dados invisíveis e
imutáveis para qualquer máquina que se encontre no caminho dos pacotes, da origem ao
destino.
O que é criptografia?
Criptografia é a combinação de uma chave com um algoritmo matemático baseado em uma

função unidirecional. Este algoritmo é aplicado aos dados, juntamente com a chave, de modo
a torná-los indecifráveis para qualquer um que os veja. O modo que isso é realizado garante
que somente é possível obter os dados originais caso possua o algoritmo e a chave usados
inicialmente.
Ao manter um destes dois componentes secretos (no caso, a chave), torna impossível a
visualização dos dados por terceiros.

347
O que é autenticação?
Autenticação é também a combinação de uma chave com um algoritmo matemático baseado

em uma função unidirecional. A diferença em relação à criptografia é que este algoritmo,
quando aplicado sobre os dados, não produz dados indecifráveis, mas sim uma assinatura
digital para estes. Essa assinatura é gerada de tal forma que qualquer pessoa que desconheça
o algoritmo ou a chave utilizada para gerá-la seja incapaz de calculá-la.
Quando a assinatura digital é gerada, ela passa a ser transmitida para o destino junto com os
dados. Caso estes tenham sofrido quaisquer alterações no caminho, o recipiente quando
calcular a assinatura digital dos dados recebidos e compará-la com a assinatura recebida irá
perceber que as duas são diferentes e concluir que os dados foram alterados.
A autenticação é uma operação bastante rápida quando comparada com a criptografia,

porém ela sozinha não consegue impedir que os dados sejam lidos. Ela deve ser usada apenas
nos casos onde necessita confiabilidade dos dados, mas não sigilo. Caso necessite de ambos,
usa-se autenticação em conjunto com a criptografia.
O que é certificação digital?
Por meio do processo de autenticação descrito acima é possível garantir a origem das
mensagens em uma comunicação entre duas partes. Entretanto, para que isso seja possível é
necessário que as entidades que estão se comunicando já tenham previamente trocado
informações por meio de algum meio fora do tráfego normal dos dados. Esta troca de
informações normalmente consiste no algoritmo a ser utilizado para a autenticação e sua
chave.
O problema surge quando é necessário assegurar a origem das mensagens de uma entidade
com a qual nunca existiu comunicação prévia. A única forma de resolver este problema é
delegar a uma terceira entidade o poder de realizar estas autenticações (ou em termos mais
técnicos, realizar a certificação da origem de uma mensagem). Esta terceira entidade é
chamada de Entidade Certificadora e para que seja possível ela assegurar a origem de uma
mensagem, ela já deve ter realizado uma troca de informações com a entidade que está sendo
certificada.
O que é um certificado digital?
Certificado digital é um documento fornecido pela Entidade Certificadora para cada uma das
entidades que irá realizar uma comunicação, de forma a garantir sua autenticidade.
Tipos de algoritmos de autenticação e criptografia

348
Atualmente existem inúmeros algoritmos de autenticação e criptografia. Neste tópico serão
mostrados apenas os algoritmos suportados pelo Aker Firewall.
Cabe comentar que um dos parâmetros para medir a resistência de um algoritmo é o tamanho
de suas chaves. Quanto maior o número de bits das chaves, maior o número de possíveis
combinações e, teoricamente, maior é a resistência do algoritmo contra ataques.
Algoritmos de autenticação:
 MD5
MD5 é a abreviatura de Message-Digest 5. Ele é um algoritmo criado e patenteado pela

RSA Data Security, Inc, porém com uso liberado para quaisquer aplicações. Ele é usado
para gerar assinaturas digitais de 128 bits para mensagens de qualquer tamanho e é
considerado um algoritmo bastante rápido e seguro.
 SHA
SHA é a abreviatura de Secure Hash Algorithm. Ele é um algoritmo que gera assinaturas
digitais de 160 bits para mensagens de qualquer tamanho. Ele é considerado mais seguro
que o MD5, porém tem uma performance em média 50% inferior (na implementação do
Aker Firewall).
A versão implementada pelo Aker Firewall é o SHA-1, uma revisão no algoritmo inicial para
corrigir uma pequena falha. Entretanto ele será chamado sempre de SHA, tanto neste
manual quanto nas interfaces de administração.
Algoritmos de criptografia simétricos:
Os algoritmos de criptografia simétricos são utilizados para encriptar fluxos de informações.

Eles possuem uma única chave que é utilizada tanto para encriptar quanto para desencriptar
os dados.
 DES
O algoritmo DES é um anagrama para Data Encription Standard, foi criado pela IBM na
década de 70 e foi adotado pelo governo americano como padrão até recentemente. Ele
é um algoritmo bastante rápido em implementações de hardware, porém não tão rápido
quando implementado em software. Suas chaves de criptografia possuem tamanho fixo
de 56 bits, número considerado pequeno para os padrões atuais. Devido a isso, deve-se
dar preferência a outros algoritmos em caso de aplicações críticas.

349
 Triplo DES ou 3DES
Este algoritmo consiste na aplicação do algoritmo DES três vezes, usando três chaves
distintas, sobre os mesmos dados. Isto equivale a se utilizar um algoritmo com chave de
112 bits, o que representa uma segurança extremamente maior do que a oferecida pelo
DES. O problema deste algoritmo é que ele é duas vezes mais lento que o DES (na
implementação utilizada no Aker Firewall).
 AES
O algoritmo AES foi escolhido dentre muitos concorrentes pelo NIST para substituir o já
inseguro e ineficiente DES. AES é um anagrama para Advanced Encryption Standard. O
algoritmo escolhido em concurso foi o Rijndael, e ele utiliza 256 bits de chave, sendo ao
mesmo tempo muito mais seguro e rápido que o DES ou mesmo o 3DES.
O Aker Firewall trabalha com o AES utilizando chaves de 256 bits, o que garante um nível
altíssimo de segurança. Ele é a escolha recomendada.
 Blowfish
O algoritmo Blowfish foi criado como uma possível substituição ao DES. Ele é um algoritmo
extremamente rápido (quando comparado com outros algoritmos de criptografia),
bastante seguro e pode trabalhar com vários tamanhos de chaves, de 40 a 438 bits.
O Aker Firewall trabalha com o Blowfish utilizando chaves de 128 ou 256 bits, o que
garante um nível altíssimo de segurança.
Algoritmos de criptografia assimétricos:
Os algoritmos de criptografia assimétricos possuem um par de chaves associadas, uma para

encriptar e outra para desencriptar os dados. Eles são bastante lentos se comparados aos
algoritmos simétricos e, devido a isso, normalmente são utilizados apenas para realizar
assinaturas digitais e no estabelecimento de chaves de sessão que serão usadas em
algoritmos simétricos.
 RSA
O RSA é um algoritmo baseado em aritmética modular capaz de trabalhar com chaves de

qualquer tamanho, porém valores inferiores a 512 bits são considerados muito frágeis.
Ele pode ser utilizado para encriptar e desencriptar dados, porém, devido a sua grande
lentidão se comparado aos algoritmos simétricos, seu principal uso é em assinaturas
digitais e no estabelecimento de chaves de sessão.

350
 Diffie-Hellman
O algoritmo Diffie-Hellman na verdade não pode ser encarado como algoritmo de

criptografia, uma vez que não serve para encriptar dados ou realizar assinaturas digitais.
Sua única função é possibilitar a troca de chaves de sessão, realizada de forma a impedir
que escutas passivas no meio de comunicação consigam obtê-las. Ele também é baseado
em aritmética modular e pode trabalhar com chaves de qualquer tamanho, porém chaves
menores que 512 são consideradas muito frágeis.
Algoritmos de trocas de chaves
Um problema básico que ocorre quando se configura um canal seguro é como configurar as
chaves de autenticação e criptografia e como realizar trocas periódicas destas chaves.
É importante realizar trocas periódicas de chaves para diminuir a possibilidade de quebra das
mesmas por um atacante e para diminuir os danos causados caso ele consiga decifrar uma
das chaves. Suponha que um atacante consiga em seis meses quebrar as chaves usadas por
um algoritmo de criptografia (este tempo é totalmente hipotético, não tendo nenhuma
relação com situações reais). Se uma empresa usar as mesmas chaves, por exemplo, durante
1 ano, então um atacante conseguirá decifrar todo o tráfego nos últimos 6 meses desta
empresa. Em contrapartida, se as chaves forem trocadas diariamente, este mesmo atacante,
após 6 meses, conseguirá decifrar o tráfego do primeiro dia e terá mais 6 meses de trabalho
para decifrar o tráfego do segundo dia e assim por diante.
O Aker Firewall possui quatro métodos para trocas de chaves: IPSEC-IKE, AKER-CDP, SKIP e
manual:
 Troca de chaves via IPSEC-IKE
Esta opção estará disponível apenas quando utilizar o conjunto completo de protocolos
IPSEC.
O IPSEC (IP Security) é um conjunto de protocolos padronizados (RFC 2401- RFC 2412)
desenvolvidos pela IETF. O IPSec oferece transferência segura de informações por meio
de rede IP pública ou privada. Uma conexão via IPSec envolve sempre 3 etapas:
1. Negociação do nível de segurança;

2. Autenticação e Integridade;
3. Confidencialidade.
Para implementar essas 3 etapas o IPSec utiliza-se 3 mecanismos:
AH - Authentication Header
ESP - Encapsulation Security Payload
IKE - Internet Key Exchange Protocol
Recomenda-se fortemente o uso desta opção na hora de configurar os canais seguros.

351
 Troca de chaves via SKIP
SKIP é um anagrama para Simple Key Management for IP. Ele é basicamente um algoritmo
que permite que as trocas de chaves sejam realizadas de forma automática e com uma
frequência extremamente elevada, tornando inviável a quebra destas chaves. O
funcionamento do SKIP é complexo nossa abordagem ficará limitada a descrever seu
funcionamento.
Basicamente o SKIP trabalha com três níveis diferentes de chaves:
 Um segredo compartilhado pelas duas entidades que desejam comunicar-se

(configurado manualmente, no caso do Aker Firewall).
 Uma chave mestre, recalculada de hora em hora, baseada no segredo
compartilhado.
 Uma chave randômica, que pode ser recalculada quando se desejar.
Genericamente falando, para efetuar a comunicação, o algoritmo gera uma chave

aleatória e a utiliza para encriptar e autenticar os dados a serem enviados. A seguir ele
encripta está chave com a chave mestre e envia isto junto com os dados encriptados. Ao
receber o pacote, o outro lado desencripta a chave, com o auxílio da chave mestra, e a
utiliza para desencriptar o restante do pacote.
Os algoritmos utilizados para autenticar o pacote e encriptar a chave são definidos pelo
remetente e informados como parte do protocolo. Desta forma, não é necessário
configurar estes parâmetros no recipiente.
A principal vantagem do SKIP é a possibilidade de utilizar o mesmo segredo compartilhado

por anos, sem a menor possibilidade de quebra das chaves por qualquer atacante (uma
vez que a troca de chaves é efetuada em intervalos de poucos segundos a no máximo uma
hora, dependendo do tráfego entre as redes comunicantes).
 Troca de chaves manual
Neste caso, toda a configuração de chaves é realizada manualmente. Isto implica que
todas as vezes que uma chave for trocada, ambos os Firewalls participantes de um canal
seguro terão que ser reconfigurados simultaneamente.
Tipos de canais seguros
O Aker Firewall possibilita a criação de dois tipos de canais seguros distintos, chamados de
Firewall-Firewall e Cliente-Firewall. Cada um destes tipos de canais possui objetivos e
limitações diferentes e normalmente são combinados para atingir o máximo de segurança e
flexibilidade.

352
 Canais seguros Firewall-Firewall
Este tipo de canal seguro é o mais comum e é suportado pelo Aker Firewall desde sua
versão 1.31. Ele consiste na utilização de criptografia e autenticação entre dois firewalls,
interligados por meio da Internet ou de outro meio qualquer. Os pontos de entrada e
saída do canal são os dois firewalls, o que significa que toda a criptografia é realizada
transparentemente por eles e nenhum software adicional necessita ser instalado em
nenhuma máquina cliente.
A única limitação desta solução é que ela exige a presença de dois firewalls, um na entrada
de cada rede, para que o canal seguro possa ser criado.
 Canais seguros Cliente-Firewall (Secure Roaming)
Estes canais são suportados pelo Aker Firewall a partir da versão 3.10. Eles permitem com
que uma máquina cliente (Família Windows e Linux) estabeleça um canal seguro
diretamente com um Aker Firewall. Portanto é necessária à instalação de um programa,
chamado de Aker Client, em cada uma destas máquinas.
A principal vantagem desta tecnologia é possibilitar com que clientes acessem uma rede
coorporativa com total segurança e transparência (transparência na medida em que as
aplicações que estejam rodando na máquina com o cliente de criptografia instalado
desconhecem sua existência e continuam funcionando normalmente).
Apesar de ser bastante útil, esta tecnologia possui algumas desvantagens e limitações:
 É necessário a instalação de um software, Aker Client, em todas as máquinas

clientes;
 O cliente de criptografia não está disponível para todas as plataformas;
Definindo um canal seguro firewall-firewall
Para definirmos um canal seguro firewall-firewall deve-se escolher primeiro dois grupos de
máquinas que irão trocar informações entre si de forma segura. Estes grupos de máquinas
terão seus pacotes autenticados e, caso desejado, criptografados. É necessário que exista um
firewall nas duas extremidades do canal. Estes firewalls serão responsáveis por
autenticar/verificar e criptografar/desencriptar os dados a serem transmitidos e recebidos,
respectivamente.
Para definir os grupos de máquinas, será utilizado o conceito de entidades, mostrado no

capítulo intitulado Cadastrando Entidades. Podem-se utilizar entidades do tipo máquina,
rede ou conjunto nesta definição.
O Aker Firewall suporta a existência de diversos canais seguros simultâneos, entre pontos
distintos. A união destes diversos canais produz uma lista, onde cada entrada define
completamente os parâmetros de um canal seguro. Cada uma destas entradas recebe o nome
de Associação de Segurança ou SA.

353
O planejamento destes canais seguros deverá ser realizado com bastante cuidado. A
criptografia é um recurso dispendioso que demanda uma capacidade de processamento
muito alta. Desta forma, criptografar pacotes para os quais não exista uma necessidade real
de segurança será um desperdício de recursos. Além disso, deve-se atentar que diferentes
algoritmos de criptografia exigem quantidades de processamento diferentes e, por
conseguinte, produzem um nível de segurança mais elevado. Dependendo do nível de
segurança desejado, pode-se optar por um ou outro algoritmo (a descrição de cada algoritmo
suportado pelo Aker Firewall se encontra no tópico anterior).
Uma última observação sobre canais de criptografia Firewall-firewall é que estes são
unidirecionais, ou seja, caso deseje configurar uma comunicação segura entre duas redes, A
e B, deve-se configurar dois canais diferentes: um canal com origem na rede A e destino na
rede B e outro com origem na rede B e destino na rede A. Os pacotes que forem enviados de
A para B seguirão a configuração do primeiro canal e os pacotes de B para A seguirão a
configuração do segundo. Isto será ilustrado com mais clareza nos exemplos abaixo:
Exemplo básico de configuração de um canal seguro firewall-firewall
Neste exemplo será mostrado como definir um canal seguro de comunicação entre duas
redes, por meio da Internet, usando dois Aker Firewalls. O canal será criado de forma com
que toda a comunicação entre estas duas redes seja segura. Como o algoritmo de
autenticação foi escolhido o MD5 e como algoritmo de criptografia, o DES.
É obrigatório o uso de um algoritmo de autenticação para todos os fluxos, ou seja, não é

permitida a criação de fluxos com criptografia apenas. Isto é necessário já que sem a
autenticação os algoritmos de criptografia são passíveis de ataques de recortar e colar (cut
and paste).
 Configuração do Aker Firewall da rede 1
Entidades:
REDE1 - Endereço IP: A1.B1.C1.0 - Máscara 255.255.255.0

Regra de criptografia 1:
Sentido do canal: envia

Entidades origem: REDE1
Entidades destino: REDE2
Algoritmo de criptografia: DES
Algoritmo de autenticação: MD5
Chave de autenticação: X1
Chave de criptografia: X2

354
Sentido do canal: recebe
Entidades:



Note que a regra 1 do Aker Firewall 1 é exatamente igual à regra 1 do Aker Firewall 2,
exceto no campo relativo ao sentido. O mesmo ocorre com as regras 2.

355
Figura 250 - Exemplo de configuração de um canal seguro firewall-firewall para uma sub-rede.
Exemplo de configuração de um canal seguro firewall-firewall para uma sub-rede
Neste exemplo o nosso canal seguro será definido apenas para um grupo de máquinas dentro
de cada uma das duas redes. Além disso, definiremos algoritmos diferentes para os fluxos
entre estes grupos.
Na prática, configurar algoritmos diferentes para os dois sentidos de um canal seguro pode
ser interessante quando as informações de um determinado sentido tiverem um valor maior
do que as do sentido oposto do fluxo. Neste caso, utiliza-se um algoritmo mais seguro no
sentido mais crítico.
Neste exemplo, vamos supor que as redes 1 e 2 possuam dois endereços classe B: A1.B1.0.0
e A2.B2.0.0, respectivamente.
Entidades:
SUB_REDE1 - Endereço IP: A1.B1.2.0 - Máscara 255.255.255.0


Entidades origem: SUB_REDE1
Entidades destino: SUB_REDE2

356

Algoritmo de criptografia: 3DES
Algoritmo de autenticação: SHA
Entidades:


Algoritmo de criptografia: 3DES
Algoritmo de autenticação:SHA

Note que neste caso as regras aparecem colocadas em uma ordem diferente nos dois
firewalls: a regra 1 no Firewall 1 é igual à regra 2 do Firewall 2 (com os sentidos invertidos) e
a regra 2 no Firewall 1 é igual à regra 1 no Firewall 2 (novamente com os sentidos trocados).
Neste exemplo, a ordem das regras não faz diferença (observe, entretanto que em alguns
casos isto pode não ser verdade).

357
Figura 251 - Canal seguro entre redes.
Certificados IPSEC
Os certificados IPSEC são certificados padrão X.509 utilizados pelo firewall para identificarem-
se junto a seus pares quando do estabelecimento dos canais criptográficos firewall-firewall
no padrão IPSEC (veja a seção Configurando túneis IPSEC, logo abaixo). Seu uso, entretanto,
não é obrigatório, já que é possível estabelecer canais IPSEC usando segredos compartilhados.
Para que um firewall aceite um certificado apresentado por outro, é preciso que ele possua
o certificado da Autoridade Certificadora que o emitiu.
Para ter acesso a janela de manutenção de certificados IPSEC deve-se:
Figura 252 - Dispositivos remotos (Acesso a janelas de Certificados IPSEC).
 Clicar no menu Criptografia da janela principal.

 Selecionar o item Certificados IPSEC.

358
A janela de certificados e requisições IPSEC
Figura 253 - Janela de Certificados IPSEC.
A janela de certificados IPSEC contém os certificados e as requisições do Aker Firewall.
Uma requisição é um formulário a ser preenchido com seus dados para que a autoridade
certificadora gere um certificado. Um certificado é uma carteira de identidade para autenticar
(reconhecer como o próprio) o seu proprietário. O Aker Firewall utilizará estes certificados
para autenticar frente a seus pares quando da negociação de um canal IPSEC. Desta forma
cada um dos dois Firewalls envolvidos num canal IPSEC tem que gerar seu próprio certificado.
As operações desta janela se encontram na barra de ferramentas localizada acima da janela

de Certificados IPSEC ou clicando-se com o botão direito do mouse sobre o campo que se
deseja operar.

359
Figura 254 - Barra de ferramentas (Certificados IPSEC).
Figura 255 - Janela de ação para Certificados IPSEC.
 O botão Inserir permite incluir uma nova requisição, podendo ser local ou remota, sendo
que as requisições e certificados locais ficam na janela "deste firewall" e certificados e
requisições remotas ficam na janela "outros firewalls".
 O botão Copiar cópia o certificado/requisição selecionado.
 O botão Colar cola da memória o certificado/requisição copiado.
 O botão Excluir remove da lista o certificado/requisição selecionado.
 O botão Importar permite que seja carregado um certificado que foi exportado.
 O botão Exportar permite que salve o certificado selecionado.
 O botão Submeter permite que carregue um certificado exportado ou carregue um
certificado de acordo com uma requisição selecionada (somente aparece quando
inserindo um novo certificado).
 O botão Instalar fará com que a janela seja fechada e atualizada.
 O botão Atualizar recarregada as informações de certificados.
Para gerar um certificado é necessário que primeiro gere uma requisição no Aker Firewall,
com esta requisição faça um pedido a uma autoridade certificadora para gerar o certificado
e depois importe o certificado para o Aker Firewall.
Esta janela é atualizada dinamicamente, ou seja, não é possível cancelar quando já

realizado o pedido. Quando incluir-se uma nova requisição local, as requisições e os
certificados locais serão apagados. Da mesma forma, ao importar novo Certificado local com
par de chaves (.pfx), serão apagados as requisições e os certificados locais.
Desta maneira, a operação deve se dar da seguinte forma (para o certificado local):
1. Criar uma requisição local;

2. Enviar esta requisição a uma Autoridade Certificadora;
3. Esperar até que a Autoridade Certificadora emita o certificado correspondente;

360
4. Instalar o certificado correspondente à requisição (clicar com o botão direito na
requisição e, depois selecione a opção Instalar, uma janela para carregar o arquivo
será exibida);
Se o desejado for criar um certificado para um firewall remoto, o procedimento muda:
1. Criar uma requisição remota;

2. Enviar esta requisição a uma Autoridade Certificadora;
3. Esperar até que a Autoridade Certificadora emita o certificado correspondente;
4. Instalar o certificado correspondente à requisição (clicar com o botão direito na
requisição e, depois selecione a opção Instalar, e então uma janela para carregar o
arquivo será exibida);
5. Exportar o certificado para um arquivo PKCS#12 (Clicar no certificado remoto
correspondente e, em seguida, em exportar);
6. Importar este certificado no firewall remoto, selecionando Deste Firewall e, em
seguida com o botão direito do mouse, Importar.
Na janela de requisições, há dois campos que podem causar confusão:
 Domínio (CN): É o identificador principal do dono da requisição. Este campo deve ser
preenchido com common name.
 Tamanho da chave: Se o certificado for local com criação de nova chave ou remoto, este
campo conterá o comprimento da chave em bits. Caso contrário (certificado local
adicional) ele não poderá ser modificado, uma vez que a chave que já existe será utilizada.
Configurando canais Firewall/Firewall
Para ter acesso a janela de configuração de canais Firewall/Firewall deve-se:
Figura 256 - Dispositivos remotos (Acesso a janela de Firewall/Firewall).

361
 Selecionar o item Firewall/Firewall.
A janela de criptografia firewall/firewall
Figura 257 - Janela de Criptografia Firewall/Firewall.
A janela de criptografia contém a definição de todos os fluxos de criptografia do Aker Firewall.

Cada fluxo será mostrado em uma linha separada, composta de diversas células. Caso um
fluxo esteja selecionado, ele será mostrado em uma cor diferente. Esta janela é composta por
quatro abas, onde cada uma delas permite a configuração de fluxos de criptografia usando
diferentes métodos de troca de chaves.
 O botão OK fará com que o conjunto de fluxos seja atualizado e passe a funcionar
imediatamente.
 O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela
seja fechada.
aberta
 A barra de rolagem do lado direito serve para visualizar os fluxos que não couberem na
janela.
 Ao clicar sobre um fluxo e selecioná-lo, se ele possuir um comentário, este aparecerá na
parte inferior da janela.
Dica: A posição de cada regra pode ser alterada, bastando-se clicar e arrastar a mesma para
a nova posição desejada, soltando em seguida. Observe que o cursor de indicação do mouse
irá mudar para uma mão segurando um bastão.
Para executar qualquer operação sobre um determinado fluxo, basta clicar com o botão
direito do mouse sobre ele. Aparecerá o seguinte menu: (este menu será acionado sempre
que pressionar o botão direito, mesmo que não exista nenhum fluxo selecionado. Neste caso,
somente as opções Inserir e Copiar estarão habilitadas).

362
Figura 258 - Menu de inserção, cópia ou exclusão para definição dos fluxos de criptografia.
 Inserir: Esta opção permite incluir um novo fluxo na lista. Se algum fluxo estiver
selecionado, o novo será inserido na posição do fluxo selecionado. Caso contrário, o novo
fluxo será incluído no final da lista.
 Copiar: Esta opção cópia o fluxo selecionado para uma área temporária.
 Colar: Esta opção cópia o fluxo da área temporária para a lista. Se um fluxo estiver
selecionado, o novo será copiado para a posição do fluxo selecionado. Caso contrário ele
será copiado para o final da lista.
 Excluir: Esta opção apaga o fluxo selecionado.
 Habilitar/Desabilitar: Esta opção permite desabilitar o fluxo selecionado.
Dica: Todas estas opções podem ser executadas a partir da barra de ferramentas localizada
na parte superior da janela. Neste caso, primeiro seleciona-se o fluxo, clicando-o com o botão
esquerdo, e em seguida clica-se na opção desejada.
Caso queira incluir ou editar fluxos, pode-se fazer de duas formas: As entidades envolvidas
podem ser arrastadas para o fluxo que vão participar ou clicando com o botão direito do
mouse sobre o campo desejado, neste caso será dada a opção de inserir, apagar ou editar
entidades como mostrado a seguir:
Figura 259 - Menu de inclusão ou alteração de fluxos.

363
Configurando túneis IPSEC
Túneis IPSEC servem para criar uma VPN entre duas redes. A palavra túnel é utilizada para
diferenciar das VPNs comuns, pois efetivamente cria um canal virtual entre os firewalls
envolvidos, possibilitando, por exemplo, que redes com endereços inválidos se comuniquem
de maneira segura por meio da Internet.
Para configurar canais IPSEC, deve-se selecionar a opção IPSEC, na janela Firewall-Firewall.
Isto provocará a alteração da janela de forma a mostrar os campos necessários para esta
configuração.
Figura 260 - Configuração de canais IPSEC.
Os campos de configuração têm os seguintes significados:
Origem: Definir as entidades cujos endereços serão comparados com o endereço

origem dos pacotes IP que formarão o fluxo.
Destino: Definir as entidades cujos endereços serão comparados com o endereço

destino dos pacotes IP que formarão o fluxo.
Direção: Define em que sentido o fluxo será aplicado. Só existem duas opções
possíveis: ou o pacote está sendo criptografado (encriptação) ou o pacote está sendo
desencriptado (decriptação). (para maiores detalhes, veja o tópico intitulado
Planejando a instalação).
Gateway Remoto: Define a entidade do tipo máquina que será o gateway remoto, ou
seja, na outra ponta do túnel IPSEC, é possível definir até três gateways remotos, desta
forma criasse uma redundância de link para estes túneis, ou seja, caso o link do
primeiro gateway remoto estiver inoperante será estabelecido o túnel por meio do

364
segundo gateway remoto e assim por diante, na próxima troca de chaves será
verificado se o primeiro gateway remoto está operante assim estabelecendo o túnel
com ele.
Agora é possível adicionar até três gateways remotos na mesma regra.
Cada um dos dois firewalls envolvidos no túnel precisa ter certeza da identidade do outro, de
forma a evitar ataques de falsificação. Para isso, há dois modos selecionáveis:
Autenticação: Definir qual algoritmo será utilizado na autenticação. Os valores

possíveis são: MD5 ou SHA.
Segredo Compartilhado: Uma sequência de caracteres que funciona como uma senha
e deve ser igual de cada um dos lados do túnel.
Certificado: Utiliza certificados padrão X.509 com um esquema de chaves públicas

para a identificação dos firewalls. Este é o mesmo esquema utilizado por sites seguros
na Internet, por exemplo.
Devem ser especificados:
 Certificado local a apresentar para a outra ponta do túnel (Remote Gateway) e dado
de identificação exigido do firewall remoto. Este dado será um endereço de e-mail
para certificados criados com a opção USER- FQDN e nome de uma máquina (Fully
Qualified Domain Dame), se a opção for FQDN.
Avançado
A janela “Avançado” permite definir quais são os algoritmos de criptografia e autenticação

preferidos e permitidos pelo firewall durante a negociação de chaves IKE (IKE é o protocolo
usado para a troca de chaves de criptografia para efetuar comunicação criptografada usando
o IPSEC). Os campos já vêm preenchidos com algoritmos padrão que podem ser alterados.
Mais informações nas RFC 2401 a RFC 2412.
A janela de avançado inclui uma escolha da ponta local do túnel, para os casos da rede de
passagem entre o firewall e o roteador ser inválida.

365
Figura 261 – Definição dos algoritimos de criptográfica e autenticação permitidos pelo firewall durante negociação das
chaves IKE.
Modo
Principal: Ao escolher este modo de autenticação a negociação de chaves IKE será realizada
com uma velocidade de processamento mais lenta, mas de forma protegida, ou seja,
criptografada.
Agressivo: Ao escolher este modo de autenticação a negociação de chaves IKE NÃO será
realizada de forma protegida, oferecendo maior velocidade do que o “modo Principal”.
Ponta do túnel local: Nesta opção o usuário deve indicar qual o IP que irá responder pelos
pacotes de requisição de troca de chaves
Não é possível alterar o valor do campo “kBytes” para valores maiores que 0 e menores
que 100 para a Fase 1, e na Fase 2 não é possível alterar o valor do campo “kBytes” para
valores maiores que 0 e menores que 50.

366
Visualizando o tráfego IPSEC
Clicando no item Túneis IPSEC, dentro do menu Informações, a janela abaixo aparecerá.
Figura 262 - Visualização do tráfego IPSEC.
Na janela acima, é possível visualizar quais SPIs IPSEC foram negociadas para cada um dos
túneis configurados, bastando para isso clicar sobre a regra correspondente. Se houver mais
de uma SPI, é porque o firewall negocia uma nova sempre antes de a anterior acabar, de
forma a nunca interromper o tráfego dentro da VPN. Descrição de cada coluna:
 SPI: Número de identificação da política de segurança.

 Algoritmo de criptografia: Mostra que o algoritmo de criptografia foi negociado.
 Algoritmo de Hash: Mostra que o algoritmo deve ser utilizado para fazer o hash das
informações.
 Tamanho da chave de criptografia: Informa o tamanho da chave de criptografia que
ambos os lados do canal devem utilizar.
 Tamanho da chave de autenticação: Informa o tamanho da chave de autenticação
negociado.
 Protocolo: Conjunto de protocolos negociados para a SP.
 Bytes negociados: Quantidade de bytes que devem ser transmitidos para que uma nova
política de segurança seja negociada.
 Bytes transferidos: Quantidade de bytes trafegados pela SP.

367
 Pacotes perdidos: São pacotes que por causa de algum erro, não foram descriptografados
corretamente então o firewall os descartam. Neste campo são contabilizados os pacotes
descartados.
 Tempo total: Tempo de validade da SP.
 Ocioso: Tempo de inatividade do SP.
 Expiração: Data no qual a SP deixará de ser utilizada.
Ao clicar em "Bytes de lote Transferidos", pode-se ver um gráfico de uso dos túneis, que é
atualizado a cada cinco segundos. Ele mostra o tráfego agregado de todas as SPIs de cada
regra, permitindo verificar, em tempo real o uso efetivo de banda criptografada.
Figura 263 - Gráfico de acompanhamento (Bytes de logs transferidos).
Para utilizar troca de chaves manual, deve-se selecionar a opção Manual, na janela
Firewall/Firewall. Isto provocará a alteração da janela de forma a mostrar os campos
necessários para esta configuração.
Os bytes perdidos que são apresentados nas abas “Visualização e Pacotes de Lotes
Perdidos” são contabilizados quando ocorre algum erro no pacote de criptografia. Pacotes
perdidos por causa da rede não são contabilizados nestas janelas.

368
9.3. VPN fail over
Visando oferecer maior segurança e confiabilidade para as conexões de seus clientes, a Aker
Security Solutions traz uma nova funcionalidade: o VPN fail over.
Seu principal objetivo é realizar a verificação de links específicos, desta forma, é possível que
o administrador configure rotas seguras quando algum desses links ficar inativo. Além disso,
pode-se configurar uma VPN definindo se ela será ativa ou não quando o link em questão
estiver inativo, assim cria-se uma rota segura para ele e evita-se a perda de conectividade de
sua rede.
Como funciona o Aker VPN fail over?
Primeiramente, o link desejado deve ser configurado no VPN fail over, que passará a ser
monitorado e terá regras de VPN definidas para quando o link selecionado ficar inativo. No
caso de inatividade, a regra de VPN será ativada e todo o tráfego que era realizado pelo link
será realizado pela VPN (também é possível configurar a regra para que a VPN fique
desabilitada quando o link estiver inativo). Ao restabelecer a conexão do link, a VPN será
desabilitada e o tráfego, realizado pelo seu link de origem, tudo de forma automatizada.
A seguir, um exemplo com o link ativado e a VPN desativada:
Figura 264 - Exemplo de funcionamento VPN Fail over "link ativado e VPN desativada"

369
A seguir o mesmo ambiente com o link inativo e a VPN ativada:
Figura 265 - Figura 245 - Exemplo de funcionamento VPN Fail over "link inativo e VPN ativada"
Configurando o VPN fail over:
Para configurar as regras de VPN fail over, siga os passos abaixo:
Figura 266 - VPN fail over

370
 No firewall desejado acesse o menu “Criptografia;
 Clique na opção “VPN fail over”;
 Acesse a aba “Monitoramento de máquina”;
Figura 267 - Janela de configuração VPN Fail Over
Nessa aba, o usuário deve criar as regras de monitoramento que serão associadas à VPN. A
seguir, mais detalhes sobre as opções dessa aba:
Nome: neste campo, o usuário deve definir o nome da regra (esse nome será exibido na aba
VPN fail over para a associação de VPN).
Gateway: Aqui o usuário deve inserir qual o Gateway de sua rede.
Verificar máquina: neste campo, o usuário deve definir que IP (IP da máquina, firewall, ou
roteador) ficará responsável pela verificação do link, ou seja, um ponto de verificação que
informará se o link está ativo ou inativo.

371
Figura 268 - VPN Fail over
Nessa aba, o usuário pode definir qual VPN será usada para o link desejado e que ação deverá
ser tomada.
N: este campo exibe o número da regra de monitoramento.
Regra de monitoramento: este campo exibe o nome da regra de monitoramento.
Regra de VPN: aqui o usuário define que regra de VPN será usada na regra de monitoramento
selecionada. A configuração da VPN é realizada no menu “Criptografia”, opção
“Firewall/Firewall”.
Ação: neste campo, o usuário deve definir qual a ação a ser tomada quando o link em questão
se encontrar inativo, as opções são:
 Habilitar VPN: ao selecionar esta opção, a VPN será ativada quando o link estiver inativo.
 Desabilitar VPN: ao selecionar esta opção, a VPN será desativada quando o link estiver
inativo.

372
9.4. Utilizando a Interface Texto (via SSH-fwipseccert)
Por meio da Interface Texto (via SSH) é possível realizar todas as configurações mostradas
acima. A descrição de cada configuração distinta se encontra em um tópico separado (E
possível usar todos os comandos sem o prefixo “FW”, para isso execute o comando “fwshell”,
então os comandos poderão ser acessados sem o prefixo “FW”).

Carregando certificados IPSEC
A Interface Texto (via SSH) de configuração dos certificados IPSEC é de uso simples e possui
as mesmas capacidades da Interface Remota.
Localização do programa: /aker/bin/firewall/fwipseccert
Sintaxe:
Uso: fwipseccert ajuda

fwipseccert mostra [requisição | certificado]
fwipseccert remove [requisição | certificado] <numero>
fwipseccert requisita <local | remoto> <1024 | 2048> <email> <pais> <estado>
<cidade> <organização> <unid org> <domínio>
[use_email] [imprime]
fwipseccert instala <local | remoto> <certificado>
fwipseccert exporta <certificado> <arquivo PKCS12> <senha>
fwipseccert importa <arquivo PKCS12> <senha>
Ajuda do programa:
Aker Firewall
fwipseccert - Criação e manejamento de requisições e certificados x.509
Uso: fwipseccert ajuda
fwipseccert mostra [requisicao | certificado]

373
fwipseccert remove [requisicao | certificado] <numero>
mostra = mostra uma lista contendo as requisições pendentes ou os
certificados instalados
remove = remove uma requisição ou certificado de acordo com seu numero
Carregando certificados
A Interface Texto (via SSH) de configuração dos certificados de criptografia é de uso simples
e possui as mesmas capacidades da Interface Remota.
Localização do programa:/aker/bin/firewall/fwcert
Sintaxe:
fwcert ajuda
fwcert mostra [local | ca | negociação | revogação]
fwcert carrega [local | ca] <arquivo> [-f]
fwcert carrega revogação <arquivo>
fwcert remove <código> [-f]
Ajuda do programa:
Aker Firewall
fwcert - Configura os certificados para criptografia
Uso: fwcert ajuda
fwcert mostra [local | ca | negociação | revogação]
fwcert carrega [local | ca] <arquivo> [-f]
fwcert carrega revogação <arquivo>
fwcert remove <código> [-f]

mostra = mostra os certificados especificados
carrega = carrega um novo certificado no firewall
remove = remove o certificado de uma entidade certificadora
Para mostra temos:
local = mostra o certificado de negociação local

negociação = mostra os certificados de negociação de outros firewalls

374
que foram recebidos pela rede
revogação = mostra os certificados de revogação que foram carregados
localmente ou recebidos pela rede
Para remove temos:
código = código da entidade certificadora a ser removida

-f = se estiver presente, faz com que o programa não confirme ao
remover um certificado
Exemplo 1: (carregando o certificado local)
#/aker/bin/firewall/fwcert carrega local /tmp/firewall.crt

Carregando certificado...OK
Exemplo 2: (mostrando os certificados de entidades certificadoras)
#/aker/bin/firewall/fwcert mostra ca
Nome: Aker Security Solutions
Código: 1
Nome: Entidade certificadora autorizada

Código: 2
Exemplo 3: (carregando um novo certificado de entidade certificadora)
#/aker/bin/firewall/fwcert carrega ca /tmp/novo_ca.ca

Certificado incluído
Exemplo 4: (removendo um certificado de entidade certificadora, sem confirmação)
#/aker/bin/firewall/fwcert remove 2 -f
Entidade certificadora removida
Configurando canais Firewall-Firewall
A utilização da Interface Texto (via SSH) na configuração das regras de criptografia e de

autenticação firewall-firewall traz uma dificuldade gerada pela grande quantidade de
parâmetros que devem ser passados na linha de comando.

375
Esta Interface Texto (via SSH) possui as mesmas capacidades da Interface Remota com a
exceção de que por meio dela não é possível atribuir comentários. Além disso, não será
possível configurar os algoritmos a serem usados pelo IPSEC-IKE (janela avançado), eles terão
sempre os valores padrão.
Localização do programa: /aker/bin/firewall/fwcripto
Sintaxe:
Uso: fwcripto [mostra | ajuda]

fwcripto [habilita | desabilita | remove] <pos>
fwcripto inclui <pos> <origem> <destino> <envia | recebe>
ipsec <gateway> <<ss <segredo> | cert <local> <remoto>>
manual <spi> <MD5 | SHA> <chave autenticação> NENHUM
manual <spi> <MD5 | SHA> <chave autenticação>
<DES | BFISH128 | BFISH256> <tamanho_iv> <chave criptografia>
3DES <tamanho_iv> <chave1> <chave2> <chave3>
fwcripto inclui <pos> <origem> <destino> envia
skip <DES | 3DES | BFISH256> <MD5 | SHA>
<NENHUM | DES | 3DES | BFISH128 | BFISH256> <segredo>
fwcripto inclui <pos> <origem> <destino> recebe
skip <segredo>
fwcripto inclui <pos> <origem> <destino> <envia | recebe> aker-cdp
Ajuda do programa:
Aker Firewall
fwcripto - Configura a tabela de autenticação e criptografia
Uso: fwcripto [mostra | ajuda]
fwcripto [habilita | desabilita | remove] <pos>
ipsec <gateway> <ss <segredo> | cert <local> <remoto>>
manual <spi> <MD5 | SHA> <chave autenticação> NENHUM
<DES | BFISH128 | BFISH256> <tamanho_iv> <chave criptografia>

376
3DES <tamanho_iv> <chave1> <chave2> <chave3>
fwcripto inclui <pos> <origem> <destino> envia
skip <DES | 3DES | BFISH256> <MD5 | SHA>
<NENHUM | DES | 3DES | BFISH128 | BFISH256> <segredo>
fwcripto inclui <pos> <origem> <destino> recebe
skip <segredo>
fwcripto inclui <pos> <origem> <destino> <envia | recebe> aker-cdp
mostra = mostra todas as entradas da tabela de criptografia

inclui = inclui uma entrada na tabela
habilita = habilita uma entrada previamente desabilitada
desabilita = desabilita uma entrada existente
remove = remove uma entrada existente da tabela
Para inclui temos:
pos = posição onde a nova entrada será incluída na tabela

(Poderá ser um inteiro positivo ou a palavra FIM
para incluir no final da tabela)
envia = está entrada será usada na hora de enviar pacotes
recebe = está entrada será usada na hora de receber pacotes
ipsec = usa troca de chave e protocolo IPSEC
gateway = a entidade que representa a ponta remota do túnel IPSEC
ss = usa segredo compartilhado como forma de autenticação
segredo = a "string" que será usada como segredo compartilhado
cert = usa certificados X.509 para autenticação
local = o nome de domínio (FQDN) no certificado a apresentar
remoto = o nome de domínio (FQDN) no certificado esperado
manual = utiliza troca de chaves manual
skip = utiliza troca de chaves automática via o protocolo SKIP
aker-cdp = utiliza troca de chaves automática via o protocolo Aker-CDP
spi = índice de parâmetro de segurança
(É um inteiro que identifica unicamente a associação de
segurança entre a máquina de origem e de destino. Este
número deve ser maior que 255)
MD5 = usa como algoritmo de autenticação o MD5
SHA = usa como algoritmo de autenticação o SHA-1
DES = usa como algoritmo de criptografia o DES
3DES = usa como algoritmo de criptografia o triplo DES

377
BFISH128 = usa como algoritmo de criptografia o Blowfish com chaves de
128 bits
BFISH256 = usa como algoritmo de criptografia o Blowfish com chaves de
256 bits
NENHUM = não usa criptografia, somente autenticação
(No caso do skip, o primeiro algoritmo selecionado
corresponde ao algoritmo de criptografia da chave e
o segundo corresponde ao de criptografia do pacote)
tamanho_iv = tamanho do vetor de inicialização, em bits, para o algoritmo
de criptografia. Deve ter o valor 32 ou 64.
As chaves de autenticação, criptografia e o segredo skip

devem ser entradas como números hexadecimais.
No caso do 3DES devem ser digitadas 3 chaves separadas por brancos
Para habilita / desabilita / remove temos:
pos = posição a ser habilitada, desabilitada ou removida da tabela

(a posição é o valor mostrado na esquerda da entrada ao
se usar a opção mostra)
Redundância de link privado com VPN site to site
Este comando permite o balanceamento de link, que utiliza um link dedicado ponto a ponto
e uma VPN, para manter uma conexão segura entre dois pontos, mesmo quando o link
dedicado cair.
Esta Interface Texto (via SSH) possui as mesmas capacidades da Interface Remota com a
exceção de que por meio dela não é possível atribuir comentários.
Usando uma regra de balanceamento de link, para monitorar o status do link, se

necessário, o Fwlinkred habilita as regras de VPN para manter a comunicação segura entre
dois pontos.
Localização do programa:/aker/bin/firewall/fwlinkred
Sintaxe:
/aker/bin/firewall # fwlinkred ajuda
Aker Firewall
Uso: fwlinkred ajuda

378
fwlinkred mostra
fwlinkred inclui <link> <vpn1> [vpn2] ... [vpnN]
fwlinkred remove < regra >
fwlinkred < habilita | desabilita > < regra >
Onde:
<link> e nome de regra de balanceamento
<vpnN> e numero de regra de VPN IPSEC
<rule> e numero de regra de redundância

379
Configurando criptografia
Cliente-Firewall

380
10. Configurando criptografia Cliente-Firewall
Este capítulo mostra como configurar o firewall e o Aker Client de modo a propiciar a criação
de canais seguros entre máquinas clientes e um Aker Firewall.
10.1. Planejando a instalação.
O que é um canal seguro Cliente-Firewall?
Conforme já explicado no capítulo anterior, um canal seguro cliente-firewall é aquele

estabelecido diretamente entre uma máquina cliente e um Aker Firewall. Isto é possível com
a instalação de um programa, chamado de Aker Client, nas máquinas clientes.
Um canal de criptografia Cliente-Firewall utiliza as mesmas tecnologias de criptografia,

autenticação e troca de chaves já mostradas para os canais seguros Firewall-Firewall, com a
diferença de que tudo é negociado automaticamente pelas partes comunicantes. Ao
administrador é possível apenas desabilitar determinados algoritmos, de forma a assegurar
que eles não serão utilizados.
Outra diferença fundamental entre os canais seguros firewall-firewall e cliente-firewall, da

forma com que são implementados no Aker Firewall, é que os primeiros são sempre
realizados ao nível de pacotes IP, onde cada pacote é encriptado individualmente, enquanto
que os segundos são feitos ao nível de fluxo de dados, onde está encriptado somente as
informações contidas na comunicação (e não os demais dados do pacote IP).
Exigências para a criação de canais seguros Cliente-Firewall
Para que seja possível o estabelecimento de canais seguros entre clientes e um firewall, é
necessário que a seguinte lista de condições seja atendida:
1. O Aker Client esteja instalado em todas as máquinas que estabelecerão canais seguros
com o firewall, no caso de utilizarem o Secure Roaming;
Ou
2. Clientes que suportem os protocolos L2TP ou PPTP.

381
Definindo um canal seguro cliente-firewall
A definição de um canal seguro cliente-firewall é bem mais simples do que a de um canal

firewall-firewall. É necessário apenas configurar no firewall quais máquinas poderão
estabelecer canais seguros de clientes e se ocorrerá ou não autenticação de usuários. Todo o
restante da configuração é realizado automaticamente, no momento em que o cliente inicia
a abertura do canal seguro.
10.2. Aker Secure Roaming
Para ter acesso à janela de configurações do Secure Roaming deve-se:
Figura 269 - Dispositivos remoto (Acesso as configurações do Security Roaming).
 Clicar no menu Criptografia da janela principal;

 Selecionar o item Clientes VPN.

382
A janela de configurações do Secure Roaming
Figura 270 - Configuração geral do Security Roaming
 O botão OK fará com que a janela de configurações do Secure Roaming seja fechada e as
alterações efetuadas aplicadas;
 O botão Cancelar fará com que a janela seja fechada porém as alterações efetuadas não
sejam aplicadas;
aberta.
Aba Geral
 Número máximo de conexões simultâneas: Aqui você pode configurar o número máximo
de clientes conectados simultaneamente no Secure Roaming, L2TP ou PPTP em um
determinado tempo. Use esta opção para evitar com que o servidor tenha uma sobrecarga
por excesso de clientes, o que pode diminuir a performance.
O número não pode ser superior ao de sua licença. Se estiver em 0, nenhum cliente será
permitido.
 Limite de conexões simultâneas: Indica o limite máximo de conexões permitido por sua
licença.

383
Aba Secure Roaming
Figura 271 - Configuração do Security Roaming.
 Métodos de Autenticação: As opções disponíveis, que podem ser marcadas

independentemente, são:
1. Usuário/senha: O usuário deverá ser autenticado por meio de uma combinação de

nome e uma senha. Esses dados serão repassados a um ou mais servidores de
autenticação que devem validá-los. Esta opção é a mais insegura porém não depende
de nenhum hardware adicional;
2. Token (SecurID): O usuário deverá ser autenticado mediante o fornecimento de um
nome, um PIN e um código presente em um Token SecurID que é modificado a cada
minuto. Esses dados serão repassados para o autenticador Token cadastrado no
firewall para serem validados. Essa opção é bem mais segura que a anterior, porém
exige que cada usuário possua um Token;
3. Smartcard/X.509: O usuário deverá ser autenticado por meio do uso de certificados
X.509 (por exemplo, gravados em smart cards) e emitidos por uma das autoridades
certificadoras cadastradas no firewall. Essa forma de autenticação é a mais segura das
três, por exigir a senha de desbloqueio da chave privada e a posse da mesma;
 Versões antigas do cliente Secure Roaming são permitidas: Permite que versões antigas
do cliente Secure Roaming se conectem.
 Habilita IPSEC: Utiliza protocolo IPSEC na comunicação com o Secure Roaming.

384
 Permitir compressão de dados: A compressão de dados é importante para conexões
lentas, como as discadas. Quando esta opção está marcada, é realizada a compressão das
informações antes de serem enviadas pela rede. Isso permite um ganho de performance
na velocidade de comunicação, porém, exige um maior processamento local. Para redes
mais rápidas, é melhor não se utilizar a compressão.
 Porta TCP/UDP: Este controle permite configurar a porta usada pelo servidor para escutar
conexões e dados de clientes, respectivamente. Por exemplo, você pode configurar o
servidor para usar as portas TCP/443 e UDP/53, em ordem para burlar firewalls e/ou
outros dispositivos de filtragem entre servidores e clientes. Esses dispositivos recusariam
uma conexão VPN, mas não uma conexão HTTP segura e uma requisição DNS,
respectivamente.
Cabe ressaltar que outros serviços podem estar utilizando a mesma porta do firewall como
por exemplo o “clientLess” o que causaria problemas de autenticação dos usuários
externos.
Para evitar este problema é recomendado que o usuário use a porta padrão ou use uma
porta que não esteja sendo utilizada pelo firewall.
A porta padrão é 1011 tanto para TCP e UDP.
Aba Acesso
Figura 272 - Lista de controle de acesso do Security Roaming.

385
 Tipo da lista de controle de acesso: Aqui você escolhe qual é o tipo da Lista de controle
de acesso:
1. Nenhum: Sem controle de acesso. Todo cliente tem permissão para conectar ao
servidor.
2. Permitir entidades listadas: Somente os endereços IP listados, ou endereços que
pertençam às entidades rede e/ou conjunto listados, poderão estabelecer
conexão.
3. Proibir entidades listadas: As entidades listadas, ou que pertençam a entidades
rede e/ou conjunto listados, não serão capazes de estabelecer conexões. As
demais entidades serão.
Lista de controle de acesso:
Para adicionar uma entidade à lista, deve-se proceder da seguinte forma:
 Clicar com o botão direito do mouse na lista, ou

 Arrastar a entidade do campo entidades, localizado no lado inferior esquerdo, para
a lista.
Para remover uma entidade, deve-se proceder da seguinte forma:

 Clicar com o botão direito do mouse sobre a entidade que será removida, ou
 Selecionar a entidade desejada e pressione a tecla Delete.
A figura a seguir mostra o menu pop-up com todas as opções listadas acima. Ele é
mostrado ao clicar com o botão direito do mouse em alguma entidade listada. No exemplo
da figura, a entidade clicada foi Host4:
Figura 273 - Menu com escolha das entidades a ser adicionadas

386
Aba Endereços
Figura 274 - Conjunto de endereços do Security Roaming
 Conjunto de endereços: Lista de endereços que podem ser atribuídos a clientes

remotamente conectados ao firewall. Os endereços de máquinas listados e todos os
endereços que compõem as redes e conjuntos incluídos somam-se para definir o conjunto
de endereços atribuíveis a clientes.
Notar que as entidades listadas devem estar conectadas a algum adaptador de rede
configurado no firewall. Caso contrário, não será possível estabelecer conexão com tal
entidade.
Para adicionar ou remover uma entidade do Conjunto de endereços, basta proceder como na
Lista de controle de acesso.
As redes nesse campo definem um conjunto de endereços, não uma sub-rede no sentido de
roteamento IP. Isso quer dizer que, por exemplo, se a interface do firewall estiver na sub-rede
10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for incluída no Pool de endereços, o primeiro
endereço atribuível seria 10.0.0.1 e o último 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0,
a faixa iria de 10.1.0.0 a 10.1.0.255, incluindo-se ambos os extremos.

387
10.3. L2TP
L2TP é uma extensão do PPP (Point-to-Point Protocol), unindo características de outros dois
protocolos proprietários: o L2F (Layer 2 Forwarding) da Cisco e o PPTP (Point-to-Point
Tunneling Protocol) da Microsoft. É um padrão da IETF (Internet Engineering Task Force), que
conta com a participação da Cisco e do PPTP fórum, entre outros líderes de mercado.
O L2TPv3, analisado neste trabalho é uma atualização da RFC2661 (L2TPv2), e foi

originalmente definido como um método para tunelamento para quadros PPP por meio de
uma rede de comutação de pacotes. Surgiu então a necessidade de atualizar o método, para
que ele incluísse todos os encapsulamentos da camada 2 que necessitassem de tunelamento
por meio de redes de comutação de pacotes. Entre as mudanças para a versão 3, temos:
retirada de todas as partes específicas ao PPP do cabeçalho L2TP, garantindo assim a
generalização para outras aplicações, e a mudança para um formato que possibilitasse o
desencapsulamento de forma mais rápida.
O L2TP fornece a flexibilidade e escalabilidade do IP com a privacidade do Frame Relay ou

ATM (Asynchronous Transfer Mode), permitindo que serviços de rede sejam enviados em
redes roteadas IP. As decisões são tomadas nas terminações dos túneis ou VPNs, e comutadas
sem a necessidade de processamento nos nós intermediários.
As seguintes vantagens são oferecidas pelo L2TP:
 Permite o transporte de protocolos que não o IP, como o IPX (Internetwork Packet
Exchange, da Novell/Xerox) e o SNA, assim como outros protocolos dos terminais;
 Mecanismo simples de tunelamento para implementar funcionalidades de LAN e IP
de forma transparente, possibilitando serviços de VPN IP de forma bastante simples;
 Simplifica a interação entre as redes do cliente e do provedor;
 Fácil configuração para o cliente.
Referências: Steven Brown, Implementing Virtual Private Networks, McGraw Hill, 1999.

388
Configurando a VPN L2TP
Figura 275 - Configuração da VPN L2TP
 Habilitar L2TP: Este campo habilita o servidor de L2TP no Aker Firewall e permite
configurar outros campos como:
 Servidor de DNS Primário e secundário: Configura dois servidores DNS a serem

usados durante a sessão criptográfica. Usado para o caso de haver um servidor de
DNS interno na corporação;
 Usar autenticação IPSEC: Habilita os modos de autenticação e encapsulamentos
dos dados em pacotes IPSEC/MPPE, os modos de autenticação são por meio de
“Segredo compartilhado ou certificado X.509”.
 Conjunto de Endereços: Lista de endereços que podem ser atribuídos a clientes

remotamente conectados ao firewall. Os endereços de máquinas listados e todos os
endereços que compõem as redes e conjuntos incluídos somam-se para definir o conjunto
de endereços atribuíveis a clientes.
entidade.

389
a lista.

Figura 276 - Menu com escolhas da entidade para adicionar.
As redes nesse campo definem um conjunto de endereços, não uma sub-rede no sentido
de roteamento IP. Isso quer dizer que, por exemplo, se a interface do firewall estiver na sub-
rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 for incluída no Pool de endereços, o
primeiro endereço atribuível seria 10.0.0.1 e o último 10.0.0.255. Se fosse a rede
10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a 10.1.0.255, incluindo-se ambos os extremos.
Configurando usando Interface Texto (via SSH)
# fwl2tp ajuda
Firewall Aker
Uso: fwl2tp help
fwl2tp mostra
fwl2tp < habilita | desabilita >
fwl2tp ipsec ss < segredo >
fwl2tp ipsec cert < fqdn >
fwl2tp ipsec nenhum
fwl2tp dns_1 < dns_server >

390
fwl2tp dns_2 < dns_server >
fwl2tp inclui < rede >
fwl2tp remove < rede >
os parâmetros são:
segredo : O segredo compartilhado IPSEC

fqdn : O nome domínio presente no certificado X.509 para autenticação IPSEC
dns_server : Um servidor DNS (entidade) para os clientes de VPN
rede : Entidade rede ou máquina para o conjunto de endereços IP dos clientes de VPN
Configurando o Cliente L2TP
Windows 7 / XP
No Windows 7, crie uma nova conexão de VPN, na Central de Rede e Compartilhamento. No

Windows XP, isso deve ser realizado na janela Conexões de rede. Um assistente para a criação
desta conexão aparecerá, e deve ser preenchido de acordo com as imagens abaixo:
Figura 277 - Configurando o cliente L2TP (Windows Vista/XP).

391
Figura 278 - Configurando o cliente L2TP (utilizando VPN).

392
Figura 279 - Configurando o cliente L2TP (escolha do IP e nome da conexão).
Na imagem acima, 192.168.0.100 é o endereço do Aker Firewall com servidor L2TP visível pelo
Cliente de VPN. Este endereço pode ser um nome, como firewall.empresa.com.br.

393
Figura 280 - Configurando o cliente L2TP (nome do usuário e senha utilizados para autenticar o cliente de VPN no Aker
Firewall).
Na imagem acima, devem ser preenchidos o nome de usuário e senha que serão utilizados
para autenticar o cliente de VPN no Aker Firewall.

394
Figura 281 - Configuração da VPN L2TP concluída.
Após clicar em Close, será criada uma nova conexão, que precisa ser editada, no passo
seguinte. Não clique em Connect now.
Abra a janela Conexões de rede, e edite as propriedades da conexão recém-criada de acordo

com as janelas abaixo:

395
Figura 282 – Propriedades de Conexão VPN (edição das propriedades de conexão).
Em propriedades de Conexão VPN, na aba Segurança, configure a janela de acordo com a

imagem acima:
Após clicar OK, volte ao diálogo de propriedades e continue a configuração:

396
10.4. PPTP
O Point-to-Point Tunneling Protocol (PPTP) é um método para execução de redes virtuais

privadas. PPTP usa o TCP (porta 1723) e o GRE (Outros 47). PPTP usa um canal de controle
sobre TCP e GRE túnel operacional para encapsular PPP pacotes.
Configurando a VPN PPTP
Figura 283 - Configurando a VPN PP TP.
Habilitar PPTP: Este campo habilita o servidor de PPTP no Aker Firewall e permite configurar
outros campos como:
 Servidor de DNS Primário e secundário: Configura dois servidores DNS a serem

usados durante a sessão criptográfica. Usado para o caso de haver um servidor de
DNS interno na corporação;
 Segurança: Permite especificar os métodos de encriptação da autenticação e dos
dados trafegados, as opções são:
 PAP: Autenticação não cifrada e dados não cifrados. Funciona com
qualquer tipo de autenticador que possa ser cadastrado no Firewall;
 CHAP: Autenticação cifrada, dados não cifrados. Funciona somente com o
autenticador RADIUS;

397
 MS-CHAPv2: Autenticação cifrada, dados não cifrados. Funciona somente
com o autenticador RADIUS;
 MPPE (MS-CHAPv2 + MPPE): Autenticação cifrada, dados cifrados com RC4
e chave de 40 a 128 bits. Funciona somente com o autenticador RADIUS;
 MPPE-128(MS-CHAPv2 + MPPE-128): Autenticação cifrada, dados cifrados
com RC4 e chave de 128 bits. Funciona somente com o autenticador
RADIUS.
 Conjunto de Endereços: Lista de endereços que podem ser atribuídos a clientes

remotamente conectados ao firewall. Os endereços de máquinas listados e todos
os endereços que compõem as redes e conjuntos incluídos somam-se para definir
o conjunto de endereços atribuíveis a clientes.
Notar que as entidades listadas devem estar conectadas a algum adaptador de
rede configurado no firewall. Caso contrário, não será possível estabelecer
conexão com tal entidade.

a lista.

Figura 284 - Menu com escolhas das entidades para adicionar.

398
/aker/bin/firewall # fwpptpsrv ajuda
Aker Firewall
Uso: fwpptpsrv ajuda
fwpptpsrv mostra
fwpptpsrv < habilita | desabilita >
fwpptpsrv limpa
fwpptpsrv dns_1 < dns_server >
fwpptpsrv dns_2 < dns_server >
fwpptpsrv inclui < rede >
fwpptpsrv remove < rede >
fwpptpsrv segurança < PAP | CHAP | MS-CHAPv2 | MPPE | MPPE-128 >
rede : Entidade rede ou máquina para o conjunto de endereços IP dos
clientes de VPN

399
Configurando o Cliente PPTP para autenticação com PAP
Windows Vista / XP
No Windows Vista, crie uma nova conexão de VPN, no Network and Sharing Center. No
Windows XP, isso deve ser realizado na janela Network Connections. Um assistente para a
criação desta conexão aparecerá, e deve ser preenchido de acordo com as imagens abaixo:
Figura 285 - Configurando o Cliente PPTP para autenticação com PAP (Windows Vista/XP).

400
Figura 286 - Janela de configuração da VPN no Microsoft Windows®.

401
Figura 287 - Janela de configuração de rede da VPN no Microsoft Windows®.
Na imagem acima, 192.168.0.100 é o endereço do AKER FIREWALL com servidor PPTP visível
pelo cliente de VPN. Este endereço pode ser um nome, como firewall.empresa.com.br.

402
Figura 288 - Janela de configuração de usuário e senha da VPN no Microsoft Windows®.
Na imagem acima, devem ser preenchidos o nome de usuário e senha que serão utilizados
para autenticar o cliente de VPN no AKER FIREWALL.

403
Figura 289 - Configuração da VPN no Microsoft Windows® concluída.
Após clicar em Close, será criada uma nova conexão, que precisa ser editada, no passo
seguinte. Não clique em Connect now.
Abra a janela Conexões de rede, e edite as propriedades da conexão recém-criada de acordo

com as janelas a seguir:

404
Picture 265 - Propriedades de Conexão VPN (edição das propriedades de conexão)
Em propriedades de Conexão VPN, na aba Segurança, configure a janela de acordo com a

imagem acima:
:
Configurando o servidor Radius Microsoft – IAS
A seguinte configuração aceita todos os tipos de criptografia. Para iniciar a configuração

precisamos cadastrar o endereço IP do firewall e sua senha NAS:

405
Figura 290 - Configurações do Servidor de autenticação Radius do Microsoft Windows Server®.

406
Figura 291 - Configurações do Shared secret do servidor de autenticação Radius do Microsoft Windows Server®.
Após cadastrar o(s) firewall(s), define-se as regras de acesso remoto (Remote Access Policies),
efetue suas configurações iguais às exibidas abaixo:

407
Figura 292 - Definição das regras de acesso remoto do servidor de autenticação Radius do Microsoft Windows Server®.

408
Figura 293 - Especificação das condições de conexão do servidor de autenticação Radius do Microsoft Windows Server®.
Clique em Edit Profile.

409
Figura 294 - Especificação das condições de conexão - Edição.

410
Figura 295 - Especificação das condições de conexão – IP.

411
Figura 296 - Especificação das condições de conexão – Multilink.

412
Figura 297 - Especificação das condições de conexão – Authentication.

413
Figura 298 - Especificação das condições de conexão – Encryption.

414
Figura 299 - Especificação das condições de conexão – Advanced.
Devido às políticas de segurança do Windows Servertm, será necessário informar quais

usuários podem efetuar estas autenticações, para realizar esta etapa uma Policy em
“Connection Request Policies”.

415
Figura 300 - Informações dos usuários podem efetuar autenticações.
Também é necessário que no Microsoft Active Directorytm, selecione os usuários que podem
efetuar estas autenticações e permitam que VPN e Dial-in, vejam na janela abaixo:

416
Figura 301 - Propriedades dos usuários que podem efetuar autenticações.
Para suporte CHAP, é necessário alterar as políticas de segurança do Windows, de forma que
o mesmo salve as senhas com criptografia reversível e, após este passo, alterar as senhas dos
usuários. Mais informações neste link:
http://technet.microsoft.com/en-us/library/cc782191(WS.10).asp

417
10.5. IPSEC Client
O conjunto de protocolos IPSEC (em especial IKE e ESP) não foi projetado para o uso em modo
cliente-servidor. Por isso, diversas extensões na sua implementação original (RFC 2401 e
família) são necessárias para que o mesmo possa ser utilizado com esta finalidade.
Diferentemente do que ocorre com as VPNs L2TP/IPSEC e PPTP, não existe um padrão
devidamente normatizado para essas extensões necessárias ao funcionamento de VPNs IPSEC
modo túnel para clientes remotos. O que existe são uma série de propostas de RFCs (Internet
Drafts) que nunca foram aceitas pelo IETF, mas mesmo assim, são utilizadas largamente por
diversos fabricantes de equipamentos e clientes de VPN.
A seguir, explicamos os diversos problemas encontrados para estabelecer esse tipo de VPN e
indicamos as soluções encontradas, indicando as RFCs e drafts correspondentes, quando for
o caso.
Autenticação com usuário e senha
Originalmente, o protocolo IKE somente suporta autenticação simétrica, em especial

utilizando segredos compartilhados ou certificados digitais. Quando se trata de VPNs para
clientes remotos, o mais prático é utilizar autenticação por meio de usuário e senha.
A proposta mais aceita para extensão do IKE nesse sentido chama-se 1XAUTH, uma proposta
da Cisco cujo draft mais recente é o 2draft-beaulieu-ike-xauth-02, de outubro de 2001. Essa
proposta é largamente utilizada por diversos fabricantes e propõe estender o protocolo IKE
incluindo uma segunda etapa de autenticação entre as fases 1 e 2 tradicionais. Com isso, após
o estabelecimento de uma SA ISAKMP durante a fase 1, antes de estabelecer SAs de fase 2
(ESP), uma nova troca cifrada verifica as credenciais do usuário.
Configuração de rede do cliente
Um problema importante a ser resolvido nas VPNs IPSEC para clientes é a configuração de
rede do mesmo. Geralmente, uma interface virtual é criada no computador onde executa o
cliente de VPN e está interface recebe endereços e rotas da rede interna protegida pelo
gateway de VPNs. Para não precisar configurar cada um dos clientes com endereços IPs
estáticos e diferentes, é necessária uma solução que permita ao servidor de VPN informar ao
cliente quais configurações utilizar.
A proposta mais aceita para solucionar essa questão chama-se Mode Config3, também
produzida pela Cisco em outubro de 2001 e que tem como draft mais recente o draftdukes-
ike-mode-cfg-024. Essa proposta é também largamente utilizada por diversos fabricantes de
equipamento de VPN e propõe, do mesmo modo que o XAUTH, entre as fases 1 e 2, executar
uma série de perguntas e respostas entre o cliente e o servidor de criptografia, com o
propósito de configurar aquele a partir desse.
Detecção de cliente desconectado

418
Clientes remotos têm grande probabilidade de serem desconectados do servidor de
criptografia sem aviso prévio. Um exemplo simples é um dispositivo conectado por WIFI
afastar-se demais de seu access point. O protocolo IPSEC originalmente proposto não tem
nenhuma outra forma de detectar que a conectividade foi perdida que não seja pela falha
da troca de chaves, o que se dá em intervalos relativamente longos, devido a seu custo
computacional.
A proposta padronizada para este fim e o suporte padrão para DPD em qualquer túnel IPsec
que está descrita na RFC 3706 e consiste em permitir a ambos endpoints IPSEC enviar pacotes
de ping protegidos pela SA de fase 1 (ISAKMP) de acordo com sua necessidade. Esses pacotes
geralmente são enviados em intervalos bem mais curtos que a troca de chave, uma vez que
toda a transação de enviá-los, respondê-los e recebê-los tem um custo muito baixo.
DPD (Dead peer detection)
O DPD (Dead peer detection - método de detecção Dead Internet Key exchange (IKE) Peer)
usa o tráfego IPSec para reduzir o número de mensagens IKE (Internal key Exchange) que
precisam confirmar sua existência. O DPD, como outros mecanismos keepalive, é necessário
para determinar quando se deve executar o IKE Peer Failover (para Dead Peers), e quando
recuperar recursos que foram perdidos.
O DPD do Aker Firewall possui intervalo de 60 segundos (DPD Interval), e seu número
máximo de retentativas é 5 (DPD Retries).

419
IPSEC
Figura 302 - Clientes VPN - IPSEC.
Habilitar Cliente IPSEC: Este campo habilita o servidor de IPSEC Client no Aker Firewall e
permite configurar outros campos como:
 Servidor de DNS Primário, secundário e terciário: Configura até três servidores

DNS a serem usados durante a sessão criptográfica. Usado para o caso de haver
um servidor de DNS interno na corporação;
 Servidor WINS Primário, secundário e terciário: Configura até três servidores
WINS a serem usados durante a sessão criptográfica. Usado para o caso de haver
um servidor de WINS interno na corporação;
 Mensagem de autenticação: Mensagem de apresentação (banner) a ser mostrada
para os clientes.
 Lista de endereços que podem ser atribuídos a clientes - Conjunto de Endereços: Lista
de endereços que podem ser atribuídos a clientes remotamente conectados ao firewall.
Os endereços de máquinas listados e todos os endereços que compõem as redes e
conjuntos incluídos somam-se para definir o conjunto de endereços atribuíveis a clientes.
entidade.

420

a lista.

Figura 303 - Lista de endereços que podem ser atribuídos aos clientes.
 Lista de endereços que são redes protegidas – Redes Protegidas: Lista de endereços de
hosts ou redes protegidas pela VPN IPSEC, quando utilizado os clientes da VPN IPSEC Client
recebem rotas para alcançarem estes endereços sem alterar o default gateway da sua
estação. Quando deixar este campo em branco os clientes da VPN IPSEC Client recebem o
endereço IP do Aker Firewall como default gateway.

421
a lista.

Figura 304 - Lista de endereços que são redes protegidas.
Grupos: Este campo permite definir as opções de autenticação do IPSEC para os clientes:
 Nome do grupo: Identidade dos grupos, os clientes especificam o grupo e assim

qual o método de autenticação será utilizado.
 Autenticação:
 Segredo Compartilhado: Uma sequência de caracteres que funciona como
uma senha e deve ser igual de cada um dos lados do túnel.

422
 Certificado: Utiliza certificados padrão X.509 com um esquema de chaves
públicas para a identificação dos firewalls. Este é o mesmo esquema
utilizado por sites seguros na Internet.
/aker/bin/firewall # fwipseccli ajuda
Aker Firewall
Uso: fwipseccli ajuda
fwipseccli mostra
fwipseccli < habilita | desabilita > [grupo]
fwipseccli dns_1 < dns_server >
fwipseccli wins_1 < wins_server >
fwipseccli mensagem < mensagem >
fwipseccli inclui < conjunto | protegida > < rede >
fwipseccli remove < conjunto | protegida > < rede >
fwipseccli grupo < inclui | remove > < grupo >
Fwipseccli ss < grupo > < segredo >
fwipseccli cert < grupo > < fqdn >
segredo: O segredo compartilhado IPSEC
fqdn : O nome domínio presente no certificado X.509

423
para autenticação IPSEC
wins_server: Um servidor WINS (entidade) para os clientes de VPN
rede : Entidade rede ou máquina para o conjunto de endereços IP dos
clientes de VPN ou a lista de redes protegidas
grupo : O nome do grupo de clientes
mensagem: A mensagem de autenticação dos usuários
Configurando os Clientes
De modo genérico, as configurações recomendadas para clientes de criptografia são as

seguintes:
Shared Secret
Fase Configuração Valor

1 Forma de autenticação secret + XAUTH
1 Forma de identificação KEY_ID. Use o mesmo nome do grupo criado no
fwipseccli. Alguns clientes chamam essa
configuração de grupo mesmo.
1 Credenciais de usuário Use usuário e senha que possam ser verificados
(XAUTH) pelo subsistema de autenticação do Aker
Firewall, os mesmos que, por exemplo, o Filtro
Web aceita para autenticação.
1 Algoritmos de criptografia e 3DES / SHA-1 (pode ser modificado pela
hash Controle Center)
1 Grupo diffie-hellman 2 - MODP-1024 (pode ser modificado pela
Control Center)
1 Tempo de vida de SA 3600 segundos (pode ser modificado pela
Control Center)
2 Algoritmos AES-256 / SHA-1 HMAC-96
2 PFS / Grupo diffie hellman Não / 0
2 Tempo de vida de SA 3600 segundos
Figura 305 - Configurações recomendadas para clientes de criptografia – Shared Secret.

424
X.509
A configuração X.509 é muito parecida:
Fase Configuração Valor

1 Forma de autenticação X.509 (RSA SIG) + XAUTH.
1 Forma de identificação FQDN. Use o nome do Subject Alternative
Name do certificado. Alguns clientes exigem
que esse nome seja o mesmo do endereço IP
ou domínio de conexão.
1 Credenciais de usuário Use usuário e senha que possam ser verificados
(XAUTH) pelo subsistema de autenticação do Aker
Firewall, os mesmos que, por exemplo, o Filtro
Web aceita para autenticação.
1 Algoritmos de criptografia e 3DES / SHA-1 (pode ser modificado pela
hash Controle Center)
1 Grupo diffie-hellman 2 - MODP-1024 (pode ser modificado pela
Control Center)
1 Tempo de vida de SA 3600 segundos (pode ser modificado pela
Control Center)
2 Algoritmos AES-256 / SHA-1 HMAC-96
2 PFS / Grupo diffie hellman Não / 0
2 Tempo de vida de SA 3600 segundos
Figura 306 - Configurações recomendadas para clientes de criptografia – X.509.

425
Exemplos:
ShrewSoft VPN Client com segredo compartilhado
Para a configuração deve ser preenchido os campos de acordo com as imagens abaixo:
Figura 307 - Configuração da VPN – General.

426
Figura 308 - Configuração da VPN – Authentication.
Figura 309 - Configuração da VPN – Phase 1.

427
Figura 310 - Configuração da VPN – Phase 2.
Figura 311 - Configuração da VPN – Connect.

428
iPhone com certificado
Nesse caso, é necessário usar a ferramenta de configuração para empresas do iPhone,

que pode ser obtida gratuitamente no site da Apple. Atenção ao fato que é necessário
incluir o certificado da CA (.CER) e o certificado com chaves do cliente (.PFX) no perfil de
configuração. Para fazer isso, primeiro é necessário incluir esses certificados nas
configurações do Windows.
Além disso, atenção ao fato que o iPhone exige que o "Hostname or IP Address for Server"
seja igual ao Subject Alternative Name do firewall, sob pena de recusar o certificado e
impedir a conexão.
Figura 312 - Configuração iPhone – certificado.

429
Figura 313 - Configuração iPhone– estabelecendo VPN.

430
ShrewSoft VPN Client com certificado
Figura 314 - Configuração VPN com certificado.
Figura 315 - Configuração VPN - Authentication – Local Identity.

431
Figura 316 - Configuração VPN - Authentication – Remote Identity.
Figura 317 - Configuração VPN - Authentication – Authentication Method.

432
10.6. VPN – SSL
A configuração do Portal VPN SSL e do Apple é bastante simples, uma vez que todos os
detalhes de funcionamento do portal e do applet são responsabilidade do firewall. Ao
administrador cabe definir nome do portal, qual o certificado será utilizado pelo firewall e etc.
Todas estas configurações são feitas na janela VPN SSL. Para acessá-la, deve-se:
Figura 318 - VPN SSL.

 Selecionar o item VPN SSL.
Quando selecionada a opção Enable VPN SSL, os campos de edição das configurações do
portal e do applet são habilitados.

433
Portal
Figura 319 - VPN SSL - Portais.
No portal web, o cliente se autentica no firewall e como resultado recebe o applet que
implementa o túnel SSL.
Título do Portal: Este campo informa o nome do portal. Possui um limite máximo de 64
caracteres e somente aceita texto simples.
Certificado CN do Firewall: Este campo informa o nome do certificado aplicado ao FW.

434
Ao clicar no ícone carrega-se um arquivo com extensão *.p12/*.pfx que contém o
certificado. O ícone mostra um resumo das informações do certificado e o ícone

permite exportar um arquivo com extensão *.p12/*.pfx contendo um certificado.
Autenticação: Este campo informa o tempo de expiração de autenticação no portal, sendo o

tempo máximo que pode levar para estabelecer a sessão, variando de 0 a 30 seg.
Mostrar campo Domínio: Quando selecionada essa opção permite mostrar o campo domínio
no formulário de login do portal. A seleção desse campo é opcional.
Usar o protocolo SSLv2: Quando selecionada essa opção, opta por utilizar a versão 2 do
protocolo SSL. Ele não é utilizado por padrão devido à existência de um bug de segurança.
Forçar autenticação x.509: Esta opção permite forçar uma autenticação x.509, pois impede
que o usuário se autentique sem ser por meio do certificado digital.
Permitir que um usuário tenha acesso por diferentes IPs ao mesmo tempo: Esta opção
permite ao usuário se logar no portal a partir de um ou mais IPs diferentes simultaneamente.
Informação de logon: Esse campo permite incluir o texto que será apresentado no portal com
informações básicas sobre o seu funcionamento. Não possui tamanho definido e pode ser
escrito usando o formato HTML.
pop-up não aberto: Esse campo é informativo. Caso o applet apresente erro ao carregar, este
texto será mostrado ao usuário como resposta ao erro ocorrido.

435
Applet
Figura 320 - VPN SSL - Applet.
Usar o logo customizado: Ao habilitar essa opção, permite ao usuário apresentar o seu
logotipo no applet.
Alterar arquivo: Este botão permite trocar o logotipo apresentado. Este botão apenas
aparece quando a opção Usar o logo customizado for selecionada.
Porta: Esta opção permite definir a porta na qual o applet vai se conectar no firewall para
fazer o túnel SSL.

436
Timeout da Conexão: Este campo informa o tempo em segundos que a conexão pode ficar
sem trafegar nenhum dado no túnel SSL. Ao expirar esse tempo o túnel será fechado.
Usando a applet: Este campo mostra informações gerais de utilização do applet. O texto não
pode ser em formato HTML e não possui tamanho definido.
Visualização: Nesta área podem ser visualizadas todas as configurações visuais aplicadas ao
applet, sendo incluso o título e os logotipos da Aker e do Cliente.
Cliente
O cliente necessita de um browser e do Java virtual Machine instalado para ter acesso, que é
realizado por meio da seguinte url: https:\\ IP do Firewall a ser acessado.
Para essa funcionalidade é necessário habilitar o “Filtro WEB” e marcar a opção “Forçar
Autenticação” na aba Geral.
Após o usuário aceitar os certificados, aparecerá uma tela de autenticação, onde usuário e
senha definirão qual o perfil de acesso e quais portas de comunicação terão permissão na
VPN.

437
Instalação do Aker Authentication Agent
Para realizar a instalação deve-se
 Baixar o Aker Authentication Agent;

 Clicar no botão “Avançar”;
Figura 321 – Mensagem de boas-vindas ao Assistente de Instalação do Aker Authentication Agent.

438
 Ler o Contrato de Licença de Programa;
 Clicar na opção “Aceito os termos do contrato de licença”;
 Clicar no botão “Avançar”;
Figura 322 – Contrato de licença de instalação do programa.

439
 Surgirá a tela “Pasta de Destino”;
 Caso queria instalar o arquivo em uma pasta diferente, deve-se clicar em “Alterar”. Se
desejar instalar na pasta indicada, clicar no botão “Avançar”;
Figura 323 – Pasta de destino de instalação.

440
 Surgirá a tela dizendo a seguinte mensagem: “Pronto para instalar o programa”, ou seja, o
assistente encontra-se pronto para realizar a instalação. Caso esteja tudo ok, clicar em
“Instalar”, se desejar realizar alguma alteração nas telas anteriores, clicar no botão “Voltar”.
Figura 324 – Mensagem que o assistente está pronto para realizar a instalação.

441
 Surgirá a tela dizendo mostrando o status de instalação. Caso deseje cancelar o processo,
basta clicar no botão “Cancelar”.
Figura 325 – Barra de status da instalação.

442
 Após a conclusão da instalação surgirá à tela de conclusão, informando que a instalação foi
realizada com sucesso, para encerrar, basta clicar no botão “Concluir”.
Figura 326 – Mensagem de instalação do Aker Authentication Agent foi instalado com sucesso.

443
Figura 327 - Perfil de acesso – Permissão VPN.
Após a autenticação ser realizada com sucesso teremos o Applet rodando com as informações
que foram configuradas na sessão Applet que vimos há pouco:

444
Figura 328 - VPN SSL – Instruções gerais.
O acesso aos serviços por meio da VPN é realizado por meio do IP:
127.0.0.1:<porta>
Esta porta de comunicação é configurada em Configuração do Firewall, Perfis na aba VPN-

SSL (Proxy SSL).

445
Configurando o Proxy SSL

446
11. Configurando o Proxy SSL
Este capítulo mostra para que serve e como configurar a Proxy SSL no Aker Firewall.
O que é um Proxy SSL?
Um Proxy SSL é uma VPN cliente-firewall, realizada por meio do protocolo SSL, e que tem
como principal característica a utilização do suporte nativo a este protocolo que está presente
em várias aplicações: navegadores, leitores de e-mail, emuladores de terminal, etc. Devido
ao suporte nativo destas aplicações, não é necessária a instalação de nenhum cliente para o
estabelecimento da VPN.
O seu funcionamento é simples: de um lado o cliente se conecta ao firewall por meio do

protocolo SSL, autenticando-se por meio de certificados X.509 (caso seja o desejo do
administrador que a autenticação seja demandada) e o firewall então se conecta em claro ao
servidor interno. Dessa forma, o cliente enxerga uma conexão SSL com o servidor e, este,
enxerga uma conexão em claro (transparente) com o cliente.
Utilizando um Proxy SSL
Para utilizar um Proxy SSL em uma comunicação, é necessário executar uma sequência de 2
passos:
 Criar um serviço que será interceptado pelo proxy SSL e edita-se os parâmetros do
contexto a ser usado por este serviço (para maiores informações, veja o capítulo
intitulado Cadastrando Entidades).
 Acrescentar regras de filtragem de perfis SSL, permitindo o uso do serviço criado no
passo 1, para as redes ou máquinas desejadas (para maiores informações, veja o item
Configurando regras de Proxy SSL).

447
Figura 329 - VPN SSL – Instruções gerais.
11.1. Editando os parâmetros de um contexto SSL
A janela de propriedades de um contexto SSL será mostrada quando a opção Proxy SSL for
selecionada. Por meio dela é possível definir o comportamento do proxy SSL quando este for
lidar com o serviço em questão.

448
A janela de propriedades de um contexto SSL
Figura 330 - Edição dos parâmetros de um contexto SSL.
Na janela de propriedades são configurados todos os parâmetros de um contexto associado

a um determinado serviço. Ela consiste de duas abas distintas: a primeira permite a
configuração dos parâmetros e a segunda à definição do certificado que será apresentado ao
cliente no estabelecimento da VPN.
Aba Geral
Porta do servidor: Este campo indica a porta que o servidor estará esperando receber a
conexão, em claro, para o serviço em questão.
Permitir autenticação de usuário: Este campo, se estiver marcado, indica que os usuários
podem se autenticar no estabelecimento dos Proxies SSL. Caso ele esteja desmarcado,
somente sessões anônimas serão autorizadas, o que implica na utilização do perfil de acesso
padrão sempre.
Forçar autenticação de usuário: Se este campo estiver marcado, não serão aceitas sessões
de Proxy SSL nas quais o usuário não tenha apresentado um certificado X.509 válido.

449
Inatividade do cliente: Este campo indica o tempo máximo em segundos que o firewall
manterá a sessão de Proxy SSL ativa (desde que a sessão já tenha sido estabelecida) sem o
recebimento de dados por parte do cliente.
Conexão: Este campo indica o tempo máximo em segundos que o firewall aguardará pelo
estabelecimento da conexão com o servidor.
Autenticação SSL: Este campo indica o tempo máximo em segundos que o firewall aguardará
para que o cliente realize, com sucesso, uma autenticação SSL.
Avançado: Este botão permite o acesso a parâmetros de configuração que não são
normalmente utilizados.
São eles:
Permitir um usuário acessar de IPs diferentes ao mesmo tempo: Este campo, se estiver
marcado, permite que um mesmo usuário estabeleça sessões simultâneas a partir de
máquinas diferentes. Caso esteja desmarcado, se um usuário já possuir uma sessão em uma
máquina, tentativas de abertura a partir de outras máquinas serão recusadas.
Tempo de manutenção de sessão: Como não existe o conceito de sessão em uma Proxy SSL,
é necessário que o proxy simule uma sessão, mantendo um usuário logado por algum tempo
após o fechamento da última conexão, caso seja necessário impedir que um mesmo usuário
acesse simultaneamente de máquinas diferentes. O que este campo especifica é por quanto
tempo, em segundos, o firewall deve considerar um usuário como logado após o fechamento
da última conexão.
Permitir o uso de SSL v2: Este campo indica se o firewall deve ou não aceitar uma conexão
SSL usando a versão 2 deste protocolo.
A versão 2 do protocolo SSL possui sérios problemas de segurança e recomenda-se que

ela não seja utilizada, a não ser que isso seja estritamente necessário.

450
Aba Certificado
Figura 331 - Exibição do certificado do proprietário – X.509.
Esta aba é utilizada para especificar o certificado X.509 que será apresentado ao cliente
quando ele tentar estabelecer uma Proxy SSL. É possível criar uma requisição que
posteriormente será enviada para ser assinada por uma CA ou importar um certificado X.509
já assinado, em formato PKCS#12.
Criar requisição:
Este botão permite que seja criada uma requisição que posteriormente será enviada a uma
CA para ser assinada. Ao ser clicado, serão mostrados os campos do novo certificado a ser
gerado e que devem ser preenchidos.
Após o preenchimento deve-se clicar no botão OK, que fará com que a janela seja alterada
para mostrar os dados da requisição recém criada, bem como dois botões para manipulá-la:
O botão Salvar em arquivo permite salvar a requisição em um arquivo para que ela seja então
enviada a uma CA que irá assiná-la. O botão Instalar esta requisição permite importar o
certificado já assinado pela CA.
Importar certificado PKCS#12:

451
Este botão provocará o aparecimento de um diálogo onde pode especificar o nome do
arquivo com o certificado X.509 que será importado.
11.2. Configurando regras de Proxy SSL
Após a definição de um ou mais contextos SSL, mostrados no tópico anterior, é necessário

configurar os perfis de acesso dos usuários de modo a definir que serviços eles podem acessar
por meio de sessões de VPN SSL. Esta configuração fica na aba SSL, dentro de cada perfil de
acesso.
Para maiores informações de como realizar o cadastramento das regras, consultar o tópico
Cadastrando perfis de acesso.

452
Integração dos Módulos do Firewall

453
12. Integração dos Módulos do Firewall
Neste capítulo será mostrada a relação entre os três grandes módulos do Aker Firewall: o filtro
de pacotes, o conversor de endereços e o módulo de criptografia e autenticação. Será
mostrado também o fluxo pelo qual os pacotes atravessam desde sua chegada ao Firewall até
o momento de serem aceitos ou rejeitados.
12.1. O fluxo de pacotes no Aker Firewall
Nos capítulos anteriores deste manual foram mostrados separadamente os três grandes
módulos do Aker Firewall e todos os detalhes pertinentes à configuração de cada um. Será
mostrado agora como um pacote os atravessam e quais alterações ele pode sofrer em cada
um deles.
Basicamente, existem dois fluxos distintos: um para pacotes que são emitidos pela rede
interna e tem como destino alguma máquina da rede externa (fluxo de dentro para fora) ou
pacotes que são gerados na rede externa e tem como destino alguma máquina da rede
interna (fluxo de fora para dentro).
O fluxo de dentro para fora
Todo o pacote da rede interna ao atingir o firewall passa pelos módulos na seguinte ordem:
módulo de montagem, filtro de pacotes, conversor de endereços e módulo de encriptação.
Figura 332 - Fluxo do pacote da rede interna ao atingir o firewall.
O módulo de montagem
O módulo de montagem é o responsável por armazenar todos os fragmentos de pacotes IP

recebidos até que estes possam ser montados e convertidos em um pacote completo. Este
pacote será então entregue para os demais módulos.
O filtro de pacotes
O filtro de pacotes possui a função básica de validar um pacote de acordo com as regras
definidas pelo administrador, e a sua tabela de estados, e decidir se este deve ou não ser

454
autorizado a trafegar pelo firewall. Se ele decidir que o pacote pode trafegar, este será
repassado para os demais módulos, caso contrário será descartado e o fluxo terminado.
O conversor de endereços
O conversor de endereços recebe um pacote já autorizado a trafegar e verifica, de acordo

com sua configuração, se este deve ter o endereço de origem convertido. Em caso positivo,
ele o converte do contrário o pacote não sofre quaisquer alterações.
Independentemente de ter sido convertido ou não, o pacote será repassado para o módulo
de criptografia.
O módulo de encriptação
O módulo de encriptação recebe um pacote validado e com os endereços convertidos e

decide baseado em sua configuração, se este pacote deve ser encriptado ou autenticado
antes de ser enviado ao destino. Em caso positivo, o pacote será autenticado, encriptado, e
sofrerá o acréscimo de cabeçalhos específicos destas operações.
Independentemente de ter sido encriptado/autenticado ou não, o pacote será enviado pela

rede.
O fluxo de fora para dentro
Todo o pacote proveniente da rede externa, em direção à rede interna, ao atingir o firewall
passa pelos módulos na seguinte ordem: módulo de montagem, módulo de decriptação,
conversor de endereços e filtro de pacotes.
Figura 333 - Fluxo do pacote da rede externa em direção à rede interna.
O módulo de montagem
O módulo de montagem é o responsável por armazenar todos os fragmentos de pacotes IP

recebidos até que estes possam ser montados e convertidos em um pacote completo. Este
pacote será então entregue para os demais módulos.

455
O módulo de decriptação
O módulo de decriptação tem a função de remover os cabeçalhos adicionados pelo módulo

de encriptação, verificar a assinatura de autenticação do pacote e decriptá-lo. Caso a
autenticação ou a criptografia apresentem erro, o pacote será descartado.
A outra função deste módulo é assegurar que todos os pacotes que cheguem de uma rede
para a qual existe um canal seguro estejam vindo criptografados. Caso um pacote venha de
uma rede para a qual existe um canal de criptografia ou autenticação e se este pacote não
estiver autenticado ou criptografado, ele será descartado.
Caso o pacote tenha sido validado com sucesso, este será repassado para o conversor de
endereços.
O conversor de endereços
O conversor de endereços recebe um pacote e verifica se o endereço destino deste pacote é

um dos IPs virtuais. Em caso positivo, este endereço é convertido para um endereço real.
Independentemente de ter sido convertido ou não, o pacote será repassado para o filtro de
pacotes.
O filtro de pacotes
O filtro de pacotes é o último módulo do fluxo de fora para dentro. Ele possui a função básica
de validar os pacotes recebidos de acordo com as regras definidas pelo administrador, e a sua
tabela de estados, e decidir se este deve ou não ser autorizado a trafegar pelo firewall. Se ele
decidir que o pacote pode trafegar, este será repassado para a máquina destino, caso
contrário ele será descartado.
12.2. Integração do filtro com a conversão de endereços
Quando vai configurar as regras de filtragem para serem usadas com máquinas cujos
endereços serão convertidos surge à seguinte dúvida: Deve-se usar os endereços reais das
máquinas ou os endereços virtuais?
Esta dúvida é facilmente respondida ao analisar o fluxo dos pacotes:
No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro e depois possuem
seus endereços convertidos (se for o caso), ou seja, o filtro recebe os endereços reais das
máquinas.
No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo conversor de
endereços que converte os endereços destino dos IPs virtuais para os endereços reais. Após
456
isso os pacotes são enviados para o filtro de pacotes, ou seja, novamente o filtro de pacotes
recebe os pacotes com os endereços reais.
Em ambos os casos, o filtro não sabe da existência dos endereços virtuais, o que nos leva a
fazer a seguinte afirmação:
Ao criar regras de filtragem deve-se ignorar a conversão de endereços. As regras devem ser
configuradas como se as máquinas origem e destino estivessem conversando diretamente entre
si, sem o uso de qualquer tipo de conversão de endereços.
12.3. Integração do filtro com a conversão e a criptografia
No tópico anterior, mostramos como configurar as regras de filtragem para máquinas cujos
endereços serão convertidos. A conclusão foi de que deveria trabalhar apenas com os
endereços reais, ignorando a conversão de endereços. Agora, pode-se acrescentar mais uma
pergunta: ao configurar os fluxos de criptografia para máquinas que sofrerão conversão de
endereços, deve-se usar os endereços reais destas máquinas ou os endereços virtuais?
Para responder esta pergunta, novamente deve-se analisar o fluxo dos pacotes:
No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro, depois possuem
seus endereços convertidos (se for o caso) e por fim são repassados para o módulo de
encriptação. Devido a isso, o módulo de encriptação recebe os pacotes como se eles fossem
originados dos endereços virtuais.
No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo módulo de
decriptação e são decriptados (se for o caso). A seguir são enviados para o conversor de
endereços, que converte os IPs virtuais para reais, e por fim são enviados para o filtro de
pacotes. O módulo de decriptação recebe os pacotes antes de eles terem seu endereço
convertido e, portanto, com os endereços virtuais.
Em ambos os casos, o módulo de criptografia recebe os pacotes como se eles tivessem origem
ou destino nos IPs virtuais.
Ao se criar fluxos de criptografia, deve-se prestar atenção à conversão de endereços. Os

endereços de origem e destino devem ser colocados como se o fluxo se originasse ou tivesse
como destino IPs virtuais.

457
Configurando a Segurança

458
13. Configurando a Segurança
Este capítulo mostra como configurar a proteção contra ataques no módulo de segurança do
Aker Firewall.
13.1. Proteção contra SYN Flood
O que é um ataque de SYN flood?
SYN Flood é um dos mais populares ataques de negação de serviço (denial of service). Esses
ataques visam impedir o funcionamento de uma máquina ou de um serviço específico. No
caso do SYN Flood, é possível inutilizar quaisquer serviços baseados no protocolo TCP.
Para entender este ataque, é necessário primeiro entender o funcionamento do protocolo

TCP, no que diz respeito ao estabelecimento de conexões:
O protocolo TCP utiliza um esquema de 3 pacotes para estabelecer uma conexão:
1. A máquina cliente envia um pacote para a máquina servidora com um flag especial,
chamado de flag de SYN. Este flag indica que a máquina cliente deseja estabelecer uma
conexão.
2. A máquina servidora responde com um pacote contendo os flags de SYN e ACK. Isto
significa que ela aceitou o pedido de conexão e está aguardando uma confirmação da
máquina cliente para marcar a conexão como estabelecida.
3. A máquina cliente, ao receber o pacote com SYN e ACK, responde com um pacote
contendo apenas o flag de ACK. Isto indica para a máquina servidora que a conexão foi
estabelecida com sucesso.
Todos os pedidos de abertura de conexões recebidas por um servidor ficam armazenadas em

uma fila especial, que tem um tamanho pré-determinado e dependente do sistema
operacional, até que o servidor receba a comunicação da máquina cliente de que a conexão
está estabelecida. Caso o servidor receba um pacote de pedido de conexão e a fila de
conexões em andamento estiver cheia, este pacote é descartado.
O ataque consiste basicamente em enviar um grande número de pacotes de abertura de

conexão, com um endereço de origem forjado, para um determinado servidor. Este endereço
de origem é forjado para o de uma máquina inexistente (muitas vezes usa um dos endereços
reservados descritos no capítulo sobre conversão de endereços). O servidor, ao receber estes
pacotes, coloca uma entrada na fila de conexões em andamento, envia um pacote de resposta
e fica aguardando uma confirmação da máquina cliente. Como o endereço de origem dos
pacotes é falso, está confirmação nunca chega ao servidor.

459
O que acontece é que em um determinado momento, a fila de conexões em andamento do
servidor fica lotada. A partir daí, todos os pedidos de abertura de conexão são descartados e
o serviço inutilizado. Esta inutilização persiste durante alguns segundos, pois o servidor ao
descobrir que a confirmação está demorando demais, remove a conexão em andamento da
lista. Entretanto, se o atacante persistir em mandar pacotes seguidamente, o serviço ficará
inutilizado enquanto ele assim o fizer.
Nem todas as máquinas são passíveis de serem atingidas por ataques de SYN Flood.
Implementações mais modernas do protocolo TCP possuem mecanismos próprios para
inutilizarem ataques deste tipo.
Como funciona a proteção contra SYN flood do Aker Firewall?
O Aker Firewall possui um mecanismo que visa impedir que um ataque de SYN flood seja bem
sucedido. Seu funcionamento baseia-se nos seguintes passos:
1. Ao chegar um pacote de abertura de conexão (pacote com flag de SYN, mostrado no

tópico acima) para uma máquina servidora a ser protegida, o firewall registra isso em uma
tabela e deixa o pacote passar (evidentemente, ele só deixará o pacote passar se este
comportamento for autorizado pelas regras de filtragem configuradas pelo administrador.
Para maiores detalhes veja o capítulo intitulado O filtro de estados);
2. Quando chegar a resposta do servidor dizendo que a conexão foi aceita (pacote com os
flags SYN e ACK), o firewall imediatamente enviará um pacote para o servidor em questão
confirmando a conexão e deixará o pacote de resposta passar em direção à máquina
cliente. A partir deste momento, será acionado um relógio interno no firewall que marcará
o intervalo de tempo máximo em que o pacote de confirmação do cliente deverá chegar;
3. Se a abertura de conexão for uma abertura normal, dentro de um intervalo de tempo
menor que o máximo permitido, a máquina cliente responderá com um pacote
confirmando o estabelecimento da conexão. Este pacote fará o firewall considerar válido
o pedido de abertura de conexão e desligar o relógio interno;
4. Caso a máquina cliente não responda dentro do tempo máximo permitido, o firewall
mandará um pacote especial para a máquina servidora que fará com que a conexão seja
derrubada.
Com estes procedimentos, o firewall consegue impedir que a fila de conexões em andamento
na máquina servidora fique cheia, já que todas as conexões pendentes serão estabelecidas
tão logo os pacotes de reposta atinjam o firewall. O ataque de SYN flood, portando, não será
efetivado.
Cabe enfatizar que todo o funcionamento desta proteção baseia-se no intervalo de tempo máximo
de espera pelos pacotes de confirmação dos clientes. Se o intervalo de tempo for muito pequeno,
conexões válidas podem ser recusadas. Se o intervalo for muito grande, a máquina servidora, no caso

460
de um ataque, ficará com um grande número de conexões abertas o que poderá provocar problemas
ainda maiores.
13.2. Utilizando a Interface Remota para Proteção contra SYN Flood
Para ter acesso a janela de configuração dos parâmetros de proteção contra SYN Flood, deve-
se:
Figura 334 - SYN Flood.
 Clicar no menu Segurança na janela do Firewall que deseja administrar.

 Selecionar o item SYN Flood.

461
A janela de configuração da proteção contra SYN flood
Figura 335 - SYN Flood – Ativação de proteção SYN Flood.
 O botão OK fará com que os parâmetros de configuração sejam atualizados e a janela

fechada.
fechada.
aberta.
Significado dos campos da janela:
Ativar proteção SYN flood: Esta opção deve estar marcada para ativar a proteção
contra SYN flood e desmarcada para desativá-la (ao desabilitar a proteção contra SYN
flood, as configurações antigas continuam armazenadas, mas não podem ser
alteradas).
Duração máxima do handshake do TCP: Esta opção define o tempo máximo, em

unidades de 500ms, que o firewall espera por uma confirmação do fechamento das
conexões por parte do cliente. Se este intervalo de tempo for atingido, será enviado
um pacote para as máquinas servidoras derrubando a conexão.
O valor ideal deste campo pode variar para cada instalação, mas sugere-se valores entre 3 e
10, que correspondem a intervalos de tempo entre 1,5 e 5 segundos.

462
A lista de máquinas e redes a proteger
Esta lista define as máquinas ou redes que serão protegidos pelo firewall.
Para incluir uma nova entidade na lista de proteção, deve-se proceder de um dos seguintes
modos:
 Executar uma operação de drag-n-drop (arrastar e soltar) da janela de entidades

diretamente para a lista de hosts e redes a proteger;
 Abrir o menu de contexto na janela na lista de hosts e redes a proteger com o botão
direito do mouse ou com a tecla correspondente no teclado e seleciona-se Adicionar
entidades, para então escolher aquelas que serão efetivamente incluídas na lista.
Para remover uma entidade da lista de proteção, deve-se marcá-la e pressionar a tecla delete,
ou escolher a opção correspondente no menu de contexto, acionado com o botão direito do
mouse ou com a tecla correspondente:
Deve-se colocar na lista de entidades a serem protegidas todas as máquinas servidoras de

algum serviço TCP passível de ser utilizado por máquinas externas. Não se deve colocar o
endereço do próprio firewall nesta lista, uma vez que o sistema operacional Linux não é suscetível
a ataques de SYN flood.
13.3. Proteção de Flood
O que é um ataque de Flood?
Os ataques de Flood se caracterizam por existir um elevado número de conexões abertas e

estabelecidas contra servidores web, ftp, smtp e etc, a partir de outras máquinas existentes
na Internet que foram invadidas e controladas para perpetrar ataques de negação de serviço
(DoS).
A proteção também é útil para evitar abuso do uso de determinados serviços (sites de
download, por exemplo) e evitar estragos maiores causados por vírus, como o NIMDA, que
fazia com que cada máquina infectada abrisse centenas de conexões simultaneamente.

463
Como funciona a proteção contra Flood do Aker Firewall?
O Aker Firewall possui um mecanismo que visa impedir que um ataque de Flood seja bem
sucedido. Seu funcionamento baseia na limitação de conexões que possam ser abertas
simultaneamente a partir de uma mesma máquina para uma entidade que está sendo
protegida.
O administrador do firewall deve estimar este limite dentro do funcionamento cotidiano de

cada servidor ou rede a ser protegida.
13.4. Utilizando a Interface Remota para Proteção de Flood
Figura 336 - Proteção de Flood.
 Clicar no menu Segurança na janela do Firewall.

 Selecionar o item Proteção de Flood.

464
A janela de configuração da proteção de Flood
Figura 337 - Proteção de Flood - Configuração.

fechada.
fechada.
aberta.
 Número: Corresponde ao número da regra de Proteção de Flood.

 Origem: Neste campo pode ser uma rede ou máquina de onde poderá ser originado
um ataque de DDoS.
 Destino: Incluir neste campo máquinas ou redes que deseja proteger.
 Serviços: Portas de serviços que se desejam proteger. Poderá ser incluído no campo
mais de uma entidade.
 Conexões Máximas: Campo numérico onde deve informar o número máximo de
conexões que a entidade pode receber a partir de uma mesma origem.
A quantidade máxima de conexões nas regras de proteção de flood não é a quantidade

agregada de conexões a partir da origem especificada, mas sim a quantidade, por endereço
IP único que encaixa na origem informada, de conexões simultâneas. Desta forma, por
exemplo, havendo a necessidade de limitar o número de downloads simultâneos por usuário
em 2, esse número dever ser 2, independentemente do número de usuários que façam os
downloads.

465
13.5. Proteção Anti Spoofing
O que é um Spoofing?
O spoofing do IP envolve o fornecimento de informações falsas sobre uma pessoa ou sobre a

identidade de um host para obter acesso não-autorizado a sistemas e/ou aos sistemas que
eles fornecem. O spoofing interfere na forma como um cliente e um servidor estabelecem
uma conexão. Apesar de o spoofing pode ocorrer com diversos protocolos específicos, o
spoofing do IP é o mais conhecido dentre todos os ataques de spoofing.
A primeira etapa de um ataque de spoofing é identificar duas máquinas de destino, que

chamaremos de A e B. Na maioria dos casos, uma máquina terá um relacionamento confiável
com a outra. É esse relacionamento que o ataque de spoofing tentará explorar. Uma vez que
os sistemas de destino tenham sido identificados, o violador tentará estabelecer uma
conexão com a máquina B de forma que B acredite que tem uma conexão com A, quando na
realidade a conexão é com a máquina do violador, que chamaremos de X. Isso é realizado por
meio da criação de uma mensagem falsa (uma mensagem criada na máquina X, mas que
contém o endereço de origem de A) solicitando uma conexão com B. Mediante o recebimento
dessa mensagem, B responderá com uma mensagem semelhante que reconhece a solicitação
e estabelece números de sequência.
Em circunstâncias normais, essa mensagem de B seria combinada a uma terceira mensagem

reconhecendo o número de sequência de B. Com isso, o "handshake" seria concluído, e a
conexão poderia prosseguir. No entanto, como acredita que está se comunicando com A, B
envia sua resposta a A, e não para X. Com isso, X terá de responder a B sem conhecer os
números de sequência gerados por B. Portanto, X deverá adivinhar com precisão números de
sequência que B utilizará. Em determinadas situações, isso é mais fácil do que possa imaginar.
No entanto, além de adivinhar o número de sequência, o violador deverá impedir que a

mensagem de B chegue até A. Se a mensagem tivesse de chegar a A, A negaria ter solicitado
uma conexão, e o ataque de spoofing falharia. Para alcançar esse objetivo, normalmente o
intruso enviaria diversos pacotes à máquina A para esgotar sua capacidade e impedir que ela
respondesse à mensagem de B. Essa técnica é conhecida como "violação de portas". Uma vez
que essa operação tenha chegado ao fim, o violador poderá concluir a falsa conexão.
O spoofing do IP, como foi descrito, é uma estratégia desajeitada e entediante. No entanto,
uma análise recente revelou a existência de ferramentas capazes de executar um ataque de
spoofing em menos de 20 segundos. O spoofing de IP é uma ameaça perigosa, cada vez maior,
mas, por sorte, é relativamente fácil criar mecanismos de proteção contra ela. A melhor
defesa contra o spoofing é configurar roteadores de modo a rejeitar qualquer pacote recebido
cuja origem alegada seja um host da rede interna. Essa simples precaução impedirá que
qualquer máquina externa tire vantagem de relacionamentos confiáveis dentro da rede
interna.

466
Como funciona a proteção contra Spoofing do Aker Firewall?
O Aker Firewall possui um mecanismo que visa impedir que um ataque de Spoofing seja bem
sucedido. Seu funcionamento baseia-se no cadastramento das redes que estão sendo
protegidas pelo firewall ou seja, atrás de cada interface de rede do firewall.
Nas redes internas, só serão aceitos pacotes das entidades cadastradas e, das externas,
somente pacotes cujo IP origem não se encaixe em nenhuma entidade cadastrada nas redes
internas (todas).
O administrador do firewall deve então fazer o levantamento destas redes, criar as entidades
correspondentes e utilizar a Interface Remota para montar a proteção.
13.6. Utilizando a Interface Remota para Anti Spoofing
Figura 338 - Anti Spoofing.
 Clicar no menu Segurança na janela do Firewall.

 Selecionar o item Anti Spoofing.
A janela de configuração de Anti Spoofing

467
Figura 339 - Anti Spoofing – Ativação do controle.

fechada.
fechada.
aberta.

 Ativação do controle anti-spoofing: A marcação da caixa ativa a proteção Anti
Spoofing.
 Interface: Corresponde a interface cadastrada no firewall pelo administrador.
 Status: Neste campo é mostrado o estado da interface, ou seja, se está ativa ou não.
Este campo não pode ser editado.
 Tipo: Por padrão este campo é marcado como Externa. Ao clicar com o botão direito
do mouse poderá ser trocado o tipo para Protegida, passando o campo Entidades para
a condição de editável.
Protegida significa que a interface está conectada a uma rede interna e somente serão aceitos
pacotes com endereços IP originados em alguma das entidades especificadas na regra.
Externa significa que é uma interface conectada a Internet da qual serão aceitos pacotes
provenientes de quaisquer endereços origem, exceto os pertencentes a entidades listadas
nas regras de interfaces marcadas como Protegidas.

468
Entidades: Ao definir uma interface Protegida, deve-se incluir neste campo a lista de todas as
redes e/ou máquinas que se encontram conectadas a esta interface.
13.7. Utilizando a Interface Texto (via SSH-fwflood) - SYN Flood
A Interface Texto (via SSH) de configuração da proteção contra SYN flood é bastante simples
de ser usada e tem as mesmas capacidades da Interface Remota (E possível usar todos os
comandos sem o prefixo “FW”, para isso execute o comando “fwshell”, então todos os
comandos poderão ser acessados sem o prefixo “FW”).
Localização do programa:/aker/bin/firewall/fwflood
Sintaxe:
Ajuda do programa:
Firewall Aker
fwflood - Configura parâmetros de proteção contra SYN Flood
Uso: fwflood [ativa | desativa | mostra | ajuda]
fwflood [inclui | remove] <nome>
fwflood tempo <valor>
ativa = ativa proteção contra SYN Flood

desativa = desativa proteção contra SYN Flood
inclui = inclui uma entidade a ser protegida
remove = remove uma das entidades a serem protegidas
tempo = configura o tempo máximo de espera para fechar conexão
Para inclui / remove temos:

nome = nome da entidade a ser protegida ou removida da proteção. Para tempo
temos:
valor = tempo máximo de espera em unidades de 500ms

469
#/aker/bin/firewall/fwflood mostra Parâmetros de configuração:
-------------------------------------
Proteção contra SYN Flood: ativada
Tempo limite de espera : 6 (x 500 ms)
Lista de entidades a serem protegidas:
-------------------------------------
NT1 (Máquina)
NT3 (Máquina)
13.8. Utilizando a Interface Texto (via SSH-fwmaxconn) - Proteção de Flood
Localização do programa:/aker/bin/firewall/fwmaxconn
Sintaxe:
Firewall Aker
Uso: fwmaxconn ajuda
fwmaxconn mostra
fwmaxconn inclui <pos> <origem> <destino> <serviço> <n_conns>
fwmaxconn remove <pos>
fwmaxconn < habilita | desabilita > <pos>
pos: posição da regra na tabela
origem: máquina/rede de onde se origina as conexões
destino: máquina/rede a que se destinam as conexões
serviço: serviço de rede para o qual existe a conexão
n_conns: número máximo de conexões simultâneas de mesma origem
#/aker/bin/firewall/fwmaxconn mostra Regra 01

--------
Origem: Rede_Internet
Destino: NT1
Serviços: HTTP
Conexões: 5000
Regra 02
--------

470
Destino: NT3
Serviços: FTP
Conexões : 10000
Regra 03
--------
Destino: Rede_Interna
Serviços: Gopher
Conexões: 100
13.9. Utilizando a Interface Texto (via SSH-fwifnet) - Anti Spoofing
Localização do programa:/aker/bin/firewall/fwifnet
Firewall Aker
Uso: fwifnet [ajuda | mostra]
fwifnet inclui interface <nome_if> [externa]
fwifnet inclui rede <nome_if> <rede> [rede1] [rede2] ...
fwifnet remove [-f] interface <nome_if>
fwifnet remove rede <nome_if> <endereco_IP> <mascara>
fwifnet <habilita | desabilita>
Ajuda do programa:
Uso: fwifnet [ajuda | mostra]

fwifnet inclui interface <nome_if> [externa]
fwifnet inclui rede <nome_if> <rede> [rede1] [rede2] ...
fwifnet remove [-f] interface <nome_if>
fwifnet remove rede <nome_if> <endereco_IP> <mascara>
para inclui/remove temos:

interface: o nome da interface de rede a ser controlada
externa: se esta palavra estiver presente, a interface será considerada externa pelo
firewall
rede: uma rede permitida em uma interface não externa

471
#/aker/bin/firewall/fwifnet mostra
Firewall Aker
Status do modulo anti-spoofing: habilitado
Interface cadastrada: Interf_DMZ
Rede permitida: Rede_DMZInterface
cadastrada: Interf_externa (externa)
Interface cadastrada: Interf_interna
Rede permitida: Rede_Interna
13.10. Bloqueio por excesso de tentativas de login inválidas
Figura 340 - Bloqueio de excesso de tentativas de login inválidas - Eventos.
O firewall, por padrão, vem com bloqueio de excesso de tentativas de login inválidas via
control center. Caso um IP realize três tentativas de conexões com usuários e/ou senhas
inválidos, o firewall não permite mais conexões por um período de tempo.

472
São criados eventos de log que podem ser vistos na janela de log, eles contêm informações
sobre o horário do bloqueio e o IP que realizou a tentativa.

473
Configurando as Ações do Sistema

474
14. Configurando Ações de Sistema
Este capítulo mostra como configurar as respostas automáticas do sistema para situações
pré-determinadas.
O que são as ações do sistema?
O Aker Firewall possui um mecanismo que possibilita a criação de respostas automáticas para
determinadas situações. Estas respostas automáticas são configuradas pelo administrador
em uma série de possíveis ações independentes que serão executadas quando uma situação
pré-determinada ocorrer.
Para que servem as ações do sistema?
O objetivo das ações é possibilitar um alto grau de interação do Firewall com o administrador.
Com o uso delas, é possível, por exemplo, que seja executado um programa capaz de chamá-
lo por meio de um pager quando a máquina detectar que um ataque está em andamento.
Desta forma, o administrador poderá tomar uma ação imediata, mesmo que ele não esteja
no momento monitorando o funcionamento do Firewall.
Para ter acesso a janela de configuração das ações deve-se:
Figura 341 - Ações.

475
 Clicar no menu Configurações do Sistema;
 Selecionar o item Ações.
A janela de configuração das ações
Ao selecionar esta opção, a janela de configurações das ações a serem executadas é exibida.
As ações dividem-se em módulos (Autenticação/Criptografia, Criptografia IPSEC, dentre
outros) e, para cada mensagem de log, evento ou pacote não enquadrado na regra, é possível
determinar ações independentes.
A janela terá a seguinte forma:
Figura 342 - Ações – Mensagens de logs.

476
Para selecionar as ações a serem executadas para as mensagens mostradas na janela, deve-
se clicar com o botão direito do mouse sobre as mensagens. A cada opção selecionada
aparecerá um ícone correspondente.
Figura 343 - Ações a serem executadas para mensagens exibidas.
Se a opção estiver marcada com o ícone aparente, a ação correspondente será executada
pelo Firewall quando a mensagem ocorrer. São permitidas as seguintes ações:
 Logar: Quando selecionada essa opção, todas as vezes que a mensagem correspondente
ocorrer, ela será registrada pelo firewall;
 Enviar e-mail: Quando selecionada essa opção, será enviado um e-mail todas as vezes que
a mensagem correspondente ocorrer (a configuração do endereço de e-mail será
mostrada no próximo tópico);
 Executar programa: Ao marcar essa opção, será executado um programa definido pelo
administrador todas as vezes que a mensagem correspondente ocorrer (a configuração
do nome do programa a ser executado será mostrada no próximo tópico);
 Disparar mensagens de alarme: Quando selecionada essa opção, o firewall mostra uma
janela de alerta todas as vezes que a mensagem correspondente ocorrer. Esta janela de
alerta será mostrada na máquina onde a Interface Remota estiver aberta e, se a máquina
permitir, será emitido também um aviso sonoro. Caso a Interface Remota não esteja
aberta, não será mostrada nenhuma mensagem e esta opção será ignorada (esta ação é
particularmente útil para chamar a atenção do administrador quando ocorrer uma
mensagem importante);
 Enviar trap SNMP: Quando selecionada essa opção, será enviada uma Trap SNMP para o
gerente SNMP todas as vezes que a mensagem correspondente ocorrer (a configuração
dos parâmetros de configuração para o envio das traps será mostrada no próximo tópico).
Não é possível alterar as ações para a mensagem de inicialização do firewall (mensagem

número 43). Esta mensagem sempre terá como ações configuradas apenas a opção “Logar”.
Significado dos botões da janela de ações
 O botão OK fará com que a janela de ações seja fechada e as alterações efetuadas
aplicadas;
serão aplicadas;

477
 O botão Aplicar fará com que as alterações sejam aplicadas sem que a janela feche.
A janela de configuração dos parâmetros
Para que o sistema consiga executar as ações deve-se configurar certos parâmetros (por
exemplo, para o Firewall enviar um e-mail, o endereço tem que ser configurado). Estes
parâmetros são configurados por meio da janela de configuração de parâmetros para as
ações.
Esta janela é mostrada Quando selecionada Parâmetros na janela de Ações. Ela tem o
seguinte formato:
Figura 344 - Ações: Parâmetros.
Significado dos parâmetros:
 Parâmetros para executar um programa
Arquivo de Programa: Este parâmetro configura o nome do programa que será executado
pelo sistema quando ocorrer uma ação marcada com a opção Programa. Deve ser
colocado o nome completo do programa, incluindo o caminho. Deve-se atentar para o

478
fato de que o programa e todos os diretórios do caminho devem ter permissão de
execução pelo usuário que irá executá-lo (que é configurado na próxima opção).
O programa receberá os seguintes parâmetros pela linha de comando (na ordem em que
serão passados):
1. Nome do próprio programa sendo executado (isto é um padrão do sistema

operacional Unix);
2. Tipo de mensagem (1 - para log ou 2- para evento);
3. Prioridade (7 - depuração, 6 - informação, 5 - notícia, 4 - advertência ou 3 - erro);
4. Número da mensagem que provocou a execução do programa ou 0 para indicar a
causa não foi uma mensagem. (neste caso, a execução do programa foi motivada
por uma regra);
5. Cadeia de caracteres ASCII com o texto completo da mensagem (está cadeia de
caracteres pode conter o caractere de avanço de linha no meio dela).
No sistema operacional UNIX, usa-se a barra "/" para especificar o caminho de um

programa. Isto pode causar confusão para quem estiver acostumado com o ambiente
DOS/Windows, que usa a barra invertida "\".
Nome efetivo do usuário: Este parâmetro indica a identidade com a qual o programa externo
será executado. O programa terá os mesmos privilégios deste usuário.
Este usuário deve ser um usuário válido, cadastrado no Linux. Não se deve confundir com
os usuários do Aker Firewall, que servem apenas para a administração do Firewall.
 Parâmetros para enviar traps SNMP
Endereço IP do servidor SNMP: Este parâmetro configura o endereço IP da máquina

gerente SNMP para a qual o firewall deve enviar as traps.
Comunidade SNMP: Este parâmetro configura o nome da comunidade SNMP que deve
ser enviada nas traps.
As traps SNMP enviadas terão o tipo genérico 6 (enterprise specific) e o tipo específico 1
para log ou 2 para eventos. Elas serão enviadas com o número de empresa (enterprise
number) 2549, que é o número designado pela IANA para a Aker Consultoria e Informática.
 Parâmetros para enviar e-mail
Endereço de e-mail: Este parâmetro configura o endereço de e-mail do usuário para o

qual devem ser enviados os e-mails. Este usuário pode ser um usuário da própria máquina
ou não (neste caso deve-se colocar o endereço completo, por exemplo
user@aker.com.br).
Caso queira enviar e-mails para vários usuários, pode-se criar uma lista e colocar o nome
da lista neste campo.
479
É importante notar que caso algum destes parâmetros esteja em branco, à ação
correspondente não será executada, mesmo que ela esteja marcada para tal.
14.2. Utilizando a Interface Texto (via SSH-fwaction)
A Interface Texto (via SSH) para a configuração das ações possui as mesmas capacidades da
Interface Remota, porém, é de fácil uso (E possível usar todos os comandos sem o prefixo
“FW”, para isso execute o comando “fwshell”, então todos os comandos poderão ser
Localização do programa: /aker/bin/firewall/fwaction
Sintaxe:
fwaction ajuda
fwaction mostra
fwaction atribui <numero> [loga] [mail] [trap] [programa] [alerta]
fwaction <programa | usuário | comunidade> [nome]
fwaction ip [endereço IP]
fwaction e-mail [endereço]
Ajuda do programa:
fwaction - Interface Texto (via SSH) para a configuração das ações do sistema
Uso: fwaction ajuda
fwaction mostra
fwaction atribui <numero> [loga] [mail] [trap] [programa] [alerta]
fwaction <programa | usuário | comunidade> [nome]

fwaction ip [endereço IP]
fwaction e-mail [endereço]

mostra = lista as mensagens e as ações configuradas para cada uma
atribui = configura as ações para uma determinada mensagem
programa = define o nome do programa a ser executado
usuário = define o nome do usuário que executara o programa
comunidade = define o nome da comunidade SNMP para o envio das traps
480
ip = define o endereço IP do servidor SNMP que recebera as traps
e-mail = define o nome do usuário que recebera os e-mails
Para atribui temos:

numero = numero da mensagem a atribuir as ações
(o numero de cada mensagem aparece na esquerda ao se
selecionar a opção mostra)
loga = Loga cada mensagem que for gerada
mail = Manda um e-mail para cada mensagem que for gerada
trap = Gera trap SNMP para cada mensagem que for gerada
programa = Executa programa para cada mensagem que for gerada
alerta = Abre janela de alerta para cada mensagem que for gerada
Exemplo 1: (configurando os parâmetros para envio de e-mail e execução de programa)
#fwaction e-mail root

#fwaction programa /aker/bin/pager
#fwaction usuário nobody
Exemplo 2: (mostrando a configuração completa das ações do sistema)
#fwaction mostra
Condições Gerais:
00 - Pacote fora das regras

>>>> Loga
Mensagens do log:
01 - Possível ataque de fragmentação

>>>> Loga
02 - Pacote IP direcionado
>>>> Loga
03 - Ataque de land
>>>> Loga
04 - Conexão não consta na tabela dinâmica
>>>> Loga
05 - Pacote proveniente de interface invalida
>>>> Loga
06 - Pacote proveniente de interface não determinada
>>>> Loga
07 - Conexão de controle não está aberta

481
>>>> Loga
(...)
237 - O Secure Roaming encontrou um erro

>>>> Loga
238 - O Secure Roaming encontrou um erro fatal
>>>> Loga
239 - Usuários responsáveis do Configuration Manager
>>>> Loga
Parâmetros de configuração:
programa: /aker/bin/pager
usuário: nobody
e-mail: root
comunidade:
ip:
Devido ao grande número de mensagens, só estão sendo mostradas as primeiras e as

últimas. O programa real mostra todas ao ser executado.
Exemplo 3: (atribuindo as ações para os Pacotes fora das regras e mostrando as mensagens)
#fwaction atribui 0 loga mail alerta

#fwaction mostra
Condições Gerais:

>>>> Loga Mail Alerta
Mensagens do log:

>>>> Loga
>>>> Loga
03 - Ataque de land
>>>> Loga
>>>> Loga
482
>>>> Loga
>>>> Loga
>>>> Loga
(...)

>>>> Loga
>>>> Loga
>>>> Loga
programa : /aker/bin/pager
usuário : nobody
e-mail : root
comunidade:
ip :

últimas. O programa real mostra todas as mensagens, ao ser executado.
Exemplo 4: (cancelando todas as ações para a mensagem de Pacote IP direcionado e

mostrando as mensagens)
#fwaction atribui 2
#fwaction mostra
Condições Gerais:

>>>> Loga Mail Alerta
Mensagens do log:

>>>> Loga Mail
483
>>>>
03 - Ataque de land
>>>> Loga
>>>> Loga
>>>> Loga
>>>> Loga
>>>> Loga
(...)

>>>> Loga
>>>> Loga
>>>> Loga
programa: /aker/bin/pager
usuário: nobody
e-mail: root
comunidade:
ip:

últimas. O programa real mostra todas ao ser executado.

484
Visualizando o Log do Sistema

485
15. Visualizando o log do Sistema
Este capítulo mostra como visualizar o log do sistema, um recurso imprescindível na detecção
de ataques, no acompanhamento e monitoramento do firewall e na fase de configuração do
sistema.
O que é o log do sistema?
O log é o local onde o firewall guarda todas as informações relativas aos pacotes recebidos.
Nele podem aparecer registros gerados por qualquer um dos três grandes módulos: filtro de
pacotes, conversor de endereços e criptografia/autenticação. O tipo de informação guardada
no log depende da configuração realizada no firewall, mas basicamente ele inclui informações
sobre os pacotes que foram aceitos, descartados e rejeitados, os erros apresentados por
certos pacotes e as informações sobre a conversão de endereços.
De todos estes dados, as informações sobre os pacotes descartados e rejeitados são

possivelmente as de maior importância, já que são por meio delas que se pode determinar
possíveis tentativas de invasão, tentativa de uso de serviços não autorizados, erros de
configuração, etc.
O que é um filtro de log?
Mesmo que o sistema tenha sido configurado para registrar todo o tipo de informação, muitas
vezes está interessado em alguma informação específica (por exemplo, suponha que queira
ver as tentativas de uso do serviço POP3 de uma determinada máquina que foram rejeitadas
em um determinado dia, ou ainda, quais foram aceitas). O filtro de log é um mecanismo
oferecido pelo Aker Firewall para se criar visões do conjunto total de registros, possibilitando
que se obtenham as informações desejadas facilmente.
O filtro só permite a visualização de informações que tiverem sido registradas no log. Caso
queira obter uma determinada informação, é necessário inicialmente configurar o sistema
para registrá-la e então utilizar um filtro para visualizá-la.

486
Para ter acesso a janela de visualização do log deve-se
Figura 345 - Log.
 Clicar no menu Auditoria do firewall que se deseja ver o log;

 Selecionar a opção Log.
A barra de ferramentas do Log
Todas as vezes que a opção Log for selecionada é mostrada automaticamente a barra de
ferramentas de Log. Esta barra, que estará ao lado das outras barras, poderá ser arrastada e
ficar flutuando acima das informações do Log. Ela tem o seguinte formato:
Figura 346 - Barra de ferramentas de log.

487
Significado dos Ícones:
Abre a janela de filtragem do firewall;
Figura 347 – Botão: Filtragem do Firewall.
Este ícone somente irá aparecer quando o firewall estiver fazendo uma
procura no Log. Ele permite interromper a busca do firewall;
Figura 348 – Botão: Interromper busca do Firewall.
Exporta o log para diversos formatos de arquivos;
Figura 349 - Botão: Exportar log.
Apaga o Log do firewall;
Figura 350 – Botão: Apagar log do Firewall.
Realiza uma resolução reversa dos IP que estão sendo mostrados pelo Log;
Figura 351 - Botão: Resolução reversa dos IP
Permite fazer uma atualização da tela de logs dentro de um determinado

período definido no campo seguinte;
Figura 352 - Botão: atualização de telas de log.

488
Define o tempo que o firewall irá atualizar a janela com informações de log;
Figura 353 - Botão: tempo de atualização do log.
Percorre o Log para frente e para trás;
Figura 354 - Botão: percorre log.
Expande as mensagens de Log, mostrando as mesmas com o máximo de

informação;
Figura 355 - Botão: expandir mensagens de log.

489
Janela de Filtragem de Log
Figura 356 - Filtro de log.
Na parte superior da janela, encontram-se os botões Salvar, Remover e Novo. Permite gravar
um perfil de pesquisa que poderá ser usado posteriormente pelo administrador.
Para salvar um filtro de log, deve-se proceder da seguinte forma:
1. Preencher todos os seus campos da forma desejada.

2. Definir, no campo Filtros, o nome pelo qual ele será referenciado.
3. Clicar no botão Salvar.
Para aplicar um filtro salvo, basta selecionar seu nome no campo Filtros e todos os campos
serão automaticamente preenchidos com os dados salvos.

490
Para excluir um filtro, deve-se proceder da seguinte forma:
1. Selecionar o filtro a ser removido, no campo Filtros.

2. Clicar no botão Remover.
O filtro padrão é configurado para mostrar todos os registros do dia atual. Para alterar a
visualização para outros dias, na janela Data/Hora, pode-se configurar os campos De e Até
para os dias desejados (a faixa de visualização compreende os registros da data inicial à data
final, inclusive).
Caso queira ver os registros cujos endereços origem e/ou destino do pacote pertençam a um
determinado conjunto de máquinas, pode-se utilizar os campos IP / Máscara ou Entidade para
especificá-lo.
O botão permite a escolha do modo de filtragem a ser realizado: caso o botão esteja
selecionado, serão mostrados na janela os campos, chamados de IP, Máscara (para origem
do pacote) e IP, Máscara (para Destino do pacote). Estes campos poderão ser utilizados para
especificar o conjunto origem e/ou o conjunto destino. Neste caso, pode-se selecionar uma
entidade em cada um destes campos e estas serão utilizadas para especificar os conjuntos
origem e destino. O botão pode ser usado independente um do outro, ou seja pode-se optar
que seja selecionado pela entidade na origem e por IP e Máscara para o destino.

491
Figura 357 - Filtro de log.
Para monitorar um serviço específico deve-se colocar seu número no campo Porta. A partir
deste momento só serão mostradas entradas cujo serviço especificado for utilizado. É
importante também que seja selecionado o protocolo correspondente ao serviço desejado
no campo protocolo, mostrado abaixo.
No caso dos protocolos TCP e UDP, para especificar um serviço, deve-se colocar o número
da porta destino, associada ao serviço, neste campo. No caso do ICMP deve-se colocar o tipo
de serviço. Para outros protocolos, coloca-se o número do protocolo desejado.
Além destes campos, existem outras opções que podem ser combinadas para restringir ainda
mais o tipo de informação mostrada:
Ação:
Representa qual ação o sistema tomou ao lidar com o pacote em questão. Existem as
seguintes opções possíveis, que podem ser selecionadas independentemente:
 Aceito: Mostra os pacotes que foram aceitos pelo firewall.

492
 Rejeitado: Mostra os pacotes que foram rejeitados pelo firewall.
 Descartado: Mostra os pacotes que foram descartados pelo firewall.
 Convertido: Mostra as mensagens relacionadas à conversão de endereços.
Prioridade:
Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for à

prioridade associada a um determinado registro, mais importância deve-se dar a ele. Abaixo
está a lista com todas as prioridades possíveis, ordenada da mais importante para a menos
(caso tenha configurado o firewall para mandar uma cópia do log para o syslogd, as
prioridades com as quais as mensagens serão geradas no syslog são as mesmas apresentadas
abaixo):
 Aviso
Os registros que se enquadram nesta prioridade normalmente indicam que algum tipo de
ataque ou situação bastante séria (como por exemplo, um erro na configuração dos fluxos
de criptografia) está ocorrendo. Este tipo de registro sempre vem precedido de uma
mensagem que fornece maiores explicações sobre ele.
 Nota
Normalmente se enquadram nesta prioridade os pacotes que foram rejeitados ou

descartados pelo sistema, em virtude destes terem se encaixado em uma regra
configurada para rejeitá-los ou descartá-los ou por não terem se encaixado em nenhuma
regra. Em algumas situações eles podem ser precedidos por mensagens explicativas.
 Informação
Os registros desta prioridade acrescentam informações úteis mas não tão importantes
para a administração do Firewall. Estes registros nunca são precedidos por mensagens
explicativas. Normalmente se enquadram nesta prioridade os pacotes aceitos pelo
firewall.
 Depuração
Os registros desta prioridade não trazem nenhuma informação realmente útil, exceto
quando se está configurando o sistema. Enquadram-se nesta prioridade as mensagens de
conversão de endereços.

493
Módulo:
Esta opção permite visualizar independentemente os registros gerados por cada um dos
três grandes módulos do sistema: filtro de pacotes, conversor de endereços, módulo de
criptografia, IPSEC e Clustering.
Protocolo:
Este campo permite especificar o protocolo dos registros a serem mostrados. As seguintes
opções são permitidas:
 TCP
Serão mostrados os registros gerados a partir de pacotes TCP. Se esta opção for
marcada, a opção TCP/SYN será automaticamente desmarcada.
 TCP/SYN
Serão mostrados os registros gerados a partir de pacotes TCP de abertura de conexão

(pacotes com o flag de SYN ativo). Se esta opção for marcada, a opção TCP será
automaticamente desmarcada.
 UDP
Serão mostrados os registros gerados a partir de pacotes UDP.
 ICMP
Serão mostrados os registros gerados a partir de pacotes ICMP.
 Outro
Serão mostrados registros gerados a partir de pacotes com protocolo diferente de TCP, UDP
e ICMP. Pode-se restringir mais o protocolo a ser mostrado, especificando seu número por
meio do campo Porta destino ou Tipo de Serviço.
 O botão OK aplicará o filtro escolhido e mostra a janela de log, com as informações

selecionadas.
 O botão Cancelar fará com que a operação de filtragem seja cancelada e a janela de log
mostrada com as informações anteriores.

494
A janela de log
Figura 358 - Lista com várias entradas de log.
A janela de log será mostrada após a aplicação de um filtro novo. Ela consiste de uma lista
com várias entradas. Todas as entradas possuem o mesmo formato, entretanto, dependendo
do protocolo do pacote que as gerou, alguns campos podem estar ausentes. Além disso,
algumas entradas serão precedidas por uma mensagem especial, em formato de texto, que
trará informações adicionais sobre o registro (o significado de cada tipo de registro será
mostrado no próximo tópico).
Observações importantes:
 Os registros serão mostrados de 100 em 100.

 Só serão mostrados os primeiros 10.000 registros que se enquadrem no filtro escolhido.
Os demais podem ser vistos exportando o log para um arquivo ou utilizando um filtro que
produza um número menor de registros.
 No lado esquerdo de cada mensagem, será mostrado um ícone colorido simbolizando sua
prioridade. As cores têm o seguinte significado:

495
Azul Depuração
Verde Informação
Amarelo Nota
Vermelho Aviso
 Ao clicar com o botão esquerdo sobre uma mensagem, aparecerá na parte inferior da tela
uma linha com informações adicionais sobre o registro.
Ao se apagar todo o log, não existe nenhuma maneira de recuperar as informações

anteriores. A única possibilidade de recuperação é a restauração de uma cópia de segurança.
Se a opção Expande mensagens estiver marcada e se tiver escolhido a opção de exportação

em formato texto, o log será exportado com as mensagens complementares; caso contrário,
o log será exportado sem elas.
Esta opção é bastante útil para enviar uma cópia do log para alguma outra pessoa, para
guardar uma cópia em formato texto de informações importantes ou para importar o log por
um analisador de log citados acima. Ao ser clicado, será mostrada a seguinte janela:
Figura 359 - Exportador de log.

496
Figura 360 - Barra de exportação de log – porcentagem realizada.
Para exportar o conteúdo do log, basta fornecer o nome do arquivo a ser criado, escolher seu
formato e clicar no botão Salvar. Para cancelar a operação, clique em Cancelar.
Se já existir um arquivo com o nome informado ele será apagado.
 O botão Próximos, representado como uma seta para a direita na barra de ferramentas,
mostra os próximos 100 registros selecionados pelo filtro. Se não existirem mais registros,
esta opção estará desabilitada.
 O botão Últimos, representado como uma seta para a esquerda na barra de ferramentas,
mostra os 100 registros anteriores. Se não existirem registros anteriores, esta opção
estará desabilitada.
 O botão Ajuda mostra a janela de ajuda específica para a janela de log.
15.2. Formato e significado dos campos dos registros do log
Abaixo segue a descrição do formato de cada registro, seguido de uma descrição de cada um
dos campos. O formato dos registros é o mesmo para a Interface Remota e para a Interface
Texto (via SSH).
Registros gerados pelo filtro de pacotes ou pelo módulo de criptografia
Qualquer um destes registros pode vir precedido de uma mensagem especial. A listagem
completa de todas as possíveis mensagens especiais e seus significados se encontra no
apêndice A.

497
 Protocolo TCP
Formato do registro:
<Data> <Hora> - <Repetição> <Ação> TCP <Status> <IP origem> <Porta origem> <IP
destino> <Porta destino> <Flags> <Interface>
Descrição dos campos:
Data: Data em que o registro foi gerado.

Hora: Hora em que o registro foi gerado.
Repetição: Número de vezes em que o registro se repetiu seguidamente. Este campo é
mostrado entre parênteses na Interface Texto (via SSH).
Status: Este campo, que aparece entre parênteses na Interface Texto (via SSH), consiste de
uma a três letras, independentes, que possuem o significado abaixo:
A: Pacote autenticado
E: Pacote encriptado
S: Pacote usando troca de chaves via SKIP ou AKER-CDP
Ação: Este campo indica qual foi à ação tomada pelo firewall com relação ao pacote. Ele
pode assumir os seguintes valores:
A: Indica que o pacote foi aceito pelo firewall

D: Indica que o pacote foi descartado
R: Indica que o pacote foi rejeitado
IP origem: Endereço IP de origem do pacote que gerou o registro.

Porta origem: Porta de origem do pacote que gerou o registro.
IP destino: Endereço IP destino do pacote que gerou o registro.
Porta destino: Porta destino do pacote que gerou o registro.
Flags: Flags do protocolo TCP presentes no pacote que gerou o registro. Este campo consiste
de uma a seis letras independentes. A presença de uma letra, indica que o flag
correspondente a ela estava presente no pacote. O significado das letras é o seguinte:
S: SYN
F: FIN
A: ACK
P: PUSH
R: RST (Reset)
U: URG (Urgent Pointer)
Interface: Interface de rede do firewall por onde o pacote foi recebido.
 Protocolo UDP
498
<Data> <Hora> - <Repetição> <Ação> UDP <Status> <IP origem> <Porta origem> <IP
destino> <Porta destino> <Interface>



Porta destino: Porta destino do pacote que gerou o registro.
 Protocolo ICMP
<Data> <Hora> - <Repetição> <Ação> ICMP <Status> <IP origem> <IP destino> <Tipo de
serviço> <Interface>


499


Tipo de serviço: Tipo de serviço ICMP do pacote que gerou o registro.
 Outros protocolos
<Data> <Hora> - <Repetição> <Ação> <Protocolo> <Status> <IP origem> <IP destino>
<Interface>


Protocolo: Nome do protocolo do pacote que gerou o registro (caso o firewall não consiga
resolver o nome do protocolo, será mostrado o seu número).

500
Registros gerados pelo conversor de endereços
<Data> <Hora> - <Repetição> C <Protocolo> <IP origem> <Porta origem> <IP convertido>
<Porta convertida>
Descrição dos campos dos registros

Repetição: Número de vezes que o registro se repetiu seguidamente. Este campo é
Protocolo: É o protocolo do pacote que gerou o registro. Pode ser TCP ou UDP.
IP convertido: Endereço IP para o qual o endereço de origem do pacote foi convertido.
Porta convertida: Porta para qual a porta de origem do pacote foi convertida.
15.3. Utilizando a Interface Texto (via SSH-fwlog)
A Interface Texto (via SSH) para o acesso ao log tem funcionalidade similar à da Interface
Remota, porém possui opções de filtragem bem mais limitadas. Além disso, por meio da
Interface Texto (via SSH), não se tem acesso às informações complementares que são
mostradas quando se seleciona uma entrada do log na Interface Remota ou quando se ativa
a opção Expande mensagens (E possível usar todos os comandos sem o prefixo “FW”, para
isso execute o comando “fwshell”, então os comandos poderão ser acessados sem o prefixo
“FW”).
Localização do programa: /aker/bin/firewall/fwlog
Sintaxe:
Firewall Aker
fwlog apaga [log | log6 | eventos] [<data_inicio> <data_fim>]
fwlog mostra [log | log6 | eventos] [local | cluster] [<data_inicio> <data_fim>] [prioridade]

501
Ajuda do programa:
Uso: fwlog ajuda

fwlog apaga [log | log6 | eventos] [<data_inicio> <data_fim>]
fwlog mostra [log | log6 | eventos] [local | cluster] [<data_inicio> <data_fim>] [prioridade]
fwlog - Interface Texto (via SSH) para visualizar log e eventos

mostra = lista o conteúdo do log ou dos eventos. Ele pode mostra
apenas o log local ou todo o log do cluster
apaga = apaga todos os registros do log ou dos eventos
Para "mostra" temos: data_inicio = data a partir da qual os registros serão mostrados
data_fim = data até onde mostrar os registros
(As datas devem estar no formato dd/mm/aaaa)
(Se não forem informadas as datas, mostra os registros de hoje)
prioridade = campo opcional. Se for informado deve ter um dos seguintes

valores: ERRO, ADVERTENCIA, NOTICIA, INFORMACAO ou DEPURACAO
(Ao selecionar uma prioridade, somente serão listados
registros cuja prioridade for igual à informada)
Exemplo 1: (mostrando o log do dia 07/07/2003)
#fwlog mostra log 07/07/2003 07/07/2003
07/07/2003 19:06:54 (01) D UDP 10.4.1.126 137 10.4.1.255 137 de0

07/07/2003 19:06:47 (01) D UDP 10.4.1.120 138 10.4.1.255 138 de0
07/07/2003 19:06:35 (01) D UDP 10.4.1.210 138 10.4.1.255 138 de0
07/07/2003 19:06:22 (01) A TCP 10.4.1.24 1027 10.5.1.1 23 de0
07/07/2003 19:06:21 (02) R TCP 10.4.1.2 1028 10.7.1.14 79 de0
07/07/2003 19:06:21 (01) A ICMP 10.5.1.134 10.4.1.12 8 de1
07/07/2003 19:06:20 (01) A ICMP 10.4.1.12 137 10.5.1.134 0 de0
07/07/2003 19:06:02 (01) A UDP 10.4.1.59 1050 10.7.1.25 53 de0
Exemplo 2: (mostrando o log do dia 07/07/2003, apenas prioridade notícia)
#fwlog mostra log 07/07/2003 07/07/2003 noticia
07/07/2003 19:06:54 (01) D UDP 10.4.1.126 137 10.4.1.255 137 de0

07/07/2003 19:06:47 (01) D UDP 10.4.1.120 138 10.4.1.255 138 de0

502
07/07/2003 19:06:35 (01) D UDP 10.4.1.210 138 10.4.1.255 138 de0
07/07/2003 19:06:21 (02) R TCP 10.4.1.2 1028 10.7.1.14 79 de0
Exemplo 3: (apagando o arquivo de log)
#fwlog apaga log 21/10/2003 23/10/2003
Remoção dos registros foi solicitada ao servidor de log

503
Visualizando Eventos do Sistema

504
16. Visualizando Eventos do Sistema
Este capítulo mostra como visualizar os eventos do sistema, um recurso muito útil para
acompanhar o funcionamento do firewall e detectar possíveis ataques e erros de
configuração.
O que são os eventos do sistema?
Eventos são as mensagens do firewall de nível mais alto, ou seja, não relacionadas
diretamente a pacotes (como é o caso do log). Nos eventos, podem aparecer mensagens
geradas por qualquer um dos três grandes módulos (filtro de pacotes, conversor de endereços
e autenticação/criptografia) e por qualquer outro componente do firewall, como por
exemplo, os proxies e os processos servidores encarregados de tarefas específicas.
Basicamente, o tipo de informação mostrada varia desde mensagens úteis para acompanhar
o funcionamento do sistema (uma mensagem gerada todas as vezes que a máquina é
reiniciada, todas as vezes que alguém estabelece uma sessão com o firewall, etc.) até
mensagens provocadas por erros de configuração ou de execução.
O que é um filtro de eventos?
Mesmo que o sistema tenha sido configurado para registrar todos os possíveis eventos,
muitas vezes está interessado em alguma informação específica (por exemplo, suponha que
queira ver todas as mensagens do dia de ontem). O filtro de eventos é um mecanismo
oferecido pelo Aker Firewall para criar visões do conjunto total de mensagens, possibilitando
que obtenha as informações desejadas facilmente.
O filtro só permite a visualização de informações que tiverem sido registradas nos eventos.
Caso queira obter uma determinada informação deve-se inicialmente configurar o sistema
para registrá-la e então utilizar um filtro para visualizá-la.

505
Para ter acesso a janela de eventos deve-se:
Figura 361 - Eventos.
 Clicar no menu Auditoria do firewall que se deseja visualizar os eventos;

 Selecionar a opção Eventos.
A barra de ferramentas de Eventos
Todas as vezes que a opção Eventos é selecionada, é mostrada automaticamente a barra de

ferramentas de Eventos. Esta barra, que estará ao lado das outras barras, poderá ser
arrastada e ficar flutuando acima das informações dos Eventos. Ela tem o seguinte formato:
Figura 362 - Barra de ferramentas: Eventos.

506
A janela de filtro de eventos
Figura 363 - Filtro de eventos.
Na parte superior da janela, encontram-se os botões Salvar, Remover e Novo. O botão Salvar
permite que seja salvo os campos de um filtro de forma a facilitar sua aplicação posterior e o
botão excluir permite que seja excluído um filtro salvo não mais desejado.
Para salvar um filtro de eventos, deve-se proceder da seguinte forma:
1. Preencher todos os seus campos da forma desejada.

2. Definir, no campo Filtros, o nome pelo qual ele será referenciado.
3. Clicar no botão Salvar.
Para aplicar um filtro salvo, deve-se selecionar seu nome no campo Filtros e todos os campos
serão automaticamente preenchidos com os dados salvos.

507
Para excluir um filtro que não mais seja desejado, deve-se proceder da seguinte forma:
1. Selecionar o filtro a ser removido, no campo Filtros.

2. Clicar no botão Excluir.
O filtro padrão é configurado para mostrar todos as mensagens do dia atual. Para alterar a
visualização para outros dias, pode-se configurar a Data Inicial e a Data Final para os dias
desejados (a faixa de visualização compreende os registros da data inicial à data final,
inclusive).
Além de especificar as datas, é possível também determinar quais mensagens devem ser
mostradas. A opção Filtrar por permite escolher entre a listagem de mensagens ou de
prioridades.
 Filtragem por mensagens
Ao selecionar filtragem por mensagens, serão mostrados na lista do lado esquerdo da

janela os nomes de todos os módulos que compõem o firewall. Ao clicar em um destes
módulos, serão mostradas na lista à direita as diferentes mensagens que podem ser
geradas por ele.
Dica: Para selecionar todas as mensagens de um módulo, deve-se clicar sobre a caixa à
esquerda do nome do módulo.
 Filtragem por prioridade
Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for à

prioridade associada a um determinado registro, mais importância deve-se dar a ele.
Ao selecionar filtragem por prioridade, será mostrado na lista do lado esquerdo da janela
o nome de todos os módulos que compõem o firewall. Ao clicar em um destes módulos,
serão mostradas na lista à direita as diferentes prioridades das mensagens que podem ser
geradas por ele.
Abaixo, está a lista com todas as prioridades possíveis, ordenadas das mais importantes
para as menos importantes (caso tenha configurado o firewall para mandar uma cópia dos
eventos para o syslog, as prioridades com as quais as mensagens serão geradas no syslog
são as mesmas apresentadas abaixo):
 Erro
Os registros que se enquadrem nesta prioridade indicam algum tipo de erro de

configuração ou de operação do sistema (por exemplo, falta de memória). Mensagens
desta prioridade são raras e devem ser tratadas imediatamente.

508
 Alerta
Os registros que se enquadrarem nesta prioridade indicam que algum tipo de situação
séria e não considerada normal ocorreu (por exemplo, uma falha na validação de um
usuário ao estabelecer uma sessão de administração remota).
 Aviso
Enquadram-se nesta prioridade os registros que trazem informações que são

consideradas importantes para o administrador do sistema, mas estão associadas a uma
situação normal (por exemplo, um administrador iniciou uma sessão remota de
administração).
 Informação
Os registros desta prioridade acrescentam informações úteis mas não tão importantes
para a administração do Firewall (por exemplo, uma sessão de administração remota foi
finalizada).
 Depuração
Os registros desta prioridade não trazem nenhuma informação realmente importante,

exceto no caso de uma auditoria. Nesta prioridade se encaixam as mensagens geradas
pelo módulo de administração remota todas as vezes que é realizada uma alteração na
configuração do firewall e uma mensagem gerada todas as vezes que o firewall é
reinicializado.
Como última opção de filtragem, existe o campo Filtrar no complemento por. Este campo
permite que seja especificado um texto que deve existir nos complementos de todas as
mensagens para que elas sejam mostradas. Desta forma, é possível, por exemplo,
visualizar todas as páginas WWW acessadas por um determinado usuário, bastando para
isso colocar seu nome neste campo.
 O botão OK aplicará o filtro escolhido e mostra a janela de eventos, com as informações

selecionadas.
 O botão Cancelar fará com que a operação de filtragem seja cancelada e a janela de
eventos será mostrada com as informações anteriores.

509
A janela de eventos
Figura 364 - Descrição dos Eventos.
A janela de eventos será mostrada após a aplicação de um novo filtro. Ela consiste de uma
lista com várias mensagens. Normalmente, cada linha corresponde a uma mensagem distinta,
porém existem mensagens que podem ocupar 2 ou 3 linhas. O formato das mensagens será
mostrado na próxima seção.
Observações importantes:
 As mensagens serão mostradas de 100 em 100.

510
 Só serão mostradas as primeiras 10.000 mensagens que são enquadradas no filtro
escolhido. As demais podem ser vistas exportando os eventos para um arquivo ou
utilizando um filtro que produza um número menor de mensagens.
 No lado esquerdo de cada mensagem, será mostrado um ícone colorido simbolizando sua
prioridade. As cores têm o seguinte significado:
Azul Depuração
Verde Informação
Amarelo Notícia
Vermelho Advertência
Preto Erro
 Ao clicar com o botão esquerdo sobre uma mensagem, aparecerá na parte inferior da tela
uma linha com informações adicionais sobre ela.
Ao apagar todos os eventos, não existe nenhuma maneira de recuperar as informações

anteriores. A única possibilidade de recuperação é a restauração de uma cópia de segurança.
 O botão Salvar, localizado na barra de ferramentas, gravará todas as informações

selecionadas pelo filtro atual em um arquivo em formato texto ou em formatos que
permitem sua importação pelos analisadores de log da Aker e da WebTrends (R). Os
arquivos consistirão de várias linhas de conteúdo igual ao mostrado na janela.
Se a opção Expande mensagens estiver marcada e se tiver escolhido a opção de exportação

em formato texto, os eventos serão exportados com as mensagens complementares; caso
contrário, os eventos serão exportados sem elas.
Esta opção é bastante útil para enviar uma cópia do log para alguma outra pessoa, para
guardar uma cópia em formato texto de informações importantes ou para importar os
eventos por um analisador de log citado acima. Ao ser clicado, será mostrada a seguinte
janela:

511
Figura 365 - Exportar log de eventos.
Para exportar o conteúdo dos eventos, basta fornecer o nome do arquivo a ser criado,
escolher seu formato e clicar no botão Salvar. Para cancelar a operação, clique em Cancelar.
Se já existir um arquivo com o nome informado ele será apagado.
 O botão Próximos 100, representado como uma seta para a direita na barra de
ferramentas mostra as últimas 100 mensagens selecionadas pelo filtro. Se não existirem
mais mensagens, esta opção estará desabilitada.
 O botão Últimos 100, representado como uma seta para a esquerda na barra de
ferramentas mostra as 100 mensagens anteriores. Se não existirem mensagens
anteriores, esta opção estará desabilitada.
 O botão Ajuda mostra a janela de ajuda específica para a janela de eventos.

512
16.2. Formato e significado dos campos das mensagens de eventos
Abaixo segue a descrição do formato das mensagens, seguido de uma descrição de cada um
de seus campos. A listagem completa de todas as possíveis mensagens e seus significados se
encontra no apêndice A.
<Data> <Hora> <Mensagem> [Complemento]

[Mensagem complementar 1]
[Mensagem complementar 2]

Mensagem: Mensagem textual que relata o acontecimento.
Complemento: Este campo traz informações complementares e pode ou não aparecer,
dependendo da mensagem. Na Interface Texto (via SSH), caso ele apareça, virá entre
parênteses.
Mensagem complementar 1 e 2: Estes complementos só existem no caso de mensagens
relacionadas às conexões tratadas pelos proxies transparentes e não-transparentes e são
mostrados sempre na linha abaixo da mensagem a que se referem. Nestas mensagens
complementares, se encontram o endereço origem da conexão e, no caso dos proxies
transparentes, o endereço destino.

513
Visualizando Estatísticas

514
17. Visualizando Estatísticas
Este capítulo mostra sobre o que é a janela de estatística e suas características.
O que é a janela de estatísticas do Aker Firewall?
No Firewall, a estatística é um método de medir o tráfego de dados por meio de suas

interfaces. Este tráfego é traduzido em números que mostram a quantidade de pacotes
enviados ou recebidos, além do tamanho total de bytes trafegados.
Utilizando-se destas informações, o administrador consegue verificar o fluxo de dados de seus

serviços podendo, assim saber se o ambiente físico da rede precisa ser melhorado ou
expandido.
Outra utilização para este tipo de informação é a realização de bilhetagem da rede. Tendo-se
conhecimento da quantidade de bytes que cada máquina transferiu na rede, calcula-se o
quanto que cada uma deve ser taxada.
Para realizar bilhetagem de rede, deve ser criado uma regra de filtragem com um
acumulador diferente para cada máquina a ser taxada. Todos os acumuladores devem ter
regras de estatísticas associados a eles. Estas regras são configuradas na janela de visualização
de estatística.
Como funcionam as estatísticas do Aker Firewall?
O funcionamento das estatísticas do Aker Firewall é baseado em três etapas distintas:
 Criação de Acumuladores:
Nesta etapa, cadastramos os acumuladores que serão associados a regras de filtragem.

Eles servem apenas como totalizadores de uma ou mais regras de filtragem. Para maiores
informações sobre a criação de acumuladores e sua associação com regras de filtragem,
vejam os capítulos Cadastrando Entidades e O Filtro de Estados.
 Criação de regras de estatística:
Após a criação dos acumuladores e sua associação com as regras de filtragem desejadas,
devemos criar regras de estatística que definem os intervalos de coleta e quais
acumuladores serão somados para gerar o valor da estatística em um dado momento.
Esta etapa será explicada neste capítulo.
 Visualização das estatísticas:

515
Após a criação das regras de estatísticas, podemos ver os valores associados a cada uma
delas, exportá-los ou traçar gráficos. Esta etapa também será mostrada neste capítulo.
Para ter acesso a janela de configuração de estatística deve-se:
Figura 366 - Janelas de eventos - Estatística.
 Clicar no menu Auditoria da janela do firewall que queira administrar.

 Selecionar o item Estatísticas.

516
A janela de regras de estatística
Figura 367 - Regras de estatística.
A janela de estatísticas contém todas as regras de estatística definidas no Aker Firewall. Cada
regra será mostrada em uma linha separada, composta de diversas células. Caso uma regra
esteja selecionada, ela será mostrada em uma cor diferente:
 O botão OK fará com que o conjunto de estatísticas seja atualizado e passe a funcionar
imediatamente.
seja fechada.
aberta.
 A barra de rolagem do lado direito serve para visualizar as regras que não couberem na
janela.
517
Cada regra de estatística é composta dos seguintes campos:
 Nome: Nome da estatística, utilizada para facilitar a sua referência. Deve possuir um
nome único entre o conjunto de regras;
 Intervalo: Corresponde ao intervalo de tempo que fará a totalização da regra, ou seja, a
soma dos valores de todos os acumuladores presentes na regra;
 Acumulador: Este campo define quais os acumuladores farão parte da regra;
 Hora: Esta tabela define as horas e dias da semana em que a regra é aplicável. As linhas
representam os dias da semana e as colunas às horas. Caso queira que a regra seja
aplicável em determinada hora o quadrado deve ser preenchido, caso contrário o
quadrado deve ser deixado em branco.
Para interagir com a janela de regras, utilize a barra de ferramentas localizada na parte
superior da janela ou clicar com o botão direito sobre ela.
Figura 368 - Barra de ferramentas - Regras de estatística.
 Inserir: Permite a inclusão de uma nova regra na lista.

 Habilitar/Desabilitar: Ativar ou desativar a regra selecionada da lista.
 Visualização: Exibe a janela de visualização de estatísticas relativa à regra selecionada.
Visualizando estatísticas

518
Ao clicar no botão Visualização ou clicar duas vezes sobre uma regra de estatística, a seguinte
janela será mostrada:
Figura 369 - Visualizar Estatísticas.
Nesta janela, os dados computados para a estatística selecionada serão mostrados em

formato gráfico:
Figura 370 - Botão: gráfico.
ou texto.
Figura 371 - Botão: Texto.

519
Estas informações são relativas à data de início e fim especificadas na parte superior da janela.
Para alterar esta data deve-se escolher os campos de Data, colocando as datas de início e de
finalização da pesquisa.
 Leitura: Mostra um conjunto de 100 registros de cada vez. Cada registro refere à
contabilização dos acumuladores da estatística em um determinado tempo.
O botão Remover desta pasta irá remover o conjunto de registros com o tempo especificado.
Figura 372 - Botão: remover.
O botão Começar a busca, atualiza a lista de estatísticas de acordo com as datas definas nos
campos Início e Fim.
Figura 340 – Botão: começar a busca
 Gráfico: Representa os dados contidos na pasta Leitura em formato gráfico. O gráfico é

gerado ao ser pressionado o botão gráfico na barra de ferramentas. Este gráfico também
permite que o usuário selecione qual linha deve ser mostrada pressionando-se os rótulos
dos mesmos.

520
Figura 373 - Visualizar Estatísticas – Gráfico.
Ao pressionar o botão de salvar estatísticas a janela abaixo irá aparecer de modo a escolher
o nome do arquivo. Este arquivo é gravado no formato CSV que permite sua manipulação por
meio de planilhas de cálculo.
Figura 374 - Botão: salvar estatística.

521
Figura 375 - Exportar Estatística.
A barra de ferramentas da visualização das estatísticas
A barra de ferramentas da visualização das estatísticas terá as seguintes funções:
Figura 376 - Barra de ferramentas: visualização das estatísticas.
17.2. Utilizando a Interface Texto (via SSH-fwstat)
A Interface Texto (via SSH) para o acesso às estatísticas tem funcionalidade similar à da
Interface Remota (E possível usar todos os comandos sem o prefixo “FW”, para isso execute o
comando “fwshell”, então os comandos poderão ser acessados sem o prefixo “FW”). Todas as
funções da Interface Remota estão disponíveis, exceto a opção de verificar os dados por meio
de gráfico e de se verificar em quais regras os acumuladores de uma determinada estatística
estão presentes.

522
A tabela de horário é visualizada da seguinte forma:
O símbolo “: “(dois pontos) informa que a regra é válida para os dois dias da semana que
aparecem separados por / .Ex: Dom/Seg
O símbolo”.” (ponto) informa que a regra só é válida para o dia da semana que segue o
caractere / .Ex: Dom/Seg - Seg
O símbolo “'“ (acento) informa que a regra são é válida para o dia da semana que antecede o
caractere / .Ex: Dom/Seg - Dom
Localização do programa: /aker/bin/firewall/fwstat
Sintaxe:
Fwstat ajuda
mostra [[-c] <estatística> [<data inicial> <data final>]]
inclui <estatística> <período> [<acumulador1> [acumulador2] ...]
remove <estatística>
desabilita <estatística> [<dia> <hora>]
habilita <estatística> [<dia> <hora>]
Ajuda do programa:
Firewall Aker
Uso: fwstat ajuda mostra [[-c] <estatística> [<data inicial> <data final>]]
inclui <estatística> <período> [<acumulador1> [acumulador2] ...]
remove <estatística>
desabilita <estatística> [<dia> <hora>]
habilita <estatística> [<dia> <hora>]

mostra = sem parâmetros, mostra as estatísticas cadastradas com, mostra os dados
coletados para estatística = nome da estatística
-c = resultado no formato CSV (comma separated value) (útil para importar dados em
planilhas eletrônicas) datas = dadas limite para mostrar dados
inclui = adiciona uma estatística de nome "estatística”
remove = remove uma estatística de nome "estatística"
período = período de captura dos dados (segundos)
acumulador_ = nome das entidades acumulador para ler
desabilita = desabilita uma estatística
523
habilita = habilita uma estatística dia
hora = se especificado (sempre ambos), habilita ou desabilita apenas para a hora
especificada. 'dia' pertence a {dom, seg, ter, ...} e 'hora' a {0.23}
Exemplo 1: (mostrando as estatísticas)
#fwstat mostra
Nome : estatística1 (habilitada)
----
Período : 17400 segundo (s)
Acumuladores: a1
Horário :
Dia\Hora|0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
-------------------------------------------------------------------------------
Dom/Seg |: : : : : : : : : : : : : : : :
Ter/Qua |: : : : : : : : : : : : : : : :
Qui/Sex |: : : : : : : : : : : : : : : :
Sab |' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' '
Nome : estatística2 (habilitada)

----
Período : 100 segundo (s)
Acumuladores: a1 a11
Horário :
Dia\Hora|0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
-------------------------------------------------------------------------------
Dom/Seg |: : : : : : : : : : : : : : : : : : : : : : : :
Ter/Qua |: : : : : : : : : : : : : : : : : : : : : : : :
Qui/Sex |: : : : : : : : : : : : : : : : : : : : : : : :
Sab |' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' '
Exemplo 2: (mostrando a estatística do dia 28/10/2001 ao dia 29/10/2001)
#fwstat mostra estatística 28/10/2001 29/10/2001

Dia Hora Enviados (bytes/pacotes) Recebidos (bytes/pacotes)
-----------------------------------------------------------------------
29/10/2001 17:24:54 320/1 321/1
29/10/2001 17:23:14 652/6 654/6
29/10/2001 17:21:34 234/2 980/9

524
29/10/2001 17:19:54 324/3 650/6
29/10/2001 17:18:14 325/3 150/1
29/10/2001 17:16:34 985/9 240/2
29/10/2001 17:14:54 842/8 840/8
29/10/2001 17:13:14 357/3 289/2
29/10/2001 16:58:14 786/7 261/2

525
Visualizando e Removendo Conexões

526
18. Visualizando e Removendo conexões
Neste capítulo mostra como visualizar e remover conexões TCP e sessões UDP em tempo real.
O que são conexões ativas?
Conexões ativas são conexões TCP ou sessões UDP que estão ativas por meio do firewall. Cada
uma destas conexões foi validada por meio de uma regra do filtro de estados, acrescentada
pelo administrador do sistema, ou por uma entrada na tabela de estados, acrescentada
automaticamente pelo Aker Firewall.
Para cada uma destas conexões, o firewall mantém diversas informações em suas tabelas de
estado. Algumas destas informações são especialmente úteis para o administrador e podem
ser visualizadas a qualquer momento por meio da janela de conexões ativas. Dentre estas
informações, pode-se citar a hora exata do estabelecimento da conexão e o tempo em que
ela se encontra parada, isto é, sem que nenhum pacote trafegue por ela.
Para ter acesso a janela de conexões ativas deve-se:
Figura 377 -: Conexões TCP.

527
 Clicar no menu Informação do firewall que queira visualizar.
 Selecionar Conexões TCP ou Conexões UDP.
A janela de conexões ativas
A janela de conexões ativas é onde são mostradas todas as conexões IPv4 e IPv6, que estão
passando pelo firewall em um determinado instante. As janelas para os protocolos TCP e UDP
são exatamente iguais, com a exceção do campo chamado Status que somente existe na
janela de conexões TCP.
Para simplificar o entendimento, fala-se de conexões TCP e UDP, entretanto, isto não é
totalmente verdadeiro devido ao protocolo UDP ser um protocolo não orientado à conexão.
Na verdade, quando se fala em conexões UDP refere-se às sessões onde existe tráfego nos
dois sentidos. Cada sessão pode ser vista como um conjunto dos pacotes de requisição e de
resposta que fluem por meio do firewall para um determinado serviço provido por uma
determinada máquina e acessado por outra.
Essa janela é composta de quatro pastas: nas duas primeiras são mostradas uma lista com
as conexões ativas tanto IPv4 como IPv6 e as duas últimas permitem visualizar gráficos em
tempo real das máquinas e serviços mais acessados, das conexões IPv4e IPv6.
Pasta de conexões IPv4
Figura 378 - Conexões TCP – Conexões IPv4.

528
Pasta de conexões IPV6
Figura 379 - Conexões TCP – Conexões IPv6.
As pastas, conexão IPv4 e conexão IPv6, consistem de uma lista com uma entrada para cada
conexão ativa. Na parte inferior da janela é mostrada uma mensagem informando o número
total de conexões ativas em um determinado instante. As velocidades, total e média, são
exibidas na parte inferior da janela.
 O botão OK faz com que a janela de conexões ativas seja fechada.

 Caixa Filtro exibe as opções de filtragem sendo possível selecionar os endereços origem
ou destino e/ou portas para serem exibidos na janela.
 A opção Mostrar itens selecionados no topo coloca as conexões selecionadas no topo da
janela para melhor visualização.
 A opção Remover, que aparece ao clicar com o botão direito sobre uma conexão, permite
remover uma conexão.
Ao remover uma conexão TCP, o firewall envia pacotes de reset para as máquinas
participantes da conexão, efetivamente derrubando-a, e remove a entrada de sua tabela de
estados. No caso de conexões UDP, o firewall simplesmente remove a entrada de sua tabela
de estados, fazendo com que não sejam mais aceitos pacotes para a conexão removida.
Figura 380 - Barra de ferramentas: conexões TCP.

529
Todas as alterações efetuadas na barra de ferramentas, quando a opção conexão ipv4 ou a
opção gráfica ipv4, estiverem selecionadas, também serão realizados nas opções, conexão
ipv6 ou gráfico ipv6, e assim respectivamente.
 O botão Atualizar, localizado na barra de ferramentas faz com que as informações

mostradas sejam atualizadas periodicamente de forma automática ou não. Ao clicar sobre
ele permite alternar entre os dois modos de operação. O intervalo de atualização pode
ser configurado mudando o valor logo à direita deste campo.
 O botão DNS, localizado na barra de ferramentas, acionará o serviço de nomes (DNS) para
resolver os nomes das máquinas cujos endereços IPs aparecem listados. Cabe ser
observado, os seguintes pontos:
1. A resolução de nomes muitas vezes é um serviço lento e, devido a isso, a tradução

dos nomes é realizada em segundo plano.
2. Muitas vezes, devido aos problemas de configuração do DNS reverso (que é o
utilizado para resolver nomes a partir de endereços IP), não será possível a
resolução de certos endereços. Neste caso, os endereços não resolvidos serão
mantidos na forma original e será indicado ao seu lado que eles não possuem DNS
reverso configurado.
 A opção Desabilitar gráficos desabilita o desenho do gráfico de conexões, sendo indicada

para máquinas especialmente lentas.
 A opção Mostrar velocidade das conexões, se ativa, faz com que a interface calcule e
mostre a velocidade de cada conexão em bits/s.
 É possível ordenar a lista das conexões por qualquer um de seus campos, bastando para
isso clicar no título do campo. O primeiro clique produzirá uma ordenação ascendente e
o segundo uma ordenação descendente.
Aba Gráfico de Conexões IPv4 e IPv6
As abas, gráfico IPv4 e gráfico IPv6, consistem de dois gráficos: o gráfico superior mostram os
serviços mais utilizados e o gráfico inferior mostram as máquinas que mais acessam serviços
ou que mais são acessadas. No lado direito existe uma legenda mostrando qual máquina ou
serviço correspondem a qual cor do gráfico.

530
Figura 381 - Conexões TCP – Gráfico de conexões IPv4.
O intervalo de tempo no qual o gráfico é atualizado é o mesmo configurado na pasta de

conexões.
Significado dos campos de uma conexão ativa IPv6 e IPv4
Cada linha presente na lista de conexões ativas representa uma conexão. O significado de
seus campos é mostrado a seguir:
IP origem: Endereço IP da máquina que iniciou a conexão.
Porta origem: Porta usada pela máquina de origem para estabelecer a conexão.
IP destino: Endereço IP da máquina para a qual a conexão foi efetuada.

531
Porta destino: Porta para qual a conexão foi estabelecida. Esta porta normalmente está
associada a um serviço específico.
Início: Hora de abertura da conexão.
Inativo: Número de minutos e segundos de inatividade da conexão.
Estado Atual: Este campo só aparece no caso de conexões TCP. Ele representa o estado da
conexão no instante mostrado e pode assumir um dos seguintes valores:
SYN Enviado: Indica que o pacote de abertura de conexão (pacote com flag de SYN) foi
enviado, porém a máquina servidora ainda não respondeu.
SYN Trocados: Indica que o pacote de abertura de conexão foi enviado e a máquina servidora
respondeu com a confirmação de conexão em andamento.
Estabelecida: Indica que a conexão está estabelecida.
Escutando Porta: Indica que a máquina servidora está escutando na porta indicada,
aguardando uma conexão a partir da máquina cliente. Isto só ocorre no caso de conexões de
dados FTP.
Bytes Enviados/Recebidos: Estes campos só aparecem no caso de conexões TCP, e indicam o

número de bytes trafegados por esta conexão em cada um dos dois sentidos.
Pacotes Enviados/Recebidos: Estes campos só aparecem no caso de conexões TCP, e indicam

o número de pacotes IP trafegados por esta conexão em cada um dos dois sentidos.
18.2. Utilizando a Interface Texto (via SSH-fwlist)
A Interface Texto (via SSH) para acesso à lista de conexões ativas possui as mesmas
capacidades da Interface Remota (E possível usar todos os comandos sem o prefixo “FW”,
para isso execute o comando “fwshell”, então todos os comandos poderão ser acessados sem
o prefixo “FW”). O mesmo programa trata as conexões TCP e UDP.
Localização do programa: /aker/bin/firewall/fwlist
Sintaxe:
Uso: fwlist ajuda

fwlist mostra [[-w] [TCP]] | [UDP] | [sessões]

532
fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destino
fwlist remove sessão IP_origem
Ajuda do programa:
fwlist - Lista e remove conexões TCP/UDP e sessões ativas
Uso: fwlist ajuda
fwlist mostra [[-w] [TCP | TCP6]] | [UDP | UDP6]
fwlist mostra [sessoes | roaming | bloqueados]
fwlist mostra [quotas | www]
fwlist remove [TCP | TCP6 | UDP | UDP6] IP_origem Porta_origem
IP_destino Porta_destino
fwlist remove sessao IP_origem [usuario]
fwlist remove bloqueado IP_origem
fwlist reinicia [ usuario <nome> ] [ quota <nome> ] [tempo] [volume]
mostra = lista as conexões ou sessoes ativas
remove = remove uma conexão ou sessão ativa
reinicia = reinicia a quota dos usuários
Exemplo 1: (listando as conexões ativas TCP)
#fwlist mostra TCP
Origem (IP:porta) Destino (IP:porta) Inicio Inativo Estado

-------------------------------------------------------------------------------
10.4.1.196:1067 10.4.1.11:23 15:35:19 00:00 Estabelecida
10.4.1.212:1078 10.5.2.1:25 15:36:20 00:10 Estabelecida
Exemplo 2: (listando as conexões ativas UDP)

533
#fwlist mostra UDP
Origem (IP:porta) Destino (IP:porta) Inicio Inativo

-----------------------------------------------------------
10.4.1.1:1099 10.4.1.11:53 15:35:19 00:00
10.4.1.18:1182 10.5.2.1:111 15:36:20 00:10
Exemplo 3: (removendo uma conexão TCP e listando as conexões)
#fwlist remove tcp 10.4.1.196 1067 10.4.1.11 23
#fwlist mostra TCP
Origem (IP:porta) Destino (IP:porta) Inicio Inativo Estado

-------------------------------------------------------------------------------
10.4.1.212:1078 10.5.2.1:25 15:36:20 00:10 Estabelecida

534
Utilizando o Gerador de Relatórios

535
19. Utilizando o Gerador de Relatórios
Este capítulo mostra para que serve e como configurar os Relatórios no Aker Firewall.
Visando disponibilizar informações a partir de dados presentes nos registros de log e eventos,
bem como apresentar uma visão sumarizada dos acontecimentos para a gerência do Firewall,
foi desenvolvida mais esta ferramenta. Neste contexto trataremos dos relatórios que nutrirão
as informações gerenciais.
Os relatórios são gerados nos formatos HTML, TXT ou PDF, publicados via FTP em até três
sites distintos ou enviados por meio de e-mail para até três destinatários distintos. Podem ser
agendados das seguintes formas: "Diário", "Semanal", "Quinzenal", "Mensal", "Específico" e
também em tempo real de execução.
19.1. Acessando Relatórios
Para ter acesso à janela de Relatórios deve-se:
Figura 382 - Relatório.
 Clicar no menu Auditoria da janela de administração do firewall.

 Selecionar o item Relatório.

536
19.2. Configurando os Relatórios
Figura 383 - Configurando relatório - Diário.
Esta janela é composta pelos tipos de agendamentos: "Diário", "Semanal", "Mensal",

"Quinzenal", "Específico" e a opção “Gerar relatório diário agora”. Em todos será necessário
escolher quais sub-relatórios serão incluídos.
Para executar qualquer relatório, deve-se clicar com o botão direito do mouse sobre ele.
Aparecerá o seguinte menu: (este menu será acionado sempre que for pressionado o botão
direito, mesmo que não exista nenhum relatório selecionado. Neste caso, somente as opções
Inserir estará habilitada); inclusive podendo ser executada a partir da barra de ferramentas.
 Inserir: Esta opção permite incluir um novo relatório.
Ao tentar inserir um novo relatório três abas serão apresentadas:

537
Aba geral
Nesta aba serão configurados os seguintes campos:
Figura 384 - Configuração do relatório - geral.
 Título do Relatório: Atribuir nome ao relatório.

 Agendamento: Definir hora que será gerado o relatório.
 Formato do Relatório: Define em qual formato será gerado o relatório. As opções de
formato são:
 TXT: Quando selecionada esta opção é gerado um arquivo chamado report.txt que
contém o relatório.
 HTML: Quando selecionada esta opção é gerado um arquivo chamado index.html
que contém o relatório.
 PDF: Quando selecionada esta opção é gerado um arquivo chamado report.pdf
que contém o relatório.

538
Em ambos os casos, o navegador será aberto automaticamente, exibindo o conteúdo do
arquivo correspondente ao relatório.
Aba Sub-relatório
Um sub-relatório é oferecido para que os níveis de detalhamento possam ser evidenciados e

a informação que compõe o relatório seja mais objetiva.
Figura 385 - Configuração do relatório – sub-relatório.
Esta aba é composta por duas colunas, onde será necessário indicar filtros para ambas.
Na coluna de "Sub-relatório" deverá ser incluído qual tipo de sub-relatório e como será
agrupado, por exemplo: "Não agrupar", "Quota", "Usuário". Esta opção varia conforme o tipo
de sub-relatório selecionado. É possível definir relacionamentos com lógica "E" ou "OU" e um
limite para TOP.

539
Na coluna de "Filtros" haverá mais uma possibilidade de filtro de acordo com o tipo de dado.
Métodos de Publicação
Método FTP
Nesta aba, o usuário poderá indicar até três servidores para onde serão enviados os relatórios
via ftp.
Como utilizar:
 Selecione o(s) servidor (es);

 Digite o usuário;
 Digite a senha de acesso;
 Digite o caminho de destino do relatório.

540
Figura 386 - Configuração do relatório – método de publicação.
Método SMTP
Nesta aba o usuário poderá indicar até três destinatários, para onde serão enviados os
relatórios por meio de e-mail.
Como utilizar:
 Digite o endereço do remetente ("De");

 Digite o endereço do destinatário ("Para");
 Digite o "Assunto";
 Caso deseje é possível incluir uma mensagem, no campo "Mensagem".

541
Figura 387 - Configuração do relatório – método de SMTP.
Opção Gerar relatório diário agora
Esta opção permite a geração de relatório em tempo real, ou seja, o administrador do firewall
pode gerar relatórios no momento em que desejar. O produto continuará funcionando
normalmente. Quando o relatório estiver pronto, salve-o em um diretório conforme
desejado, logo em seguida será exibido uma janela mostrando o relatório. Nesta opção a
coluna Método de Publicação não estará disponível.

542
19.3. Lista dos Relatórios disponíveis
Abaixo segue os tipos de relatórios possíveis de serem gerados:
1. Quantidade de acessos web por usuários do autenticador;

2. Quantidade de acessos web por grupos do autenticador;
3. Quantidade de acessos web por perfis de acesso;
4. Quantidade de acessos web por endereço IP origem;
5. Quantidade de acessos web por endereço IP destino;
6. Quantidade de acessos TCP e UDP (cada serviço) por grupos do autenticador;
7. Quantidade de acesso por páginas Web (domínio), com possibilidade de seleção das
N páginas mais acessadas;
8. Quantidade de acesso por páginas Web (domínio), com possibilidade de seleção das
N páginas mais acessadas por grupos do autenticador;
9. Quantidade de acesso, relacionando conjunto de usuários e respectivas páginas web
mais acessadas;
10. Quantidade de acessos bloqueados por usuários, com possibilidade de seleção dos N
usuários com maior número de requisições a páginas proibidas;
11. Quantidade de downloads realizados (HTTP e FTP), com possibilidade de seleção dos
N arquivos mais baixados;
12. Volume de tráfego (kbps ou Mbps) processado pelo Firewall, em médias de períodos
de cinco minutos;
13. Categoria dos sites;
14. Downloads;
15. Sites bloqueados;
16. Categorias bloqueadas;
17. Downloads bloqueados;
18. IPs web;
19. IPs web bloqueados;
20. IPs destino;
21. IPs destino bloqueados;
22. IPs e Serviços;
23. IPs e Serviços bloqueados;
24. Serviços;
25. Serviços bloqueados;
26. Tráfego que entrou;
27. Tráfego que saiu;
28. Destinatários de e-mails entregues;
29. Destinatários de e-mails rejeitados;
30. Endereço IP de e-mails entregues;
31. Endereço IP de e-mails rejeitados;
32. Domínios dos destinatários de e-mails entregues;
33. Domínios dos destinatários de e-mails bloqueados;
34. Quota - consumo de bytes;
35. Quota - consumo de tempo;
36. MSN - duração do chat;
543
37. MSN – chat log;
38. Contabilidade de tráfego web - upload consumido;
39. Contabilidade de tráfego web - download consumido;
40. Contabilidade de tráfego web - tempo consumido;
41. Contabilidade de tráfego de downloads - upload consumido;
42. Contabilidade de tráfego de downloads - download consumido;
43. Contabilidade de tráfego de downloads - tempo consumido;
44. Contabilidade de tráfego de FTP - upload consumido;
45. Contabilidade de tráfego de FTP - download consumido;
46. Usuários que acessaram um site;
47. Usuários que foram bloqueados tentando acessar um site.

544
Exportação Agendada de Logs e
Eventos

545
20. Exportação Agendada de Logs e Eventos
Este capítulo mostra como configurar a Exportação Agendada de Logs e Eventos.
Os registros de Logs e/ou Eventos são exportados nos formatos TXT ou CSV, publicados via
FTP em até três sites distintos ou localmente em uma pasta do próprio Firewall. Podem ser
agendados das seguintes formas: "Diário", "Semanal" e/ou “Mensal”.
20.1. Acessando a Exportação Agendada de Logs e Eventos
Para ter acesso à janela de Exportação Agendada de Logs e Eventos deve-se:
Figura 388 - Janela de acesso: Exportação Agendada de Logs e Eventos.
 Clicar no menu Auditoria da janela de administração do Aker Firewall;

 Selecionar o item Exportação Agendada de Logs e Eventos.

546
20.2. Configurando a Exportação Agendada de Logs e Eventos
Figura 389 - Exportação Agendada de Logs e Eventos - diário.
Esta janela é composta pelos tipos de agendamentos: "Diário", "Semanal" e "Mensal".
Para executar qualquer exportação, deve-se clicar com o botão direito do mouse sobre ele.
Aparecerá o seguinte menu: (este menu será acionado sempre que for pressionado o botão
direito, mesmo que não exista nenhum relatório selecionado. Neste caso, somente a opção
Inserir estará habilitada); inclusive podendo ser executada a partir da barra de ferramentas.
 Inserir: Esta opção permite incluir um novo relatório.
Ao tentar inserir um novo relatório duas abas serão apresentadas:
Aba Geral

547
Nesta aba serão configurados os seguintes campos:
Figura 390 - Configuração da Exportação Agendada de Logs e Eventos - geral.
 Título: Atribuir nome a exportação.

 Formato do Relatório: Define em qual formato será gerado o relatório. As opções de
formato são:
 TXT;
 CSV.
 Tipo: Define qual informação será exportada:

 Logs;
 Eventos.
 Agendamento: Definir hora que será realizada a exportação.

548
Aba Método de Publicação
FTP:
Nesta aba, o usuário poderá indicar até três servidores para onde serão enviados os dados via
ftp.
Como utilizar:
 Selecione o(s) servidor (es);

 Digite o usuário;
 Digite a senha de acesso;
 Digite o caminho de destino do relatório
Figura 391 - Configuração da Exportação Agendada de Logs e Eventos – método de

publicação.

549
Local:
Nesta aba, o usuário poderá indicar em qual diretório local do Aker Firewall deseja salvar os
dados exportados.
Figura 392 - Configuração da Exportação Agendada de Logs e Eventos – tipo de

publicação.

550
Trabalhando com proxies

551
21. Trabalhando com Proxies
Neste capítulo mostra toda a base de conhecimento necessária, para entender o

funcionamento dos proxies do Aker Firewall. Os detalhes específicos de cada proxy serão
mostrados nos próximos capítulos.
O que são proxies?
Proxies são programas especializados que geralmente rodam em firewalls e que servem como
ponte entre a rede interna de uma organização e os servidores externos. Seu funcionamento
é simples: eles ficam esperando por uma requisição da rede interna, repassam está requisição
para o servidor remoto na rede externa, e devolvem sua resposta de volta para o cliente
interno.
Na maioria das vezes os proxies são utilizados por todos os clientes de uma sub-rede e devido
a sua posição estratégica, normalmente eles implementam um sistema de cache para alguns
serviços. Além disso, como os proxies trabalham com dados das aplicações, para cada serviço
é necessário um proxy diferente.
Proxies tradicionais
Para que uma máquina cliente possa utilizar os serviços de um proxy é necessário que a
mesma saiba de sua existência, isto é, que ela saiba que ao invés de estabelecer uma conexão
com o servidor remoto, ela deve estabelecer a conexão com o proxy e repassar sua solicitação
ao mesmo.
Existem alguns clientes que já possuem suporte para proxies embutidos neles próprios (como
exemplo de clientes deste tipo, pode-se citar a maioria dos browsers existentes atualmente).
Neste caso, para utilizar as funções de proxy, basta configurá-los para tal. A grande maioria
dos clientes, entretanto, não está preparada para trabalhar desta forma. A única solução
possível neste caso, é alterar a pilha TCP/IP em todas as máquinas clientes de modo a fazer
com que transparentemente as conexões sejam repassadas para os proxies.
Esta abordagem traz inúmeras dificuldades, já que além de ser extremamente trabalhoso
alterar todas as máquinas clientes, muitas vezes não existe forma de alterar a implementação
TCP/IP de determinadas plataformas, fazendo com que clientes nestas plataformas não
possam utilizar os proxies.
Outro problema dos proxies tradicionais, é que eles só podem ser utilizados para acessos de
dentro para fora (não pode solicitar para que clientes externos repassem suas solicitações
para o seu proxy para que este repasse para seu servidor interno).

552
A figura abaixo ilustra o funcionamento básico de um proxy tradicional:
Figura 393 - Funcionamento básico de um Proxy tradicional.
Proxies transparentes
O Aker Firewall introduz um novo conceito de firewall com a utilização de proxies

transparentes. Estes proxies transparentes são capazes de serem utilizados sem nenhuma
alteração nas máquinas clientes e nas máquinas servidoras, simplesmente porque nenhuma
delas sabe de sua existência.
Seu funcionamento é simples, todas as vezes que o firewall decide que uma determinada
conexão deve ser tratada por um proxy transparente, esta conexão é desviada para o proxy
em questão. Ao receber a conexão, o proxy abre uma nova conexão para o servidor remoto
e repassa as requisições do cliente para este servidor.
A grande vantagem desta forma de trabalho, é que torna possível oferecer uma segurança
adicional para certos serviços sem perda da flexibilidade e sem a necessidade de alteração de
nenhuma máquina cliente ou servidora. Além disso, é possível utilizar proxies transparentes
em requisições de dentro para fora e de fora para dentro, indiferentemente.

553
Figura 394 - Funcionamento básico de um Proxy transparente.
Proxies transparentes e contextos
O Aker Firewall introduz uma novidade com relação aos proxies transparentes: os contextos.
Para entendê-los, vamos inicialmente analisar uma topologia de rede onde sua existência é
necessária.
Suponha que exista um Aker Firewall conectado a três redes distintas, chamadas de redes A,
B e C, e que as redes A e B sejam redes de dois departamentos de uma mesma empresa e a
rede C a Internet. Suponha ainda que na rede A exista um servidor SMTP que seja utilizado
também pela rede B para enviar e receber correio eletrônico. Isto está ilustrado no desenho
abaixo:
Figura 395 - Proxies transparentes e contextos.

554
Suponha agora que queira configurar o firewall para desviar todas as conexões SMTP para o
proxy SMTP, de modo a assegurar uma maior proteção e um maior controle sobre este
tráfego.
É importante que exista um meio de tratar diferentemente as conexões para A com origem
em B e C: a rede B utilizará o servidor SMTP de A como relay ao enviar seus e-mails, entretanto
este mesmo comportamento não deve ser permitido a partir da rede C. Pode-se também
querer limitar o tamanho máximo das mensagens originadas na rede C, para evitar ataques
de negação de serviço baseados em falta de espaço em disco, sem ao mesmo tempo querer
limitar também o tamanho das mensagens originadas na rede B.
Para possibilitar este tratamento diferenciado, foi criado o conceito de contextos. Contextos
nada mais são que configurações diferenciadas para os proxies transparentes de modo a
possibilitar comportamentos diferentes para conexões distintas.
No exemplo acima, poderia criar dois contextos: um para ser usado em conexões de B para A
e outro de C para A.
Proxies do Aker Firewall
O Aker Firewall implementa proxies transparentes para os serviços FTP, Telnet, SMTP, POP3,
HTTP, HTTPS, RPC, DCE-RPC, SIP, H323, MSN e proxies não transparentes para os serviços
acessados por meio de um browser WWW (FTP, Gopher, HTTP e HTTPS) e para clientes que
suportem o protocolo SOCKS. Para utilizar os proxies não transparentes é necessário um
cliente que possa ser configurado para tal. Dentre os clientes que suportam este tipo de
configuração, pode-se citar o Mozilla Firefox (Tm) e o Internet Explorer (Tm).
Os proxies transparentes podem ser utilizados tanto para controlar acessos externos às redes
internas quanto acessos de dentro para fora. Os proxies não transparentes somente podem
ser usados de dentro para fora.
O Aker Firewall permite ainda implementar Proxies criados pelo usuário que são proxies
criados por terceiros utilizando a API de desenvolvimento que a Aker Security Solutions provê.
O objetivo é possibilitar que instituições que possuam protocolos específicos possam criar
suporte no firewall para estes protocolos.
Os autenticadores do Aker Firewall
Os proxies SOCKS, Telnet e WWW do Aker Firewall suportam autenticação de usuários, isto
é, podem ser configurados para só permitir que uma determinada sessão seja estabelecida
caso o usuário se identifique para o firewall, por meio de um nome e uma senha, e este tenha
permissão para iniciar a sessão desejada.
O grande problema que surge neste tipo de autenticação é como o firewall irá validar os
nomes e as senhas recebidas. Alguns produtos exigem que todos os usuários sejam
cadastrados em uma base de dados do próprio firewall ou que sejam usuários válidos da

555
máquina que o firewall estiver rodando. Ambos os métodos possuem o grande inconveniente
de não aproveitar a base de usuários normalmente presente em uma rede local.
No Aker Firewall, optou-se por uma solução mais versátil e simples de ser implantada: ao
invés de exigir um cadastramento de usuários no firewall, estes são validados nos próprios
servidores da rede local, sejam estes Unix ou Windows Server tm.
Para que seja possível ao firewall saber em quais máquinas ele deve autenticar os usuários, e
também para possibilitar uma comunicação segura com estas máquinas, foi criado o conceito
de autenticadores. Autenticadores são máquinas Unix ou Windows Servertm, que rodam um
pequeno programa chamado de Agente de autenticação. Este programa é distribuído como
parte do Firewall Aker e tem como função básica servir de interface entre o firewall e a base
de dados remota.
Para que o Aker Firewall utilize uma base de dados em um servidor remoto, deve-se efetuar
os seguintes procedimentos:
1. Instalar e configurar o agente de autenticação na máquina onde reside à base de

dados de usuários (este procedimento será descrito nos tópicos intitulados Instalando
o agente de autenticação no Unix e Instalando o agente de autenticação no
Windows Servertm).
2. Cadastrar uma entidade do tipo autenticador com o endereço da máquina onde o
agente foi instalado e com a senha de acesso correta (para maiores informações de
como cadastrar entidades, veja o capítulo intitulado Cadastrando Entidades).
3. Indicar para o firewall que ele deve utilizar o autenticador cadastrado no passo 2 para
realizar a autenticação de usuários (este procedimento será descrito no capítulo
intitulado Configurando parâmetros de autenticação).
O Aker Firewall 6.7 é incompatível com versões anteriores a 4.0 dos agentes de autenticação.
Caso tenha realizado upgrade de uma versão anterior e esteja utilizando autenticação, é
necessário reinstalar os autenticadores.
É possível também realizar autenticações por meio dos protocolos LDAP e RADIUS. Neste caso,
não existe a necessidade de instalação dos autenticadores nas máquinas servidoras, bastando-se
criar os autenticadores dos tipos correspondentes e indicar ao firewall que eles devem ser
utilizados, de acordo com os passos 2 e 3 listados acima.

556
21.2. Instalando o agente de autenticação em plataformas Unix
Para instalar o agente de autenticação é necessário efetuar o download do Agente de

autenticação adequado ao seu sistema no site da Aker (http://www.aker.com.br), após o
download descompacte o arquivo e execute o seguinte comando:
#/ ./aginst
O símbolo # representa o prompt do shell quando executado como root, ele não deve ser
digitado como parte do comando.
O programa de instalação copiará o executável do agente (fwagaut) para o diretório

/usr/local/bin e copiará um modelo do arquivo de configuração (fwagaut.cfg) para o diretório
/etc/. Após a instalação, é necessário personalizar este arquivo, como descrito na próxima
seção.
Caso tenha respondido "Sim" quando o programa de instalação perguntou se o agente deveria
ser iniciado automaticamente, uma chamada será criada em um arquivo de inicialização da
máquina de modo a carregar automaticamente o agente. O nome deste arquivo de inicialização
é dependente da versão de Unix utilizada.
A sintaxe do arquivo de configuração do agente de autenticação
Após instalar o agente de autenticação é necessário criar um arquivo de configuração com o

endereço dos firewalls que poderão utilizá-lo e a senha de acesso de cada um. Este arquivo é
em formato texto e pode ser criado por qualquer editor.
O arquivo de configuração do agente de autenticação deve ter seus direitos configurados de

forma que só o usuário root possa ler ou alterar seu conteúdo. Para fazer isso, pode-se usar o
comando chmod, com a seguinte sintaxe: # chmod 600 nome_do_arquivo.
A sua sintaxe é a seguinte:
 Cada linha deve conter o endereço IP de um Aker Firewall que irá utilizar o agente, um ou
mais espaços em branco ou caracteres tab e a senha de acesso que o firewall irá utilizar
para a comunicação.
 Linhas começadas pelo caractere #, bem como linhas em branco, são ignoradas.

557
Um exemplo de um possível arquivo de configuração é mostrado a seguir:
# Arquivo de configuração do agente de autenticação do Firewall Aker

#
# Sintaxe: Endereço IP do Firewall e senha de acesso (em cada linha)
#
# Nota: A senha não pode conter espaços e deve ter até 31 caracteres
#
# Linhas começadas pelo caractere '#' são consideradas comentários
# Linhas em branco são permitidas
10.0.0.1 teste_de_senha
10.2.2.2 123senha321
O local padrão para o arquivo de configuração do agente é /etc/fwagaut.cfg, entretanto é

possível criá-lo com qualquer outro nome ou em outro diretório, desde que essa ação seja
informadaao agente no momento de sua execução. Isto será mostrado no tópico abaixo.
Sintaxe de execução do agente de autenticação
O agente de autenticação para Unix possui a seguinte sintaxe de execução:
fwagaut [-?] [-c NOME_ARQUIVO] [-s <0-7>] [-q]

Onde:
-? Mostra esta mensagem retorna ao prompt do shell
-c Especifica o nome de um arquivo de configuração alternativo
-s Especifica a fila do syslog para onde devem ser enviadas as
mensagens do autenticador. 0 = local0, 1 = local1, ...
-r Aceita validação do usuário root
-e Aceita usuários com senhas em branco
-q Não mostra mensagem na hora da entrada
Suponha que o agente esteja localizado no diretório /usr/local/bin e que se tenha criado o
arquivo de configuração com o nome /usr/local/etc/fwagaut.cfg. Neste caso, para executar o
agente, a linha de comando seria:
/usr/local/bin/fwagaut -c /usr/local/etc/fwagaut.cfg
Caso queira executar o agente com o arquivo de configuração no local padrão, não é
necessário a utilização da opção -c , bastando simplesmente executá-lo com o comando:
/usr/local/bin/fwagaut
O agente de autenticação deve ser executado pelo o usuário root.

558
Quando for realizado alguma alteração no arquivo de configuração é necessário informar isso
ao agente, se ele estiver rodando. Para tal, deve-se executar o seguinte comando: #kill -1 pid
Onde “pid” é o número do processo do agente de autenticação. Para ser obtido este número,
pode-se executar o comando.
#ps -ax | grep fwagaut, em máquinas baseadas em Unix BSD, ou
#ps -ef | grep fwagaut, em máquinas baseadas em Unix System V.
O agente de autenticação escuta requisições na porta 1021/TCP. Não pode existir nenhuma
outra aplicação utilizando está porta enquanto o agente estiver ativo.
21.3. Instalando o agente de autenticação em Windows Servertm
A instalação do agente de autenticação para Windows Servertm é bastante simples. Efetue o

download do Agente de Autenticação adequado ao seu sistema no site da Aker
(http://www.aker.com.br/produtos/aker-firewall/downloads), Para instalá-lo, clique duas
vezes no arquivo salvo.
O programa inicialmente mostra uma janela pedindo uma confirmação para prosseguir com
a instalação. Deve-se responder Sim para continuar com a instalação. A seguir será mostrada
uma janela com a licença e pôr fim a janela onde pode especificar o diretório de instalação.
Após selecionar o diretório de instalação, deve-se pressionar o botão Copiar arquivos, que
realizará toda a instalação do agente. Esta instalação consiste na criação de um diretório
chamado de fwntaa, dentro do diretório Arquivos de Programas, com os arquivos do agente,
a criação de um grupo chamado de Firewall Aker com as opções de configuração e remoção
do agente e a criação de um serviço chamado de Agente de autenticação do Aker Firewall.
Este serviço é um serviço normal do Windows Servertm e pode ser interrompido ou iniciado
por meio do Painel de Controle, no ícone serviços.
A instalação do agente de autenticação deve ser realizada com as credencias de administrator

do domínio, para que o agente de autenticação tenha acesso a base de dados.
O agente de autenticação escuta requisições nas portas 1016/TCP e 1021/TCP. Não pode
existir nenhuma outra aplicação utilizando estas portas enquanto o agente estiver ativo.

559
21.4. Configuração do agente de autenticação para Windows Servertm
Depois de realizada a instalação do agente, é necessário proceder com a sua configuração.

Esta configuração permite fazer o cadastramento de todos os firewalls que irão utilizá-lo, bem
como a definição de quais mensagens serão produzidas pelo agente, durante seu
funcionamento. Ao contrário do agente de autenticação para Unix, esta configuração é
realizada por meio de um programa separado.
Para ter acesso ao programa de configuração, deve-se clicar no menu Iniciar, selecionar o
grupo Firewall Aker e dentro deste grupo a opção Configurar agente de autenticação. Ao ser
realizado isso, será mostrada a janela de configuração do agente, que está distribuída em três
abas:
Aba de configuração dos firewalls
Figura 396 - Agente de autenticação - Aker.
Esta aba consiste em todas as opções de configuração do agente. Na parte superior existe
dois botões que permitem testar a autenticação de um determinado usuário, a fim de
verificar se o agente está funcionando corretamente. Na parte inferior da pasta existe uma
lista com os firewalls autorizados a se conectarem ao agente de autenticação.

560
Para incluir um novo firewall na lista, basta clicar no botão Incluir, localizado na barra de
ferramentas. Para remover ou editar um firewall, basta selecionar o firewall a ser removido
ou editado e clicar na opção correspondente da barra de ferramentas. No caso das opções
Incluir ou Editar será mostrada a seguinte janela:
Figura 397 - Agente de autenticação – Firewall Aker.
 IP: É o endereço IP do firewall que se conectará ao agente.

 Descrição: É um campo livre, utilizado apenas para fins de documentação.
 Senha: É a senha utilizada para gerar as chaves de autenticação e criptografia usadas na
comunicação com o firewall. Esta senha deve ser igual à configurada na entidade do
firewall. Para maiores informações, veja o capítulo intitulado Cadastrando Entidades.
 Confirmação: Este campo é utilizado apenas para verificar se a senha foi digitada
 Autenticação de usuários suportada: Esse campo indica quais formas de autenticação de
usuários serão permitidas. Ela consiste de duas opções que podem ser selecionadas
independentemente:
 Domínio Windows NT/2000: Se essa opção estiver marcada, o agente realizará
autenticação de usuários utilizando a base de usuários do Windows NT/2000.
 SecurID ACE/Server: Se essa opção estiver marcada, o agente realizará autenticação de
usuários consultando o servidor SecurID.

561
Aba de log
Figura 398 - Agente de autenticação - Log.
Esta aba é muito útil para acompanhar o funcionamento do agente de autenticação. Ela
consiste de uma lista com diversas mensagens ordenadas pela hora. Ao lado de cada
mensagem existe um ícone colorido, simbolizando sua prioridade. As cores têm o seguinte
significado:
Verde Depuração
Azul Informação
Amarelo Notícia
Vermelho Advertência
Preto Erro
Caso não queira que uma determinada prioridade de mensagens seja gerada, basta
desmarcar a opção a sua esquerda.

562
A opção Usar visualizador de eventos, se estiver marcada, faz com que as mensagens sejam
enviadas para o visualizador de eventos do Windows.
Aba Sobre
Figura 399 - Agente de autenticação - Sobre.
Esta é uma aba meramente informativa e serve para obter algumas informações do cliente.
Dentre as informações úteis se encontram sua versão e release.
Remoção do agente de autenticação para Windows Servertm
Para facilitar a remoção do agente de autenticação para NT, existe um utilitário que a realiza
automaticamente. Para iniciá-lo, deve-se clicar no menu Iniciar, selecionar o grupo Firewall
Aker e dentro deste grupo a opção Remover agente de autenticação. Ao ser realizado isso,
será mostrada uma janela de confirmação.
Caso deseje desinstalar o agente, deve-se clicar no botão Sim, caso contrário, deve-se clicar
no botão Não, que cancelará o processo de remoção.

563
Configurando parâmetros de
autenticação

564
22. Configurando parâmetros de autenticação
Este capítulo mostra quais são e como devem ser configurados os parâmetros de
autenticação, essenciais para que seja possível a autenticação de usuários pelo firewall.
O que são os parâmetros de autenticação?
Os parâmetros de autenticação servem para informar ao firewall quais as formas de

autenticação que são permitidas, quais autenticadores devem ser pesquisados na hora de
autenticar um determinado usuário e em qual ordem. Além disso, eles controlam a forma
com que a pesquisa é feita, permitindo uma maior ou menor flexibilidade para as
autenticações.
Para ter acesso a janela de parâmetros de autenticação deve-se:
Figura 400 - Autenticação.
 Clicar no menu Configuração do Firewall da janela Firewalls.

 Selecionar o item Autenticação.
Essa janela consiste de seis partes distintas: a primeira aba corresponde ao Controle de
Acesso onde os usuários e grupos de autenticadores são associados com perfis de acesso. A
configuração desta aba será vista em detalhes em Perfis de Acesso de Usuários, na segunda

565
aba escolhe-se os Métodos de autenticação onde se determina os parâmetros relativos à
autenticação de usuários por meio de nomes/senhas e se configuram os parâmetros de
autenticação por token (SecurID) e Autoridade Certificadora (PKI), a terceira aba configura-se
a Autenticação para Proxies. Na quarta aba configura-se a "Autenticação local", e na quinta
aba são configuradas o Controle de Acesso por IP, e a última aba NTLM configura a integração
do Aker Firewall ao Microsoft Active Directory (AD) e utilizar o login automaticamente. Mais
detalhes serão vistos em Perfis de Acesso de Usuários.
 O botão OK fará com que a janela de configuração de parâmetros seja fechada e as

alterações efetuadas aplicadas.
aberta.
sejam aplicadas.
Aba de Controle de Acesso
Figura 401 - Autenticação de acesso: Controle de acesso.
A janela de controle de acesso permite que seja criada a associação de usuários/grupos com
um perfil de acesso.

566
Na parte inferior da janela existe um campo chamado Perfil Padrão onde é possível selecionar
o perfil que será associado aos usuários que não se enquadrem em nenhuma regra de
associação.
A última coluna, quando preenchida, especifica redes e máquinas onde a associação é válida.
Se o usuário se encaixar na regra, mas estiver em um endereço IP fora das redes e máquinas
cadastradas, então a regra será pulada, permitindo a atribuição de outro perfil ao usuário.
Esse tipo de restrição é muito útil para permitir acesso às áreas sensíveis da rede apenas de
alguns locais físicos com segurança aumentada.
Para associar um usuário ou grupo com um determinado perfil de acesso, deve-se proceder
da seguinte maneira:
1. Clicar com o botão direito do mouse na lista de regras e selecionar a opção Inserir;
2. Selecione o autenticador do qual se deseja obter a lista de usuários ou grupos, clicando-
se com o botão direito no campo Autenticador;
3. Clicar com o botão direito sobre o campo Usuário/Grupo e selecione entre listagem de
usuários ou grupos e sua lista será montada automaticamente a partir do autenticador
selecionado. A partir de a lista selecione o usuário ou grupo desejado.
Figura 402 - Autenticação de acesso: Listagem de grupos ou usuários.
4. Clicar com o botão direito sobre o campo Perfil para selecionar o perfil desejado,
conforme o menu abaixo:

567
Figura 403 - Autenticação de acesso: Escolha do perfil desejado.
5. Caso queira, arraste algumas entidades máquina, rede ou conjuntos para o campo
entidades. Se o usuário estiver fora dessas entidades, a regra será pulada.
Para remover uma regra entre um usuário/grupo e um perfil, deve-se proceder da seguinte
maneira:
1. Clicar na regra a ser removida, na lista da janela;

2. Clicar no botão Apagar.
Para alterar a posição de uma regra dentro da lista, deve-se proceder da seguinte forma:
1. Clicar na regra a ser movida de posição;

2. Arrastar para a posição desejada.
A ordem das associações na lista é de fundamental importância. Quando um usuário se

autenticar, o Aker Firewall pesquisará a lista a partir do início procurando pelo nome desse
usuário ou por um grupo de que ele faça parte. Tão logo um desses seja encontrado, o perfil
associado ao mesmo será utilizado.

568
Aba Métodos
Figura 404 - Autenticação de acesso: Métodos.
Habilita autenticação usuário/senha: Essa opção indica se o firewall aceitará ou não

autenticação de usuários por meio de nomes/senhas. Caso ela esteja ativa, deve-se configurar
os demais parâmetros relativos a esse tipo de autenticação:
Pesquisar todos autenticadores: Este parâmetro indica se o firewall deve tentar validar um
usuário nos próximos autenticadores da lista no caso de um autenticador retornar uma
mensagem de senha inválida.
Se esta opção estiver marcada, o firewall percorre todos os autenticadores da lista, um a um,
até receber uma resposta de autenticação correta ou até a lista terminar. Caso ela não esteja
marcada, a pesquisa será encerrada no primeiro autenticador que retornar uma mensagem
de autenticação correta ou de senha inválida.
Esta opção só é usada para respostas de senha inválida. Caso um autenticador retorne
uma resposta indicando que o usuário a ser validado não está cadastrado na base de dados
de sua máquina, o firewall continuará a pesquisa no próximo autenticador da lista,
independentemente do valor desta opção.
Pesquisar autenticador interno: Este parâmetro indica se a base de usuários locais do firewall
- definida na pasta Autenticação Local - deve ser consultada para validar a senha dos usuários.

569
Se sim, também deve escolher no combo box ao lado se essa base deve ser consultada antes
ou depois dos demais autenticadores.
Permitir domínios especificados pelo usuário: Este parâmetro indica se o usuário na hora de
se autenticar pode informar ao firewall em qual autenticador ele deseja ser validado.
Se esta opção estiver marcada, o usuário pode acrescentar juntamente ao seu nome, um
sufixo formado pelo símbolo / e um nome de autenticador, fazendo com que a requisição de
autenticação seja enviada diretamente para o autenticador informado. Caso ela não esteja
marcada, a autenticação será realizada na ordem dos autenticadores configurada pelo
administrador.
O uso desta opção não obriga que o usuário informe o nome do autenticador, apenas
permite que ele o faça, se desejar. Caso o usuário não informe, a autenticação seguirá na
ordem normal.
Para ilustrar a especificação de domínio, pode-se tomar como base um sistema no qual
existam dois autenticadores configurados, chamados de Unix e Windows Server. Neste
sistema, se um usuário chamado administrador desejar se autenticar na máquina Windows
Server, então ele deverá entrar com o seguinte texto, quando lhe for solicitado seu login ou
username: administrador/Windows Server. Caso ele não informe o sufixo, o Aker Firewall
tentará autenticá-lo inicialmente pela máquina Unix e caso não exista nenhum usuário
cadastrado com este nome ou a opção Pesquisa em todos os autenticadores estiver marcada,
ele então tentará autenticar pela máquina Windows Server.
O nome do autenticador informado pelo usuário deve estar obrigatoriamente na lista de

autenticadores a serem pesquisados.
Autenticadores a pesquisar
Para incluir um autenticador na lista de autenticadores a serem consultados, deve-se

1. Clicar com o botão direito do mouse onde aparecerá um menu suspenso (figura
abaixo) ou arrastando a entidade autenticador para o local indicado;

570
Figura 405 - Autenticação de acesso: Adicionar entidades.
2. Seleciona-se o a opção Adicionar entidades e o autenticador a ser incluído, na lista

mostrada à direita.
Para remover um autenticador da lista de pesquisa, deve-se proceder da seguinte forma:
1. Selecionar o autenticador a ser removido e apertar a tecla delete ou;

2. Clicar no botão direito do mouse e selecionar no menu suspenso o item Apagar
Figura 406 - Autenticação de acesso: Remover entidades.
Para mudar a ordem de pesquisa dos autenticadores, deve-se proceder da seguinte forma:
1. Selecionar o autenticador a ser mudado de posição na ordem de pesquisa;

2. Clicar em um dos botões à direita da lista: o botão com o desenho da seta para
cima fará com que o autenticador selecionado suba uma posição na lista. O botão
com a seta para baixo fará com que ele seja movido uma posição para baixo na
lista.
Dica: A adição ou remoção dos autenticadores pode ser realizada diretamente com o mouse,
bastando clicar e arrastar os mesmos para a janela correspondente, soltando em seguida.

571
Os autenticadores serão pesquisados na ordem que se encontram na lista, de cima para
baixo.
Habilitar autenticação PKI: Essa opção indica se o firewall aceitará ou não a autenticação de
usuários por meio de smart cards. Caso ela esteja ativa, deve-se configurar as autoridades
certificadoras nas quais o firewall confia.
Figura 407 - Autenticação de acesso: Métodos 1.
Autoridades Certificadoras Confiáveis
Para incluir uma autoridade certificadora na lista de autoridades certificadoras confiáveis,

deve-se proceder da seguinte forma:
1. Clicar com o botão direito do mouse e escolher a opção Incluir Entidades;

2. Selecionar a autoridade a ser incluída;
3. Clique em Incluir;
4. Pode-se também clicar em uma autoridade certificadora e arrastá-la para posição
desejada.
Para remover uma autoridade certificadora da lista de autoridades confiáveis, deve-se

1. Selecionar a autoridade a ser removida e apertar a tecla delete ou

572
2. Clicar no botão direito do mouse sobre a entidade a ser removida e escolher a opção
Apagar
Habilitar autenticação por token: Essa opção indica se o firewall aceitará ou não a autenticação de
usuários por meio de tokens. Caso ela esteja ativa, deve-se configurar o nome do autenticador
token a ser consultado para validar os dados recebidos.
Figura 408 - Autenticação de acesso: Métodos (habilitar autenticação do Token).
Autenticador token a pesquisar: Este campo indica o autenticador token para o qual os dados
a serem validados serão repassados.

573
Aba Autenticação para Proxies
Figura 409 - Autenticação de acesso: Autenticação para proxies.
Estes parâmetros indicam que tipos de autenticação serão aceitas nos proxies e em que
ordem serão validadas. Isso é importante pois quando um usuário é autenticado por meio de
um browser, por exemplo, não é possível que ele especifique se está utilizando token ou
usuário/senha. As opções possíveis de configuração são:
 Autenticação Token antes da autenticação usuário/senha;

 Autenticação usuário/senha antes da autenticação Token;
 Autenticação Token somente;
 Autenticação usuário/senha somente;

574
Aba Autenticação Local
Figura 410 - Autenticação de acesso: Autenticação local.
Esta aba, pode cadastrar uma série de usuários e associar um grupo a cada um deles. Se a
opção de usar a base local de usuários estiver habilitada, então esses usuários também serão
verificados como se estivessem em um autenticador remoto. Eles compõem o autenticador
local.
Para incluir um usuário, clique com o botão da direita e escolha Inserir, ou então use o toolbar
e clique no botão inserir. Pode-se usar o botão Inserir no seu teclado.
Figura 411 - Menu para inclusão de usuário.
Para alterar o nome do usuário e seu nome completo, basta dar um duplo clique no campo
correspondente:

575
Figura 412 - Autenticação – Autenticação local.
Para alterar a senha ou o grupo a que está associado ao usuário, use o menu de contexto
sobre o item, clicando com o botão direito do mouse.
Figura 413 - Autenticação – alteração de senha ou grupo.
Para criar ou remover grupos, o procedimento é o mesmo, mas na lista lateral direita.
576
Figura 414 - Autenticação local – criar ou remover grupos.
Grupos vazios não serão mantidos pelo firewall, apenas aqueles que contiverem ao menos
um usuário.

577
Aba Controle de acesso por IP
Figura 415 - Controle de acesso por IP.
O Aker Firewall pode controlar os acessos por intermédio de endereços IP conhecidos

juntamente com perfis criados para este fim. Esta aba permite habilitar e a desabilitar
individual das regras que configuram a autenticação por IP, não sendo mais necessário ter
que removê-las para desabilitá-las, podendo ser habilitada ou desabilitada por meio da opção
no menu suspenso ou por meio do botão localizado na barra de tarefas.
É preciso escolher uma entidade rede ou uma entidade máquina, que definirão a origem do
tráfego e associá-las ao perfil, de forma que o tráfego originário dessas entidades não
precisará de autenticação por usuário.
O Acesso por IP estará habilitado sempre que houver pelo menos uma regra habilitada
nesta aba. A autenticação por IP só funciona com o Proxy HTTP/HTTPS.

578
Aba NTLM
Figura 416 - Configuração NTLM.
A janela acima tem a função de configurar a integração do Aker Firewall ao Microsoft Active
Directory (AD) e utilizar o login automaticamente, sem que seja solicitada a digitação no
browser.
Esta integração é realizada por meio do Kerberos, Winbind e Samba e o comportamento deste
autenticador será idêntico aos outros tipos de autenticações suportadas pelo Aker Firewall
podendo listar os usuários e grupos para a vinculação com os perfis de acesso.
Habilitar NTLM: ativando esta opção, uma entidade com o nome NTLM_Auth, estará
disponível para a configuração na Aba Métodos da janela de Autenticação.
Active directory:
Endereço IPv4: endereço IP do servidor com o Microsoft Active Directory;
Host: nome netbios do servidor com o Microsoft Active Directory, obtido a partir do
comando hostname executado neste servidor.
Autenticação
Usuário: usuário com privilégios de administração do domínio para integração.

579
Senha: senha do usuário citado acima.
Status/Atualizar status: Informa o status da integração e logs em caso de falhas.
O Aker Firewall funciona com as seguintes versões de NTLM : V1 e V2. O firewall iá

responder a requisição enviada pelo servidor de acordo com a versão atual do servidor NTLM.
Para o bom funcionamento da integração, o Aker Firewall e o servidor com o Microsoft

Active Directory devem estar com a data e horas sincronizados por meio de um servidor NTP.
Para que a integração funcione, o domínio configurado no Aker Firewall na janela

Configuração do Sistema, TCP/IP, aba DNS, deve ser o mesmo domínio do Microsoft Active
Directory.
Esta integração está disponível somente para o Filtro Web, em próximas versões a
integração se estenderá para todas as funcionalidades do Aker Firewall.
Para usuários que não estiverem cadastrados no domínio do Microsoft Active Directory a
autenticação será realizada por meio de um POP-UP no browser do usuário que será solicitada
a cada 15 minutos para autenticação http 1.1, e solicitada apenas uma vez para autenticação
Java.
Abaixo segue a imagem que será apresentada as estes usuarios.

580
Figura 417 - Segurança do Windows – solicitação de usuário e senha.
A autenticação transparente está disponível somente para o Filtro Web e Modo PROXY
ATIVO, em próximas versões a integração se estenderá para todas as funcionalidades do Aker
Firewall.
Em autenticações via java é necessário liberar a consulta do certificado nas portas HTTP,
e HTTPS sem proxy. Esta regra deve vir antes da regra de autenticação.
A regra deve tem como origem a Rede interna do usuário com destino aos IPS da url
ocsp2.globalsign.com, como exibido na imagem a seguir:
Figura 418 - regra de liberação de consulta do certificado
Figura 419 - IPS

581
22.2. Utilizando a Interface Texto (via SSH-fwauth)
A Interface Texto (via SSH) permite configurar o tipo de autenticação que será realizada e a
ordem de pesquisa dos autenticadores (E possível usar todos os comandos sem o prefixo
“FW”, para isso execute o comando “fwshell”, então os comandos poderão ser acessados sem
o prefixo “FW”).
Localização do programa: /aker/bin/firewall/fwauth
Sintaxe:
Uso: fwauth [mostra | ajuda]
fwauth [habilita | desabilita]

fwauth [inclui | remove] [ca | token | autenticador] <entidade>
fwauth [domínio | pesquisa_todos] [sim | não]
fwauth proxy [token | senha] [sim | não]
fwauth proxy primeiro [token | senha]
Ajuda do programa:
Firewall Aker
fwauth - Configura parâmetros autenticação
Uso: fwauth [mostra | ajuda]
fwauth [habilita | desabilita]

fwauth [inclui | remove] [ca | token | autenticador] <entidade>
fwauth [domínio | pesquisa_todos] [sim | não]
fwauth local [primeiro | ultimo | nao]

fwauth proxy [token | senha] [sim | não]
fwauth proxy primeiro [token | senha]

habilita = habilita a autenticação
desabilita = desabilita a autenticação

inclui = inclui entidade na lista de autenticadores ativos
remove = remove entidade da lista de autenticadores ativos
domínio = configura se o usuário pode ou não especificar domínio

582
local = indica se o autenticador local deve ser consultado antes dos demais
autenticadores (primeiro), depois de todos (ultimo) ou se nao deve ser utilizado (nao)
pesquisa_todos = configura se deve pesquisar em todos os autenticadores
proxy senha = habilita autenticação por proxies do tipo usuário/senha
proxy token = habilita autenticação por proxies do tipo Token
proxy primeiro = configura qual o primeiro tipo de autenticação a ser usado
Exemplo 1: (mostrando os parâmetros de autenticação)
#fwauth mostra AUTENTICACAO USUÁRIO/SENHA:

---------------------------
Pesquisa em todos autenticadores: sim
Usuário pode especificar domínio: não
Autenticadores cadastrados:
aut_local
AUTENTICACAO PKI:
-----------------
Não ha autenticadores cadastrados
AUTENTICACAO SECURY ID:

-----------------------
Não ha autenticadores cadastrados
Exemplo 2: (incluindo um autenticador na lista de autenticadores ativos)
#fwauth inclui autenticador "agente 10.0.0.12”

Autenticador incluído

583
Perfis de acesso de Usuários

584
23. Perfis de acesso de Usuários
Neste capítulo mostra para que servem e como configurar perfis de acesso no Aker Firewall.
O que são perfis de acesso?
Firewalls tradicionais baseiam suas regras de proteção e controle de acesso a partir de

máquinas, por meio de seus endereços IP. Além de o Aker Firewall permitir este tipo de
controle, ele também permite definir o controle de acesso por usuários. Desta forma, é
possível que determinados usuários tenham seus privilégios e restrições garantidos,
independentemente de qual máquina estejam utilizando em um determinado momento. Isso
oferece o máximo em flexibilidade e segurança.
Para possibilitar este controle de acesso em nível de usuários, o Aker Firewall introduziu o
conceito de perfis de acesso. Perfis de acesso representam os direitos a serem atribuídos a
um determinado usuário no firewall. Estes direitos de acesso englobam todos os serviços
suportados pelo firewall, o controle de páginas WWW e o controle de acesso por meio do
proxy SOCKS. Desta forma, a partir de um único local, consegue definir exatamente o que
pode e não pode ser acessado.
Como funciona o controle com perfis de acesso?
Para utilizar os perfis de acesso, inicialmente cadastra-se os perfis desejados e

posteriormente associa-se estes perfis com usuários e grupos de um ou mais autenticadores.
A partir deste momento, todas as vezes que um usuário se logar no firewall com o Aker Client
ou outro produto que ofereça funcionalidade equivalente, o firewall identificará o perfil de
acesso correspondente a este usuário e configurará as permissões de acesso de acordo com
este perfil. Tudo é realizado de forma completamente transparente para o usuário final.
Para que seja possível o uso de perfis de acesso é necessário que o Aker Client esteja instalado
em todas as máquinas clientes ou que se use a opção de autenticação por Java no Filtro Web.
Caso contrário, só será possível a utilização de controle de acesso a páginas WWW ou a serviços
por meio do proxy SOCKS. A autenticação de usuários por meio do Filtro Web (sem Java) e SOCKS
são possíveis na medida em que eles solicitarem um nome de usuário e uma senha e pesquisarem
o perfil correspondente quando não identificarem uma sessão ativa para uma determinada
máquina.
23.2. Cadastrando perfis de acesso

585
Os perfis de acesso do Aker Firewall definem quais páginas WWW podem ser visualizadas e
quais tipos de serviço podem ser acessados. Para cada página WWW ou serviço, existe uma
tabela de horários associada, por meio da qual é possível definir os horários nos quais o
serviço ou página podem ser acessados.
Para ter acesso à janela de perfis de acesso deve-se:
Figura 420 - Perfis.
 Clicar no menu Configuração do Firewall da janela de administração do firewall.

 Selecionar o item Perfis.

586
A janela de Perfis
Figura 421 - Perfis – Aker Firewall.
A janela de perfis contém todos os perfis de acesso definidos no Firewall. Ela consiste de uma
lista onde cada perfil é mostrado em uma linha separada.
 O botão OK fará com que a janela de perfis seja fechada;

aberta;
Para executar qualquer operação sobre um determinado perfil, deve-se clicar sobre ele e a
seguir clicar na opção correspondente na barra de ferramentas. As seguintes opções estão
disponíveis:
Figura 422 - Opções de configuração de perfil

587
 Inserir perfil filho: Incluir um novo perfil que é filho do perfil atual, i.e., estabelece uma
hierarquia de perfis.
 Inserir: Permitir a inclusão de um novo perfil na lista.
 Copiar: Copiar o perfil selecionado para uma área temporária.
 Colar: Copiar o perfil da área temporária para a lista.
 Excluir: Remover da lista o perfil selecionado.
 Relatório dos perfis: Gera relatório da lista de perfis em um documento HTML
Dica: Todas as opções mostradas acima podem ser executadas a partir da barra de
ferramentas, bem como a opção de relatório dos Perfis, todos localizados logo acima da lista.
Na opção relatório dos perfis, primeiro selecionam-se os itens para relatório, e em seguida
indica o caminho e clique no botão Gerar.
Recomenda-se a não utilização de caracteres especiais (espaços, traços, sinais, acentos,

aspas e etc..) na criação ou edição dos "perfis de acesso" do Firewall, exemplo: "Perfil
Administração", a forma correta é "Perfil_Administracao”.
Para excluir um perfil de acesso, ele não poderá estar associado a nenhum usuário (para
maiores informações veja o tópico Associando Usuários com Perfis de Acesso)
O perfil filho, criado com a opção Inserir perfil filho herdará automaticamente as
configurações do perfil pai.
Na parte superior de ambas as pastas se encontram o campo Nome, que serve para
especificar o nome que identificará unicamente o perfil de acesso. Este nome será mostrado
na lista de perfis e na janela de controle de acesso. Não podem existir dois perfis com o
mesmo nome.
Cada perfil de acesso é composto de onze tópicos diferentes. Dependendo do tópico

selecionado em um momento, a parte direita da janela mudará de modo a mostrar as
diferentes opções. Os tópicos de configuração são:

588
23.3. Geral
Figura 423 - Perfis: Geral.
As opções gerais de filtragem são definidas pelos seguintes campos:
Prioridade das Regras: Permite definir a prioridade entre as regras do perfil e as regras de
seus perfis filhos.
 Configura a prioridade para as regras dos perfis filhos: Se esta opção estiver
marcada, as regras dos perfis filhos irão aparecer acima das regras dos perfis pais,
isto é, elas terão prioridade sobre as regras do pai. Caso contrário, as regras do
perfil pai terão prioridade sobre as regras dos seus perfis filhos. Ou seja, nos perfis
filhos, as regras herdadas do pai irão aparecer acima de suas regras.
Horário padrão: Esta tabela define o horário padrão para as regras de filtragem WWW.
Posteriormente, ao se incluir regras de filtragem WWW, existe a opção de se utilizar este
horário padrão ou especificar um horário diferente.
As linhas representam os dias da semana e as colunas às horas. Caso queria que a regra seja
aplicável em determinada hora então o quadrado deve ser preenchido, caso contrário o
quadrado deve ser deixado em branco. Para facilitar sua configuração, pode-se clicar com o

589
botão esquerdo do mouse sobre um quadrado e a seguir arrastá-lo, mantendo o botão
pressionado. Isto faz com que o a tabela seja alterada na medida em que o mouse se move.
23.4. FTP e GOPHER
Figura 424 - Perfis: FTP e GOPHER.
A opção de filtragem FTP e GOPHER permitem a definição de regras de filtragem de URLs para
os protocolos FTP e GOPHER. Ela consiste de uma lista onde cada regra é mostrada em uma
linha separada.
Na parte inferior da pasta existe um grupo que define a ação a ser executado caso o endereço
que o cliente desejou acessar não se encaixe em nenhuma regra de filtragem. Este grupo é
chamado de Ação padrão para o protocolo e consiste de duas opções.
Permitir: Se esta opção for à selecionada, então o firewall aceitará as URLs que não se
Bloquear: Se esta opção for à selecionada, então o firewall rejeitará as URLs que não se
Para executar qualquer operação sobre uma determinada regra, basta clicar sobre ela e a
disponíveis:

590
Figura 425 - Menu de opções (Perfis).
 Desabilitar: Ativar ou desativar a regra selecionada na lista.
A ordem das regras na lista de regras de filtragem é de fundamental importância. Ao receber

uma solicitação de acesso a um endereço, o firewall pesquisará a lista a partir do início,
procurando por uma regra na qual o endereço se encaixe. Tão logo uma seja encontrada, a ação
associada a ela será executada.
Cada regra de filtragem consiste de uma operação, que indica qual tipo de pesquisa será
realizada e o texto a ser pesquisado. Para acessar estas opções de operação clique na
entidade que selecionada na coluna Padrões de Texto e a tela a seguir será exibida:

591
Figura 426 - Opções de operação
 CONTÉM: A URL deve conter o texto informado em qualquer posição.

 NÃO CONTÉM: A URL não pode conter o texto informado.
 É: O conteúdo da URL deve ser exatamente igual ao texto informado.
 NÃO É: O conteúdo da URL deve ser diferente do texto informado.
 COMEÇA COM: O conteúdo da URL deve começar com o texto informado.
 NÃO COMEÇA COM: O conteúdo da URL não pode começar com o texto informado.
 TERMINA COM: O conteúdo da URL deve terminar com o texto informado.
 NÃO TERMINA COM: O conteúdo da URL não pode terminar com o texto informado.
 EXPRESSÃO REGULAR: O campo a ser pesquisado deverá ser uma expressão regular.
 TUDO: Aceitara todo conteúdo da URL
Seguem as definições dos campos da janela:
N: Número da regra de filtragem.
Limite de busca: Esse campo permite escolher em qual parte da URL será realizado a busca,
sendo que os parâmetros a serem pesquisados serão definidos no campo Text Patterns.

592
Padrões de texto: Ao clicar com o botão direito do mouse nesse campo, permite selecionar
uma entidade lista de padrões criada anteriormente. Com isso, será possível associar a regra
a uma entidade padrão de pesquisa, permitindo definir qual será a string ou os parâmetros
que serão pesquisados na URL acessada e qual operação a ser efetuada.
Ação: Define a ação a ser executada caso o endereço que o usuário desejou acessar não se
encaixe em nenhuma regra de filtragem. Consiste em duas opções.
Categorias: Nesse campo, permite associar alguma entidade categoria à regra que está sendo
criada.
Canal: Usado em regras de filtragem com o objetivo de limitar a banda de determinados

serviços, máquinas, redes e/ou usuários.
Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gastos pelos
funcionários, com acesso aos sites da WEB. Assim as quotas são os limites em termos de
tempo de acesso e volume de dados, por usuário. Esta opção permite associar ao usuário
alguma entidade quota criada.
Time: Período em que a regra é aplicada. Dia da semana e horário. Exemplo: Permite definir
que nas segundas-feiras e nas quartas-feiras o usuário terá acesso à Internet somente das
12:00 às 14:00.
Período de Validade: Período de validade e aplicação da regra. É definido em mês e ano.

593
23.5. HTTP/HTTPS
Aba Geral
Figura 427 - Geral: HTTP e HTTPS.
Bloquear: Este campo define as opções de bloqueio em sites WWW. São elas:
 URLs com endereço IP: Se esta opção estiver marcada, não será permitido o acesso a URLs
com endereços IP ao invés de nome (por exemplo, http://10.0.1.6), ou seja, somente será
possível se acessar URLs por nomes.
Caso tenha configurado o Filtro Web para fazer filtragem de URLs, deve-se configurar esta opção
de modo que o usuário não possa acessar por meio de endereços IP, caso contrário, mesmo com o
nome bloqueado, o usuário continuará acessando a URL por meio de seu endereço IP. É possível
acrescentar endereços IP nas regras de filtragem WWW do perfil (caso queria realizar filtragem com
esta opção ativa), entretanto, devido a estes sofrerem mudanças e ao fato de muitos servidores
terem mais de um endereço IP, isto se torna extremamente difícil. Por outro lado, muitos
administradores percebem que sites mal configurados (especialmente os de webmail) utilizam
redirecionamento para servidores pelo seu endereço IP, de forma que, com esta opção desmarcada,
tais sites ficam inacessíveis.

594
O bloqueio de URL não tem suporte para páginas HTTPS quando estiver sendo utilizado o Proxy
ativo (ao bloquear uma página utilizando este método, o browser irá mostrar o erro de comunicação.
Java, Javascript e Activex: Este campo permite definir uma filtragem especial para páginas
WWW, bloqueando, ou não, tecnologias consideradas perigosas ou incômodas para alguns
ambientes. Ela possui três opções que podem ser selecionadas independentemente:
Javascript, Java e Activex.
A filtragem de Javascript, Java e ActiveX é realizada de forma com que a página filtrada seja
visualizada como se o browser da máquina cliente não tivesse suporte para a(s) linguagem(s)
filtrada(s). Em alguns casos, isto pode fazer com que as páginas percam sua funcionalidade.
 Bloqueio de Banners: Esta opção realiza o bloqueio de banners publicitários em páginas

Web. Caso ela esteja marcada, o firewall substituirá os banners por espaços vazios na
página, diminuindo o seu tempo de carga.
Uma vez configurado que se deve realizar o bloqueio, o mesmo será realizado por meio de
regras globais, iguais para todos os perfis. Para configurar estas regras de bloqueio de
banners, deve-se:
Figura 428 - Janela de acesso: Bloqueio de Banners.
 Clicar no menu Aplicação da janela principal.

 Selecionar o item Bloqueio de banners.

595
Figura 429 - Bloqueio de Banners (URL de banners).
Esta janela é formada por uma série de regras no formado de expressão regular. Caso uma
URL se encaixe em qualquer regra, a mesma será considerada um banner e será bloqueada.
A pasta de filtragem HTTP/HTTPS permite a definição de regras de filtragem de URLs para os

protocolos HTTP/HTTPS. Ela consiste de uma lista onde cada regra é mostrada em uma linha
separada.
O protocolo HTTPS, para a URL inicial é filtrado como se fosse o protocolo HTTP. Além disso, uma
vez estabelecida à comunicação não é mais possível para o firewall filtrar qualquer parte de seu
conteúdo, já que a criptografia é realizada diretamente entre o cliente e o servidor.

596
Aba Filtro de URL
Figura 430 - Perfis: bloqueio de URL.
Na parte inferior da pasta existe um grupo que define a ação a ser executado caso o endereço
que o cliente desejou acessar não se encaixe em nenhuma regra de filtragem. Este grupo é
chamado de Ação padrão para o protocolo e consiste de três opções.
Para executar qualquer operação sobre uma determinada regra, basta clicar sobre ela e a
disponíveis:
Figura 431 - Barra de ferramentas (inserir ou desabilitar).

597
A ordem das regras na lista de regras de filtragem WWW é de fundamental importância. Ao

receber uma solicitação de acesso a um endereço, o firewall pesquisará a lista a partir do início,
procurando por uma regra na qual o endereço se encaixe. Tão logo uma seja encontrada, a ação
associada a ela será executada.
Cada regra de filtragem consiste de uma operação, que indica que tipo de pesquisa será
realizada e, o texto a ser pesquisado. As seguintes opções operação estão disponíveis:
 CONTÉM: A URL deve conter o texto informado em qualquer posição.

 NÃO CONTÉM: A URL não pode conter o texto informado.
 É: O conteúdo da URL deve ser exatamente igual ao texto informado.
 NÃO É: O conteúdo da URL deve ser diferente do texto informado.
 COMEÇA COM
 : O conteúdo da URL deve começar com o texto informado.
 NÃO COMEÇA COM: O conteúdo da URL não pode começar com o texto informado.
 TERMINA COM: O conteúdo da URL deve terminar com o texto informado.
 NÃO TERMINA COM: O conteúdo da URL não pode terminar com o texto informado.
 EXPRESSÃO REGULAR: O campo a ser pesquisado deverá ser uma expressão regular.
 Seguem as definições dos campos da janela:
 N: Número da regra de filtragem.
 Limite de busca: Esse campo permite escolher em qual parte da URL será realizado a
busca, sendo que os parâmetros a serem pesquisados foram definidos no campo Text
Patterns.
 Padrões de texto: Ao clicar com o botão direito do mouse nesse campo, permite
selecionar uma entidade lista de padrões criada anteriormente. Com isso, será possível
associar a regra a uma entidade padrão de pesquisa, permitindo definir qual será a string
ou os parâmetros que serão pesquisados na URL acessada e qual operação a ser efetuada.
 Ação: Define a ação a ser executado caso o endereço que o usuário desejou acessar não
se encaixe em nenhuma regra de filtragem. Consiste em duas opções.
 Permitir: Se esta opção for à selecionada, então o firewall aceitará as URLs que não se
 Bloquear: Se esta opção for à selecionada, então o firewall rejeitará as URLs que não se
598
 IDS: Habilita ou desabilita uma varredura da conexão HTTP/HTTPS de acordo com os filtros
IDS.
 Categorias: Nesse campo, permite associar alguma entidade categoria à regra que está
sendo criada.
 Canal: Usado em regras de filtragem com o objetivo de limitar a banda de determinados
serviços, máquinas, redes e/ou usuários.
 Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gastos pelos
funcionários, com acesso aos sites da WEB. Assim as quotas são os limites em termos de
tempo de acesso e volume de dados, por usuário. Esta opção permite associar ao usuário
alguma entidade quota criada.
 Time: Período em que a regra é aplicada. Dia da semana e horário. Exemplo: Permite
definir que nas segundas-feiras e nas quartas- feiras o usuário terá acesso à internet
somente das 12:00 às 14:00.
 Período de Validade: Período de validade e aplicação da regra. É definido em mês e ano.
Aba Arquivos Bloqueados
Figura 432 - Perfis: Arquivos bloqueados.
Especificar os arquivos que serão bloqueados pelo perfil juntamente com o Filtro Web.

599
É possível utilizar dois critérios complementares para decidir se um arquivo transferido deve
ser bloqueado: a extensão do arquivo ou seu tipo MIME. Se um destes critérios for atendido,
em outras palavras, se a extensão do arquivo estiver entre aquelas a serem analisadas ou o
tipo MIME da mensagem estiver entre aqueles a serem bloqueados, então o arquivo deverá
ser bloqueado pelo firewall.
O tipo MIME é usado para indicar o tipo de dado que está no corpo de uma resposta em um
protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo e o segundo
indica o subtipo. O navegador usa esta informação para decidir como mostrar a informação
que ele recebeu do mesmo modo como o sistema operacional usa a extensão do nome do
arquivo.
Sites Excluídos:
Deve-se escolher a operação e o texto a ser incluído para análise. Sites que se enquadrarem
na lista de excluídos não serão analisados.
Opções de operação:
Figura 433 - Escolhas de operações.
URL Bloqueada:
Permitir a configuração de qual ação deve ser executada pelo firewall quando um usuário
tentar acessar uma URL não permitida. Ela consiste das seguintes opções:

600
Mostra mensagem padrão ao bloquear URL: Quando selecionada essa opção, o
firewall mostra uma mensagem de erro informando que a URL que se tentou acessar
se encontra bloqueada.
Redireciona URL bloqueada: Quando selecionada essa opção, o firewall redirecionará

todas as tentativas de acesso a URLs bloqueadas para uma URL especificada pelo
administrador. Nesse caso, deve-se especificar a URL para quais os acessos bloqueados
serão redirecionados (sem o prefixo http://) no campo a seguir.
Mostrar: Essa opção permite definir a página que será mostrada ao usuário, quando a
tentativa de acesso a uma URL for bloqueada. Então se pode optar em mostrar a
página padrão ou redirecionar para a página escolhida, que será personalizada de
acordo com os checkboxes selecionados. Segue abaixo a descrição de cada opção e o
detalhamento das variáveis criadas.
Cada um desses checkbox selecionado, é um parâmetro. Isso é utilizado para

identificar aonde e porque a página foi bloqueada, por exemplo, se a página foi
bloqueada porque caiu em alguma categoria, passar por parâmetro qual a categoria
que causou o bloqueio da página.
Domínio: Quando selecionada essa opção será mostrada o domínio da URL.

Exemplo: Na url www.aker.com.br, o seu domínio seria aker.com.br. Quando
selecionado o domínio, é criada a variável domain.
Método: Informa qual o método utilizado pelo protocolo HTTP. Ex: GET, PUT, POST.
Quando selecionado o Método é criada a variável method.
Nome do Perfil: Nome dado, pelo usuário, ao perfil escolhido. Quando selecionada
essa opção é criada a variável perfil.
Ip do usuário: Endereço IP do usuário que tentou acessar a URL que foi bloqueada.
Quando selecionado o Método é criada a variável IP.
Razões: Ao selecionar a Razão é criada a variável razão. Ao habilitar essa opção será
mostrada a razão do bloqueio do site. Por exemplo, temos as seguintes razões:
"categoria da URL",
"regra de bloqueio",
"quota bytes excedidos",
"quota bytes insuficientes",
"quota tempo excedido",
"tipo de objeto não permitido",
"tipo de arquivo não permitido globalmente",
"tipo de arquivo não permitido no perfil",
"connect para a porta especificada não permitido”

601
Nome da Categoria: Nome da Categoria que a URL foi associada. Ao selecionar a
Categoria é criada a variável cats.
Nome do Usuário: Nome do usuário que tentou acessar a URL. Ao selecionar o nome
do usuário é criada a variável user.
Número da regra: Número da Regra de Filtragem que a URL se enquadrou. Ao

selecionar o número da regra é criada a variável rule.
Site da URL bloqueado: Mostra a URL que o usuário tentou acessar e foi bloqueada.
Ao selecionar o Site da URL bloqueado é criada a variável url.
Quando o proxy ativo estiver sendo utilizado é uma URL for bloqueada por uma quota ou
por lista de padrão de busca, a página padrão para o bloqueio não será mostrada.
Em preview, aparece como será a URL e o que será enviado via método GET.
23.6. MSN Messenger
Figura 434 - Perfis – MSN Messenger.

602
Essa aba permite configurar as opções de uso do MSN Messenger e seus serviços. Para mais
informações, veja o capítulo Configurando o Proxy MSN. As seguintes opções estão
disponíveis:
Permite Messenger: Se esta opção estiver desmarcada, os usuários que pertencerem a este
perfil não poderão acessar o Messenger, mesmo que exista uma regra de filtragem
permitindo este acesso.
É fundamental que o tipo mime do Messenger esteja bloqueado no proxy HTTP, caso contrário
poderá ser possível acessar o Messenger por meio deste serviço. Esta opção de bloqueio já vem
configurada como padrão, mas é importante atentar a isso caso se realize configurações no proxy
HTTP.
Não Filtrado: Esta opção só estará disponível caso a caixa Permite Messenger esteja ativa.
Ela indica que o usuário poderá usar MSN Messenger, sem nenhum tipo de filtragem (ex:
tempo de conversação, etc.).
Filtrado: Esta opção só estará disponível caso a caixa Permite Messenger esteja ativa. Ela
indica que o usuário poderá usar o MSN Messenger, porém de forma controlada, ou seja,
definida por meio das regras de filtragem para este serviço.
Permite notificações do Hotmail: Esta opção (que só estará ativa caso o acesso filtrado ao
MSN Messenger tenha sido selecionado) permite que o usuário receba notificações de
mensagens disponíveis no Hotmail.
Incluir conversas nos registros de log: Se esta opção estiver habilitada, todas as conversas
entre os usuários serão logadas
Bloquear versão: Estas opções permitem que sejam bloqueadas as versões específicas do
cliente MSN Messenger.
Caso tenha selecionado a opção de acesso filtrado ao Messenger, é necessário criar uma ou
mais regras para definir que tipo de acesso será permitido. Para executar qualquer operação
sobre uma regra, basta clicar sobre ela com o botão direito e a seguir escolher a opção
desejada no menu que irá aparecer. As seguintes opções estão disponíveis:
Figura 435 - Menu (inserir/desabilitar) para executar qualquer operação sobre a regra.
 Inserir: Permitir a inclusão de uma nova regra na lista.

603
 Colar: Copiar a regra da área temporária para a lista.
Cada regra MSN consiste das seguintes opções:
Origem: E-mail MSN da pessoa que escreveu a mensagem
Destino: E-mail MSN da pessoa a quem se destina a mensagem
Os campos “Origem” e “destino” são baseados no fluxo das mensagens, por exemplo: Para que
A e B possam conversar uma regra deve ser criada, para que A (origem) escreva para B (Destino) e
vice-versa, sendo B (origem) possa escreve para A (Destino).
Ação: Define a ação a ser executada caso o endereço que o usuário desejou acessar não se
encaixe em nenhuma regra de filtragem. Consiste em duas opções:
• Aceita: Se esta opção for à selecionada, então o firewall aceitará as URLs que não se
• Rejeita: Se esta opção for à selecionada, então o firewall rejeitará as URLs que não se
Tipos de Arquivos Permitidos: Nesta coluna pode-se definir que tipos de arquivos podem ser
enviados/recebidos por meio do Messenger. Para isso deve-se inserir uma ou mais entidades
do tipo Lista de Tipo de Arquivo (para maiores informações veja o capítulo Cadastrando
entidades), contendo a lista de tipos de arquivos permitidos.
Tipos de serviços: Nesta coluna pode-se especificar quais serviços adicionais podem ser
utilizados por meio do Messenger. A definição dos tipos de serviços possíveis é realizada
dentro da configuração do proxy MSN. Para maiores informações veja o capítulo
Configurando o proxy MSN.
Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gasto pelos
funcionários, com acesso a sites da WEB. Assim as quotas são os limites em termos de tempo
de acesso e volume de dados, por usuário. Esta opção permite associar ao usuário alguma
entidade quota criada. A contabilização de quotas funciona da seguinte maneira: Uma quota
especifica esteja em regras distintas, desta forma o tempo e volume dos dados desta conta
serão somando, fazendo um cálculo de todas as regras em que a quota em questão está
localizada (caso exista quotas distintas para cada uma das regras, estas quotas serão
contabilizadas separadamente). Downloads e uploads também são contabilizados.

604
Logar: Se esta opção estiver habilitada, todas as ações que o usuário efetuar serão logadas,
por exemplo, transferência de arquivos.
As conversas dos usuários não serão logadas ao habilitar a opção “Logar”, para que as conversas
sejam logadas a opção “Incluir conversas nos registros de log” deve estar habilitada.
Pastas compartilhadas: Nesta opção pode-se optar por permitir ou não que o usuário
compartilhe pastas no MSN.
Tabela de Horários: Horário em que o usuário poderá utilizar o serviço Messenger, dividido
nas 24 horas do dia. Caso seja desejado é possível copiar o horário padrão do perfil de acesso,
clicando-se com o botão direito sobre a tabela de horários e selecionando-se a opção Usar
tabela de horário padrão do perfil.
23.7. Regras de segurança
Figura 436 – Regras de segurança

605
A opção Regras de segurança permite que o administrador filtre quais os tipos de usuários
que estarão autorizados a se conectar/autenticar no Firewall.
Habilitar regras de segurança: Esta opção deve estar selecionada para que as regras sejam
criadas.
Aceitar clientes antigos: Esta opção é usada para permitir que usuários que estejam usando
uma versão desatualizada do Aker Client se conectem no Firewall. Caso esta opção esteja
desmarcada estes usuários não poderão acessar o Firewall.
Plataforma: Permite que o administrador selecione o tipo de plataforma que poderá se

autenticar no Firewall. As opções disponíveis são:
Figura 437 – Menu opções de plataforma
Versão da plataforma: Nesta opção o administrador deve selecionar qual versão da

plataforma estará autorizada a se conectar no Firewall.
Item: Esta opção permite que o administrador selecione quais os tipos de itens e seus
respectivos estados terão permissão para se autenticar no Firewall
Figura 438 – Menu de opções Itens
Log: Esta opção permite que o administrador defina se os logs de autenticação serão gravados
ou não.

606
Ação: Define a ação que será executada
 Aceitar: Se esta opção for selecionada, as definições feitas nesta regra serão
permitidas.
 Rejeitar: Se esta opção for selecionada, as definições feitas nesta regra serão
rejeitadas.
Figura 439 - verificar filtro por Linux
Filtro de plataforma por string: Este campo permite que o usuário faça filtros de versões de
sistemas operacionais, por exemplo: Fedora, ubuntu, debian ou Windows XP, vista, 7 ou 8.
Horário: Esta opção define o período em que as regras serão aplicadas.
Ação padrão: Estão opção define se todos os usuários poderão se autenticar no Firewall ou
não.
 Aceitar: Permite que todos os usuários se autentiquem no Firewall.

 Rejeitar: Nenhum usuário poderá se autenticar no Firewall.
A ação padrão não sobrescreve a ação definida dentro das regras, ou seja, as “ações” das
regras serão lidas antes da “ação padrão”.

607
23.8. Regras
Figura 440 - Regras: regras de filtragem para o perfil de acesso.
A opção de regras permite especificar regras de filtragem para o perfil de acesso. Seu formato
é exatamente igual à janela de regras de filtragem com a única exceção de que não se devem
especificar entidades origem para a regra. Aqui também é possível trabalhar com Políticas de
Regras de Filtragem. (para maiores informações, consulte o capítulo intitulado Filtro de
Estados).
As regras de filtragem para os perfis de acesso consideram como origem a máquina na qual a
sessão foi estabelecida. Devido a isso, é necessário apenas especificar as entidades destino e
serviços que podem ser acessados.

608
23.9. Regras SOCKS
Figura 441 - Perfis: Socks.
A opção de regras SOCKS permite especificar regras de filtragem para o acesso por meio do
proxy SOCKS. Seu formato é exatamente igual à janela de regras de filtragem com a única
exceção de que não se deve especificar entidades origem para a regra (para maiores
informações, consulte o capítulo intitulado Filtro de Estados).
As regras de filtragem para o proxy SOCKS consideram como origem a máquina na qual a
sessão foi estabelecida. Devido a isso é necessário apenas especificar as entidades destino e
serviços que podem ser acessados.

609
23.10. VPN SSL (Proxy SSL)
Figura 442 - Perfis: VPN-SSL (Proxy SSL).
Esta aba permite configurar os serviços para que possam ser acessados por meio de Proxy SSL
e/ou VPN SSL pelos usuários que se enquadrarem neste perfil de acesso. Seu formato é
exatamente igual à janela de regras de filtragem com as exceções de que não se deve
especificar entidades origem para a regra e de que nem todas as opções estão disponíveis
(acumulador, canal, etc.). Aqui também é possível trabalhar com Políticas de Regras de
Filtragem. (para maiores informações, consulte o capítulo intitulado O Filtro de Estados).
N.: Número da regra de filtragem.
Destino: Nesta coluna pode-se controlar o destino da conexão.
Serviços: Permite indicar a porta de comunicação do protocolo.
Tipo: Indica o tipo de conexão SSL. Pode ser direta ou por meio do applet.
A conexão direta é denominada Proxy Reverso SSL, que possibilita a utilização de certificados
X.509 com tamanhos de chaves 1024, 2048 ou 4096 bits. O Cliente abre uma conexão SSL com
o Firewall, e o Firewall abre uma conexão normal com o servidor.

610
Figura 443 - Conexão Direta: Proxy Reverso SSL.
Na conexão via applet o cliente abre uma conexão via SSL com o Firewall por meio de uma
página WEB. O Firewall disponibiliza um applet de redirecionamento que o cliente irá baixá-
lo em sua máquina. Esse applet inicia uma conexão com o Firewall via SSL e o Firewall inicia
uma conexão com o servidor.
Figura 444 - Conexão Via Apllet.
Figura 445 - Conexão Cliente Applet / SSL / Normal.

611
Serviço de Bind: Permite indicar a porta de comunicação onde o applet (dará um bind) iniciará
o serviço. Para isso deve-se inserir uma ou mais entidades do tipo serviço.
Ação: Este campo define qual a ação a ser tomada para todos os pacotes que se encaixem
nesta regra. Ela consiste nas seguintes opções:
 Aceita: Autorizar os pacotes, que encaixaram na regra, a passarem por meio do

firewall;
 Rejeita: Impedir a passagem pelo firewall, dos pacotes que se encaixaram nesta
regra. Assim será enviado um pacote ICMP para a máquina de origem do pacote
dizendo que o destino é inatingível. Esta opção não funciona para alguns tipos de
serviço ICMP, devido a uma característica inerente a este protocolo.
Log: Definir quais tipos de ações serão executadas pelo sistema quando um pacote se encaixar
na regra. Ele consiste em várias opções que podem ser selecionadas independentemente uma
das outras.
Hora: Definir as horas e dias da semana em que a regra será aplicável. As linhas representam
os dias da semana e as colunas representam as horas. Caso queira que a regra seja aplicável
em determinada hora o quadrado deve ser preenchido, caso contrário o quadrado deve ser
deixado em branco.
As regras de filtragem para os perfis de acesso consideram como origem a máquina na qual a
sessão foi estabelecida. Devido a isso é necessário apenas especificar as entidades destino e serviços
que podem ser acessados.

612
23.11. Secure Roaming
Aba Configuração
Figura 446 - Perfis: Secure Roaming.
Essa aba permite que sejam configuradas as opções de acesso do Secure Roaming que variam
de acordo com as permissões do cliente que está conectado. Para as demais configurações,
veja o capítulo Configurações do Secure Roaming.
 Permite Secure Roaming: Habilita a fazer uso do secure roaming do Firewall.

 Permite o envio de pacotes broadcast aos clientes: Pacotes broadcast são
utilizados por protocolos que precisam, em algum ponto de seu funcionamento,
uma comunicação entre hosts e todos os outros de uma sub-rede de modo
eficiente. Esse é o caso do protocolo Netbios sobre IP. Infelizmente, o abuso no
uso desse tipo de pacote pode causar o congestionamento de um link lento, como
uma conexão dial-up.
 Alterar o gateway padrão durante a sessão VPN: Ao alterar a rota padrão dos
hosts que se conectam via Secure Roaming, eles passam a não conseguir acessar
outros destinos na Internet sem passar por dentro da rede com os endereços
virtuais do Secure Roaming. Isso significa que, para conexões bidirecionais, eles
ficam protegidos pelo firewall coorporativo e também sujeitos às políticas nele
definidas.

613
 Servidores DNS: Configura até três servidores DNS a serem usados durante a
sessão criptográfica. Usado para o caso de haver um servidor de DNS interno na
corporação.
 Servidores WINS: Configura até três servidores WINS a serem usados durante a
sessão criptográfica. Da mesma forma, essa configuração será útil no caso da
corporação usar servidores WINS internos. É ignorada pelos clientes que não sejam
Windows.
 Domínio: Acrescenta um domínio às configurações de nomes da máquina cliente
durante a sessão criptográfica. Geralmente usado em conjunto com a alteração
dos servidores DNS.
 Rotas: Durante a sessão do cliente, algumas rotas podem ser necessárias para
acessar diversos serviços da rede interna. Elas se cadastram uma a uma nesse
campo.
Aba Conjunto de Endereços
Figura 447 - Perfis: Security Roaming (conjunto de endereços).
Permite definir um IP ou um range de IPs aos clientes que se conectarem ao Firewall e

estiverem vinculados a este perfil. Caso não tenha uma configuração nesta “Aba”, será
utilizado as configurações padrões do Secure Roaming.

614
23.12. Filtros de Aplicação
Figura 448 - Perfis: Filtragem de aplicação.
Essa aba permite configurar as regras para filtros de aplicação. Estas regras permitem, por
exemplo, que determinados tipos de arquivos sejam bloqueados de acordo com seu tipo real,
independentemente de sua extensão ou protocolo que esteja sendo utilizado para enviá-los.
É possível também ao invés de bloquear, simplesmente mudar a prioridade de um serviço ou
tipo de arquivo sendo transmitido.
Uma das grandes utilizações destes filtros é para otimizar o acesso à Internet. É possível, por
exemplo, que todos os usuários tenham um acesso rápido à Internet, porém quando estes
tentarem baixar arquivos cujos tipos não sejam considerados importantes, por exemplo, mp3,
vídeos, etc., a conexão sendo utilizada para transferir estes arquivos automaticamente fique
com uma largura de banda bastante reduzida.
Para executar qualquer operação sobre uma regra, basta clicar sobre ela com o botão direito
e a seguir escolher a opção desejada no menu que irá aparecer. As seguintes opções estão
disponíveis:

615
Figura 449 - Menu (inserir/desabilitar) para executar qualquer operação sobre a regra.

Cada regra consiste dos seguintes campos:
Destino: Especificar os destinos da comunicação que o filtro estará inspecionando, para isso
deve-se inserir uma ou mais entidades do tipo máquinas, redes ou conjuntos (para maiores
informações veja o capítulo Cadastrando entidades).
Serviço: Especificar os serviços da comunicação que o filtro estará inspecionando, para isso
deve-se inserir uma ou mais entidades do tipo serviço (para maiores informações veja o
capítulo Cadastrando entidades).
Filtros de Aplicação: Indicar quais os filtros que estarão ativos para as conexões que forem
em direção a um dos destinos especificados na regra e utilizando um dos serviços também
especificados. A definição dos filtros é realizada na janela de Filtragem de Aplicações. Para
maiores informações veja o capítulo Configurando Filtragem de Aplicações.
Canal: Esta coluna só estará habilitada caso a ação Mudar prioridade tenha sido selecionada.
Ela indica qual a nova prioridade que será atribuída à conexão. Deve-se inserir uma entidade
do tipo canal (para maiores informações veja o capítulo Cadastrando entidades).
Ação: Esta coluna indica a ação que será tomada pelo firewall caso um dos filtros
especificados seja aplicado. Ela consiste das seguintes opções:
Aceita: Significa que a conexão será autorizada a passar por meio do firewall.
Mudar prioridade: Indica que a conexão será aceita, porém com uma prioridade diferente,
que deverá ser especificada na coluna Canal.
Bloqueia origem: Indica que a máquina que originou a conexão deverá ser bloqueada por
algum tempo (isso significa que todas as conexões originadas nela serão recusadas). A coluna

616
Tempo de Bloqueio serve para especificar por quanto tempo a máquina permanecerá
bloqueada.
Rejeita: Significa que a conexão não passará pelo firewall e será enviado um pacote de reset
para a máquina originária da comunicação.
Descarta: Significa que a conexão não passará pelo firewall, mas não será enviado nenhum
pacote para a máquina de origem.
Tempo de bloqueio: Esta coluna só estará habilitada caso a ação Bloqueia origem tenha sido
selecionada. Ela indica por quanto tempo a máquina origem será bloqueada.
23.13. Associando Usuários com Perfis de Acesso
Uma vez que os perfis de acesso estão criados, torna-se necessário associá-los com usuários
e grupos de um ou mais autenticadores ou autoridades certificadoras do firewall. Isto é
realizado por meio da janela de controle de acesso.
Para ter acesso a janela de controle de acesso deve-se:
Figura 450 - Autenticação.
 Clicar no menu Configurações do Firewall da janela principal.

 Selecionar o item Autenticação.
 Selecionar a aba Controle de Acesso.
617
Aba de Controle de Acesso
Figura 451 - Autenticação: Controle de acesso.
A aba de controle de acesso permite que seja criada a associação de usuários/grupos com um
perfil de acesso.
Na parte inferior da janela existe um campo chamado Perfil Padrão onde se pode selecionar
o perfil que será associado aos usuários que não se enquadrem em nenhuma regra de
associação.
A última coluna Entidades, quando preenchida, especifica redes e máquinas onde a

associação é válida. Se o usuário se encaixar na regra, mas estiver em um endereço IP fora
das redes e máquinas cadastradas, então a regra será pulada, permitindo a atribuição de
outro perfil ao usuário. Esse tipo de restrição é muito útil para permitir acesso às áreas
sensíveis da rede apenas de alguns locais físicos com segurança aumentada.
Para associar um usuário ou grupo com um determinado perfil de acesso, deve-se proceder
da seguinte maneira:
1. Clique com o botão direito do mouse na lista de regras e selecionar a opção Inserir;

618
2. Selecionar o autenticador do qual se deseja obter a lista de usuários ou grupos, clicando-
se com o botão direito no campo Autenticador. Para maiores informações sobre os
autenticadores, veja o capítulo intitulado Configurando parâmetros de autenticação.
3. Clicar com o botão direito sobre o campo Usuário/Grupo e selecione entre listagem de
usuários ou grupos, então a lista selecionada será montada automaticamente a partir do
autenticador selecionado. A partir da lista, selecione o usuário ou grupo desejado.
Figura 452 - Menu de escolha do usuário.
4. Clicar com o botão direito sobre o campo Perfil para selecionar o perfil desejado,
conforme o menu a seguir:
Figura 453 - Menu de escolha do perfil.
5. Caso deseje, arraste algumas entidades máquina, rede ou conjuntos para o campo
entidades. Se o usuário estiver fora dessas entidades, a regra será pulada.
Para remover uma regra entre um usuário/grupo e um perfil, deve-se proceder da seguinte
maneira:

619
1. Clicar na regra a ser removida, na lista da janela.
2. Clicar no botão Apagar.
Para alterar a posição de uma regra dentro da lista, deve-se proceder da seguinte forma:
1. Clicar na regra a ser movida de posição.

2. Arrastar para a posição desejada.
A ordem das associações na lista é de fundamental importância. Quando um usuário se autenticar,

o firewall pesquisará a lista a partir do início procurando pelo nome desse usuário ou por um grupo
de que ele faça parte. Tão logo um desses seja encontrado, o perfil associado ao mesmo será
utilizado.
A aba Controle de Acesso por IP
Figura 454 - Controle de acesso por IP.
O firewall pode controlar os acessos por intermédio de endereços IP conhecidos juntamente

com perfis criados para este fim. Basta o administrador cadastrar a rede conhecida e arrastar
para a posição Entidades de Origem, em seguida incluir na coluna Perfil o perfil ou perfis
necessários na regra.
A caixa Ativar controle de acesso por endereço IP origem deverá estar marcada para que o firewall
use esta facilidade.

620
Autenticação de Usuários

621
24. Autenticação de Usuários
Este capítulo mostra o que é o Cliente de Autenticação Aker e para que serve essa ferramenta
que propicia grande nível de segurança.
24.1. Visualizando e Removendo Usuários Conectados no Firewall
É possível visualizar a qualquer momento os usuários que possuem sessão estabelecida com
o firewall, por meio do cliente de autenticação, e remover uma destas sessões. Isto é realizado
por meio da janela de usuários logados.
Para ter acesso a janela de usuários logados deve-se:
Figura 455 - Usuários conectados.

 Selecionar Usuários Conectados.

622
A janela de Usuários Conectados
Figura 456 - Usuários conectados (máquina, nome, domínio, perfil, inicio, TPC e nº de
usuários conectados.)
Esta janela consiste de uma lista com uma entrada para cada usuário. Na parte inferior da
janela é mostrada uma mensagem informando o número total de usuários com sessões
estabelecidas um determinado instante. Para os usuários logados via Secure Roaming, serão
mostrados também os dados da conexão (endereço IP e portas) junto com o estado de
estabelecimento da mesma.
 O botão OK faz com que a janela de usuários seja fechada.

 O botão Cancelar fecha a janela.
 A caixa Itens selecionados no topo coloca os itens que foram selecionados para o topo da
janela de usuários conectados.
Barra de Ferramentas de Usuários Conectados:
Figura 457 - Barra de ferramentas: usuários conectados.

623
 O botão Atualiza faz com que as informações mostradas sejam atualizadas
periodicamente de forma automática ou não. Clicando-se sobre ele, alterna-se entre os
dois modos de operação. O intervalo de atualização pode ser configurado mudando-se o
valor logo a direita deste campo.
 O botão Buscar, localizado na barra de ferramentas, permite remover uma sessão de
usuário. Para tal deve-se primeiro clicar sobre a sessão que deseja remover e a seguir
clicar neste botão (ele estará desabilitado enquanto não existir nenhuma sessão
selecionada).
 O botão DNS, localizado na barra de ferramentas, acionará o serviço de nomes (DNS) para
resolver os nomes das máquinas cujos endereços IPs aparecem listados. Cabem ser
observados os seguintes pontos:
1. A resolução de nomes muitas vezes é um serviço lento e, devido a isso, a tradução

dos nomes é realizada em segundo plano.
2. Muitas vezes, devido a problemas de configuração do DNS reverso (que é o
utilizado para resolver nomes a partir de endereços IP), não será possível a
resolução de certos endereços. Neste caso, os endereços não resolvidos serão
mantidos na forma original e será indicado ao seu lado que eles não possuem DNS
reverso configurado.
 É possível ordenar a lista das sessões por qualquer um de seus campos, bastando para isso
clicar no título do campo. O primeiro clique produzirá uma ordenação ascendente e o
segundo uma ordenação descendente.
Significado dos campos de uma sessão de usuário ativa
Cada linha presente na lista de sessões de usuários representa uma sessão. O significado de
seus campos é mostrado a seguir:
Ícone: É mostrado a esquerda do nome de cada usuário e pode assumir três formas distintas:
Cadeado: Este ícone indica que o usuário se logou por meio do cliente de criptografia apenas.
Usuário: Este ícone indica que o usuário se logou por meio do cliente de autenticação apenas.
Usuário dentro do cadeado: Este ícone indica que o usuário se logou por meio do cliente de
autenticação e de criptografia.
Máquina: Endereço IP ou nome (caso o DNS esteja ativo) da máquina na qual a sessão foi
estabelecida.
Nome: Nome do usuário que estabeleceu a sessão.
Domínio: Nome do domínio, i.e. autenticador, no qual o usuário se autenticou. Caso o usuário
não tenha especificado domínio ao se logar, este campo aparecerá em branco.

624
Perfil: Qual o perfil de acesso correspondente a esta sessão. Se este campo está em branco,
o usuário se autenticou antes de a tabela de perfis ser alterada, de forma que ele está
utilizando um perfil que não existe mais.
Início: Hora de abertura da sessão.
24.2. Utilizando a Interface Texto (via SSH-fwlist)
A Interface Texto (via SSH) para acesso à lista de usuários logados possui as mesmas
capacidades da Interface Remota e é simples de ser utilizado. Ele é o mesmo programa que
produz a lista de conexões ativas TCP e UDP, mostrado anteriormente.
Localização do programa: /aker/bin/firewall/fwlist
Sintaxe:
Uso: fwlist ajuda
fwlist mostra [[-w] [TCP | TCP6]] | [UDP | UDP6]
fwlist mostra [sessoes | roaming | bloqueados]
fwlist mostra [quotas | www]
fwlist remove [TCP | TCP6 | UDP | UDP6] IP_origem Porta_origem
IP_destino Porta_destino
fwlist remove sessao IP_origem [usuario]
fwlist remove bloqueado IP_origem
fwlist reinicia [ usuario <nome> ] [ quota <nome> ] [tempo] [volume]
mostra = lista as conexões ou sessões ativas
remove = remove uma conexão ou sessao ativa
reinicia = reinicia a quota dos usuários

625
Exemplo 1: (listando as sessões de usuários logados no firewall)
#fwlist mostra sessões
Nome/Domínio Perfil IP origem Inicio

-------------------------------------------------------------------------------
administrador/BSB Admin 10.20.1.1 08:11:27
jose.silva/GOA Padrao5 10.45.1.1 07:39:54
joao.souza/POA Padrao3 10.57.1.1 07:58:10
josemaria/GRU Padrao3 10.78.1.1 08:01:02
angelam/BSB 1 Restrito 10.22.1.1 08:48:31
marciam/POA Restrito 10.235.1.1 10:49:44
antonioj/POA Especial 10.42.2.1 06:02:19
operador/BSB Padrão 10.151.2.1 20:44:34
Exemplo 2: (removendo a sessão do usuário logado a partir da máquina 10.19.1.1)
#fwlist remove sessão 10.19.1.1
A remoção da sessão foi solicitada ao servidor de usuários.

626
Configurando o Proxy SMTP

627
25. Configurando o Proxy SMTP
Este capítulo mostra quais as funções oferecidas pelo proxy SMTP e como realizar sua
configuração.
O que é o proxy SMTP?
O proxy SMTP é um programa especializado do Aker Firewall realizado para trabalhar com
correio eletrônico (SMTP é um anagrama para Simple Mail Transfer Protocol, que é o nome
completo do serviço de transferência de correio eletrônico na Internet). Este proxy possibilita
que sejam realizadas filtragens de e-mails baseadas em seu conteúdo ou em qualquer campo
de seu cabeçalho. Ele também atua como uma barreira protegendo o servidor SMTP contra
diversos tipos de ataques.
Ele é um proxy transparente (para maiores informações veja o capítulo intitulado

Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem de sua
existência.
Descrição de uma mensagem SMTP
Para entender o funcionamento da filtragem de campos do proxy SMTP, é necessário revisar

algumas informações sobre as mensagens de correio eletrônico.
Uma mensagem de e-mail é formada por três partes distintas: envelope, cabeçalho e corpo.
Cada uma destas partes possui um papel específico:
 Envelope
O envelope é chamado desta forma por ser análogo a um envelope de uma carta comum.
Nele se encontram as informações do emissor e dos destinatários de uma mensagem.
Para cada recipiente de um domínio diferente é gerado um novo envelope. Desta forma,
um servidor SMTP recebe no envelope de uma mensagem o nome de todos os recipientes
da mensagem que se encontram no seu domínio.
O envelope não é visto pelos destinatários de uma mensagem. Ele somente é usado entre
os servidores SMTP.
 Cabeçalho
No cabeçalho da mensagem se encontram informações sobre a mensagem, como o

assunto, data de emissão, nome do emissor, etc. O cabeçalho normalmente é mostrado
ao destinatário da mensagem.

628
 Corpo
O corpo é composto pela mensagem propriamente dita, da forma com que foi produzida
pelo emissor.
Ataques contra um servidor SMTP
Existem diversos ataques passíveis de serem realizados contra um servidor SMTP. São eles:
 Ataques explorando bugs de um servidor
Neste caso, o atacante procura utilizar um comando ou parâmetros de um comando que

conhecidamente provocam falhas de segurança.
O proxy SMTP do Aker Firewall impede estes ataques na medida em que só permite a
utilização de comandos considerados seguros e validando os parâmetros de todos os
comandos.
 Ataques explorando estouro de áreas de memória (buffer overflows)
Estes ataques consistem em enviar linhas de comando muito grandes, fazendo com que
um servidor que não tenha sido corretamente desenvolvido apresente falhas de
segurança.
O proxy SMTP do Aker Firewall impede estes ataques na medida em que limitam o
tamanho máximo das linhas de comando que podem ser enviadas para o servidor.
 Ataques de relay
Estes ataques consistem em utilizar o servidor SMTP de terceiros para enviar suas
mensagens de correio eletrônico. Desta forma, utiliza-se os recursos computacionais que
deveriam estar disponíveis para requisições válidas.
O proxy SMTP do Aker Firewall impede ataques de relay desde que corretamente
configurado.
Utilizando o proxy SMTP
Para se utilizar o proxy SMTP em uma comunicação, é necessário executar uma sequência de
2 passos:
1. Criar um serviço que será desviado para o proxy SMTP e editar os parâmetros do
intitulado Cadastrando Entidades).

629
2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1,
para as redes ou máquinas desejadas (para maiores informações, veja o capítulo
intitulado O Filtro de Estados).
25.1. Editando os parâmetros de um contexto SMTP
A janela de propriedades de um contexto SMTP será mostrada quando a opção Proxy SMTP
for selecionada. Por meio dela é possível definir o comportamento do proxy SMTP quando
este for lidar com o serviço em questão.
A janela de propriedades de um contexto SMTP.
Figura 458 - Serviços: relay.

a um determinado serviço. Ela consiste de diversas pastas, cada uma responsável por uma
das diferentes características de proteção.
Aba Geral
630
Figura 459 - Serviços: geral.
Tamanho máximo da mensagem: Este campo indica o tamanho máximo, em bytes ou kbytes,
de uma mensagem para que ela possa ser aceita pelo proxy. Caso não queira definir um
tamanho máximo, basta marcar a opção Sem Limite, localizada à direita deste campo.
Registrar na lista de eventos: Este campo indica se as mensagens que não se enquadrarem
em nenhuma regra SMTP deste contexto devem ser registradas na lista de eventos.
Envia cópia de todas as mensagens: Independente de uma mensagem ter sido aceita ou
rejeitada, é possível enviar uma cópia completa dela para um endereço de e-mail qualquer.
Este campo indica se deve ou não ser enviada está cópia.
Checagem de DNS reverso habilitada: O firewall fará a checagem para determinar a

existência do DNS reverso cadastrado para o servidor SMTP para aceitar a mensagem baseado
nas regras da pasta DNS.
E-mail padrão: Indica o endereço de e-mail padrão, para o qual serão enviadas as cópias das
mensagens que não se enquadrarem em nenhuma regra SMTP deste contexto (se a opção
Envia Cópia de todas as mensagens estiver marcada). Este e-mail também pode ser
referenciado em qualquer regra de filtragem do contexto.
Aba de Relay

631
Figura 460 - Serviços: relay.
Esta pasta serve para especificar uma lista de domínios válidos para recebimento de e-mails.
E-mails destinados a quaisquer domínios não listados serão rejeitados antes mesmo que se
comece sua transmissão.
Caso a lista de domínios esteja em branco o firewall não fará controle de relay, ou seja, aceitará
e-mails destinados a quaisquer domínios.
Diferentemente do controle de relay de servidores SMTP, o firewall apenas pode basear seu
controle no destinatário dos e-mails, e não no remetente, uma vez que não possui a lista de usuários
válidos do servidor SMTP protegido.
O número máximo de anexos que o proxy SMTP do firewall trata por padrão é de 200. Caso um e-
mail passe pelo proxy SMTP contendo um número de anexos maior que esse, o e-mail não será
enviado e o remetente da mensagem receberá um e-mail informando que houve um erro no envio.
Aba de Regras

632
Figura 461 - Serviço: regras.
Nesta pasta são mostradas todas as regras de filtragem para o contexto. Estas regras
possibilitam que o administrador configure filtros de e-mails baseados em seu conteúdo.
que pressionar o botão direito, mesmo que não exista nenhuma regra selecionada. Neste
caso, somente as opções Incluir e Colar estarão habilitadas).
Figura 462 - Menu (inserir, copiar, editar, excluir ou renomear).

633
 Editar: Abrir a janela de edição para a regra selecionada.
 Renomear: Renomear a regra selecionada da lista.
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a regra, clicando-
o com o botão esquerdo, e em seguida clica-se na opção desejada.
A ordem das regras na lista de regras de filtragem SMTP é de fundamental importância. Ao receber
uma mensagem, o firewall pesquisará a lista a partir do início procurando uma regra na qual a
mensagem se enquadre. Tão logo uma seja encontrada, a ação associada a ela será executada.
No caso de inclusão ou edição de regras, a janela a seguir será exibida:

634
A janela de edição de regras SMTP
Figura 463 - Edição de regra: SMTP.
Nesta janela são configurados todos os parâmetros relativos a uma regra de filtragem para
um contexto SMTP. Cada regra consiste basicamente de 3 condições independentes que
podem ou não estar preenchidas (ou seja, é possível criar regras com apenas uma ou duas
condições).
Para criar uma regra, é necessário preencher os seguintes campos:
Nome: Nome que define unicamente a regra dentro do contexto. Este nome será mostrado
na lista de regras do contexto SMTP. Não podem existir duas regras com o mesmo nome.

635
Campo: Definir o nome do campo dentro da mensagem SMTP onde será realizada a pesquisa.
Ele pode assumir um dos seguintes valores (alguns valores são mostrados em inglês devido
ao fato de serem nomes de campos fixos de uma mensagem):
 NENHUM: Não será realizada pesquisa.

 PARA (Todos): A pesquisa é realizada no endereço de destino da mensagem (todos os
recipientes devem se encaixar na regra).
 PARA (Qualquer): A pesquisa é realizada no endereço de destino da mensagem (pelo
menos um recipiente deve se encaixar na regra).
 DE: A pesquisa é realizada no endereço de origem da mensagem.
 CC: A pesquisa é realizada sobre a lista de endereços que irão receber uma cópia da
mensagem.
 REPLY-TO: A pesquisa é realizada no campo REPLY-TO, que indica o endereço para o qual
a mensagem deve ser respondida.
 ASSUNTO: A pesquisa é realizada no campo que define o assunto da mensagem.
 CABEÇALHO: A pesquisa é realizada sobre todos os campos que compõem o cabeçalho da
mensagem.
 CORPO: A pesquisa é realizada no corpo da mensagem (onde existe efetivamente a
mensagem).
Os campos TO e CC são tratados de forma diferente pelo proxy SMTP: o campo TO é tratado com
uma lista dos vários recipientes da mensagem, retirados do envelope da mensagem. O campo CC é
tratado como um texto simples, retirado do cabeçalho da mensagem, e sua utilidade é bastante
limitada.
Pesquisa: Tipo de pesquisa a ser executada no campo definido acima. São elas:
 CONTÉM: O campo a ser pesquisado deve conter o texto informado em qualquer posição.
 NÃO CONTÉM: O campo a ser pesquisado não pode conter o texto informado.
 É: O conteúdo do campo a ser pesquisado deve ser exatamente igual ao texto informado.
 NÃO É: O conteúdo do campo a ser pesquisado deve ser diferente do texto informado.
 COMEÇA COM: O conteúdo do campo a ser pesquisado deve começar com o texto
informado.
 NÃO COMEÇA COM: O conteúdo do campo a ser pesquisado não pode começar com o
texto informado.
 TERMINA COM: O conteúdo do campo a ser pesquisado deve terminar com o texto
informado
 NÃO TERMINA COM: O conteúdo do campo a ser pesquisado não pode terminar com o
texto informado.
 CONTÉM PALAVRAS: Neste tipo de pesquisa, o texto informado é considerado como
formado por palavras individuais (separadas por espaços), ao invés de um texto contínuo.
Para se enquadrar na pesquisa, o campo em questão deve conter todas as palavras
informadas, independentemente de sua posição.
Texto: Texto a ser pesquisado. Este campo é tratado como um texto contínuo que será
comparado com o campo especificado, exceto no caso da pesquisa CONTÉM PALAVRAS,

636
quando ele é tratado como diversas palavras separadas por espaços. Em ambos os casos,
letras maiúsculas e minúsculas são consideradas como sendo iguais.
Os campos Campo, Pesquisa e Texto aparecem 3 vezes. Desta forma, é possível definir até 3
condições distintas que uma mensagem deve cumprir para que seja enquadrada pela regra. Caso não
queira especificar três condições, basta deixar as demais com o valor NENHUM no parâmetro campo.
Ativação dos filtros: Este campo só tem sentido quando especifica mais de uma condição. Ele
indica que tipo de operação será usada para relacioná-las:
 Somente se todos são verdadeiros: Para que uma mensagem enquadre na regra, é
necessário que ela satisfaça todas as condições.
 Se qualquer um for verdadeiro: Para que uma mensagem enquadre na regra, basta ela
satisfazer uma das condições.
Ação: Este campo indica se as mensagens que se enquadrarem na regra devem ser aceitas ou
rejeitadas pelo proxy SMTP.
Registrar na lista de eventos: Este campo indica se as mensagens que se enquadrarem na

regra devem ou não ser registradas na lista de eventos.
Enviar cópia: Para toda mensagem que se enquadrar na regra, independentemente de ter
sido aceita ou rejeitada, é possível enviar uma cópia completa dela para um endereço de e-
mail qualquer. Este campo indica se deve ou não ser enviada está cópia. Caso ele esteja
marcado, deve-se escolher uma das seguintes opções de envio:
 Padrão: A cópia da mensagem é enviada para o e-mail padrão.

 E-mail: A cópia da mensagem é enviada para o endereço especificado no campo à direita.

637
Aba de DNS
Figura 464 - Serviço: DNS.
Nesta pasta são mostradas todas as regras de filtragem de DNS para o contexto. Estas regras
possibilitam que o administrador configure filtros de e-mails baseados no nome retornado
pelo DNS reverso do servidor SMTP que estiver enviando a mensagem.
que se pressionar o botão direito, mesmo que não exista nenhuma regra selecionada. Neste

638

639
A janela de edição de regras DNS reverso
Figura 466 - Serviço: DNS.
Para criar uma regra deve-se preencher os seguintes campos:
Nome: Nome que define unicamente a regra dentro do contexto. Este nome será mostrado
na lista de regras do contexto SMTP. Não podem existir duas regras com o mesmo nome.
Operador de pesquisa: Os mesmos operadores utilizados nas regras de filtragem SMTP

podem ser utilizados para a filtragem do DNS reverso.
Texto: Definir o texto a ser pesquisado.
Registrar na lista de eventos: Registrar no log de eventos do firewall caso a regra tenha sido
executada.
Verificar alias: Se esta opção estiver marcada, o firewall comparará todos os nomes
retornados pelo DNS para verificar se algum deles se encaixa na regra.
Ação: Ação a ser executada pelo firewall caso a regra seja atendida. Ela pode ser Aceita ou
Rejeitada.

640
Aba de Anexos
Figura 467 - Serviço: anexos.
Estas pastas são especificadas as regras de tratamento de arquivos anexados. Essas regras
permitem que, caso uma mensagem tenha sido aceita, ela tenha seus arquivos anexados
removidos ou checados contra vírus. Elas permitem também que se rejeite uma mensagem
por completo, caso ela contenha um arquivo anexo inaceitável (com vírus, por exemplo).
Agente de antivírus para checagem dos arquivos: Esse campo indica o agente antivírus que
será utilizado para checar vírus dos arquivos anexados a mensagens de e-mail. Esse agente
deve ter sido previamente cadastrado no firewall. Para maiores informações veja o capítulo
intitulado Cadastrando entidades.
Permitir a passagem de anexos mal codificados: Se esta opção estiver marcada, anexos que
apresentem erros de codificação serão aceitos pelo firewall, caso contrário à mensagem será
recusada.
que se pressionar o botão direito, mesmo que não exista nenhuma regra selecionada. Neste

641
A ordem das regras na lista de regras de filtragem de arquivos anexados é de fundamental

importância. Para cada arquivo anexado de uma mensagem, o firewall pesquisará a lista a partir do
início procurando uma regra na qual ele se enquadre. Tão logo uma seja encontrada, a ação associada
a ela será executada.

642
A janela de edição de regras de anexos
Figura 469 - Regra: edição de regras e anexos.
Nesta janela são configurados todos os parâmetros relativos a uma regra de filtragem de
arquivos para um contexto SMTP. Ela consiste dos seguintes campos:
Nome: Definir unicamente a regra dentro do contexto. Este nome será mostrado na lista de
regras de arquivos. Não podem existir duas regras com o mesmo nome.
Filtrar por tipo MIME: Permitir a definição de uma regra de filtragem de arquivos baseando-
se em seu tipo MIME. Ao ser marcada, deve-se especificar seu tipo e seu subtipo.
Filtrar por nome: Permitir a realização de filtragens a partir (de parte) do nome, do arquivo
anexado. Ao ser marcado, deve-se especificar o tipo de pesquisa a ser efetuada e o texto a

643
ser pesquisado. Estes campos são análogos aos campos de mesmo nome da regra de filtragem
SMTP, descrita acima.
Operador de pesquisa: Este campo é análogo ao campo de mesmo nome da regra de

filtragem SMTP, descrita acima.
Ação: Indica qual a ação a ser tomada pelo firewall quando um arquivo se enquadrar na regra.
Ela consiste de três opções:
 Aceita o anexo: Se essa opção for selecionada o firewall irá manter o arquivo anexado na
mensagem.
 Remove o anexo: Se essa opção for selecionada o firewall irá remover o arquivo anexado
da mensagem.
 Descarta mensagem: Se essa opção for selecionada o firewall recusará a mensagem
completa.
 Remove anexo infectado: Se essa opção for selecionada o firewall irá verificar o arquivo
anexado da mensagem contra vírus. Caso exista vírus o firewall tomará uma das seguintes
ações: se o arquivo puder ser desinfectado, o vírus será removido e o arquivo reanexado
à mensagem. Caso o arquivo não possa ser desinfectado, o firewall o removerá e
acrescentará uma mensagem informando ao destinatário desse fato.
 Descarta mensagem infectada: Se essa opção for selecionada o firewall irá verificar o
arquivo anexado da mensagem contra vírus. Caso exista vírus o firewall tomará uma das
seguintes ações: se o arquivo puder ser desinfectado, o vírus será removido e o arquivo
reanexado à mensagem. Caso o arquivo não possa ser desinfectado, o firewall recusará a
mensagem.
Recomenda-se utilizar as ações que removem os arquivos anexados nos e-mails recebidos pela
companhia e as que bloqueiam a mensagem por completo nas regras aplicadas aos e-mails que saem.
Remove arquivos encriptados: Se essa opção estiver marcada, o firewall removerá os

arquivos anexados que estejam cifrados, de forma que não possam ser checados quanto à
presença de vírus.
Remove arquivos corrompidos: Se essa opção estiver marcada, o firewall removerá os

arquivos anexados que estejam corrompidos.
Notifica emissor no caso de remoção do arquivo anexado: Se essa opção estiver marcada, o
firewall enviará uma mensagem para o emissor de um e-mail todas as vezes que um ou mais
de seus arquivos anexados for removido.
Envia cópia para o administrador do arquivo anexado for removido: Se essa opção estiver
marcada, o firewall enviará uma cópia de todos os arquivos removidos para o administrador.
Caso ela esteja marcada, deve-se escolher uma das seguintes opções de envio:

 E-mail: A cópia da mensagem é enviada para o endereço especificado no campo à direita.

644
Aba RBL (Real-time Black List)
Figura 470 - Regra: edição de regras e anexos.
Esta pasta contém opções de bloqueio de sites considerados fontes de SPAM. O bloqueio é
realizado em tempo real, mediante consulta a uma ou mais listas de bloqueio dinâmicas,
mantidas por terceiros. Ela consiste das seguintes opções:
Black list padrão: São três listas negras que contém vários relays acusados de fazer SPAM
(envio de mensagem não desejada). Elas são gerenciadas por organizações e o firewall
simplesmente consultam-nas, antes de aceitar os e-mails. Marque as opções
correspondentes se desejar utilizar está facilidade.
 SBL: Para saber mais acesse o endereço http://www.mail-abuse.org/rbl/

 CBL: Para saber mais acesse o endereço http://www.orbs.org/
 SORBS: Para saber mais acesse o endereço http://www.sorbs.net/

Black list do usuário: São listas negras configuráveis pelo administrador do firewall. Ela
consiste de uma lista de listas negras, cada uma com os seguintes campos:
Nome: Nome pelo qual deseja chamar a blacklist.

645
URL: URL explicativa para ser mostrada para o usuário que tiver seus e-mails recusados.
Zona de DNS: É a zona completa de DNS que deverá ser consultada pelo firewall. Caso um
endereço IP esteja presente nessa zona, e-mails vindos dele serão recusados.
Alguns serviços de blacklist costumam ter seu funcionamento interrompido temporariamente

devido aos problemas de natureza judicial. Quando isto acontece, ou eles se tornam inefetivos ou
bloqueiam mais e-mails do que deveriam. Por favor verifique o funcionamento correto da blacklist
desejada antes de colocá-la em uso.
Aba de Spam Meter
Figura 471 - Serviço: Spam Meter.
Esta aba contém as opções de configuração da comunicação do firewall com o Spam Meter,
um produto criado pela Aker Security Solutions com o objetivo de atribuir notas a mensagens
de e-mail, de acordo com a probabilidade de estas serem ou não SPAM. Ela consiste das
seguintes opções:
Habilitar Spam Meter: Habilita o uso de o Spam Meter pelo firewall.

646
Agente de Spam Meter a usar: Esse campo indica o Spam Meter que será utilizado para se
atribuir notas a mensagens de e-mail. Esse agente deve ter sido previamente cadastrado no
firewall. Para maiores informações veja o capítulo intitulado Cadastrando entidades.
Base a usar: O Spam Meter permite a utilização de diversas bases para realizar a classificação
de mensagens. A ideia por trás disso é permitir que cada pessoa ou grupo de pessoas com
características semelhantes possam ter suas mensagens classificadas por uma base que
melhor reflita sua definição de SPAM. O Aker Firewall não permite a utilização de bases
distintas por pessoas ou grupos, porém é possível utilizar uma base distinta para cada
contexto SMTP. Este campo serve para especificar o nome da base que será utilizada por este
contexto.
Níveis de Spam: Este controle permite a definição de dois limites de notas (entre 0 e 100)
para a filtragem de mensagens: Limite 1 e Limite 2.
Limite 1: Define o limite, faixa verde, até o qual as mensagens são consideradas como não
SPAM.
Limite 2: Define, junto com o Limite 1, as faixas amarelas e vermelhas. A faixa amarela indica
e-mails que potencialmente são SPAM mas que o SPAM Meter não tem certeza suficiente. A
faixa vermelha indica mensagens que foram consideradas SPAM.
Detecção de SPAM aprimorada: Se esta opção estiver selecionada o Spam Meter tentará
detectar a maior quantidade possível de mensagens SPAM, com o inconveniente de
eventualmente poder gerar mais falsos positivos, ou seja, mensagens que seriam válidas
classificadas como potenciais SPAM.
Redução de Falso-positivo: Se esta opção estiver selecionada, o Spam Meter tentará reduzir
ao máximo os falsos positivos, com o inconveniente de eventualmente classificar como
inofensiva uma mensagem que seria SPAM.
Ação: Este campo indica as ações que devem ser executadas pelas mensagens que se
enquadrarem em cada uma das áreas definidas pelos limites 1 e 2. As seguintes opções estão
disponíveis:
Aceitar: As mensagens que se enquadrarem nesta faixa serão aceitas sem qualquer
modificação. Normalmente esta ação é associada à faixa verde.
Descartar: As mensagens que se enquadrarem nesta faixa serão descartadas pelo firewall,
isto é, elas serão recebidas por ele e o servidor que as enviou será informado do sucesso no
envio, no entanto elas nunca serão reenviadas aos usuários que as deveriam receber. Esta
ação deve ser utilizada apenas na faixa vermelha e seu objetivo é impedir que potenciais
emissores de SPAM saibam se conseguiram ou não enviar suas mensagens.
Rejeitar: As mensagens que se enquadrarem nesta faixa serão rejeitadas pelo firewall, isto é,
o servidor que as enviou será informado que elas foram recusadas e que ele não deve tentar
enviá-las novamente. Esta ação deve ser utilizada apenas na faixa vermelha.

647
Adicionar assunto: As mensagens que se enquadrarem nesta faixa serão aceitas porém terão
seu assunto precedido de um texto qualquer definido pelo administrador. O campo à direita
serve para o administrador definir o texto que será adicionado ao assunto. Esta ação
normalmente é utilizada na faixa amarela, mas pode também ser utilizada na vermelha. A
ideia é configurar um filtro, para o texto a ser adicionado, nos leitores de e-mail de modo a
fazer com que as mensagens suspeitas ou consideradas SPAM sejam automaticamente
separadas em outra caixa postal.
Enviar cópia: Para toda mensagem, independentemente de ter sido aceita ou rejeitada, é
possível enviar uma cópia completa dela para um endereço de e-mail qualquer. Este campo
indica se deve ou não ser enviada está cópia. Caso ele esteja marcado, deve-se escolher uma
das seguintes opções de envio:

 E-mail: A cópia da mensagem é enviada para o endereço especificado no campo à
direita.
Modificar mensagem para treinamento: Uma das características fundamentais do Spam

Meter é sua possibilidade de aprender novas características de SPAM, de modo à sempre
oferecer um ótimo nível de acerto. Os campos contidos nesta opção indicam quais usuários
podem realizar treinamento da base de dados do contexto e de que forma as mensagens
devem ser modificadas para possibilitar este treinamento. As seguintes opções estão
disponíveis:
Usar plug-in: Esse campo indica os destinatários que treinarão mensagens por meio do plug-
in de treinamento disponibilizado pela Aker (disponível inicialmente para Outlook e
Thunderbird). Neste caso, as mensagens não serão modificadas em nenhuma forma, apenas
alguns campos novos serão acrescentados no cabeçalho. Ele especifica uma entidade do tipo
de e-mails que deve ter sido previamente cadastrada no firewall (para maiores informações
veja o capítulo intitulado Cadastrando entidades).
Usar sub-mensagens (.eml): Os destinatários que estiverem neste campo receberão suas
mensagens originais encapsuladas em outra, que conterá botões que os possibilitará de
realizar o treinamento (a mensagem inicial virá sem nenhuma modificação, porém em alguns
leitores de e-mail será necessário clicar sobre ela para pode visualizá-la). Ele especifica uma
entidade do tipo de e-mail que deve ter sido previamente cadastrada no firewall (para
maiores informações veja o capítulo intitulado Cadastrando entidades).
Usar layout HTML: Os destinatários que estiverem neste campo receberão suas mensagens
originais acrescidas de um novo layout HTML, que conterá botões que os possibilitará de
realizar o treinamento. Ele especifica uma entidade do tipo de e-mails que deve ter sido
previamente cadastrada no firewall (para maiores informações veja o capítulo intitulado
Cadastrando entidades).

648
Ajustar mensagens: Se umas das opções Usar sub-mensagens ou Usar Layout HTML for
selecionada, este botão será habilitado e permitirá a definição das mensagens que serão
mostradas aos usuários para que eles possam realizar o treinamento.
Endereço para treinamento: Este campo deve ser preenchido com o nome ou endereço IP da
máquina na qual o firewall está rodando, de modo a que os leitores de e-mails dos clientes
saibam para onde enviar o resultado do treinamento.
As listas serão pesquisadas pelo firewall na ordem em que aparecem, isto é, se um destinatário
estiver em duas ou mais listas, a mensagem será modificada de acordo com a lista superior.
Caso um usuário não apareça em nenhuma lista ele não poderá realizar treinamento da base.
Aba Avançado
Figura 472 - Serviço: Avançado.
Esta pasta permite o acesso às opções de configuração avançadas do proxy SMTP. Elas
permitem um ajuste fino do funcionamento do proxy. As opções são:
Permite cabeçalho incompleto: Se esta opção estiver marcada como NÃO, não serão aceitas
mensagens cujos cabeçalhos não contenham todos os campos obrigatórios de uma
mensagem SMTP.
649
Número de processos: Este campo indica o número máximo de cópias do proxy que poderão
estar ativas em um determinado momento. Como cada processo trata uma conexão, este
número também representa o número máximo de mensagens que podem ser enviadas
simultaneamente para o contexto em questão. Caso o número de conexões ativas atinja este
limite, os clientes que tentarem enviar novas mensagens serão informados que o servidor se
encontra temporariamente impossibilitado de aceitar novas conexões e que devem tentar
novamente mais tarde.
É possível utilizar este número de processos como uma ferramenta para controlar o número
máximo de mensagens simultâneas passando pelo link, de forma a não saturá-lo.
Tempo limite de resposta do cliente: Este parâmetro indica o tempo máximo, em segundos,
que o proxy espera entre cada comando do cliente que está enviando a mensagem SMTP.
Caso este tempo seja atingido sem receber nenhum comando do cliente, o proxy assume que
este caiu e derruba a conexão.
Tempo limite de resposta para servidor: Para cada um dos possíveis comandos válidos do
protocolo SMTP, existe um tempo máximo de espera por uma resposta do servidor. Caso não
receba nenhuma resposta dentro deste período, o proxy assume que o servidor caiu e
derruba a conexão. Neste grupo é possível configurar o tempo máximo de espera, em
segundos, para cada um destes comandos.
Todos os demais parâmetros se referem aos tempos limites de resposta para cada comando
SMTP e não devem ser modificados a não ser que haja uma razão específica para fazê-lo.

650
Configurando o Proxy Telnet

651
26. Configurando o Proxy Telnet
Este capítulo mostra como configurar o proxy telnet para realizar autenticação de usuários.
O que é o proxy Telnet?
O proxy Telnet é um programa especializado do Aker Firewall realizado para trabalhar com o
protocolo Telnet, que é o protocolo utilizado para emulação de terminais remotos. A sua
função básica é possibilitar a realização de uma autenticação em nível de usuário para as
sessões telnet a serem estabelecidas. Este tipo de autenticação permite uma grande
flexibilidade e um elevado nível de segurança.

existência.
Utilizando o proxy Telnet
Para utilizar o proxy Telnet para realizar autenticações em uma comunicação, é necessário
executar uma sequência de 2 passos:
1. Criar um serviço que será desviado para o proxy Telnet e editar os parâmetros do contexto
a ser usado por este serviço (para maiores informações, veja o capítulo intitulado
Cadastrando Entidades).
2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1, para
as redes ou máquinas desejadas (para maiores informações, veja o capítulo intitulado O
Filtro de Estados).
A partir deste momento, todas as vezes que uma sessão telnet enquadrar na regra criada que
foi estabelecida, o firewall solicitará uma identificação do usuário e uma senha. Se a
identificação e a senha forem válidas e o usuário em questão tiver permissão, a sessão será
estabelecida. Caso contrário o usuário será informado do erro e a sessão cancelada.
26.1.1. Editando os parâmetros de um contexto Telnet
A janela de propriedades de um contexto Telnet será mostrada quando a opção Proxy Telnet
for selecionada. Por meio dela é possível definir o comportamento do proxy Telnet quando

652
A janela de propriedades de um contexto Telnet
Figura 473 - Serviço: propriedade de um contexto Telnet.

a um determinado serviço. Ela consiste dos seguintes campos:
Somente aceita conexões de máquinas com DNS reverso válido: Ao selecionar essa opção,
somente serão aceitas conexões de máquinas cujo DNS reverso esteja configurado e aponte
para um nome válido.
Permissão Padrão: Indicar a permissão que será aplicada a todos os usuários que não
estiverem presentes e que não façam parte de nenhum grupo presente na lista de
permissões. O valor aceita permite que a sessão de telnet seja estabelecida e o valor rejeita
impede sua realização.
Número máximo de sessões simultâneas: Definir o número máximo de sessões telnet que
podem estar ativas simultaneamente neste contexto. Caso o número de sessões abertas
atinja este limite, os usuários que tentarem estabelecer novas conexões serão informados
que o limite foi atingido e que devem tentar novamente mais tarde.
Tempo limite de inatividade: Definir o tempo máximo, em segundos, que o proxy pode ficar
sem receber dados da sessão Telnet e ainda considerá-la ativa.

653
O valor deste campo deve ser menor ou igual ao valor configurado no campo Tempo limite
TCP, nos parâmetros de configuração globais. (para maiores informações, veja o capítulo
intitulado Configurando os parâmetros do sistema)
Lista de permissões: Definir de forma individual, as permissões de acesso para usuários ou

grupos.
Para executar qualquer operação sobre um usuário ou grupo na lista de permissões, basta
clicar com o botão direito do mouse sobre ele. Aparecerá o seguinte menu: (este menu será
acionado sempre que se pressionar o botão direito, mesmo que não exista nenhum
usuário/grupo selecionado. Neste caso, somente as opções Incluir e Colar estarão
habilitadas).
Figura 474 - Menu (inserir).
 Inserir: Permitir a inclusão de um novo usuário/grupo na lista. Se algum usuário/grupo

estiver selecionado, o novo será inserido na posição selecionada. Caso contrário, o novo
usuário/grupo será incluído no final da lista.
 Editar: Permite alterar a permissão de acesso do usuário/grupo selecionado.
 Excluir: Remover da lista o usuário/grupo selecionado.
ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se o usuário/grupo,
clicando-o com o botão esquerdo, e em seguida clica-se na opção desejada.
A ordem dos usuários e grupos na lista de permissões é de fundamental importância. Quando um

usuário se autenticar, o firewall pesquisará a lista a partir do início procurando pelo nome desse
usuário ou por um grupo de que ele faça parte. Tão logo um desses seja encontrado, a permissão
associada ao mesmo será utilizada.
Para alterar a posição de um usuário ou grupo dentro da lista, deve-se proceder da seguinte
forma:
1. Selecionar o usuário ou grupo a ser movido de posição.

2. Clicar em um dos botões em formato de seta, localizados a direita da lista. O botão com o
desenho da seta para cima fará com que o usuário/grupo selecionado seja movido uma
654
posição para cima. O botão com a seta para baixo fará com que este seja movido uma
posição para baixo.
No caso de inclusão de usuários/grupos, será mostrada a seguinte janela:
A janela de inclusão de usuários/grupos
Figura 475 - Janela de inclusão de usuários ou grupos.
A janela de inclusão permite definir a permissão de acesso para um usuário ou um grupo de

um determinado autenticador. Para fazê-lo, deve-se proceder da seguinte forma:
Selecionar o autenticador do qual se deseja obter a lista de usuários ou grupos, clicando-se

com o botão esquerdo sobre seu nome na lista superior da janela (se o autenticador desejado
não aparecer na lista, é necessário acrescentá-lo na lista de autenticadores a serem
pesquisados. Para maiores informações, veja o capítulo intitulado Configurando parâmetros
de autenticação).
1. Selecionar entre listagem de usuários ou grupos, clicando-se nos botões correspondentes

localizados entre as duas listas.
2. Clicar com o botão esquerdo sobre o nome do usuário ou grupo que queira incluir, na lista
inferior da janela.
3. Definir a permissão de acesso para o usuário ou grupo, escolhendo entre os valores aceita
(que possibilitará o estabelecimento da sessão) ou rejeita (que impedirá seu
estabelecimento).
4. Clicar no botão OK, o que provocará o fechamento da janela e a inclusão do usuário ou
grupo na lista de permissões da janela de propriedades do contexto.

655
Configurando o Proxy FTP

656
27. Configurando o Proxy FTP
Este capítulo mostra como configurar o proxy FTP, de forma a bloquear determinados
comandos da transferência de arquivos.
O que é o proxy FTP?
O proxy FTP é um programa especializado do Aker Firewall realizado para trabalhar com o
protocolo FTP, que é o protocolo utilizado para a transferência de arquivos pela Internet. A
sua função básica é possibilitar que o administrador defina os comandos que podem ser
aceitos e impedir, por exemplo, a criação de novos arquivos ou de diretórios.

existência.
Utilizando o proxy FTP
Para utilizar o proxy FTP para realizar o controle de uma transferência de arquivos é
necessário executar uma sequência de 2 passos:
1. Criar um serviço que será desviado para o proxy FTP e editar os parâmetros do contexto a ser
usado por este serviço (para maiores informações, veja o capítulo intitulado Cadastrando
Entidades).
2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1, para as
redes ou máquinas desejadas (para maiores informações, veja o capítulo intitulado O Filtro
de Estados).
O proxy FTP não realiza autenticação de usuários. Para possibilitar que certos usuários tenham
privilégios diferentes é necessário criar serviços do proxy FTP com contextos distintos e associar cada
um destes serviços com um perfil de acesso.

657
27.1. Editando os parâmetros de um contexto FTP
A janela de propriedades de um contexto FTP será mostrada quando selecionar a opção Proxy
FTP, na janela de edição de serviços. Por meio dela é possível definir o comportamento do
proxy FTP quando este for lidar com o serviço em questão.
A janela de propriedades de um contexto FTP
Figura 476 - Serviços: propriedades de um contexto FTP.

Somente aceita conexões de máquinas com DNS reverso válido: Ao selecionar essa opção,
somente serão aceitas conexões de máquinas cujo DNS reverso esteja configurado e aponte
para um nome válido.
Permitir que o servidor abra conexões em qualquer porta com o cliente: Esta opção permite
que o servidor FTP comunique-se com o cliente por uma porta diferente do padrão que é TCP
20.

658
Habilitar logs de downloads e uploads: Esta opção fará com que seja gerado um evento
informando dados sobre os downloads e uploads realizados passando pelo proxy.
Número máximo de conexões simultâneas: Definir o número máximo de sessões FTP que
podem estar ativas simultaneamente neste contexto. Caso o número de sessões abertas
atinja este limite, os usuários que tentarem estabelecer novas conexões serão informados
que o limite foi atingido e que devem tentar novamente mais tarde.
Tempo limite de inatividade: Definir o tempo máximo, em segundos, que o proxy pode ficar
sem receber dados da sessão FTP e ainda considerá-la ativa.
O valor deste campo deve ser menor ou igual ao valor configurado no campo Tempo limite
TCP, nos parâmetros de configuração globais. (para maiores informações, veja o capítulo
intitulado Configurando os parâmetros do sistema.
Esta janela permite a criação de uma lista de regras que poderão ser aceitas ou não, de acordo
com ícone na coluna Ação que terão as opções Aceita ou Rejeita.
Para poder inserir um comando na coluna FTP é necessário clicar com o botão direito dentro
do componente e selecionar a opção inserir, assim depois de inserida a regra, deve-se clicar
na coluna FTP e selecionar a opção desejada ou digitar outro comando.
Figura 477 - Janela de lista de regras (aceitas ou não).
Abaixo segue a descrição de todas as opções:
mkd - Criar diretório: Ao selecionar essa opção, será possível a criação de diretórios por meio
das conexões FTP que se encaixarem neste contexto.
xmkd - Criar diretório estendido: Ao selecionar essa opção, será possível a criação de
diretórios estendidos por meio das conexões FTP que se encaixarem neste contexto.

659
rmd - Apagar diretório: Ao selecionar essa opção, será possível a remoção de diretórios por
meio das conexões FTP que se encaixarem neste contexto.
xrmd - Apaga um diretório estendido: Ao selecionar essa opção, será possível remover
diretórios estendidos por meio das conexões FTP que se encaixarem neste contexto.
list - Listar diretório: Ao selecionar essa opção será possível a visualização do conteúdo de
diretórios (comandos DIR ou LS) por meio das conexões FTP que se encaixarem neste
contexto.
nlst - Listar nomes dos diretórios: Ao selecionar essa opção será possível a visualização dos
nomes dos diretórios, por meio das conexões FTP que se encaixarem neste contexto.
retr - Download de arquivos: Ao selecionar essa opção, será possível fazer download de
arquivos por meio das conexões FTP que se encaixarem neste contexto.
stor - Upload de arquivos: Ao selecionar essa opção, será possível fazer upload de arquivos
por meio das conexões FTP que se encaixarem neste contexto.
stou - Upload de apenas um arquivos: Ao selecionar essa opção, será possível fazer upload
de um arquivo com o nome único no diretório corrente.
appe - Adicionar arquivo com a criação: Ao selecionar essa opção, será possível concatenar
os dados no fim de um arquivo. Caso o arquivo não exista ele será criado.
rest - Retomada de transferência de arquivos: Ao selecionar essa opção, será possível

recomeçar o download ou upload do ponto de onde foi interrompido.
dele - Remove arquivos: Ao desmarcar essa opção, não será possível remover arquivos por
meio das conexões FTP que se encaixarem neste contexto.
rnfr - Renomear arquivos: Se esta opção estiver desmarcada, não será possível renomear
arquivos por meio das conexões FTP que se encaixarem neste contexto.
As regras que não forem listadas obedecerão a "ação padrão".

660
Configurando o Proxy POP3

661
28. Configurando o Proxy POP3
Este capítulo mostra quais as funções oferecidas pelo proxy POP3 e como realizar a sua
configuração.
O que é o proxy POP3?
O proxy POP3 é um programa especializado do Aker Firewall realizado para trabalhar com
correio eletrônico. Este proxy possibilita realizar filtragens de e-mails baseadas em seus
arquivos anexos. Ele também atua como uma barreira protegendo o servidor POP3 contra
diversos tipos de ataques.

existência.
POP3 é um anagrama para protocolo Post Office, que é o nome completo do serviço de download
de mensagens de correio eletrônico na Internet.
Ataques contra um servidor POP3
Existem diversos ataques passíveis de serem realizados contra um servidor POP3. São eles:
 Ataques explorando bugs de um servidor
Neste caso, o atacante procura utilizar um comando ou parâmetros de um comando que

conhecidamente provocam falhas de segurança.
O proxy POP3 do Aker Firewall impede estes ataques na medida em que só permitem a
utilização de comandos considerados seguros e validando os parâmetros de todos os
comandos.
 Ataques explorando estouro de áreas de memória (buffer overflows)
Estes ataques consistem em enviar linhas de comando muito grandes, fazendo com que
um servidor que não tenha sido corretamente desenvolvido apresente falhas de
segurança.
O proxy POP3 do Aker Firewall impede estes ataques na medida em que limita o tamanho
máximo das linhas de comando que podem ser enviadas para o servidor.

662
Utilizando o proxy POP3
Para utilizar o proxy POP3 em uma comunicação, é necessário executar uma sequência de 2
passos:
1. Criar um serviço que será desviado para o proxy POP3 e editar os parâmetros do contexto
2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1, para
as redes ou máquinas desejadas (para maiores informações, veja o capítulo intitulado O
Filtro de Estados).
28.1. Editando os parâmetros de um contexto POP3
A janela de propriedades de um contexto POP3 será mostrada quando a opção Proxy POP3
for selecionada. Por meio dela é possível definir o comportamento do proxy POP3 quando
A janela de propriedades de um contexto POP3
Figura 478 - Propriedades de um contexto POP3.

663
a um determinado serviço. São eles:
Configurações: É formado por diversos campos que indicam as ações a serem executadas
pelo proxy POP3:
 Agente de antivírus: Indicar o agente antivírus que será utilizado para checar vírus dos
arquivos anexados a mensagens de e-mail. Esse agente deve ter sido previamente
cadastrado no firewall. Para maiores informações veja o capítulo intitulado
Cadastrando entidades.
 E-mail padrão: Indicar o endereço de e-mail padrão, para o qual serão enviadas as
cópias das mensagens que não se enquadrarem em nenhuma regra deste contexto
(se a opção Envia Cópia estiver marcada). Este e-mail também pode ser referenciado
em qualquer regra de filtragem do contexto.
 Número máximo de processos: Indicar o número máximo de cópias do proxy que
poderão estar ativas em um determinado momento. Como cada processo trata uma
conexão, este número também representa o número máximo de mensagens que
podem ser transmitidas simultaneamente para o contexto em questão. Caso o
número de conexões ativas atinja este limite, os clientes que tentarem enviar novas
mensagens devem repetir a tentativa posteriormente.
 Tempo limite de resposta: Indicar o tempo máximo, em segundos, que o proxy espera
a conexão em inatividade. Caso este tempo seja atingido o proxy encerra a conexão.
 Permitir anexos mal formatados: Permitir que anexos que estejam mal codificados
passem pelo firewall e sejam entregues aos clientes de e-mail.
Lista de regras: Nessa lista são especificadas as regras de tratamento de arquivos anexados
que permitem que uma mensagem tenha seus arquivos anexados removidos ou checados
contra vírus.
Para executar qualquer operação sobre uma determinada regra, deve-se clicar com o botão
que pressionar o botão direito, mesmo que não exista nenhuma regra selecionada. Neste
Figura 479 - Operações sobre determinada regra.
selecionada, a nova será inserida na posição da regra selecionada. Caso contrário, a
nova regra será incluída no final da lista.
664
 Renomear: Renomear a regra selecionada.
A ordem das regras na lista de regras de filtragem de arquivos anexados é de fundamental

importância. Para cada arquivo anexado de uma mensagem, o firewall pesquisará a lista a partir do
início procurando uma regra na qual ele se enquadre. Tão logo uma seja encontrada, a ação associada
a ela será executada.
A janela de edição de regras de arquivos
Figura 480 - Edição de regras de arquivos.

665
Nesta janela são configurados todos os parâmetros relativos a uma regra de filtragem de
arquivos para um contexto POP3. Ela consiste dos seguintes campos:
Nome: Definir unicamente a regra dentro do contexto. Este nome será mostrado na lista de
regras de arquivos. Não podem existir duas regras com o mesmo nome.
Filtrar por tipo MIME: Permitir definir uma regra de filtragem de arquivos baseando-se em
seu tipo MIME. Ao ser marcada, deve-se especificar seu tipo e seu subtipo.
Filtrar por nome: Permitir realizar filtragens a partir (de parte) do nome, do arquivo anexado.
Ao ser marcado, deve-se especificar o tipo de pesquisa a ser efetuada e o texto a ser
pesquisado. As seguintes opções de pesquisa estão disponíveis:
 CONTÉM: O nome deve conter o texto informado em qualquer posição.

 NÃO CONTÉM: O nome não pode conter o texto informado.
 É: O conteúdo do nome deve ser exatamente igual ao texto informado.
 NÃO É: O conteúdo do nome deve ser diferente do texto informado.
 COMEÇA COM: O conteúdo do nome deve começar com o texto informado.
 NÃO COMEÇA COM: O conteúdo do nome não pode começar com o texto informado.
 TERMINA COM: O conteúdo do nome deve terminar com o texto informado.
 NÃO TERMINA COM: O conteúdo do nome não pode terminar com o texto informado.
 CONTÉM PALAVRAS: Neste tipo de pesquisa, o texto informado é considerado como
formado por palavras individuais (separadas por espaços), ao invés de um texto contínuo.
Para enquadrar na pesquisa, o nome deve conter todas as palavras informadas,
independentemente de sua posição.
Ativação do filtro: Caso tenha especificado filtragem por tipo MIME e por nome, esse campo
permite especificar se a regra deve ser aplicada Somente se ambos são verdadeiros (valor E)
ou Se qualquer um for verdadeiro (valor OU).
Ação: Indica qual a ação a ser tomada pelo firewall quando um arquivo se enquadrar na regra.
Ela consiste em três opções:
 Aceita o anexo: Ao selecionar essa opção o firewall irá manter o arquivo anexado na
mensagem.
 Remove o anexo: Ao selecionar essa opção o firewall irá remover o arquivo anexado da
mensagem.
 Remove anexo infectado: Ao selecionar essa opção o firewall irá verificar o arquivo
anexado da mensagem contra vírus. Caso exista vírus o firewall tomará uma das seguintes
ações: se o arquivo puder ser desinfectado, o vírus será removido e o arquivo reanexado
à mensagem. Caso o arquivo não possa ser desinfectado, o firewall o removerá e
acrescentará uma mensagem informando o destinatário desse fato.
Caso a caixa Registrar na lista de eventos estiver marcado, quando a regra for atendida a
mesma será registrada no log de eventos.

666
Remover arquivos encriptados: Ao selecionar essa opção, o firewall removerá os arquivos
anexados que estejam compactados e cifrados, porque não poderá examiná-los para testar a
presença de vírus.
Remover arquivos corrompidos: Ao selecionar essa opção, o firewall removerá os arquivos

anexados que estejam compactados, porém corrompidos, porque não poderá examiná-los
para testar a presença de vírus.
Notifica emissor no caso de remoção do arquivo anexado: Ao selecionar essa opção, o

firewall enviará uma mensagem para o emissor de um e-mail todas as vezes que um ou mais
de seus arquivos anexados for removido.
Envia cópia para o administrador se o arquivo anexado for removido: Ao marcar essa opção,
o firewall enviará uma cópia de todos os arquivos removidos para o administrador. Caso ela
esteja marcada, deve-se escolher uma das seguintes opções de envio:
 E-mail Padrão: A cópia da mensagem é enviada para o e-mail padrão, definido na janela
de propriedades do contexto.
 Outro: A cópia da mensagem é enviada para o endereço especificado no campo à direita.

667
Utilizando as Quotas

668
29. Utilizando as Quotas
Este capítulo mostra como são utilizadas as quotas.
O que são quotas?
A produtividade dos funcionários é de fundamental importância para o desenvolvimento e o

crescimento de uma empresa. Portanto, os seus recursos de rede devem ser utilizados de
forma racional. A partir dessa necessidade, o Aker Firewall tornou-se uma ferramenta
indispensável para o controle de acesso às páginas web, que são visitadas pelos empregados
de uma corporação. Com o uso desse produto, os usuários só terão acesso a sites dentro dos
limites estabelecidos pelas quotas de acesso. As Quotas são utilizadas para controlar e
racionalizar o tempo gasto pelos funcionários, com acesso a sites da WEB. Assim as quotas
são os limites em termos de tempo de acesso e volume de dados, por usuário. Estes limites
são definidos na seguinte forma:
 Quanto à periodicidade de acesso, pode ser definido diariamente, semanalmente e

mensalmente;
 Quanto à quantidade de horas e de dias disponíveis;
 Quanto ao volume de dados de bytes trafegados.
Observação 1:
Filtro Web: Consumo de cota – o tempo calculado é aproximado à média de tempo de

carregamento de um site.
MSN: Consumo de cota – o tempo calculado é aproximado à média de tempo de utilização do

MSN, como chats, envio de arquivo, uso de jogos, vídeo chamada ou qualquer outra
funcionalidade do MSN.
Observação 2:
Filtro Web: Para os casos de acesso simultâneos (de um mesmo usuário) somente o tempo
de carregamento do maior site é que será contabilizado.
Observação 3: A contagem de tempo funciona da seguinte forma: quando o usuário acessa

uma página, conta um relógio de 31 segundos, se o usuário acessar outra página, começa a
contar do zero, mas não deixar de contar, por exemplo, os 10 segundos que o usuário gastou
ao acessar a página anterior.
MSN: para cada janela de conversação, o tempo é contado separadamente;

669
29.1. Editando os parâmetros do Uso de Quota
Figura 481 - Uso de quotas.
 Clicar no menu Informação da janela do firewall.

 Selecionar o item Uso de Quotas.

670
Visualização do Usuário
Figura 482 - Uso de quotas: visualização do usuário.
Esta janela permite mostrar todas as informações de quota de acesso, especificadas por
usuário.
Reiniciar o tempo do usuário: Ao clicar com o botão direito do mouse em cima do usuário e
ao selecionar essa opção zera toda a quota de tempo de acesso para todas as quotas desse
usuário. Caso clique em cima da quota, só será zerado aquela quota específica referente a
esse usuário.
Reiniciar o tráfego do usuário: Ao clicar com o botão direito do mouse em cima do usuário e
ao selecionar essa opção opta em zerar todas as quotas de volume de dados desse usuário.
Caso clique em cima da quota, só será zerado aquela quota específica referente a esse
usuário.
Reiniciar hora e tráfego do usuário: Ao clicar com o botão direito do mouse em cima do
usuário e ao selecionar essa opção opta em zerar toda quota de tempo de acesso e a quota
de volume, para esse usuário. Caso clique em cima da quota, só será zerado aquela quota
específica referente a esse usuário.

671
Usuário: Usuário para qual foi aplicado à quota.
Quota: Nome da quota criada.
Time: Tempo gasto da quota.
Volume: Quantidade de bytes trafegados.
Regularidade: Período que a quota vai ser aplicada se é diariamente, semanalmente ou

mensalmente.
Mostra valores relativos: Mostra os valores das quotas gastas em forma de porcentagem.
Visualização da Quota
Figura 483 - Uso de quotas: visualização da quota.
Esta janela permite mostrar todas as informações de quota de acesso, especificados por
quota.
Reinicia o tempo do usuário: Ao clicar com o botão direito do mouse em cima do usuário e
ao selecionar essa opção zera toda a quota de tempo de acesso para todas as quotas desse
672
usuário. Caso clique em cima da quota, só será zerado aquela quota específica referente a
esse usuário.
Reinicia o tráfego do usuário: Ao clicar com o botão direito do mouse em cima do usuário e
ao selecionar essa opção opta em zerar todas as quotas de volume de dados desse usuário.
Caso clique em cima da quota, só será zerado aquela quota específica referente a esse
usuário.
Reinicia hora e tráfego do usuário: Ao clicar com o botão direito do mouse em cima do
usuário e ao selecionar essa opção opta em zerar toda quota de tempo de acesso e a quota
de volume, para esse usuário. Caso clique em cima da quota, só será zerado aquela quota
específica referente a esse usuário.
Mostra valores relativos: Mostra os valores das quotas em forma de porcentagem.
Quota: Nome da quota criada.
Usuário: Usuário para qual foi aplicado à quota.
Tempo: Tempo gasto da quota.
Volume: Quantidade de bytes trafegados.
Regularidade: Período que a quota vai ser aplicada se é diariamente, semanalmente ou

mensalmente.

673
Configurando o Filtro Web

674
30. Configurando o Filtro Web
Este capítulo mostra para que serve e como configurar o Filtro Web.
O que é o Filtro Web do Aker Firewall?
O filtro web é um programa especializado do Aker Firewall realizado para trabalhar com os
protocolos que compõem a chamada WWW (World Wide Web). Dentre entre estes
protocolos, estão o HTTP, HTTPS, FTP e Gopher.
Este produto possui como principal função controlar o acesso dos usuários internos à
Internet, definindo quais páginas os usuários poderão acessar e se podem ou não transferir
arquivos, por exemplo. Além disso, ele pode bloquear tecnologias consideradas perigosas
para algumas instalações como o Active-XTM, scripts (JavaScript) e até applets JavaTM. Mais
ainda, ele possibilita a remoção dos banners das páginas, de forma a aumentar a sua
velocidade de carga e reduzir a utilização do link.
Ele é um proxy simultaneamente transparente e não transparente facilitando a instalação do

sistema.
Para que o proxy não transparente tenha a mesma performance do transparente, é necessário que
os browsers suportem o envio de requisições HTTP 1.1 via proxies.
O que é um servidor de cache WWW?
Um servidor de cache é um programa que visa aumentar a velocidade de acesso às páginas

da Internet. Para conseguir isso, ele armazena internamente as páginas mais utilizadas pelas
diversas máquinas clientes e todas as vezes que recebe uma nova solicitação, ele verifica se a
página desejada já se encontra armazenada. Caso a página esteja disponível, ela é retornada
imediatamente, sem a necessidade de consultar o servidor externo, caso contrário à página
será carregada normalmente do servidor desejado e armazenada, fazendo com que as
próximas requisições a esta página sejam atendidas rapidamente.

675
O filtro web do Aker Firewall trabalhando com um servidor de cache
O Aker Firewall implementa automaticamente um servidor de cache no seu Filtro Web,

entretanto ele pode ser configurado para trabalhar com qualquer um que siga os padrões de
mercado. Este servidor de cache pode estar rodando na própria máquina onde o firewall se
encontra ou em uma máquina separada.
Caso utilize-se de um servidor de cache em uma máquina separada (modo de instalação

recomendado), esta máquina deve ficar em uma sub-rede diferente de onde estão as
máquinas clientes, caso contrário, todo o controle de segurança pode ser facilmente
ultrapassado. Este tipo de configuração pode ser visualizado na seguinte figura:
Figura 484 - Conexão (internet, rede interna, firewall e DMZ.
Neste tipo de instalação, para assegurar uma total proteção, basta configurar o filtro de
estados (para maiores informações, veja o capítulo intitulado O Filtro de Estados) de forma a
permitir que a máquina com o cache seja a única que possa acessar os serviços ligados ao
WWW, e que as máquinas clientes não possam abrir nenhuma conexão em direção à máquina
onde se encontra o cache. Realizado isso, configura-se todas as máquinas clientes para
utilizarem o Filtro Web do firewall e configura-se o firewall para utilizar o cache na máquina
desejada.

676
Utilizando o Filtro Web
Para se utilizar o filtro web do Aker Firewall no modo não transparente (normal), é necessária
a seguinte sequência de passos:
1. Criar os perfis de acesso desejados e os associar com os usuários e grupos desejados. (Isso
foi descrito no capítulo chamado Perfis de acesso de usuários);
2. Editar os parâmetros de configuração do Filtro Web (isso será mostrado no tópico
chamado Editando os parâmetros do filtro web);
3. Criar uma regra de filtragem possibilitando que as máquinas clientes tenham acesso ao
proxy (para maiores informações, veja o capítulo intitulado O Filtro de Estados).
O filtro web não transparente escuta conexões na porta 80, utilizando o protocolo TCP.
Caso seja necessário, pode-se alterar este valor para qualquer porta, bastando para isso
acrescentar o parâmetro -p porta, onde porta é o número da porta que queira que ele escute,
na hora de iniciá-lo. A linha de comando a ser alterada se encontra no arquivo
/aker/bin/firewall/rc.aker, e deve ser alterada de /aker/bin/firewall /fwhttppd para
/aker/bin/firewall/fwhttppd -p 8080, por exemplo.
Para utilizar o filtro web no modo transparente é necessário executar uma sequência de 2
passos:
1. Criar um serviço que será desviado para o Filtro Web transparente (HTTP e/ou HTTPS)
e editar os parâmetros do contexto a ser usado por este serviço (para maiores
informações, veja o capítulo intitulado Cadastrando Entidades).
2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1,
intitulado O Filtro de Estados).

677
30.2. Editando os parâmetros de Filtro Web
Para utilizar o filtro web, é necessária a definição de alguns parâmetros que determinarão
características básicas de seu funcionamento. Esta definição é realizada na janela de
configuração do Filtro Web. Para acessá-la, deve-se:
Figura 485 - Filtro web.
 Clicar no menu Aplicação da janela do firewall.

 Selecionar o item Filtro Web.

678
A janela de configuração de parâmetros do Filtro Web
Aba Geral
Figura 486 - Configuração dos parâmetros do filtro web (geral).
 O botão OK fará com que a janela de configuração do Filtro Web seja fechada e as
alterações salvas.
aberta.
seja fechada.
O botão Retornar à Configuração Inicial - Desconsidera as configurações personalizadas e

retorna ao padrão; é aplicável em todas as abas e encontra-se na barra de ferramentas do
Firewall, bem como o botão Assistente.

679
 Cache
Cache Interno Habilitado: Esta opção permite que o firewall funcione como servidor de
cache.
Cache externo Habilitado: Esta opção permite definir se o Filtro Web irá redirecionar suas
requisições para um servidor de cache. Caso esta opção esteja habilitada, todas as
requisições recebidas serão repassadas para o servidor de cache, no endereço IP e porta
especificada. Caso contrário, o Filtro Web atenderá todas as requisições.
Páginas que contenham o campo “Expires” definido no cabeçalho HTTP serão apagadas do
cache quando o valor “Expires” for alcançado. Caso esta informação não esteja no cabeçalho
HTTP, ela será mantida no cache pelo périodo de 72 horas.
IP: Este campo especifica o endereço IP do servidor de cache para onde as requisições
serão redirecionadas, caso a opção habilita cache estiver ativa.
Porta: Este campo especifica a porta na qual o servidor de cache espera receber conexões,
caso a opção habilita cache estiver ativa.
Para o cliente de autenticação em Java funcionar em seu browser, ele deve ter o suporte
Java instalado e habilitado, além de permitir o uso do protocolo UDP para applets Java.
 Autentica usuários WWW
Este campo ativa ou não a autenticação de usuários do Filtro Web. Caso ele esteja
marcado, será solicitada ao usuário uma identificação e uma senha todas as vezes que
ele tentar iniciar uma sessão, e esta somente será iniciado caso ele seja autenticado por
algum dos autenticadores.
Utiliza cliente de autenticação em Java: Esta opção instrui o proxy a utilizar o cliente de
autenticação em Java, mesmo quando operando de modo não transparente. A vantagem
deste cliente é permitir que a autenticação do usuário seja completa (como quando se usa
o cliente de autenticação para Windows, e não apenas para o Filtro Web).
Caso o usuário esteja utilizando o Cliente de Autenticação Aker para Windows esteja com
uma sessão estabelecida com o Firewall, então não será solicitado nome nem senha, ou seja,
o proxy se comportará como se não estivesse realizando autenticação de usuários, mas ele
está de fato fazendo-o. Se a sessão do Cliente de Autenticação for finalizada, então o proxy
solicitará um nome de usuário e senha no próximo acesso. Para maiores informações sobre o
Cliente de Autenticação Aker, leia o capítulo (Autenticação de usuários).

680
Para o cliente de autenticação em Java funcionar em seu browser, ele deve ter o suporte
Java instalado e habilitado, além de permitir o uso do protocolo UDP para applets Java.
Forçar autenticação: Se esta opção estiver marcada o proxy obrigará a autenticação do

usuário, ou seja, somente permitirá acesso para usuários autenticados. Se ela estiver
desmarcada e um usuário desejar se autenticar, ele poderá fazê-lo (para ganhar um perfil
diferente do padrão), mas acessos não identificados serão permitidos.
 Tempos Limites
Leitura: Definir o tempo máximo, em segundos, que o proxy aguarda por uma requisição
do cliente, a partir do momento que uma nova conexão for estabelecida. Caso este tempo
seja atingido sem que o cliente faça uma requisição, a conexão será cancelada.
Resposta: Definir o tempo máximo, em segundos, que o proxy aguarda por uma resposta
de uma requisição enviado para o servidor WWW remoto ou para o servidor de cache,
caso a opção habilita cache esteja ativa. Caso este tempo seja atingido sem que o servidor
comece a transmitir uma resposta, a conexão com o servidor será cancelada e o cliente
receberá uma mensagem de erro.
HTTPS: Definir o tempo máximo, em segundos, que o proxy pode ficar sem receber dados
do cliente ou do servidor em uma conexão HTTPS, sem que ele considere a conexão inativa
e a cancele.
Manter ativo: Definir quanto tempo um usuário pode manter uma conexão keep-alive
(HTTP 1.1) com o proxy inativa, antes que o proxy a encerre, liberando o processo para
outro usuário. Recomenda-se manter este tempo bastante baixo, para evitar o uso
desnecessário de todos os processos do sistema.
Timeout das sessões web: Indica quanto tempo uma sessão web vai ficar sendo
monitorada, permitindo ao administrador do firewall saber quais são as sessões web
ativas do seu firewall.
Exemplo: Se for marcado 30 segundos nesse campo, a janela de sessões web (Informação
-> Sessões Web) só vai mostrar as sessões ativas dos últimos 30 segundos.
Para redefinir os valores dos Tempos Limites clique no botão “ ”
 Performance
Não permitir a transferência de arquivos comprimidos: Permite que o Firewall não aceite
transferências do filtro Web que tenham dados compactados.

681
Em uma requisição HTTP e ou HTTPS, pode ser especificado que os dados venham
compactados. Caso os dados venham comprimidos e caso exista ActiveX, Java ou
JavaScript compactados, o firewall precisa descompactá-los para fazer a análise dos
dados, por isso que nesses casos, essa opção é bastante importante. O mais aconselhado
é deixar esta opção desmarcada, pois é o padrão da janela.
Logar toda URL aceita: Permite que o Firewall registre todas as URL que são realizadas em
método (GET, POST e etc.), sendo assim teremos um volume de logs muito maior para
geração de relatórios e contabilização de Quotas.
Exemplo: com esta opção desmarcado o acesso ao endereço http://www.terra.com.br

será gerado apenas um log informando o acesso ao portal, já com a opção marcada será
gerado logs para cada GET que o browser faz para receber todo o site.
Para melhorar o desempenho e a gestão de recursos, os processos do Filtro Web são

criados automaticamente pelo firewall, conforme a demanda de requisições.
 Quotas
Interromper download caso o volume seja excedido: Essa opção permite interromper a
transferência dos arquivos caso a quota tenha excedido. Caso essa opção não esteja
marcada o firewall vai verificar a quota do usuário antes dele começar a fazer o download.
Exemplo: Se o usuário tiver 50 MB de quota, e quer fazer um download de um arquivo de

100 MB, com certeza ele não irá conseguir finalizar essa transferência pois a transferência
será interrompida. Todas às vezes que essa opção estiver marcada, e for mais de um
download simultâneo ou um download que não foi informado o seu tamanho, o firewall
permite o download, mas irá interromper antes do término.
Interromper downloads caso o tempo seja excedido: Permite que o tempo da quota seja
"gasto" enquanto durar o tempo do download, por exemplo, se o usuário quiser fazer o
download de um arquivo de 100 MB e esse download levar 30 minutos, vão ser gastos
100 MB de volume e 30 minutos de tempo da quota, caso essa opção não esteja marcada,
só vão ser gastos 100 MB, e não os 30 minutos.
Normalmente o tempo de quota só é utilizado quando o usuário fica navegando,

mandando mensagens pelo MSN e etc. Quando ele está fazendo o download de um
arquivo grande, não é gasto o tempo de sua quota, somente o volume de bytes.

682
Aba Cliente de autenticação
Figura 487 - Filtro Web: cliente de autenticação.
Esta aba serve para compor o Layout da janela de autenticação do Aker Firewall.
 Crie um título para a janela de autenticação.
Autenticação - Este campo é composto por duas opções que serão disponibilizadas para o
usuário quando do logon no Firewall; e poderá se conectar habilitando:
 Mostrar botão S/Key - Esta opção permite que os usuários se autentiquem usando S/Key.
 Mostrar campo domínio - O usuário informará o domínio para logar-se no Filtro Web.
Logotipo
 Usar logo personalizada - Ao marcar esta opção, será necessário indicar o caminho que
se encontra a logotipo.
E é possível acompanhar as mudanças na Visualização.

683
Figura 478 - Visualização da Logotipo
Habilitar tela de splash: Esta opção exibe uma janela com a URL especificada antes de solicitar
a autenticação do usuário por meio do cliente de autenticação em Java.
Aba Site de autenticação (Clientless)
Figura 488 – Aba Site de autenticação
Esta aba é usada para configurar a autenticação de usuários antes que estes possam ter
acesso à Internet. Esta autenticação é usada para reforçar o nível de segurança em websites,
e também para ter controle sobre o acesso à Internet em sua rede.
Título do site de autenticação: Nesta opção é criado o título do site de autenticação.

684
 Certificado X.509
Certificado do site de autenticação: Especificar o certificado X.509 que será apresentado ao

cliente quando ele tentar estabelecer conexão.
 Tempo limite
Tempo limite de autenticação: Definir o tempo máximo (em minutos) que a autenticação
do usuário permanecerá ativa, após este tempo o usuário deverá se autenticar novamente.
Valor padrão é 120 minutos.
 Opções
Mostrar campo Domínio: Ao marcar esta opção o usuário deverá informar o domínio para
logar-se no Filtro Web.
 Logo
Usar logo personalizado: Ao marcar esta opção, será necessário indicar o caminho que se
encontra a logotipo.
Para que a autenticação ClientLess seja estabelecida com sucesso é necessário que o
“common name (CN)” do certificado esteja como entrada no DNS, ou seja, o usuário deve
inserir uma entrada no servidor de DNS com o mesmo nome usado no common name (CN) do
certificado, apontando para as interfaces internas que serão autenticadas.

685
Figura 489 – Certificado X.509
Figura 490 – Detalhes do certificado
A opção “Forçar autenticação” que se encontra na “aba Geral” deverá estar selecionada
para o que a autenticação seja requisitada toda vez que um usuário tente acessar a Internet.

686
Figura 491 – Forçar autenticação
É necessário criar regras que liberem as portas de autenticação como no exemplo

a seguir:
Figura 492 - Regras para liberação das portas de autenticação
Regra 3
Da rede LAN para a Interface Interna do FW, liberando as portas 80 e 443 sem proxy.
Regra 4
Da rede LAN para a Internet liberando as portas 80 e 443 com proxy
Ao tenta obter acesso à Internet em um computador sem o certificado instalado como uma
autoridade certificadora, será mostrada esta janela a seguir:

687
Figura 493 - Certificado não confiável
Ao tenta obter acesso à Internet o usuário será redirecionado à pagina a seguir:
Figura 494 – Janela de autenticação ClientLess
Em dispositivos moveis, será solicitado uma permissão para o uso de um certificado não
instalado.
A autenticação ClientLess funciona em dispositivos moveis como: Tablets, Smartphones, ,

e outros dispositivos moveis com acesso à Internet.
Aba Controle de conteúdo

688
Figura 495 - Filtro Web: controle de conteúdo.
Analisador de URL: Especificar o agente analisador de URLs que será utilizado para
categorizar as páginas da Internet. Esse agente deve ter sido previamente cadastrado no
firewall. Para maiores informações veja o capítulo intitulado Cadastrando entidades.
URL Bloqueada: Permitir a configuração de qual ação deve ser executado pelo firewall
quando um usuário tentar acessar uma URL não permitida. Ela consiste das seguintes: opções:
 Mostra mensagem padrão ao bloquear URL: Ao selecionar essa opção, o firewall

mostra uma mensagem de erro informando que a URL que se tentou acessar se
encontra bloqueada.
 Redireciona URL bloqueada: Ao selecionar essa opção, o firewall redirecionará todas
as tentativas de acesso a URLs bloqueadas para uma URL especificada pelo
administrador. Nesse caso, deve-se especificar a URL para quais os acessos
bloqueados serão redirecionados (sem o prefixo http://) no campo a seguir.
tentativa de acesso a uma URL for bloqueada. Então pode optar em mostrar a página padrão
ou redirecionar para a página escolhida, que será personalizada de acordo com os checkboxes
selecionados. Segue abaixo a descrição de cada opção e o detalhamento das variáveis criadas.
Cada um desses checkbox selecionado é um parâmetro. Isso é utilizado para identificar aonde
e porque a página foi bloqueada, por exemplo, se a página foi bloqueada porque caiu em
alguma categoria, passar por parâmetro qual a categoria que causou o bloqueio da página.
689
 Domínio: Ao selecionar essa opção será mostrado o domínio da URL.
Exemplo: Na url www.aker.com.br, o seu domínio seria aker.com.br. Ao selecionar o
domínio, é criada a variável domain.
 Método: Informa qual o método utilizado pelo protocolo HTTP. Ex: GET, PUT, POST.
Ao selecionar o Método é criada a variável method.
 Nome do perfil: Nome dado, pelo usuário, ao perfil escolhido. Ao selecionar essa
opção é criada a variável perfil.
 IP do usuário: Endereço IP do usuário que tentou acessar a URL que foi bloqueada. Ao
selecionar o Método é criada a variável IP.
 Razões: Ao selecionar a Razão é criada a variável reason. Ao habilitar essa opção será
mostrada a razão do bloqueio do site. Por exemplo, temos as seguintes razões:
"categoria da URL",
"connect para a porta especificada não permitida”
 Nome da categoria: Nome da Categoria que a URL foi associada. Ao selecionar a
 Nome do usuário: Nome do usuário que tentou acessar a URL. Ao selecionar o nome
do usuário é criada a variável user.
 Número da regra: Número da Regra de Filtragem que a URL se enquadrou. Ao
 Site da URL bloqueado: Mostra a URL que o usuário tentou acessar e foi bloqueada.
Ao selecionar o Site da URL bloqueado é criada a variável url.
No preview, aparece como será a URL e o que será enviado via método GET.
Aba Tipos de arquivos

690
Figura 496 - Filtro Web: tipo de arquivo.
Arquivos Bloqueados
Especificar os arquivos que serão bloqueados pelo Filtro Web.
ser bloqueado: a extensão do arquivo ou seu tipo MIME. Se um destes critérios for atendido,
tipo MIME da mensagem estiver entre aqueles a serem bloqueados, então o arquivo deverá
ser bloqueado pelo firewall.
arquivo.
URL Bloqueada: Permitir a configuração de qual ação deve ser executado pelo firewall
quando um usuário tentar acessar uma URL não permitida. Ela consiste das seguintes: opções:

691
encontra bloqueada.
 Redireciona URL bloqueada: Ao selecionar essa opção, o firewall redirecionará
bloqueados serão redirecionados (sem o prefixo http://) no campo abaixo.
tentativa de acesso a uma URL for bloqueada. Então pode optar em mostrar a página padrão
ou redirecionar para a página escolhida, que será personalizada de acordo com os checkboxes
selecionados. Segue abaixo a descrição de cada opção e o detalhamento das variáveis criadas.
Cada um desses checkbox selecionado é um parâmetro. Isso é utilizado para identificar aonde
e porque a página foi bloqueada, por exemplo, se a página foi bloqueada porque caiu em
alguma categoria, passar por parâmetro qual a categoria que causou o bloqueio da página.
 Domínio: Ao selecionar essa opção será mostrado o domínio da URL.

Exemplo: Na url www.aker.com.br, o seu domínio seria aker.com.br.
Ao selecionar o domínio, é criada a variável domain.
 Método: Informa qual o método utilizado pelo protocolo HTTP. Ex: GET, PUT,
POST. Ao selecionar o Método é criada a variável method.
 Nome do Perfil: Nome dado, pelo usuário, ao perfil escolhido. Ao selecionar essa
opção é criada a variável perfil.
 IP do usuário: Endereço IP do usuário que tentou acessar a URL que foi bloqueada.
Ao selecionar o Método é criada a variável IP.
 Razões: Ao selecionar a Razão é criada a variável reason. Ao habilitar essa opção
será mostrada a razão do bloqueio do site. Por exemplo, temos as seguintes
razões:
"categoria da URL",
"connect para a porta especificada não permitido”
Nome da categoria: Nome da Categoria que a URL foi associada. Ao selecionar a

 Nome do usuário: Nome do usuário que tentou acessar a URL. Ao selecionar o
nome do usuário é criada a variável user.
 Número da regra: Número da Regra de Filtragem que a URL se enquadrou. Ao

692
 Site da URL bloqueado: Mostra a URL que o usuário tentou acessar e foi
bloqueada. Ao selecionar o Site da URL bloqueado é criada a variável url.
No preview, aparece como será a URL e o que será enviado via método GET.
Downloads
Especificar os arquivos que serão analisados contra vírus pelo Download manager do Aker
Firewall, ou seja, para os quais o firewall mostra ao usuário uma página web com o status do
download do arquivo e realizará seu download em background. Esta opção é interessante
para arquivos potencialmente grandes (arquivos compactados, por exemplo) ou para
arquivos que normalmente não são visualizáveis de forma on-line pelo navegador.
ser analisado: a extensão do arquivo ou seu tipo MIME. Se um destes critérios for atendido,
tipo MIME da mensagem estiver entre aqueles a serem analisados, então o arquivo deverá
ser analisado pelo firewall.
arquivo.
Sites Excluídos:
Deve-se escolher a operação e o texto a ser incluído para análise. Sites que se enquadrarem
na lista de excluídos não serão analisados.
As opções de operação podem ser vistas a seguir:

693
Figura 497 - Escolha de operação.
Configurações:
Anexos Encriptados: Deve-se escolher entre aceitar ou rejeitar um anexo encriptado.
Anexos Corrompidos: Deve-se escolher entre aceitar ou rejeitar um anexo corrompido.
Online
Da mesma maneira que em downloads o administrador do firewall deve escolher os tipos

MIME e as extensões.

694
Aba Antivírus
Figura 498 - Filtro Web: antivírus.
Habilitar antivírus: Ao selecionar essa caixa, permitirá que o firewall faça a verificação
antivírus dos conteúdos que tiverem sendo baixados.
O botão Retornar à configuração padrão restaura a configuração original do firewall para

esta pasta.
 Agente antivírus utilizado: Permitir a escolha de um agente antivírus previamente

cadastrado para realizar a verificação de vírus. Esse agente deve ter sido
previamente cadastrado no firewall. Para maiores informações veja o capítulo
intitulado Cadastrando entidades.
 Ignorar erros online do antivírus (podem permitir a passagem de anexos
contaminados): Quando este campo estiver selecionado, se houver um erro de
análise do antivírus no tráfego on-line, o mesmo não bloqueará o conteúdo,
permitindo a transferência dos dados. Caso o campo não esteja marcado, a
transferência de dados será bloqueada.
 Ignorar erros de download do antivírus (pode permitir a passagem de anexos
contaminados): Quando este campo estiver selecionado, se houver erro de análise
do antivírus no tráfego on-line, o mesmo não bloqueará o download, permitindo a
transferência dos dados. Caso o campo não esteja marcado, o download será
bloqueado.

695
 Habilitar janela de progresso do antivírus: Ao habilitar esta opção, todos pacotes
detectados com vírus serão bloqueados na janela de progresso do antivírus.
Quando desabilitada, pacotes baixados pelo usuário que estiverem infectados,
serão corrompidos, de forma que o arquivo malicioso seja excluído, e pacotes não
infectados sejam aceitos.
 Intervalo de atualização do status: Esta opção determina o tempo em a página de
download exibida pelo firewall deve ser atualizada.
 Número de tentativas: Número máximo de tentativas de download para cada
arquivo, caso seja necessário tentar mais de uma vez.
 Número máximo de downloads simultâneos: Configura o número máximo de
downloads simultâneos que o firewall irá permitir.
Analise de Vírus: Opção para mostrar uma página caso seja encontrado um vírus
durante a análise do antivírus. A página poderá ser a do próprio firewall ou
personalizada pelo usuário. É possível personalizar a mensagem para cada tipo de
vírus encontrado, bastando utilizar a string {VIR} que será substituída pelo nome do
vírus.

encontra bloqueada.
 Redireciona URL bloqueada: Ao selecionar essa opção, o firewall redirecionará
bloqueados serão redirecionados (sem o prefixo http://) no campo a seguir.
O Aker Antivírus Module suporta diversas opções de varredura de vírus, worms, dialers, hoax,
cavalo de troia e análise heurísticas, abaixo segue uma lista de opções suportadas:
Opções de análise: Utilizado para selecionar quais os tipos de bloqueio que devem ser
realizados (Spywares, Jokes, Dialers, Ferramentas Hacker) e se será ou não utilizado um
método de detecção heurístico (caso seja marcado, poderá ser utilizado às opções baixo,
médio ou alto);
 Habilitar análise heurística: A Heurística é um conjunto de regras e métodos que

podem levar o parceiro instalado a detectar um vírus sem a necessidade de uma base
de assinaturas de vírus, ou seja, é um algoritmo capaz de detectar programas
maliciosos baseando-se em seu comportamento;
 Detectar Malware: Habilita a análise de programas maliciosos e ferramentas hackers.
Varredura de Arquivos:
 Habilitado: Permite habilitar a análise do conteúdo de arquivos compactados;

 Nível Máximo de profundidade: Define o nível máximo de recursão ao analisar um
arquivo compactado;

696
 Tamanho máximo do Arquivo: Define o tamanho máximo permitido de um arquivo a
ser analisado dentro de um arquivo compactado;
 Número Máximo de Arquivos: Define a quantidade máxima de arquivos a serem
analisados dentro de um arquivo compactado.
O Aker Antivírus Module suporta a análise de arquivos compactados das seguintes

extensões: ZIP, ARJ, LHA, Microsoft CAB, ZOO, ARC, LZOP, RAR, BZIP2, UPX, AsPack, PEPack,
Petite, Telock, FSG, Crunch, WWWPack32, DOC, PDF, TAR, QUAKE, RTF, CHM, 7Zip, CPIO, Gzip,
MS OLE2, MS Cabinet Files (+ SFX), MS SZDD compression format, BinHex, SIS (SymbianOS
packages), AutoIt, NSIS, InstallShield.
Aba SSL
O proxy HTTPS é a parte do Filtro Web que trata as conexões TCP pela porta 443. O princípio
de funcionamento é o de um ataque man-in-the-middle: as máquinas clientes que fazem o
acesso por meio do Aker Firewall, e este com o servidor remoto, de forma transparente.
Entendendo um pouco de certificados
O que é um certificado digital?
Certificado digital é um documento fornecido pela Entidade Certificadora para cada uma das
entidades que irá realizar uma comunicação, de forma a garantir sua autenticidade.
Para os certificados utilizados na comunicação HTTPS o padrão utilizado é o X.509. Este

comumente utiliza-se das extensões “pem”, “cer” e “crt”.
Formato PKCS#12
O formato PKCS#12 foi criado pela “RSA Laboratories” para armazenamento do certificado
X.509 acompanhado da chave privada. Esse arquivo geralmente tem a extensão “pfx” e “p12”.
Comunicação HTTPS
A comunicação HTTPS utiliza-se do sistema de certificação digital.
Quando o cliente acessa um site com HTTPS o servidor envia ao cliente o certificado X.509
(que contém sua chave pública).
De posse deste certificado o navegador (cliente) faz algumas validações:
 Validade do certificado;
 Se o CN (Common Name) do certificado é o host da url;
 Se a autoridade certificadora que assinou o certificado é uma autoridade confiável.

697
Após a validação ocorrer com sucesso o cliente efetua o processo de comunicação de requisições e
respostas HTTP.
Vejam o diagrama a seguir:
Figura 499 - Diagrama de certificados envolvidos no acesso.
O diagrama mostra os certificados envolvidos no acesso:
 Certificado do servidor remoto: certificado original de onde alguns dados como

data de expiração e common name são copiados para os certificados gerados no
firewall.
 Certificado do proxy: certificado criado a cada requisição, que contém cópia
daqueles dados do certificado original que identificam o site. Assinado pela CA
inserida pelo administrador.
Os clientes precisam confiar nessa CA inserida no Aker Firewall para que seu browser não
detecte o ataque. Logo, dois certificados são necessários, um para os clientes e outro para o
Aker Firewall.
Outros certificados que aparecem são os utilizados pelo Aker Firewall para validar os sites
remotos.

698
Gerando certificado para utilização do Firewall
Para o firewall poder gerar certificados ele atua como uma Autoridade certificadora (CA), ou
seja, ele gera os certificados para os sites no qual é acessado por meio do Proxy. Para poder
realizar este processo alguns pré-requisitos são necessários:
 O firewall necessita de um certificado digital no formato PKCS#12, pois somente este

tem a chave privada;
 O Certificado X.509 contido no PKCS#12 necessita ser um certificado com prerrogativas
específicas para que este certificado possa assinar novos certificados, ou seja, atuar
como uma CA.
Para o processo de geração do certificado há várias possibilidades, neste FAQ serão explicadas
duas delas. Para o correto funcionamento do firewall não é necessário realizar estas duas
formas, portanto escolha uma delas e realize somente ela.
1. Gerando um certificado auto assinado com o OpenSSL;

2. Utilizando um certificado de uma autoridade certificadora raiz (root) do Windows.
Ao final de qualquer um dos dois processos escolhidos haverá dois arquivos que serão
utilizados no processo do Proxy HTTPS:
1. Arquivo no formato X.509, com extensão .cer;

2. Arquivo no formato PKCS#12, com extensão .pfx.
O Arquivo PKCS#12 será utilizado na configuração do Proxy HTTPS. O arquivo X.509 precisa
ser importado na seção de autoridades certificadoras raiz confiáveis dos navegadores
conforme demonstrado posteriormente.

699
Configuração
Figura 500 - Filtro web: configuração.
O proxy HTTPS ativo (man-in-the-middle) é habilitado por padrão e tem como opção a
filtragem do serviço para determinadas portas e entidades.
Além de bloqueios realizados pelo HTTPS transparente (man-in-the-middle)

também é possível fazer bloqueios pelo nome do certificado, por meio da ferramenta
Busca de Common Name Search que é uma forma mais simples de fazer bloqueios,
analisando o Common Name de certificados enviados pelo servidor, definindo se uma
conexão especifica será aceita ou não. Para mais informações veja o tópico 3.10 Busca
de Common Name.
Controle SSL -proxy Ativo: Permitir a definição das portas de conexão segura (HTTPS) que
serão aceitas pelo firewall. Caso um cliente tente abrir uma conexão para uma porta não
permitida, o firewall mostra uma mensagem de erro e não possibilitará o acesso.
 Permite HTTPS apenas para a porta padrão (443): caso queira utilizar apenas a
porta padrão (443), deve-se selecionar a primeira opção. Essa é a configuração a
ser utilizada na grande maioria dos firewalls.
 Permite HTTPS para todas as portas: indica ao firewall que ele deve aceitar
conexões HTTPS para quaisquer portas. Essa configuração não é recomendada
para nenhum ambiente que necessite de um nível de segurança razoável, já que é
700
possível para um usuário utilizar o proxy para acessar serviços não permitidos
simulando uma conexão HTTPS.
 Permite HTTPS para as entidades listadas abaixo: que possibilita ao administrador
definir exatamente quais portas serão permitidas. Nesse caso devem ser
cadastradas as entidades correspondentes aos serviços desejados. Para maiores
informações, veja o capítulo intitulado Cadastrando Entidades.
 Advanced HTTPS proxy
Para habilitar o proxy HTTPS transparente (Man-in-the-middle), crie uma regra de

filtragem para o serviço HTTPS e habilite o proxy no combo box da entidade de
serviço (da mesma forma como se faz para o proxy HTTP). Nesta janela, marque a
caixa “Certificado local – proxy transparente”.
Para que o certificado seja importado no “Proxy HTTPS transparente”, é necessário

que o mesmo tenha o parâmetro “Restrições Básicas” com o valor “Autoridade de
Certificação”. Para habilitar essa configuração no openssl use o parâmetro a seguir:
basicConstraints= CA:TRUE"
 Lista de exceções do HTTPS: aqui vão entidades do novo tipo “Listas de Common
Name SSL”, que ficam na aba listas no widget de entidades. Devem ser cadastrados
os Common Names dos sites que não devem passar pelo proxy.
A lista de Common Names não é tão simples. Por exemplo, “www.gmail.com” e

“mail.google.com”, precisam estar na lista para liberar o Gmail do proxy. Uma lista
com “www.bb.com.br” também não é suficiente para proteger o Banco do Brasil, visto
que já ao logar um novo certificado é apresentado, para “www2.bancobrasil.com.br”.
 Usar um certificado personalizado em caso de erro no proxy: caso o proxy detecte

que o certificado da outra ponta não é válido, deve avisar o usuário, como faz o
browser. Caso está checkbox esteja marcada o Filtro Web assina o certificado da
comunicação com uma CA de erro importada pelo administrador, para que seja
possível adicionar exceções ao proxy em nível de usuário. Com a checkbox
desmarcada o acesso é bloqueado, um evento é gerado e uma página de erro vai
para o usuário.

701
Figura 501 - Certificado de erro do Firefox.
Erro do Firefox ao detectar certificado assinado pela CA de erro.
Figura 502 - Certificado assinado pela CA de erro.
Certificado assinado pela CA de erro.

702
Figura 503 - Erro de acesso.
Sem a CA de erro o acesso é bloqueado.
Certificado da CA do proxy: aqui é possível importar/exportar a CA utilizada para assinar os

certificados gerados. Siga os passos abaixo para gerar este certificado corretamente:
Utilizando Open SSL
1. Efetue a instalação do OpenSSL;

2. Crie um diretório para utilizações durante este processo;
3. Crie um arquivo, dentro deste diretório, vazio, com o nome “database.txt”;
4. Crie um arquivo, dentro deste diretório, vazio, com o nome “serial.txt”;
5. Crie um arquivo nomeado “autoassinado.conf” e adicione o seguinte conteúdo:
RANDFILE = .rnd
[ ca ]
default_ca = CA_default
[ CA_default ]
certs = certs
crl_dir = crl
database = database.txt
new_certs_dir = certs
certificate = cacert.pem
serial = serial.txt
crl = crl.pem
private_key = private\cakey.pem
RANDFILE = private\private.rnd
default_days = 365

703
default_crl_days= 3
default_md = sha1
preserve = no
policy = policy_match
[ policy_match ]
commonName = supplied
emailAddress = optional
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
[ req ]
default_bits = 1024
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
[ req_distinguished_name ]
commonName = Common Name (eg, your website's domain
name)
commonName_max = 64
emailAddress = Email Address
emailAddress_max = 40
countryName = Country Name (2 letter code)
countryName_min =2
countryName_max =2
countryName_default = BR
stateOrProvinceName = State or Province Name (full name)
localityName = Locality Name (eg, city)
0.organizationName = Organization Name (eg, company)
organizationalUnitName = Organizational Unit Name (eg, section)
countryName_default = BR
[ v3_ca ]
certificatePolicies=2.5.29.32.0
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints=critical,CA:TRUE
keyUsage = critical,cRLSign, keyCertSign, digitalSignature

704
6. Crie a chave privada que será utilizada:
openssl genrsa -des3 -out ca.key 1024
Neste momento será solicitada a senha para armazenamento da chave, está senha
será utilizada posteriormente para abertura da chave privada.
Loading 'screen' into random state - done

Generating RSA private key, 1024 bit long modulus
..............++++++
...............++++++
e is 65537 (0x10001)
Enter pass phrase for ca.key:
7. Crie o certificado X.509. Este é o arquivo que será utilizado futuramente para
instalação nos clientes:
openssl req -extensions v3_ca -config autoassinado.conf -new -x509 -days 3650 -key
ca.key -out firewall.cer
Neste momento algumas informações serão solicitadas, a primeira delas é a senha da chave
privada criada no passo anterior.

Agora serão solicitados os dados do certificado, o único item obrigatório é o Common Name
(CN), nele adicione o nome como deseja que a sua CA seja identificada.
Após a finalização deste processo temos o nosso certificado conforme imagem a seguir:

705
Figura 504 - Certificado de informação.
Porém temos dois arquivos, um para a chave privada e outro para o certificado, desta forma
será necessário colocá-los em um único arquivo no formato PKCS#12, que é o formato
reconhecido pelo firewall.
8. Crie o arquivo PKCS#12 com a chave privada e o certificado
openssl pkcs12 -export -out firewall.pfx -in firewall.cer -inkey ca.key
Neste processo serão solicitadas duas senhas, a primeira para abertura da chave privada e a
segunda para a exportação do arquivo PKCS#12. Esta segunda senha será utilizada no
momento da importação do arquivo PKCS#12 no firewall.

Enter Export Password:
Verifying - Enter Export Password:
Utilizando CA Microsoft:
706
Este item não demonstra como efetuar a instalação de uma autoridade certificadora (CA) no
Windows, e sim como utilizar uma já instalada, sendo a instalação desta um pré-requisito
para continuidade deste processo.
1. Abra a console de gerenciamento de autoridade certificadora em Start >

Administrative Tools > Certification Authority (Iniciar > Ferramentas Administrativas
> Autoridade de certificação)
Figura 505 - Certificado de informação.
2. Selecione a sua CA

707
Figura 506 – Certification Authority.
3. Nestes próximos passos iremos exportar o certificado X.509 da CA.
Clique com o botão direito do mouse e clique em Properties (Propriedades)
Figura 507 - Certificado CA – properties.
4. Selecione o último certificado da CA e clique em View Certificate (Exibir certificado)

708
Figura 508 - Certificado CA – General.

709
5. Na tela de visualização do certificado clique em Details (detalhes) e depois em Copy
to file (Copiar para arquivo)
Figura 509 - Certificado CA – Details.
6. Selecione um local para salvar o arquivo. Este é o arquivo que será utilizado
futuramente para instalação nos clientes.
7. Nestes próximos passos iremos Exportar o arquivo no formato PKCS#12 para a

utilização no firewall.
8. Volte para a tela principal da autoridade certificadora. Clique com o botão direito do
mouse no nome da CA e clique em All Tasks (Todas as tarefas) e clique em Back up
CA (Fazer Backup da autoridade de cert...)

710
Figura 510 - Certificado CA – All tasks / Back up Ca.
9. Na próxima tela clique em Avançar. Na tela subsequente selecione somente o item

Private key and CA certificate (Chave particular e certificado de autoridade de
certificação), indique o diretório onde será salvo o arquivo, clique em avançar.
Figura 511 - Certificado Authority Backup Wizard.

711
10. a tela abaixo, indique a senha de proteção do arquivo PKCS#12. Esta senha será
utilizada no momento da importação do arquivo PKCS#12 no firewall.
Figura 512 - Certificado Authority Backup Wizard – senha e confirmação.
Após este processo, será gerado o arquivo PKCS#12 com a chave privada e o certificado desta
CA.
Usar um certificado de CA personalizado em caso de erro no proxy: aqui é possível

importar/exportar CA utilizada quando há erro na validação do certificado remoto. Quando a
opção de utilizar CA de erro é desmarcada, a opção de visualizar a CA de erro fica desabilitada.
Importando certificado X.509 no Windows
A importação deste certificado na base do Windows tem efeito em todos os aplicativos que
consultam esta base como base dos certificados confiáveis desta forma os certificados
gerados pelo Filtro Web serão validados nas estações de trabalho filtradas, sem apresentar
as mensagens de segurança mostradas acima. Na lista destes aplicativos estão:
 Internet Explorer;
 Google Chrome;
 Windows live messenger (MSN).
1. Abra a Microsoft Management Console. Acesse: Iniciar > Executar e digite mmc e
clique em OK.

712
Figura 513 - Microsoft Management Console.
2. Na tela do MMC clique em File (Arquivo) depois clique em Add/Remove snap-in...

(Adicionar/remover snap-in...).
3. Selecione a opção Certificates (Certificados) e clique em Add (Adicionar)

713
Figura 514 - Adicionar ou remover Snap-is.
4. Selecione a opção Computer account (Conta de computador), selecione a opção Local

Computer (Computador local).

714
5. Na opção Certificates > Trusted Root Certification Authorities > Certificates
(Certificados > Autoridade de certificação raiz confiáveis > Certificados) clique com o
botão direito e clique em All tasks > Import (Todas as tarefas > Importar).
Figura 515 - Microsoft Management Console – certificates, all task, import).

715
6. Selecione o arquivo X.509, ou seja, o arquivo com a extensão .cer.
Figura 516 - Escolha do diretório onde deseja importar o relatório.
Importando certificado X.509 no Mozilla Firefox
1. Clique em Ferramentas > Opções
Figura 517 - Mozilla Firefox (importar certificado).

716
2. Selecione a opção Avançado > Criptografia
Figura 518 - Mozilla Firefox (criptografia).
3. Selecione a opção Certificados, na tela de certificados selecione a aba Autoridades e

clique no botão Importar.

717
Figura 519 - Gerenciador de certificados – autoridades.

718
4. Selecione o arquivo X.509, ou seja, o arquivo com a extensão .cer.
Aba Avançado
 Filtro Navegador
Figura 520 - Filtro Web: avançado.
Ao selecionar a opção Filtro de navegador habilitado, permite ao usuário aceitar ou rejeitar

os navegadores inseridos na lista.
Essa lista é criada pelo próprio usuário e nela devem ser inseridos os vários tipos de
navegadores que se deseja bloquear ou liberar, abaixo segue um exemplo de como devem
ser incluídos:
 Internet Explorer 6: “MSIE 6.0”;

 Internet Explorer 7: “MSIE 7.0";
 Internet Explorer (qualquer um): “MSIE”;
 Media Player: " Windows-Media-Player ";
 Firefox: “Firefox”;
 Firefox 2: “Firefox/2”.
A validação do browser é realizada ANTES do header stripping, assim sendo é possível substituir
versão por uma string fixa sem perder esta filtragem.
 Reescrita de URLs

719
A reescrita de URL é semelhante ao redirecionamento de sites. É um processo interno ao

servidor web que funciona de forma transparente resolvendo os problemas com links
quebrados no site web.
No campo URL anterior como o próprio o nome já diz deve ser informado o endereço que
será traduzido para um novo endereço informado no campo. URL reescrita.
Por exemplo:
URL anterior: www.aker.com.br
URL reescrita: www.aker.security.com.br
 Stripping do cabeçalho HTTP

720
Essa opção permite remover e modificar partes do Header. Potencialmente aumenta a

segurança interna, evitando que informações internas sejam enviadas para fora. Por exemplo:
cookies e versão do navegador do usuário.
O Header stripping funciona da seguinte forma, todas as linhas do header HTTP são
comparadas individualmente com todas as expressões cadastradas. Caso uma se encaixe, a
linha é substituída e a próxima linha é tratada. A primeira linha (com a requisição) não é
filtrada (ou seja, não é comparada com as expressões). O Header stripping funciona apenas
na remoção do header do cliente para o servidor;
O Header Stripping é realizado imediatamente após a versão de o browser cliente ser

verificada e ANTES de todos os demais processamentos do proxy HTTP, sendo assim, o proxy
tratará a versão modificada do header (caso ele tenha sido) como o que foi enviado pelo
cliente;
Seguem abaixo, exemplos de como preencher os campos: O que procurar e o Substituir por:
Para a remoção de cookies (sem as aspas):
Procurar: “Cookie: *” - Substituir por: "" (nada).
Para esconder a versão dos browsers dos clientes:

Procurar: “User-Agent: *\r\n” - Substituir por:” User Agent: Mozilla/4.0\r\n".
 Adição de cabeçalho HTTP

721
Figura 523 - Adição de cabeçalho HTTP
Esta opção permite que o administrador configure o bloqueio o acesso a contas especificas
em seu domínio, controlando quais domínios de e-mail os usuários poderão acessar evitando
a perda de produtividade por exemplo, prevenindo que os usuários de sua rede acessem
serviços da web que não estejam relacionados a sua empresa (na imagem acima foi usado o
Google). Nesta janela o administrador pode adicionar linhas de configuração no cabeçalho
HTTP das conexões HTTP e HTTPS, (sendo que o campo “domínio” pode ter até 156
caracteres e o campo “Linhas” pode ter várias linhas de no máximo 512 caracteres)
fazendo com que o cabeçalho identifique quais os domínios os usuários podem acessar.
Para mais informações sobre esta funcionalidade visite o link abaixo:
https://support.google.com/a/answer/1668854?hl=pt-BR.
Domínio: Neste campo deve-se inserir o domínio do servidor no qual serão adicionadas as
linhas no cabeçalho HTTP.
Ex: Google.com (apenas contas especificadas no campo abaixo poderão ser acessadas no
domínio Google.com)
Linha: Neste campo o usuário deve inserir os valores que serão permitidos no domínio
especificado acima.
Ex: X-GoogApss-Allowed-Domains : econtabilidade.com.br

722
Qualquer outro valor que não esteja entre os valores especificados no campo “Linha” será
bloqueado. Como no exemplo abaixo que o usuário tentou acessar o Gmail.com e tem seu
acesso bloqueado pois o Gmail.com não foi especificado no campo Linha.
Figura 524 - Mensagem de bloqueio
O usuário pode colocar a quantidade de regras que desejar no cabeçalho, contudo a

performance do Filtro web será reduzida.
O usuário pode inserir quantas linhas desejar para cada domínio configurado, contudo isso
poderá ultrapassar o limite do cabeçalho HTTP e alguns servidores não aceitaram o pacote.
Caracteres como acentuação, cedilha, ou qualquer outro caracter que não seja alfa numérico
não serão permitidos.
A configuração do Header Stripping deve ser realizada com muito cuidado já que ele pode
potencialmente inviabilizar o uso da Internet.
Deve-se tomar o cuidado de SEMPRE acrescentar um \r\n no final de uma substituição que
envolva uma linha.
A validação do browser é realizada ANTES do header stripping, assim sendo é possível

substituir versão por uma string fixa sem perder esta filtragem. Neste contexto, atente-se
quanto a descrição do navegador (user-Agent), pois a string digitada é sensível ao case.
Para que o bloqueio dos navegadores seja de fato realizado, faz-se necessário que as
estações que tentem utilizá-los passem por proxy.

723
30.3. Editando os parâmetros do Cache (cache hierárquico)
Para configurar as caches cadastradas é necessário a definição de alguns parâmetros que

determinarão características básicas de seu funcionamento. Esta definição é realizada na
janela de configuração da cache. Para acessá-la, deve-se:
Figura 525 - Cache
 No Firewall desejado, clique no menu “Aplicação”;

 Selecione a opção “Cache”

724
Figura 526 - Editando os parâmetros de Filtro Web
Para configurar esta janela é necessário clicar no checkbox “habilitar cache hierárquico”.
Esta janela existe a lista de caches remotos, e ainda permite que o usuário adicione, edite ou
delete caches remotos.
Para adicionar um novo cache remoto, clique com o botão direito no espaço em branco na
lista de caches remotos, e selecione a opção “Inserir”. A janela a seguir será exibida:

725
Figura 527 - Configuração de um nodo de cache
Para configurar as caches cadastradas é necessário preencher os seguintes campos:
Nome do host: Define o endereço da cache.
Tipo: Define a hierarquia de cache, podendo optar pelo "Pai" ou pelo "Filho".
Porta de Cache: Número da porta pelo qual o proxy atende aos seus pedidos.
Porta ICP: Utilizada para perguntar a sua vizinhança sobre o estado dos objetos.
Logar na cache: Permite definir um usuário e senha, para logar na cache pai e nas caches
filhos, para que assim possa obter informações sobre o estado dos objetos, através do
protocolo ICP.
Não buscar na cache os domínios: Nessa opção permite restringir quais os domínios estarão
relacionados para cada cache.

726
30.4. Utilizando a Interface Texto (via SSH-fwcache)
A Interface Texto (via SSH) exibe as informações do cache e permite que o usuário limpe o
cache (E possível usar todos os comandos sem o prefixo “FW”, para isso execute o comando
“fwshell”, então os comandos poderão ser acessados sem o prefixo “FW”).
Localização do programa: /aker/bin/firewall # fwcache
Sintaxe:
fwcache apaga
fwcache informação
Exemplo 1: (visualizando a informação do cache)
# fwcache informacao
http_port 33128
cache_effective_user squid
cache_effective_group squid
pid_filename /var/run/squid.pid
visible_hostname aker firewall
error_directory /usr/local/squid/share/errors/Portuguese
cache_log /usr/local/squid/log/cache.log
cache_access_log none
cache_store_log none

727
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl semcache url_regex -i "/usr/local/squid/etc/nocache.txt"
no_cache deny semcache
http_access allow manager localhost
http_access deny manager
http_access allow localhost
http_access deny all
http_reply_access allow all
icp_access allow all
cache_mem 32 MB
cache_dir ufs /var/spool/squid 10240 16 256
#debug_options ALL,9
O tamanho do diretório de cache utilizado: 422M
Por padrão o cache é configurado com a seguinte configuração:

728
10 Gigas de espaço em disco para o cache
16 diretórios, e para cada diretório 256 subdiretórios
Esta informação é exibida na linha: cache_dir ufs /var/spool/squid 10240 16 256
30.5. Editando os parâmetros de Sessões Web
Sessões Web
Esta janela permite ao administrador do Firewall, visualizar as sessões ativas, verificando o

que foi acessado e por quem foi acessado, no tempo definido na janela de Filtro Web, aba
Geral, opção “Timeout das sessões web”.
Para ter acesso a janela de sessões web, deve-se:

729
Figura 528 - Sessões Web.
 Clicar no menu Informação

 Selecionar o item Sessões Web
As informações serão visualizadas e distribuídas nos seguintes campos:
Tempo: Indica o dia e horário e a URL que foi acessada.
Host: Indica a máquina de onde foi acessada a URL.
Usuário: Indica o usuário que acessou a URL.
Perfil: Indica qual o perfil de acesso que o usuário caiu quando tentou acessar a URL.
Regra: Indica qual a regra de acesso que a URL se enquadrou.
Categoria: Indica qual a categoria que a URL se enquadrou.
Ação: Indica se as sessões web que passaram pelo firewall foram aceitas ou rejeitadas.

730
30.6. Como Calcular o tempo de conexão WEB
Para saber a contabilidade de tempo que um usuário gasta em um site, é necessário

configurar o Proxy e habilitar a contabilidade de tráfego web para ser gerado um relatório
com o tempo que esse usuário ficou em determinado site.
Para gerar o relatório com o tempo de conexão WEB deve-se:
 Habilitar no firewall a contabilidade de tráfego web no menu Configuração do
Sistema
 Clicar duas vezes em Ações, conforme figura abaixo;
Figura 529 – Configurações do sistema (Ações)
Agora deve-se habilitar os eventos 340 (Contabilidade de tráfego HTTP WWW) e 341
(Contabilidade de tráfego HTTP downloads) que se encontram na pasta Proxy HTTP, para
habilitar-los deve-se clicar com o botão direto do mouse no campo ação e marcar a opção
“Logar” conforme figura abaixo:

731
Figura 530 - Ações
Por padrão estes eventos estarão desabilitados.
Agora deve-se criar uma nova regra no perfil desejado para passar pelo Proxy, conforme a
figura a seguir:

732
Figura 531 – Criando uma nova regra

733
Agora deve-se criar o relatório, para isso siga os passos abaixo:
Figura 532 – Auditoria (Relatório)
 Selecione o menu Auditoria;

 Selecione a opção Relatório;
Em Relatório selecione a aba “Específico”, e clique em “Gerar Relatório específico agora”
Conforme a figura abaixo:

734
Figura 533 - Relatório
Preencha as opções “Título do relatório”, “Formato de relatório” e o “Período” conforme a

figura abaixo:

735
Figura 534 – Configuração de relatório (Aba Geral)
Na aba “Sub-relatório” deve-se clicar com o botão direito na coluna de “Dados de relatório”,
e adicione um novo item, então selecione “Contabilidade do tráfego web – tempo
consumido” para este. Na coluna “Agrupar por” deve-se clicar com o botão direito e
selecionar a opção “Não agrupar” conforme a figura abaixo:

736
Figura 535 - Configuração de relatório (Sub-relatório)
Depois de configurado o tipo de sub-relatório deve-se clicar no botão OK e o relatório será

exibido como na figura abaixo, mostrando o tempo consumido em cada site.

737
Figura 536 – Log de chats

738
Configurando o Proxy Socks

739
31. Configurando o Proxy Socks
Este capítulo mostra para que serve e como configurar o Proxy Socks.
O que é o proxy SOCKS do Aker Firewall?
O proxy SOCKS é um programa especializado do Aker Firewall realizado para trabalhar com
programas que suportem o protocolo SOCKS nas versões 4 ou 5.
Este proxy possui como função principal prover uma melhor segurança para protocolos
passarem por meio do firewall, principalmente protocolos complexos que utilizam mais de
uma conexão. É possível por meio do uso do SOCKS 5 realizar autenticação de usuários para
quaisquer serviços que passem pelo firewall, mesmo sem o uso do cliente de autenticação.
Ele é um proxy não transparente (para maiores informações, veja o capítulo intitulado
Trabalhando com proxies), desta forma, os clientes que forem utilizá-lo devem ter suporte
para trabalhar com proxies e devem ser configurados para usá-lo.
Utilizando o proxy SOCKS
Para utilizar o proxy SOCKS do Aker Firewall, é necessário a seguinte sequência de passos:
1. Criar os perfis de acesso desejados e associá-los aos usuários e grupos desejados. (Isso foi
descrito no capítulo chamado Perfis de acesso de usuários);
2. Editar os parâmetros de configuração do proxy SOCKS (isso será mostrado no tópico
chamado Editando os parâmetros do proxy SOCKS);
3. Criar uma regra de filtragem possibilitando que as máquinas clientes tenham acesso ao
proxy (para maiores informações, veja o capítulo intitulado O Filtro de Estados).
O proxy SOCKS do Aker Firewall escuta conexões na porta 1080, utilizando o protocolo TCP.
Caso seja necessário, pode-se alterar este valor para qualquer porta, bastando para isso
acrescentar o parâmetro -p porta, onde porta é o número da porta que queira que ele escute,
na hora de iniciá-lo. A linha de comando a ser alterada se encontra no arquivo
/aker/bin/firewall/rc.aker, e deve ser alterada de /aker/bin/firewall/fwhttppd para
/aker/bin/firewall/fwhttppd -p 8080, por exemplo.

740
31.2. Editando os parâmetros do Proxy SOCKS
Para utilizar o Proxy SOCKS, é necessário à definição de alguns parâmetros que determinarão
configuração do proxy SOCKS. Para acessá-la, deve-se:
Figura 537 - Proxy Socks
 Clicar no menu Aplicação da janela de administração.

 Selecionar o item Proxy Socks.
A janela de configuração de parâmetros do proxy SOCKS
Figura 538 - Autenticação dos usuários Socks.
 O botão OK fará com que a janela de configuração do proxy SOCKS seja fechada e as
aberta.

741
seja fechada.
Significado dos parâmetros:
Autentica usuários SOCKS: Este campo ativa ou não a autenticação de usuários do proxy
SOCKS. Caso ele esteja marcado, será solicitada ao usuário uma identificação e uma senha
todas as vezes que ele tentar iniciar uma sessão e está somente será iniciado caso ele seja
autenticado por algum dos autenticadores.
Caso o usuário esteja utilizando o Cliente de Autenticação Aker e esteja com uma sessão
estabelecida com o Firewall, então não será solicitado nome nem senha, ou seja, o proxy se
comportará como se não estivesse realizando autenticação de usuários, mas ele está de fato
fazendo-o. Se a sessão do Cliente de Autenticação for finalizada, então o proxy solicitará um
nome de usuário e senha no próximo acesso. Para maiores informações sobre o Cliente de
Autenticação Aker, leia o capítulo Autenticação de Usuários.
A versão 4 do protocolo SOCKS não permite realizar autenticação de usuários, dessa forma,
a única maneira de autenticar clientes utilizando essa versão do protocolo é com o uso do
cliente de autenticação. Caso essa opção esteja marcada, a versão suportada pelo cliente for
a 4 e não existir uma sessão de perfil de acesso ativa, então o firewall não permitirá acessos
para o cliente.
Tempo limite de resposta: Este parâmetro define o tempo máximo, em segundos, que o
proxy aguarda por dados do cliente, a partir do momento que uma nova conexão for
estabelecida. Caso este tempo seja atingido sem que o cliente envie os dados necessários, a
conexão será cancelada.
Número máximo de processos: Este campo define o número máximo de processos do proxy
SOCKS que poderão estar ativos simultaneamente. Como cada processo atende uma única
conexão, este campo também define o número máximo de requisições que podem ser
atendidas simultaneamente.

742
Configurando o Proxy RPC e o Proxy
DCE-RPC

743
32. Configurando o Proxy RPC e o proxy DCE-RPC
Este capítulo mostra como configurar o proxy RPC e o proxy DCE-RPC.
O que é o proxy RPC?
O proxy RPC é um programa especializado do Aker Firewall realizado para trabalhar com o
protocolo RPC, mais especificamente, o SUN RPC, descrito na RFC1050. A sua função básica é
fazer chamadas a funções remotas (Remote Procedure Call), ou seja, funções disponibilizadas
por outras máquinas acessíveis por meio do firewall. Exemplos de protocolos que usam o RPC
são os portmapper e o NFS.
Quando um cliente deseja realizar uma chamada RPC para um determinado número de
processo, o firewall verifica a ação relacionada àquele processo. Se permitir, o proxy insere
as regras de liberação de portas direta e automaticamente no kernel. Caso contrário, o
firewall bloqueia o processo como se ele estivesse indisponível.

Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem da sua
existência.
Utilizando o proxy RPC
Para utilizar o proxy RPC, é necessário executar uma sequência de 2 passos:
 Criar um serviço que será desviado para o proxy RPC e editar os parâmetros do
intitulado Cadastrando Entidades);
 Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1,
intitulado Filtro de Estados).
O que é o proxy DCE-RPC?
O proxy DCE-RPC é um programa especializado do Aker Firewall realizado para trabalhar com
o protocolo RPC, mais especificamente, o DCE- RPC. A sua função básica é fazer chamada às
funções remotas (Remote Procedure Call), ou seja, funções disponibilizadas por outras
máquinas acessíveis por meio do firewall. Exemplos de protocolos que usam o DCE- RPC são
os Transmission Control Protocol (TCP) e o HTTP.
Quando um cliente deseja realizar uma chamada DCE-RPC para um determinado número de
processo, o firewall verifica a ação relacionada àquele processo. Se permitir, o proxy insere
as regras de liberação de portas direta e automaticamente no kernel. Caso contrário, o
firewall bloqueia o processo como se ele estivesse indisponível.
744
Trabalhando com proxies), desta forma, nem o servidor nem o cliente sabem da sua
existência.
Utilizando o proxy DCE-RPC
Para utilizar o Proxy RPC, é necessário executar uma sequência de 2 passos:
Criar um serviço que será desviado para o proxy DCE-RPC e editar os parâmetros do contexto
Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1, para as
redes ou máquinas desejadas (para maiores informações, veja o capítulo intitulado O Filtro
de Estados).
32.1. Editando os parâmetros de um contexto RPC
A janela de propriedades de um contexto DCE-RPC será mostrada quando for selecionado o

protocolo UDP e a opção Proxy RPC na janela de edição de serviços. Por meio dela é possível
definir o comportamento do proxy RPC quando este for lidar com o serviço em questão.

745
A janela de propriedades de um contexto RPC
Figura 539 - Propriedades de um contexto RCP.

Ação padrão: Indicar a ação que será aplicada a todos os serviços remotos que não estiverem
presentes na lista de permissões. O valor aceita permite que o serviço seja utilizado e o valor
rejeita impede sua utilização.
Lista de permissões: Definir, de forma individual, as permissões de acesso aos serviços

remotos.
Habilitar Antivírus: Habilita a análise de vírus para os arquivos transferidos.
Para executar qualquer operação sobre um serviço na lista de permissões, basta clicar com o
botão direito do mouse sobre ele na coluna RPC. Aparecerá o seguinte menu (Caso não exista
nenhum serviço selecionado, somente as opções Inserir e Apagar estarão presentes):

746
Figura 540 - Menu de execução da janela RPC.
 Inserir: Permitir a inclusão de um novo serviço na lista. Se algum serviço estiver

selecionado, o novo será inserido na posição selecionada. Caso contrário, o novo serviço
será incluído no final da lista.
 Excluir: Remover da lista o serviço selecionado.
 Lista de serviços: Contém uma lista pré-definida de serviços e seus respectivos números.
É possível acrescentar serviços que não estejam presentes nessa lista. Para isso, basta
clicar no campo logo abaixo da opção Apagar e digitar o código do novo serviço.
Para alterar a ação aplicada a um serviço, deve-se clicar com o botão direito do mouse sobre
ele na coluna Ação e escolher uma das opções, Aceita ou Rejeita, que aparecerão no menu
seguinte:
Figura 541 - Menu de execução da janela RPC (inserir, apagar, rejeitar ou aceitar).

747
Editando os parâmetros de um contexto DCE-RPC
A janela de propriedades de um contexto RPC será mostrada quando for selecionado o protocolo
TCP e a opção Proxy DCE-RPC na janela de edição de serviços. Por meio dela é possível definir o
comportamento do proxy DCE-RPC quando este for lidar com o serviço em questão.
A janela de propriedades de um contexto DCE-RPC
Figura 542 - Propriedades de um contexto DCE-RPC.

Ação padrão: Indicar a ação que será aplicada a todos os serviços remotos que não estiverem
presentes na lista de permissões. O valor aceita permite que o serviço seja utilizado e o valor
rejeita impede sua utilização.
Lista de permissões: Definir, de forma individual, as permissões de acesso aos serviços

remotos.

748
Habilitar Antivírus: Habilita a análise de vírus para os arquivos transferidos
Para executar qualquer operação sobre um serviço na lista de permissões, basta clicar com o
botão direito do mouse sobre ele na coluna RPC. Aparecerá o seguinte menu (Caso não exista
nenhum serviço selecionado, somente as opções Inserir e Apagar estarão presentes):
Figura 543 - Menu de execução da janela DCE-RPC.
 Inserir: Permitir a inclusão de um novo serviço na lista. Se algum serviço estiver

selecionado, o novo será inserido na posição selecionada. Caso contrário, o novo
serviço será incluído no final da lista.
 Excluir: Remover da lista o serviço selecionado.
 Lista de serviços: Contém uma lista pré-definida de serviços e seus respectivos
números. É possível acrescentar serviços que não estejam presentes nessa lista. Para
isso, basta clicar no campo logo abaixo da opção Apagar e digitar o código do novo
serviço.
Para alterar a ação aplicada a um serviço, deve-se clicar com o botão direito do mouse sobre
ele na coluna Ação e escolher uma das opções, Aceita ou Rejeita, que aparecerão no menu
seguinte:
Figura 544 - Menu de execução da janela DCE-RPC (inserir, apagar, rejeitar ou aceitar).

749
750
Configurando o Proxy MSN

751
33. Configurando o Proxy MSN
Este capítulo mostra para que serve e como configurar o proxy MSN.
33.1.1. Planejando a instalação
O que é o MSN Messenger?
MSN Messenger, ou apenas MSN, é um programa de mensagens instantâneas criado pela

Microsoft Corporation. O programa permite que um usuário da Internet converse com outro
que tenha o mesmo programa em tempo real por meio de conversas de texto, voz ou até com
vídeo. Ele é uma ferramenta gratuita com um grande número de funcionalidades, algumas
potencialmente prejudiciais ao ambiente coorporativo como a transferência de arquivos on-
line, fazendo com que as empresas busquem soluções para melhor trabalhar com este
serviço.
O que é o proxy MSN - Messenger do Aker Firewall?
Este proxy possui como função principal controlar um importante canal de trânsito de
informações que é o MSN Messenger, possibilitando que não se abra mão de seu uso, ao
mesmo tempo em que se evita a perda de produtividade. Integrado ao sistema de perfis de
acesso, esse sistema se adaptará à realidade das corporações, onde cada usuário terá
privilégios distintos.
As funcionalidades do produto baseiam-se em:
 Estar integrado ao sistema de perfil de acesso (permitindo controle por usuários e grupos).
 Definir white-lists e black-lists por perfil.
 Controlar o horário de uso.
 Controlar o tempo de uso por dia (configurado no perfil) para cada usuário.
 Controlar o envio/recebimento de arquivo (inclusive por tipo).
 Controlar convites para outros serviços (vídeo, áudio, games, etc.).
 Realizar um log de sessões.
Utilizando o proxy MSN
O MSN Messenger por padrão trabalha na porta TCP 1863, porém também pode se conectar
aos servidores por meio do protocolo HTTP e SOCKS. O Proxy MSN da Aker controla os dados
que trafegarão por meio de um proxy transparente (ver mais detalhes em Trabalhando com
proxies).
Para utilizar o proxy MSN do Aker Firewall é necessário a seguinte sequência de passos:

752
1. Definir os parâmetros genéricos do proxy MSN.
2. Criar os perfis de acesso desejados e associá-los aos usuários e grupos desejados. (Isso foi
descrito no capítulo chamado Perfis de acesso de usuários).
3. Associar a uma regra de filtragem possibilitando que os usuários possam utilizar o serviço
MSN (para maiores informações, veja o capítulo intitulado O Filtro de Estados).
33.2. Editando os parâmetros do Proxy MSN
Para utilizar o proxy MSN é necessário à definição de alguns parâmetros que determinarão
configuração do proxy MSN. Para acessá-la, deve-se:
Figura 545 - Proxy Messenger.
 Clicar no menu Aplicação da janela de administração do Firewall

 Selecionar o item Proxy Messenger
A janela de configuração de parâmetros do proxy MSN
 O botão OK fará com que a janela de configuração do proxy MSN seja fechada e as
aberta.
seja fechada.
Esta janela é composta por quatro abas:

753
Aba Tipos de Serviços
Figura 546 - Proxy Messenger – Aba Tipo Serviço.
Esta aba define os serviços adicionais que poderão ser utilizados por meio de uma conexão
MSN. Estes serviços poderão posteriormente ser controlados a partir das regras dos perfis de
cada usuário.
Para inserir um novo tipo de serviço, deve-se clicar com o botão direito e selecionar a opção
Novo.
Para remover um tipo de serviço, deve-se clicar com o botão direito sobre o serviço a ser
removido e escolher a opção Remover.
Para editar qualquer um dos campos de um serviço, basta clicar com o botão direito sobre a
coluna cujo valor se deseja alterar e modificar o dado diretamente no menu que irá aparecer.
É possível adicionar automaticamente vários serviços pré-configurados, bastando para isso
clicar no botão Adicionar Serviços Padrão, localizado na barra de tarefas.
Aba Mensagens

754
Figura 547 - Proxy Messenger – Aba Mensagens.
Esta aba permite configurar as mensagens que serão mostradas aos usuários internos e
externos quando eles não tiverem permissão de executar uma determinada ação por meio
do proxy Messenger.

755
Aba Controle de Acesso
Figura 548 - Proxy Messenger – Controle de acesso.
Essa aba controla o acesso dos usuários, por meio da vinculação de um passport a um perfil.
No campo Passport, seleciona-se uma entidade do tipo lista de e-mails, essa entidade será
associada a algum perfil definido no Firewall.
Por exemplo: *@aker.com.br --> perfil "Teste", isso significa que todos os usuários que
tiverem o login no MSN terminando por @aker.com.br irá automaticamente cair no perfil
teste.

756
Aba Configurações
Figura 549 - Proxy Messenger – Configurações.
Essa aba permite configurar a quantidade máxima de descritores (socket) e/ou arquivos que
o processo do proxy MSN pode abrir. O valor padrão é de 1024, mas pode chegar a até 8192
no máximo.
O Aker Firewall conta com a análise de vírus para arquivos transferidos. Para ativar essa
verificação marque a opção “Habilitar Antivírus no MSN” caso deseje que o firewall análise os
arquivos.
A opção “Permitir a passagem de arquivos se ocorrer erro no Antivírus” permite transferência

de arquivos infectados, caso o servidor de antivírus estiver indisponível.
Marque "Usar Antivírus Local" para que o firewall utilize o antivírus já incluído nele, caso
contrário, inclua a autenticação e o endereço de IP do seu servidor Antivírus.
33.3. Como calcular os tempos de navegação dos chats do MSN Messenger.

757
O que são quotas?
São limites em termos de tempo de acesso ao volume de dados por usuários na WEB. Elas são
utilizadas para controlar e racionalizar o tempo gasto de cada funcionário com acessos a
Internet. As quotas são definidas das seguintes formas:
 Quanto à periodicidade de acesso que pode ser: diariamente, semanalmente e

mensalmente;
 Quanto à quantidade de dias e horas disponíveis;
 Quanto ao volume de dados trafegados.
Primeiro deve-se configurar o Firewall, para isso siga os passos abaixo:
 Crie uma nova entidade de tipo “Quota”
Figura 550 – Criando nova entidade do tipo: Quota
Configure a nova entidade como no exemplo abaixo:

758
Figura 551 – Entidade tipo Quota
Agora uma nova regra deve ser criada para isso siga os passos abaixo:
 Dentro do Firewall o qual esteja configurando, selecione o menu Perfis;
 Dentro do Perfil selecione a opção MSN Messenger;
Crie uma nova regra, e nesta regra selecione a entidade tipo Quota que foi criada, e então
habilite a opção Logar;

759
Figura 552 – Criando uma nova regra
Agora deve-se criar uma entidade do tipo Lista de e-mails, liberando o domínio desejado;
Figura 553 – Criando entidades de Tipo: Lista de e-mails
No exemplo abaixo, todos os domínios estão sendo liberados;

760
Figura 554 – Entidade tipo Lista de e-mails
Agora deve-se criar uma regra no Perfil, que esteja passando pelo proxy;
Figura 555 – Perfis

761
Uma vez que tudo esteja configurado, verifique os logs do firewall filtrando pelo proxy MSN
o tempo de conexão. Este tempo é dado após o termino da conexão;
Figura 556 – Logs do Firewall

762
Configurando o DPI (Filtragem de
Aplicações – IDS/IPS)

763
34. Configurando o DPI – Deep Packet Inspection (Filtragem de Aplicações
– IDS/IPS)
Este capítulo mostra para que serve e como configurar O DPI - Deep Packet Inspection
(Filtragem de Aplicações – IDS/IPS).
34.1.1. Planejando a instalação
O que é a Filtragem de Aplicações?
Esta filtragem baseia-se no controle dos dados que estão passando por meio do Aker Firewall.
É possível analisar o conteúdo de protocolos e tipos reais de arquivos que estão trafegando,
independentemente de que porta de comunicação esteja utilizando e automaticamente
bloqueá-los ou colocá-los em uma prioridade de tráfego mais baixa, evitando o consumo de
banda com recursos desnecessários.
Esta filtragem pode ser realizada de forma global, tratando qualquer pacote que passe pelo
firewall ou por perfis de acesso. Em especial, os seguintes tipos de tráfego podem ser
identificados:
 Download de tipos de arquivos específicos via FTP, HTTP e aplicativos peer-to-peer.

 Conexões de controle de aplicativos peer-to-peer (GNUTELLA, Napster, Kazaa, etc) e de
comunicação (Messenger, ICQ, etc.) sobre qualquer mídia (TCP ou UDP direto e proxy
HTTP).
Utilizando o DPI - regras de Filtragem de Aplicação
Para utilizar o DPI (Filtragem de Aplicação – IDS/IPS) do Aker Firewall deve-se seguir os passos
abaixo:
1. Criar os filtros desejados;

2. Criar regras de filtragem de aplicações globais ou para os perfis de acesso desejados;

764
34.1.2. Criando Regras de Filtragem de Aplicações
Para acessar a janela do DPI deve-se:
Figura 557 – DPI – Deep Packet Inspection (Filtragem de aplicações – IDS/IPS).
 Clicar no menu Aplicação da janela de administração do Firewall.

 Selecionar o item DPI (Filtragem de Aplicações – IDS/IPS).

765
Janela do DPI (Filtragem de aplicações – IDS/IPS)
Figura 558 - DPI – Regras de Filtragem de Aplicações
Esta janela é composta por duas abas, uma com a definição das regras globais da filtragem de
aplicações e outra que permite a criação dos filtros que serão utilizados nestas regras e nas
regras de filtragem dos perfis de acesso.

aberta.
seja fechada.
DPI Deep Packet Inspection - Regras de Filtragem de Aplicação
Esta aba disponibiliza as regras de aplicação que serão utilizadas pelo firewall de forma global.
É possível também criar regras específicas para os perfis de acesso (para maiores informações
veja Cadastrando perfis de acesso).

766
Estas regras permitem, por exemplo, que determinados tipos de arquivos sejam bloqueados
de acordo com seu tipo real, independentemente de sua extensão ou protocolo que esteja
sendo utilizado para enviá-los. É possível também ao invés de bloqueá-lo, simplesmente
mudar a prioridade de um serviço ou tipo de arquivo sendo transmitido.
Uma das grandes utilizações destes filtros é para otimização do acesso à Internet. É possível,
por exemplo, que todos os usuários tenham um acesso rápido à Internet, porém quando estes
tentarem baixar arquivos cujos tipos não sejam considerados importantes, por exemplo, mp3,
vídeos, etc, a conexão sendo utilizada para transferir estes arquivos automaticamente fique
com uma largura de banda bastante reduzida.
disponíveis:
Figura 559 - Menu de operação sobre uma regra.

 Habilitar/Desabilitar: Habilitar ou desabilitar a regra selecionada, de acordo com seu
estado atual.
Origem: Especificar as origens da comunicação que o filtro estará inspecionando, para isso

767
Filtragem de Aplicações: Indicar quais os filtros que estarão ativos para as conexões que
forem em direção a um dos destinos especificados na regra e utilizando um dos serviços
também especificados. A definição dos filtros é realizada na janela de Filtragem de Aplicações.
Ação: Indicar a ação que será tomada pelo firewall caso um dos filtros especificados seja
aplicado. Ela consiste das seguintes opções:
 Aceita: Significa que a conexão será autorizada a passar por meio do firewall.
 Rejeita: Significa que a conexão não passará pelo firewall e será enviado um pacote
de reset para a máquina originária da comunicação.
 Descarta: Significa que a conexão não passará pelo firewall, mas não será enviado
nenhum pacote para a máquina de origem.
 Mudar prioridade: Indica que a conexão será aceita, porém com uma prioridade
diferente, que deverá ser especificada na coluna Canal.
 Bloqueia origem: Indica que a máquina que originou a conexão deverá ser bloqueada
por algum tempo (isso significa que todas as conexões originadas nela serão
recusadas). A coluna Tempo de Bloqueio serve para especificar por quanto tempo a
máquina permanecerá bloqueada.
 Canal: Esta coluna só estará habilitada caso a ação Mudar prioridade tenha sido
selecionada. Ela indica a nova prioridade que será atribuída à conexão. Deve-se inserir
uma entidade do tipo canal (para maiores informações veja o capítulo Cadastrando
entidades).
Tempo de bloqueio: Esta coluna só estará habilitada caso a ação Bloqueia origem tenha sido
selecionada. Ela indica por quanto tempo a máquina origem será bloqueada.
34.2. Criando Filtros de Aplicações
Os filtros de aplicações informam ao firewall o que deve ser buscado em uma comunicação
para possibilitar a identificação de um determinado protocolo ou tipo de arquivo. O produto
já vem com vários filtros pré-configurados, porém é possível que o administrador configure
novos filtros para atender às suas necessidades.
Para acessar a janela de criação dos Filtros de Aplicações deve-se:

768
Figura 560 – DPI (Filtragem de aplicações – IDS/IPS).
 Clicar no menu Aplicação da janela de administração do Firewall.

 Selecionar o item DPI (Filtragem de Aplicações – IDS/IPS).
 Clicar na aba Filtros de Aplicações.
A janela de criação de Filtros de Aplicações
Figura 561 – Filtro de Aplicações.
Esta janela está dividida em três partes. Na parte superior aparece uma lista dos filtros
atualmente criados. Ao selecionar um filtro, serão mostrados na parte inferior da janela as
operações de pesquisa relacionadas a ele. E na parte esquerda da janela é exibido a divisão
das aplicações por grupos de assinaturas.
769
Nome: Nome pelo qual o filtro será referenciado no restante do firewall;
Grupo: Exibe o grupo que o filtro foi designado;
Filtros predefinidos não podem ser editados, apenas os filtros criados pelo usuário
podem ser editados. Filtros criados pelo usuário por padrão são designados para
o grupo “LOCAL".
Não é possível criar novos grupos ou remover grupos existentes.
Protocolo: Indica em que protocolo o ataque será pesquisado. As seguintes opções estão
disponíveis:
Figura 562 - Opções de protocolos
 UDP: Procura dados diretamente no protocolo UDP.

 TCP: Procura dados diretamente no protocolo TCP.
Filtros que vem da base podem ser do tipo IP. Usuários só podem criar filtros com
os protocolos TCP e UDP.
Porta1: Define a porta primaria do fluxo de pacotes;
Porta2: Define a porta secundária destino;
Direção: Direção em que os dados serão analisados para verificar a existência da sequência
definida em O que filtrar;
Figura 563 - opções de direção
Concatenação das operações: Define a regra de concatenação para a regra em questão, as

opções disponíveis são:
E: Ao receber um pacote é necessário que todas as operações do filtro em questão sejam

analisadas;

770
OU: Ao receber um pacote é necessário que apenas uma das operações do filtro em questão
sejam analisadas;
Apenas operações de filtros locais são exibidos.
Figura 564 - Opções de concatenação
Parte 2
Operações
O que filtrar: Neste campo deve-se colocar a sequência de bytes que identifica o ataque;
Lugar da busca: Especificar se a procura deve ser a partir do início do arquivo ou da

comunicação ou em um ponto qualquer do mesmo;
Figura 565 - Opções de busca
Iniciar em (bytes): Este campo serve para especificar em que posição do fluxo de dados deve-
se começar a pesquisa;
Profundidade da procura: Este campo indica a quantidade de bytes que será analisada a
partir da posição de início de pesquisa;
Sequência de bytes: Definir a sequência de dados que será pesquisada nos dados do
arquivo/protocolo ou nos metadados (cabeçalho);
Figura 566 - Opções de sequência de bytes
Url de referência: URL que permite obter maiores informações sobre o ataque (este campo é
puramente informativo);
771
Para executar qualquer operação sobre um filtro, basta clicar sobre ele com o botão direito e
a seguir escolher a opção desejada no menu que irá aparecer. As seguintes opções estão
disponíveis:
Figura 567 - Menu de operação sobre um filtro.
 Inserir: Permite a inclusão de um novo filtro na lista.

 Copiar: Copiar o filtro selecionado para uma área temporária.
 Colar: Copiar o filtro da área temporária para a lista.
 Excluir: Remover da lista o filtro selecionado.
Para alterar o nome do filtro ou a forma de concatenação das operações do mesmo, basta
clicar com o botão direito sobre a coluna correspondente. Para incluir, editar ou excluir
operações de um determinado filtro, deve-se selecioná-lo na parte superior da janela e a
seguir clicar com o botão direito sobre qualquer uma das operações. O seguinte menu
aparecerá:
Figura 568 - Menu de operação para acessar o nome do filtro ou forma de concatenação.
 Inserir: Permite a inclusão de uma nova operação para o filtro selecionado.

 Editar: Abrir a janela de edição para modificar a operação selecionada.
 Remover: Remover da lista a operação selecionada.
Ao editar uma operação, a seguinte janela será mostrada:

772
Figura 569 - Operações de filtragem.

773
Configurando IDS/IPS

774
35. Configurando IDS/IPS
Este capítulo mostra as funções oferecidas pelo conjunto IPS/IDS e como realizar sua
configuração.
Sobre o módulo de IPS/IDS
O módulo de IPS/IDS do Aker Firewall reúne diversas funções para identificação e bloqueio
de ataques em tempo real. Este módulo trabalha de forma integrada com o firewall e
consegue, com isso, oferecer um alto grau de proteção. O módulo interno vem com vários
ataques pré-configurados, sendo possível sua atualização por meio da Internet. Além do
módulo interno, é possível também utilizar um IDS externo, de forma a complementar ainda
mais o nível de segurança da solução.
Para o funcionamento satisfatório do modulo IPS/IDS se sugere o uso mínimo de

2 Gigas de memória RAM (o recomendado é 6 Gigas).
35.1. Acessando o módulo IPS/IDS
Para ter acesso a janela de configuração dos parâmetros de IPS/IDS, deve-se:
Figura 570 - IPS/IDS.

775
 Clicar no menu Segurança na janela do Firewall que queira administrar.
 Selecionar o item IPS/IDS.

A janela de configuração do IDS/IPS
Esta janela é composta por quatro abas, cada uma responsável por um aspecto distinto da
configuração do módulo de IDS.

aberta.
seja fechada.
Regras IDS
Figura 571 - IPS/IDS – Regras IDS.

776
Esta aba contém todas as regras de IDS definidas no Aker Firewall. Cada regra será mostrada
em uma linha separada, composta de diversas células. Caso uma das regras esteja
selecionada, ela será mostrada em uma cor diferente.
disponíveis:
Figura 572 - Menu para execução de operação de regras.

 Habilitar/Desabilitar: Habilitar ou desabilitar a regra selecionada, de acordo com seu
estado atual.
Origem: Especificar as origens da comunicação que o filtro estará inspecionando, para isso
Filtros IDS: Nesta coluna deve-se selecionar os filtros IDS que estarão ativos para esta
comunicação. Deve-se escolher um dos grupos de filtros disponíveis e posteriormente, caso
seja desejado, habilitar individualmente os filtros dentro de cada grupo. Uma vez inseridos os
filtros, é possível clicar sobre esta mesma coluna com o botão direito, escolher o nome do
grupo de filtros desejado e indicar se os ataques pertencentes a este grupo devem ser
selecionados automaticamente, opção Selecionar todo o grupo, ou manualmente por meio
da opção Seleção manual.
777
Ação: Esta coluna indica a ação que será tomada pelo firewall caso um dos filtros
especificados seja aplicado. Ela consiste das seguintes opções:
Ignora: Significa que o ataque será ignorado pelo firewall.
Bloqueia: Indica que a máquina que originou a conexão deverá ser bloqueada por algum
tempo (isso significa que todas as conexões originadas nela serão recusadas).
Tempo de Bloqueio: Esta coluna indica por quanto tempo uma máquina atacante
permanecerá bloqueada.
Filtros IDS
Figura 573 - IPS/IDS – Filtros IDS.
Esta janela serve para se ver os filtros de IDS que estão disponíveis no firewall bem como criar
novos filtros. Ela consiste de uma lista com os filtros atualmente criados. É possível ver esta
lista de três maneiras distintas: por grupo de filtros (conforme mostrado no tópico anterior),
por classe de ameaça ou uma lista linear com todos os filtros. O campo Organizar por,
localizado na parte superior da janela permite a escolha da forma de visualização mais
adequada.
Organizar por: Permite que o usuário selecione o modo de exibição, as opções disponíveis
são:

778
 Grupos de filtros;
 Classes de ameaça;
 Mostrar todos os filtros;
Nome: Nome pelo qual o filtro será referenciado no restante do firewall;
Grupo: Exibe o grupo que o filtro foi designado.
Filtros predefinidos não podem ser editados, apenas os filtros criados pelo usuário
podem ser editados. Filtros criados pelo usuário por padrão são designados para
o grupo “LOCAL".
Não é possível criar novos grupos ou remover grupos existentes.
Classificação: Classificação que o filtro está atribuído.
Figura 574 - Classificações
disponíveis:
779
Figura 575 - Opções de protocolos
Filtros que vem da base podem ser do tipo IP. Usuários só podem criar filtros com
os protocolos TCP e UDP.
definida em O que filtrar.
Concatenação das operações: Define a regra de concatenação para a regra em questão, as

opções disponíveis são:
E: Ao receber um pacote é necessário que todas as operações do filtro em questão sejam

analisadas;
OU: Ao receber um pacote é necessário que apenas uma das operações do filtro em questão
sejam analisadas;
Apenas operações de filtros locais são exibidos.
Figura 576 - Opções de concatenação
Parte 2
Operações
O que filtrar: Neste campo deve-se colocar a sequência de bytes que identifica o ataque.

780
Lugar da busca: Especificar se a procura deve ser a partir do início do arquivo ou da
comunicação ou em um ponto qualquer do mesmo.
Iniciar em (bytes): Este campo serve para especificar em que posição do fluxo de dados deve-
se começar a pesquisa.
Profundidade da procura: Este campo indica a quantidade de bytes que será analisada a
partir da posição de início de pesquisa.
Url de referência: URL que permite obter maiores informações sobre o ataque (este campo é
puramente informativo).
Grupos dos filtros:
Ao selecionar um filtro é mostrada na parte inferior da janela uma URL de referência, que
permite ao administrador obter maiores informações sobre o ataque.
Para inserir um novo filtro, deve-se clicar com o botão direito sobre a lista de filtros e
selecionar a opção Novo filtro. A seguinte janela será mostrada:
Figura 577 - Filtros IDS – Configuração do filtro.
Nome do filtro: Nome pelo qual o filtro será referenciado no restante do firewall;
URL de referência: URL que permite obter maiores informações sobre o ataque (este campo
é puramente informativo);

781
Grupo: Exibe o grupo que o filtro foi designado;
Grupos predefinidos não podem ser editados, apenas os filtros criados pelo usuário podem
ser editados. Filtros criados pelo usuário por padrão são designados para o grupo “LOCAL":
disponíveis:
Figura 578 - Opções de protocolo
Classificação: Classe de ameaça que será detectado pelo filtro, as opções disponíveis são:
Figura 579 - Classe de ameaças
definida em O que filtrar;
Figura 580 - Opções de direção
A janela de criação/edição de filtros

782
 O botão OK e novo fará com que a janela seja fechada, as alterações salvas porém a janela
permaneça aberta. Isso é particularmente útil quando se deseja cadastrar vários ataques
seguidamente.
 O botão Cancelar, fará com que todas as alterações feitas sejam desprezadas e a janela
seja fechada.
Portscan
Figura 581 - IPS/IDS - Portscan.
Esta aba serve para configurar a proteção contra ataques de varreduras de portas. Estes
ataques consistem em tentar acessar todas ou várias portas de comunicação em uma ou mais
máquinas de uma rede. Ele é normalmente o primeiro ataque realizado por um hacker, já que
objetiva determinar quais os serviços e máquinas que estão ativos em uma rede.
Para configurar a proteção contra varredura de portas, os seguintes parâmetros devem ser
preenchidos:

783
Detecção de portscan ativada: Esta opção deve estar marcada para ativar o suporte detecção
de varreduras de portas.
Número permitido de portas varridas: Este campo indica o número máximo de portas que
podem ser acessadas em uma mesma máquina. Tentativas de acesso de um número maior
de portas farão que a máquina origem seja bloqueada.
Número permitido de máquinas x portas: Este campo indica o número máximo de portas
que podem ser acessadas em uma ou mais máquinas. Para este parâmetro é a mesma coisa
se um potencial atacante acessa duas portas em uma máquina ou uma porta em duas
máquinas. Tentativas de acesso de um número maior de portas farão que a máquina origem
seja bloqueada.
Exemplo: Se o valor deste parâmetro for 12, uma pessoa qualquer poderia acessar as
seguintes combinações sem ser considerado um ataque:
 12 portas por máquina em uma máquina

 6 portas por máquina em 2 máquinas
 1 porta por máquina em 12 máquinas
Tempo limite de detecção: Este campo indica o tempo em que as informações de acesso
serão mantidas pelo firewall. Valores muito baixos possibilitarão varreduras de portas muito
lentas (por exemplo, 1 porta por hora). Valores muito altos ocuparão memória
desnecessariamente.
Bloquear a máquina do ataque por: No caso de detecção de um ataque de varredura de

portas, esta coluna indica por quanto tempo a máquina atacante permanecerá bloqueado,
sem poder iniciar nenhuma conexão por meio do firewall.
Entidades protegidas: Esta lista indica as entidades (máquinas, redes ou conjuntos) que
estarão protegidas contra ataques de varreduras de portas.
Para incluir uma nova entidade nesta lista, deve-se proceder de um dos seguintes modos:

diretamente para a lista.
 Abrir o menu de contexto na lista entidades protegidas com o botão direito do mouse
ou com a tecla correspondente no teclado e selecionar Adicionar entidades, para
então escolher aquelas que serão efetivamente incluídas na lista.
Para remover uma entidade da lista, deve-se marcá-la e pressionar a tecla delete, ou escolher
a opção correspondente no menu de contexto, acionado com o botão direito do mouse ou
com a tecla correspondente:

784
Entidades que podem fazer portscan: Esta lista indica as entidades (máquinas, redes ou
conjuntos) que poderão executar ataques de varreduras de portas. Esta lista serve
basicamente para liberar acesso a ferramentas de detecção de vulnerabilidades ou de
monitoração.
Para incluir uma nova entidade nesta lista, deve-se proceder de um dos seguintes modos:

diretamente para a lista.
 Abrir o menu de contexto na lista entidades que podem fazer portscan com o botão
direito do mouse ou com a tecla correspondente no teclado e selecionar Adicionar
entidades, para então escolher aquelas que serão efetivamente incluídas na lista.
Para remover uma entidade da lista, deve-se marcá-la e pressionar a tecla delete, ou escolher
a opção correspondente no menu de contexto, acionado com o botão direito do mouse ou
com a tecla correspondente:
IDS Externo
Figura 582 - IPS/IDS – IDS Externo.

785
Nessa aba são configurados todos os parâmetros que propiciam que agentes de IDS Externo
acrescentem regras de bloqueio no Firewall. Os seguintes parâmetros estão disponíveis:
Habilitar agente de IDS: Esta opção deve estar marcada para ativar o suporte a agentes IDS
externos e desmarcada para desativá-lo. (ao se desabilitar o suporte a agentes IDS, as
configurações antigas continuam armazenadas, mas não podem ser alteradas).
Agente de IDS a ser usado: Esse campo indica o agente IDS que estará habilitado a incluir
regras de bloqueio no firewall. Esse agente deve ter sido previamente cadastrado no firewall.
Para maiores informações veja o capítulo intitulado Cadastrando entidades.
Status permite ao administrador verificar o status da conexão com o agente IDS. Um valor
verde, com a palavra Conectados, indica que o firewall conseguiu autenticar-se e estabelecer
com sucesso a comunicação com o agente.
O botão Atualizar fará com que o status da conexão seja renovado.
O botão Remover fará com que todas as regras cadastradas pelo agente IDS sejam excluídas
do firewall.
35.2. Configurando os parâmetros DPI, e IDS/IPS.
Esta funcionalidade proporciona ao Aker Firewall uma poderosa plataforma para o sistema de
detecção e prevenção de intrusões (IDS/IPS) e também para o filtro de aplicações. Atuando em modo
passivo e ativo, analisando o tráfego de rede de acordo com as regras definas pelo usuário, e ainda
executando as ações para cada tipo de ameaça detectada. Nesta janela o usuário pode criar variáveis
para análise e tratamento automático, configuração da atualização automática da base de
assinaturas de ataques dos filtros DPI (Deep Packet Inspection) e os filtros IDS/IPS, ou fazer esta
atualização no momento desejado.
Para o funcionamento satisfatório do modulo IPS/IDS se sugere o uso mínimo de 2 Gigas de

memória RAM (o recomendado é 6 Gigas).
Para acessar a Janela de configurações DPI/IPS, siga os passos a seguir:

786
Figura 583 - IPS/IDS
 No Firewall desejado, acesse o menu Configurações do sistema;

 Clique duas vezes na opção DPI/IPS parameters;
 A janela a seguir será exibida;
A janela IPS/IDS possui três abas que serão abordadas a seguir:
Configurações geral:
Nesta janela é possível que o usuário crie variáveis (entidades) que serão usadas pelos filtros
melhorando a capacidade de identificação de padrões de dados dentro das conexões,
possibilitando assim o tratamento automático.
Esta aba possui duas colunas:
Nome: Nome definido para a variável em questão;

Ex: HOME_NET, FTP_PORTS
Valor: O valor a ser analisado;

Ex: any,(21,2100,3535)

787
Figura 584 - Configuração geral
Download das bases de filtros:
Esta janela permite que o usuário configure o download automático da base de assinaturas
de ataques dos filtros DPI (Deep Packet Inspection) e os filtros IDS/IPS.
A base de assinaturas do usuário e atualizada, de acordo com a sua licença sendo que:
 Usuários que possuam licença básica: Esta licença permite que o usuário receba
as assinaturas de IDS/IPS e de filtros de aplicação da Aker.
 Usuários que possuam licença avançada: Esta licença permite que o usuário
receba todas as assinaturas disponíveis da base Sourcefire VRT Certified Rules.

788
Figura 585 - Download das bases de filtros
Habilitar download automático das bases de filtros: Permite que o usuário define o período
de atualização automática dos filtros.
Período: Neste campo o usuário deve definir o período que a atualização será feita, as opções
disponíveis são:
o Diário;
o Semanal;
o Mensal;
Hora: Neste campo o usuário deve selecionar o horário que a atualização automática será
feita;
Estado das bases de filtros
Esta janela permite que o usuário faça a atualização de sua base de assinaturas de ataques
atualizando os filtros DPI (Deep Packet Inspection) e filtros IDS/IPS no momento desejado.
Para fazer a atualização simplesmente clique no botão .

789
Figura 586 - Estado das bases de filtros
35.3. Visualizando os IPs bloqueados
É possível a qualquer momento visualizar a lista de IPs que estão bloqueados no firewall,
devido à inclusão de uma regra de bloqueio temporária do módulo de IDS/IPS.
Para ter acesso a janela de IPs bloqueados, deve-se:

790
Figura 587 -: IPs bloqueados.
 Clicar no menu Informação na janela do Firewall que queira administrar.

 Selecionar o item IPs bloqueados.

791
A janela de IPs bloqueados
Figura 588 - IPs bloqueados.
Esta janela consiste de uma lista onde cada IP bloqueado é mostrado em uma linha, com as
seguintes informações:
IP Bloqueado: Endereço IP de uma máquina que foi bloqueada;
Inserido por: Módulo que inseriu a regra de bloqueio temporária;
Data de expiração: Até quando este IP permanecerá bloqueado;
Para remover um IP da lista, basta selecioná-lo e então clicar com o botão direito. Ao ser
mostrado o menu pop-up, basta selecionar a opção Remover IP;
Para atualizar a lista de IPs, basta clicar com o botão direito e selecionar a opção Atualizar no
menu pop-up.

792
35.4. Instalando o Plugin para IDS Externo no Windows
No caso de se desejar utilizar um IDS externo, além da configuração mostrada em IDS Externo,
faz-se necessário a instalação do plug-in para possibilitar a comunicação deste IDS externo
com o firewall. A instalação do plug-in para IDS é bastante simples. Efetue o download no site
da Aker (http://www.aker.com.br), inicie o programa que acabou de efetuar o download.
O programa inicialmente mostra uma janela pedindo uma confirmação para prosseguir com
a instalação. Deve-se clicar no botão Continuar para prosseguir com a instalação. A seguir
será mostrada uma janela com a licença de uso do produto e pedindo uma confirmação para
continuar. Deve-se clicar no botão Eu Concordo para continuar com a instalação.
Configuração do plug-in do Aker Firewall para IDS Externo
Depois de realizada a instalação do plug-in é necessário proceder com a sua configuração.

Esta configuração permite fazer o cadastramento de todos os firewalls que serão notificados,
bem como a definição de que regras serão acrescentadas.
Para ter acesso ao programa de configuração deve-se clicar no menu Iniciar, e selecionar o
grupo Aker Firewall. Dentro de este selecionar, o grupo Detecção de Intrusão e então a opção
Detecção de Intrusão. A seguinte janela será mostrada:

793
Figura 589 - Configuração IDS – configuração.
Esta janela consiste de 4 abas. Na primeira, que está sendo mostrada acima, é onde é
realizada a configuração do plug-in. Ela consiste de uma lista com o nome das diversas
configurações criadas pelo administrador e que depois serão mostradas como opção de ação
no console de administração do Real Secure. Pode-se especificar o nome de uma das
configurações quando na execução de um evento ou utilizar o botão Default para especificar
uma configuração que será executada por padrão, isto é, quando não for especificada o nome
de nenhuma configuração.
Para criar uma nova configuração, basta clicar no botão Inserir, localizado na parte esquerda
superior da janela. Fazendo isso, uma configuração em branco será criada. Para editar os
parâmetros desta ou de qualquer outra configuração basta clicar sobre seu nome e a seguir
modificar os parâmetros desejados.

794
Significado dos parâmetros
Nome da configuração: Este é o nome que será mostrado no console de administração do

Real Secure, NFR, Dragon Enterasys e Snort. Quando selecionado, executará as ações
definidas pelo administrador.
Notificação: Este campo permite definir que ações serão executadas pelo firewall quando
uma regra de bloqueio for acrescentada pela execução da configuração. Caso a opção Padrão
seja selecionada, então as ações associadas à mensagem Regra de bloqueio IDS acrescentada
serão executadas. Caso contrário pode-se especificar exatamente que ações devem ser
tomadas. Para maiores informações sobre a configuração das ações, veja o capítulo
Configurando as ações do sistema.
Bloqueio: Este campo permite definir que tipo de bloqueio será realizado quando a
configuração for executada. Existem três opções possíveis que podem ser selecionadas
independentemente (quando mais de uma opção for selecionada, a regra bloqueará pacotes
que se enquadrem em todas as opções marcadas e não em apenas algumas):
Origem: Os pacotes que tiverem endereço origem igual ao da regra serão bloqueados.
Destino: Os pacotes que tiverem endereço destino igual ao da regra serão bloqueados.
Serviço: Os pacotes que utilizarem serviço igual ao da regra serão bloqueados. Se esta opção
for marcada, deve-se selecionar quais protocolos estarão associados ao serviço por meio do
campo Protocolo. Isto é necessário devido a uma limitação do Real Secure na medida em que
não fornece o protocolo de um determinado serviço, apenas seu número. Como o NFR
inspeciona apenas tráfego TCP, esse protocolo deve ser selecionado no caso desse IDS.
Tempo de ativação da regra: Este campo permite definir por quanto tempo as regras
acrescentadas por esta configuração ficarão ativas. Caso a opção Tempo de ativação esteja
marcada, deve-se especificar o tempo, em segundos, que a regra ficará ativa. Caso esta opção
não esteja marcada, a regra será mantida até a próxima reinicialização do firewall.
Firewalls Usados: Este campo serve para definir em quais firewalls as regras temporárias
serão acrescentadas. Para cada firewall deve-se configurar uma senha de acesso e seu
endereço IP. A senha de acesso deve ser a mesma configurada na definição da entidade do
agente IDS (para maiores informações veja o capítulo Cadastrando Entidades). Ao clicar no
botão incluir ou editar, a seguinte janela será mostrada:

795
Figura 590 - Firewalls usados.
Os firewalls definidos acima devem ser adicionados às configurações fazendo-se os seguintes

passos: Selecione os firewalls requeridos; Pressione o botão de seta -> para que os firewalls
selecionados apareçam na lista da direita da janela.
O botão de Flush é utilizado para apagar as regras dinâmicas adicionadas pelos IDS nos
firewalls selecionados.
Após realizar todas as modificações deve-se clicar no botão Aplicar. Caso esteja utilizando o
Real Secure será então mostrada uma janela informando que os Global Responses do Real
Secure serão alterados e pedindo uma confirmação para continuar. Deve-se clicar no botão
Sim para salvar a nova configuração.

796
Log
Figura 591 - Configuração de IDS – log.
Todos os bloqueios enviados pelo IDS serão registrados nesta janela.

797
Eventos
Figura 592 - Configuração de IDS – eventos.
Esta aba é muito útil para acompanhar o funcionamento do agente. Ela consiste de uma lista
com diversas mensagens ordenadas pela hora. Ao lado de cada mensagem existe um ícone
colorido, simbolizando sua prioridade.

798
35.5. Utilizando a Interface Texto (via SSH-fwportscan) - Portscan
A utilização da Interface Texto (via SSH) na configuração do suporte ao Portscan é bastante

simples e possui todos os recursos da Interface Remota (E possível usar todos os comandos
sem o prefixo “FW”, para isso execute o comando “fwshell”, então os comandos poderão ser
Localização do programa: /aker/bin/firewall/fwportscan
Sintaxe:
fwportscan [ajuda | mostra | ativa | desativa]

fwportscan [max_portas | max_acessos] <numero>
fwportscan [tempo_deteccao | tempo_bloqueio] <tempo em segundos>
fwportscan [inclui | remove] protegida <entidade>
fwportscan [inclui | remove] autorizada <entidade>
Ajuda do programa:
fwportscan - Configura parâmetros da portscan

Uso: fwportscan [ajuda | mostra | ativa | desativa]
mostra = mostra a configuração atual.
ativa = ativa proteção contra portscan.
desativa = desativa proteção contra portscan.
max_portas = define o número máximo de portas que podem ser acessadas por uma máquina
em um mesmo servidor sem que isso seja considerado portscan.
max_acessos = define o número máximo de acessos distintos (portas X No. de servidores) que
podem ser acessadas por uma máquina, sem ser considerado portscan.
tempo_deteccao = define o tempo, em segundos, que um acesso realizado por uma máquina
não mais será contabilizado em futuras detecções contra portscan
tempo_bloqueio = define o tempo, em segundos, que uma máquina será bloqueada após se
detectar um portscan.
inclui = inclui uma nova entidade na lista especificada.
remove = remove uma entidade da lista especificada.
ajuda = mostra esta mensagem.
Para inclui/remove temos:

799
protegida = inclui/remove entidade da lista de entidades protegidas contra portscan.
autorizada = inclui/remove entidade da lista de entidades que podem realizar portscan.
Exemplo 1: (Ativando o suporte a detecção de portscan)
#/aker/bin/firewall/fwportscan ativa
Exemplo 2: (Mostrando a configuração atual da proteção contra portscan)
#/aker/bin/firewall/fwportscan mostra
35.6. Utilizando a Interface Texto (via SSH-fwids) - IDS Externo
A utilização da Interface Texto (via SSH) na configuração do suporte ao IDS Externo é

bastante simples e possui todos os recursos da Interface Remota (E possível usar todos os
comandos sem o prefixo “FW”, para isso execute o comando “fwshell”, então os comandos
poderão ser acessados sem o prefixo “FW”).
Localização do programa: /aker/bin/firewall/fwids
Sintaxe:
fwids [habilita | desabilita | mostra | limpa | ajuda]

fwids agente <entidade>
fwids bloqueia [origem <ip origem>] [destino <ip destino>]
[servico <servico/protocolo>] [tempo]
Ajuda do programa :
fwids - Configura parâmetros do agente IDS externo

Uso: fwids [habilita | desabilita | mostra | limpa | ajuda]
fwids agente <entidade>

800
fwids bloqueia [origem <ip origem>] [destino <ip destino>]
[servico <servico/protocolo>] [tempo]
habilita = habilita o funcionamento de agentes IDS externos

desabilita = desabilita o funcionamento de agentes IDS externos
bloqueia = inclui uma regra de bloqueio temporária
limpa = remove todas as regras de bloqueio temporárias
agente = especifica nome da entidade com dados do agente
Para bloqueia temos:

origem = Especifica que se deve bloquear conexões originadas no
endereço IP especificado
destino = Especifica que se deve bloquear conexões destinadas ao
endereço IP especificado
servico = Especifica que se deve bloquear conexões que utilizem o

serviço especificado. Neste caso, deve-se especificar o
serviço como a porta, para os protocolos TCP e UDP, o
tipo de serviço, para ICMP, ou o número do protocolo, no
caso de outros protocolos (ex: 23/tcp, 53/udp, 57/outro)
tempo = tempo, em segundos, no qual a regra permanecera ativa. No
caso de não ser especificado, a regra ficara ativa até a
próxima inicialização do firewall
Exemplo 1: (Habilitando o suporte a detecção de intrusão)
#/aker/bin/firewall/fwids habilita
Exemplo 2: (Definindo o agente IDS)
#/aker/bin/firewall/fwids agente Agente_IDS
A entidade Agente_IDS deve ter sido previamente cadastrada no sistema. Para maiores
informações sobre como cadastrar entidades no Aker Firewall , veja o capítulo intitulado
Cadastrando Entidades.
Exemplo 3: (Mostrando a configuração atual)

801
#/aker/bin /firewall/ fwids mostra
---------------------------
Agente IDS externo: habilitado
Agente: Agente_IDS
Exemplo 4: (Acrescentando uma regra de bloqueio da máquina 192.168.0.25 para a

máquina 10.0.0.38, no serviço WWW, porta 80 do protocolo TCP, por uma hora)
#/aker/bin/firewall/ fwids bloqueia origem 192.168.0.25 destino 10.0.0.38 servico 80/ tcp
3600.

802
Configurações TCP/IP

803
36. Configurações TCP/IP
Este capítulo mostra para que serve e como configurar a rede no Aker Firewall.
36.1. Configuração TCP/IP
Esta opção permite configurar todos os parâmetros de TCP/IP do firewall por meio da
Interface Remota. É possível configurar os endereços de interfaces de rede, DNS e
roteamento básico e avançado, bem como as opções de PPPoE, 3G/4G e Servidor/Relay
DHCP.
Para ter acesso à janela de configuração TCP/IP deve-se:
Figura 593 - TCP/IP.
 Clicar no menu TCP/IP na janela de administração do firewall.

804
36.2. DHCP
Esta janela permite que o usuário configure os parâmetros DHCP do firewall. A seguir mais
informações sobre a opções desta janela.
Para ter acesso à janela de configuração DHCP, deve-se:
Figura 594 - DHCP.
 Clicar no menu TCP/IP na janela do Firewall que queira administrar.

 Selecionar o item DHCP

805
Figura 595 - Servidor DHCP.
Nesta aba são definidas as opções do firewall em relação ao serviço DHCP. Ela consiste das
seguintes opções:
Não está usando DHCP: Ao selecionar essa opção, o firewall não atuará como servidor DHCP
nem efetuará relay entre redes conectadas a ele.
Relay DHCP entre redes: Permitir que se defina que o firewall realizará o relay de pacotes
DHCP entre as redes selecionadas. Ela é utilizada quando se possui apenas um servidor DHCP
e se deseja que ele forneça endereços para máquinas localizadas em sub-redes distintas,
conectadas diretamente ao firewall.

806
Figura 596 - Relay DHCP entre redes.
Ao selecioná-la, deve-se especificar em Interfaces de Escuta as interfaces nas quais o firewall

escutará broadcasts DHCP e os encaminhará para os servidores, especificados em Servidores
DHCP. No caso de haver mais de um servidor, o firewall encaminhará as requisições para
todos e retornará ao cliente a primeira resposta recebida.
Servidor DHCP Interno: Esta opção é designada para redes pequenas que não possuem um
servidor DHCP ou que possuíam em um modem ADSL. Ela permite que o firewall atue como
um servidor DHCP.

807
Figura 597 - Servidor DHCP interno.
Ao selecioná-la, deve-se especificar um ou mais Escopos de endereços, i.e. a faixa de

endereços, configurações DNS, Wins/NBT e WINS/NBT Node Type, exceções, Gateway padrão
e reservas de endereços IP que serão atribuídos aos clientes.
Os IPs reservados não podem estar dentro da faixa de IPs configurada para distribuição.
Exemplo: Para Reservar o IP: 10.4.0.25, o usuário deve criar um escopo com IP inicial 10.4.0.1 e IP
final 10.4.0.24, deixando o IP que será reservado (10.4.0.25) fora da faixa de IPs. Os demais escopos
com essa mesma faixa de IPs não podem conter o IP reservado (10.4.0.25), sendo assim, o IP inicial
de um segundo escopo deve iniciar em 10.4.0.26.
O firewall enviará aos clientes seu endereço como o servidor de DNS, e seu domínio como nome
do domínio para estes clientes.

808
36.3. DNS
Para ter acesso à janela de configuração DNS deve-se:
Figura 598 - DNS.
 Clicar no menu TCP/IP do firewall que queria administrar.
 Selecionar o item DNS.

809
Figura 599 - TCP/IP - DNS
Nesta pasta são configuradas todas as opções relacionadas com a resolução de nomes ou
DNS. Ela consiste dos seguintes campos:
Host: Nome da máquina na qual o firewall está rodando.
Domínio: Nome do domínio no qual o firewall está rodando.
Ativar DNS: Esta opção deve ser marcada para ativar a resolução de nomes via DNS e
desmarcada para desativá-la.
Servidor primário: Definir o servidor DNS primário que será consultado para se resolver um
nome. Ele é obrigatório se a opção DNS ativo estiver marcada.
Servidor secundário: Definir o servidor DNS secundário que será consultado se o primário
estiver fora do ar. Ele é opcional.
Servidor terciário: Definir o servidor DNS terciário que será consultado se o primário e os
secundários estiverem fora do ar. Ele é opcional.
36.4. Interfaces de Rede
Para ter acesso à janela de configuração Interfaces de rede deve-se:

810
Figura 600 - Interfaces de rede.
 Clicar no menu TCP/IP do firewall que queira administrar.
 Selecionar o item Interfaces de rede.
Figura 601 - Interfaces de redes.
Nesta aba podem ser configurados os endereços IP atribuídos a todas as interfaces de rede
reconhecidas pelo firewall. Ela consiste de uma lista onde são mostrados os nomes de todas
as interfaces e os endereços IP e máscaras de cada uma (é possível configurar até 31
endereços distintos para cada interface). Caso uma interface não tenha um endereço IP

811
configurado, os campos correspondentes ao endereço e à máscara serão mostrados em
branco. Possui os seguintes campos:
IPv4
IP: Endereço da rede. Não pode ser informado um endereço autoconfigurado.
Máscara de rede: Informa o endereço da máscara de rede.
Ponto a ponto: Configuração ponto a ponto
IPv6
IP: Endereço da rede. Não pode ser informado um endereço autoconfigurado.
Prefixo: Informam quantos bits a rede é composta.
Alias
Para configurar ou modificar o endereço IP ou máscara de uma interface e até mesmo atribuir
um alias para a interface, deve-se clicar sobre a entrada do dispositivo correspondente e usar
o menu suspenso que irá surgir:
Figura 602 - Menu: configuração ou modificação de endereço IP.
VLAN
Para criar uma VLAN associada a uma interface, deve-se clicar na interface desejada no lado
esquerdo da janela. Aparecerá o seguinte menu suspenso:

812
Figura 603 - Menu de criação: VLAN.
Uma VLAN usa o sistema de VLAN tagging (802.1q) para permitir que, com uma conexão
somente o switch tenha acesso a todas as suas VLANs, inclusive controlando o acesso entre
elas. Para cada uma, uma interface virtual será criada dentro do Firewall.
Habilitar monitoramento: possibilita monitorar todas as interfaces de rede do cluster e

detalhes de replicação de sessão, identificando possíveis falhas, caso uma interface de algum
no do cluster falhe "falta de conectividade ou falha de rota, ou etc."
Desabilitar interface: desativa todas as outras interfaces e fazer com que outro nó assuma,
permitindo assim uma maior disponibilidade dos links.
Por padrão ao criar ou deletar uma VLAN a pilha TCP é reinicializada.
Usar PPPoE: permite definir que está interface trabalhe com PPPoE (usado basicamente para
a conexão com modems ADSL). Ao ser selecionada, a seguinte janela será mostrada:

813
Figura 604 - Configuração PPPoE.
Nome do dispositivo: Este campo indica o nome do dispositivo interno que será utilizado na
comunicação PPPoE. É importante que no caso de que haja mais de uma interface
trabalhando em PPPoE, que eles sejam distintos.
Ativar no boot: Se esta opção estiver marcada, o firewall ativará o PPPoE automaticamente,
ao iniciar a máquina.
Serviço PPPoE ativado sob demanda: Se esta opção estiver marcada, o firewall ativará o
serviço PPPoE apenas quando houver tráfico de rede direcionado por meio desta interface de
rede.
Nome do Usuário: Nome do usuário que será utilizado na autenticação durante o

estabelecimento da sessão PPPoE.
Senha: Senha que será utilizada na autenticação durante o estabelecimento da sessão PPPoE.
Confirmação: Confirmação da senha que será utilizada na autenticação durante o

estabelecimento da sessão PPPoE.
Provedor: É o provedor do serviço de PPPoE.

814
 MTU: O protocolo IP permite a fragmentação de pacotes, possibilitando que um datagrama
seja dividido em pedaços, cada um pequeno o suficiente para poder ser transmitido por uma
conexão com o MTU menor que o datagrama original. Esta fragmentação acontece na camada
IP (camada 3 do modelo OSI) e usa o parâmetro MTU da interface de rede que irá enviar o
pacote pela conexão. O processo de fragmentação marca os fragmentos do pacote original
para que a camada IP do destinatário possa montar os pacotes recebidos, reconstituindo o
datagrama original.O protocolo da Internet define o "caminho MTU" de uma transmissão
Internet como o menor valor MTU de qualquer um dos hops do IP do path" desde o endereço
de origem até ao endereço de destino. Visto de outro modo, o "caminho MTU" define o maior
valor de MTU que pode passar pelo caminho sem que os seus pacotes sofram posterior
fragmentação.
Só é possível configurar endereços IP de interfaces de rede reconhecidas pelo sistema

operacional no qual o firewall está rodando. Caso tenha acrescentado uma nova interface de
rede e seu nome não apareça na lista de interfaces, é necessário configurar o sistema
operacional de forma a reconhecer esta nova interface antes de tentar configurá-la nesta
pasta. Valor padrão de 1500.
O IP e o prefixo têm que ser informados juntos.
Não será possível ao usuário remover ou editar os endereços autoconfigurados (que são
derivados dos endereços MAC).
As interfaces que estiverem em vermelho, indicam que não estão presentes em todos os
nodos do cluster.
Não é possível realizar a configuração de uma interface PPPoE no Firewall, quando o

mesmo estiver em modo cluster.
36.5. Roteamento
Roteamento é uma atividade realizada na camada de rede, cujo objetivo é definir qual será o
caminho trilhado pelos dados (empacotados) até que cheguem ao seu destino. O dispositivo
responsável por esta atividade é o roteador que possui em sua memória tabelas com as
informações necessárias para determinar o destino dos pacotes que recebe. Visando oferecer
uma rede de alta performance e com mais segurança, o Aker Firewall oferece roteamento
avançado usando os protocolos RIP, RIPng, OSPF, OSPF6, e BGP. A seguir mais informações
sobre estes protocolos.
Para acessar a janela de configuração de Roteamento deve-se:

815
Figura 605 - Roteamento.
 Selecionar o item Roteamento.

816
Figura 606 - Janela de Roteamento.

817
36.5.1. Geral
Figura 607 - Roteamento - Geral.
Esta janela possibilita configurar rotas IPv4 e Ipv6 no firewall. Divide-se em duas partes:
A primeira parte se refere à configuração do endereçamento IPv4 e consiste dos seguintes

campos:
Rede: Configuração dos endereços IP
Máscara de rede: Informa o endereço da máscara de rede
Gateway: Nesse campo deve ser informado o endereço IP do roteador.
Métrica: É o valor de distância da rede. A distância pode ser medida, por número de
dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por um valor
associado à velocidade do link.
Rota Padrão: Pode-se especificar o roteador padrão, por qual todos os pacotes serão
encaminhados.
Para a inclusão de uma nova rota, basta clicar no botão direito do mouse e irá aparecer o
menu .
Para remover ou editar uma rota, basta clicar com o botão direito sobre ela.

818
A segunda parte se refere à configuração do endereçamento IPv6 e consiste dos seguintes
campos:
Habilita Roteamento IPV6: Essa opção permite ativar ou desativar o roteamento de pacotes
IPv6
Dispositivos: Define a interface de rede usada para rota estática.
Rede: Configuração dos endereços IP
Prefixo: Informa quantos bits a rede é composta. Valor entre 0 e 128 que define quantos bits
do endereço serão usados no roteamento
Gateway: Nesse campo deve ser informado o endereço IP do roteador.
Métrica: É o valor de distância da rede. A distância pode ser medida, por número de
dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por um valor
associado à velocidade do link.
Rota padrão: Nesse campo deve ser informado o endereço IP da rota padrão. A validação
normal dos endereços IPv6 se aplica também a este campo.
Dispositivos de Gateway Padrão: Pode-se especificar a porta padrão, por qual todos os
pacotes serão encaminhados. Pode-se deixar em branco, não será opcional se o gateway
padrão for autoconfigurado.
Rotas com escopo de link são as que começam pelo prefixo fe80: definido no macro
FWTCPIP_IPV6_AUTOCONF_PREFIX.
Devido a uma limitação do Linux, não é possível remover o módulo de IPv6 uma vez que ele
tenha sido instalado. Também, se o módulo não estava instalado no kernel, os daemons todos
do firewall estavam escutando um socket IPv4. Sendo assim, ao modificar o valor desta opção,
a GUI deverá mostrar um aviso ao administrador dizendo: “This setting will be fully functional
only after the next firewall reboot”.
36.6. RIP
O protocolo RIP (Routing Information Protocol) foi o primeiro protocolo de roteamento

padrão desenvolvido para ambientes TCP/IP. O RIP é um protocolo de roteamento dinâmico
que implementa o algoritmo vetor de distância e se caracteriza pela simplicidade e facilidade

819
de solução de problemas. Em seu método, os equipamentos são classificados em ativos e
passivos. Roteadores ativos informam suas rotas para outros, e passivos apenas escutam e
atualizam suas rotas baseadas nas informações recebidas, mas não informam. Normalmente,
os roteadores usam o protocolo RIP em modo ativo e as estações (hosts) em modo passivo.
O RIP transmite sua tabela de roteamento a cada 30 segundos, e permite 15 rotas por pacote;
sendo assim, em redes grandes são exigidos vários pacotes para enviar a tabela de
roteamento inteira.
Vantagens: Em redes pequenas não consume muita largura de banda e tempo de

configuração e gerenciamento e de fácil implementação;
Desvantagens: Convergência lenta para redes de tamanho médio ou maior; Existência de

loops e contagem ao infinito; Limitações do número saltos por caminho (15) e Limitação de
métrica.
36.7. RIP Interface Texto (via SSH)
Para acessar o RIP na Interface Texto (via SSH) do Aker Firewall siga os passos abaixo:
 Abra o Firewall na via SSH
 Entre com o comando “fwroute”
 O usuário deve entrar com o comando “enable” verificando seu acesso, para efetuar
futuras configurações
Figura 608 - Rip via Interface Texto (via SSH)
Configuração RIP
Comando: router rip
820
O comando router rip e necessário para habilitar o RIP. Para desabilitar o RIP, use o comando
no router. O RIP deve ser habilitado antes de realizar qualquer comando RIP.
Comando: no router rip
Desabilita o RIP.
Comando RIP: network network
Comando RIP: no network network
Define a interface RIP habilitada pela network. As interfaces que tem os endereços
correspondentes com a network serão habilitadas.
Este grupo de comandos ativa ou desativa interfaces RIP entre determinados números de um
endereço de rede especificado. Por exemplo, se a rede para 10.0.0.0/24 esta com o RIP
ativado, isso resultaria em todos os endereços de 10.0.0.0 a 10.0.0.255 serem habilitados para
o RIP. A comando no network desativará o RIP para a rede especificada.
Comando RIP: network ifname
Comando RIP: no network ifname
Define uma interface RIP ativada pelo ifname. O envio e recebimento de pacotes RIP será
ativado na porta especificada com o comando network ifname. O comando no network
ifname desativará o RIP na interface especificada.
Comando RIP: neighbor a.b.c.d (ip)
Comando RIP: no neighbor a.b.c.d (ip)
Especifica o RIP neighbor quando um vizinho não entende o multicast, este comando é usado
para especificar os vizinhos. Em alguns casos, nem todos os roteadores serão capazes de
compreender o multicast, onde os pacotes são enviados a uma rede ou a um grupo de
endereços. Numa situação em que um vizinho não pode processar pacotes multicast, é
necessário estabelecer uma ligação direta entre os roteadores.
O comando neighbor permite que o administrador de rede especifique um roteador como um

RIP neighbor. O comando no neighbor a.b.c.d desativará o RIP neighbor.
No exemplo abaixo segue uma configuração de RIP muito simples. Sendo que a
interface eth0 é a interface que corresponde ao endereço de 10.0.0.0/8 que são RIP enabled.
!
router rip
network 10.0.0.0/8
network eth0

821
!
Passive interface
Comando RIP: passive-interface (IFNAME|default)
Comando RIP: no passive-interface IFNAME
Este comando define a interface selecionada para o modo passivo (passive mode). Com a
interface em mode passivo todos os pacotes recebidos são processados normalmente e o
ripd não envia pacotes RIP multicast ou unicast exceto para RIP neighbors que forem
especificados com o comando neighbor. A interface pode ser especificada como default para
fazer que o ripd seja padrão passivo em todas as interfaces.
O padrão será passive em todas as interfaces.
RIP split-horizon
Comando de Interface: ip split-horizon
Comando de Interface: no ip split-horizon
Control split-horizon (para evitar o loop de roteamento) na interface o padrão é ip split-

horizon. Se você não executar o split-horizon na interface, use o comando no ip split-horizon.
Controle de versão RIP

O RIP pode ser configurado para enviar pacotes tanto da Versão 1 quanto da Versão 2. O
padrão e enviar o RIPv2 embora este aceite tanto o RIPv1 quanto o RIPv2 (respondendo com
pacotes apropriados a versão do pedido aciona a atualização). A versão para enviar e receber
pode ser especificada globalmente, e depois anulada pela base da interface se for necessário
enviar ou receber separadamente.
É importante notar que RIPv1 não pode ser autenticado. Além disso, se o RIPv1 estiver
ativado, o RIP irá responder aos pacotes solicitados (REQUEST packets), enviando o estado de
sua tabela de roteamento RIP para quaisquer roteadores remotos.
RIP Comando: version version
Define a versão RIP parar leitura e envio. A versão poder ser tanto à versão 1, quanto a versão
2.
Desabilita o RIPv1 especificando a versão 2 é fortemente recomendado.

822
Padrão: Enviar Versão 2, e aceitar qualquer versão 1 ou 2.
Comando RIP: no version
Redefine a configuração da versão global de volta para padrão (default).
Comando de Interface: ip rip send version
A Versão poder ser 1, 2 ou 1 e 2.
Este comando substitui a configuração da versão global do RIP, e seleciona qual versão do RIP
enviará pacotes para a interface especifica. Escolha o RIP Versão 1, RIP Versão 2, ou as duas
versões. Em casos aonde as duas versões forem especificadas, os pacotes serão tanto
Broadcast quanto Multicast.
Padrão: Enviar pacotes de acordo com a versão global (versão 2)
Comando de Interface: ip rip receive version
A versão pode ser 1, 2 or 1 e 2.
Este comando substitui a configuração da versão global do RIP, e seleciona qual versão de
pacotes RIP serão aceitas nesta interface. Escolha o RIP Versão 1, RIP Versão 2, ou as duas
versões.
Padrão: Aceitar pacotes de acordo com a versão global (versões 1 e 2).
Anunciando rota RIP
Comando RIP: redistribute kernel
Comando RIP: redistribute kernel metric <0-16>
Comando RIP: redistribute kernel route-map route-map
Comando RIP: no redistribute kernel
O comando redistribute kernel redistribui informações de roteamento das entradas de rota

do kernel dentro das tabelas RIP. O comando no redistribute kernel desativará as rotas.
Comando RIP: redistribute static
Comando RIP: redistribute static metric <0-16>
Comando RIP: redistribute static route-map
Comando RIP: no redistribute static

823
O comando redistribute static redistribui informações de roteamento das entradas de rota
estáticas para dentro das tabelas RIP. O comando no redistribute static desativará as rotas.
Comando RIP: redistribute connected
Comando RIP: redistribute connected metric <0-16>
Comando RIP: redistribute connected route-map route-map
Comando RIP: no redistribute connected
Este comando redistribui roteadores conectados na tabela RIP. O comando no redistribute

connected desabilita os roteadores conectados na tabela RIP. O roteador conectado na
interface RIP que este habilitado será anunciado por padrão.
Comando RIP: redistribute ospf
Comando RIP: redistribute ospf metric <0-16>
Comando RIP: redistribute ospf route-map route-map
Comando RIP: no redistribute ospf
O comando redistribute ospf redistribui informações de roteamento das entradas da rota

ospf dentro das tabelas RIP. O comando no redistribute ospf desabilita as rotas.
Comando RIP: redistribute bgp
Comando RIP: redistribute bgp metric <0-16>
Comando RIP: redistribute bgp route-map route-map
Comando RIP: no redistribute bgp
O comando redistribute bgp redistribui informações de roteamento das entradas da rota bgp
para dentro das tabelas RIP. O comando no redistribute bgp desabilita as rotas.
Para especificar apenas rotas estáticas RIP:
Comando RIP: default-information originate
Comando RIP: route a.b.c.d/m
Comando RIP: no route a.b.c.d/m
O comando route faz com que a rota estática somente dentro do RIP. Este comando deve ser
usado apenas por usuários avançados que tenham conhecimento maior sobre o protocolo
RIP. Na maioria dos casos, recomendamos a criação de uma rota estática, é que esta rota seja
redistribuída no RIP usando o comando redistribute static.
824
Filtragem de rotas RIP
Rotas RIP podem ser filtradas pelo comando distribute-list.
Comando: distribute-list access_list direct ifname
Você pode aplicar access list (mais conhecido como ACL) para a interface com um comando
distribute-list. Access_list é o nome da lista de acesso.
Direct significa IN ou OUT. Se o direct for IN a lista de acesso será aplicada para os pacotes
de entrada.
O comando distribute-list pode ser usado para filtrar o caminho do RIP (RIP path). O
comando distribute-list pode aplicar o access-list para uma interface escolhida. Primeiro
deve-se especificar uma access-list, e então o nome da access-list será usado no comando
distribute-list. Por exemplo, na configuração eth0 será permitido apenas os caminhos que
correspondam à rota 10.0.0.0/8
!
router rip
distribute-list private in eth0
!
access-list private permit 10 10.0.0.0/8
access-list private deny any
O comando distribute-list pode ser aplicado para dados de entrada e saída.
Comando: distribute-list prefix prefix_list (in|out) ifname
Você pode aplicar o prefix-list para a interface com um comando distribute-list. Prefix_list é o
nome da lista de prefixo. Direct significa IN ou OUT, se o direct for IN a lista de prefixo será
aplicada para os pacotes de entrada.
RIP Metric Manipulation

RIP metric é um valor para a distância da rede. Normalmente o ripd incrementa a métrica
quando a informação da rede é recebida. A métrica das rotas redistribuídas (Redistributed
routes’ metric) e definida com 1.
Comando RIP: default-metric <1-16>

825
Comando RIP: no default-metric <1-16>
Este comando modifica o valor métrico padrão para as rotas redistribuídas. Este comando
não afetará rotas conectadas mesmo que sejam redistribuídas pelo o comando redistribute
connected. Para modifica o valor métrico das rotas conectadas (connected route’s value) use
o comando redistribute connected metric ou route-map. O comando offset-list também afeta
as rotas conectadas.
Comando RIP: offset-list access-list (in|out)
Comando RIP: offset-list access-list (in|out) ifname
RIP distance
O valor da distância é usado no “Zebra daemon”.
Distância RIP padrão é 120.
Comando RIP: distance <1-255>
Comando RIP: no distance <1-255>
Este comando define a distância RIP padrão para o valor desejado.
Comando RIP: distance <1-255> A.B.C.D/M
Comando RIP: no distance <1-255> A.B.C.D/M
Define a distância padrão do RIP para o valor especificado quando o endereço IP de origem
da rota corresponde ao prefixo especificado.
Comando RIP: distance <1-255> A.B.C.D/M access-list
Comando RIP: no distance <1-255> A.B.C.D/M access-list
Define a distância RIP padrão para o valor especificado quando o endereço IP de origem da
rota corresponde ao prefixo especificado e a lista de acesso especificada (access-list).
RIP route-map
O uso do route-map support do ripd.
O parâmetro opcional do route-map MAP_NAME pode ser adicionado em cada comando

redistribute.
redistribute static [route-map MAP_NAME]

826
redistribute connected [route-map MAP_NAME]
O ripd aplica route-map após as rotas estarem listadas na tabela de rotas e antes que as rotas
sejam anunciadas a uma interface (algo como um filtro de saída).
Route Map: match interface word
Este comando corresponde à interface de entrada. O Ripd permite que apenas um nome.
Cisco significa interface que inclui o next-hop das rotas. Ripd significa interface para onde está
rota será enviada.
Route Map: match ip address word
Route Map: match ip address prefix-list word
Associa (match) o IP se a rota de destino for permitida pela lista de acesso.
Route Map: match metric <0-4294967295>
Este comando corresponde ao valor métrico de atualizações RIP. Para compatibilidade com
outro protocolo, a metric range será mostrada como <0-4294967295>. Mas, para o protocolo
RIP apenas o intervalo de valor <0-16> faz sentido.
Route Map: set ip next-hop A.B.C.D
Este comando define o valor do next hop no protocolo RIPv2. Este comando não afeta RIPv1
porque não há nenhum campo next hop no pacote.
Route Map: set metric <0-4294967295>
Define uma métrica para uma rota correspondente ao enviar o pacote. A faixa de valor
métrica é muito grande para compatibilidade com outros protocolos. Para RIP, os valores
métricos validos são de 1 a 16.
Autenticação RIP
O RIPv2 permite que os pacotes sejam autenticados, por meio de uma simples senha de texto,
incluído com o pacote, ou por meio de uma checagem MD5 mais segura baseada em
HMAC (keyed-Hashing for Message AuthentiCation), o RIPv1 não pode ser autenticado, assim

827
quando a autenticação é configurada o RIPD descartará as atualizações de roteamento
recebidas via pacotes RIPv1.
No entanto, a menos que recepção RIPv1 esteja completamente desativada, os pacotes de

solicitação RIPv1(RIPv1 REQUEST packets) que são recebidos, e que consultam o roteador em
busca de informações de roteamento, serão honrados pelo Ripd, e o Ripd responderá a esses
pacotes. Isso permite que o RIPD honre estas solicitações (que às vezes são usadas por
equipamentos antigos e dispositivos muito simples para inicialização de sua rota padrão),
enquanto continua a fornecer segurança para as atualizações de rotas que são recebidos.
A ativação da autenticação impede rotas de serem atualizadas por roteadores remotos

não autenticados, mas ainda pode permitir que as rotas (ou seja, toda a tabela de roteamento
RIP) sejam consultadas remotamente, potencialmente por qualquer pessoa na internet, por
meio do RIPv1.
Para evitar consultas de rotas não autenticadas, desative o RIPv1.
Comando de Interface: ip rip authentication mode md5
Comando de Interface: no ip rip authentication mode md5
Define a interface com a autenticação RIPv2 MD5.
Comando de Interface: ip rip authentication mode text
Comando de Interface: no ip rip authentication mode text
Define a interface com a autenticação de senha simples RIPv2.
Comando de Interface: ip rip authentication string string
Comando de Interface: no ip rip authentication string string
A versão 2 do RIP tem autenticação de texto simples (simple text authentication). Este
comando define a sequência da autenticação. A sequência deve ser menor que 16 caracteres.
Comando de Interface: ip rip authentication key-chain key-chain
Comando de Interface: no ip rip authentication key-chain key-chain
Especifica a chave MD5 (Keyed MD5 chain).
!
key chain test
key 1
key-string test
!

828
interface eth1
ip rip authentication mode md5
ip rip authentication key-chain test
!
RIP Timers
Comando RIP: timers basic update timeout garbage
O RIP protocolo tem vários temporizadores (Timers). O usuário pode configurar os valores
dos temporizadores pelo comando timers basic.
As configurações padrões para os temporizadores são as seguintes:
 O temporizador de atualização é de 30 segundos. A cada segundo o temporizador de

atualização, o processo de RIP é despertado para enviar uma mensagem de resposta
não solicitada contendo a tabela de roteamento completa para todos os roteadores
RIP vizinhos.
 O tempo limite é de 180 segundos. Após a expiração do tempo limite, a rota não é
mais válida, no entanto, será mantida na tabela de roteamento de um curto período
de tempo para que os vizinhos possam ser notificados que a rota caiu.
 Garbage collect timer é de 120 segundos. Após a expiração do garbage-collection
timer, a rota será finalmente removida da tabela de roteamento.
O comando timers basic permite que os valores padrão dos temporizadores listados acima
sejam alterados.
Comando RIP: no timers basic
O comando no timers basic redefinirá os temporizadores para a configuração padrão que foi
mostrada acima.
Show RIP Information

Este comando e usado para exibir as rotas RIP.
 Comando RIP: show ip rip

Mostra as rotas RIP.
O comando exibe todas as rotas RIP. Para as rotas que serão recebidas por meio de RIP, este
comando exibirá o tempo em que o pacote foi enviado e suas informações, além de, exibir
esta informação para rotas redistribuídas no RIP.
 Comando: show ip protocols

829
O comando exibe o status atual do RIP, ele inclui o RIP Timer, filtragem, versão, a interface
RIP habilitada é RIP peer information.
ripd> show ip protocols

Routing Protocol is "rip"
Sending updates every 30 seconds with +/-50%, next due in 35 seconds
Timeout after 180 seconds, garbage collect after 120 seconds
Outgoing update filter list for all interface is not set
Incoming update filter list for all interface is not set
Default redistribution metric is 1
Redistributing: kernel connected
Default version control: send version 2, receive version 2
Interface Send Recv
Routing for Networks:
eth0
eth1
1.1.1.1
203.181.89.241
Routing Information Sources:
Gateway BadPackets BadRoutes Distance Last Update
RIP Debug Commands

Depuração para o protocolo RIP.
Comando: debug rip events
Depura os eventos rip.
O comando debug rip mostrará os eventos do RIP. Envio e recebimento de pacotes,

temporizadores.
Comando: debug rip packet
Depura o pacote rip.
O comando debug rip packet exibirá informações detalhadas sobre os pacotes RIP. A origem
é o número da porta do pacote, é o packet dump serão mostrados.
Comando: debug rip zebra
Depura o rip entre a comunicação zebra.

830
Este comando irá mostrar a comunicação entre Ripd é zebra. A principal informação incluirá
a adição e exclusão de caminhos enviados para o kernel, é o envio e recebimento de
informações da interface.
Comando: show debugging rip
Mostra as opções de depuração do Ripd.
O comando show debugging rip mostrará todas as informações atualmente definidas para o
Ripd debug.
36.8. OSPF
O protocolo OSPF (Open Shortest Path First) é a alternativa para redes de grande porte, onde
o protocolo RIP não pode ser utilizado, devido às suas características e limitações.
O OSPF permite a divisão de uma rede em áreas, e torna possível o roteamento dentro de
cada área (o roteamento das áreas e realizado por meio dos roteadores de borda. Com isso,
usando o OSPF, é possível criar redes hierárquicas de grande porte, sem que seja necessário
que cada roteador tenha uma tabela de roteamento gigantesca, com rotas para todas as
redes, como seria necessário no caso do RIP. O OSPF é projetado para intercambiar
informações de roteamento em uma interconexão de rede de tamanho grande ou muito
grande, como por exemplo, a Internet.
O OSPF é eficiente em vários pontos, requer pouquíssima sobrecarga de rede mesmo em
interconexões de redes muito grandes, pois os roteadores que usam OSPF trocam
informações somente sobre as rotas que sofreram alterações e não toda a tabela de
roteamento, como é realizado com o RIP.
A suas vantagens são: Maior velocidade de convergência, suporte a várias métricas, caminhos
múltiplos, sem loop nem contagem ao infinito e sincronismo entre os bancos.
As suas desvantagens são: Complexidade no gerenciamento e implementação.
Custo OSPF: O custo OSPF também é chamado de métrica, ou seja, a métrica é expressa como
um valor de “custo”. O melhor caminho possui o custo mais baixo, sendo tipicamente o de
maior largura de banda. É o custo da rota para se chegar a um determinado lugar.
Velocidade OSPF: É a velocidade do link, ou seja, é a velocidade da conexão entre dois

roteadores que é informada em Kbits/seg.
Área OSPF: Área é a designação atribuída a um subconjunto dos roteadores e redes que
constituem o sistema autônomo e que participam numa instância do protocolo OSPF, isto é,

831
as rotas de uma área não se propagam para as demais e vice versa. Verifica cada área e rota
de modo a privilegiar as rotas de menor custo e com o mesmo destino.
Logar rotas adicionadas e removidas: Ao selecionar essa opção as rotas adicionadas e

removidas serão exibidas na lista de eventos.
Redistribuir: Nessa opção são escolhidas as rotas que serão informadas para os outros
roteadores.
Redes Locais: São Rotas localmente conectadas, correspondem às sub redes configuradas
nas interfaces de redes.
Rotas de Outros Protocolos: Ao selecionar essa opção as rotas redistribuídas serão aquelas
determinadas pelos protocolos RIP e o OSPF. Haverá uma troca de informações na
comunicação entre eles, ou seja, o que foi aprendido por um protocolo será informado pelo
outro e vice versa.
Rotas Estáticas: As rotas estáticas são explicitamente configuradas pelo administrador, ou

seja, rotas fixas pelos quais os dados serão transmitidos na aba Rotas dessa mesma janela.
Filtrar redes distribuídas e recebidas
Ativando esta opção devem-se selecionar quais as redes e hosts deseja-se receber e distribuir
novas rotas por meio dos protocolos RIP e/ou OSPF. Por meio deste filtro desconsideram-se
as informações que não são necessárias para nosso ambiente e também assim não é
informado aos outros roteadores rotas de redes que não são utilizadas pela Aker.
36.9. OSPF Interface Texto (via SSH)
Para acessar o OSPF na Interface Texto (via SSH) do Aker Firewall siga os passos abaixo:

832
Figura 609 - Rip via Interface Texto (via SSH)
OSPF Terminologia
· Interface: Interface geralmente refere-se ao Link;
· Link State: O status entre dois routers. É advertido por pacotes LSA;
· Cost: Valor atribuído a um enlace;
· AS: Grupo de routers que trocam informações de roteamento e usam um mesmo protocolo;
· Area: Uma coleção de redes e routers que possuem a mesma identificação de área e trocam
informações de estado de link;
· Neighbors: Dois routers que possuem suas interfaces em uma mesma rede, geralmente
descobertos e mantidos em relação pelos pacotes hello;
· Hello: Protocolo usado para estabelecer e manter relações entre vizinhos, enviados de 10
em 10 segundos no endereço: 224.0.0.5;
· Router ID: Número único de 32-bit usado para identificar o router dentro da AS. O maior IP
na interface que estiver ativa será escolhido como padrão. Usado para definir o DR e o BDR
no caso de empate.
· Hello intervals: É o tempo em segundos que o router envia pacotes hello (10s default);
· Dead intervals: É o tempo em segundos que o router espera um hello de um vizinho, se não
responder ele coloca o router como down. O tempo dead é 4 vezes o valor do tempo Hello;
833
· Area-ID: Identificação da área;
· Router Priority: Um número de 8-bit que indica a prioridade de um router se tornar DR ou

BDR. Default=1, DROTHER=0;
· DR e BDR IP address: O endereço IP do router DR e BDR da rede específica;
· Auth Password: Se a auth estiver habilitada, 2 router devem trocar a mesma senha;
· Stub area Flag: Dois routers devem ter o mesmo Flag de área Stub no pacote hello.
· Neighborship database: Uma lista de todos os vizinhos que o router mantém uma
comunicação bidirecional;
· Link-state database or Topological database: Base de dados do estado dos links de todos
os routers da rede. Todos os routers da mesma área têm a mesma informação de Link-state;
· Routing table or forwarding database: Base de dados gerada quando o algoritmo SPF é
executado na base de dados de Link-state;
· Topologia Broadcast multiaccess: Redes que suportam mais de dois routers ligados juntos
com capacidade de mensagens broadcast. O seguimento ethernet é um exemplo dessa
topologia;
· Topologia Point-to-Point: Uma rede que associa um único par de routers. Uma linha serial
T1 é exemplo.
· Topologia Non-Broadcast multiaccess (NBMA): Redes que suportam muitos routers mas
não têm a capacidade de executar broadcast. O Frame-Relay e X.25 são exemplos de NBMA.
Não há opções específicas do ospfd, opções comuns podem ser especificadas para o ospfd.
O ospfd precisa adquirir as informações da interface zebra para poder funcionar. Portanto
o zebra deve estar em execução antes de carregar o ospfd. Além disso, se o zebra for
reiniciado então o ospfd deve ser reiniciado também.
Como outros daemons, a configuração ospfd é realizada no arquivo de

configuração ospfd.conf `' .

834
Roteador OSPF
Para iniciar o processo OSPF você tem que especificar o roteador OSPF (o ospfd não suporta
vários processos OSPF).
 Tipos de Routers
· Router Interno – São roteadores o quais as interfaces pertencem a mesma área. Todos os
routers na mesma área compartilham do mesmo Banco de Dados (DB) de estado de enlace
(idênticos);
· Router do Backbone – São roteadores que tem pelo menos uma interface conectada na
Área 0. A área 0 serve como área de trânsito entre áreas do OSPF;
· Area Border Router (ABR) – Roteadores que tem interfaces conectadas as diversas áreas. Esse
router mantém Link-state database distintos para cada área à qual estão conectados. Os
ABR’s são pontos de saída da área. Os ABRs podem resumir as informações de Link-state
database e distribuir no backbone, em seguida o backbone encaminha para outras áreas.
· Autonomous System Boundary Router (ASBR) – Routers que tem pelo menos uma interface
em uma rede externa (outro AS) e outra dentro da rede OSPF. Esse router faz Redistribuição
de rotas entre o OSPF e o não-OSPF.
Comando: router ospf
Comando: no router ospf
Ativa ou desativa o processo OSPF.
O ospfd ainda não suporta múltiplos processos OSPF, então você não pode especificar um
número de processo OSPF.
Comando OSPF: ospf router-id a.b.c.d
Comando OSPF: no ospf router-id
Este comando define o router-ID do processo OSPF. O router-ID pode ser um endereço IP do
roteador, mas não e obrigatório, ele pode ser qualquer número arbitrário de 32 bits. No
entanto, deve ser único dentro de todo o domínio OSPF para o speaker OSPF (Não é
recomendado configurar vários speakers OSPF com o mesmo router-ID). Se não for
especificado, então o ospfd obterá um router-ID automaticamente do zebra.
Comando OSPF: ospf abr-type type
Comando OSPF: no ospf abr-type type

835
O OSPF type pode ser cisco|ibm|shortcut|standard. Os tipos "Cisco" e "IBM" são iguais.
O padrão do OSPF para o comportamento ABR não permite que um ABR considere rotas por
meio de áreas que não sejam backbone, mesmo quando suas ligações com o backbone
estiverem desligadas, ou quando houver outros ABRs anexados em non-backbone areas que
ainda podem alcançar o backbone. Esta restrição existe principalmente para garantir que os
loops de roteamento sejam evitados.
Note-se que as áreas com links virtuais totalmente adjacentes são consideradas "transit
capable" e pode sempre ser usada para o tráfego da rota backbone, portanto, não são
afetados por esta configuração.
Observação: Embora a definição da ABR (Area Border Router) na especificação OSPF não
requer que um roteador com múltiplas áreas anexadas tenha uma conexão backbone, é
necessário para fornecer roteamento para área interna é destinos externos. Se este
requerimento não for cumprido, todo o tráfego, destinado para as áreas que não estejam
conectadas a um ABR ou fora do domínio OSPF, será descartado.
Comando OSPF: ospf rfc1583compatibility
Comando OSPF: no ospf rfc1583compatibility
O sucessor do RFC1583 (RFC2328), sugere uma alteração no caminho do algoritmo para evita
possíveis loops de roteamento que eram possíveis na versão antiga do OSPFv2. Mais
especificamente, exige que os inter-area path e intra-area path tenham a mesma preferência,
mas os dois ainda preferem caminhos externos.
Este comando não deve ser definido como Normally.
Comando OSPF: log-adjacency-changes [detail]
Comando OSPF: no log-adjacency-changes [detail]
Configura o ospfd para registrar as mudanças nas adjacências. Com o parâmetro opcional,
todas as alterações do status da adjacência serão mostradas. Sem detalhes, apenas as
mudanças completas ou regressões serão mostradas.
Comando OSPF: passive-interface interface
Comando OSPF: no passive-interface interface
Comando OSPF: timers throttle spf delay initial-holdtime max-holdtime
Comando OSPF: no timers throttle spf

836
Este comando define o primeiro delay entre a initial-holdtime é o maximum-holdtime quando
SPF é calculado, e o evento que motivou o cálculo. Os tempos são especificados em
milissegundos e deve estar no intervalo de 0-600000 milissegundos.
O delay especifica a quantidade mínima de tempo de atraso de cálculo SPF.
Cálculos consecutivos SPF serão sempre separados pelo menos por tempo de espera
(holdtime) em milissegundos. O tempo de espera é adaptável e inicialmente está definido
para o initial-holdtime configurado com o comando acima. Eventos que ocorrem dentro do
tempo de espera do cálculo SPF anterior faram com que o tempo de espera aumente pela
initial-holdtime , interligado pelo maximum-holdtime configurado com este comando. Se o
tempo de espera adaptável passar sem acionar qualquer evento SPF então o holdtime atual
será redefinido para o initial-holdtime. O atual holdtime pode ser visualizado com o
comando show ip ospf.
router ospf
timers throttle spf 200 400 10000
Neste exemplo, o delay é definido como 200 ms, o initial holdtime é definido como 400ms é o
maximum holdtime de 10s. Por isso sempre haverá pelo menos 200 ms entre um evento que
requer o cálculo SPF e o cálculo SPF atual. Cálculos futuros consecutivos SPF serão sempre
separados entre 10s a 400ms, o tempo de espera aumentará 400ms cada vez que um evento
de SPF ocorre dentro do tempo de espera do cálculo SPF anterior.
Comando OSPF: max-metric router-lsa [on-startup|on-shutdown] <5-86400>
Comando OSPF: max-metric router-lsa administrative
Comando OSPF: no max-metric router-lsa [on-startup|on-shutdown |administrative]
Este suporte pode ser habilitado administrativamente (indefinidamente) ou

condicionalmente. Habilitação condicional de max-metric router-lsas pode ser por um
período de segundos após a inicialização ou por um período de segundos antes de desligar.
Quando ativado por um período após a inicialização permite OSPF a convergir primeiro sem
afetar as rotas existentes usadas por outros roteadores, enquanto permite que quaisquer
stub link conectados e/ou rotas redistribuídas para serem acessíveis quando habilitados por
um período de tempo antes do desligamento permite que o roteador se-exime do domínio
OSPF.
Ativando este recurso administrativamente permite a intervenção administrativa por

qualquer motivo, por um período de tempo indefinido. Note que se a configuração foi escrita
em um arquivo, esta forma administrativa do comando stub-router também será gravada em
arquivo. Se ospfd for reiniciado depois, o comando ficara em vigor até que seja manualmente
desconfigurado.
Comando OSPF: auto-cost reference-bandwidth <1-4294967>

837
Comando OSPF: no auto-cost reference-bandwidth
Este comando define a largura de banda de referência (reference bandwidth) para os cálculos
de custos, onde está largura de banda é considerada equivalente a um custo OSPF 1,
especificado em MB. O padrão é 100 MB.
Esta configuração deve ser consistente em todos os roteadores dentro do domínio OSPF.
Comando OSPF: network a.b.c.d/m area a.b.c.d
Comando OSPF: network a.b.c.d/m area <0-4294967295>
Comando OSPF: no network a.b.c.d/m area a.b.c.d
Comando OSPF: no network a.b.c.d/m area <0-4294967295>
Este comando especifica a interface OSPF que está habilitada. Se a interface tem um endereço
192.168.1.0/24 então o comando abaixo permite ospf nesta interface de modo que o
roteador possa fornecer informações sobre a rede para os outros roteadores OSPF por meio
desta interface.
router ospf
network 192.168.1.0/24 area 0.0.0.0
O comprimento do prefixo na interface deve ser igual ou maior, que o comprimento do

prefixo da rede. Por exemplo, a parâmetro acima não habilita o ospf na interface com
endereço 192.168.1.1/23, mas o habilita na interface com endereço 192.168.1.129/25.
Comando OSPF: area a.b.c.d range a.b.c.d/m
Comando OSPF: area <0-4294967295> range a.b.c.d/m
Comando OSPF: no area a.b.c.d range a.b.c.d/m
Comando OSPF: no area <0-4294967295> range a.b.c.d/m
router ospf
network 192.168.1.0/24 area 0.0.0.0
network 10.0.0.0/8 area 0.0.0.10
area 0.0.0.10 range 10.0.0.0/8

838
A configuração acima de um Type-3-Summary LSA com encaminhamento 10.0.0.0 / 8 que será
anunciado na área backbone, se a 0.0.0.10 área tiver pelo menos uma rede intra-área a partir
desta faixa.
Comando OSPF: area a.b.c.d range IPV4_PREFIX not-advertise
Comando OSPF: no area a.b.c.d range IPV4_PREFIX not-advertise
Em vez de sumarizar os caminhos intra area deve-se filtrá-los. Intra area paths deste intervalo
não são anunciados em outras áreas. Este comando faz sentido apenas no ABR.
Comando OSPF: area a.b.c.d range IPV4_PREFIX substitute IPV4_PREFIX
Comando OSPF: no area a.b.c.d range IPV4_PREFIX substitute IPV4_PREFIX
Este comando substitui o prefixo sumerizado com outro prefixo.
router ospf
network 192.168.1.0/24 area 0.0.0.0
network 10.0.0.0/8 area 0.0.0.10
area 0.0.0.10 range 10.0.0.0/8 substitute 11.0.0.0/8
Um Type-3 summary-LSA com informação de roteamento 11.0.0.0 / 8 será anunciado na área

de backbone, se a área 0.0.0.10 tiver pelo menos uma rede intra-area da faixa 10.0. 0,0 /
8. Este comando faz sentido apenas no ABR.
Comando OSPF: area a.b.c.d virtual-link a.b.c.d
Comando OSPF: area <0-4294967295> virtual-link a.b.c.d
Comando OSPF: no area a.b.c.d virtual-link a.b.c.d
Comando OSPF: no area <0-4294967295> virtual-link a.b.c.d
Comando OSPF: area a.b.c.d shortcut
Comando OSPF: area <0-4294967295> shortcut
Comando OSPF: no area a.b.c.d shortcut
Comando OSPF: no area <0-4294967295> shortcut
Configura a área como um Shortcut capable. Esta ação requer que o 'abr-type' esteja definido
para 'shortcut'.
Comando OSPF: area a.b.c.d stub

839
Comando OSPF: area <0-4294967295> stub
Comando OSPF: no area a.b.c.d stub
Comando OSPF: no area <0-4294967295> stub
Configurar a área para ser uma stub area. Ou seja, uma área onde nenhum roteador origina
rotas externas ao OSPF, assim uma área onde todas as rotas externas são via ABR (s). Por isso
o ABRs para essa área não precisa passar AS-External LSAs (type-5s) ou ASBR-Summary LSAs
(type-4). Eles precisam apenas passar o Network-Summary (type-3) LSAs em tal área,
juntamente com uma sumerização da rota padrão.
Comando OSPF: area a.b.c.d stub no-summary
Comando OSPF: area <0-4294967295> stub no-summary
Comando OSPF: no area a.b.c.d stub no-summary
Comando OSPF: no area <0-4294967295> stub no-summary
O comando acima impede que um ospfd ABR coloque as sumarizações da inter-area dentro
da stub area especificada.
Comando OSPF: area a.b.c.d default-cost <0-16777215>
Comando OSPF: no area a.b.c.d default-cost <0-16777215>
Define o custo do default-summary LSAs anunciado para stubby areas.
Comando OSPF: area a.b.c.d export-list NAME
Comando OSPF: area <0-4294967295> export-list NAME
Comando OSPF: no area a.b.c.d export-list NAME
Comando OSPF: no area <0-4294967295> export-list NAME
A Filtragem Type-3 summary-LSA e anunciada para outras áreas que foram originadas de
caminhos intra-area (intra-area paths) de áreas especificas.
router ospf
network 192.168.1.0/24 area 0.0.0.0
network 10.0.0.0/8 area 0.0.0.10
area 0.0.0.10 export-list foo
!
access-list foo permit 10.10.0.0/16
access-list foo deny any

840
No exemplo acima quaisquer intra-area paths da área de 0.0.0.10 de faixa 10.10.0.0/16 (por
exemplo: 10.10.1.0/24 é 10.10.2.128/30) foram anunciados em outras áreas como Type-3
summary-LSA, mas quaisquer outros (por exemplo 10.11.0.0/16 ou 10.128.30.16/30) não são.
Este comando só é relevante se o roteador for um ABR para a área especificada.
Comando OSPF: area a.b.c.d import-list NAME
Comando OSPF: area <0-4294967295> import-list NAME
Comando OSPF: no area a.b.c.d import-list NAME
Comando OSPF: no area <0-4294967295> import-list NAME
O comando acima tem a mesma função do comando export-list, mas se aplica a caminhos
anunciados em áreas especificadas como Type-3 summary-LSAs.
Comando OSPF: area a.b.c.d filter-list prefix NAME in
Comando OSPF: area a.b.c.d filter-list prefix NAME out
Comando OSPF: area <0-4294967295> filter-list prefix NAME in
Comando OSPF: area <0-4294967295> filter-list prefix NAME out
Comando OSPF: no area a.b.c.d filter-list prefix NAME in
Comando OSPF: no area a.b.c.d filter-list prefix NAME out
Comando OSPF: no area <0-4294967295> filter-list prefix NAME in
Comando OSPF: no area <0-4294967295> filter-list prefix NAME out
Filtragem Type-3 summary-LSAs para a área que esteja usando as listas de prefixo (prefix
lists). Este comando só faz sentido no ABR.
Comando OSPF: area a.b.c.d authentication
Comando OSPF: area <0-4294967295> authentication
Comando OSPF: no area a.b.c.d authentication
Comando OSPF: no area <0-4294967295> authentication
O comando acima especifica que a autenticação de senha simples (simple password

atuthentication) deve ser usada para a área fornecida.
Comando OSPF: area a.b.c.d authentication message-digest

841
Comando OSPF: area <0-4294967295> authentication message-digest
Especifica que os pacotes OSPF devem ser autenticados com MD5 HMACs dentro da área
fornecida. Keying material também deve ser configurado em uma per-interface basis.
Autenticação MD5 também pode ser configurada em uma per-interface basis. Tais
configurações per-interface irão substituir qualquer configuração per-area authentication.
OSPF interface
Comando de Interface: ip ospf authentication-key AUTH_KEY
Comando de Interface: no ip ospf authentication-key
Define a chave de autenticação OSPF para uma senha simples. Depois de definir AUTH_KEY,
todos os pacotes OSPF são autenticados (AUTH_KEY tem comprimento de até 8 caracteres).
Autenticação de senha simples de texto (Simple text password authentication) é insegura e

obsoleta favorecendo da autenticação MD5 HMAC.
Comando: ip ospf authentication message-digest
O comando acima especifica que a autenticação MD5 HMAC deve ser utilizada nesta
interface. MD5 Keying material também deve ser configurado é substitui qualquer
autenticação habilitada em uma per-area basis.
Note que a autenticação OSPF MD5 requer que o tempo nunca vá em sentido contrário (hora
correta não é importante, apenas que ele nunca vá em sentido contrário mesmo por meio de
redefinições). Se o ospfd for capaz de reestabelecer adjacências com seus vizinhos depois de
restart/reboot, o host deve ter o tempo do sistema para ser definido no boot a partir de uma
fonte externa ou não volátil (por exemplo, battery backed clock, NTP, etc) ou então o relógio
do sistema devem ser periodicamente salvo a um non-volative storage será restaurado no
boot se a autenticação MD5 funcionar de forma confiável.
Comando de Interface: ip ospf message-digest-key KEYID md5 KEY
Comando de Interface: no ip ospf message-digest-key
O comando acima define uma chave de autenticação OSPF para uma senha de criptografia. O
algoritmo de criptografia é o MD5.
O Keyid identifica a chave secreta usada para criar o message digest. Esta identificação é parte
do protocolo e deve ser consistente em roteadores em um link.
KEY é a chave atual do message digest key, de até 16 caracteres (maiores sequencias de
caracteres serão descartadas), e está associada com o keyid fornecido.

842
Comando de Interface: ip ospf cost <1-65535>
Comando de Interface: no ip ospf cost
Define custo de link para a interface especificada. O valor do custo será definido para o campo
métrico do roteador LSA (router-LSA’s metric field) e será utilizado para o cálculo SPF.
Comando de Interface: ip ospf dead-interval <1-65535>
Comando de Interface: ip ospf dead-interval minimal hello-multiplier <2-20>
Comando de Interface: no ip ospf dead-interval
Este comando define o número de segundos para o valor RouterDeadInterval timer utilizado
para o Wait Time é o Inactivity Timer. Este valor deve ser o mesmo para todos os roteadores
ligados a uma rede comum. O valor padrão é 40 segundos.
Se "minimal" for especificado, então o dead-interval será definido para 1 segundo e um deve
especificar um hello-multiplier. O hello-multiplier especifica quantos Hellos devem ser
enviados por segundo, de 2 (cada 500ms) a 20 (cada 50ms). Assim, pode-se ter 1s de tempo
de convergência para OSPF. Se o formulário for especificado, então o “hello-interval”
anunciado nos pacotes Hello será definido como “0”, é o hello-interval nos pacotes Hello
recebidos não estarão marcados, assim, o hello-multiplier não precisa ser o mesmo em vários
roteadores em um link comum.
Comando de Interface: ip ospf hello-interval <1-65535>
Comando de Interface: no ip ospf hello-interval
O comando acima define o número de segundos para o valor do Hello Interval timer.
Definindo este valor, o pacote Hello será enviado a os segundos do valor do temporizador
(timer value seconds) na interface especificada. Este valor deve ser o mesmo para todos os
roteadores ligados a uma rede comum. O valor padrão é 10 segundos.
Este comando não tem efeito se o ip ospf dead-interval minimal também for especificado
para a interface.
Comando de Interface: ip ospf network (broadcast|non-broadcast|point-to-

multipoint|point-to-point)
Comando de Interface: no ip ospf network
Este comando define o tipo de rede para a interface específica.
Comando de Interface: ip ospf priority <0-255>
Comando de Interface: no ip ospf priority

843
Este comando define o valor full do Router Priority. O roteador com a maior prioridade será
mais elegível para se tornar o Designated Router (Router mestre). Definindo o valor 0, fará
com que o roteador se tornar inelegível para o Designated Router.
O valor padrão é 1.
Comando de Interface: ip ospf retransmit-interval <1-65535>
Comando de Interface: no ip ospf retransmit interval
Este comando define o número em segundos para o valor do Rxmt Interval timer. Esse valor
é usado quando a Database Description e o Link State estão sendo retransmitindo (estado do
link e informações do router). O valor padrão é de 5 segundos.
Comando de Interface: ip ospf transmit-delay
Comando de Interface: no ip ospf transmit-delay
Este comando define o número de segundos para o valor InfTransDelay (tempo de demora
para nova transmissão). A LSAs' age (idade da LSA) deve ser incrementado comeste valor
durante a transmissão.
O valor padrão é 1 segundo.
Redistribuindo rotas para o OSPF
Comando OSPF: redistribute (kernel|connected|static|rip|bgp)
Comando OSPF: redistribute (kernel|connected|static|rip|bgp) route-map
Comando OSPF: redistribute (kernel|connected|static|rip|bgp) metric-type (1|2)
Comando OSPF: redistribute (kernel|connected|static|rip|bgp) metric-type (1|2) route-

map word
Comando OSPF: redistribute (kernel|connected|static|rip|bgp) metric <0-16777214>
Comando OSPF: redistribute (kernel|connected|static|rip|bgp) metric <0-16777214>

route-map word
Comando OSPF: redistribute (kernel|connected|static|rip|bgp) metric-type (1|2) metric

<0-16777214>

844
Comando OSPF: redistribute (kernel|connected|static|rip|bgp) metric-type (1|2) metric
<0-16777214> route-map word
Comando OSPF: no redistribute (kernel|connected|static|rip|bgp)
Este comando redistribui rotas do protocolo especificado ou OSPF, com o tipo e conjunto
métrico se especifico, que filtra as rotas utilizando o route-map fornecido se especificado. As
Rotas redistribuídas também podem ser filtradas como listas de distribuição.
As rotas redistribuídas serão distribuídas no OSPF como o Type-5 External LSAs em links para
áreas que aceitam rotas externas.
Para as rotas conectadas, pode-se usar o comando passive-interface.
Comando OSPF: default-information originate
Comando OSPF: default-information originate metric <0-16777214>
Comando OSPF: default-information originate metric <0-16777214> metric-type (1|2)
Comando OSPF: default-information originate metric <0-16777214> metric-type (1|2)

route-map word
Comando OSPF: default-information originate always
Comando OSPF: default-information originate always metric <0-16777214>
Comando OSPF: default-information originate always metric <0-16777214> metric-type

(1|2)
Comando OSPF: default-information originate always metric <0-16777214> metric-type

(1|2) route-map word
Comando OSPF: no default-information originate
Este comando gera um AS-External (type-5) LSA descrevendo uma rota padrão em todas
external-routing capable areas.
Comando OSPF: distribute-list NAME out (kernel|connected|static|rip|ospf
Comando OSPF: no distribute-list NAME out (kernel|connected|static|rip|ospf
Aplica o filtro da lista de acesso (access-list filter) NAME, para as rotas redistribuídas do tipo
fornecido, antes de permitir que as rotas sejam redistribuídas no OSPC.
Comando OSPF: default-metric <0-16777214>
Comando OSPF: no default-metric

845
Comando OSPF: distance <1-255>
Comando OSPF: no distance <1-255>
Comando OSPF: distance ospf (intra-area|inter-area|external) <1-255>
Comando OSPF: no distance ospf
Comando: router zebra
Comando: no router zebra
Exibindo a informação do OSPF
Comando: show ip ospf
Mostra informações sobre o OSPF, o estado das áreas e informações de configuração.
Comando: show ip ospf interface [INTERFACE]
Mostra o estado e a configuração da interface do OSPF especificado, ou todas as interfaces

caso nenhuma interface seja fornecida.
Comando: show ip ospf neighbor
Comando: show ip ospf neighbor INTERFACE
Comando: show ip ospf neighbor detail
Comando: show ip ospf neighbor INTERFACE detail
Comando: show ip ospf database
Comando: show ip ospf database (asbr-summary|external|network|router |summary)
Comando: show ip ospf database (asbr-summary|external|network|router

|summary) link-state-id

|summary) link-state-id adv-router adv-router

adv-router adv-router

|summary) link-state-id self-originate

846
self-originate
Comando: show ip ospf database max-age
Comando: show ip ospf database self-originate
Comando: show ip ospf route
Mostrar a tabela de encaminhamento OSPF (OSPF routing table), com base no SPF mais
recente.
Debugging OSPF
Comando: debug ospf packet (hello|dd|ls-request|ls-update|ls-ack|all) (send|recv)

[detail]
Comando: no debug ospf packet (hello|dd|ls-request|ls-update|ls-ack|all) (send|recv)

[detail]
Comando: debug ospf ism
Comando: debug ospf ism (status|events|timers)
Comando: no debug ospf ism
Comando: no debug ospf ism (status|events|timers)
Comando: debug ospf nsm
Comando: debug ospf nsm (status|events|timers)
Comando: no debug ospf nsm
Comando: no debug ospf nsm (status|events|timers)
Comando: debug ospf lsa
Comando: debug ospf lsa (generate|flooding|refresh)
Comando: no debug ospf lsa
Comando: no debug ospf lsa (generate|flooding|refresh)
Comando: debug ospf zebra
Comando: debug ospf zebra (interface|redistribute)

847
Comando: no debug ospf zebra
Comando: no debug ospf zebra (interface|redistribute)
Comando: show debugging ospf
Exibindo as informações do OSPF6
Comando: show ipv6 ospf6 [INSTANCE_ID]
Este comando exibe o router ID é o OSPF instance ID, basta digitar "show ipv6 ospf6 <cr>".
Comando: show ipv6 ospf6 database
Este comando mostra o LSA database summary.
Comando: show ipv6 ospf6 interface
Este comando e usado para ver a configuração de interface OSPF como custos.
Comando: show ipv6 ospf6 neighbor
Mostra o estado e o backup do Roteador designado (DR) do visinho.
Comando: show ipv6 ospf6 request-list A.B.C.D
Mostra a lista de solicitações do visinho.
Comando: show ipv6 route ospf6
Este comando mostra tabela de roteamento interno.
36.10. BGP
BGP (Border Gateway Protocol), é um protocolo de roteamento dinâmico, que é utilizado para
comunicações entre sistemas autônomos (ASs). O BGP foi projetado para evitar loops de
roteamento em topologia arbitrarias.
848
Para acessar o OSPF na Interface Texto (via SSH) do Aker Firewall siga os passos abaixo:
Figura 610 - Acesso ao protocolo BGP
Todos os comandos de bgpd devem ser configurados no `bgpd.conf '.
As opções do bgpd serão descritas a seguir. Opções comuns também podem ser
especificadas.
`-p PORT'
`--bgp_port=PORT'
Define o número da porta do protocolo BGP.
`-r'

849
`--retain'
Quando o programa termina, retém as rotas BGP adicionadas pelo zebra.
BGP router
Primeiramente você deve configurar o roteador BGP com o comando router bgp. Para
configurar o roteador BGP, você precisa AS number. O AS number é uma identificação do
sistema autônomo (AS autonomous system). O protocolo BGP utiliza o AS number para
detectar se a conexão BG e interna ou externa.
Comando: router bgp asn
Este comando ativa um processo de protocolo BGP com o asn (ASN-Autonomous system
number) que foi especificado. Com parâmetro você pode introduzir quaisquer comandos
BGP, mas você não pode criar diferentes processo BGP, sob diferentes asn sem especificar o
multiple-instance.
Comando: no router bgp asn
Este comando destrói um processo do protocolo com a asn especificada.
COMANDO BGP: bgp router-id A.B.C.D
Este comando especifica o router-ID se o bgpd conectar-se ao zebra ele obterá informações
de interface e endereço. Nesse caso, o valor padrão do router ID será selecionado como o
maior endereço IP das interfaces. Quando o router zebra não está habilitado, o bgpd não
pode obter informações interface para que o router-id seja definido como 0.0.0.0, então o
router-id deve ser definido manualmente.
BGP distance
COMANDO BGP: distance bgp <1-255> <1-255> <1-255>
Este comando muda o valor de distância do BGP. Cada parâmetro é o valor de distância para
rotas externas, rotas internas e rotas locais.
COMANDO BGP: distance <1-255> A.B.C.D/M
COMANDO BGP: distance <1-255> A.B.C.D/M word
Processo de decisão do BGP

850
O processo de decisão do BGP baseia-se nos valores dos atributos de cada anúncio. Nos
Sistemas autônomos multihomed (conexão com mais de uma AS, contendo mais de um
caminho de saída para a Internet) é normal à existência de múltiplas rotas para a mesma rede,
nestes casos o algoritmo de decisão do BGP tomará a decisão da melhor rota a ser utilizada.
1. Weight check >(Verificação de peso)
2. Local preference check. > (Verifica a preferência local)
3. Local route check. > (Verificação da rota local)
4. AS path length check. > (Verifica o comprimento do caminho AS)
5. Origin check. > (Verifica a Origem)
6. MED check. > (Verifica o MED)
COMANDO BGP: bgp bestpath as-path confed
Este comando especifica que o comprimento e as sequências dos conjuntos do caminho da

confederação (length of confederation path sets and sequences) devem ser levados para em
conta, durante o processo de escolha do melhor caminho para o BGP (BGP best path decision
process).

Rota BGP
COMANDO BGP: network A.B.C.D/M
Este comando adiciona a rede de anúncio (announcement network).
router bgp 1
network 10.0.0.0/8
O exemplo acima mostra que a rede 10.0.0.0 / 8 será anunciada para todos os vizinhos. Alguns
roteadores de fornecedores não anunciam rotas se estas não estiverem presentes em suas
tabelas de roteamento IGP.
COMANDO BGP: no network A.B.C.D/M

851
Agregação de rotas
A sumarização ou agregação de rotas permite que protocolos de roteamento dinâmico façam

a divulgação de várias subnets utilizando uma única rota.
Comando BGP: aggregate-address A.B.C.D/M
Este comando especifica um endereço agregado.
Comando BGP: aggregate-address A.B.C.D/M as-set
Este comando especifica um endereço agregado. Rotas resultantes incluem um AS set.
Comando BGP: aggregate-address A.B.C.D/M summary-only
Este comando especifica um endereço agregado. Rotas agregadas não serão anunciadas.
Comando bgp: no aggregate-address A.B.C.D/M
Redistribute to BGP
Comando bgp: redistribute kernel
Redistribui uma rota kernel para o processo BGP.
Comando bgp: redistribute static
Redistribui uma rota estática para o processo BGP.
Comando bgp: redistribute connected
Redistribui uma rota conectada para o processo BGP.
Comando bgp: redistribute rip
Redistribui uma rota RIP para o processo BGP.
Comando bgp: redistribute ospf
Redistribui uma rota OSPF para o processo BGP.

852
Defining Peer
Comando bgp: neighbor peer remote-as asn
Este comando cria um novo vizinho, cujo remote-as será asn. O Peer pode ser um endereço
IPv4 ou um endereço IPv6.
router bgp 1
neighbor 10.0.0.1 remote-as 2
No exemplo acima, o roteador em AS-1 está tentando agrupar com AS-2 em 10.0.0.1.
Este comando deve ser o primeiro comando usado quando um neighbor está sendo
configurado. Se o remote-as não for especificado, o bgpd vai mostrar a seguinte mensagem:
can't find neighbor 10.0.0.1
BGP Peer commands

Em uma cláusula de router bgp existem configurações específicas exigidas pelo vizinho.
Comando BGP: neighbor peer shutdown
Comando BGP: no neighbor peer shutdown
Podemos excluir a configuração do vizinho com o comando no neighbor peer remote-as as-
number, mas toda configuração do vizinho será apagada, quando você quiser preservar a
configuração, mas deseja deixar o BGP peer, use esta sintaxe.
Comando BGP: neighbor peer ebgp-multihop
Comando BGP: no neighbor peer ebgp-multihop
Comando BGP: neighbor peer description ...
Comando BGP: no neighbor peer description ...
Define a descrição para o peer.
Comando BGP: neighbor peer version version

853
Configura a versão BGP do visinho (neighbor's BGP version) que pode ser versão 4 , 4 + ou 4
- . O BGP versão 4 é o padrão usado para o BGP peering. BGP versão 4 + significa que o vizinho
suporta extensões multiprotocolo para BGP-4, e o BGP versão 4 - é semelhante, mas o vizinho
usa extensões multiprotocolo para BGP-4 do old Internet-Draft revision 00. Alguns softwares
de roteamento ainda estão usando esta versão.
Comando BGP: neighbor peer interface ifname
Comando BGP: no neighbor peer interface ifname
Ao se conectar a um BGP peer usando um endereço link-local IPv6, você tem que especificar
o ifname da interface usado para a conexão. Para especificar endereços IPv4, veja o comando
neighbor peer update-source abaixo.
Comando BGP: neighbor peer next-hop-self
Comando BGP: no neighbor peer next-hop-self
Este comando especifica uma rota nexthop, que será anunciada como equivalente ao
endereço do roteador BGP.
Comando BGP: neighbor peer update-source <ifname|address>
Comando BGP: no neighbor peer update-source
Este comando especifica o endereço de origem IPv4. Para usar a sessão BGP para este vizinho,
pode ser especificado diretamente como um endereço IPv4 ou como um nome de interface
(caso o zebra esteja sendo usado, o daemon deve estar em execução para que BGPD possa
recuperar o interface state).
router bgp 64555

neighbor foo update-source 192.168.0.1
neighbor bar update-source lo0
Comando BGP: neighbor peer default-originate
Comando BGP: no neighbor peer default-originate
O padrão bgpd não e usado para anunciar a rota padrão (0.0.0.0 / 0) mesmo que esteja na
tabela de roteamento. Este comando deve e usado para anunciar as rotas padrões para os
peers.
Comando BGP: neighbor peer port port
Comando BGP: neighbor peer port port
Comando BGP: neighbor peer send-community

854
Comando BGP: neighbor peer send-community
Comando BGP: neighbor peer weight weight
Comando BGP: no neighbor peer weight weight
Este comando especifica um valor padrão de peso (default weight) para as rotas do vizinho.
Comando BGP: neighbor peer maximum-prefix number
Comando BGP: no neighbor peer maximum-prefix number
Peer filtering
Comando BGP: neighbor peer distribute-list name [in|out]
Este comando especifica uma lista de distribuição (distribute-list) para os peers. O Direct deve
ser “in ou out”.
Comando BGP: neighbor peer prefix-list name [in|out]
Comando BGP: neighbor peer filter-list name [in|out]
Comando BGP: neighbor peer route-map name [in|out]
Este comando aplica um mapa de rotas (route-map) sobre o vizinho. O Direct deve ser “in
ou out”.
BGP Peer Group

Comando BGP: neighbor word peer-group
Este comando define um novo peer group.
Comando BGP: neighbor peer peer-group word
Este comando bind específica peer to peer group word.
Autonomous System
O AS number (Autonomous System) é um dos elementos essenciais do BGP. O AS-Path
framework oferece distance vector metric é loop detection para BGP.

855
O AS number é um valor de dois octetos, variando no valor de 1 a 65535. Os AS numbers de
64512 a 65535 são definidos como números “AS” privados (private AS numbers). Private AS
numbers não devem ser anunciados na Internet global.
AS Path Regular Expression

AS path regular expression pode ser usado para exibir BGP routes e AS path access list. AS
path regular expression é baseada na POSIX 1003.2 regular expression.
Seguindo a descrição é apenas um subconjunto de POSIX regular expression., o usuário

pode usar a POSIX regular expression completa (Caracteres especiais são adicionados
para AS path regular expression.).
BGP routes – AS Path
Para mostrar rotas BGP que tem informações específicas sobre AS path use o comando
show ip bgp.
Comando: show ip bgp regexp line
Este comando mostras as rotas BGP que se correspondem com o AS Path regular
expression line.
AS Path Access List

A lista de acesso baseada em AS-Path é usada para fazer filtros das rotas que serão
divulgadas ou aprendidas com base no AS o qual elas pertencem. O AS Path Access List
usa expressões regulares para descrever um filtro.
Comando: ip as-path access-list word {permit|deny} line
Este comando define uma nova AS path access list.
Comando: no ip as-path access-list word
Comando: no ip as-path access-list word {permit|deny} line
Usando o AS Path em Route Map
Route Map: match as-path word
Route Map: set as-path prepend as-path
BGP Communities Attribute

BGP communities attribute é amplamente utilizado para a implementação de políticas de
roteamento. Os operadores de rede podem manipular atributos das comunidades BGP
856
com base em sua política de rede. O BGP atributo de comunidades é definido
em RFC1997, BGP Communities Attribute e RFC1998, Uma aplicação do BGP Community
Attribute in Multi-home Routing, ele é um atributo opcional transitivo, pois a política local
pode viajar por meio do sistema autônomo diferente.
O atributo comunidades é um conjunto de valores comunidades. Cada valor de

comunidades tem 4 octetos de comprimento, o seguinte formato é utilizado para definir
o valor de comunidades.
AS: VAL
Este formato representa 4 octetos dos valores das comunidades. O AS tem 2 octetos de
alta ordem em formato de dígitos. O VAL tem 2 octetos de baixa ordem em formato de
dígitos. Este formato é útil para definir o valor da política orientada AS ( AS oriented policy
value). Por exemplo, 7675:80 pode ser usado quando o AS 7675 quer passar pelo valor
da política local 80 para o neighboring peer.
Internet
Internet representa well-known communities com valor 0.
no-export
no-export representa well-known communities com valor NO_EXPORT

(0xFFFFFF01). Todas as rotas que levam este valor não devem ser anunciadas para fora
de um limite da confederação BGP(BGP confederation boundary). Se um neighboring BGP
peer for parte da confederação BGP, o peer será considerado como parte de um BGP
confederation boundary, para que a rota seja anunciada para o peer.
no-advertise
no-advertise representa comunidades bem conhecidas com valor NO_ADVERTISE

(0xFFFFFF02). Todas as rotas que levam este valor não devem ser anuncias a outros peers
BGP.
local-AS
Local-AS representa comunidades bem conhecidas com

valor NO_EXPORT_SUBCONFED (0xFFFFFF03). Todas as rotas que levam este valor não
devem ser anuncias para external BGP peers. Mesmo se o roteador vizinho fizer parte da
confederação, ele será considerado como external BGP peer, de modo que a rota não
seja anunciada para o peer.

857
Quando BGP communities atribute for recebido, os valores das comunidades duplicadas
no atributo das comunidades serão ignorados e os valores de todas as comunidades
serão classificados em ordem numérica.
BGP Community Lists

BGP community list é um usuário definido pela BGP communites attribute list. O BGP
community list pode ser usado para corresponder ou manipular o BGP communities
attribute nas atualizações.
Existem dois tipos de listas de comunidade; uma delas é a lista de comunidade padrão
(standard community list), a outra e a lista de comunidade expandida (expanded
community list). A lista de comunidade padrão define o atributo das comunidades e a lista
de comunidade expandida define a sequência de atributo das comunidades com
expressão regular. A lista de comunidade padrão é compilada em formato binário quando
definida pelo usuário. A lista de comunidade padrão será comparada diretamente com o
BGP communities attribute nas atualizações do BGP, portanto, comparação será mais
rápido do que a lista de comunidade expandida.
Comando: ip community-list standard name {permit|deny} community
Este comando define uma nova lista de comunidade padrão. Community é o valor das
comunidades (Community é compilado na estrutura da comunidade). Podemos definir
múltiplas listas de comunidade sobre o mesmo nome. Uma vez que a community list
corresponde à commuinity attribute nas atualizações do BGP, este comando permitirá ou
negará a definição da lista de comunidade (community list definition). Quando não
houver nenhuma entrada que corresponda à definição, o pedido será negado. Quando
a community estiver em branco ela corresponde a qualquer rota.
Comando: ip community-list expanded name {permit|deny} line
Este comando define uma nova lista de comunidade expandida. Line é uma expressão de
sequência do atributo das comunidades (string expression. Of communities atribute).
Line pode incluir uma expressão regular para corresponder o atributo das comunidades
nas atualizações de BGP.
Comando: no ip community-list name
Comando: no ip community-list standard name
Comando: no ip community-list expanded name
Estes comandos eliminam as listas da comunidade especificadas pelo comando

name. Todas as listas da comunidade compartilham um único espaço para o nome, assim

858
as listas da comunidade podem ser removidas simplesmente especificando o nome da
lista de comunidade.
Comando: show ip community-list
Comando: show ip community-list name
Este comando mostra a informação atual da lista de comunidade. Quando name for
especificado as informações da lista de comunidade especificadas serão mostradas.
# show ip community-list
Named Community standard list CLIST
permit 7675:80 7675:100 no-export
deny internet
Named Community expanded list EXPAND
permit :
# show ip community-list CLIST
Named Community standard list CLIST
permit 7675:80 7675:100 no-export
deny internet
Numbered BGP Community Lists

Quando o número for utilizado para o nome da lista de comunidade BGP, este número
tem significados especiais. O número da lista de comunidade na faixa de 1 a 99, é a lista
de comunidade padrão e o número da lista de comunidade na faixa de 100 e 199 é a lista
de comunidade expandida. Estas listas de comunidade são chamadas de listas de
comunidade numeradas (Numbered community lists). Por outro lado, as listas de
comunidade normais são chamadas de listas de comunidade nomeadas (named
community lists).
Comando: ip community-list <1-99> {permit|deny} community
Este comando define uma nova lista de comunidade. <1-99> é o número da lista de
comunidade padrão. O nome da comunidade de lista dentro desta faixa define a lista de
859
comunidade padrão. Quando community está em branco ela corresponde a qualquer
rota.
Comando: ip community-list <100-199> {permit|deny} community
Este comando define uma nova lista de comunidade. <100-199> é o número da lista de
comunidade expandida. O nome da comunidade de lista dentro desta faixa define a lista
de comunidade expandida.
Comando: ip community-list name {permit|deny} community
Quando o tipo de lista de comunidade não é definido, o tipo da lista de comunidade será
detectado automaticamente. Se community pode ser compilado no atributo de
comunidades (communities atribute), a lista de comunidade será definida como uma lista
de comunidade padrão, caso contrário ela será definida como uma lista de comunidade
expandida. O uso deste recurso não é recomendado.
BGP Community in Route Map

No Mapa da Rota podemos definir o BGP communities atribute, usando este recurso o
operador de rede pode implementar sua política de rede com base no BGP communities
attribute.
Abaixo temos os comandos que podem ser usados no Mapa de Rota.
Route Map: match community word
Route Map: match community word exact-match
Este comando combinar atualizações BGP usando a lista de comunidade word (communit
list word). Quando a palavra-chave exact-match for especificada, a combinação
acontecerá apenas quando as atualizações BGP têm os mesmos valores de comunidades
especificados na lista da comunidade.
Route Map: set community none
Route Map: set community community
Route Map: set community community additive
Este comando manipula os valores das comunidades nas atualizações

BGP. Quando none for especificado como valor de comunidades, ele removerá
completamente communities atribute das atualizações BGP. Quando community não for
especificado como none, o valor das comunidades especificadas será definido para
atualizações BGP. Se as atualizações BGP já tem um valor de comunidades BGP, o valor
existente será substituído pelo valor de comunidade especificado. Quando a palavra-

860
chave additive for especificada, community será acrescentado ao valor de comunidades
já existente.
Route Map: set comm-list word delete
Este comando remove o valor das comunidades do BGP communities attribute. Word é o
nome da lista de comunidade. Quando o valor de comunidade da rota BGP corresponde
à lista de comunidade word, o valor de comunidades será removido. Quando todos os
valores de comunidades forem removidos, os communities attribute da atualização BGP
serão completamente removidos.
Display BGP Routes by Community

Para mostrar quais rotas BGP tem BGP communities atribute específicos, use o
comando show ip bgp.
Comando: show ip bgp community
Comando: show ip bgp community community
Comando: show ip bgp community community exact-match
O comando show ip bgp community exibe rotas BGP, que tem atributo de comunidades
(community atribute). Quando community for especificada, as rotas BGP que
correspondem ao valor da comunidade serão exibidas. Para esse comando, a palavra-
chave internet não pode ser utilizada para um valor de comunidade (community
value). Quando exact-match for especificado, exibirá apenas as rotas que têm uma
correspondência exata (exact-match).
Comando: show ip bgp community-list word
Comando: show ip bgp community-list word exact-match
Este comando exibe as rotas BGP que correspondem à lista de

comunidade word. Quando exact-match for especificado, exibira somete as rotas que
têm uma correspondência exata.
Usando atributos de comunidades BGP

O AS 7675 proporciona conexão à Internet para o AS 100. Quando a seguinte
configuração existe no AS 7675, o operador de redes do AS 100 pode definir a preferência
local na rede 7675 AS para definir o atributo de comunidade BGP (BGP communities
ttribute) para às atualizações.
router bgp 7675


861
neighbor 192.168.0.1 route-map RMAP in
!
ip community-list 70 permit 7675:70
ip community-list 70 deny
!
route-map RMAP permit 10
match community 70
set local-preference 70
!
match community 80
!
match community 90
Seguindo a configuração acima 10.0.0.0/8 de AS 100 para AS 7675. A rota tem o valor de
comunidade 7675:80 de forma que quando a configuração acima existe no AS 7675, a
preferência local da rota anunciada será ajustada para o valor 80.
router bgp 100

network 10.0.0.0/8
neighbor 192.168.0.2 route-map RMAP out
!
ip prefix-list PLIST permit 10.0.0.0/8
!
match ip address prefix-list PLIST
set community 7675:80
A seguinte configuração é um exemplo de BGP route filtering usando o atributo de

comunidades. Essa configuração só permitir rotas BGP, que tem valor BGP comunidades
0:80 ou 0:90. O operador de rede pode colocar um valor de comunidade interna especial
(special internal communities value) no roteador de borda BGP, então limitando os
anúncios de rotas BGP para a rede interna.
router bgp 7675


862
!
ip community-list 1 permit 0:80 0:90
!
route-map RMAP permit in
match community 1
O seguinte exemplo de rotas de filtro BGP tem o valor da comunidade 1:1. Quando não
houver correspondência na lista de comunidade o comando ira negar). Para evitar a
filtragem de todas as rotas, e preciso definir a permissão de pelo menos uma rota.
router bgp 7675

!
ip community-list standard FILTER deny 1:1
ip community-list standard FILTER permit
!
match community FILTER
No exemplo abaixo keyword internet corresponde a todas as rotas BGP, mesmo que a
rota não tem o atributo de comunidades (communities atribute). Então a lista de
comunidade INTERNET será a mesma do exemplo acima FILTER.
ip community-list standard INTERNET deny 1:1

ip community-list standard INTERNET permit internet
A seguinte configuração é um exemplo de eliminação dos valores das comunidades

(communitities value deletion). Com esta configuração do valor de comunidades, o 100:1
é o 100:2 serão removidos das atualizações BGP. Para a eliminação dos valores das
comunidades (communitities value deletion), somente o permit community-list será
usado. O DENY community-list será ignorado.
router bgp 7675

!
ip community-list standard DEL permit 100:1 100:2
!
set comm-list DEL delete

863
BGP Extended Communities Attribute
BGP extended communities attribute é introduzida com a tecnologia MPLS VPN /
BGP. VPN MPLS / BGP expande a capacidade da infraestrutura de rede para fornecer a
funcionalidade da VPN. Ao mesmo tempo exige uma nova estrutura para a política de
roteamento. Com o BGP Extended Communities Attribute podemos usar o alvo da rota
(Rote Target) ou o site de origem (Site of origin) para a implementação da política de rede
para MPLS VPN / BGP.
Existem dois formatos para definir o Extended Community value. Uma delas é AS based
format é o outro IP address based format.
AS: VAL
Este é um formato usado para definir AS based Extended Community value.
7675:100
7675 representa AS é 100 representa o valor da política (policy value).
IP-Address:VAL
Este é um formato usado para definir o endereço IP baseado no Extended Community

value.
10.0.0.1:100
10.0.0.1 representa o endereço de IP e 100 representa o valor da política.
BGP Extended Community Lists

Expanded Community Lists é um usuário definido pela BGP Expanded Community List.
Comando: ip extcommunity-list standard name {permit|deny} extcommunity
Este comando define uma nova extcommunity-list (Extcommunity é o extended

communities value). Extcommunity é compilado em extended community structure e
podemos definir múltiplas extcommunity-list sobre o mesmo nome. Nesse caso a
combinação acontecera na ordem definida pelo usuário. Uma vez que a extcommunity-
list corresponda a extended communities attribute nas atualizações de BGP ele retornará
permit ou deny baseada na definição da extcommunity-list. Quando não há nenhuma
entrada correspondida, deny será retornado. Quando extcommunity está em branco
corresponderá a qualquer rota.
Comando: ip extcommunity-list expanded name {permit|deny} line

864
Este comando define uma nova Expanded extcommunity-list (Line é uma sequência de
expressões (string expression) da Extended communities attribute). Line pode incluir uma
expressão regular para corresponder ao Extended communities attribute nas atualizações
BGP.
Comando: no ip extcommunity-list name
Comando: no ip extcommunity-list standard name
Comando: no ip extcommunity-list expanded name
Estes comandos excluem as Extended community lists especificadas pelo nome. Todas as
comunidades estendidas (extended communities) dividem um único namespace para
que as Extended community lists possam ser removidas simplesmente especificar ao o
nome.
Comando: show ip extcommunity-list
Comando: show ip extcommunity-list name
Este comando exibe informações extcommunity da lista atual.
# show ip extcommunity-list
BGP Extended Communities in Route Map

Route Map: match extcommunity word
Route Map: set extcommunity rt extcommunity
Este comando define o valor da rota (Route Target value).
Route Map: set extcommunity soo extcommunity
Este comando define o valor da origem mapeada (Site of Origin value).
Show IP BGP
Comando: show ip bgp
Comando: show ip bgp A.B.C.D
Comando: show ip bgp X:X::X:X

865
Este comando exibe rotas BGP, quando nenhuma rota for especificada este comando
exibirá todas as rotas BGP IPv4.
BGP table version is 0, local router ID is 10.1.1.1

Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path

*> 1.1.1.1/32 0.0.0.0 0 32768 i
Total number of prefixes 1
Show IP BGP
Comando: show ip bgp regexp line
Este comando de exibe as rotas BGP usando AS path regular expression.
Comando: show ip bgp community community
Comando: show ip bgp community community exact-match
Este comando de exibe as rotas BGP usando community.
Comando: show ip bgp community-list word
Comando: show ip bgp community-list word exact-match
Este comando de exibe as rotas BGP usando community list.
Comando: show ip bgp summary
Comando: show ip bgp neighbor [peer]
Comando: clear ip bgp peer
Este comando limpa os peers que têm endereços de X.X.X.X
Comando: clear ip bgp peer soft in
Este comando limpa o peer usando reconfiguração suave.
Comando: show debug
Comando: debug event

866
Comando: debug update
Comando: debug keepalive
Comando: no debug event
Comando: no debug update
Comando: no debug keepalive
Capability Negotiation
Por padrão, o Firewall trará o peering com capacidade mínima para ambos os lados. Por
exemplo, o roteador local tem capacidade Unicast e Multicast, e o roteador remoto tem
capacidade unicast.
Se você deseja combinar completamente as capacidades com peer remoto, use o

comando strict-capability-match.
Comando BGP: neighbor peer strict-capability-match
Comando BGP: no neighbor peer strict-capability-match
Este comando compara as capacidades remotas e recursos locais. Se os recursos forem

diferentes, o comando enviará à mensagem Unsupported Capability error, é reiniciará
conexão.
Comando BGP: neighbor peer dont-capability-negotiate
Comando BGP: no neighbor peer dont-capability-negotiate
Suprimir o envio da capacidade de negociação como OPEN message optional parameter

para os peers. Este comando afeta apenas o peer configurado, exceto o IPv4 unicast
configuration.
Quando peer remoto não tem recurso de capacidade de negociação (capability

negotiation feature), o peer remoto não vai enviar nenhuma capacidade. Nesse caso, o
BGP configura o peer com capacidades configuradas.
Comando BGP: neighbor peer override-capability
Comando BGP: no neighbor peer override-capability
Este comando substitui o resultado da capacidade de negociação (Capability Negotiation)

com a configuração local e ignorar o valor da capacidade do peer remoto (remote peer’s
capability value).

867
Route Reflector
Comando BGP: bgp cluster-id a.b.c.d
Comando bgp: neighbor peer route-reflector-client
Comando bgp: no neighbor peer route-reflector-client
IPv6 Support
 Router Advertisement
Comando de Interface: no ipv6 nd suppress-ra
Envia mensagens de anúncio de roteador (router advertisment messages).
Comando de Interface: ipv6 nd suppress-ra
Não envia mensagens de anúncio de roteador.
Comando de Interface: ipv6 nd prefix ipv6prefix [valid-lifetime] [preferred-lifetime] [off-

link] [no-autoconfig] [router-address]
Configurando o prefixo IPv6 para incluir em anúncios de roteador.
 valid-lifetime -
O período de tempo em segundos, que o prefixo será válido para on-link determination.
Range: <0-4294967295> Default: 2592000
 preferred-lifetime -
O período de tempo em segundos, que os endereços gerados a partir do prefixo
permanecem preferenciais.
Range: <0-4294967295> Default: 604800
off-link - indica que a propaganda não faz afirmações sobre as propriedades on-link ou
off-link do prefixo.

868
Padrão: sem definição, ou seja, este prefixo pode ser usado para on-link determination.
 no-autoconfig – indica para os hosts no link local, que o prefixo especifico não
pode ser usado pelo “auto configuração IPv6 (IPv6 autoconfiguration)”.
 Padrão: sem definição, ou seja, este prefixo pode ser de autoconfiguração.
 router-address - indica aos hosts no link local, que o prefixo especifico contém um
endereço IP completo por configuração R flag (complete IP address by setting R
flag)
Padrão: sem definição, ou seja, os hosts não permitiram que um endereço de IP

completo seja colocado.
Comando de Interface: ipv6 nd ra-interval SECONDS
Comando de Interface: no ipv6 nd ra-interval
O comando acima define o tempo máximo permitido entre o envio de anúncios não
solicitados do roteador multicast da interface em segundos. Este valor não deve ser
menos que 3 segundos.
Default: 600
Comando de Interface: ipv6 nd ra-interval msec MILLISECONDS
Comando de Interface: no ipv6 nd ra-interval msec
Define o tempo máximo permitido entre o envio de anúncios não solicitados do roteador
multicast da interface em milissegundos. Este valor deve ser menos que 30
milissegundos.
Default: 600000
Comando de Interface: ipv6 nd ra-lifetime SECONDS
Comando de Interface: no ipv6 nd ra-lifetime
Indica o valor que será colocado no campo Router Lifetime de anúncios de roteador
enviados da interface em segundos. Definindo o valor zero indica que o roteador não
deve ser considerado um roteador padrão nesta interface. Este número deve ser zero ou
entre um valor especificado com ipv6 nd ra-interval (ou padrão) e 9000 segundos.
Default: 1800

869
Comando de Interface: ipv6 nd reachable-time MILLISECONDS
Comando de Interface: no ipv6 nd reachable-time
Indica o valor que será colocado no campo Reachable Time nas mensagens de anúncio
do roteador que foram enviadas pelo roteador em milissegundos. O tempo configurado
permite que o roteador detecte vizinhos indisponíveis. O valor zero significa não
especificado por este roteador. Este número não dever ser maior que 3.600.000
milissegundos (1 hora).
Default: 0
Comando de Interface: ipv6 nd managed-config-flag
Comando de Interface: no ipv6 nd managed-config-flag
Ativa/desativa Flag nos anúncios de roteador IPv6 (IPv6 router advertisements) que
indicará aos hosts que eles devem usar um protocolo gerenciado (stateful) para auto
configuração de endereços, na inclusão de qualquer endereço auto configurado usando
a autoconfiguração de endereço sem estado (stateless address autoconfiguration).
Default: não definido
Comando: ipv6 nd other-config-flag
Comando: no ipv6 nd other-config-flag
indicará aos hosts que eles devem usar o protocolo administrador (stateful) para obter
informações de autoconfiguração que não sejam de endereços.
Default: not set
Comando de Interface: ipv6 nd home-agent-config-flag
Comando de Interface: no ipv6 nd home-agent-config-flag
indicará aos hosts que o roteador vai agir como um Home Agent.
Default: not set
Comando de Interface: ipv6 nd home-agent-preference
Comando de Interface: no ipv6 nd home-agent-preference
Indica o valor que será colocado na opção Home Agent, quando o Home Agent config flag
estiver definido, indicará aos hosts a preferência do Home Agent.

870
Default: 0
Comando de Interface: ipv6 nd home-agent-lifetime
Comando de Interface: no ipv6 nd home-agent-lifetime
Indica o valor que será colocado na opção Home Agent, quando o Home Agent config flag
estiver definido indicará o Home Agent Lifetime para os hosts. O valor 0 significa que
Router Lifetime deve ser colocado.
Default: 0
Comando de Interface: ipv6 nd adv-interval-option
Comando de Interface: no ipv6 nd adv-interval-option
Adiciona uma opção Advertisement Interval que indica aos hosts o tempo máximo em
milissegundos, entre sucessivos Router Advertisements que não foram solicitados.
Default: not set
36.11. Avançado
Figura 611 - Roteamento avançado.

871
Esta configuração permite a utilização de rotas por origem e o balanceamento de link por
rotas, onde é possível direcionar o tráfego de rede para um determinado gateway a partir de
sua origem e ainda balancear este tráfego em até 3 links diferentes. Não é possível configurar
rotas por origem pela tabela de roteamento Geral, por esse motivo as regras criadas aqui têm
maior prioridade.
Para realizar com sucesso esta configuração, é necessário cadastrar as entidades de origem,
destino e serviço antes do início do processo. Este cadastramento pode ser realizado tanto na
Interface Remota do Aker Control Center como no modo texto utilizando o comando “fwent”
no console do Aker Firewall.
Abaixo segue alguns exemplos de configurações:
Teste da funcionalidade balanceamento de link por rota:
Laboratório
Figura 612 - Exemplo de laboratório de teste – balanceamento de rotas.
Testes e configurações
Configurações do FW A:

872
Figura 613 - Teste e configurações – NAT – exemplo A.
Figura 614 - Teste e configurações – Balanceamento de link – exemplo B.
Via linha de comando:
fwadvroute inclui 1 -src 192.168.0.0/255.255.255.0 -dst 172.16.21.0/255.255.255.0 -bal 1 2 3
Configurações do FW B:
Figura 615 - Teste e configurações – NAT exemplo B.

873
Figura 616 - Teste e configurações – Balanceamento de link – exemplo B.
Figura 617 - Roteamento.
Via linha de comando:
fwadvroute inclui 1 -src 172.16.21.0/255.255.255.0 -dst 192.168.0.0/255.255.255.0 -bal 1 2 3
Esta configuração faz com que todo o tráfego entre as redes 192.168.0.0/24 e 172.16.21.0/24
seja balanceado pelos 3 links.
Utilizando a Interface Texto (via SSH) Interface Texto (via SSH):
Localização do programa: /aker/bin/firewall # fwadvroute ajuda
Aker Firewall
Uso: fwadvroute ajuda

874
fwadvroute mostra
fwadvroute inclui <pos> -src <src_ents> -dst <dst_ents> [-svc <svc_ents>]
{ -gw <gw_ent> | [-P] -bal <link1> <link2> ... }
fwadvroute remove <pos>
fwadvroute < habilita | desabilita > <pos>
fwadvroute refresh
Os parâmetros são:
pos: posição da regra na tabela (a partir de 1);
src_ents : Entidades origem (rede/máquina/conjunto);
dst_ents : Entidades destino (rede/máquina/conjunto);
svc_ents : Entidades serviço (servico);
gw_ent : Entidade gateway (máquina);
linkN : Nomes dos links para balanceamento (veja 'fwblink mostra');
-P : Persistência de conexão.
A seguir, serão demonstrados alguns exemplos práticos das sintaxes utilizadas nesta
configuração:
Nota: Os nomes das entidades utilizadas nos exemplos são apenas nomes de demonstração
para facilitar a compreensão.
Sintaxe: fwadvroute inclui <pos> -src <src_ents> -dst <dst_ents> [-svc <svc_ents>] -gw
<gw_ent>
Cria e/ou define uma rota especificando a posição, origem, serviço (caso haja), destino e o
gateway desejado.
Exemplo: fwadvroute inclui 1 -src "rede interna" -dst host1 -gw server1
Note que para indicar a entidade "rede interna" foi utilizada aspas, pois, nomes de
entidades que contenham mais de uma palavra devem estar sempre entre aspas.
875
Caso o espaço para indicar o serviço a ser utilizado estiver vazio, serão considerados todos
os serviços para esse roteamento.
Sintaxe: fwadvroute remove <pos>
Remove uma rota já criada indicando a posição da mesma.
Exemplo: fwadvroute remove 1
Sintaxe: fwadvroute < habilita | desabilita > <pos>
Habilita ou desabilita uma rota indicando a posição da mesma.
Exemplo: fwadvroute habilita 1
36.12. Utilizando a Interface Texto (via SSH-fwkey) nas Chaves de Ativação
É possível configurar as Chaves de Ativação pela Interface Texto (via SSH).
Localização do programa: /aker/bin/firewall/fwkey path
Path: Caminho completo do arquivo com a chave de ativação a ser substituída.
36.13. Utilizando a Interface Texto (via SSH-fwinterface) na Configuração TCP/IP
É possível configurar os parâmetros do TCP/IP pela Interface Texto (via SSH).
Localização do programa:/aker/bin/firewall/fwinterface
O programa é interativo e as opções de configuração são as descritas abaixo:
Figura 618 - Modo de configuração para interfaces de rede.

876
Analogamente a configuração da Interface Remota, a Interface Texto (via SSH) possui 6
opções conforme visualizado na figura acima.
Na janela abaixo é possível visualizar, configurar e desconfigurar uma interface de rede
Figura 619 - Configuração de Interfaces.

877
Na tela abaixo é apresentada a opção de listar interfaces
Figura 620 - Lista de interfaces de rede.
Para configurar uma interface deve-se digitar o nome da mesma. A tecla <enter> retorna ao
menu anterior.
Figura 621 - Módulo de configuração para interfaces de rede.

878
Nesta tela é apresentada a opção de cadastrar VLAN
Figura 622 - Cadastro de VLan.

879
Após a digitação dos valores de configuração é perguntado se deseja configurar alias para a
interface.
Figura 623 - Configuração de interfaces.

880
Após a digitação da Opção 2 da tela principal, é possível realizar a configuração de rotas
estáticas.
Figura 624 - Configuração de rotas estáticas.

881
Após as informações terem sido digitadas é perguntado se deseja gravar as novas
configurações.
Figura 625 - Configuração de rotas estáticas – entrada de dados.

882
Após a digitação da Opção 3 da tela principal, é possível realizar a configuração dos Servidores
DNS.
Figura 626 - Configuração de DNS.
Após a digitação da Opção 4 da tela principal, é possível realizar a configuração da rota

padrão.
A opção 5 da tela principal salva as novas configurações.
Figura 627 - Módulo de configuração para interfaces de rede.

883
36.14. Utilizando a Interface Texto (via SSH-akwireless) na Configuração de Wireless
Esta opção é configurada apenas pelo console do Aker Firewall e está disponível somente no Aker
Firewall Box com suporte para conexão Wireless.
O Aker Firewall possui suporte a múltiplas SSIDs, ou seja, podem ser configuradas diferentes
redes sem fio no mesmo equipamento conforme a necessidade. Atualmente o limite de SSIDs é
4 (1master + 3virtuais), ou seja, 4 redes wireless distintas.
No Aker Firewall, para utilizar múltiplas SSID é necessário criar várias interfaces utilizando o
seguinte comando:
Sintaxe: wireless cria_interface ath0 ap g
Sintaxe: wireless cria_interface ath...N ap g
As configurações personalizadas devem ser realizadas para cada interface criada.
A seguir, serão demonstrados seus comandos e alguns exemplos de configuração:
Localização do programa: /aker/bin/firewall/akwireless
Uso: akwireless cria_interface <interface> <sta|adhoc|ap|monitor|wds|ahdemo> <b:g>
akwireless destroi_interface <interface>
akwireless muda_protocolo <interface> <b:g>
akwireless lista_interface [interface]
akwireless muda_modo <interface> <sta|adhoc|ap|monitor|wds|ahdemo>
akwireless muda_SSID <interface> <SSID>
akwireless wep_chave <interface> <indice> <chave>
akwireless wep_chave_indice <interface> <indice>
akwireless wpa1_chave <interface> <chave> <arq>
akwireless wpa2_chave <interface> <chave> <arq>
akwireless sem_chave <interface>
akwireless escolhe_lista_mac <interface> black:white <mac_arq>

884
akwireless add_mac <interface> <mac>
akwireless del_mac <interface> <mac>
akwireless lista_mac <interface>
akwireless limpa_lista <interface>
akwireless lista_autenticacao |interface|
akwireless muda_canal <interface> |channel|
akwireless lista_usuarios_conectados <interface>
Logo após um comando, é obrigatório inserir os dados necessários quando o espaço para
inseri-los estiver entre os sinais "< e >" (menor que, e maior que). Caso este espaço estiver
entre os sinais "[e]" (colchetes), será facultativo a inserção dos mesmos.
Vários desses comandos são autoexplicativos, por este motivo será enfatizada às
particularidades dos comandos mais importantes:
akwireless cria_interface <interface> <sta | adhoc | ap | monitor | wds | ahdemo> <b:g> =

cria uma interface.
Dentre os modos existentes, o mais utilizado é o "AP" (Modo Master), que permite outras
máquinas se conectarem nele.
Existem vários protocolos como A, B, G, N. Os protocolos A e N são suportados pelo Aker

Firewall apenas nas versões 6.5 com patch1 e superiores.
As interfaces wireless são definidas por "ath", logo, caso existam 3 interfaces listadas, estas
serão definidas por: ath0, ath1 e ath2.
akwireless destroi_interface <interface> = destrói uma interface.
Sintaxe: wireless destroi_interface ath0
akwireless muda_protocolo <interface> <b:g> = altera o protocolo a ser utilizado.
Sintaxe: wireless muda_protocolo ath0 g

885
Cabe ressaltar que a placa wireless suporta apenas um protocolo para todas as interfaces. O
Aker Box do primeiro semestre de 2010 suportava até 7 interfaces wireless, a partir desta
data ele suportará até 3 interfaces wireless.
akwireless lista_interface [interface] = mostra todas as interfaces listadas.
Sintaxe: wireless lista_interface
Caso queira listar uma determinada interface, basta defini-la na frente do comando.
akwireless muda_modo <interface> <sta | adhoc | ap | monitor | wds | ahdemo> = altera o

modo a ser utilizado.
Sintaxe: wireless muda_modo ath0 ap
akwireless muda_SSID <interface> <SSID> = criar/alterar nome da rede wireless.
Sintaxe: wireless muda_SSID ath0 rede1
akwireless wep_chave <interface> <índice> <chave> = habilitar autenticação WEP com índice
e chave indicados.
Sintaxe: wireless wep_chave ath0 1 12345
akwireless wep_chave_indice <interface> <índice> = altera o índice corrente.
Sintaxe: wireless wep_chave_indice ath0 1
Pode-se criar até 4 chaves em índices diferentes.
akwireless wpa1_chave <interface> <chave> <arq> = habilita autenticação WPA1 com a

chave e o arquivo de configuração indicados.
Sintaxe: wireless wpa1_chave ath0 123456789 wpa1.conf
Pode-se obter configurações avançadas modificando o arquivo de configuração citado acima.
akwireless wpa2_chave <interface> <chave> <arq> = habilita autenticação WPA2 com a

chave e o arquivo de configuração indicados.
Sintaxe: wireless wpa2_chave ath0 123456789 wpa2.conf
Pode-se obter configurações avançadas modificando o arquivo de configuração citado acima.
akwireless sem_chave <interface> = desabilitar autenticação.

886
Sintaxe: wireless sem_chave ath0
akwireless escolhe_lista_mac <interface> black : white <mac_arq> = habilitar a filtragem de

Mac.
Sintaxe: wireless escolhe_lista_mac ath0 white white.conf
Black: lista de macs que não poderão se conectar no Firewall.
White: lista dos únicos macs que poderão se conectar ao Firewall.
akwireless add_mac <interface> <mac> = adicionar um Mac na lista.
Sintaxe: wireless add_mac ath0 00:13:20:3A:11:5B
akwireless del_mac <interface> <mac> = deletar um Mac da lista.
Sintaxe: wireless del_mac ath0 00:13:20:3A:11:5B
akwireless lista_mac <interface> = listar os Mac adicionados.
Sintaxe: wireless lista_mac ath0
akwireless limpa_lista <interface> = deleta todos os Macs listados.
Sintaxe: wireless limpa_lista ath0
akwireless lista_autenticacao |interface| = listar os tipos de autenticação de cada interface.
Sintaxe: wireless lista_autenticacao ath0
akwireless muda_canal <interface> |channel| = alterar o canal da interface.
Sintaxe: wireless muda_canal ath0 3
Para mostrar os canais disponíveis, basta utilizar este comando sem indicar o canal.
akwireless lista_usuários_conectados <interface> = Mostra os usuários que estão

conectados.
Sintaxe: wireless lista_usuários_conectados ath0
Esta configuração é realizada apenas por meio da Interface Texto (via SSH).

887
36.15. Módulo de WIDS
Nos dias atuais as redes wireless são vulneráveis de varias formas (espionagem, uso ilegal,
acessos não autorizado, e ataque de negação de serviço conhecidos como “warchalking e
DOS Attack”). Estes problemas são o principal obstáculo no uso de redes wireless, que tanto
preocupa os usuários que estão sujeitos a expor seus computadores a acessos ilegais através
de redes Wi-Fi. Em redes cabeadas estes ataques são realizados através dos cabos de rede,
em redes wireless este ataque pode vir de qualquer computador que esteja em sua
vizinhança.
Para este problema o Aker Firewall oferece o WIDS (Wireless Intrusion Detection System)
que monitora as redes WI-FI com o intuito de detectar a presença de usuários não
autorizados, pontos de acesso não autorizados (Rogue Access Point) e o uso de ferramentas
de ataques a redes wireless em tempo real. O WIDS possui a capacidade de:
Autoaprendizagem, autodefesa e contra ataques, incluindo o envio de alertas ao
administrador de rede. O WIDS é similar ao IDS padrão, a diferença e que o WIDS possui
recursos específicos para invasão de WLAN.
Configurando o WIDS no Aker Firewall (Interface Texto – via SSH)
 Primeiramente o administrador deve entrar com o comando “akwids”, e informar se a

interface WIDS irá rodar em conjunto com uma interface wireless em modo AP ou não. Ao
selecionar “sim” o usuário deve saber as configurações da interface wireless (nome das
interfaces utilizadas e canal configurado). Ao selecionar “não” o usuário deve estar com o AP
desabilitado (este processo e realizado por meio da Control Center, e será explicado a seguir).
Figura 628 – Configurando o WIDS

888
Ao especificar “S” o canal especificado será monitorado. Caso queira monitorar todos os
canais especifique “N”. Lembrando que ao especifica “N” o AP deve estar desabilitado, e não
há necessidade. A seguir instruções de como desabilitar o AP:
Acesse o menu “TCP/IP” do firewall o qual está sendo gerenciado, e selecione Wireless:
Figura 629 – Desabilitando o AP
Na aba “Configurações” desabilite a opção “Habilitar Rádio”.
 No próximo passo o usuário deve especificar o canal o qual a interface AP está utilizando
Figura 630 – Especificando o canal da interface

889
 Agora o usuário deve inserir o nome da interface que será utilizada para o WIDS, lembrando
que este nome não ser o mesmo de nenhuma interface que já esteja criada.
Figura 631 – Selecionando o nome da Interface
 A interface está sendo criada, e o servido está sendo iniciado.
Figura 632 – Iniciando o servidor
 Janela de monitoramento do WIDS

890
Figura 633 – janela de monitoramento do WIDS
 Ao sair da janela de monitoramento do WIDS, duas opções serão apresentadas
Figura 634 – Opções ao sair do WIDS
Leave – Ao selecionar esta opção o monitoramento do WIDS continuará em execução (para

voltar à janela de monitoramento execute o comando “kismet_client” na via SSH).
Kill – Ao selecionar esta opção o monitoramento do WIDS será encerrado completamente.
36.16. Utilizando a Interface Texto (via SSH-akddns) na Configuração de DDNS
Esta opção é configurada apenas pelo console do Aker Firewall.
A seguir, serão demonstrados seus comandos e alguns exemplos de configuração:
Localização do programa: /aker/bin/firewall/akddns

891
akddns - Configura um cliente de servico DDNS
Uso: akddns [ajuda | mostra | ativa | desativa | lista | limpa]
akddns interface <interface>
akddns server <servername> <servico> <dynamic_name> [login_server] [pwd_server]
akddns gateway <tipo_gateway> <ip_gateway> <porta_gateway> [login_gateway]

[pwd_gateway]
akddns web <url> [token]
akddns ip <ip>
ajuda = mostra essa mensagem
ativa = ativa o cliente de servico DDNS
desativa = desativa o cliente de servico DDNS
mostra = mostra o estado atual do cliente e sua configuração
lista = lista modelos de gateways que podem ser consultados para obter IP publico
server = configura servico DDNS a ser utilizado
<servername> = hostname do servico DDNS
<servico> = servico utilizado (exemplo: dyndns2, zoneedit1)
<dynamic_name> = hostname a ser configurado no servico DDNS
[login_server] = login no servico DDNS
[pwd_server] = senha no servico DDNS
O cliente DDNS utilizara um dos meios abaixo para obter o IP publico do hostname
configurado:
interface = usa IP da interface fornecida para o hostname sendo configurado

892
<interface> = nome da interface que possui o IP utilizado
gateway = consulta um gateway (roteador, etc) para obter o IP publico do hostname sendo
configurado
<tipo_gateway> = modelo do gateway a ser consultado (ver comando 'lista')
<ip_gateway> = endereço Eco IP do gateway
<porta_gateway> = porta onde a consulta será feita
[login_gateway] = login no gateway
[pwd_gateway] = senha no gateway
web = consulta uma pagina WEB que contém o IP publico para o hostname sendo
configurado
<url> = URL da pagina WEB a ser consultada
[token] = Token a partir do qual a consulta pelo IP publico
será feita
ip = estabelece um IP publico estático para o hostname sendo configurado
<ip> = endereço IP publico estático
Logo após um comando, é obrigatório inserir os dados necessários quando o espaço para
inseri-los estiver entre os sinais “< e >” (menor que, e maior que). Caso esse espaço estiver
entre os sinais “[e]” (colchetes), será facultativo a inserção dos mesmos.
Vários desses comandos são autoexplicativos, por este motivo será enfatizada às
particularidades dos comandos mais importantes:
ddns server <servername> <servico> <dynamic_name> [login_server] [pwd_server] =

configura o servidor DDNS a ser utilizado pelo produto.
Sintaxe: ddns server members.dyndns.org dyndns2 meuhost.dyndns.org usuário senha no

comando, especifica-se o hostname do servidor onde se fará a atualização, o protocolo a ser
utilizado para isso (ex. dyndns2), o hostname a ser atualizado, o login e a senha de atualização.
ddns interface <interface> = monitora o IP de uma interface.
Sintaxe: ddns interface eth0 = Com esse comando, o IP dinâmico a ser atualizado no servidor
será o existente na interface fornecida (ex. eth0).
893
ddns gateway <tipo_gateway> <ip_gateway> <porta_gateway> [login_gateway]
[pwd_gateway] = monitora o IP de um gateway da rede
Sintaxe: ddns gateway linksys 10.0.0.1 80 usuários senha com esse comando, o IP dinâmico a
ser atualizado no servidor será o de um gateway (ex. modem) da rede. Normalmente, seria o
IP externo da rede. Para uma lista com os tipos de gateway suportados, execute o comando
“ddns lista”.
ddns web <url> [token] = monitora o IP fornecido em uma URL.
Sintaxe: ddns web meuip.meudominio.com.br "IP:"
Com esse comando, o IP dinâmico a ser atualizado no servidor será obtido a partir de uma
página web localizada na URL fornecida, após o token configurado.
ddns ip <ip> = especifica um IP fixo a ser fornecido ao servidor DDNS
Sintaxe: ddns ip 200.140.230.137
Define um IP fixo para o seu hostname cadastrado no servidor DDNS.
36.17. Configuração de Internet móvel
A partir de agora, o Aker Firewall UTM passa a suportar conexão pelos modems 3G e 4G. Essa
funcionalidade foi desenvolvida para garantir maior mobilidade e facilidade no acesso à
Internet.
Conexão via modem de Internet móvel
O Aker Firewall permite que você conecte um modem 3G/4G em sua porta USB e essa
conexão passa a ser utilizada como um link de dados para acesso à Internet.
É possível assim, proporcionar maior economia e facilidade na instalação para os usuários do

Aker Firewall, pois os links de dispositivos móveis, além de mais baratos e rápidos, possuem
uma instalação simples, que dispensa equipamentos e cabos de rede, e permite que o usuário
os configure logo que o modem 3G/4G é plugado.
Configuração do modem de Internet móvel no Aker Firewall
A configuração de Internet móvel do Aker Firewall é muito simples e intuitiva. Primeiramente

o usuário deve conectar o seu modem 3G/4G para que o reconhecimento seja realizado

894
automaticamente. O restante das configurações será realizado na “Control Center” por meio
do menu TCP/IP > opção Interface de rede".
Figura 635 - Interfaces de rede
Na janela “Interfaces de rede”, ao conectar o seu modem 3G/4G, uma nova interface
chamada “Internet Móvel” será exibida.
Figura 636 - Interface de rede” Internet Móvel”
Para configurar sua conexão de internet móvel, clique com o botão direito na interface virtual
do dispositivo móvel e opte pela opção "Usar internet móvel". A janela a seguir será exibida:

895
Figura 637 - Configuração 3G
Ao realizar o procedimento acima, uma janela de configuração será aberta com os seguintes
campos:
 Nome do dispositivo: neste campo o usuário deve selecionar a interface que será usada
na conexão 3G/4G.
 Ativar no boot: esta opção permite efetuar a conexão automaticamente, após ligar o Aker
Firewall BOX;
 Usar configuração DNS do servidor: permite a utilização das configurações de DNS,
fornecidas pela operadora do 3G/4G;
 Usar rota Padrão do Servidor: esta opção permite que se utilize como rota padrão o link
de internet móvel (apenas no caso da rota padrão não ter sido configurada previamente);
 Provedor: neste campo, o usuário deve selecionar o provedor de Internet de sua rede
3G/4G.
 APN: neste campo, o usuário deve definir a APN (Access Point Name) de seu provedor
para que este possa se conectar à Internet.
Existem três opções já criadas:
 TIM;
 CLARO;
 VIVO.
Testando a conexão
Após configurar a interface de dispositivo móvel, o Aker Firewall vai tentar discar para a
operadora. Esse procedimento pode não funcionar por problemas na operadora.
896
Para verificar se conexão foi efetuada com sucesso, observe a cor da interface criada. Se tiver
com uma cor clara, quer dizer que o modem conectou-se normalmente. Se a cor for escura,
significa que houve algum problema. Então, repita o procedimento e, se o problema
continuar, contate o departamento de suporte da Aker Security Solutions.
Segue a lista de modens 3G e 4G suportados:
Option GlobeSurfer Icon (aka "Vodafone EasyBox") PROLiNK PHS100

Hyundai Mobile MB-810
DefaultVendor= 0x05c6
DefaultProduct= 0x1000 DefaultVendor= 0x1e0e
DefaultProduct= 0xf000
Option GlobeSurfer Icon 7.2
AT&T USBConnect Quicksilver (made by Option,
DefaultVendor= 0x05c6 HSO driver)
DefaultProduct= 0x1000
DefaultVendor= 0x0af0
Option GlobeTrotter GT MAX 3.6 (aka "T-Mobile DefaultProduct= 0xd033
Web'n'walk Card Compact II")
Huawei devices
DefaultProduct= 0x1000 DefaultVendor= 0x12d1
Option GlobeTrotter GT MAX "7.2 Ready" Huawei E169 and others
DefaultVendor= 0x05c6 DefaultVendor= 0x12d1

DefaultProduct= 0x1000 DefaultProduct= 0x1001
Option GlobeTrotter EXPRESS 7.2 (aka "T-Mobile

wnw Express II") Huawei E180

Option GlobeSurfer Icon 7.2, new firmware (HSO Huawei E630

driver)
DefaultVendor= 0x1033
DefaultVendor= 0x0af0 DefaultProduct= 0x0035

897
ZTE MF620 (aka "Onda MH600HS")  Configuração# 2
DefaultVendor= 0x19d2 DefaultVendor= 0x19d2

DefaultProduct= 0x2000 DefaultProduct= 0xfff6
ZTE MF622 (aka "Onda MDC502HS"), MF100 e

outros  Configuração# 3

ZTE MF628 ZTE AC2710 (EVDO)

ZTE MF622
ZTE MF626 ZTE 6535-Z
ZTE MF628
ZTE MF633 DefaultVendor= 0x19d2
ZTE MF636 DefaultProduct= 0x2000
ZTE MF637
ONDA MT503HS
DefaultVendor= 0x19d2
ZTE MF638 (aka "Onda MDC525UP")
ONDA MT505UP
ZTE AC8710
ZTE AC2726 Novatel Wireless Ovation MC950D HSUPA
Novatel Wireless Merlin XU950D
 Configuração# Novatel Wireless Ovation 930D
DefaultVendor= 0x19d2 DefaultVendor= 0x1410

DefaultProduct= 0xfff5 DefaultProduct= 0x5010

898
Novatel U727 USB modem DefaultVendor= 0x1a8d
Novatel MC990D Solomon S3Gm-660
DefaultVendor= 0x1410 DefaultVendor= 0x1dd6

DefaultProduct=0x5020 DefaultProduct= 0x1000
C-motech D-50 (aka "CDU-680")

Novatel U760 USB modem
DefaultVendor= 0x1410 DefaultProduct= 0x6803
C-motech CGU-628 (aka "Franklin Wireless CGU-
Alcatel One Touch X020 (aka OT-X020, aka MBD- 628A" aka "4G Systems XS Stick W12")
100HU, aka Nuton 3.5G)
Alcatel One Touch X030 (aka OT-X030, aka Nuton DefaultVendor= 0x16d8
NT36HD) DefaultProduct= 0xf000
Toshiba G450
DefaultVendor= 0x1c9e
DefaultProduct= 0x1001 DefaultVendor= 0x0930
DefaultProduct= 0x0d46
Alcatel X200/X060S
UTStarcom UM175
DefaultVendor= 0x1bbb
DefaultProduct= 0xf000 DefaultVendor= 0x106c
DefaultProduct= 0x3b03
DATA ADU-500A, ADU-510A, ADU-510L, ADU-520A Hummer DTM5731
DefaultVendor= 0x1ab7
DefaultVendor= 0x05c6 DefaultProduct= 0x5700
A-Link 3GU
BandLuxe C120
DefaultVendor= 0x1e0e

899
DefaultProduct= 0xf000 DefaultVendor= 0x1c9e
Sierra Wireless Compass 597
DefaultProduct= 0x0fff
Sierra Wireless AirCard 881U Cricket A600
DefaultVendor= 0x1199 DefaultVendor= 0x1f28

DefaultProduct= 0x0fff DefaultProduct= 0x0021
Sony Ericsson MD400 EpiValley SEC-7089

DefaultVendor= 0x1b7d
DefaultVendor= 0x0fce
DefaultProduct= 0xd0e1 Samsung U209
LG LDU-1900D EV-DO (Rev. A) DefaultVendor= 0x04e8

DefaultProduct= 0xf000
DefaultProduct= 0x1000 Huawei E270+ )
Huawei E1762
Samsung SGH-Z810 USB Huawei E1820

MobiData MBD-200HU Huawei E1550

Huawei E1750
DefaultProduct= 0xf000 DefaultVendor= 0x12d1
ST Mobile Connect HSUPA USB Modem
ZTE K3520-Z
MyWave SW006 Sport Phone/Modem
Combination MobiData MBD-200HU (aka 4G XS Stick W10/W14,
aka Micromax MMX 300G,

900
aka ChinaBird CBCPL68) DefaultProduct= 0x2578
Huawei E1612
D-Link DWM-162-U5, Micromax MMX 300c
Huawei E1690
DefaultVendor= 0x05c6 Huawei E1692
DefaultProduct= 0x2001 Huawei E1762
Novatel MC760 3G DefaultVendor= 0x12d1

DefaultProduct= 0x5031 C-motech CHU-629S
ZTE MF110 (Variant)

DefaultVendor= 0x19d2 DefaultProduct= 0x700a
Sagem F@ST 9520-35-GLR
Philips TalkTalk (NXP Semiconductors "Dragonfly")
DefaultProduct= 0x7f40
Nokia CS-15
HuaXing E600 (NXP Semiconductors "Dragonfly")
DefaultVendor= 0x0471 DefaultProduct= 0x0610
Huawei K3765
ZTE K3565
DefaultVendor= 0x19d2 DefaultProduct= 0x1520
Huawei K4505
Motorola 802.11 bg WLAN (TER/GUSB3-E)
DefaultVendor= 0x148f DefaultProduct= 0x1521

901
Vodafone MD950 (Wisue Technology) DefaultVendor= 0x106c
DefaultProduct= 0x3b06
Siptune LM-75 ("LinuxModem") ZTE AC581

DefaultProduct= 0xf000 DefaultProduct= 0x0026
Zydas ZD1211RW WLAN USB, Sphairon HomeLink Huawei U7510 / U7517

1202 (Variant 1)
DefaultVendor= 0x0ace DefaultProduct= 0x101e
Beceem BCSM250
Zydas ZD1211RW WLAN USB, Sphairon HomeLink
1202 (Variant 2) DefaultVendor= 0x198f
DefaultProduct=0xbccd
DefaultVendor= 0x0ace
DefaultProduct= 0x20ff LG HDM-2100 (EVDO Rev.A USB modem)
Vertex Wireless 100 Series DefaultVendor= 0x1004

DefaultProduct=0x607f
DefaultProduct= 0x1000 Kyocera W06K CDMA modem
AVM Fritz!Wlan USB Stick N DefaultVendor= 0x0482

DefaultProduct=0x024d
DefaultVendor= 0x057c
DefaultProduct= 0x84ff Digicom 8E4455
InfoCert Business Key (SmartCard/Reader DefaultVendor= 0x1266

emulation) DefaultProduct=0x1000
DefaultVendor= 0x072f Sony Ericsson MD300

DefaultProduct= 0x100d
DefaultVendor= 0x0fce
UTStarcom UM185E DefaultProduct=0xd0cf

902
Vodafone (ZTE) K3805-Z LG LUU-2100TI (aka AT&T USBConnect Turbo)

DefaultProduct=0x1001 DefaultProduct= 0x613f
Franklin Wireless U210 LG KP500 Cookie Phone
DefaultVendor= 0x1fac DefaultVendor= 0x1004

DefaultProduct=0x0130 DefaultProduct=0x607f
Alcatel X220L, X215S Royaltek Q110 -
DefaultVendor= 0x1bbb DefaultVendor= 0x1266

DefaultProduct= 0xf000 DefaultProduct=0x1000
ZTE MF112 BandRich BandLuxe C170, BandLuxe C270
DefaultVendor= 0x19d2 DefaultVendor= 0x1a8d

DefaultProduct= 0x0103 DefaultProduct=0x1000
Olivetti Olicard 100 and others Vodafone (Huawei) K4605
DefaultVendor= 0x0b3c DefaultVendor= 0x12d1

DefaultProduct= 0xc700 DefaultProduct=0x14c1
ZTE MF110 (Variant) Huawei R201

ZTE MU351 Atheros Wireless / Netgear WNDA3200
DefaultVendor= 0x19d2 DefaultVendor= 0x0cf3

DefaultProduct= 0x0003 DefaultProduct=0x20ff
LG L-05A Onda MW833UP
DefaultProduct= 0x613a DefaultVendor= 0x1ee8

903
DefaultProduct=0x0013
Onda MW833UP
DefaultVendor= 0x1ee8
Huawei U8110 / U8300 / Joy, Vodafone 845
(Android smartphone) Olivetti Olicard 145
DefaultVendor= 0x12d1 DefaultVendor= 0x0b3c

DefaultProduct=0x1031 DefaultProduct=0xf000
Nokia CS-10 Huawei EC168C (from Zantel)
DefaultVendor= 0x0421 DefaultVendor= 0x12d1

DefaultProduct=0x060c DefaultProduct=0x1446
ZTE WCDMA Stick from BNSL Nokia CS-17

BSNL Capitel Nokia CS-18
DefaultVendor= 0x1c9e DefaultVendor= 0x0421

DefaultProduct= 0x9e00 DefaultProduct=0x0627
Samsung GT-B3730 Qtronix EVDO 3G Modem (for TianYi)
DefaultVendor= 0x04e8 DefaultVendor= 0x05c7

DefaultProduct=0x689a DefaultProduct=0x1000
Kobil mIdentity 3G (1) GW D301 (Advinne AMC)
DefaultVendor= 0x0d46 DefaultVendor= 0x0fd1

DefaultProduct=0x45a1 DefaultProduct=0x1000
Kobil mIdentity 3G (2) LG AD600

DefaultProduct=0x45a5 DefaultProduct=0x6190

904
Pantech / UTStarcom UMW190 (Verizon) Haier CE 100
DefaultVendor= 0x106c DefaultVendor= 0x201e

DefaultProduct=0x3b05 DefaultProduct=0x2009
AirPlus MCD-800 Huawei BM358 WiMAX
DefaultVendor= 0x1edf DefaultVendor= 0x12d1

DefaultProduct=0x6003 DefaultProduct=0x380b
Linktop LW272/LW273 (BSNL Teracom) Huawei E352
DefaultVendor= 0x230d DefaultVendor= 0x12d1

DefaultProduct=0x0001 DefaultProduct=0x1449
C-motech CHU-628S Huawei ET8282

DefaultProduct=0x6281 DefaultProduct=0x1da1
HSDPA USB modem from dealextreme Huawei V725 Phone (aka Vodafone 725)

Exiss Mobile E-190 series (made by C-motech) Onda MW836UP-K
DefaultVendor= 0x8888 DefaultVendor= 0x1ee8

D-Link DWM-156 HSUPA 3.75G USB Modem ZTE MF637 (Variant for Orange France)

DefaultProduct=0xa800 DefaultProduct=0x0110
Franklin Wireless U210 (Variant) Prolink P2000 CDMA
DefaultVendor= 0x1fac DefaultVendor= 0x05c6


905
Vibe 3G Modem Huawei E173 (Viettel 3G)
DefaultVendor= 0x1c9e DefaultVendor= 0x12d1
DefaultProduct=0x6061 DefaultProduct=0x14b5
T-Mobile NL (Huawei E352) C-motech CHU-629S (Variant)

DefaultProduct=0x14fe DefaultProduct=0x700b
Huawei U8220, T-Mobile Pulse (Android ZTE MF691 (T-Mobile Rocket 2.0)
smartphone)
DefaultVendor= 0x12d1 DefaultProduct=0x1201
ZTE MF192
D-Link DWM-156 HSUPA 3.75G USB Modem
DefaultProduct=0xa804
ZTE MF190 (Variant)
Sony Ericsson MD400G
DefaultVendor= 0x0fce DefaultProduct=0x0149
DefaultProduct= 0xd103
Visiontek 82GH 3G
ZTE "ffe" devices 1 (e.g. Cricket A605)
DefaultVendor= 0x230d
DefaultProduct=0xffe6
ZTE MF190
HP LaserJet Professional P1102
DefaultProduct= 0x1224 DefaultVendor= 0x03f0
DefaultProduct=0x002a
JOA Telecom LM-700r
Mobile Action ("Smart Cable")
DefaultVendor= 0x198a
DefaultProduct=0x0003 DefaultVendor= 0x0df7

906
Alcatel OT X220L
Vodafone/Huawei K3770
DefaultVendor= 0x12d1 DefaultVendor= 0x1bbb
DefaultProduct=0x14d1 DefaultProduct=0xf052
Nokia CS-19
Vodafone/Huawei K3771
DefaultVendor= 0x12d1 DefaultProduct=0x062c
DefaultProduct=0x14c4
Huawei ET302
Option iCon 461
DefaultVendor= 0x0af0 DefaultProduct=0x1d50
DefaultProduct= 0x7a05
3GO 3GO11 HSUPA
ZTE AX226 WiMax
DefaultVendor= 0x1e89
DefaultVendor= 0x19d2 DefaultProduct=0xf000
DefaultProduct=0xbccd
Novatel Wireless MC545 HSPA
Huawei EC156
ZTE AC682 (a.k.a. SmartFren Connex)
Longcheer SU9800
DefaultVendor= 0x1c9e DefaultProduct=0xffde
ZTE MF820 4G LTE
SpeedUp SU-8000U
DefaultVendor= 0x2020 DefaultProduct=0x0166
DefaultProduct=0xf00e
Cisco AM10 "Valet Connector" Philips PicoPix 1020 Projector
DefaultVendor= 0x1307 DefaultVendor= 0x1de1


907
AnyDATA APE-540H Haier CE682 (EVDO)
DefaultVendor= 0x05c6 DefaultVendor= 0x201e

LG L-02C LTE
ZTE MF192 (Variant)
DefaultVendor= 0x19d2 DefaultProduct=0x61dd
LG SD711
Qisda H21 Flying Beetle
DefaultVendor= 0x1da5 DefaultProduct=0x61e7
DefaultProduct=0xf000
LG L-08C (NTT docomo)
C-motech CDU-685a
DefaultVendor= 0x16d8 DefaultProduct=0x61eb
I-O Data WMX2-U Wimax
StrongRising (China Telcom), Air FlexiNet
DefaultVendor= 0x04bb
DefaultVendor= 0x21f5 DefaultProduct=0xbccd
Option GlobeTrotter GI1515
BandRich BandLuxe C339
DefaultVendor= 0x0af0
DefaultVendor= 0x1a8d DefaultProduct=0xd001
LG L-07A
Celot CT-680
DefaultVendor= 0x05c6 DefaultProduct=0x614e
ZTE A371B
Huawei E353 (3.se)
DefaultProduct=0x1f01

908
ZTE MF652 MediaTek MT6276M
DefaultVendor= 0x19d2 DefaultVendor= 0x0e8d

ZTE MF652 (Variant) Tata Photon+
DefaultVendor= 0x19d2 DefaultVendor= 0x22f4

Telenet 3G dongle (T&W WU160) Option Globetrotter (Variant)
DefaultVendor= 0x2077 DefaultVendor= 0x0af0

DefaultProduct=0xf000 DefaultProduct= 0x8006
Nokia CS-21M-02 Option iCon 711
DefaultVendor= 0x0421 DefaultVendor= 0x0af0

Telewell TW-3G HSPA+ Celot K-300
DefaultVendor= 0x1c9e DefaultVendor= 0x05c6

DefaultProduct=0x98ff DefaultProduct=0x1000
ZTE MF637 Hisense E910 EVDO Phone
DefaultVendor= 0x19d2 DefaultVendor= 0x109b

DefaultProduct=0x0031 DefaultProduct=0xf009
Samsung GT-B1110 Yota Router (Quanta 1QDLZZZ0ST2)
DefaultVendor= 0x04e8 DefaultVendor= 0x0408

DefaultProduct=0x680c DefaultProduct=0xf000
ZTE MF192 (yet annother variant) K5005 Vodafone/Huawei

DefaultProduct=0x1514 DefaultProduct=0x14c3

909
D-Link DWM-156 (Variant) Onda MDC655 HSDPA 900/2100 MHz 14.4 Mbps
DefaultVendor= 0x2001 DefaultVendor = 0x1ee8

DefaultProduct=0xa80b DefaultProduct =0x004a
Huawei E173 (Moviestar) Vodafone K5006Z (MF821)

DefaultProduct=0x1c24 DefaultProduct=0x1017
Onda MSA 14.4 (TIM Brasil) Option GI0643 (aka XYFI)
DefaultVendor= 0x1ee8 DefaultVendor= 0x0af0

Alcatel OT-X220D WeTelecom WM-D300
DefaultVendor= 0x1bbb DefaultVendor= 0x22de

DefaultProduct=0xf017 DefaultProduct=0x6803
Alcatel OT-X080C China TeleCom CBP7.0
DefaultVendor= 0x1bbb DefaultVendor= 0x15eb

DefaultProduct=0x00ca DefaultProduct=0x7153
TP-Link MA180 Linktop LW272/LW273 (BSNL Teracom)
DefaultVendor= 0x2357 DefaultVendor= 0x230d

ZTE MF821D Nokia CS-11

DefaultProduct=0x0325 DefaultProduct=0x061d
Dymo LabelManager PnP

ZTE MF190 (Variant)
DefaultProduct=0x1001 DefaultVendor= 0x19d2

910
Huawei E535 Nokia CS-7M-01
DefaultProduct=0x14fe
ZTE MF190J LG L-03D LTE/3G

Huawei E171 Franklin Wireless U600
DefaultVendor= 0x12d1 DefaultVendor= 0x1fac

DefaultProduct=0x155b DefaultProduct=0x0150
Vodafone / Huawei K3772 Huawei E353

DefaultProduct=0x1526 DefaultProduct=0x151a
Vodafone / Huawei K3773 Changhong CH690

DefaultProduct=0x1f11 DefaultProduct=0x1000
Huawei E173u-2, E177
Alcatel-Lucent T930S
DefaultProduct=0x14ba DefaultVendor= 0x04cc
DefaultProduct=0x225c
Option Beemo / Pantech P4200 LTE
Axesstel MU130
DefaultVendor= 0x106c
DefaultProduct=0x3b14 DefaultVendor= 0x1726
DefaultProduct=0xf00e
Huawei E355s-1
Explay Slim
DefaultVendor= 0x12d1 DefaultVendor= 0x1c9e
DefaultProduct=0x1f01 DefaultProduct=0x9e08

911
Huawei GP02 (E587 Variant) Nokia CS-12

DefaultProduct=0x1c1b DefaultProduct=0x0618
Huawei U2800 Phone Axesstel Modems (w/ initial idProduct 0x0010)
DefaultVendor= 0x12d1 DefaultVendor= 0x05c6

KDDI (Huawei) HWD12 LTE Onda MT8205 LTE

DefaultProduct=0x1f03 DefaultProduct=0x0266
D-Link DWM-156 (Variant) Pantech UML290
DefaultVendor= 0x2001 DefaultVendor= 0x106c

DefaultProduct=0xa706 DefaultProduct=0x3b11
D-Link DWM-156 (Variant) Novatel MC996D
DefaultVendor= 0x2001 DefaultVendor= 0x1410

DefaultProduct=0xa707 DefaultProduct=0x5023
D-Link DWM-156 (Variant) D-Link DWR-510
DefaultVendor= 0x2001 DefaultVendor= 0x2001

DefaultProduct=0xa708 DefaultProduct=0xa805
Onda TM201 14.4 (TIM Italy) Mediatek MT6229
DefaultVendor= 0x1ee8 DefaultVendor= 0x2020

Onda WM301 ZTE MF196
DefaultVendor= 0x1ee8 DefaultVendor= 0x19d2


912
ZTE MF656A, MF668A, MF669 DefaultProduct=0x156a
DefaultVendor= 0x19d2 Huawei K4305

ZTE MF680 DefaultProduct=0x1f15
WeTelecom WM-D200 BlackBerry Q10 and Z10
DefaultVendor= 0x22de DefaultVendor= 0x0fca

Quanta 1K3 LTE Pantech LTE Modem

DefaultVendor= 0x10a9
DefaultVendor= 0x0408 DefaultProduct=0x6080
DefaultProduct=0xea25
Quanta MobileGenie 4G lte
TP-Link MA260 DefaultVendor= 0x0408
DefaultProduct=0xea43
DefaultProduct=0xf000 AVM Fritz!Wlan USB Stick N v2
Teracom LW272 DefaultVendor= 0x057c

DefaultProduct=0x62ff
DefaultVendor= 0x230d
DefaultProduct=0x0103 Alcatel-sbell ASB TL131 TD-LTE
Huawei E3276s-151 and E3251 DefaultProduct=0x9024

913
36.18. Agregação de link
A agregação de link é um termo usado em redes de computadores para descrever métodos

de combinação de várias conexões de rede em paralelo, para produzir uma única conexão de
maior velocidade e/ou aumentar a disponibilidade e redundância desta conexão. Este tipo de
operação tem o intuito de aumentar a capacidade de transporte para mais do que uma única
conexão seria capaz de tratar, e em algumas ocasiões tem o intuito de fornecer redundância
no caso de falha de um dos links.
Outros termos também são utilizados pelos diversos fabricantes para descrever o método,
dentre eles: trunking de porta, link bundling, Ethernet/network/NIC bonding, ou Grupo de
Placas de Rede.
Atualmente o padrão definido pelo IEEE (Institute of Electrical and Electronic Engineers) é o
IEEE 802.1ax Aggregation Control Protocol (LACP) - que substituiu o anterior: IEEE 802.3ad.
A agregação pode ser implementada em qualquer uma das três camadas mais baixas do
modelo OSI. Exemplos comuns de agregação na camada 1 são linhas de energia (por
exemplo, IEEE 1901) e dispositivos de redes sem fio (por exemplo, IEEE 802.11) que combinam
múltiplas bandas de frequência em um único canal de maior capacidade. Na camada 2 do
modelo OSI (camada de enlace, por exemplo, frame de Ethernet em redes locais ou multi-link
PPP em WANs, endereço MAC) a agregação ocorre, normalmente, nas portas de switch, que
podem ser portas físicas ou virtuais, gerenciadas por um sistema operacional - por exemplo,
Open vSwitch. A agregação também pode ocorrer na camada 3 do modelo OSI, ou seja, na
camada de rede (por exemplo, IP ou IPX), usando o round-robin scheduling - ou com base em
valores de hash calculado a partir de campos no cabeçalho do pacote ou uma combinação
destes dois métodos. Independentemente da camada de agregação em que ocorre, a carga
da rede é balanceada em todos os links. A maioria dos métodos fornecem redundância e
failover.
É possível configurar a interface de agrupamento (bonding interface) de acordo com a sua

necessidade. Os tipos de agrupamentos possíveis permitem configurações de acordo com o
parâmetro “mode” (mode=X). Os seguintes modos estão disponíveis:
mode = 0 (balanceado rr)

914
Política round-robin: Encaminha os pacotes usando em ordem sequencial, do primeiro canal
até o último disponível. Este modo fornece balanceamento de carga e tolerância a falhas.
mode = 1 (failover)
Política ativo-backup: Apenas um dos canais no grupo estará em uso efetivo (o canal
principal). Se o canal principal apresentar alguma falha, outro canal será ativado. O endereço
MAC do vínculo é externamente visível em apenas uma porta (adaptador de rede) para evitar
confundir o switch. Este modo fornece tolerância a falhas.
mode = 2 (balanceamento XOR)
Política XOR: Balanceamento que usa o algoritmo XOR com o MAC da placa de rede de
destino do pacote para selecionar a interface de rede que será utilizada. Isso seleciona o
mesmo canal para cada endereço MAC de destino. Este modo fornece balanceamento de
carga e tolerância a falhas.
mode = 3 (broadcast)
Política de Broadcast: Transmite tudo em todas as interfaces agrupadas. Este modo fornece
tolerância a falhas.
mode = 4 (802.3ad)
IEEE 802.3ad - agregação de links dinamicamente: O modo 802.3ad (também conhecido

como 802.1ax) é o modo habilitado por padrão. Ele cria grupos de agregação que
compartilham a mesma velocidade e definições de comunicação (modo duplex). Utiliza todos
os canais ativos no agrupamento de acordo com a especificação 802.3ad.
mode = 5 (balanceamento TLB)
Balanceamento de carga de transmissão: Tipo de agregação que equilibra o tráfego de saída

e não exige qualquer suporte especial do switch. O tráfego de saída é balanceado de acordo
com a carga momentânea (que é calculada em relação a velocidade) em cada um dos canais
que participam do grupo. O tráfego de entrada é recebido pelo canal que esta em uso. Se o
canal principal apresentar alguma falha, outro canal será ativado substituindo-o
automaticamente e assumindo a resposta de recepção/entrada de pacotes.
mode = 6 (balanceado alb)

915
Balanceamento de carga adaptativo: Funciona como o modo 5 (balanceamento na
transmissão), mas também inclui balanceamento de carga de recebimento para tráfego IPv4
e, de acordo com o modo anterior, também não requer nenhuma capacidade especial do
switch. O balanceamento de carga de recebimento ocorre por meio da negociação ARP. O
módulo de agrupamento intercepta a resposta ARP enviada pelo sistema local na saída e
sobrescreve o endereço de hardware de origem da comunicação usando o endereço de
hardware único de um dos canais do grupo, de forma que diferentes pares usem endereços
de hardware diversos para se comunicar com o servidor.
Miimon
Especifica a frequência de monitorização MII link em milissegundos (ms). O parâmetro

Miimon=100 determina quantas vezes o estado do link de cada canal será inspecionado no
caso de falhas de link. O valor zero desativa o monitoramento de link MII (100 é o valor
recomendado).
36.19. Padrão IEEE de Link Aggregation
O padrão inicial do Link Aggregation era o IEEE 802.3ad, mas em 2008, ele foi transferido
formalmente para o grupo 802.1 com o nome 802.1ax, pois algumas camadas do 802.1 se
posicionam acima do Link aggregation. Como o Linux ainda se refere ao padrão com o nome
802.3ad, adotaremos esta nomenclatura para evitar confusão, pois é ela que será vista ao se
verificar os arquivos via linha de comando.
No 802.3ad é definido o Link Aggregation Control Protocol (LACP), que define um padrão para
a troca de informações entre equipamentos de diferentes fabricantes para definirem a
identidade de cada grupo de Link Agreggation (LAG) - quais interfaces são membros de cada
grupo. Para isso, frames (LACPDUs) serão enviados a todas as interfaces que possuem o
protocolo habilitado. Ao encontrar outro equipamento que possui LACP habilitado, as
informações são trocadas o que permitem detectar múltiplos links entre as estações e
combiná-las para formar um único link lógico.
De acordo com a especificação IEEE, os pacotes enviados ao mesmo endereço IP são
encaminhados ao mesmo adaptador. Quando operandos neste modo, os pacotes são
distribuídos neste padrão (modo padrão). Nunca alternando entre as interfaces (round-robin)
para aumentar o throughtput de transmissão.
Entre as limitações do protocolo, que importante destacar que, para o Link Aggregation
definido pelo IEEE serão necessárias interfaces full-duplex, utilizando MAC definidos pelo
padrão IEEE 802.3. Caso as interfaces possuam diferentes velocidades, não será possível
equilibrar a carga, por isso, recomenda-se utilizar interfaces com a mesma velocidade.
Switch

916
Alguns switches dependem de mudanças de configuração para funcionar no modo 802.3ad,
outros não precisam de mudanças. Isso varia de acordo com modelo e fabricante do
equipamento (verifique a documentação do seu equipamento para maiores informações).
36.20. Criando interfaces Link Aggregation

No sistema Aker a criação de interfaces é realizada por meio do configurador padrão de rede
chamado “akinterface” que aplica a configuração desejada e a salva nos arquivos de
configuração do initscripts (ifcfg-eth0, ifcfg-bond0, etc.).
A criação de interfaces Link Aggregation deve ser realizada por meio da Interface Texto (via
SSH), utilizando o “akinterface”.
Para cria uma nova Interface Link Aggregation, deve-se:
1. Acessar o Aker Firewall via Interface Texto (via SSH)
2. Selecionar a opção “1 – Configura interfaces de rede”

917
3. Selecionar a opção “4 - Configurar interfaces Link Aggregation”
4. Selecionar a opção 2 - “Adicionar Interface”

918
5. Nesta janela deve-se inserir o número o qual a interface bond será referenciada
6. Na imagem acima é preciso selecionar as interfaces slave, redigir o nome da interface

(ex: eth0). Dê continuidade a operação pressionando a tecla “Enter” para inserir a
próxima interface slave. Finalize a operação pressionando a tecla “Enter”.

919
7. Para visualizar sua interface selecione a opção “1 – listar interfaces”
36.21. Customização Manual
Conforme explicado anteriormente, existem diversos modos de funcionamento do Link

Aggregation, sendo que o modo padrão adotado é o 802.3ad. No entanto, este modo poderá
ser substituído por outro
Confira os procedimentos para alterar o modo:
• Editar a linha “BONDING_OPTS” do arquivo “ifcfg” da interface (ifcfg-bond0, por

exemplo).
• Abrir o “akinterface”.
• Reaplicar a configuração.
Quando esses passos forem efetuados, a configuração atual será relida e então as interfaces
serão reconfiguradas e esta configuração será aplicada. A seguir estão descritos os
procedimentos passos para se alterar o modo de “802.3ad” para balance-rr (Round-Robin).
# cat /proc/net/bonding/bond0 | head -n 3

Ethernet Channel Bonding Driver: v3.7.1 (April 27, 2011)
Bonding Mode: IEEE 802.3ad Dynamic link aggregation
Vemos que “bond0” está com padrão, 802.3ad. Editamos o arquivo ifcfg-bond0,
substituindo o modo na linha BONDING_OPTS.
DEVICE=bond0

920
USERCTL=no
BOOTPROTO=static
ONBOOT=yes
AK_CLUSTER_MONITOR=no
BONDING_MASTER=yes
BONDING_OPTS=mode=balance-rr miimon=100
IPADDR=10.0.0.1
NETMASK=255.0.0.0
MTU=1500
IPV6INIT=yes
IPV6ADDR=
Em seguida, basta abrir o programa “akinterface” e selecionar a opção “6 - Aplicar novas

configurações”. Saia do “akinterface” e verifique a mudança do modo por meio da linha de
comando:
# cat /proc/net/bonding/bond0 | head -n 3

Ethernet Channel Bonding Driver: v3.7.1 (April 27, 2011)
Bonding Mode: load balancing (round-robin)
Pronto, o modo de operação do Link Aggregation foi alterado com sucesso!
Por meio deste método, não apenas o modo, mas toda configuração que fica presente na
linha “BONDING_OPTS” poderá ser alterada. Caso esteja utilizando um cluster, as
configurações serão replicadas para o outro nó.
36.22. Wireless
O Aker Firewall oferece suporte Wireless (transferência de informação sem a utilização de

cabos) que é uma das tecnologias mais modernas disponíveis no mercado. Com essa nova
incrementação o modo de configuração é criação de interfaces wireless poderá ser realizado
tanto pela Interface Texto (Via SSH), quanto pela Interface Remota (Aker Control Center).
Para ter acesso à janela de configuração Wireless, deve-se:

921
Figura 638 – Janela de acesso (Wireless)
 Selecionar o item Wireless.

922
Figura 639 – Wireless “aba Configurações”
Nesta aba são definidas as opções do firewall em relação ao serviço Wireless. Ela consiste das
seguintes opções:
Habilitar rádio: Habilita ou desabilita o envio do sinal wireless.

SSID: Conjunto único de caracteres que identifica uma rede sem fio, ou seja, o nome da rede
wireless.
Segurança: Tipo de chave segurança que será usada na rede wireless, estas são: WPA1-PSK,
WPA2-PSK, WPA1/WPA2-PSK, WEP e Nenhum. Ao configura o WDS, o administrador deve
selecionar o mesmo tipo de chave de segurança nos dois APs (Access Point Master e Access
Point Slave).
Chave: Senha de acesso a rede wireless.
Encriptação: Tipo de criptografia que será usando na conexão, as seguintes opções estão
disponíveis:
 AES – O AES (Advanced Encryption Standard) algoritimo de criptográfica que trabalha
byte a byte, porém e considerado uma cifra de bloco.
 TKIP – O TKIP (Temporal Key Integrity Protocol) algoritmo de criptografia baseado em
chaves que se alteram a cada novo envio de pacote. A sua principal característica é a
frequente mudança de chaves que garante mais segurança.

923
Figura 640 – Wireless (Avançado)
Canal: Canal que será usado pelo AP (Access Point) para trocar dados com o dispositivo cliente
na rede wireless. Este canal deve ser o mesmo nos dois roteadores (Master e Slave).
Protocolo: Tipo de protocolo a ser utilizado.
AP Isolation: Ao habilitar esta opção os usuários conectados à rede wireless e não poderão
se comunicar, tendo apenas o acesso à Internet.
WDS: Habilita a redistribuição do sinal wireless.
36.23. O que é o WDS?

WDS (Wireless distribution system – Sistema de distribuição sem fio) é um sistema que
permite a interconexão de pontos de acesso (AP- Access Point) sem a utilização de cabos ou
fios. O WDS permite que redes wireless expandam-se utilizando pontos de acesso múltiplos
sem a necessidade de um backbone central (rede principal onde trafegam dados e
informações de todos os usuários da Internet) para liga-los por meio de cabos. O WDS é
realizado quando se deseja expandir o sinal wireless do Access Point (referido como WDS-
MASTER na imagem abaixo), por meio de um segundo Access Point (Referido como WDS-slave
na imagem abaixo).
A imagem a seguir mostra como configurar o WDS no Aker Firewall.

924
Figura 641 – WDS no Aker Firewall
 Primeiramente o administrador deve se certificar que o WDS- Master (WDS-

Master - Access Point o qual irá expandir o sinal wireless com outro Access Point
- WDS Slave) esta transmitindo internet por meio do sinal wireless
normalmente.
 Agora o administrador deve habilitar a opção WDS que se encontra na janela

“Avançado” dentro da aba “Configurações” no menu Wireless. Esta opção deve
ser habilitada nos dois APs (Access Points) para que a redistribuição do sinal
wireless seja realizada com sucesso.
Figura 642 – Wireless opção Avançado
 No próximo passo o administrador deve acessar o WDS-Slave (Access Point o

qual estará recebendo o sinal para redistribuição), com a opção WDS marcado
como explicado no passo anterior, acesse a aba WDS é coloque o endereço MAC
do WDS-MASTER, ou seja, Access Point o qual estará transmitindo o sinal de
internet.

925
Figura 643 – Wireless aba WDS
 Ao executar todos os passos acima, clique em “Aplicar” para que a conexão seja
estabelecida automaticamente.

926
Figura 644 – Wireless aba Usuários Conectados
Nesta aba você pode visualizar todos os usuários que estão conectados em sua rede wireless.

927
Figura 645 – Wireless aba Filtro MAC
Nesta aba e possivel habilitar a filtragem de endereços MAC com as seguintes ooções:
 Permitir apenas estes endereços Mac
 Permitir todos endereços MAC, excluindo estes

928
Figura 646 - Wireless aba WDS
Nesta aba é possível inserir o endereço MAC do Access Point Master, para que o Access Point
Slave receba o sinal para redistribuição.
Para que o funcionamento do WDS seja realizado com sucesso, as placas wireless devem ser
similares tanto em Aker BOX, ou em terceiros, ou seja, ao usar placas wireless diferentes o
funcionamento do WDS poderá apresentar falhas.

929
Aker Firewall em modo bridge

930
37. Aker Firewall em modo bridge
Este capítulo mostra para que serve e como configurar o Aker Firewall em modo bridge.
O Aker Firewall modo bridge possibilita ao usuário criar, deletar e visualizar interfaces Bridge.
Também possibilita a criação de IPs, VLANs, rotas padrão para VLAN e alias, para Interfaces
Bridge. Esta configuração é realizada via Interface Remota (Control Center) ou Interface Texto
(via SSH).
Como funciona o Aker Firewall em modo bridge?
Os pacotes que passarem por Interfaces filhas de uma Interface Bridge não terão seus campos
de IP modificados, dessa forma, deixando o Firewall indetectável nessa camada. Ao receber
um pacote, o Firewall analisará as camadas de rede, e de aplicação, assim aplicando filtros,
liberando, descartando ou bloqueando o pacote. Estes filtros são: as regras de filtragem,
proxies transparentes, regras pipes, logs de pacotes, filtro de IPS/IDS, filtro de aplicativos e
outras funcionalidades que não alteram o roteamento é o IP do pacote.
Não e possível colocar um IP na interface física que foi configurada com Bridge pela Interface
Remota ou Interface Texto (via SSH).
O Aker Firewall em modo bridge permite à criação de uma interface Bridge com duas ou mais
interfaces físicas.
37.1. Criando Interfaces Bridge
Para cria uma nova interface Bridge, deve-se:
1. Acessar o Aker Firewall via Interface Texto (via SSH), e então deve-se acessar a opção
“1 – Configurar Interfaces de rede”.

931
Figura 647 - Selecionar a opção “5 – Configurar interfaces Bridge”
Figura 648 - Selecione a opção “2 – Adicionar interface”

932
Figura 649 - Insira o número o qual a interface Bridge será referenciada
Figura 650 - Aperte a tecla “Enter”, para concluir a inserção de sua nova interface Bridge.

933
Configurando o Firewall em Cluster

934
38. Configurando o firewall em Cluster
Este capítulo mostra como configurar a tolerância a falhas e o cluster cooperativo do Aker
Firewall.
38.1. Planejando a Instalação
O que é um sistema de tolerância às falhas?
Quanto mais os computadores ganham espaço nas empresas, nos escritórios e na vida das
pessoas em geral, mais se ouve falar em "alta disponibilidade". Por um simples e bom motivo:
nenhum usuário quer que a sua máquina pare de funcionar ou que os recursos de rede não
possam mais ser acessados. É justamente a alta disponibilidade que vai garantir a
continuidade de operação do sistema na prestação de serviços de rede, armazenamento ou
processamento, mesmo se houver falhas em um ou mais de seus elementos.
Assim, alta disponibilidade é hoje um assunto que interessa a um número cada vez maior de
usuários. Tornou-se um requisito fundamental para os sistemas que ficam no ar 24 horas por
dia, sete dias por semana, ou que não possam ficar fora do ar por até mesmo alguns minutos.
Afinal, paradas não planejadas podem comprometer, no mínimo, a qualidade do serviço, sem
contar os prejuízos financeiros.
Tolerância às falhas nada mais é que um agrupamento de recursos que fornece ao sistema a
ilusão de um recurso único. A maioria dos seus componentes, encontram-se duplicados, desta
forma, mesmo que um componente individual apresente falhas o serviço não é
comprometido. Para possibilitar a redundância de recursos é necessário um mecanismo de
gerência, de forma a tornar seu funcionamento transparente.
O que é um sistema Cooperativo?
No sistema de tolerância às falhas foi falado a respeito de alta disponibilidade e de

agrupamento de recursos, mas no sistema cooperativo além da alta disponibilidade ocorre o
balanceamento de carga entre os sistemas. No sistema cooperativo todos os sistemas ficam
ativos e se o peso entre eles for igual tratarão de forma balanceada as conexões e todos os
processos entre eles.
Como trabalha a Tolerância às Falhas do Aker Firewall?
A tolerância às falhas do Aker Firewall é composta por dois sistemas idênticos, ou seja, duas
máquinas com o mesmo Sistema Operacional, mesmas placas de rede e com a mesma versão
do Firewall, conectadas entre si. A exigência de se usar o mesmo sistema operacional se dá

935
pelo fato de poder aplicar correções por meio da Interface Remota e essas correções serem
replicadas automaticamente de uma máquina para a outra.
Além de estarem conectadas entre si, o que deve ser realizado por uma interface de rede, é
necessário que todas as placas de rede correspondentes das duas máquinas estejam
conectadas em um mesmo hub ou switch, de forma que ambos os firewalls tenham acesso às
mesmas máquinas e roteadores.
Como trabalha o sistema Cooperativo do Aker Firewall?
Antes de tudo a diferença básica da configuração do cluster cooperativo e do failover está

vinculada à licença. A licença do cluster cooperativo faz com que a convergência de dois
firewalls com pesos iguais seja de 50% para cada um, já a licença do failover faz com que
ocorra convergência em apenas um dos firewalls.
O que são modos UNICAST e MULTICAST do sistema Cooperativo do Aker Firewall?
No Aker Firewall em modo cooperativo, mais de um host (os nodos do cluster) precisam
receber os mesmos pacotes, para posteriormente cada um deles possam decidir se estes
pacotes são ou não de sua responsabilidade. Como os switches não estão preparados
nativamente para isso, uma das duas técnicas precisa ser empregada (UNICAST ou
MULTICAST).
A primeira técnica é chamada de modo unicast, implica-se em reconfigurar o switch para que
ele saiba que um determinado endereço ethernet (MAC) está em duas ou mais portas
simultaneamente, significando que ele deve copiar o pacote com esse endereço destino em
todas elas, e jamais aprendê-lo como estando em uma porta apenas. Nesse modo, todos os
firewalls do cluster usam o mesmo endereço MAC. O único inconveniente desse modo é que
são raros os switches que o suportam.
A segunda técnica é chamada de modo multicast, ela faz com que os firewalls de um cluster
registrem um endereço ethernet multicast em suas interfaces e respondam as chamadas de
ARP para o IP virtual com esse endereço. Se o switch não for configurado para limitar o
espalhamento de pacotes multicast, todos os pacotes destinados ao firewall serão
redistribuídos em todas as portas, como se fossem pacotes broadcast.
Para fazer essa configuração, existem duas opções: faz manualmente no switch, ou então
utiliza o protocolo IGMP, onde cada firewall anuncia ao switch que é membro do grupo
multicast correspondente ao endereço escolhido. Seu switch deve suportar uma dessas duas
opções. Além disso, existem alguns roteadores que não aprendem o endereço multicast
ethernet da resposta ARP enviada pelo firewall. Nesses casos, as entradas para o firewall
devem ser adicionadas manualmente em suas tabelas.
Existem implicações sérias de performance (flooding, por exemplo) e segurança (requisição

de associação IGMP por qualquer host da rede) no caso de cluster no modo multicast. Todos

936
os problemas podem ser evitados com corretas configurações nos switches. Tenha certeza
que você entende o funcionamento desse modo antes de colocá-lo em funcionamento.
Quando o cluster estiver no ar, qualquer alteração realizada nas configurações de um

firewall por meio da Interface Remota será replicada automaticamente para o outro firewall.
38.2. Configuração do Cluster
Para que possa ser iniciada a configuração do Cluster, é necessário que previamente exista
uma licença de cluster e que já tenha sido aplicada no Firewall.
Para se ter acesso à janela de Configuração do Cluster deve-se:
Figura 651 - Configuração do cluster.
 Clicar no menu Configuração do Sistema na janela de Administração do Firewall.

 Selecionar o item Configuração do Cluster.

937
Caso o usuário opte em configurar, deverá clicar no botão "sim", e automaticamente
aparecerá a seguinte tela:
Figura 652 - Criar cluster.
Essa janela permite a criação de um novo cluster. O usuário deverá preencher os seguintes
campos:
Nome: Nesse campo deve ser informado o nome do Firewall no cluster.
Peso: Esse campo indica o balanceamento do tráfego. O administrador poderá escolher o

valor mais apropriado.
Interface: Esse campo permite a escolha de uma entidade que representa uma interface de
controle do firewall. Essa entidade será usada pelo firewall para controle do cluster.
Botão Ok: Ao término da escolha das opções, deve-se clicar no botão Ok. Se a licença tiver
sido aplicada anteriormente, o cluster será habilitado, caso tenha algum problema, aparecerá
uma mensagem informando que não foi possível habilitá-lo.
Se a criação do cluster tiver sido realizada com sucesso a Interface Remota será
desconectada para garantir que toda a configuração do firewall seja recarregada, assim o
usuário deverá conectar novamente.
938
Caso o usuário deseje fazer alguma alteração nas configurações do cluster criado, deverá
acessar a Janela de Configuração de Cluster. Abaixo seguem as descrições dos campos:
Figura 653 - Configuração do cluster – configurações gerais.
Informações Gerais
Nessa parte da janela são mostradas informações gerais do cluster criado.
Tipo de Cluster: Esta opção permite selecionar o tipo de cluster desejado ou desabilitá-lo.
Interface de Controle: Essa informação é definida na hora da criação do cluster, não podendo
ser alterada posteriormente. Todos os seus outros membros utilizarão essa mesma entidade.
Informações dos Membros
Nessa parte da Janela mostra todas as informações sobre os membros do cluster.
Identificação: Esse campo informa o ID do Cluster. É gerado aleatoriamente, não podendo

ser alterado.

939
Nome: Indica o nome do firewall do cluster.

Estado: Permite visualizar o status do cluster, se está ativado ou desativado
Interfaces
Nessa parte da janela permite a visualização das características de configuração das interfaces
de rede dos membros do cluster. Essas características pertencem a todos os membros,
incluindo os ativados, desativados e os que vierem a ser incluídos.
Interface: Nesse componente permite adicionar uma nova interface.
IP Virtual: É o IP virtual que representa as máquinas do cluster para a rede atual. Deverá ser
definido apenas nos casos de cluster cooperativos.
Modo: Esse campo informa o modo como os pacotes são redistribuídos dentro de um grupo
de máquinas. O modo UNICAST é o padrão, mas pode ser alterado para o modo Multicast ou
Multicast com IGMP.
IP Multicast: As informações contidas nesse campo, são alteradas de acordo com o modo
indicado/escolhido, mas só poderá ser editado quando for escolhido o modo multicast IGMP.
MAC: Esse campo indica o endereço físico da placa de rede. Pode ser informado quando o
modo escolhido for o Multicast. Caso não seja especificado o cluster, vai ser utilizado o
endereço que consta na placa, se for escolhido o modo Multicast IGMP o MAC não será
configurado, ou seja, não poderá ser editado.
A opção de adicionar um IP virtual só é válida quando se tratar de cluster cooperativo.
Observação: Deve haver no mínimo um membro ativo.
Janela Adicionar Membro
Nessa janela pode-se incluir um novo membro do cluster. Para incluí-lo, clique com o botão
direito do mouse no componente que mostra as informações dos membros. Clique no botão
adicionar Membro , a janela a seguir será exibida:

940
Figura 654 - Configuração do cluster: Adicionar membro.
Nessa janela se preenche todas as informações do firewall que será adicionado ao cluster.
Abaixo segue a descrição dos campos:
Informação da conexão
IP: É o endereço da interface de controle a ser adicionada no cluster.
Usuário: Usuário de administração do firewall.
Senha: Senha do usuário administrador do firewall.
Informação do Firewall
Nome: Nome do Firewall no cluster

Hierarquia: Permite definir o status do cluster em mestre, escravo e nenhum.
 Mestre: Requisita que durante a primeira convergência, esta seja a máquina Mestre,
que é a máquina ativa que tratará as requisições

941
 Escravo: Requisita que durante a primeira convergência esta máquina seja Escravo,
que é um nó que será ativado apenas se a estação mestre cair.
 Nenhum: As maquinas irão decidir entre elas quem deve ser a estação mestre e qual
estação será escravo.
O membro do cluster, também pode ser incluído por meio do ícone presente na barra
de ferramentas.
38.3. Estatística do Cluster
A janela de estatística do Cluster permite a visualização das informações de cada nó do

cluster.
Para se ter acesso à janela de Estatística do Cluster deve-se:
Figura 655 - Estatísticas do cluster.
 Clicar no menu Informação na janela de Administração do Firewall.

 Selecionar o item Estatística do Cluster.

942
Aba Firewall 1
A janela possui dois tipos de informações: as informações estáticas se referem ao nome do

nodo, o identificador e o peso. As outras informações que constam na janela são estatísticas
do tráfego de redes que permite, por exemplo, a visualização da quantidade de pacotes
trafegados na rede.
Os valores são acumulativos, a cada segundo os dados são somados ao valor anterior.
Figura 656 - Estatísticas do cluster: Firewall 1.
Aba Gráfico
Esta janela permite a visualização gráfica das informações referentes ao tratamento dado aos
pacotes dos nodos que passam pelo Firewall. Esse gráfico permite a visualização de até 8
nodos.
As informações do tráfego de cada nodo são mostradas em porcentagem. Esta aba possui
vários tipos de filtros, permitindo ao usuário, para uma eventual comparação de dados, filtrar
informações em percentual, das atividades de cada firewall.

943
Figura 657 - Estatísticas do cluster: Gráfico.
38.4. Configurando um cluster coorporativo
Para iniciar a configuração de um Cluster Cooperativo no Aker Firewall será considerado a

permissão que os equipamentos já estão devidamente instalados, ou seja, com licenças
aplicadas, configurações TCP/IP efetuadas e todas as interfaces cadastradas.
Deve-se conectar ao Firewall via Aker Control Center, e ir à janela “Configurações do

Sistema” e escolher a opção “Configuração do Cluster”, conforme imagem a seguir:

944
Figura 658 - configuração do Cluster.
Após clicar na aba “Configuração do Cluster” será aberta uma janela mostrando a seguinte
mensagem “Você mão tem um cluster configurada. Deseja criar um agora?”.
Figura 659 - Criar Cluster.

Selecione a opção “Sim” e será aberta uma nova janela de configuração:

945
Figura 660 - Preenchimento dos campos para criar cluster.
A seguinte tela deve ser preenchida:
 Nome: será o nome do equipamento;

 Peso: ele irá definir qual o balanceamento de tráfego que melhor se encaixe a sua
rede;
 Interface: Esse campo permite a escolha de uma entidade que representa uma
interface de controle do firewall. Essa entidade será usada pelo firewall para controle
do cluster.
 Hierarquia: selecione a opção “Nenhum”.

946
Segue o exemplo de configuração abaixo:
Figura 661 – Exemplo: criar cluster.
Com todas as informações preenchidas, clicar no botão “OK”.
Será aberta uma janela informando: “A nova configuração do cluster foi aplicada com
sucesso!”. Clicar no botão “OK”.
Figura 662 - Mensagem de configuração realizada com sucesso.
Clicar no botão “OK”, em seguida, aparecerá uma popup informando que você será
desconectado para recarregar as novas configurações.

947
Figura 663 – Mensagem que o usuário será desconectado para as configurações serem recarregadas.
Clicar no botão “OK”. Conecte novamente via Control Center, vá em “Configurações do Sistema”,
clique em “Configuração do Cluster” e na opção “Tipo de Cluster” selecione a opção “Cluster
Cooperativo” e clique no botão “Aplicar”.
Figura 664 - Escolha do cluster corporativo.

948
Será aberta uma janela informando que ao mudar o tipo de cluster, é necessário reiniciar o
servidor.
Figura 665 - Pop-up informando que ao mudar o tipo de cluster será realizado um reinício do servidor.
Clique no botão “Sim” e aguarde o servidor ser reiniciado.
Conecte novamente via Control Center, vá em “Configurações do Sistema” e selecione a

opção “Configuração do Cluster” e na janela de “Interfaces”, clique com o botão direito no
espaço em branco e adicione as Interfaces cadastradas conforme figura a seguir:

949
Figura 666 - Configuração do Cluster.
Clique com o botão direito sobre cada uma das interfaces cadastradas e selecione a opção
“Multicast” conforme a figura a seguir:
Figura 667 - Escolha Multicast.

950
Agora clique na opção “IP Virtual” e selecione a entidade referente ao ip virtual da rede em
que se encontra a placa que está sendo configurada:
Figura 668 - Adicionar entidades.

951
Após esse procedimento, acesse o servidor via SSH e colete o endereço MAC das interfaces:
Figura 669 - Acesso ao servidor SSH.
Copie os quatro últimos octetos do endereço MAC de cada interface que nesse caso é
17:C6:4E:65 para cadastrar na configuração de cluster.
Na Control Center vá em “Configuração do Sistema”, em “Configuração do Cluster”, clique

com o botão direito em cima da opção “MAC” da interface e cadastre todos os MAC de acordo
com a Interface que está sendo configurada de forma que fique configurado.
Figura 670 - Cadastro de MAC.
Repita todo o procedimento em todos os outros servidores que irão participar do Cluster
Cooperativo, tomando cuidado para não repetir os nomes dos servidores.
Após esse procedimento para confirmar a montagem do cluster, conecte via “Aker Control
Center” vá em “Configuração do Sistema” e abra a janela “Configuração do Cluster”:
952
Figura 671 - Cluster cooperativo montado.
Após esse procedimento, o Cluster Cooperativo está montado.

953
38.5. Utilizando a Interface Texto (via SSH-fwcluster)
A utilização da Interface Texto (via SSH) na configuração da tolerância às falhas é bastante

simples.
Localização do programa: /aker/bin/firewall # fwcluster
/aker/bin/firewall # fwcluster
Aker Firewall
Uso: fwcluster [ajuda | mostra]
fwcluster tipo <off | failover | ha | coop>
fwcluster interface_controle <if>
fwcluster peso <peso>
fwcluster nome <nome>
fwcluster <habilita | desabilita> [master / slave] [ -f ]
fwcluster <inclui | remove> <if> <maquina> [ -f ]
fwcluster <modo> <if> [multicast [igmp <ip>] [mac <mac>] | unicast]
fwcluster limpa [ -f ]
(!) onde:
if : entidade interface
peso : peso desta maquina no cluster
maquina: endereço IP virtual a remover ou incluir (entidade maquina)
master: argumento opcional que indicara essa máquina a ser master
slave: argumento opcional que indicara essa máquina a ser slave
-f: argumento opcional que forca a aplicação da configuração mesmo
com a control center autenticada
Exemplo 1: (mostrando a configuração)
A segui um exemplo da topologia de uma rede com três firewalls em cluster e duas redes
(rede 192 e rede 10).

954
Figura 672 - Interface Texto (via SSH) – exemplo 1: mostrando a configuração da interface.
Antes que se inicie a montagem do cluster, primeiramente devem ser cadastradas todas as
interfaces, lembrando que diferente do cluster no firewall 4.5, aqui todos os firewalls
possuem endereços ip diferentes.
Exemplos: Firewall A - rl0 - if_externa - 10.0.0.1 Firewall B - rl0 - if_externa - 10.0.0.2

rl1 - if_interna - 192.168.1.1 rl1 - if_interna - 192.168.1.2
rl2 - if_controle - 172.16.0.1 rl2 - if_controle - 172.16.0.2
Firewall C – rl0 - if_externa - 10.0.0.3

rl1 - if_interna - 192.168.1.3
rl2 - if_controle - 172.16.0.3
Em seguida crie uma entidade virtual para cada uma das placas, exceto para a interface de
controle, essas entidades terão valor igual para todos os firewalls do cluster.
Exemplos: Firewall A - externa_firewall (ip 10.0.0.4) Firewall B - externa_firewall (ip 10.0.0.4)

interna_firewall (ip 192.168.1.4) interna_firewall (ip 192.168.1.4)
Firewall C - externa_firewall (ip 10.0.0.4)

interna_firewall (ip 192.168.1.4)
Para iniciar a configuração do cluster, crie primeiro a interface de controle:

/aker/bin/firewall/fwcluster interface_controle interface_cadastrada
Depois inicie o cadastro de cada uma das interfaces participantes do firewall:

/aker/bin/firewall/fwcluster inclui interface_cadastrada máquina_virtual_cadastrada

955
Defina o peso de cada Firewall, se não for definido, por padrão será aplicado peso 1 para
todos:
/aker/bin/firewall/fwcluster peso numero_do_peso
Após aplicar todas essas configurações em todos os firewalls participantes, habilite o cluster
em cada um deles:
/aker/bin/firewall/fwcluster habilit
As máquinas do cluster não precisam ser iguais, mas as placas de rede sim.
Para o cluster failover utilize apenas 2 firewalls, já que apenas um responderá por todo o tráfego.
O nó Master sempre será o nó que possuir o maior número de IDS (não é possível visualizar o IDS)
das configurações, ou seja, o nó com menor número será o nó Slave e o nó com maior número será
o Master.

956
Arquivos do Sistema

957
39. Arquivos do Sistema
Este capítulo mostra onde estão localizados e para que são usados os arquivos que fazem
parte do Aker Firewall.
39.1. Arquivos do Sistema
Neste tópico serão mostrados quais são e onde se localizam os arquivos do sistema. Isto é
muito importante na hora de fazer os backups ou para diagnosticar possíveis problemas de
funcionamento.
Árvore de diretórios
 /aker/bin/firewall - contém programas executáveis e sub-diretórios

 /aker/ config /firewall/x509 - contém os arquivos correspondentes aos certificados X.509
 /aker/bin/firewall/httppd - contém a raiz do sistema de arquivos do servidor local HTTP
do Filtro Web. Não remova os arquivos já presentes neste diretório.
 /aker/config/firewall - contém os arquivos de configuração do firewall
 /aker/bin/firewall/snmpd - contém o agente SNMP
 /var/log - contém os arquivos de log e eventos do Aker Firewall
 /var/spool/firewall - usado pelos proxies SMTP e POP3 para armazenar as mensagens a
serem enviadas
Programas executáveis
Programas que podem ser executados pelos administradores do Aker Firewall
 /aker/bin/firewall/fwadmin - Interface Texto (via SSH) para administração de usuários

 /aker/bin/firewall/fwaction - Interface Texto (via SSH) para configuração das ações do
sistema
 /aker/bin/firewall/fwblink - Interface Texto (via SSH) para configuração do
balanceamento de links
 /aker/bin/firewall/fwkey - Interface Texto (via SSH) para configurar chave de ativação do
sistema
 /aker/bin/firewall/fwcluster - Interface Texto (via SSH) para a configuração da tolerância
a falhas
 /aker/bin/firewall/fwcripto - Interface Texto (via SSH) para configuração da criptografia
e autenticação <>
 /aker/bin/firewall/fwedpwd - Interface Texto (via SSH) para configuração das bases de
dados para autenticação local
 /aker/bin/firewall/fwent - Interface Texto (via SSH) para a criação de entidades
 /aker/bin/firewall/fwflood - Interface Texto (via SSH) para configuração da proteção
contra SYN flood

958
 /aker/bin/firewall/fwids - Interface Texto (via SSH) para a configuração do suporte a
agentes de detecção de intrusão
 /aker/bin/firewall/fwaccess - Interface Texto (via SSH) para a configuração das
associações de perfis de acesso
 /aker/bin/firewall/fwlist - Interface Texto (via SSH) para acesso às conexões e sessões de
usuários ativos
 /aker/bin/firewall/fwlog - Interface Texto (via SSH) para acesso ao log e aos eventos do
firewall
 /aker/bin/firewall/fwmaxconn - Interface Texto (via SSH) para configuração do controle
de flood
 /aker/bin/firewall/fwnat - Interface Texto (via SSH) para a configuração da conversão de
endereços (NAT)
 /aker/bin/firewall/fwpar - Interface Texto (via SSH) para configuração dos parâmetros
gerais
 /aker/bin/firewall/fwrule - Interface Texto (via SSH) para configuração do filtro de
pacotes inteligente
 /aker/bin/firewall/fwipseccert - Interface Texto (via SSH) para a gerência dos certificados
X.509 necessários à criptografia IPSEC.
 /aker/bin/firewall/fwstat - Interface Texto (via SSH) para a configuração e visualização
das estatísticas do Firewall.
 /aker/bin/common/akinterface - Interface Texto (via SSH) para a configuração das
interfaces de rede do Firewall.
 /aker/bin/firewall/fwauth - Interface Texto (via SSH) para a configuração dos parâmetros
globais de autenticação do Firewall.
 /aker/bin/firewall/akddns – Interface Texto (via SSH) para configuração do cliente DDNS.
 /aker/bin/firewall/fwadvroute – Interface Texto (via SSH) para configuração de
roteamento avançado.
 /aker/bin/firewall/fwedpwd - Interface Texto (via SSH) para configura usuários do
autenticador local do firewall.
 /aker/bin/firewall/akhwsig – Imprime na tela a chave de hardware do BOX.
 /aker/bin/firewall/fwl2tp – Interface Texto (via SSH) para configurar a vpn L2TP;
 /aker/bin/firewall/fwpptpsrv - Interface Texto (via SSH) para configurar a vpn PPTP;
 /aker/bin/firewall/fwlic – Imprime na tela informações sobre a utilização de licença
limitada por ip.
 /aker/bin/firewall/fwpacket – Interface Texto (via SSH) para coleta de dumps no Aker
Firewall.
 /aker/bin/firewall/fwportscan – Interface Texto (via SSH) para configurar o filtro de
detecção de portscan.
 /aker/bin/firewall/fwver – Imprime a versão e a data de compilação dos arquivos do
Firewall.
Programas que NÃO devem ser executados diretamente pelo administrador
 /aker/bin/firewall/2.6.x/aker_firewall_mod-xxxx.o - Módulo carregável do kernel com

o firewall (apenas no Linux)
 /aker/bin/firewall/fwauthd - Servidor de autenticação de usuários
 /aker/bin/firewall/fwcardd - Módulo de validação de certificados X.509 para smart cards

959
 /aker/bin/firewall/fwconfd - Servidor de comunicação para a interface remota
 /aker/bin/firewall/fwcrld - Módulo de download de CRLs das autoridades certificadoras
ativas
 /aker/bin/firewall/fwcryptd - Servidor de criptografia para clientes
 /aker/bin/firewall/fwdnsd - Servidor de resolução de nomes (DNS) para a interface
remota
 /aker/bin/firewall/fwidsd - Programa de comunicação com agentes de detecção de
intrusão
 /aker/bin/firewall/fwinit - Programa de inicialização do Aker Firewall
 /aker/bin/firewall/fwftppd - Proxy FTP transparente
 /aker/bin/firewall/fwgkeyd - Servidor de geração de chaves de criptografia
 /aker/bin/firewall/fwhttppd - Proxy HTTP transparente e Filtro Web não transparente
 /aker/bin/firewall/fwheartd - Serviço de controle do cluster
 /aker/bin/firewall/fwhconfd - Serviço de configuração distribuída do cluster
 /aker/bin/firewall/fwgenericstd - Serviço de coleta de informação distribuída do cluster
 /aker/bin/firewall/fwstconnd - Serviço de replicação de conexões do cluster
 /aker/bin/firewall/fwlinkmond - Serviço de monitoramento de links
 /aker/bin/firewall/fwdlavd - Serviço de anti-virus web
 /aker/bin/firewall/fwmachined - Serviço de coleta de informações de performance
 /aker/bin/firewall/fwpmapd - Proxy RPC transparente
 /aker/bin/firewall/fwlkeyd - Servidor de certificados de criptografia
 /aker/bin/firewall/fwmond - Módulo de monitoramento e reinicialização dos processos
do firewall
 /aker/bin/firewall/fwnatmond - Módulo de monitoramento de máquinas para o
balanceamento de carga
 /aker/bin/firewall/fwprofd - Servidor de login de usuários
 /aker/bin/firewall/fwrapd - Proxy Real Player transparente
 /aker/bin/firewall/fwrtspd - Real Time Streaming Protocol proxy
 /aker/bin/firewall/fwsocksd - Proxy SOCKS não transparente
 /aker/bin/firewall/fwsmtppd - Proxy SMTP transparente
 /aker/bin/firewall/fwpop3pd - Proxy POP3 transparente
 /aker/bin/firewall/fwlogd - Servidor de log, eventos e estatísticas
 /aker/bin/firewall/fwscanlogd - Servidor de pesquisa de log, eventos e estatísticas
 /aker/bin/firewall/fwsyncd - Processo de geração de sementes de criptografia e
sincronia
 /aker/bin/firewall/fwtelnetd - Proxy telnet transparente
 /aker/bin/firewall/fwtrap - Módulo de envio de traps SNMP
 /aker/bin/firewall/fwurld - Módulo de análise e checagem de permissão de acesso a
URLs
 /aker/bin/firewall/fwiked - Módulo de negociação de chaves para criptografia IPSEC
(protocolo IKE)
 /aker/bin/firewall/fwtunneld - Secure Roaming Server para Firewall
 /aker/bin/firewall/libaker.so - Biblioteca genérica do firewall
 /aker/bin/firewall/libconfd.so - Biblioteca de configuração do firewall
 /aker/bin/firewall/snmpd/snmpd - Agente SNMP
 /aker/bin/firewall/corr.fw - Contém o nível de correção aplicado
 /aker/bin/firewall/fwadmkeys - Gerador de chaves RSA.

960
 /aker/bin/firewall/fwapply - Auxilia aplicação de patches.
 /aker/bin/firewall/fwarpd - Resposta de solicitações ARP.
 /aker/bin/firewall/fwdcerpcd – Proxy DCE-RPC.
 /aker/bin/firewall/fwdeepd – Módulo de IPS/IDS e filtro de aplicativos;
 /aker/bin/firewall/fwh2250pd - Proxy H.323.
 /aker/bin/firewall/fwh245pd - Proxy H.323.
 /aker/bin/firewall/fwhwid - Processo que cria o identificador único da máquina.
 /aker/bin/firewall/fwmsnd – Proxy MSN.
 /aker/bin/firewall/fwpptpd – Módulo que permite as conexões PPTP passem por
conversão de endereço.
 /aker/bin/firewall/fwpptpradiusd – Módulo de autenticação da VPN LPPTP
 /aker/bin/firewall/fwpscand – Módulo de detecção de PORTSCAN.
 /aker/bin/firewall/fwquotad – Módulo de controle das Quotas.
 /aker/bin/firewall/fwreportd – Módulo gerador de relatórios.
 /aker/bin/firewall/fwrollback – Auxilia no rollback de patchs.
 /aker/bin/firewall/fwsipd – Proxy SIP.
 /aker/bin/firewall/fwsslpd – Módulo da VPN SSL e Proxy SSL.
 /aker/bin/firewall/fwtraind – Módulo para treinamento de e-mails de o Aker Spam
Meter.
 /aker/bin/firewall/fwtunneldpt.qm - Arquivo de tradução
 /aker/bin/firewall/fwupdatepatchhis - Auxilia gestão de patches.
 /aker/bin/firewall/fwzebrad – Módulo de roteamento avançado, OSPF e RIP.
 /aker/bin/firewall/fwvlan – Módulo de criação de VLAN 802.1q.
 /aker/bin/firewall/hostapd_run.sh - Inicia o comando hostapd.
 /aker/bin/firewall/l2tpns – Módulo da VPN L2TP;
 /aker/bin/firewall/libh323.so.1.0.0 - Biblioteca de suporte ao proxy H.323.
 /aker/bin/firewall/nsctl - Auxilia o l2tpns.
 /aker/bin/firewall/rc.aker - Iniciador padrão do Firewall.
 /aker/bin/firewall/rpt_files - Arquivos de relatório
 /aker/bin/firewall/squid - Arquivos de cache
 /aker/bin/firewall/strings - Auxilia fwver.
Arquivos de Log, Eventos e Estatísticas
 /var/log/fw-650-AAAAMMDD.fwlg - Armazena os logs do firewall do dia DD/MM/YYYY

 /var/log/fw-650-AAAAMMDD.fwev - Armazena os eventos do firewall do dia
DD/MM/YYYY
 /var/log/stat-650-AAAAMMDD.fws - Armazena as estatísticas do firewall do dia
DD/MM/YYYY

961
Aker Firewall BOX

962
40. Aker Firewall Box
Este capítulo mostra os comandos que podem ser utilizados no shell do Aker Firewall Box.
O Aker Firewall Box
O Aker Firewall Box é composto por um sistema integrado de hardware e software. A grande
vantagem dessa plataforma é que ela dispensa maiores conhecimentos de sistemas
operacionais. Além disso, por não possuir disco rígido e por ser formada por um hardware
industrial, a plataforma apresenta potencialmente maior resistência contra danos,
especialmente picos de energia, o que acaba por possibilitar um funcionamento ainda mais
estável.
O Firewall BOX está disponível em diversos modelos, que visam atender as necessidades de
pequenas, médias e grandes empresas.
A lista completa dos modelos disponíveis é frequentemente atualizada e está disponível em:
http://www.aker.com.br
Como funciona o shell do Aker Firewall Box?
Ao conectar-se um terminal serial comum configurado a 9600 bps à porta serial

correspondente no Aker Firewall Box, será possível utilizar a interface de linha de comando
do mesmo, isto é, seu shell.
Ao se realizar esse procedimento, primeiro será necessário apertar a tecla Enter até que
apareça o pedido de senha, que inicialmente é '123456'. Entrando-se corretamente a senha,
o prompt seguinte aparecerá: Aker >
Caso tenha perdido a senha de acesso local ao Aker Firewall Box, deve-se entrar em contato com
o suporte técnico, para realizar o procedimento de reset da mesma.
No prompt do shell, podem ser digitados todos os comandos normais do Aker Firewall,
conforme documentados nos tópicos relativos à Interface Texto (via SSH) de cada capítulo.
Além desses, existem comandos específicos ao firewall box que estão documentados a seguir.
É possível digitar os comandos do firewall no shell sem o prefixo fw, isto é, ent ao invés de fwent.
Para sair do shell, pode-se ou digitar os comandos exit ou quit ou simplesmente apertar as
teclas Ctrl + D.
Comandos específicos do Aker Firewall Box

963
quit
Comando
exit
Descrição Encerram a sessão de administração no shell
help
Comando
?
Descrição Mostram uma tela com a lista de comandos válidos
Comando shutdown
Descrição Paralisa o firewall, para que ele possa ser desligado
Comando reboot
Descrição Reinicia o firewall
Comando ping [-c n_pkt] [-i interv] ip_destino
Envia pacotes ping para e espera a resposta do hosts ip_destino

A opção -c especifica o número de pacotes a ser enviados
Descrição
A opção -i especifica o intervalo de transmissão entre os pacotes em
milissegundos (ms)
Comando password
Descrição Troca à senha de acesso ao console do firewall
Comando date <mostra> | <dd/mm/aaaa>

964
Com o parâmetro mostra, informa a data do sistema.
Descrição
Senão, acerta a data para a informada.
Comando time <mostra> | <hh:mm[:ss]>
Com o parâmetro mostra, informa à hora do sistema.

Descrição
Senão, acerta o relógio para o horário informado.

965
Aker Client

966
41. Aker Client
A evolução tecnológica traz confortos e também cobranças. É comum ouvirmos pessoas querendo
que o dia tivesse mais horas e a semana, mais dias. Com esta evolução, a velocidade com que as
informações chegam também cresceu a passos largos, criando nas pessoas a necessidade de estar
sempre a par dos acontecimentos, quase que na mesma velocidade em que eles acontecem.
Normalmente, as pessoas que mais sentem o impacto destes acontecimentos são os executivos e
profissionais que precisam ausentar-se com frequência de seus locais de trabalho, já que em várias
vezes será necessário tomar decisões estratégicas, sem contar com ferramentas de apoio para
auxiliá-lo.
Esta prerrogativa motivou a Aker Security Solutions a desenvolver o Aker Client, ferramenta segura
e robusta, focada na necessidade de oferecer ao cliente uma solução capaz de encurtar distâncias de
maneira rápida, sem que isto represente uma vulnerabilidade para a empresa.
Com interface amigável e de fácil utilização, o Aker Client permite que um usuário remoto possa
acessar a rede de sua empresa, de onde quer que esteja com a mesma comodidade que teria se
estivesse em seu local de trabalho, utilizando uma conexão segura através da Internet sob a forma
de uma VPN. Em outras palavras o uso do Aker Client permite que, mesmo a vários quilômetros de
distância, os recursos para executar as tarefas diárias, sejam elas corriqueiras ou estratégicas,
estejam disponíveis sempre que for preciso permitindo que qualquer usuário esteja mais próximo
das informações que necessita para executar seu trabalho de maneira segura e eficiente.
Com o Aker Client, a sensação experimentada pelo usuário é a de que sua máquina foi virtualmente
transportada para dentro da rede corporativa, como se ele realmente estivesse nas dependências
físicas da empresa, compartilhando switches, impressoras e outros recursos físicos e lógicos. A
criação de perfis de acesso possibilita um maior controle no fluxo das informações que passam pelo
túnel, permitindo que o Administrador possa identificar e contornar o uso indevido dos recursos
oferecidos.
Figura 673 - Esquema de funcionamento do Aker Client

967
Por ser a peça-chave na criação do canal encriptado que fará a ponte entre a máquina do cliente e o
servidor colocado na rede interna, a preocupação com a segurança oferecida durante a transmissão
de dados deve ser maximizada, sem que isso comprometa a qualidade e facilidade de uso da
ferramenta. A segurança implementada no Aker Client agrega chaves de 256 bits, autenticação de
usuários e outros algoritmos de criptografia reconhecidos no mercado pela robustez e dificuldade de
quebra de segredo.
A ferramenta está dividida em dois componentes distintos: do lado da empresa, o Secure Roaming
do Firewall Aker permanece escutando a rede em tempo integral à espera de novas conexões, a fim
de viabilizar a criação do túnel quando solicitado. Já do lado do usuário, a conexão com o servidor é
estabelecida através do Aker Client, módulo de fácil configuração que introduz os parâmetros
necessários para que o cliente possa negociar com o servidor a criação do túnel e tráfego dos dados,
sempre que necessário.
Todas estas características fazem do Aker Client uma ferramenta totalmente segura e confiável, ideal
para as empresas que desejam qualidade e confiança na hora de disponibilizar aos seus funcionários
um produto capaz de prover uma solução de conexão ao mesmo tempo simples e eficiente.
41.1. Autenticação
Atualmente, existe um grande aumento da dependência de sistemas de computador em quase todos

os aspectos dos negócios, comércio e educação, e por isso muitas empresas estão confiando na
efetividade de seus sistemas para terem sucesso. A preocupação com a segurança de computadores
significa que, apenas pessoas autorizadas poderão acessar as informações armazenadas nos
sistemas.
O crescimento das redes abertas fez com que surgissem vários problemas de segurança, que vão
desde o roubo de senhas e interrupção de serviços até problemas de personificação, onde uma
pessoa faz-se passar por outra para obter acesso privilegiado.
Com isso, surgiu a necessidade de autenticação, que consiste na verificação da identidade tanto dos
usuários quanto dos sistemas e processos.
Para possibilitar que o firewall saiba exatamente quais usuários estão utilizando quais máquinas, o
Aker Client deve ser instalado em todas as máquinas nas quais se pretende utilizar o controle de
acesso por usuário. Este programa, que funciona de forma totalmente transparente para os usuários
finais, intercepta o logon destes usuários no domínio ou solicita uma nova autenticação caso esteja
utilizando autenticação por token, smart cards ou mesmo usuário e senha, enviando esses dados de
forma criptografada para o firewall. O firewall, então, valida os dados recebidos utilizando seus
agentes de autenticação, autenticadores token ou autoridades certificadoras e, caso o usuário tenha
sido validado corretamente, estabelece uma sessão para o usuário validado a partir da máquina na
qual ele estabeleceu a sessão.
41.2. VPN
A evolução tecnológica traz confortos e também cobranças. É comum ouvirmos pessoas querendo
que o dia tivesse mais horas e a semana, mais dias. Com esta evolução, a velocidade com que as

968
informações chegam também cresceu a passos largos, criando nas pessoas a necessidade de estar
sempre a par dos acontecimentos, quase que na mesma velocidade em que eles acontecem.
Normalmente, as pessoas que mais sentem o impacto destes acontecimentos são os executivos e
profissionais que precisam ausentar-se com frequência de seus locais de trabalho, já que em várias
vezes será necessário tomar decisões estratégicas, sem contar com ferramentas de apoio para
auxiliá-lo.
Com o Aker Client, a sensação experimentada pelo usuário é a de que sua máquina foi virtualmente
transportada para dentro da rede corporativa, como se ele realmente estivesse nas dependências
físicas da empresa, compartilhando switches, impressoras e outros recursos físicos e lógicos. A
criação de perfis de acesso possibilita um maior controle no fluxo das informações que passam pelo
túnel, permitindo que o Administrador possa identificar e contornar o uso indevido dos recursos
oferecidos. Isso tudo é possível por causa da VPN (Virtual Private Network) que é um canal privado
que interliga dois pontos, através da formação de um túnel virtual entre eles, utilizando para isso a
infraestrutura de uma rede pública já existente para o tráfego de dados.
Mas por que falar sobre VPNs? O bom entendimento deste conceito e de outros que estão
relacionados a ele serão de fundamental importância na compreensão do funcionamento do Aker
Client, já que a ferramenta baseia-se justamente na implementação destes conceitos e facilidades.
As VPNs surgiram da necessidade de baratear e facilitar a interconexão de empresas com suas filiais
e parceiros em pontos remotos, tendo em vista que estas expansões sempre esbarraram nos custos
envolvidos na manutenção de linhas privadas de dados e dos equipamentos necessários para garantir
a comunicação de um ponto a outro.
Como consequência ao crescimento da Internet, houve uma grande melhoria na qualidade dos
serviços, implantação de novos backbones, aumento nas velocidades de transmissão e baixa
acentuada nos custos. Este crescimento acabou contribuindo também para a expansão no uso das
VPNs, pois é mais fácil aproveitar uma boa estrutura já existente para interligar diversos pontos do
que partir do início e criar outra, totalmente nova.
Além do crescimento da Internet, diversos fatores contribuíram para a adoção do uso das VPNs como
solução de interconexão corporativa: a escalabilidade e o leque de serviços que podem ser
implementados, aliados ao menor custo de manutenção, podem ser considerados os de maior peso
já que assim fica mais fácil acomodar o crescimento da rede interna, independente do porte da
empresa, e integrar outros serviços, conforme a necessidade.
Apesar destas facilidades é necessário levar em consideração que a Internet é uma rede pública não
confiável e qualquer pessoa pode capturar os pacotes de dados e obter acesso a informações
confidenciais e estratégicas. Esta característica torna necessária a utilização de meios que garantam
a inviolabilidade dos dados que trafegarem pelo túnel, possibilitando conexões seguras entre as
entidades envolvidas. A maneira mais confiável de fornecer esta segurança é combinando diferentes
técnicas, como algoritmos de criptografia, mecanismos de autenticação e trocas de chaves, a fim de
atingir um alto nível de confiança.
Levando em conta estas premissas e as vantagens no uso das VPNs como solução de interligação
corporativa, a Aker desenvolveu uma ferramenta capaz de viabilizar este acesso de maneira segura

969
e confiável. Com o Aker Client o usuário pode acessar a rede de sua empresa, de onde quer que
esteja com a mesma comodidade e eficiência que teria se estivesse fisicamente em seu local de
trabalho.
Por ser a peça-chave na criação do canal encriptado que fará a ponte entre a máquina do cliente e o
servidor colocado na rede interna, a preocupação com a segurança oferecida durante a transmissão
de dados deve ser maximizada, sem que isso comprometa a qualidade e facilidade de uso da
ferramenta. A segurança implementada no Aker Client agrega chaves de 256 bits, autenticação de
usuários e outros algoritmos de criptografia reconhecidos no mercado pela robustez e dificuldade de
quebra de segredo.
A ferramenta está dividida em dois componentes distintos: do lado da empresa, o Secure Roaming
do Firewall Aker permanece escutando a rede em tempo integral à espera de novas conexões, a fim
de viabilizar a criação do túnel quando solicitado. Já do lado do usuário, a conexão com o servidor é
estabelecida através do Secure Roaming no Aker Client, módulo de fácil configuração que introduz
os parâmetros necessários para que o cliente possa negociar com o servidor a criação do túnel e
tráfego dos dados, sempre que necessário.
Figura 674 – Esquema de funcionamento do Secure Roaming no Aker Client.
Todas estas características fazem do Aker Client uma ferramenta totalmente segura e confiável, ideal
para as empresas que desejam qualidade e confiança na hora de disponibilizar aos seus funcionários
um produto capaz de prover uma solução de conexão ao mesmo tempo simples e eficiente.
Este manual foi desenvolvido de maneira a abordar os conceitos necessários para o bom
entendimento do produto, ensinando como a ferramenta deve ser configurada, a fim de obter
melhor desempenho em sua utilização. Assim, no Capítulo 1 entraremos em mais detalhes sobre o
que é VPN e quais os principais conceitos envolvidos. O Capítulo 2 trata de Criptografia, sua
importância e principais algoritmos utilizados.
Já no Capítulo 4 faremos um passo-a-passo relativo à instalação do Aker Client em ambientes

Windows e Linux. O capítulo 5 trata da configuração do Aker Client.

970
Recomenda-se que este manual seja lido por completo, na ordem apresentada, pelo menos uma vez,
e que seja utilizado como referência sempre que for necessário esclarecer dúvidas acerca da
utilização e configuração de quaisquer um dos módulos.
VPN
As VPNs são redes virtuais que permitem o estabelecimento de canais privados de comunicação
entre dois pontos distintos, utilizando para isso toda a estrutura já previamente criada de uma rede
pública. Desta maneira, é possível a uma empresa utilizar e disponibilizar um amplo leque de serviços
a preços mais competitivos já que são reduzidos os custos com links dedicados e equipamentos em
geral.
Para a implantação de uma VPN, normalmente é utilizada a estrutura de uma rede pública já
existente, como a Internet, mas o acesso também pode ser realizado através do uso de backbones
de empresas que prestam este tipo de serviço. Neste caso, há garantia de maior qualidade no serviço
prestado, mas ao mesmo tempo ocorre uma ligeira elevação no custo final. Devido ao grande alcance
que a Internet possui, este costuma ser o caminho mais adotado. Ainda assim, independente da
estrutura escolhida, é possível encurtar distâncias, fazendo com que as empresas possam expandir
sua área de atuação de maneira mais efetiva.
No entanto, apesar da Internet ser um meio de grande alcance, deve-se garantir que os dados que
trafeguem por um túnel não sejam interceptados, conhecidos ou mesmo alterados. Por este motivo,
uma VPN deve garantir a Confidencialidade, Integridade e Autenticidade dos dados.
• Confidencialidade: tendo em vista que estarão sendo utilizados meios públicos de

comunicação, a tarefa de interceptar uma sequência de dados é relativamente simples. É
imprescindível que os dados que trafeguem sejam absolutamente privados, de forma que, mesmo
que sejam capturados, não possam ser entendidos.
• Integridade: na eventualidade dos dados serem capturados, deve-se garantir que estes não
sejam adulterados e reencaminhados, de tal forma que quaisquer tentativas nesse sentido não
tenham sucesso, permitindo que somente dados válidos sejam recebidos pelas aplicações suportadas
pela VPN.
• Autenticidade: somente usuários e equipamentos que tenham sido autorizados a fazer parte
de uma determinada VPN é que podem trocar dados entre si, ou seja, um elemento de uma VPN
somente reconhecerá dados originados por um segundo elemento que seguramente tenha
autorização para fazer parte da VPN.
A escolha para o transporte dos dados normalmente recai sobre a Internet. No entanto por ser uma
rede pública, é mais simples interceptar os dados que trafegam por ela e, por isso, torna-se
necessário garantir que mesmo sendo interceptados, os dados não poderão ser acessados por
pessoas que não estejam autorizadas a conhecer seu conteúdo. Para garantir a confidencialidade e
inviolabilidade dos dados deve-se implementar técnicas de criptografia a fim de garantir que os dados
trafeguem seguramente pelo canal.

971
41.3. Tunelamento
O “tunelamento” é uma técnica na qual um canal virtual é gerado através da rede de comunicação
para permitir o tráfego de dados entre dois pontos distintos. Nesta técnica os dados são
encapsulados e criptografados na entrada do túnel, e quando chegam ao final, são convertidos ao
formato original tornando o acesso ao seu conteúdo novamente possível. A aplicação da criptografia
garante que durante o transporte por uma rede não confiável, os dados estejam inacessíveis mesmo
que sejam interceptados.
Há dois tipos de túneis: os estáticos e os dinâmicos. Se o túnel é criado apenas quando há necessidade
e finalizado quando o tráfego de dados torna-se desnecessário, é chamado dinâmico. Já os túneis
estáticos permanecem ativos por um período maior de tempo, com uso constante do canal de dados.
Por este motivo costumam ser mais utilizados na interligação entre empresas.
Como, na maioria dos casos os meios de transmissão não ficam alocados o tempo inteiro, ocorre uma
utilização mais racional dos recursos disponíveis, pois com o fechamento de túneis desnecessários
os meios de transmissão ficam livres para que outros usuários também possam alocá-los quando
necessário.
Figura 675 - Dados encriptados passando pelo túnel virtual através de uma rede pública
Para poder trafegar pelo túnel, os dados devem ser encapsulados na origem e desencapsulados no
destino. Encapsular um dado significa acrescentar ao pacote original um cabeçalho que contenha as
informações de criptografia e roteamento necessárias para que ele possa chegar ao seu destino e ser
desencapsulado de maneira correta. A estes dados encapsulados, é dado o nome de payload.
Os protocolos utilizados no encapsulamento operam na camada 2 (rede) ou 3 (enlace) do Modelo

OSI, podendo ser utilizados protocolos de mesma camada ou de camadas diferentes sendo que, neste
caso, o protocolo de nível mais baixo deve encapsular o de nível mais alto. No caso dos protocolos
da camada 2, são utilizados frames (quadros) como unidade de troca e, nos da camada 3, são
utilizados pacotes. No item 3.3 serão abordados mais detalhes quantos aos principais protocolos
utilizados para a criação de túneis.
Formas de Conexão
Entre as formas de realizar a conexão usando uma VPN, pode-se citar o acesso através da estrutura
de um provedor de acesso à Internet, através de acesso discado direto ou utilizando um link dedicado
já existente para criar uma nova rede virtual. Classificando cada tipo de acesso a uma VPN, chegamos
às seguintes configurações:

972
Client-to-LAN
Esta costuma ser a forma de acesso mais utilizada, pois permite a conexão entre um usuário remoto
e uma rede corporativa, através da Internet. Utilizando um software específico para este fim, o
usuário cria um túnel (dinâmico) que o ligue diretamente à rede corporativa, a fim de que possa
utilizar seus recursos remotamente.
Pela facilidade de acesso, que pode acontecer através de acesso discado comum ou conexão xDSL,
por exemplo, é bastante utilizado por usuários que precisam deslocar-se para outras localidades ou
ter acesso aos recursos da rede diretamente de casa.
LAN-to-LAN
Neste caso o acesso acontece através de links dedicados que interligam dois locais fisicamente
distantes. Para esta estrutura deve haver um gateway seguro (roteador ou firewall) em cada ponta
do túnel para servir de interface entre o túnel e a LAN privada.
É um modelo bastante utilizado para interligar filiais da empresa ou então prover um acesso seguro
entre uma empresa e seus parceiros, por exemplo. Como estes túneis permanecem ativos por um
tempo prolongado, a conexão LAN-to-LAN encaixa-se perfeitamente na definição de túneis estáticos.
Protocolos de Tunelamento
A definição do protocolo a ser utilizado deve levar em conta o tipo de acesso, criptografia e
compressão dos dados que serão utilizados para o tráfego de informações dentro do túnel.
Os protocolos utilizados para tunelamento devem pertencer à camada 2 ou 3 do Modelo OSI. Dentre
os protocolos da camada 2, podemos destacar o L2F, PPTP e L2TP. Já na camada 3, o encapsulamento
de pacotes IP é realizado com cabeçalhos do próprio protocolo IP, ou utilizado o protocolo IPSec.
Quando uma conexão for estabelecida, as duas extremidades do túnel negociam os parâmetros de
compressão, criptografia e endereçamento. Para que isso ocorra, as duas pontas devem estar
utilizando o mesmo protocolo de tunelamento.
Nesta sessão serão definidos os principais protocolos utilizados e como ocorre o encapsulamento dos
dados.
GRE ( Generic Routing Encapsulation )
Protocolo genérico comumente utilizado em VPNs para encapsulamento de pacotes que serão
enviados através de um túnel pela Internet. Túneis formados a partir do GRE devem ser configurados
manualmente nos roteadores de origem e de destino e, devido a esta pouca mobilidade e dificuldade
na configuração, estes túneis costumam ser mais utilizados na interligação de redes (conexão LAN-
to-LAN).

973
Além do IP, o GRE também suporta outros protocolos de camada de rede, permitindo que o pacote
de um determinado protocolo X seja encapsulado dentro de um pacote GRE e, em seguida
encapsulado por outro protocolo, que será responsável pelo envio. Este segundo protocolo é
denominado protocolo de entrega.
Figura 676 - Encapsulamento GRE
Por ser um protocolo simples, o GRE não possui informações suficientes para fazer um controle
efetivo da entrega do pacote transportado e a única informação relativa à rota que carrega em seu
cabeçalho é o endereço do roteador de destino.
PPTP (Point-to-Point Tunneling Protocol)
Protocolo orientado à conexão desenvolvido pelo Fórum PPTP – consórcio formado por várias
empresas, entre elas US Robotics, Microsoft e 3Com – e definido na RFC 2637. Tornou-se bem
popular depois que a Microsoft passou a oferecer suporte a ele no serviço RAS (Remote Access
Service), incorporando-o ao Sistema Operacional Windows NT 4 e criando patches adicionais nos
Sistemas Operacionais Windows 95 e 98.
Como o PPP (Point-to-point Protocol) é o protocolo mais utilizado para realizar acesso remoto na
Internet, o PPTP aproveita sua estrutura para estabelecer a conexão e, em seguida, fazer o
tunelamento dos pacotes até seu destino final. Na implementação atual, o PPTP encapsula os pacotes
PPP usando uma forma modificada de um protocolo GRE, que acaba por garantir flexibilidade para
trabalhar com protocolos diferentes do IP.
Figura 677 - Formato do datagrama da mensagem de controle PPTP

974
Figura 678 - Encapsulamento de uma mensagem de dados usando PPTP.
Normalmente a conexão é realizada através de uma linha telefônica ou diretamente através da rede,
onde, neste caso, o usuário “disca” o endereço IP do servidor. O PPP realiza a conexão com
o NAS (Network Access Server), que pode tanto ser do provedor de Internet quanto um servidor da
própria rede, e criptografa os dados. Em seguida, o PPTP cria uma conexão de controle (túnel PPTP)
que vai do cliente até o servidor de destino. Assim que os pacotes chegam, são desmontados para
que os pacotes PPP passem pela descriptografia e sejam encaminhados ao seu destino final.
L2F (Layer 2 Forwarding)
Protocolo desenvolvido pela Cisco que permite a criação de túneis por meio de uma conexão discada,
possibilitando o tráfego de dados dos usuários remotos para suas redes corporativas. Por ser um
protocolo da camada 2 e realizar o tunelamento independente do IP, o L2F é capaz de trabalhar com
protocolos diferentes, tais como IPX e NetBEUI, e com outros meios de transmissão como o Frame
Relay e o ATM.
Para realizar uma conexão, o usuário estabelece uma conexão PPP com o Provedor de Serviços (ISP).
Em seguida o provedor estabelece um túnel L2F com o gateway da Intranet que, por sua vez,
autentica o nome de usuário e senha do cliente, estabelecendo a conexão PPP entre estes dois
últimos. O passo seguinte é a autenticação, que ocorre em duas etapas: a primeira acontece no
Provedor de Serviços e a segunda no gateway da intranet. Há ainda uma terceira etapa de
autenticação, também no gateway da Intranet, mas esta é opcional.
O cliente, o provedor e o gateway da intranet usam um sistema triplo de autenticação

via CHAP (Challenge Handshake Authentication Protocol), que possibilita a transmissão segura da
senha do usuário entre a estação do cliente e o gateway de destino.
L2TP (Layer 2 Tunneling Protocol)
Protocolo orientado à conexão, formado a partir da junção do L2F e do PPTP. Utiliza o PPP para
realizar a conexão dial-up que será tunelada através da Internet até determinado destino (endpoint).
O protocolo de tunelamento é baseado na estrutura fornecida pelo L2F, permitindo o transporte de
pacotes X.25, frame-relay e ATM. Para fortalecer a criptografia dos dados transmitidos, o L2TP utiliza
a criptografia fornecida pelo IPSec.
É composto por dois tipos de mensagens: de controle e de dados que também são conhecidas por
pacote de controle e pacote de dados, respectivamente. A mensagem de controle é usada no
975
estabelecimento, manutenção e fechamento de conexões de controle e de sessão. Estas mensagens
usam um canal de controle nativo do protocolo para garantir a entrega. Já as mensagens de dados
são usadas para encapsular o tráfego da Camada de Enlace que esteja sendo transmitido através da
sessão L2TP.
A autenticação, realizada via CHAP, ocorre durante o estabelecimento da conexão de controle que,
após ter sido estabelecida, permite a criação de conexões individuais. Cada sessão corresponde a um
único caminho entre o servidor (LNS) e o concentrador da conexão (LAC).
As conexões podem ser iniciadas tanto pelo concentrador quanto pelo servidor. No primeiro caso, o
concentrador recebe uma conexão e a encaminha para o servidor; já no segundo caso, o servidor é
quem inicia a conexão e solicita ao concentrador que a encaminhe ao seu destino.
Figura 679 - Arquitetura de funcionamento do protocolo L2TP.
Tunelamento em Nível 3 - Rede (IP sobre IP)
Conforme mostrado na Figura 7, quando um datagrama IP é encapsulado por outro datagrama IP,
um novo cabeçalho é inserido externamente ao cabeçalho inicial. Entre eles, estão todos os outros
cabeçalhos relativos ao trajeto, tais como os cabeçalhos de segurança referentes à configuração do
túnel e seus limites (ponto de entrada e saída). O cabeçalho interno armazena os dados do remetente
e destinatário iniciais do datagrama e não é modificado durante o encapsulamento.
A segurança da transmissão propriamente dita é realizada por meio de trocas de chaves de sessão e
certificados. Quando o datagrama chega a seu destino final, é desencapsulado e entregue ao
endereço de destino indicado no campo “Destination Address” original.
Figura 680 - Exemplo de encapsulamento de um pacote para tráfego pelo túnel (tunelamento IP).

976
O IP Security Tunnel Mode (IPSec)
O IPSec é um conjunto de protocolos desenvolvido pela IETF que visa garantir maior segurança no
tráfego de dados privados em redes públicas. O principal objetivo é assegurar confidencialidade,
integridade e autenticidade durante uma transmissão de dados através de uma rede pública. Sua
implementação é obrigatória nas soluções que utilizam o IPv6, e apenas opcional para as que utilizam
IPv4. Independentemente da plataforma, tem sido amplamente adotado por diversos fabricantes de
hardware e software.
A arquitetura do IPSec define um novo cabeçalho que deve ser adicionado entre o cabeçalho IP e os
dados, permitindo que os pacotes IP sejam criptografados e encapsulados com um cabeçalho
adicional deste mesmo protocolo para que sejam transportados através de um túnel. Seu principal
objetivo é oferecer mecanismos de segurança a pacotes IP, através de dois cabeçalhos de extensão:
o AH (Authentication Header) e o ESP (Encapsulation Security Payload).
O AH foi desenvolvido para garantir a autenticidade e a integridade dos pacotes IP, já que sua
utilização oferece proteção contra modificações nos campos de valor fixo do pacote IP, proteção
contra spoofing e, opcionalmente, proteção contra ataques de replay. Já o ESP trabalha com a
criptografia do conteúdo do pacote e é inserido entre o cabeçalho IP e o restante do datagrama.
Figura 681 - Encapsulamento realizado pelo protocolo IPSec.
41.4. Criptografia
Certas informações são estratégicas e, como tal, só devem ser acessadas por quem de direito. Em
tomadas de decisões importantes, vence quem consegue antecipar certos comportamentos (ou
acontecimentos) e planejar as ações necessárias para tirar melhor proveito da situação. Mas como
garantir a confidencialidade e inviolabilidade dos dados? Como ter a certeza que
apenas A e B tiveram acesso a eles? Como saber se a informação final realmente corresponde à
informação original?

977
Enviar mensagens secretas sem que elas sejam interceptadas por terceiros é uma “arte” que já vem
de longa data. O desafio de conseguir que uma informação secreta permaneça realmente secreta
consumiu o pensamento de grandes estrategistas, desde o tempo das mais antigas nações até os dias
de hoje. Alexandre, o Grande, costumava trocar a posição das letras em mensagens confidenciais
quando as enviava por seus emissários através de campos inimigos. Desta maneira, caso a mensagem
fosse interceptada, só quem conhecesse o “segredo” para realizar as substituições corretamente
seria capaz de decifrar seu conteúdo.
Tal como Alexandre, vários imperadores, governantes, estadistas, empresários e até usuários comuns
já buscaram alguma maneira de deixar ocultas certas informações que não deveriam chegar ao
conhecimento de terceiros, a não ser que fosse realmente necessário. A Criptografia é justamente a
ciência que busca encontrar meios eficientes para garantir este “segredo” em torno da informação.
A estratégia consiste em, através de algoritmos bem definidos e testados, criar formas complexas de
codificar a mensagem, dificultando acessos indevidos ao seu conteúdo.
Além de prover confidencialidade, autenticação, integridade dos dados, a criptografia também deve
garantir o não repúdio da informação.
As implementações para prover confidencialidade e segurança que a Criptografia oferece, vão desde
identificação digital até operações bem mais complexas, envolvendo dados altamente sigilosos e
estratégicos. A gama de aplicações é infinita, e sempre há aqueles que tentam tirar proveito de
brechas, buscando favorecimento próprio.
Com os recursos computacionais modernos deve tentar identificar padrões ou mesmo forçar diversas
combinações (ataques de força bruta) até conseguir chegar à mensagem original ou à chave de
criptografia. Quanto maior a complexidade do algoritmo utilizado, maior o tempo necessário para
descobrir o padrão utilizado e, assim, acessar o conteúdo encriptado. Esta força contrária acaba
permitindo que a Criptografia nunca se transforme em uma ciência ultrapassada, pois deverá estar
em constante busca por novas formas de dificultar o acesso indevido às informações que estiverem
resguardadas por ela.
Nesta Seção, vamos abordar os principais conceitos relacionados à Criptografia. Falaremos sobre os
principais algoritmos, o que é PKI, certificados e outros assuntos correlatos, mas também
importantes para o melhor entendimento acerca dos conceitos que serão aplicados no uso do Aker
Client.
Algoritmos de Criptografia
A criptografia dos dados deve ser realizada através de um algoritmo que tenha a capacidade de
codificá-los, de tal maneira que apenas pessoas autorizadas consigam acesso ao conteúdo original.
Existem diferentes tipos de algoritmos, cada um utilizando técnicas diferentes para criptografar os
dados, normalmente baseadas na combinação de métodos matemáticos complexos. Assim, na hora
de determinar o algoritmo a ser utilizado, é importante levar em consideração o valor da informação
que está sendo protegida, pois o tempo necessário para “quebra” da chave deve ser superior ao
tempo necessário à guarda daquela informação.

978
Os algoritmos que geram as chaves criptográficas costumam utilizar métodos matemáticos
complexos a fim de garantir robustez ao código e dificuldade na quebra da chave através do método
da força bruta ou sobreposição. Com o poder computacional atual, deve ser levado em conta que
este tempo de quebra poderia diminuir muito, principalmente se dezenas de computadores forem
utilizados em paralelo para a decodificação da chave.
A combinação dos diferentes tipos de algoritmos mostra-se eficiente quando há a necessidade de

utilizar criptografia forte na codificação de informações sigilosas. Sabe-se que os algoritmos de chave
simétrica são rápidos na cifragem da mensagem, mas o gerenciamento das chaves e o modo de
distribuição são considerados os pontos fracos deste modelo. Já os algoritmos assimétricos são
considerados muito mais lentos no processo de codificação e decodificação da mensagem, mas são
mais simples no quesito de gerenciamento de chaves públicas. Não há um algoritmo de criptografia
que seja totalmente seguro, mas é comum combinar dois ou mais tipos de algoritmos a fim de
conseguir uma melhor eficiência na codificação. Como exemplo, o usuário A pode usar um algoritmo
simétrico para criptografar uma mensagem e, em seguida, criptografar a chave e a mensagem
resultante, utilizando sua chave privada antes de enviá-la para B. Quando B receber a mensagem,
deverá usar a chave pública de A para decodificá-la e ter acesso à primeira chave utilizada, usando-a
para chegar à mensagem original.
Nesta seção vamos explicar os tipos de algoritmos existentes e os principais algoritmos conhecidos
existentes em cada categoria.
Algoritmos de Chave Simétrica
Nesta modalidade a mesma chave utilizada para criptografar uma mensagem é utilizada para
descriptografá-la. O problema em haver apenas uma chave para realizar as duas tarefas é que faz
com seja necessário conseguir um meio seguro para transmitir a chave para o destinatário, já que
sem ela fica quase impossível decifrar o conteúdo da mensagem.
Pela dificuldade de distribuição e gerenciamento das chaves de criptografia, as chaves simétricas

caíram em desuso para o envio de mensagens codificadas, a não ser quando combinadas com outro
método de criptografia, mas são amplamente utilizadas quando tem que realizar conexões seguras
na Internet e também nos processos onde ocorra troca temporária de chaves. Dentre os algoritmos
disponíveis para criptografia de chave simétrica, podemos destacar os seguintes:
DES (Data Encrypt Standard)
Algoritmo criado pela IBM em 1970 e adotado pelo governo dos EUA como padrão de codificação a
ser empregado pelos órgãos governamentais daquele país. É considerado de fácil implementação,
utiliza uma chave de 56 bits e opera em blocos de 64 bits, produzindo um texto do mesmo tamanho
que o original.
Como o tamanho da chave é pequeno, este algoritmo é considerado “fraco” para os padrões atuais
já que pode ser
• 3DES (Triple Data Encrypt Standard)

979
Algoritmo baseado no DES. Seu funcionamento consiste em realizar três cifragens consecutivas
utilizando o DES, sendo que em cada uma, uma chave diferente será usada no processo. Com isso, a
chave passa a ter 168 bits, tornando o 3DES mais lento que o DES, mas ao mesmo tempo, mais seguro.
• AES (Advanced Encryption Standard)
Algoritmo sucessor do DES e do 3DES, escolhido através de um concurso público realizado

pelo National Institute of Standards and Technology (NIST), órgão ligado ao governo
estadunidense, para ser adotado como o novo padrão de criptografia para segurança em transmissão
e armazenamento de dados do governo americano.
O algoritmo utilizado pelo AES é o Rijndael, criado pelos belgas Vincent Rij men e Joan Dae men, e
que utiliza chaves de 128, 192 e 256 bits. Seu método de codificação é baseado em fases, cuja
quantidade depende da chave escolhida. A cada fase são aplicadas várias técnicas de cifragem, que
resultam em blocos de dados de 128 bits.
Durante o concurso, o código foi amplamente divulgado para discussões. Estima-se que o tempo
necessário para ser quebrado gire em torno de 30 anos, fazendo com que seja considerado seguro.
Algoritmos de Chave Assimétrica
Estes algoritmos utilizam o conceito de “chave pública” e “chave privada”. As chaves são geradas em
pares e a privada deve ser mantida em segredo, conhecida apenas por seu dono. Já a chave pública
pode ser distribuída livremente. Quando um usuário X envia uma mensagem para o usuário Y, deve
encriptá-la com a chave pública de Y e assiná-la com a chave de privada de X. O usuário Y só terá
acesso ao conteúdo da mensagem se usar a chave pública de X – para verificar a sua identidade – e,
depois, a privada de Y, para acessá-la. Ao mesmo tempo que serve para criptografar a mensagem, a
chave privada também serve para atestar a identidade do remetente, pois é presumido que apenas
ele a possui.
São considerados mais seguros que os de chave simétrica, mas ao mesmo tempo muito mais lentos,
sendo que esta característica muitas vezes se torna uma desvantagem. Como presume-se que apenas
o dono tem conhecimento de sua chave privada, estes algoritmos são muito utilizados quando
deseja-se atestar a procedência de uma mensagem (assinatura digital).
• RSA
Este algoritmo utiliza a teoria dos Números Primos para escolher as chaves que serão utilizadas.
A chave pública é gerada através da multiplicação de dois números primos muito grandes, gerando
um terceiro número. Partindo do princípio que é muito difícil deduzir um número muito
grande através de fatoração, é considerado difícil de ser quebrado, e por isso tornou-se um dos
algoritmos de chave assimétrica mais populares no mercado.
• Diffie Hellman
Baseado em logaritmos discretos, não permite a criptografia ou assinatura digital da

mensagem, mas foi o primeiro algoritmo a implementar o conceito de chaves de sessão, que é
980
quando as partes envolvidas na comunicação permutam suas chaves públicas e, a partir do uso
conjunto com as respectivas chaves privadas, geram uma chave que será comum a ambas as partes.
Chaves com tamanho inferior a 512 bits podem ser consideradas frágeis.
Função HASH
As funções hash são equações matemáticas capazes de receber uma mensagem em texto de
qualquer tamanho e produzir um valor único, de tamanho fixo, também conhecido como resumo da
mensagem (hash).
Na criação do resumo da mensagem, a alteração de qualquer bit faz com que o hash final também
seja alterado. Assim, se o destinatário da mensagem aplicar a função hash na mensagem recebida,
deverá obter o mesmo valor associado à mensagem original. Um valor dehash diferente indica que a
mensagem original foi adulterada.
Esses algoritmos costumam ser muito utilizados nas aplicações de assinaturas digitais, em conjunto
com os algoritmos de chave pública, onde arquivos maiores precisam ser comprimidos de maneira
segura. Como os resumos das mensagens possuem tamanho fixo, fica mais rápido utilizar uma função
de hash e “resumir” a mensagem, e só então usar a chave privada do usuário para encriptá-la
novamente e, assim, atestar sua identidade.
MD5
Abreviação de Message Digest 5. É um algoritmo, que assim como o MD2 e o MD4, cria um código
numérico e exclusivo ( hash ), a partir dos caracteres existentes em uma mensagem seja qual for o
tamanho desta última. O resultado será um número de tamanho fixo que serve para identificar se a
mensagem permanece íntegra ou não.
Foi proposto em 1991 após a descoberta de ataques de criptoanálise contra a função de hash no
MD4. Como seu hash é de apenas 128 bits, está caindo em desuso por ser considerado vulnerável ao
mesmo tipo de ataque.
SHA-1
Este algoritmo gera um valor hash de 160 bits, a partir de uma mensagem de tamanho arbitrário.
Foi originado do MD4, mas com melhorias nas vulnerabilidades que haviam sido encontradas
anteriormente.
Atualmente, não há nenhum ataque de criptoanálise conhecido contra o SHA-1 e ataques de força
bruta possuem tempo de resposta inviável, devido ao valor do hash implementado no algoritmo.
PKI
Com o crescimento das transações realizadas via Internet, tornou-se necessário instituir um
mecanismo capaz de gerenciar o uso de Certificados e Chaves Públicas na identificação digital. O
objetivo era criar uma estrutura confiável, cujo objetivo é assegurar transparência e segurança nas
relações virtuais.

981
A PKI (Public Key Infrastructure) ou, em português, “Infra-estrutura de Chaves Públicas” é um
conjunto de serviços, softwares, normas e especificações de segurança aplicado ao uso de
certificados digitais – incluindo o gerenciamento de chaves públicas e sua política de uso – com o
intuito de garantir a autenticidade, confidencialidade, integridade e não-repúdio das informações.
Baseia-se em um sistema de confiança onde duas partes distintas possuem uma relação de confiança
mútua com uma terceira entidade, chamada Autoridade Certificadora (CA), cuja principal atribuição
é atestar a identidade das partes envolvidas em uma transação.
Os principais serviços que uma solução PKI deve oferecer são o registro de chaves e emissão,
revogação e cancelamento de certificado para uma chave pública. Por ser uma solução recente, ainda
não há uma padronização quanto a práticas e funcionalidades oferecidas, mas a IETF montou um
grupo denominado PKIX (Public Key Infrastructure Workgroup), cujo objetivo é elaborar as propostas
para promover a interoperabilidade e uniformização de procedimentos.
O Brasil possui sua própria estrutura de chaves públicas, denominada ICP Brasil. Foi estabelecida em
2000 e tem como objetivo regulamentar as práticas e procedimentos relativos à certificação digital
baseada em chave pública que devem ser implementados pelas organizações governamentais e
privadas brasileiras.
Autoridade Certificadora (AC)
Esta é a estrutura-chave de uma solução PKI. É ela quem controla a concessão, emissão e revogação
dos Certificados Digitais. Por serem consideradas totalmente confiáveis, possuem autoridade
suficiente para assegurar a identidade das partes envolvidas em uma transação a fim de afastar a
possibilidade de fraudes e garantir a transparência na negociação. Isto significa que estas entidades
devem manter uma relação de confiança com a AC que assina seu certificado, assim, se uma entidade
confia em uma AC e na política adotada para controlar a emissão e gerenciamento de certificados,
quer dizer que também confia na validade e teor dos outros certificados emitidos por aquela mesma
AC.
As ACs devem disponibilizar relações diárias e atualizadas sobre os Certificados que forem revogados.
Estas listas são chamadas CRLs (Ceritficate Revocation Lisst) e servem para controlar Certificados cuja
data de validade expirou, ou aqueles que foram revogados por outros motivos.
Uma AC pode estar encadeada a outra AC através de hierarquias de certificação. Neste caso, uma CA
deve validar sua assinatura através da assinatura de uma CA que esteja hierarquicamente acima dela.
O controle de emissão, cancelamento e revogação de certificados é realizado de maneira hierárquica

e altamente organizada.
Os certificados digitais podem ser utilizados por diversas entidades, sejam elas pessoas,
computadores, departamentos, órgãos, etc, como forma de garantir a idoneidade de todos as partes
envolvidas em uma transação.
Autoridade Certificadora Raiz

982
É a CA que está localizada no topo de uma hierarquia. Por não haver outra CA acima, ela recorre a si
mesma para certificar sua chave pública, gerando um certificado auto assinado.
No Brasil, este papel é desempenhado pelo ITI (Instituto Nacional de Tecnologia da Informação),
autarquia responsável pela definição e atribuição de regras e papéis às Autoridades Certificadoras
Brasileiras.
A Autoridade Certificadora Raiz emite, distribui, revoga e gerencia os certificados de todas as

Autoridades Certificadoras que estejam hierarquicamente situadas no nível logo abaixo ao seu. Como
é necessário manter a confiabilidade do serviço e das entidades envolvidas, outra atribuição da AC
Raiz é realizar fiscalizações e auditorias constantes em todas as entidades que estejam envolvidas no
processo de utilização e concessão de Certificados Digitais.
41.5. Certificados digitais
Certas atividades desempenhadas na Internet ou em uma rede corporativa necessitam que seja
realizada a validação da identidade das partes envolvidas na transação. Como garantir que um
usuário é realmente quem diz ser, ou que estamos realmente utilizando a página de serviços do
banco XYZ?
Os Certificados Digitais são documentos emitidos pelas ACs, que contêm informações detalhadas
sobre uma determinada entidade, a fim de atestar a identidade de quem o utiliza. O processo de
emissão de um Certificado é iniciado quando uma entidade (empresas, pessoas) faz uma requisição
formal a uma AC, fornecendo dados relevantes sobre ela, que serão utilizados na emissão daquele
Certificado. A AC, por sua vez, verifica se as informações fornecidas são verdadeiras e, neste caso,
gera o Certificado. Nessa fase, a AC assina o novo Certificado com sua chave privada e o disponibiliza
para a entidade solicitante, juntamente com um par de chaves, sendo uma privada e uma pública,
que serão usadas para validar a identidade do proprietário.
A autenticação é realizada através da conferência da assinatura digital recebida, e como as

informações codificadas com uma determinada chave privada só serão acessíveis com a respectiva
chave pública é possível garantir que apenas o detentor daquela chave privada poderá gerar
mensagens assinadas digitalmente usando aquele Certificado. Os certificados provêm a validação de
chaves.
Uma autoridade certificadora confiável (AC) cria o certificado e o assina digitalmente utilizando sua
chave privada.
A CA assina os certificados, autenticando assim a identidade do requerente, dando garantia pública

e notória para a assinatura e identidade de um indivíduo.

983
Figura 682 - Certificado
Os exemplos de aplicação de Certificados Digitais são variados, mas os mais comuns ocorrem na
validação das entidades envolvidas em uma transação bancária, comércio eletrônico e autenticidade
do remetente de uma mensagem eletrônica.
A estrutura de um certificado digital deve conter os seguintes elementos:
• Nome do titular do Certificado: pessoa física ou jurídica a quem ele pertence;
• Informações sobre a validade do Certificado Digital: data de emissão e expiração do

Certificado;
• Nome da Entidade Certificadora emissora do Certificado Digital: entidade a qual o
titular do Certificado está ligado, hierarquicamente;
• Número do Certificado Digital: número único que identifica aquele certificado;
• Assinatura digital da Entidade Certificadora: chave pública do titular do Certificado,
que assegura que ele detém a respectiva Chave Privada.
• Data de validade: data de início e expiração do certificado;

984
41.6. Cliente de Autenticação
O que é o Cliente de Autenticação Aker?
Para possibilitar que o firewall saiba exatamente quais usuários estão utilizando quais máquinas,
existe um programa chamado Cliente de Autenticação Aker, que deve ser instalado em todas as
máquinas nas quais pretende-se utilizar controle de acesso por usuário. Este programa, que funciona
de forma totalmente transparente para os usuários finais, intercepta o logon destes usuários no
domínio, ou solicita uma nova autenticação caso se esteja utilizando autenticação por token ou smart
cards, e envia esses dados, de forma criptografada, para o firewall. O firewall então valida os dados
recebidos utilizando seus agentes de autenticação, autenticadores token ou autoridades
certificadoras e caso o usuário tenha sido validado corretamente, estabelece uma sessão para o
usuário validado a partir da máquina na qual ele estabeleceu a sessão.
A partir deste momento, o usuário terá seu perfil de acesso configurado e terá acesso a todos os
serviços liberados para ele. Quando ele efetuar logoff, o cliente de autenticação detectará este fato
e informará ao firewall que o usuário finalizou sua sessão. Novamente, tudo é realizado de forma
transparente e automática.
O cliente de autenticação utilizará a porta 1022/UDP (serviço Aker-CL) para se comunicar com
os firewalls com os quais ele estabelecerá as sessões de usuários, está mesma porta é usada para
encerrar a sessão de autenticação, ou seja, é necessário liberar a porta 1022 para realizar a
autenticação e para encerrar a autenticação. É necessário que exista pelo menos uma regra de
filtragem liberando o acesso a partir das máquinas com o cliente instalado para o firewall, caso
contrário não será possível o estabelecimento das sessões.
O cliente de autenticação não funciona através de conversão de endereços, ou seja, não é

possível para uma máquina atrás de um firewall que realiza conversão de endereços estabelecer uma
sessão com um firewall localizado no lado externo da conversão.

985
41.7. Instalação do Aker Client
Pré-requisitos
Software
• Windows XP ou mais recente;
• Fedora Core (kernel 2.6.17 ou mais recente) com KDE ou Gnome;
Hardware
• Memória: aproximadamente 5 MB de memória física;
• CPU: atinge no mínimo uma velocidade de 100 Kb/s sem sacrificar uma parcela significativa da CPU
em plataformas Pentium-2, com processadores de 500MHz.
NOTA: antes da utilização do produto, é necessário verificar se todos periféricos do computador

são suportados pelo sistema operacional utilizado.
Sistema Operacional Windows
Ao fazer a atualização do sistema operacional Windows 8 para Windows 8.1, é

necessário a reinstalação do Aker Client.
A instalação no Sistema operacional Windows é rápida e pode ser concluída em poucos minutos.
Após finalizada, é necessário realizar as configurações necessárias para conectá-lo ao servidor,
conforme será mostrado abaixo:
1. Execute o programa de instalação a partir do arquivo obtido da página da Aker.

2. Para iniciar o processo de instalação, clique no botão Avançar;

986
Figura 683 - Instalando o Aker Client
3. A tela seguinte traz o Contrato de Licença do Programa. Leia todos os termos

atentamente e, caso concorde com todos eles, selecione a opção Aceito os termos do
contrato de licença;

987
Figura 684 – Contrato de licença do programa
4. Preencha as informações referentes ao nome do usuário (aquele que utilizará o

Cliente) e a organização a qual pertence. Em seguida, escolha os usuários que terão
acesso ao programa e clique no botão Avançar.

988
Figura 685 – Informação do usuário
5. Agora é necessário definir onde o aplicativo será instalado. O produto indica o local
de instalação padrão. Caso não desejar utilizá-lo, clique no botão Alterar e especifique
o local da instalação. Caso contrário, clique no botão Avançar;

989
Figura 686 – Pasta de destino
6. Agora que todos os parâmetros necessários já foram definidos, clique no

botão Instalar para prosseguir com a instalação;
Figura 687 – Aplicativo pronto para instalação

990
7. Nesta etapa é necessário aguardar que a instalação seja concluída. É possível conferir
o andamento através do aumento da barra de progresso;
Figura 688 – Atualizando o sistema
8. Aguarde o aparecimento da tela que informa a conclusão da instalação do produto e

clique no botão Concluir para finalizar.

991
Figura 689 – Aker Client foi instalado com sucesso
9. Reinicie o computador, para que a instalação do produto possa ser concluída.
Sistema Operacional Fedora Core
A versão do kernel deve ser 2.6.17 ou superior. É importante ressaltar que alguns pré-requisitos
devem ser atendidos, como por exemplo a existência do pacote Kernel-Devel correspondente ao
kernel do sistema operacional.
No exemplo demonstrado abaixo foi utilizado o Sistema Operacional Fedora Core 7 versão 2.6.21.
1 Descompactação do pacote de instalação: para descompactar a pasta é necessário que o

administrador (root) entre com os comandos "tar jxvf Aker Client", o resultado será impresso na tela.

992
Figura 690 - Descompactação
2 Após a descompactação, é criada a pasta AkerClient-pt-fc5-1.0, onde se encontra o script de

instalação "instalar_akerclient.sh".

993
Figura 691 – Iniciando o instalador
3 Assim que o script de instalação for iniciado, ele verifica a existência de três pacotes que devem
estar previamente instalados. São eles: kernel-devel (com a mesma versão do kernel do Sistema
Operacional), GCC e Make. Caso não seja encontrado algum dos 3 pacotes, a instalação será
abortada.

994
Figura 692 – Verificando o Kernel
Figura 693 – Verificando o pacote GCC

995
Figura 694 – Verificando a instalação da ferramenta “make”
4 O script irá instalar o pacote qt-aker. É necessário a confirmação do usuário para o que o
pacote seja instalado, caso não seja instalado, ele prosseguirá com a instalação, mas o Aker
Client poderá ter problemas com sua execução.

996
Figura 695 – Verificando o pacote qt-aker
5 Finalmente é iniciada a instalação do Aker Client.

997
Figura 696 – Instalação do Aker Client
Ao final da instalação, basta executar o comando /usr/local/AkerClient/akerclient_init.sh e a Interface

Remota do Aker Client será iniciada e aparecerá um ícone na bandeja do sistema. Também é possível
iniciá-la pelo atalho criado no menu KDE ou GNOME.

998
Figura 697 – Instalação finalizada
41.8. Configuração do Aker Client
O Aker Client é a versão utilizada pelos usuários remotos para conectar-se ao servidor através de
uma VPN ou para autenticação dos empregados no ambiente da empresa. É uma ferramenta de fácil
configuração e a sua utilização pelo usuário final é simples e intuitiva. Neste capítulo, será
demonstrada como é realizada a configuração do Aker Client, explicando as telas envolvidas e
apresentando algum outro conceito que seja necessário para o completo entendimento do produto.
A tela inicial do produto está dividida em 6 abas, que serão descritas abaixo:
Servidores
O primeiro passo é configurar a conexão com o servidor. Podem ser configuradas várias conexões
diferentes, caso haja mais de um servidor responsável por responder às requisições para
estabelecimento da VPN/Autenticação, ou mais de um usuário utilizando o mesmo computador.
Todas as conexões configuradas serão listadas na tela inicial do produto, informando o status da
conexão.

999
Figura 698 – Aba Servidores
Nesta tela os botões disponíveis são:
• Novo Servidor: este botão abre uma nova janela, onde devem ser feitas as configurações
necessárias;
• Editar Servidor: modifica uma conexão já existente. Caso a conexão já tenha sido estabelecida, será
necessário desfazê-la para poder editar os parâmetros de conexão.
• Remover Servidor: remove uma conexão criada.
• Exportar Servidores: Este campo tem a função de salvar toda as configurações feitas no Aker Client
em um arquivo XML. É importante ressaltar que só são gravadas as configurações globais, ou seja, as
que não são configurações exclusivas de um determinado usuário (Essas configurações globais serão
explicadas logo abaixo).
Essas informações gravadas serão utilizadas na "ferramenta para reempacotar" do Aker Control
Center no Aker Firewall 6.1. (Para saber mais sobre a ferramenta de reempacotar, consulte o manual
do Fw6.1)
• Conectar/Desconectar: faz ou desfaz uma conexão com o servidor. Enquanto a conexão estiver
sendo feita, será mostrado o botão Abortar, que se for pressionado, fará com que o processo de
conexão seja finalizado.

1000
Para que os todos os botões de configuração, que ficam na parte superior da janela, sejam
habilitados é necessário selecionar o item que representa o servidor. Também é possível ter acesso
a esses botões pelo menu suspenso que surge ao clicar com o botão direito do mouse em cima do
item selecionado.
Toda configuração do Secure Roaming é global. Por isso não é necessário configurar as
permissões de acesso, como é realizada na autenticação.
Figura 699 – menu de opções
Para criar um servidor novo, clique no botão Novo Servidor localizado na parte superior da janela,
ou clique com o botão direito do mouse dentro da tela principal.
A tela de configuração está dividida em Autenticação e Secure Roaming, conforme mostrado a

seguir:

1001
Figura 700 – Editar servidor
• Descrição: nome pelo qual a conexão será conhecida, facilitando sua identificação.
• Nome/Endereço do Servidor: neste campo deve ser inserido o nome de DNS ou o endereço IP do
servidor onde será realizada a conexão. Esse endereço IP pode ser diferente do endereço real do
servidor caso ele se encontre atrás de um gateway que faz NAT (tradução de endereços).
• Protocolo por usuário (FW 6.1 ou maior): essa opção poderá ser selecionada apenas quando a
conexão a ser estabelecida for com o Aker Firewall 6.1 ou posteriores. Deve ser utilizada para
autenticação por usuários, quando mais de um usuário usar mais de um endereço IP de origem (p.ex:
quando mais de um usuário usar o mesmo endereço IP de origem).
• Modo de Ativação: define quando a sessão de autenticação deve começar e terminar. Existem
duas opções possíveis:
- Manual: a conexão for estabelecida e encerrada manualmente, independentemente do usuário

que a iniciou ter efetuado logout.

1002
- Início manual/Final automático: São conexões acionadas manualmente por usuários que têm
permissão de acesso e cujo fim ocorre automaticamente ao fim de sua sessão no sistema operacional.
O fim também pode ocorrer antes disso, a critério do usuário.
- Início automático/Final automático: São conexões iniciadas e terminadas automaticamente junto

com a sessão do usuário no sistema operacional
- Permanente: A conexão é estabelecida no momento em que o serviço do Aker Client é iniciado

pelo sistema operacional e encerrada no momento em que o serviço é finalizado. Pode ser encerrada
a qualquer momento por um administrador, mas será restabelecida assim que o serviço precisar
recarregar a configuração.
- Sincronizar com conexão dialup: o estado da conexão será sincronizado com o adaptador dial-up.
Assim a VPN será estabelecida quando o usuário conectar-se a um servidor dial-up, e derrubada
quando ele desconectar-se. Este método é o mais recomendado para aqueles usuários que não
possuem acesso permanente à Internet.
• Modo de login: esse campo permite definir o modo de login. O Aker Client oferece 4 tipos: Logon
do sistema, Usuário/Senha, Certificados X509 e RSA SecurID.
- Logon do sistema: Utiliza o usuário e senha cadastrado no sistema operacional ou no domínio

para autenticação no Aker Client.
Figura 701 – Informação de Acesso
- Usuário/Senha: Utiliza o nome de usuário e a senha informados manualmente.
• Usuário: Nome do usuário que vai se autenticar.
• Senha: Senha de autenticação do usuário.
• Domínio: Nome do domínio no qual o usuário irá se autenticar.

1003
Figura 702 – Informações de Acesso (Usuário /Senha)
- Certificados x509: Utiliza uma autenticação por meio de um certificado x509.
• Assunto: Nome do proprietário do certificado.
• Emissor: Autoridade certificadora que atesta a validade do certificado.
• Senha: informa a senha do certificado.
• Salvar senha: ao selecionar essa opção, permite salvar a senha informada no campo anterior.
• Selecionar certificado: seleciona o certificado de uma lista.
Figura 703 - Informações de Acesso (Certificado X509)
- RSA SecurID:
1004
• Usuário: Informa o usuário do servidor.
• Senha: senha do usuário.
• Domínio: Domínio no agente de autenticação da Aker.
• Salvar senha: ao selecionar esse campo permite salvar a senha do usuário.
Os dados de PIN e de próximo token a serem obtidos do dispositivo criptográfico serão solicitados
interativamente no momento do logon.
Figura 704 – Informações de Acesso (RSA SecurID)
Permissões de acesso: São as permissões de acessos dos usuários do Aker Client. Para cada servidor
pode-se definir quais os usuários terão acesso a ele. Essas permissões dividem-se em dois tipos de
acesso, a global e a específica.
Figura 705 – Permissões de Acesso
• Global: Todos os usuários que têm acesso à máquina terão a permissão de iniciar ou encerrar a
conexão com esse servidor.

1005
• Específica: é uma permissão de acesso exclusiva para o usuário selecionado no campo "usuário
permitido". Apenas ele terá permissão de iniciar ou encerrar a conexão com esse servidor.
• Usuário permitido: Nesse campo são listados os usuários que têm acesso à máquina. Podem ser
tanto usuários locais como usuários de domínio.
Figura 706 – Editar servidor
•Descrição: nome pelo qual a conexão será conhecida, facilitando sua identificação.
• Nome/Endereço do Servidor: neste campo deve ser inserido o nome de DNS ou o endereço IP do
servidor onde será realizada a conexão. Esse endereço IP pode ser diferente do endereço real do
servidor caso ele se encontre atrás de um gateway que faz NAT (tradução de endereços). É possível
inserir três endereços diferentes para o estabelecimento da conexão, apenas o primeiro desses
campos é de preenchimento obrigatório.

1006
• Tráfego de dados: permite escolher o protocolo usado para o tráfego de dados e se eles serão
enviados de forma comprimida ou não. Caso as opções UDP e TCP estejam simultaneamente
selecionadas, o Aker Client dará preferência para o protocolo UDP e, se não conseguir, tentará usar
o protocolo TCP.
• Portas: aqui devem ser selecionadas as portas TCP e UDP que serão utilizadas para o tráfego de
dados e estabelecimento da conexão. Obrigatoriamente, essas portas devem ser as mesmas
constantes na configuração do servidor ou os números de porta traduzidos, se o servidor estiver com
suas portas traduzidas por um gateway de NAT.
As portas padrão na configuração são 1011 TCP e 1011 UDP.
• Modo de ativação: define quando a conexão VPN deve começar e terminar. Existem cinco opções
possíveis:
- Manual: a conexão é estabelecida e encerrada manualmente, independentemente do usuário que

a iniciou ter efetuado logout.
- Início manual/Final automático: São conexões acionadas manualmente por usuários que têm
permissão de acesso e cujo fim ocorre automaticamente ao fim de sua sessão no sistema operacional.
O fim também pode ocorrer antes disso, a critério do usuário.
- Início automático/Final automático: São conexões iniciadas e terminadas automaticamente junto

com a sessão do usuário no sistema operacional
- Permanente: A conexão é estabelecida no momento em que o serviço do Aker Client é iniciado

pelo sistema operacional e encerrada no momento em que o serviço é finalizado. Pode ser encerrada
a qualquer momento por um administrador, mas será restabelecida assim que o serviço precisar
recarregar a configuração.
- Sincronizar com conexão dial-up: o estado da conexão será sincronizado com o adaptador dial-up.
Assim a VPN será estabelecida quando o usuário conectar-se a um servidor dial-up, e derrubada
quando ele desconectar-se. Este método é o mais recomendado para aqueles usuários que não
possuem acesso permanente à Internet.

1007
• Configuração de Proxy:
Figura 707 – Informações de Proxy
• Usar configurações do sistema: Ao selecionar essa opção, não será necessário preencher as
informações de localização. Serão utilizadas as informações de proxy HTTP já configuradas no
sistema.
• Endereço: neste campo deve ser inserido o endereço IP do servidor de proxy.
• Porta: aqui deve ser selecionada a porta utilizada no proxy HTTP. Por padrão, a porta 80.
• Obter dados do logon: Ao selecionar essa opção não será necessário preencher as informações de
logon para autenticação no proxy. Serão utilizadas as informações já configuradas no sistema.
• Nome de usuário: Nome do usuário a ser autenticado no proxy.
• Senha: Senha do usuário a ser autenticado no proxy.
Para que o valor da porta seja um valor padrão, o botão "Padrão" deve ser pressionado.
41.9. Certificados
Janela onde são gerenciados todos os certificados que serão usados durante a autenticação de
usuários, com as informações pertinentes de cada certificado identificadas nas colunas de cada item.
Desta maneira fica mais fácil realizar atualização, remoção ou inserção de novos certificados, sempre
que necessário.

1008
Figura 708 – Aba Certificados
Os botões localizados na parte superior da tela são úteis para executar as ações de gerenciamento
de certificados, como segue abaixo. Os campos destinatário indica o proprietário do certificado, o
emissor é quem valida o certificado, os campos Válido a partir de e Válido até, indicam a janela de
tempo de validade do certificado, não pode ser utilizado nem antes e nem depois dessa data. Local
de: é o local onde a chave privada correspondente ao certificado está instalada. (Reescrever)
• Carregar certificado: carrega um arquivo de certificado, que pode estar codificado em DER ou Base
64. Esse arquivo é gerado pela CA a partir da requisição que deve ser criada anteriormente. Quando
um certificado é carregado sua requisição é removida do disco, mas é possível fazer cópias de
segurança com o botão Salvar requisição localizado na aba "Requisições de Certificado, caso deseje
usar a mesma requisição para criar certificados a partir de CAs diferentes.
• Ver certificado: Este campo permite uma visualização dos detalhes do certificado, como mostra a
figura abaixo:

1009
Figura 709 – Detalhes do certificado
• Remover certificado: remove o certificado e a chave privada associada. Se o certificado que deve
ser deletado estiver em um token criptográfico, será necessário informar a senha do token para
poder remover o certificado;
• Carregar backup: carrega um certificado e seu par de chaves no formato PKCS#12;
• Salvar backup: salva um certificado e seu par de chaves no formato PKCS#12, que é um documento
distribuído pelo RSA Laboratories que define um formato de arquivo usado para guardar uma chave
privada e seu certificado correspondente protegidos por uma senha baseada em uma chave
simétrica;
41.10. Requisições de Certificado
As Requisições são documentos criados quando uma entidade deseja solicitar um certificado digital
a uma CA. Em um primeiro momento, um par de chave assimétrico é gerado. Em seguida, a chave
pública é anexada às informações da entidade (nome, endereço, etc.) e por fim, tudo é assinado com
a chave privada do par. O documento resultante pode então ser enviado a uma CA e as informações
contidas nele podem ser usadas para gerar um certificado.

1010
Figura 710 – Aba requisições de certificado
Os botões existentes para realizar o gerenciamento de requisições são os seguintes:
• Nova Requisição: abre uma janela para a criação de novas requisições e chaves privadas;
• Salvar Requisição: este botão faz com que seja salva uma cópia da requisição já criada em disco,
com a extensão '.csr'. Este arquivo pode ser usado pela CA para emitir um certificado;
• Remover Requisição: este botão remove uma requisição e a chave privada associada a ela. Caso a
Requisição seja criada em um token criptográfico, será necessário inserir a senha do token em
questão para apagar a chave privada;
Para criar uma requisição é necessário clicar no botão Nova Requisição e preencher os seguintes
campos:
• Alvo da Requisição: determina qual campo do certificado X.509 será usado na identificação. É
possível escolher entre “Pessoa”, onde a necessário fornecer um endereço eletrônico, e “Servidor”,
onde é necessário fornecer o domínio;

1011
Figura 711 – Nova requisição
• País: código identificador de duas letras (BR para Brasil por exemplo);
• Estado ou Província: identificação do estado (Distrito Federal, São Paulo, Minas Geris, etc.).
• Nome da Localidade: nome da cidade, bairro, etc.
• Nome da Organização: nome completo ou outro identificador relativo à Organização cuja

requisição está sendo feita;
• Nome da Unidade da Organização: nome da seção, departamento, etc.
• Especificações da Chave: nessa opção deve ser especificado onde será gerada a chave, se no disco
rígido ou em um token criptográfico.
• Tamanho: Indica o tamanho da chave criptográfica, em bits.
• Senha da chave privada: Neste campo é informada a senha usada para a criação da chave privada.
• Confirmação da senha: Deve ser informada a mesma senha da chave privada.
De acordo com o meio de geração do par de chaves assimétricas, a criação do certificado pode
demorar alguns segundos, fazendo com que durante a geração da chave alguns botões das janelas
de criação de requisições e de certificados sejam desabilitados.

1012
Quando o Aker Client apresentar a mensagem “Não encontrada” na coluna Chave armazenada em,
significa que a chave pode ter sido apagada ou estar em um token criptográfico que não está
carregado naquele momento.
41.11. Dispositivos Criptográficos
Os tokens utilizados pelo Aker Client são dispositivos criptográficos externos, cuja função é
armazenar chaves e certificados de forma segura, impossibilitando que sejam copiados. Eles
permitem a utilização de um esquema de autenticação de dois fatores, pois é necessário ter a posse
do token e também conhecer a senha ou pin de segurança, para que possa ser utilizado.
Figura 712 - token
O suporte do Aker Client para tokens criptográficos é baseado na especificação PKCS#11, versão 2.20,
do RSA Laboratories. Para que o token esteja em conformidade com o Aker Client é necessário que
tenha suporte a este padrão, por meio de uma biblioteca dinâmica que pode ser obtida com o próprio
fabricante do token (arquivos com extensão dll no Windows, ou so, no UNIX).
Na janela de gerenciamento de Tokens é possível verificar quais dispositivos estão fisicamente

conectados e as bibliotecas dinâmicas PKCS#11 utilizadas por cada um.

1013
Figura 713 – Aba dispositivos
• Bibliotecas dos Tokens
Esta janela mostra a biblioteca dinâmica que está sendo utilizada, bem como sua versão, o nome do
fabricante e a descrição. Os tokens ou certificados presentes no token são carregados apenas quando
uma biblioteca é corretamente carregada.
Estas bibliotecas podem ser adicionadas, removidas ou recarregadas, de acordo com o botão
utilizado:
• O botão Carregar biblioteca: cadastra uma nova biblioteca dinâmica junto ao Aker Client, deixando-
a passível de ser carregada posteriormente;
• O botão Remover biblioteca retira uma biblioteca da lista das bibliotecas cadastradas junto ao Aker
Client;
Procurar bibliotecas: procura bibliotecas associadas a tokens comuns e cadastra as que foram
encontradas junto ao Aker Client.
• O botão Recarregar: ativa as bibliotecas selecionadas e desativa as não selecionadas, verificando

quais são os tokens conectados no sistema. Sempre que um token é colocado ou retirado é
necessário clicar no botão Recarregar para ativar a biblioteca associada ao token e atualizar a lista
de certificados de acordo com os dados que se encontram no token em questão.
Se desejar cadastrar uma nova biblioteca é necessário seguir alguns passos:
• Clique no botão Carregar biblioteca e procure pelo arquivo com extensão dll (Windows) ou so
(Unix) da biblioteca;
1014
• No quadro de bibliotecas disponíveis, marque a caixa localizada à direita do nome;
• Clique no botão Recarregar.
Se o arquivo selecionado for uma biblioteca válida, as informações adicionais referentes a ela serão
mostradas na janela. Caso contrário, uma mensagem de erro será mostrada indicando que aquela
não é uma biblioteca válida.
Pode ocorrer da biblioteca dinâmica do token não ser encontrada ou ele não ser reconhecido pelo
Sistema Operacional. Neste caso, entre em contado com revendedor para obter maiores informações
de como utilizar as funções PKCS#11 do token, ou as atualizações necessárias.
41.12. Segurança
Esta aba exibe os status da segurança do seu sistema. É importante que o sistema em uso
esteja com a segurança ativada e atualizada, para que o Aker Client estabeleça a conexão.
Figura 714 - Aba segurança
Nome: Exibe o nome da ferramenta de segurança detectado no sistema;
Estado: Exibe o estado da ferramenta de segurança detectada no sistema;
Descrição do estado: Exibe uma descrição sobre a ferramenta de segurança detectado no

sistema;

1015
41.13. Logs
Tela que mostra o registro de atividade do Aker Client. As ações de conexão, desconexão e erros
ocorridos durante estas operações ficam armazenadas no cliente, facilitando para o Administrador o
diagnóstico de algum problema que esteja ocorrendo durante a conexão. A página possui o seguinte
formato:
Figura 715 - Logs
Através do botão Salvar é possível exportar todos os registros em arquivos texto para análise futura.
Quanto ao botão Limpar, através dele é possível remover todas as mensagens de registro
armazenadas pelo Aker Client. É importante ressaltar que quando o log é totalmente apagado
através do botão Limpar, a única possibilidade de recuperação é se alguma cópia de segurança que
tenha sido realizada através do botão Salvar for restaurada.
É possível ainda determinar as prioridades que serão mostradas na tela. Cada uma possui um nível
de criticidade diferente e todas são referenciadas por cores, a fim de facilitar a identificação visual.
• Informação (cor verde): mensagens com esta prioridade acrescentam informações úteis para a
administração do Aker Client, tais como status da conexão.
• Atenção (cor amarela): mensagens com esta prioridade indicam que certas ações foram rejeitadas
ou descartadas pelo sistema, devido a algum erro ocorrido. Em algumas situações, estas mensagens
podem ser precedidas por outras mensagens explicativas.
• Erro (cor vermelha): as mensagens com esta prioridade indicam problemas importantes para a
execução do Aker Client e são acompanhadas de uma mensagem explicativa.

1016
• Erro Fatal (cor preta): as mensagens com esta prioridade indicam problemas que impossibilitam a
execução do Aker Client e são acompanhadas de uma mensagem explicativa.
41.14. Sobre
Figura 716 - Aba Sobre
Esta janela mostra as informações da versão atual do produto e sua data de compilação, que pode
ser importante ao usuário quando entrar em contato com o suporte da Aker.
Nessa janela também é possível mudar o idioma do produto, podendo o usuário optar entre dois
idiomas: o Português e o Inglês.
Interface Remota em modo não administrativo
O usuário que não tiver permissão de administrador, só terá acesso para visualizar as configurações
relacionadas ao seu perfil. Caso necessite fazer alguma alteração deverá contatar o administrador da
máquina ou do domínio.
A GUI que vai aparecer para esse tipo de usuário terá apenas dois botões habilitados: "Visualizar
Servidor" e "Conectar" conforme imagem abaixo

1017
Figura 717 - Interface Remota em modo não administrativo
Para o usuário ter a GUI com privilégios administrativos, terá que está cadastrado no "Domain
controllers".
Glossário
Backbone Também conhecida como “espinha dorsal” de uma rede. Pode ser
local ou abranger longas distâncias.
No primeiro caso, é uma linha que conecta várias redes locais. No

segundo caso é um conjunto de linhas que interliga diversas
redes locais ou regionais, transportando os dados reunidos
pelas redes menores que estão a ela conectados formando
uma espécie de “teia de comunicação”.
CHAP Challenge Handshake Authentication Protocol. Esquema de
autenticação usado por servidores PPP para validar a
identidade do usuário que deseja conectar-se. A validação
pode ocorrer no momento da conexão ou então após seu
estabelecimento. É definido pela RFC 1994.
IPX Internerwork Packet Exchange. Protocolo desenvolvido pela Novell,
não orientado à conexão que trabalha na camada de rede
(camada 3).
IP masquerading Configuração realizada no roteador que faz com que máquinas sem
um endereço de rede válido possam se conectar a outras

1018
redes com endereços válidos, através de um gateway. Este
recurso “esconde” a rede atrás do Gateway, que passa a ser
o único equipamento visível na Internet.
LAN Local Area Network. É uma rede de computadores local limitada a
curtas distâncias.
LDAP Lightweight Directory Access Protocol.
Modelo OSI Open Systems Interconnection. Modelo de referência desenvolvido
pela ISO (International Standards Organization) com a
finalidade de padronizar o desenvolvimento de produtos
para redes de comunicação de dados, permitindo a
comunicação entre equipamentos heterogêneos.
PAP Password Authentication Protocol. Protocolo de autenticação de
texto em formato simples. É considerado inseguro pois o
nome do usuário e senha são enviados pelo cliente remoto
em texto de formato simples.
RFC Request for Comments. Documentos técnicos que descrevem os
padrões a serem adotados na utilização e implementação de
protocolos para a Internet.
WAN Wide Area Network. Rede privada que utiliza linhas dedicadas para
conectar computadores que estão fisicamente distantes.
WINS Windows Internet Naming Service. Serviço de resolução de nomes
utilizado exclusivamente por computadores que utilizam o
Windows como sistema operacional.
Links Indicados
• ITI Brasil: Instituto Nacional de Tecnologia da Informação. Órgão do Governo que atua como
Autoridade Certificadora Raiz da ICP Brasil. Divulgação de eventos, software livre, literatura
específica e fóruns virtuais.
http://www.iti.br/
• PPTP: página da Microsoft com um artigo explicativo com uma visão geral do tráfego PPTP.
www.technetbrasil.com.br/Downloads/ArtigosTecnicos/windows2003/CG0103.pdf
• IEC (International Engineering Consortium): organização internacional que busca, através de

parcerias com empresas e Universidades de renome, divulgar e desenvolver a tecnologia disponível
no mundo. Possui cursos on-line, fóruns e tutoriais sobre diversas tecnologias.
http://www.iec.org
• L2TP: página da CISCO com as definições acerca do protocolo L2TP.
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/120newft/120t/120t1/l2tpt.h
tm
1019
• RFC 2003 - IP Encapsulation within IP: RFC que traz as especificações necessárias para realizar o
encapsulamento de datagramas IP dentro de outro datagrama IP.
ftp://ftp.rfc-editor.org/in-notes/rfc2003.txt
• RFC 2661 – Layer Two Tunneling Protocol “L2TP”: RFC que descreve as características do protocolo
L2TP.
ftp://ftp.rfc-editor.org/in-notes/rfc2661.txt
• RFC 2341 – Cisco Layer Two Forwarding Protocol “L2F”: RFC que descreve as características do
protocolo L2F.
Anexo – Protocolos e Serviços
Conforme mostrado no Capítulo X, neste anexo vamos diferenciar as opções de serviços existentes
para cada protocolo. O leitor notará que apesar da ocorrência de nomes iguais de serviços,
normalmente estes referem-se a assuntos distintos e, por isso, é importante saber diferenciá-los na
hora de criar uma regra.
• ICMP
• Echo Reply (porta 0): Resposta de um ping.
• Destination Unreachable (porta 3): Destino inacessível.
• Source quench (porta 4): Aviso ao host solicitante que diminua a intensidade da comunicação.
• Redirect (porta 5): Redirecionamento – alteração da rota.
• Echo Request (porta 8): Saída de um ping para um host.
• Time exceded (porta 11): Indica quando é excedido o tempo máximo para chegarem todas as partes
de um datagrama.
•Parameter problem (porta 12): Cabeçalho incoerente, possivelmente os parâmetros de

preenchimento opcionais.
•Timestamp Request (porta 13): Solicitação da hora corrente.
•Timestamp Reply (porta 14): Sincronização dos relógios das máquinas.
• Information Request (porta 15): Solicitação de endereço da rede à qual corresponde.
• Information Reply (porta 16): Posição do endereço na rede corrente.

1020
• IP
• Echo Reply (porta 0): Resposta de um ping.
• ggp (porta 1): Usado por um gateway para troca de informações de roteamento.
• egp (porta 8): Protocolo que informa a um dispositivo de rede IP como alcançar outras redes IP.
• pup (porta 12): Programas ou “aplicativos” indesejados.
• hmp (porta 20): Protocolo de monitoração.
• xns-idp (porta 22): Protocolo de mensagem de controle
• rdp (porta 27): Protocolo de área de trabalho remota.
• rvd (porta 66): Protocolo para disco remoto virtual.
• TCP
• echo (porta 7): Repetição do que já foi digitado.
• discard (porta 9): Descartar o que está sendo digitado.
• sysstat (porta 11): Usuários de status ativo no sistema.
• daytime (porta 13): Data corrente do sistema.
• qotd (porta 17): Criações do protocolo do dia.
• chargen (porta 19): Gerar respostas de caracteres enviados por meio da rede.
• ftp (porta 21): Protocolo de transferência de arquivos.
• ssh (porta 22): Permite acessar remotamente a console de outra máquina.
• telnet (porta 23): Protocolo para serviço de Terminal Remoto.
• smtp (porta 25): Protocolo para Transmissão de mensagens de e-mail de uma máquina para outra.
• time (porta 37): Tempo.
• nameserver (porta 42): Nome do Servidor.
• domain (porta 53): Domínio.
• gopher (porta 70): Serviços de informações usado na Internet.

1021
• finger (porta 79): Protocolo para busca de informações do Usuário.
• http (porta 80): Protocolo de transferência de Hypertexto.
• pop2 (porta 109): Versão 2 do protocolo de correio eletrônico.
• pop3 (porta 110): Versão 3 do protocolo de correio eletrônico.
• sunrpc (porta 111): Protocolo de chamada de recebimento remoto.
• nntp (porta 119): Protocolo de transferência de notícias de rede.
• ntp (porta 123): Protocolo de hora da rede.
• loc-srv (porta 135): Protocolo de localização do Serviço.
• netbios-ssn (porta 139): Serviço de sessões do Netbios usado no Red hat Enterprise Linux pelo
Samba.
• https (porta 443): Protocolo de transferência de Hypertexto seguro.
• exec (porta 512): Autenticação para execução do processo remoto.
• login (porta 513): Autenticação remota.
• cmd (porta 514): Cópia remota sem autenticação.
• printer (porta 515): Spooler da impressora em linha.
• Aker Log Server (porta 1013): Não está sendo aplicada.
• Aker Log Server (porta 1014): Não está sendo aplicada.
• Aker URL Analyser (porta 1015): Não está sendo aplicada.
• Aker Anti-virus Agent (porta 1017): Não está sendo aplicada.
• Aker IDS Agent (porta 1018): Não está sendo aplicada.
• Aker Firewall (porta 1020): Não está sendo aplicada.
• Aker Authentication Agent (porta 1021): Não está sendo aplicada.
• socks (porta 1080): Suportar o tráfego TCP através de servidor proxy.
• Lótus note (porta 1352): Usada para administração remota do Lotus notes.
• pm-console (porta 1643): Porta console dedicada.

1022
• real-áudio (porta 7070): Transmissão de áudio pela internet.
• UDP
• echo (porta 7): Mostra o payload do datagrama que você quer enviar.
• discard (porta 9): Descarta o datagrama que você quer enviar.
• daytime (porta 13): Servidor da hora certa.
• chargen (porta 19): Descarta e responde com uma string de 72 caracteres.
• time (porta 37): Permitir que o horário do servidor seja consultado pelas estações.
• domain (porta 53): Permite consulta de nome no servidor DNS.
• bootps (porta 67): Permite acesso ao Servidor de protocolo Bootstrap.
• bootpc (porta 68): Permitir acesso ao Cliente do protocolo Bootstrap.
• tftp (porta 69): Permite transferência de arquivos.
• netbios-ns (porta 137): Permite resolver nomes.
• netbios-dgm (porta 138): enviar broadcast UDP ou broadcasts direcionados.
• snmp (porta 161): Protocolo de Gerenciamento da Rede.
• snmptrap (porta 162): Alarmes de dispositivos de rede.
• ike (porta 4500): Gerencia a troca de chaves da internet.
• doom (porta 666): Porta privilegiada.
• Aker CL (porta 1022): Não está sendo aplicada.
• radius (porta 1645): Protocolo de Autenticação.
• radacct (porta 1646): Protocolo de Contabilização.
• Aker CDP (2473): Não está sendo aplicada.
• icp (porta 3030): Verifica se um servidor de cache possui determinada página.

1023
Manual do Plugin AWCA
Aker Web Content Analyzer

1024
42. Aker Web Content Analyzer - AWCA
Este capítulo mostra como instalar e utilizar o AWCA no Aker Firewall.
42.1. Introdução
A Web permite que cada documento na rede tenha um endereço único, que indica o nome
do arquivo, diretório, nome do servidor e o método pelo qual ele deve ser requisitado e se
esse endereço foi chamado de URL. URL (Uniform Resource Locator, numa tradução literal,
localizador uniforme de recursos). Uma URL tem a seguinte estrutura:
http://www.seed.net.tw/~milkylin/htmleasy.html. Onde: http:// é o método pelo qual ocorrerá
a transação entre cliente e servidor. HTTP (Hypertext Transfer Protocol, ou protocolo de
transferência de arquivos de hipertexto) é o método utilizado para transportar páginas de
Web pela rede. Outros métodos comuns são: ftp:// (para transferir arquivos), news:// (grupos
de discussão) e mailto:// (para enviar correio eletrônico).
A produtividade é fundamental para todas as empresas. Para isso, buscam utilizar de forma
racional seus recursos de rede. Apesar de a Web ser uma incrível ferramenta de trabalho, ela
também pode causar uma enorme queda na produtividade. Definir algumas regras pode
proteger seu negócio e seus funcionários. Páginas Web contêm programas que são
usualmente inocentes e algumas vezes úteis - por exemplo, animações e menus pop-up. Mas
existem sites questionáveis e maliciosos que nem sempre estão com as melhores intenções.
Ao navegar na Web, operadores de sites podem identificar seu computador na Internet, dizer
quais páginas você acessou, de que página você veio, usar cookies para criar um perfil seu e
instalar spywares em seu computador - tudo sem o seu conhecimento. Worms destrutivos
podem ainda entrar em seu sistema por meio de seu navegador:
 Cookies: são informações que um servidor web pode armazenar temporariamente

junto a um browser. É um pacote de informação que viaja entre um aplicativo
navegador de Internet (browser) e o servidor (web);
 Spywares: são programas de computador que, em vez de serem úteis, estes tentam
rastrear alguma informação do computador, como os sites que você navega
programas que possui e outras informações do seu computador;
 Worms: é um software que tem objetivos maliciosos. Neles se incluem: trojans, vírus
e spywares;
Além de atividades maliciosas instigadas por usuários externos, os negócios podem ser
colocados em uma posição vulnerável por funcionários que se engajarem em uma atividade
ilegal e/ou indesejável durante o horário de trabalho e usando computadores da empresa.
Apresentando o produto AWCA

1025
O acesso descontrolado à internet, a produtividade comprometida, o acesso às páginas de
conteúdo indevidos e o comprometimento do uso da rede, têm realizado com que as
organizações criem políticas de uso da internet. A partir dessa necessidade, o Analisador de
URL tornou-se uma ferramenta indispensável para o controle de páginas web vistas por
funcionários dentro de uma corporação. Com o produto, os usuários só terão acesso a sites
com conteúdo autorizados pelo administrador.
Esta prerrogativa motivou a Aker Security Solutions a desenvolver o Web Content Analyzer,
ferramenta segura e inteligente, focada em oferecer ao cliente uma solução capaz de suprir
as necessidades de monitoramento e controle em tempo real do uso da Internet pelos
usuários, com limitação dos sites possíveis de acesso, proteção antivírus e emissão de
relatórios de utilização.
O produto faz toda filtragem a partir da pesquisa do endereço a ser acessada, essa pesquisa
é realizada anteriormente na Aker por uma equipe altamente qualificada, que classifica
milhares de sites novos por dia distribuídos em 24 (vinte quatro) categorias. Ao administrador
resta apenas escolher os usuários e grupos de usuários autorizados ou não a ter acesso a
determinados sites.
Com interface amigável e de fácil utilização, o Web Content Analyzer permite ao usuário,
acessar sites confiáveis e, sempre utilizando para navegar um PC ou notebook, utilizando uma
conexão segura por meio de um firewall/Proxy. Em outras palavras o uso do Web Content
Analyzer inibe o uso do computador de trabalho para acessos a informações irrelevantes no
trabalho.
Figura 718 - Esquema de funcionamento do Web Content Analyzer.
A cada conexão requerida, o sistema identifica a classificação do site na base de dados do

Analisador de URL e determina se o usuário está apto a acessá-lo, ou não, com base em seu
perfil. Como o Analisador trabalha em conjunto com o identificador de Perfis de Acesso do
Aker Firewall, podem-se estabelecer perfis individuais especificando a que tipo de conteúdo
cada usuário terá acesso. O sistema passa a funcionar, então, da seguinte forma: o usuário
entra no sistema utilizando seu nome e senha de login e seu Perfil de Acesso identifica quais
conteúdos ele está autorizado.
A ferramenta trabalha também em conjunto com o Aker Web Control que possui plug-ins de
configuração para Microsoft ISA Server®, SQUID Server® e para o Firewall Checkpoint®.
1026
O Aker Web Control para Squid é um produto à parte que possibilita ao Squid aceitar ou
rejeitar acessos de acordo com o nível de acesso de cada usuário e a categoria da página
desejada, de acordo com o arquivo de configuração do Squid.
O Aker Web Control para ISA Server é um produto à parte que possibilita ao ISA Server aceitar
ou rejeitar acessos de acordo com o nível de acesso de cada usuário e a categoria da página
desejada.
Todas estas características fazem do Web Content Analyzer uma poderosa ferramenta de
controle ao acesso à internet, quando trabalhando em conjunto com um Firewall ou um
servidor Proxy compatível.
42.2. Pré-requisitos
Software
O Analisador de URL Aker executa sobre os sistemas operacionais Windows Server e Linux
GNU em plataformas Intel 32 ou compatíveis.
Ele é compatível com o Firewall Aker, MS Proxy Server e MS ISA Server, Checkpoint Firewall 1
e Squid Internet Object Cache. Com exceção do Firewall Aker, os demais produtos necessitam
de um plugin para se comunicarem com o Analisador de URLs.
Hardware
A indicação do hardware mínimo varia de acordo com o número de clientes simultâneos e

seus respectivos links. O mínimo absoluto é:
 Computador Pentium 1 Ghz ou superior;

 256 MB de memória RAM;
 2GB de espaço livre em disco;
 Monitor;
 Placa de rede.
Antes da utilização do produto deve-se verificar se todos os periféricos do computador são

suportados pelo sistema operacional utilizado.
42.3. Instalando o Aker Web Content Analyzer
O Aker Web Content Analyzer funciona nas seguintes versões de Sistemas Operacionais:

1027
 Windows Server: 2000, 2003 e 2008;
 Linux GNU;
42.4. Instalação em Ambiente Windows
Baixar os pacotes no site da Aker: http://www.aker.com.br.
Escolha o idioma (inglês ou português) para realizar a instalação e clicar em “OK”.
Figura 719 - Escolha do idioma no qual deseja realizar a instalação.

1028
Contrato de licença de Programa
Ler o contrato, em caso de acordo selecionar a opção “Aceito o contrato de licença”. Clicar
no botão “Avançar”.
Figura 720 – Contrato de licença do programa.

1029
Informações do usuário
Nesta fase será realizada a inserção de informações necessárias para que a instalação seja
personalizada:
Digitar o “Nome Completo” do usuário;
Digitar o nome da “Empresa”;
Optar se as configurações para o aplicativo serão instaladas para o usuário atual “Somente
para mim” ou para todos que compartilham o computador “Qualquer pessoa que usa este
computador”;
Clicar em “Avançar”.
Figura 721 - Preenchimento de informações do usuário.

1030
Seleção dos recursos
Escolher o recurso que será instalado no disco rígido local “AkerWebContentAnalyzerPlugin”

e clicar em “Avançar”.
Esta tela permite selecionar os recursos que serão instalados. Atualmente, o Plugin de
instalação do Aker Web Content Analyzer vem acompanhado pelo Plugin do Aker Web
Control. Isto é, ao instalar o AWCA, automaticamente será instalado o AWC. Se caso desejar
instalar apenas o plugin do Aker Web Content Analyzer, deve-se clicar no ícone
“AkerWebControlPlugin”, selecionar a opção “Todo o recurso não estará disponível” e, em
seguida clicar no botão “Avançar”.
Figura 722 - Seleção dos recursos que deseja instalar.

1031
Em seguida aparece a mensagem “Pronto para instalar o aplicativo”. Clicar em “Avançar”
para iniciar a instalação.
Figura 723 - Mensagem de aplicativo pronto para ser instalado.

1032
Atualizando o sistema
Mostra a barra de progressão da instalação do sistema.
Figura 724 - Barra de progressão de instalação.
Após o término da instalação, automaticamente irá aparecer uma tela dizendo que o produto
foi instalado com êxito. Para terminar, basta clicar em “Concluir”.

1033
Figura 725 - Concluindo a Instalação.

1034
42.5. Instalação em Ambiente Linux
A instalação realizada em Linux é bastante simples e requer apenas alguns passos que serão
demonstrados a seguir. Crie um diretório e copie o arquivo AkerWebContentAnalyzer-
server-br-3.0-3.fc8.tar.bz2 para dentro dele.
Descompacte o arquivo usando o seguinte comando:
tar -vzxf akerwebcontentanalyzer-3.4-pt-linux-server-012.bin.tar.gz
Figura 726 - Instalação Linux: Descompactação.

1035
Acesse o diretório criado anteriormente e digite o seguinte comando:
./akerwebcontentanalyzer-3.4-pt-linux-server-012.bin
Figura 727 - Instalação Linux: Execução Script de Instalação.

1036
O sistema irá apresentar a termo de licença do produto e ao final perguntará se você aceita
os termos da licença. Caso seja selecionado N (Não), a instalação será abortada. Selecione S
(Sim) para continuar a instalação.
Figura 728 - Termo de Licença.
Após verificar as dependências necessárias, o script de instalação irá verificar a existência do

módulo de log do produto e caso não esteja instalado irá instalá-lo automaticamente.
1037
Figura 729 – Instalação do Módulo de Log.

1038
O próximo passo é a criação do usuário que terá acesso à administração via Interface Remota.
Ao apertar “ENTER” sem escolher um nome, o usuário será criado conforme o nome
informado entre colchetes (admin). Em seguida, digite a respectiva senha e confirme-a.
Figura 730 – Confirmação de usuário e senha.

1039
Pressione o botão “Enter” para que a instalação seja completada.
Figura 731 - Instalação Linux: Criação de Usuário Administrador.
42.6. Configuração do AWCA

1040
A configuração do Aker Web Content Analyzer é simples, mas requer atenção em algumas
explicações que serão dadas a seguir. Cada assunto foi agrupado em menus distintos.
Para acessar o AWCA no firewall, deve-se ir em “Dispositivo Remoto” e selecionar o item

“Web Content Analyzer”, conforme mostrado na figura a seguir:
Figura 732 - Opções de Configuração do Aker Web Content Analyzer.
Em seguida, será apresentado cada um dos menus de acesso e configuração no Aker Firewall:
Categorias, Gerenciamento da base de URLs e Teste de URL.
42.7. Gerenciamento da base de URLs
O menu “Gerenciamento da base de URLs” trata das atualizações de assinaturas de

malwares. É nesse menu que serão configuradas as opções de como as atualizações serão
automatizadas.
Figura 733 - Gerenciamento de base de URLs.

1041
O Menu é composto de três abas: “Geral”, “Frequência de atualização” e “Atualiza os sites”.
Figura 734 – Menu: Gerenciamento da base de URLs.

1042
Aba Geral
A atualização das assinaturas é realizada por meio da Internet. As informações necessárias

para permitir esse acesso serão configuradas nessa aba, por isso para acessar à Internet, o
Aker Web Content Analyzer precisa utilizar ou se autenticar em algum proxy.
Figura 735 - Gerenciamento da base de URLs: geral.
Para realizar a configuração é necessário preencher os campos:
 Habilitar a opção: Usar Servidor Proxy;

 Endereço IP e porta do servidor Proxy em questão;
 Usar autenticação no proxy;
 Usuário e senha para aplicação do Proxy.

1043
Aba Frequência de Atualização
A opção “Ativar Atualização” irá habilitar ou desabilitar a atualização automática.
É possível escolher a opção de “Atualização Semanal” ou “Atualização Mensal” de acordo

com a necessidade do cliente.
A atualização das assinaturas de URLs podem ser configuradas para serem realizadas de
maneira automática. É nessa aba que o administrador irá selecionar os dias da semana/mês
que as atualizações serão efetuadas, assim como o horário da atualização.
O botão “Atualiza Agora” irá efetuar a atualização no momento do clique.
Figura 736 – Menu: Gerenciamento da base de URLs frequência de atualização.
Realizadas as configurações, deve-se clicar no botão “Aplicar”.

1044
Aba Atualiza os sites
Nessa aba, serão apresentados os sites que possuem a base de assinaturas de URLs de onde
os administradores poderão atualizar suas assinaturas. Clicando no botão “Atualiza a lista de
sites” o sistema irá buscar por configurações de novos sites disponíveis atualizando assim a
lista.
Figura 737 – Menu: Gerenciamento da base de URLs atualiza os sites.
Realizadas as configurações, deve-se clicar no botão “Aplicar”.
Observação: É possível realizar a atualização da base de URLs manualmente, para isso siga os
passos a seguir:
1. Realizar o download do arquivo no site da Aker (www.aker.com.br);

2. Transferir o arquivo para uma pen drive;
3. Conectar a pen drive ao Firewall box;
4. Acesse o appliance via SSH;
5. Executar o comando: Aker> awcabase

1045
Uso: awcabase </base_file>
Exemplo: awcabase base_awca.zip
42.8. Categorias
O menu de categorias de sites permite ao administrador do Aker Web Content Analyzer

modificar a categoria de determinados sites/URLs e criar novas categorias dinamicamente.
Figura 738 - Categorias.
O administrador pode criar sua própria base de categorização nas seguintes situações:
 Quando se deseja incluir alguma URL que não esteja categorizada;

 Quando se quer fazer uma nova configuração, caso não esteja de acordo com alguma
URL/Categoria cadastrada na base de assinaturas do produto;
 Quando se deseja criar novas categorias que ainda não estão cadastradas no AWCA.
A criação das categorias pode ser realizada em dois níveis: o nível pai e o nível filho. Para criar
uma nova categoria pai, o administrador do produto deve clicar com o botão direito do mouse
no menu “Categorias” e escolha a opção "Nova Categoria". Para se criar uma categoria filho
deve-se clicar com o botão direito do mouse na categoria escolhida e escolha a opção "Nova
Categoria".

1046
Exemplo 1: criando uma categoria Pai:
Figura 739 – Menu: Categorias cria categoria pai.

1047
Exemplo 2: criando uma categoria Filho:
Figura 740 -– Menu: Categorias cria categoria filho.
Devem-se preencher os campos referentes à criação da categoria, na janela "Nova Categoria"

e clicar no ícone a seguir para selecionar um ícone que estará associado à categoria a ser
criada.
Figura 741 - Botão: ícone.

1048
Surgirá a seguinte tela:
Figura 742 – Escolha dos ícones da categoria.
Deve-se escolher o ícone da categoria, clicar com o mouse neste item e apertar o botão “OK”.
Figura 743 – Janela: Nova Categoria.
Preencher os dados solicitados:
 Nome: Nome pelo qual a categoria será referenciada;

 Descrição: Um breve resumo do conteúdo do Site;
 Clicar no botão OK.

1049
Para visualizar melhor segue um exemplo:
 Categoria: Educação;
 Descrição: Sites de organização educacional ou que de alguma maneira contribua para
a divulgação da educação.
Poderá ser utilizado um dos ícones oferecidos pelo AWCA ou algum outro, desde que seja 32 por
32 pixels e que esteja em formato png.
Após a criação da categoria é necessário criar uma lista de expressões. As categorias com
expressões cadastradas aparecem em negrito. Para criar essa lista, o administrador do
produto deve selecionar a categoria e clicar com o botão direito na parte branca do menu
“Categorias” e configurar as opções necessárias. As opções são duas:
Figura 744 – Criação das listas de expressões.
 Expressão: Define qual será a string ou os parâmetros que serão pesquisados na URL
acessada e qual operação a ser efetuada. A operação pode ser de vários tipos
diferentes, alguns deles seriam “*Aker*” (contém), “Aker” (é), “*Aker” (termina com),
“Aker*” (começa com).
Cada entrada na lista de expressões da janela de categorias deve seguir a semântica (A string
digitada não faz distinção entre maiúsculo e minúsculo):

1050
* significa qualquer quantidade de caracteres, inclusive nenhum
? significa exatamente um carácter
\ * é o carácter *
\? é o carácter?
\\ é o carácter \
Figura 745 – Menu: categorias cria lista de expressões.
 Local de Busca: Define o local específico da busca nos sites. Ao clicar com o botão
direito poderão ser definidos quatro formas de busca. Abaixo segue um exemplo de
preenchimento desses campos, tomando como base o endereço:
http://www.aker.com.br/index.php?pag_cod=1&ling=pt_br
 Domínio: Faz a busca no domínio: www.aker.com.br

 Parâmetros: Faz a busca nos parâmetros do site: pag_cod=1&ling=pt_br
 Tudo: Faz a busca em toda a URL:
www.aker.com.br/index.php?pag_cod=1&ling=pt_br
 URL: Faz a busca somente na URL: www.aker.com.br/index.php

1051
Figura 746 – Menu: Categorias define local de busca.
Para confirmar se as expressões que foram definidas estão realmente funcionando, digite no
campo "URL" um texto. Logo em seguida clique no botão de pesquisa para que seja verificado
se o texto que você digitou está sendo ou não enquadrado nas expressões.
Figura 747 - Botão: de pesquisa.

1052
Figura 748 – Menu: Categorias.
Para criar estas expressões podemos contar com os recursos de exportar e importar,
facilitando a migração de outras bases de URLs para a base da Aker.
 Exportar expressões: se houver expressões em uma categoria o usuário pode exportá-

las para um arquivo. Para exportar as expressões de uma categoria clique com o botão
direito do mouse na lista de expressões e selecione “Exportar”, escolha um local e um
nome para o arquivo exportado e clique em “Salvar”. O Aker Control Center irá salvar
as expressões no arquivo selecionado com a extensão .exps. As expressões exportadas
podem ser carregadas em uma categoria por meio de o botão importar do mesmo
menu;
 Importar expressões: para importar expressões de um arquivo para uma categoria
clique com o botão direito do mouse na lista de expressões e selecione “Importar”.
Uma janela para importação será aberta. Existem duas formas de importação:
importar a partir de um arquivo exportado de uma categoria ou importar a partir de
um arquivo contendo uma lista de URLs (com uma URL por linha).

1053
Figura 749 – Importar arquivo.
A janela apresenta as seguintes informações:
Nome do arquivo: caminho e nome do arquivo (com extensão) a ser importado;
Tipo de importação: indica de qual arquivo será realizada a importação. Possui duas opções:
 Arquivo Aker: importar a partir de um arquivo exportado de uma categoria. O arquivo

deve possuir a extensão”.exps";
 Lista de URLs: importar a partir de um arquivo texto contendo uma URL por linha. A
importação por lista de URLs possui duas opções:
 Importação padrão: importa as URLs do arquivo criando expressões fazendo a busca
no domínio da URL e o formato da expressão em "Texto completo";
 Importação avançada: permite ao usuário selecionar o tipo do local de busca e o
formato da expressão que serão aplicados para todas as URLs do arquivo. As opções
avançadas serão mostradas somente após o usuário selecionar "Importação
avançada". Abaixo segue a descrição das opções:
Tipo de localização da busca:
 Domínio: seleciona todas as expressões para fazer a busca no domínio da URL;

 Parâmetros: seleciona todas as expressões para fazer a busca nos parâmetros da URL;
 URL: seleciona todas as expressões para fazer a busca na URL;
 Tudo: seleciona todas as expressões para fazer a busca em todos os campos da URL.
 Formato da expressão:

1054
 Texto completo: todas as URLs serão inseridas conforme estão no arquivo (para
fazer a busca em tudo que for igual a URL). Ex. <url>
 Termina com: será inserido um * (asterisco) no início de todas as URLs importadas
do arquivo (para fazer a busca em tudo que terminar com a URL). Ex. *<url>;
 Começa com: será inserido um * (asterisco) no final de todas as URLs importadas do
arquivo (para fazer a busca em tudo que começar com a URL). Ex. <url>*;
 Contém: será inserido um * (asterisco) no início e no final de todas as URLs
importadas do arquivo (para fazer a busca em tudo que contiver a URL). Ex. *<url>*.
Após selecionar o arquivo e o tipo de importação clique no botão “Importar” e o Aker Control
Center irá importar todas as expressões do arquivo. Ao final será apresentado um resumo da
importação contendo as informações como:
 Número total de expressões no arquivo;

 Número total de expressões que estavam no arquivo;
 Categorias já existentes;
 Número total de expressões importadas e número total de expressões que não
puderam ser importadas por possuírem erros.
 Se houver alguma expressão com erros, também será apresentada uma lista com
todas as expressões que possuem erros, as quais podem ser copiadas para outro
arquivo, corrigidas e importadas novamente.
Também se pode exportar e importar a lista completa de categorias e suas expressões:
 Botão exportar: Salva as customizações das categorias, funcionando como uma forma
de backup para uma recuperação futura ou para utilização em outro Aker Web
Content Analyzer;
 Botão importar: Recuperar as customizações das categorias exportadas.

1055
42.9. Teste de URL
Esse menu é constituído de uma lista de ícones com os nomes das categorias em que a URL
do teste se enquadra.
Figura 750 - Teste de URLs.
A tela a seguir será exibida:
Figura 751 – Teste de URL.
Ao escrever o nome da URL (no campo em branco http://) e clicar em Categorizar, o produto
irá informar qual a categoria da URL e mostrar os ícones correspondentes. Se a URL não está
associada a nenhuma categoria definida será mostrado a mensagem “Não encontrado”.

1056
Figura 752 – Teste de URL já categorizado.
Após a consulta, clicar no botão “Sair”.

1057
Manual do Plugin - ASM
Aker Spam Meter

1058
43. Aker Spam Meter - ASM
Este capítulo mostra como instalar e utilizar o ASM no Aker Firewall.
43.1. Introdução
O e-mail corporativo é uma ferramenta indispensável para fechar novos negócios, parcerias
e trocar informações. No entanto, ainda é uma porta de entrada para ameaças virtuais, que
podem roubar informações estratégicas e prejudicar o ambiente de rede da empresa.
Além de vírus, Cavalos de Tróia e outras ameaças, as mensagens indesejadas, chamadas de

Spams, também são uma realidade incontestável. Quando menos esperamos, oferecem uma
infinidade de produtos e serviços, despejam lixos nas caixas de correio, esgotam seus recursos
e impossibilitam a chegada de correspondências realmente necessárias. O desperdício de
tempo é enorme e pode gerar consequências desagradáveis.
Uma pesquisa realizada pelo */Nucleus Research/*, importante empresa de consultoria de TI

dos EUA, alerta que, entre 2003 e 2004, a quantidade de Spams subiu de 13 para 29, fazendo
com que a perda de produtividade dos funcionários aumentasse de 1,4% para 3,1%. O
prejuízo anual chegou a computar US$ 1.934,00 por funcionário, sem considerar o custo com
técnicos, desperdício de banda e de hardware, o que aumentaria ainda mais o valor. De
acordo com o estudo, as empresas que utilizam algum mecanismo para filtrar as mensagens
conseguem bloquear efetivamente apenas 20% do lixo eletrônico que chega diariamente.
Sob esta perspectiva, proteger a informação tornou-se uma necessidade incontestável.

Assim, a Aker Security Solutions desenvolveu o Aker Spam Meter - ASM, uma ferramenta
capaz de afastar essas mensagens indesejadas de maneira rápida e eficiente a partir de um
filtro de análise bayesiana que pontua os e-mails por algoritmos matemáticos de estatística.
A solução se ajusta as mais diversas necessidades, possui Menu intuitivo e com fácil
administração. O Aker Spam Meter agora integra o *Aker Security Suite*, fortalecendo ainda
mais essa já conhecida linha de produtos.
Ao abrir sua caixa postal para ler seus e-mails, qualquer usuário se depara diariamente com
uma grande quantidade de mensagens indesejadas, tais como propagandas, correntes,
pornografia e até mesmo programas invasores disfarçados de mensagens legítimas. Uma
pesquisa realizada por empresas de Segurança da Informação constatou que o Brasil aparece
em quinto lugar na lista dos maiores emissores de lixo eletrônico na rede mundial. Outros
estudos recentes estimam que dois terços de todas as mensagens de correio eletrônico que
circulam diariamente na Internet são consideradas SPAM e este percentual aumenta todos
os meses. Como a maior parte das mensagens de SPAM são enviadas para conjuntos
aleatórios de endereços de e-mail, não há como prever se uma mensagem com conteúdo
impróprio será recebida por uma determinada pessoa.
Uma das grandes dificuldades ao tentar lidar com este problema, no entanto, é definir o que
são mensagens indesejadas, já que a internet possui um grande número de usuários distintos
1059
e que possuem visões diferentes sobre o tema. Um e-mail recebido e lido por uma pessoa
sobre um determinado assunto pode não interessar a outra, e assim sucessivamente.
Em virtude desta dificuldade, a única maneira viável de conseguir resolver de forma definitiva
o mal causado pelo SPAM é possibilitar que cada usuário, ou grupo de usuários com
características semelhantes, possa treinar o sistema Antispam para que este aprenda seus
gostos e preferências e consiga filtrar de forma eficiente suas mensagens. O Aker SPAM
Meter foi criado tendo este princípio como ponto de partida.
43.2. Apresentando o produto ASM
O Aker SPAM Meter permite que cada pessoa, ou grupo de pessoas, classifique seus e-mails
de acordo com seu perfil, fazendo com que o produto aprenda o que esta pessoa deseja
receber. A solução possui também atualização diária de uma base de dados, gerada pela Aker,
com informações sobre SPAM, possibilitando identificar novas ameaças automaticamente.
Outro ponto importante sobre o produto é que ele atribui um percentual de 0 a 100% para
classificar as mensagens. Nessa escala de probabilidade, o '0%' significa que definitivamente
não é spam, e '100%' é a certeza absoluta de que é spam. Desta forma, além de cada usuário
ou grupo poder treinar individualmente o que é o não SPAM dentro de sua ótica, é possível
também que ele defina o que fazer com as mensagens em várias faixas de certeza. É possível,
por exemplo, descartar as mensagens que o sistema classifica com mais de 95% de certeza de
serem SPAM, mudar o assunto das mensagens que ficarem entre 85% e 95% e aceitar as
demais.
43.3. Como funciona a classificação
O produto faz uma análise do conteúdo do e-mail, baseada em dados estatísticos, ou seja,
atribui uma nota para cada mensagem com base em dados estatísticos gerados a partir de
milhares de mensagens em diferentes línguas, pré-classificadas em spam e não spam. Quanto
maior a base de mensagens utilizadas para gerar os dados estatísticos e quanto mais
específicos forem os dados, melhor é o resultado do programa, que em boas condições pode
inclusive superar o resultado de um ser humano desempenhando uma classificação manual.
Para conseguir um melhor índice de classificação de mensagens, o produto conta com duas
bases de dados distintas: uma gerada pela Aker e é atualizada diariamente, que representa
de forma genérica os conceitos de spam e não spam, e outra que é produzida a partir do
treinamento realizado por cada usuário ou grupo. Com a combinação de ambas as bases, o
sistema imediatamente consegue atingir um nível bom de classificação, utilizando para isso
os dados estatísticos da Aker, ao mesmo tempo em que permite também que seja refinado
pelos usuários até o ponto da quase perfeição.
O Aker SPAM Meter é extremamente rápido e consegue atingir até 99% de acerto na
classificação dos e-mails. A solução sendo uma das formas mais eficientes de classificação de

1060
mensagens indesejadas disponíveis e evolui junto com as próprias mensagens de spam. A
partir do momento em que novas características são adicionadas a mensagens indesejadas -
de modo a burlar detectores de spam tradicionais - o produto passa a identificar estas novas
características como um forte indicador de spam e a classificar como tal estas mensagens.
Figura 753 - Aker Spam Meter: Esquema de Funcionamento.
43.4. Aker Control Center
O Aker Spam Meter é controlado remotamente por meio do Aker Control Center, que é um
framework integrado de gerência multiplataforma e que controla, a partir de um ponto
central, todas as soluções Aker.
A utilização do Aker Control Center é bastante útil na configuração e manutenção do Aker

Spam Meter, tendo em vista sua interface amigável e facilidade de manuseio. O produto pode
ser totalmente configurado e administrado remotamente.
Dispositivos Remotos
Para começar a utilizar o programa, clique em Iniciar, Programas, Aker Control Center,
Dispositivos remotos, Aker Firewall, Spam Meter;

1061
Figura 754 - Spam Meter.
A configuração de o Aker Spam Meter é simples, mas requer atenção em algumas explicações
que serão dadas a seguir. O spam Meter utilizado no Aker Firewall possui 4 itens: Banco de
Dados, Classificação de e-mail, Configuração do Filtro e Gráfico de Notas. Cada assunto foi
agrupado em menus distintos.
Figura 755 - Menu de o Spam Meter.

1062
43.5. Banco de Dados
O Menu “Bancos de dados” trabalha as opções de configuração da(s) base(s) de dados de e-

mails e suas classificações.
Figura 756 - Bancos de dados.
Após aberto o “Bancos de Dados”, surgirá a seguinte tela com as abas: Estado, Lista das bases
de dados e Parâmetros.
Figura 757 - Bancos de dados.

1063
Aba Estado
A aba “Estado” apresenta as informações com relação ao estado atual dos downloads e
uploads das bases de dados.
Os uploads são e-mails classificados manualmente pelos usuários que podem ou não ser
enviados para a Aker de forma a melhorar a classificação dos e-mails e das bases de
assinaturas.
O botão “Atualizar Agora” realiza o download da base de assinaturas de e-mail mais atual
A aba parâmetros permite configurar os downloads e uploads para serem realizados

automaticamente. Porém, os botões “Enviar Agora” e “Atualizar Agora” permitem que seja
realizado sobre demanda.
Aba Lista das bases de dados
A aba “Lista das bases de dados” apresenta todas as bases de Dados existentes atualmente
no sistema, assim como seus respectivos status e tamanho da base.
Figura 758 – Menu Base de Dados: Lista das bases de Dados.

1064
Esse menu possui as opções de “Salvar Backup” e/ou “Restaura Backup” de modo que o
Administrador do produto possa realizar cópias das bases de dados de e-mails/classificações
e sua posterior restauração caso seja necessário. A cópia ou restauração são feitas clicando
nos botões:
Figura 759 - Botões: Salva Backup e Restaura Backup.
Também pode ser realizada a atualização da base de dados, o seu recálculo (informações
referentes à pontuação dos e-mails) ou sua exclusão, selecionando a base de dados desejada
e clicando em um dos botões apresentados:
Figura 760 - Botões: Atualizar, Recalcular e Excluir·.
Aba Parâmetros
A aba “Parâmetros” apresenta as configurações necessárias para a geração e atualização

automática da base de dados.

1065
Figura 761 - Parâmetros.
As opções existentes nessa aba são as seguintes:
 Geração de base: As gerações das bases de dados podem ser efetuadas sobre
demanda (on-demand) conforme mostrado na sub-opção, “Estado” e “Lista das bases
de Dados”. Porém, podemos configurar a geração para ser realizada
automaticamente marcando essa opção e selecionando o intervalo para a atualização
da base.
 Fazer download das atualizações da base de dados: Essa opção permite a
configuração do servidor que fornece a base de dados para download assim como o
horário para que o Aker Spam Meter possa efetuar o download. O download será
realizado diariamente, no horário estipulado.
 Permitir upload da Base de Dados: Caso o administrador do produto queira enviar
para a Aker a base de e-mails classificada manualmente, ele poderá fazer isso
conforme visto na opção “Estado” ou configurando o envio automático por meio da
marcação dessa opção e configuração do intervalo de upload (em semanas).
A atualização das bases de e-mail/classificação é realizada por meio da Internet. Se para

acessar a Internet, o Aker Spam Meter precisar utilizar ou se autenticar em algum Proxy, as
informações necessárias para permitir esse acesso serão configuradas nessa aba.

1066
Figura 762 – Parâmetros: usando Proxy.
Usar Proxy
 Endereço IP e porta do Servidor Proxy em questão;

 Autenticação do Proxy;
 Usuário e Senha para autenticação no Proxy.
Após o preenchimento de todos os campos, clicar no botão “Aplicar” se tiver realizado a

primeira configuração ou realizado alguma alteração. Caso tenha somente realizado consulta
dos itens, clicar no botão “OK”.
43.6. Classificação de e-mail
O Menu “Classificação de e-mail” permite ao Administrador do produto realizar verificações

a respeito de determinadas mensagens. Essa opção permite que seja colado o código fonte
de uma determinada mensagem de e-mail para que o produto a classifique.

1067
Figura 763 - Classificação de e-mail.
Dessa forma, o administrador do produto poderá ver qual a pontuação que o Aker Spam
Meter dará à mensagem.
Figura 764 – Menu Filtro: Classificação de e-mail.
 Limpar: Deixa em branco a caixa de texto onde fica o código-fonte do e-mail;

 Abrir arquivo: Abre uma janela para que você selecione um arquivo de e-mail
(*.eml), que contém o código-fonte do e-mail que você irá classificar e preenche a
caixa de texto com o código-fonte deste e-mail, conforme imagem a seguir:

1068
Figura 765 - Abrir um arquivo de e-mail.
Opções de classificação:
 Detecção de SPAM aprimorada: Utiliza menos tokens, fazendo com que a classificação
seja mais rápida, mas aumenta o número de falsos positivos;
 Redução de Falso-positivo: Utiliza um número maior de tokens, fazendo com que a
classificação seja mais precisa, mas deixando o processo mais lento;
 Base: Seleciona qual a base de tokens que será utilizada na classificação do e-mail.

1069
43.7. Configurações do Filtro
A sub-opção, “Configurações do Filtro” tratam opções gerais de armazenamento e acesso do

produto Aker Spam Meter. As opções configuráveis nesse menu são:
Figura 766 - Configurações do filtro.
Ao clicar no item “Configurações do filtro”, a janela a seguir será exibida:
Figura 767 - Mensagens salvas para treinamento.
Mensagens salvas para treinamento
 Tamanho Máximo do Diretório”: Tamanho máximo (em Megabytes) do diretório

onde serão armazenadas as informações de classificação dos e-mails. Em relação a
esse campo, percebe-se uma diferença entre o tamanho configurado na Interface
Remota e o tamanho do diretório do sistema Linux listado como, por exemplo, "du -
sh".
Em Linux, o comando "du -sh" não faz a soma do tamanho de cada arquivo, ele só faz a
soma do tamanho dos blocos do HD que cada arquivo usa, variando de acordo com o HD
que foi formatado. Em um HD que foi formatado para que assim cada bloco possuísse 4
KB, ou seja 4096 bytes, pode ser observado o seguinte comportamento:

1070
 Configuração para limitar o tamanho máximo das mensagens em 1 MB (1024KB);
 No diretório, 1024 arquivos de 1024 bytes cada;
 O tamanho total do diretório será 4 MB e não 1 MB como o esperado.
Isso se deve ao fato de que cada arquivo de 1024 bytes está consumindo fisicamente 4 KB do
disco que é o tamanho de cada bloco. Assim, cada arquivo de 1024 bytes é "contabilizado" no
"du -sh" como 4096 bytes.
Lembrando que este comportamento só acontece em sistemas Unix, não sendo possível no
Windows, que o tamanho é contabilizado como o esperado.
 “Número Máximo das Mensagens”: Número máximo de mensagens que serão

armazenadas.
Portas
 Portas do Servidor: Esse campo indica a porta de escuta do Servidor do Aker Spam
Meter que recebe e classifica os e-mails;
 Porta da Interface: É a porta que ficará em escuta para aceitar que as conexões para
o Aker Control Center vão poder se conectar ao Aker Spam Meter.
Clicando no botão “Avançado” as seguintes opções ficarão disponíveis, conforme imagem a

seguir:
Figura 768 – Configurações do filtro.

1071
Cache
 Quantidade”: Tamanho é a quantidade de bases de dados que poderão ficar

armazenadas em memória para efeitos de otimização na performance do produto;
 Timeout”: Tempo no qual uma mensagem ficará em cache caso não esteja mais sendo
utilizada pelo produto. Caso a base fique o tempo determinado pelo timeout e não
seja consultada, ela será removida da memória volátil da máquina permanecendo
apenas no disco.
Token Cache
 Quantidade máxima: Este campo permite a configuração do tamanho máximo do

cache de tokens do servidor;
 Tamanho estimado: Este campo informa o tamanho máximo estimado que o cache
de tokens irá ocupar na memória RAM do servidor.
 Quantidade atual: Esse campo indica a quantidade atual de tokens no cache do
servidor.
 Tamanho atual: Esse campo indica o tamanho atual ocupado pelo cache de tokens na
memória RAM do servidor.
 Taxa de acerto: Esse campo indica a porcentagem de tokens que foram encontrados
no cache durante as classificações dos e-mails. Este valor tende a 100% com o passar
do tempo.
O ícone “Padrão” permite retornar a quantidade máxima de tokens para 500000 Tokens, que
é a configuração padrão.
Figura 769 - Botão: Padrão.
A clicar no ícone “Atualização de Servidor” permite a atualização das informações do servidor

que se referem à quantidade atual de tokens, calculando o tamanho atual e indicando a taxa
de acerto das classificações dos e-mails.
Figura 770 - Botão: Atualização do Servidor.
Observação: É possível realizar a atualização da base de URLs manualmente, para isso siga os
passos a seguir:
1. Realizar o download do arquivo no site da Aker (www.aker.com.br);

2. Transferir o arquivo para o appliance via SFTP para o servidor;
1072
3. Abra o appliance na via SSH;
4. Executar o comando: Aker> asmbase
Uso: asmbase <base_file>
Pressione <enter> para continuar...
43.8. Gráfico de notas
O gráfico de notas apresenta um histograma relacionando a quantidade de e-mails

recebidos/analisados pelo Aker Spam Meter com a classificação recebida por eles. É um menu
simples, e apenas informativo para permitir ao administrador do produto uma melhor noção
dos padrões de e-mails/classificação que a sua rede vem recebendo.
Figura 771 - Gráfico de notas.
Ao clicar na janela “Gráfico de Notas”, a tela a seguir será exibida:
Figura 772 – Gráfico de notas.

1073
43.9. Anexo – plugins
O Aker Spam Meter possui plug-ins para alguns clientes de e-mail. Esses plug-ins servem para que
o cliente possa classificar manualmente seus e-mails como spam ou não spam, de maneira
integrada ao cliente de e-mail, utilizado hoje em dia por ela sem que seja necessário que o Aker
Spam Meter insira nenhum anexo ao e-mail para realizar essa classificação. O objetivo desse
anexo é apenas mostrar rapidamente como funciona o plugin e como utilizá-lo.
O Aker Spam Meter possui plug-ins para os seguintes clientes de e-mail:
 Microsoft Outlook;
 Mozilla Thunderbird.
Dessa forma, ao receber um e-mail, o usuário poderá ver a classificação do e-mail recebido de
acordo com a base de análise bayesiana do Aker Spam Meter e poderá ter botões para classificar
manualmente a mensagem como sendo um Spam ou Não spam.
Figura 773 – Plugin de o Aker Spam Meter para Mozilla Thunderbird.

1074
Manual do Plugin – AKAV
Aker Antivírus Module

1075
44. Aker Antivírus - AKAV
Este capítulo mostra como instalar e utilizar o AKAV no Aker Firewall.
44.1. Introdução
Os vírus de computador constituem uma das maiores ameaças às grandes redes. Os vírus
podem atacar quase todos os computadores, independentemente de sua função ou
localização. Os dispositivos podem ser atacados a partir da Internet, por e-mail ou por meio
de mídia infectada. Em outras palavras, os vírus podem ganhar acesso a PCs por meio de
qualquer entrada para o dispositivo. Os danos causados por vírus pode variar desde aquele
que são apenas perceptíveis até os absolutamente desastrosos. Por essa razão, as soluções
antivírus devem constituir uma parte essencial de todos os projetos de segurança da
informação.
Existem literalmente milhares de vírus diferentes e de programas de softwares maliciosos que

podem danificar seu computador ou deixá-lo mais lento. Os tipos de programas de software
maliciosos variam bastante, mas, em geral, são os seguintes:
 Vírus - Um programa que se cópia em outro programa, em setores de uma unidade

ou em itens que suportem scripts. A maioria dos vírus só faz uma cópia deles próprios,
enquanto uma minoria desencadeia um "payload", que é a ação gerada pelo vírus. Os
payloads podem danificar arquivos, corromper unidades de disco rígido, exibir
mensagens ou abrir outros arquivos. Em geral, o payload acontece quando
determinadas condições são propícias, assim como quando, uma determinada data é
atingida no computador.
Uma variante de vírus é um vírus que foi alterado para tirar proveito de um código de vírus
já criado. Fazendo isso, o vírus não é imediatamente detectado pelo software antivírus, que
procura o vírus original.
 Worm - Uma forma de vírus mais eficaz que localiza sistemas vulneráveis e, em
seguida, se cópia para esses sistemas. Os métodos mais frequentes de propagação são
as listas de distribuição de e-mails, os scripts de assinatura de e-mails e as pastas
compartilhadas na rede. Os worms podem ou não ter um efeito (payload) prejudicial.
Atualmente, o efeito típico de um worm é deixar o computador mais suscetível a
outros vírus maliciosos.
 Hoax - Um e-mail que normalmente declara que está prejudicando o computador,
mas na verdade não tem o efeito mencionado. Alguns hoaxes pedem ao leitor do e-
mail para tomar algum tipo de medida prejudicial, como excluir um arquivo
importante. A maioria dos hoaxes é espalhada por indivíduos bem intencionados que
desejam alertar outros indivíduos em relação a um possível vírus que, na realidade, é
apenas um hoax.

1076
 Tróia ou Cavalo de Tróia - Um Tróia ou Cavalo de Tróia é um programa geralmente
desenvolvido para provocar impacto na segurança de um sistema. Normalmente, o
programa é confundido com outra coisa (um programa benigno) ou é mascarado
como um arquivo legítimo que o usuário gostaria de ver ou carregar no sistema. O
efeito (payload) de um Tróia, em geral, é desencadeado assim que ele é aberto e
normalmente tem resultados devastadores. Os Troias são usados muitas vezes para
criar back-doors (programas que permitem o acesso externo a uma rede segura) em
computadores pertencentes a uma rede segura, para que um hacker possa ter acesso
a ela. Na maioria das vezes, eles são enviados como anexo de um e-mail
aparentemente inofensivo, como uma corrente.
 Vulnerabilidade de segurança - Uma vulnerabilidade de segurança é uma deficiência
no software que permite atividade indesejável ou má intencionada no sistema
operacional de um computador.
44.2. Apresentação do produto
De acordo com o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no

Brasil (CERT.br), as tentativas de fraudes pela internet cresceram 579% em 2005. Dentre as
maiores ameaças, os ataques causados por vírus estão em terceiro lugar, com 25% do total
de incidentes. Além disso, estudos recentes mostram que cerca de 80% dos ataques de vírus
são realizados por meio de e-mails e 99% pela Internet, o que demonstra a necessidade de
que todas as empresas que estejam conectadas à Internet possuam um sistema antivírus que
atue no perímetro, eliminando os vírus antes que eles atinjam os servidores internos.
Mesmo que uma empresa já possua um sistema de antivírus corporativo instalado nos
servidores internos e nas máquinas dos usuários, estes podem falhar ou não localizar um
vírus, reforçando a necessidade de se possuir máquinas dedicadas para a desinfecção de
mensagens e arquivos baixados da Internet.
O Aker Antivírus Module é uma ferramenta indispensável para tornar instalações que
utilizam o Aker Firewall, Aker Web Gateway ou Aker Secure Mail Gateway ainda mais seguras.
Uma única máquina pode ser instalada na rede e ser utilizada por diversos firewalls e
gateways ao mesmo tempo. Além disso, por estar disponível para plataformas Windows,
Linux ou poder ser instalada nos próprios boxes dos produtos com os quais se integram, o
produto consegue atender os requisitos de preço/performance de organizações de todos os
tamanhos.
O produto pode ser configurado para atualizar automaticamente os arquivos de assinaturas

de vírus, diariamente ou até mesmo de hora em hora, de forma a manter-se sempre
atualizado. Até mesmo as epidemias de mais rápida propagação terão pouca chance de
chegar ao antivírus antes que ele já esteja atualizado.

1077
É possível também que o administrador atualize o produto no momento em que desejar com
um simples clique. Isso é bastante útil no caso de suspeitas de epidemias ou caso a máquina
não tenha conseguido atualizar-se por qualquer razão.
44.3. Características Principais
O Aker Antivírus Module é um antivírus para gateways, que se integra nativamente ao Aker
Firewall, ao Aker Web Gateway e ao Aker Secure Mail Gateway, possibilitando que mensagens
de correio eletrônico e arquivos baixados via Web sejam desinfectados antes de serem
enviados às máquinas ou servidores internos.
Dentre as principais funcionalidades do produto estão:
 Atualização automática e diária da base de assinaturas e do engine do antivírus;

 Capacidade de agendamento das atualizações;
 Capacidade de filtragem (habilitada de forma independente) de spywares, cavalos-de-
tróia, vírus e ferramentas de hackers;
 Detecção heurística de vírus desconhecidos;
 Integração automática com o Aker Firewall, Aker Web Gateway e Aker Secure Mail
Gateway;
 Gerenciamento pelo Aker Control Center;
 Logs detalhados dos vírus e programas maliciosos encontrados;
Figura 774 - Aker Antivírus Module: Esquema de Funcionamento 1.

1078
44.4. O Aker Antivírus Module
O Aker Antivírus Module é instalado juntamente com outros produtos, como por exemplo, o
Aker Firewall ou outro produto Aker, herdando funcionalidades comuns como: administração
de usuários, visualização de logs, Atualizações, etc. A figura abaixo ilustra o funcionamento
dessa instalação:
Figura 775 - Esquema de Funcionamento 3.
Ao tentar fazer downloads pela internet por meio de uma rede local, o Aker Firewall irá
estabelecer uma conexão com o Aker Antivírus Module, enviando os arquivos para que ele
faça uma análise, verificando se estes estão infectados ou não. Depois de analisados, o Aker
Antivírus Module comunicará ao Firewall que irá bloquear ou liberar, dependendo da
resposta que lhe foi dada, reportando ao usuário que está conectado na rede local na qual se
deseja fazer o download (nesse exemplo está sendo utilizado o Firewall, mas poderia ser
outro produto Aker, como o Aker Web Gateway).
44.5. Configurando o Aker Antivírus Módulo
O Aker Antivírus Module é gerenciado remotamente por meio do Aker Control Center, que é
um Framework integrado de gerência multiplataforma e que controla, a partir de um ponto
central, todas as soluções Aker.
Para facilitar a identificação visual de diferentes dispositivos, é possível personalizar os ícones

e cores de apresentação dos componentes do Aker Control Center. Desta maneira, o
Administrador pode realizar diferentes arranjos dentro da tela, escolhendo uma determinada

1079
cor para o mesmo grupo de aplicativos, ou alterando os ícones conforme a região em que o
objeto administrado se encontra.
Para realizar a customização deve-se ter um dispositivo do Aker Antivírus Module cadastrado
no Aker Control Center. Para cadastrar um dispositivo:
Se a janela “Dispositivos Remotos” não estiver visível, clique no menu “Janelas” do Control
Center e escolha a opção que possui o nome “Janelas”. Marque a opção “Dispositivos
Remotos”.
A utilização do Aker Control Center é bastante útil na configuração e manutenção do Aker

Antivírus Module, tendo em vista sua interface amigável e facilidade de manuseio. O produto
pode ser totalmente configurado e administrado remotamente.
Figura 776 –Antivírus.
Selecionar o Aker Firewall e escolher o item Antivírus.
O Aker Antivírus Module fornece uma interface para configuração e controle dos partners
engines (parceiros). Esses parceiros são fornecidos por terceiros. Atualmente é utilizado o
KASPERSKY e Clam AV.
A identificação de arquivos corrompidos é realizada pelos engines parceiros do Aker

Antivirus (ClamAV, Kaspersky) e cada um destes engines trabalha de forma distinta. O
bloqueio realizado com o ClamAV é de “executáveis quebrados” (broken executables), e o
bloqueio realizado pelo Kaspersky é baseado em arquivos corrompidos.
O Aker Antivirus verifica os pacotes HTTP de upload e download.

1080
O usuário terá acesso ao parceiro quando adquirir a licença de uso do produto, isto é, ele irá
optar em usar o software de sua preferência.
44.6. Configurações
Para ter acesso a janela de Configurações do Aker Antivirus module, deve-se:
Figura 777 - Opções de Configuração do Aker Antivírus Module.
 Clicar no menu Antivirus na janela do firewall que queira administrar.
 Escolha o item Configurações.
A janela Configurações
Esta janela possui as opções de configurações especificas do Partner Engine, atualmente em

uso. Como cada Partner Engine possui recursos e opções específicas do produto, as opções
de varredura de vírus variam de parceiro para parceiro.

1081
Aba Configurações Avançadas
Figura 778 – Configurações avançadas.
Na aba de Configurações Avançadas podemos configurar as seguintes opções:
 Caminho do Diretório Temporário: É o local onde o Aker Antivírus Module irá

armazenar os arquivos para realizar a checagem.
 Idioma do Servidor: Permite configurar qual o idioma o servidor gera logs. As opções
são "pt-br" e "en-us";
 Opções de análise: Permite configurar as opções de análise utilizadas pelo parceiro;
44.7. Informações do Engine
Menu para apresentar as informações a respeito da versão atual do produto: As seguintes

informações são apresentadas:

1082
Figura 779 - Menu “Informações do Engine”
Dados do Aker Engine:
 Versão: Versão do produto Aker Antivírus Module;

 Data de Compilação: Data da compilação do Aker Antivírus Module.
Essas informações são muito importantes para o administrador verificar se o seu produto
está atualizado com a última versão existente na página da Aker www.aker.com.br.
Informações do Engine:
 Fornecedor: Nome do Fornecedor do Engine de Antivírus do produto Aker Antivírus

Module;
 Versão: Versão do Engine do parceiro (KASPERSKY);
 Número de malwares conhecidos: Quantidade de malwares conhecidos (irá variar de
acordo com a data da última atualização de assinaturas);
 Data da base de assinaturas: Data da última base de assinaturas instalada no produto;
 Marca Registrada: Informações de marca registrada do produto.
No caso do parceiro KASPERSKY, essa janela mudará apenas as informações do engine como:
Fornecedor, versão, quantidade de malwares conhecidos, data da base de assinaturas e
marca registrada. Observa-se também que o logo do produto e a marca localizada na parte
inferior da janela será a do parceiro aplicado. Conforme demonstrado a seguir:

1083
44.8. Gerenciamento de atualizações
Ao contrário da janela “Atualização do Servidor”, o menu “Gerenciamento de Atualizações”

trata das atualizações de assinaturas de malwares. É nesse menu que serão configuradas as
opções de como as atualizações serão automatizadas.
Figura 780 – Gerenciamento de atualizações.
A opção é composta de duas abas:
Aba Configuração de Proxy

1084
Figura 781 - Menu “Gerenciamento de atualizações” – “Configuração de Proxy”
A atualização das assinaturas é realizada por meio da Internet. Para isso, o sistema precisa ter
acesso a Rede Mundial de Computadores para realizar o download das assinaturas. Se para
acessar a Internet, o Aker Antivírus Module precisar utilizar ou se autenticar em algum proxy,
as informações necessárias para permitir esse acesso serão configuradas nessa aba.
 Habilitar o Servidor Proxy: Ao selecionar esta opção irá habilitar os campos Proxy e
Porta.
o Proxy: Permite entrar com o endereço IP do servidor.
o Porta: Permite selecionar a porta utilizada na operação.
o Habilitar a Autenticação de Proxy: Ao clicar nesta opção será permitido autenticar-se

no Proxy, cadastrando um usuário e uma senha.
o Usuário: Neste campo deve se inserir o nome do usuário que irá se autenticar
no Proxy.
1085
o Senha: Permite definir uma senha para poder se autenticar.
o Confirmação: É necessário confirmar a senha, digitando-a novamente.
Aba Atualização da Base de Vírus
Figura 782 - Menu “Gerenciamento de Atualizações” -> “Atualização da base de vírus”
Aba com as configurações referentes às opções de atualização da base de vírus:
o Intervalo de atualização: Pode ser escolhido a atualização automática entre as

opções:
 Dias específicos: Permite escolher a hora e o dia da semana que a atualização
automática será realizada;
 Toda hora: A cada hora a atualização automática será realizada;
o Hora da Atualização: Caso a opção de "Dias específicos" seja selecionada, informamos
qual será o horário para essa atualização.
o Dias da semana: Caso a opção de "Dias específicos" seja selecionada, informamos
quais os dias será realizada essa atualização.
1086
o Atualizar agora: Caso esse botão seja selecionado, o produto irá efetuar uma
atualização da base de assinaturas de vírus imediatamente.

1087
Apêndice A – Mensagens do Sistema

1088
45. Apêndice A – Mensagens do sistema
Neste apêndice estão listadas as mensagens do sistema.
45.1. Mensagens do log do Firewall
Todas as mensagens abaixo podem aparecer no log do firewall. Sempre que ocorrerem, elas
estarão precedendo um registro que contém as informações sobre o pacote que as produziu.
As mensagens de log são separadas em três categorias:
 Autenticação/Criptografia
025 - Algoritmo de criptografia de chave SKIP inválido - Esta mensagem indica que o
algoritmo de criptografia especificado no cabeçalho SKIP não é suportado (o Aker Firewall
somente suporta os algoritmos de criptografia DES, Triplo DES e Blowfish, com 128 e 256 bits
de chaves).
 Criptografia IPSEC
040 - Erro finalizando autenticação com o algoritmo escolhido – Esta mensagem indica que
o Firewall não conseguiu autenticar o pacote com o algoritmo HMAC. Provavelmente o
algoritmo de autenticação está com defeito.
039 - Erro iniciando autenticação para o algoritmo especificado – Esta mensagem indica que
o Firewall não conseguiu autenticar o pacote com o algoritmo HMAC. Provavelmente o
algoritmo de autenticação está com defeito.
034 - Header AH com formato incorreto (campo: length) – Esta mensagem indica que o
Firewall recebeu um pacote cifrado com criptografia IPSEC que tem informações de
autenticação no protocolo AH com tamanho incorreto. Veja a RFC 2402.
012 - Pacote não passou pela autenticação – Esta mensagem indica que o pacote em questão
não foi validado com sucesso pelo módulo de autenticação do Firewall. Isto pode ser causado
por uma configuração de chaves de autenticação inválida, por uma alteração indevida no
conteúdo do pacote durante o seu trânsito ou por uma tentativa de ataque de falsificação de
endereços IP (IP spoofing). Para maiores informações veja as RFCs 1825 e 1827.
011 - Pacote sem informação de autenticação – Esta mensagem indica que o pacote em
questão veio sem header de autenticação e a configuração do fluxo seguro correspondente
indica que ele só deveria ser aceito autenticado (ver o capítulo intitulado Criando Canais de
Criptografia). Isto pode ser causado por uma configuração errada nos fluxos de autenticação
(possivelmente só configurando em um dos lados da comunicação) ou por uma tentativa de
ataque de falsificação de endereços IP (IP spoofing). Para maiores informações consultar às
RFC's 1825 e 1827.
1089
013 - Pacote sem informação de criptografia – Esta mensagem indica que pacote em questão
não veio criptografado e a configuração do fluxo seguro correspondente indica que ele
deveria vir (ver o capítulo intitulado Criando Canais de Criptografia). Isto pode ser causado
por uma configuração errada nos fluxos de criptografia (possivelmente só configurando em
um dos lados da comunicação) ou por uma tentativa de ataque de falsificação de endereços
IP (IP spoofing). Para maiores informações consultar às RFC's 1825 e 1827.
037 - Padding exigido muito grande – Esta mensagem indica que o Firewall calculou um
tamanho de preenchimento para o protocolo ESP maior que o permitido. Provavelmente o
tamanho de bloco do algoritmo de criptografia é demasiado grande.
036 - SA para este pacote não foi negociada – Esta mensagem indica que o Firewall recebeu
um pacote cifrado com criptografia IPSEC para um canal não negociado.
038 - Tamanho de padding decifrado incorreto – Esta mensagem indica que o firewall
decifrou um pacote que dizia ser maior do que efetivamente é, via criptografia IPSEC.
Provavelmente o pacote está corrompido ou houve erros na troca de chaves.
016 - Tipo de encapsulamento do pacote inválido – Esta mensagem indica que o módulo de
criptografia não reconheceu o tipo de encapsulamento usado neste pacote. Isto pode ser
causado por uma falha na decriptação do pacote (devido a senhas erradas) ou por ter sido
usado um tipo de encapsulamento não suportado. O Aker Firewall trabalha exclusivamente
com encapsulamento em modo de túnel, não aceitando outros modos, por exemplo, modo
de transporte.
035 - Tunelamento AH e ESP simultâneos não permitido – Esta mensagem indica que o
Firewall recebeu um pacote cifrado com criptografia IPSEC duplamente tunelado (via ESP e
AH). Isto não é permitido
 Outros
023 - Algoritmo de autenticação do SKIP inválido – Esta mensagem indica que o algoritmo
de autenticação especificado no cabeçalho SKIP não é suportado (o Aker Firewall somente
suporta os algoritmos de autenticação MD5 e SHA-1).
026 - Algoritmo de compressão de dados não suportado – Esta mensagem indica que o
algoritmo de compressão de dados especificado no cabeçalho SKIP não é suportado (o Aker
Firewall não suporta nenhum algoritmo de compressão de dados, uma vez que estes ainda
não estão padronizados).
024 - Algoritmo de criptografia do SKIP inválido – Esta mensagem indica que o algoritmo de
criptografia especificado no cabeçalho SKIP não é suportado (o Aker Firewall somente suporta
os algoritmos de criptografia DES, Triplo DES e Blowfish, com 128 e 256 bits de chaves).

1090
003 - Ataque de land – Um ataque de land consiste em simular uma conexão de uma porta
com ela mesma. Isto provoca o travamento da máquina atacada em boa parte das
implementações TCP/IP.
Esta mensagem indica que o filtro de pacotes recebeu um pacote cujo endereço de origem é
igual ao endereço destino e cuja porta de origem é igual à porta destino, caracterizando um
ataque deste tipo.
031 - Autenticação de pacote de controle Aker-CDP inválida – Esta mensagem indica que o
Firewall recebeu um pacote de controle do protocolo Aker-CDP com autenticação inválida. A
causa provável é uma modificação do pacote durante o trânsito ou uma possível tentativa de
ataque.
007 - Conexão de controle não está aberta – Esta mensagem indica que o firewall recebeu
um pacote de uma conexão de dados (de algum protocolo que utilize mais de uma conexão,
como por exemplo, o FTP e o Real Áudio/Real Vídeo) e a conexão de controle correspondente
não estava aberta.
004 - Conexão não consta na tabela dinâmica – Esta mensagem indica que o firewall recebeu
um pacote TCP que não era de abertura de conexão e estava endereçado para uma conexão
não aberta. Isto pode ser causado por um ataque ou simplesmente por uma conexão que
ficou inativa por um tempo superior ao tempo limite para conexões TCP.
015 - Decriptação do pacote apresentou erro – Esta mensagem indica que o módulo de
criptografia, após desencriptar o pacote e realizar os testes de consistência no mesmo,
detectou que o mesmo é inválido. Isto provavelmente é causado por uma configuração errada
da tabela de criptografia ou por um possível ataque de falsificação de endereços IP (IP
spoofing).
041 - Final de Conexão – Esta mensagem é apenas um registro de final de conexão e não deve
aparecer normalmente no log do firewall
008 - Flags TCP do pacote são inválidos – Esta mensagem indica que o Firewall recebeu um
pacote TCP cujos flags estavam inválidos ou contraditórios (por exemplo, SYN e FIN no mesmo
pacote). Isto pode caracterizar um ataque ou uma implementação de TCP/IP defeituosa.
028 - Identificador de espaço de nome de destino inválido – O protocolo SKIP permite que
sejam utilizados outros espaços de nomes, que não endereços IP, para selecionar a associação
de segurança correspondente (SA). O espaço de nome pode ser especificado para a origem
e/ou para o destino. Esta mensagem indica que o espaço de nome de destino não é suportado
(o Aker Firewall somente suporta endereços IP como espaço de nome).
027 - Identificador de espaço de nome de origem inválido – O protocolo SKIP permite que
sejam utilizados outros espaços de nomes, que não endereços IP, para selecionar a associação
de segurança correspondente (SA). O espaço de nome pode ser especificado para a origem
e/ou para o destino. Esta mensagem indica que o espaço de nome de origem não é suportado
(o Aker Firewall somente suporta endereços IP como espaço de nome).

1091
042 - Limite configurado de conexões a partir do endereço IP excedido – Esta mensagem
ocorre quando o limite máximo de conexões configurado pelo módulo de proteção contra
flood tiver sido atingido. Para verificar a configuração deste módulo consulte a Proteção de
Flood.
032 - Número de licenças do firewall atingido – O Aker Firewall é vendido em diferentes

faixas de licenças, de acordo com o número de máquinas da(s) rede(s) interna(s) a serem
protegidas. Esta mensagem indica que o firewall detectou um número de máquinas internas
maior que o número de licenças adquiridas e devido a isso impediu que as máquinas
excedentes abrissem conexões por meio dele.
Solução: Contate a Aker Security Solutions ou seu representante autorizado e solicite a

aquisição de um maior número de licenças.
009 - Número de sequência do pacote TCP inválido – Esta mensagem indica que o Firewall
recebeu um pacote TCP cujo número de sequência estava fora dos valores esperados. Isto
pode caracterizar um ataque.
002 - Pacote IP direcionado – Esta mensagem indica que filtro de pacotes recebeu um pacote
IP com uma das seguintes opções: Record Route, Loose Routing ou Strict Routing e ele foi
configurado de modo a não aceitar pacotes IP direcionados. Para maiores informações veja
RFC 791.
033 - Pacote descartado por uma regra de bloqueio IDS – Esta mensagem indica que o
Firewall recebeu um pacote que se enquadrou em uma regra temporária acrescentada pelo
agente de detecção de intrusão e devido a isso, foi descartado (para maiores informações
veja o capítulo intitulado Configurando o IPS/IDS).
000 - Pacote fora das regras – Não possui mensagem associada
005 - Pacote proveniente de interface inválida – Esta mensagem indica que o filtro de pacotes
recebeu um pacote IP proveniente de uma interface diferente da especificada na regra de
filtragem na qual ele se encaixou. Isto pode ser causado por um ataque de falsificação de
endereços IP (IP spoofing) ou por uma configuração errada de uma regra de filtragem.
006 - Pacote proveniente de interface não determinada – Esta mensagem indica que o filtro
de pacotes recebeu um pacote, mas não conseguiu determinar a interface de origem do
mesmo. Como na regra de filtragem correspondente, está especificada uma interface, o
pacote foi rejeitado. Esta mensagem provavelmente nunca será mostrada.
017 - Pacote sem informações de SKIP – Esta mensagem indica que o pacote em questão não
veio com um header SKIP e a configuração do fluxo seguro correspondente indica que ele
deveria vir. Isto provavelmente é causado por uma configuração errada na tabela de
criptografia onde um dos lados está configurado para usar SKIP ou Aker-CDP e o outro não
(ver o capítulo intitulado Criando Canais de Criptografia).
010 - Possível ataque de SYN Flood – Esta mensagem é gerada pelo Firewall todas as vezes
que uma conexão é iniciada para um dos endereços protegidos contra SYN flood e a conexão
1092
não foi realizada dentro do prazo máximo estabelecido pelo administrador. Se esta
mensagem ocorrer isoladamente, ou com pouca incidência, então provavelmente o intervalo
de tempo configurado na proteção contra SYN flood (ver o capítulo de Proteção contra SYN
Flood) está muito pequeno. Caso ela apareça várias vezes seguidamente, provavelmente um
ataque de SYN flood foi repelido pelo Firewall.
001 - Possível ataque de fragmentação – Esta mensagem indica que o filtro de pacotes
recebeu um pacote TCP fragmentado no header TCP, possivelmente originado de uma
tentativa de um ataque de fragmentação como Teardrop ou Ping da Morte (PoD). Para
maiores informações veja RFC 1858.
022 - Próximo protocolo do cabeçalho SKIP inválido – Esta mensagem indica que o protocolo
seguinte ao cabeçalho SKIP do pacote em questão não é suportado (o Aker Firewall exige que
após o cabeçalho SKIP venha o cabeçalho de autenticação).
018 - SA para o pacote não contém informações SKIP – Esta mensagem indica que o módulo
de criptografia recebeu um pacote com um header SKIP e a associação de segurança (SA)
correspondente não possui informações sobre SKIP (ver o capítulo intitulado Criando Canais
de Criptografia). Isto provavelmente é causado por uma configuração errada na tabela de
criptografia onde possivelmente um dos lados está configurado para usar SKIP ou Aker-CDP e
o outro não.
021 - SPI inválido para autenticação com SKIP – Esta mensagem indica que foi recebido um
pacote SKIP cujo número de SPI especificado no cabeçalho de autenticação era inválido (o
protocolo SKIP exige que o número do SPI utilizado seja 1).
030 - Tamanho do pacote para protocolo Aker-CDP inválido – Esta mensagem indica que o
Firewall recebeu um pacote do protocolo Aker-CDP com tamanho inválido.
043 - Tempo limite de conexão atingido – Esta mensagem ocorre durante a filtragem dos
pacotes, informa que uma conexão foi retirada da tabela de conexões, pois o seu tempo limite
de ociosidade foi atingido.
020 - Valor do contador do protocolo SKIP inválido – O protocolo SKIP envia em cada pacote
um contador, que é incrementado de hora em hora, com o objetivo de evitar ataques de
repetição de sequência. Esta mensagem indica que o contador recebido no pacote em
questão é inválido. Isto pode ter duas causas distintas: ou relógio interno dos dois firewalls
se comunicando está defasado em mais de uma hora ou ocorreu uma tentativa de ataques
de repetição de sequência.
029 - Versão do protocolo Aker-CDP inválida – Esta mensagem indica que o Firewall recebeu
um pacote do protocolo Aker-CDP com versão inválida.
019 - Versão do protocolo SKIP inválida – Esta mensagem indica que a versão do protocolo
SKIP indicada no pacote em questão é diferente da versão suportada. O Aker Firewall
implementa a versão 1 do protocolo SKIP.

1093
45.2. Mensagens dos eventos do Firewall
 Acesso no console
220 - Erro executando shell – Esta mensagem informa que um erro grave de configuração foi
encontrado que impede o login no console do Firewall Box. Contate o suporte técnico de seu
revendedor.
221 - Erro lendo licença – Esta mensagem indica que as informações de licença do Firewall
estão com algum problema sério que impedem sua leitura. Reinsira a chave de ativação no
Firewall.
224 - Login no console efetuado – Esta mensagem registra o fato de algum operador ter
efetuado login no console do Firewall Box.
223 - Sistema com defeito irremediável. Contate o revendedor – Esta mensagem informa
que um erro grave de configuração foi encontrado que impede o login no console do Firewall
Box. Contate o suporte técnico de seu revendedor.
222 - Tentativa de login inválida: senha incorreta – Esta mensagem indica que alguém tentou
efetuar login no console do Firewall Box, mas não tinha a senha correta.
 Analisador de URLs integrado
313 - Aviso importante do Web Content Analyzer – Esta é uma mensagem com prioridade
de aviso gerada pelo Aker Web Content Analyzer. Verifique os complementos para maiores
informações
312 - Informação do Web Content Analyzer – Esta é uma mensagem com prioridade de
informação gerada pelo Aker Web Content Analyzer. Verifique os complementos para
maiores informações.
314 - Mensagem de alerta do Web Content Analyzer – Esta é uma mensagem com prioridade
de alerta gerada pelo Aker Web Content Analyzer. Verifique os complementos para maiores
informações.
311 - Mensagem de debug do Web Content Analyzer – Esta é uma mensagem com prioridade
de depuração gerada pelo Aker Web Content Analyzer. Verifique os complementos para
maiores informações.
315 - O Web Content Analyzer encontrou um erro – Esta é uma mensagem com prioridade
de erro gerada pelo Aker Web Content Analyzer. Verifique os complementos para maiores
informações.

1094
 Antivírus integrado
303 - Aviso importante do Antivírus – Esta é uma mensagem com prioridade de aviso gerada
pelo antivírus. Verifique os complementos para maiores informações.
302 - Informação do Antivírus – Esta é uma mensagem com prioridade de informação gerada
304 - Mensagem de alerta do Antivírus – Esta é uma mensagem com prioridade de alerta
gerada pelo antivírus. Verifique os complementos para maiores informações.
301 - Mensagem de debug do Antivírus – Esta é uma mensagem com prioridade de

depuração gerada pelo antivírus. Verifique os complementos para maiores informações
305 - O Antivírus encontrou um erro - Esta é uma mensagem com prioridade de erro gerada
 Autenticação/Criptografia
060 - Algoritmo de autenticação inválido – O módulo de criptografia detectou um algoritmo

de autenticação inválido na associação de segurança quando realizava a criptografia de um
pacote.
Solução: Contate o suporte técnico
061 - Algoritmo de criptografia inválido – O módulo de criptografia detectou um algoritmo

de criptografia inválido na associação de segurança quando realizava a criptografia de um
pacote.
142 - Erro ao carregar algoritmo de criptografia – O Aker Firewall pode trabalhar com
algoritmos de criptografia desenvolvidos por terceiros, chamados de algoritmos externos.
Esta mensagem indica que o servidor de criptografia para clientes não conseguiu carregar um
destes algoritmos de criptografia externos. Isto é causado por uma falha de implementação
do algoritmo.
As mensagens complementares mostram o nome da biblioteca a partir da qual o firewall

tentou carregar o algoritmo e o erro que causou o problema.

1095
Solução: Contate o desenvolvedor do algoritmo e repasse a mensagem completa para ele.
056 - Erro de alocação de memória – Esta mensagem indica que algum módulo do Firewall
tentou alocar memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com
pouca memória RAM utilizando conversão de endereços com um grande número de conexões
simultâneas ou com um grande número de conexões ativas passando pelos proxies do
firewall.
Solução: Adquira mais memória RAM ou aumente as partições de swap.
141 - Erro de comunicação com cliente de criptografia – Esta mensagem, que pode ter várias
causas, indica que o servidor de criptografia para clientes recebeu um pacote criptografado
inválido de um Cliente de Criptografia Aker.
As mensagens complementares indicam qual a causa do problema e os endereços da máquina

de origem e destino (o destino é o endereço da máquina atrás do firewall com a qual o cliente
tentou se comunicar).
151 - Número de processos excessivos no sistema – Esta mensagem indica que algum dos
módulos externos do firewall, ao tentar criar uma nova instância de si próprio para tratar uma
conexão, detectou que o número de processos executando no sistema está próximo do limite
máximo permitido. Diante disso, a criação do novo processo foi cancelada e a conexão que
deveria ser tratada pelo novo processo foi abortada.
Solução: Aumente o número máximo de processos no sistema.
140 - Sessão de criptografia com cliente finalizada – Esta mensagem indica que um cliente
finalizou uma sessão criptografada. A mensagem complementar indica a máquina de origem
da conexão.
 Carregar
062 - Dados inválidos recebidos pela carga do Firewall – Esta mensagem indica que foram
enviados dados inválidos para os módulos do Firewall que rodam dentro do kernel do
FreeBSD ou Linux. Os dados inválidos devem necessariamente ter sido produzidos por um
programa rodando na máquina do firewall.
Solução: Procure verificar qual programa produz esta mensagem ao ser executado e não
execute-o mais.

1096
firewall.
187 - Usuário sem direito de acesso – Esta mensagem indica que o usuário tentou realizar
uma operação que não lhe era permitida.
Solução: Esta mensagem não deve ser mostrada em condições normais de funcionamento do
Aker Firewall. Se ela aparecer, contate o suporte técnico.
 Certificado do servidor
134 - Certificado inválido recebido – Esta mensagem indica que o servidor de certificados do
firewall recebeu um certificado inválido. Isso pode ter uma das seguintes causas:
 Assinatura do certificado inválida

 Entidade certificadora desconhecida
 Certificado expirado
As mensagens complementares indicam qual destes possíveis erros ocorreu e qual firewall
emitiu o certificado inválido
135 - Certificado recebido e validado corretamente – Esta mensagem indica que o servidor
de certificados do firewall recebeu um certificado de negociação ou revogação válido. As
mensagens complementares indicam que tipo de certificado foi recebido e qual firewall o
emitiu.
133 - Erro ao carregar certificados – Esta mensagem indica que o firewall não conseguiu
carregar alguma lista de certificados de criptografia.
070 - Erro ao carregar tabela de criptografia – Esta mensagem indica que um dos servidores
do firewall não conseguiu carregar a tabela de criptografia.
Solução: Contate o suporte técnico.
109 - Erro ao comunicar com servidor de autenticação – Esta mensagem indica que um dos
proxies não conseguiu se comunicar com o servidor de autenticação quando tentou realizar
a autenticação de um usuário. Devido a isso, o usuário não foi autorizado a continuar e a sua
conexão foi recusada.

1097
Solução: Verifique se o processo do servidor de autenticação está ativo no firewall. Para fazer
isso, execute o comando
#ps -ax | grep fwauthd | grep -v grep. Caso o processo não apareça, execute-o com o
comando /etc/firewall/fwauthd. Se o processo estiver ativo ou se este problema voltar a
ocorrer, contate o suporte técnico.
067 - Erro ao criar socket de conexão – Esta mensagem indica que algum dos módulos
externos tentou criar um socket e não conseguiu.
Solução: Verifique o número de arquivos que podem ser abertos por um processo e o número
total para o sistema. Se necessário aumente estes valores. Para maiores informações de como
fazer isso, contate o suporte técnico.
131 - Erro ao enviar dados para o kernel do Firewall – Esta mensagem indica que algum dos
módulos externos tentou enviar informações para os módulos do firewall que rodam dentro
do kernel e não conseguiu. Se existir uma mensagem complementar entre parênteses, esta
indicará quais informações estavam sendo enviadas.
Solução: Verifique se o módulo do Aker Firewall está carregado no kernel. No FreeBSD utilize
o comando kldstat e no Linux o comando lsmod. Em ambos os casos deverá aparecer um
módulo com o nome aker_firewall_mod.
132 - Erro ao salvar certificados – Esta mensagem indica que o firewall não conseguiu salvar
alguma lista de certificados de criptografia no disco.
Solução: Verifique se o existe espaço disponível no diretório '/' do firewall. Isto pode ser
realizado por meio do comando "$df -k". Se este comando mostrar o diretório '/' com 100%
de espaço utilizado, então é isto a causa do problema. Caso exista espaço disponível e ainda
assim este erro apareça, consulte o suporte técnico.
firewall.
137 - Falha de autenticação para criptografia – Esta mensagem só é mostrada quando a

autenticação de usuários para clientes de criptografia está ativa e indica que um usuário
cadastrado em algum autenticador tentou estabelecer uma sessão de criptografia com o
firewall, porém sua senha estava incorreta. As mensagens complementares mostram o nome
do usuário em questão e os endereços da máquina de origem e destino (o destino é o
endereço da máquina atrás do firewall com a qual o cliente tentou se comunicar).

1098
136 - Requisição de cliente de criptografia inválida – Esta mensagem indica que o servidor
de certificados recebeu uma requisição de um cliente de criptografia e esta requisição foi
considerada inválida. Isso pode ter uma das seguintes causas:
 O certificado do firewall foi atualizado e o cliente continua utilizando o certificado

antigo.
 A requisição partiu de uma máquina não autorizada a estabelecer sessão de
criptografia com o firewall.
As mensagens complementares indicam qual a causa do problema e os endereços da máquina

de origem e destino (o destino é o endereço da máquina atrás do firewall com a qual o cliente
tentou se comunicar).
139 - Sessão de criptografia com cliente estabelecida – Esta mensagem é gerada pelo
servidor de certificados quando um usuário consegue se autenticar corretamente em um
cliente de criptografia e iniciar uma sessão. Nas mensagens complementares é mostrado o
login do usuário que estabeleceu a sessão e os endereços da máquina de origem e destino (o
destino é o endereço da máquina atrás do firewall com a qual o cliente se comunicou
inicialmente).
138 - Usuário não cadastrado para criptografia – Esta mensagem só é mostrada quando a
autenticação de usuários para clientes de criptografia está ativa e indica que um usuário não
cadastrado em nenhum autenticador tentou estabelecer uma sessão de criptografia com o
firewall. A mensagem complementar mostra os endereços da máquina de origem e destino
(o destino é o endereço da máquina atrás do firewall com a qual o cliente tentou se
comunicar).
 Cluster cooperativo
firewall.
 Controle de QoS

1099
firewall.
217 - Pedido de fluxo inexistente – Esta mensagem indica que uma inconsistência interna
ocorreu, de forma que um fluxo de dados para controle de banda (QoS), não foi encontrado
218 -Pedido de pipe inexistente – Esta mensagem indica que uma inconsistência interna
ocorreu, de forma que um pipe para controle de banda (QoS), não foi encontrado.
 Conversão de Endereço (NAT)
firewall.
152 - Máquina de conversão 1-N fora do ar – Essa mensagem indica que uma das máquinas
participantes de uma conversão 1-N (balanceamento de canal) se encontra fora do ar. A
mensagem complementar mostra o endereço IP da máquina em questão.
153 - Máquina de conversão 1-N operacional – Essa mensagem indica que uma das máquinas
participantes de uma conversão 1-N (balanceamento de canal) que se encontrava fora do ar
voltou a funcionar normalmente. A mensagem complementar mostra o endereço IP da
máquina em questão.

1100
057 - Tabela de conversão TCP cheia – A tabela de conversão de endereços TCP encheu. A
única solução para esse problema é diminuir o Tempo limite TCP nos parâmetros de
configuração. Para maiores informações veja o capítulo Configurando os parâmetros do
sistema.
058 - Tabela de conversão UDP cheia – A tabela de conversão de endereços UDP encheu. A
única solução para esse problema é diminuir o Tempo limite UDP nos parâmetros de
configuração. Para maiores informações veja o capítulo Configurando os parâmetros do
sistema.
 Criptografia IPSEC
191 - Algoritmo de criptografia especificado não implementado – Esta mensagem indica que
foi negociado um canal de criptografia com um algoritmo não implementado. Escolha outros
algoritmos (veja seção Configurando canais Firewall-Firewall).
firewall.
192 - Falhou a expansão de chave criptográfica – Esta mensagem indica que o módulo IPSEC
teve dificuldades em tratar a chave negociada para um canal criptográfico. Esta situação é
anômala e não deve acontecer. Por favor contate o suporte técnico se o Firewall gerar esta
mensagem.
194 - Falhou ao inserir SA no kernel – Esta mensagem indica que foi negociado um canal que
já não existe mais. Para solucionar o problema, recrie o canal, ou aguarde até que todos os
módulos do Firewall saibam da não existência deste canal.
193 - Kernel repassou pacote inválido – Esta mensagem indica que o sistema operacional
passou um pacote incorreto para o Firewall. Ela ocorre apenas no sistema operacional Linux.
189 - Muitas negociações pendentes – Esta mensagem indica que o kernel não está
conseguindo pedir que o daemon de negociações de chave estabeleça um canal. Esta situação
é anômala e não deve acontecer. Contate o suporte técnico se o Firewall gerar esta
mensagem.
190 - SA não tem tipo IPSEC – Esta mensagem indica que foi tentada a configuração de um
canal não IPSEC pelo módulo IPSEC. Esta situação é anômala e não deve acontecer. Por favor
contate o suporte técnico se o Firewall gerar esta mensagem.
 Daemon CLR
1101
150 - Erro ao baixar CRL – Essa mensagem indica que o firewall não conseguiu baixar a lista
de certificados revogados (CRL) de uma autoridade certificadora. As mensagens
complementares mostram a razão pela qual não foi possível baixar a lista e a URL da qual se
tentou baixá-la.
Solução: Verifique que a URL informada na definição da entidade do tipo autoridade

certificadora está correta e que o serviço está no ar. É possível fazer isso digitando-se a URL
em um browser e verificando se é possível se receber o arquivo
065 - Erro ao carregar entidades – Esta mensagem indica que algum processo servidor do
firewall não conseguiu carregar a lista de entidades cadastradas no sistema.
firewall.
 Daemon de conexão PPTP
360 - Autenticação para conexão PPTP aceita – Evento gerado quando uma conexão PPTP foi
realizada com sucesso.
361 - Autenticação para conexão PPTP rejeitada – Evento gerado quando uma conexão PPTP
foi rejeitada por falha no logon.
363 - Conexão PPTP encerrada – Evento gerado quando uma conexão PPTP foi finalizada.
362 - Conexão PPTP estabelecida – Evento gerado quando uma conexão PPTP foi realizada
com sucesso.
 Daemon de IPS/IDS e Análise de aplicativos

1102
265 - Conexão encerrada pela filtragem de aplicativos – Esta mensagem indica que uma
conexão foi encerrada devido à aplicação de uma regra de filtragem de aplicativos.
264 - Conexão teve canal alterado – Esta mensagem indica que uma conexão teve à sua
definição de canal alterada devido a aplicação de uma regra de filtragem de aplicativos.
296 - Download das atualizações dos filtros completo – Esta mensagem indica que o firewall
conseguiu baixar uma nova atualização das assinaturas de IDS ou da Filtragem de Aplicativos.
064 - Erro ao carregar perfis de acesso – Esta mensagem indica que o servidor de
autenticação ou o servidor de login de usuários não conseguiu carregar a lista de perfis de
acesso cadastrados no sistema.
244 - Erro ao enviar arquivo ao cluster – Esta mensagem indica que o firewall servidor do
cluster não está conseguindo enviar arquivo ao cluster. Verifique o segmento de rede de troca
informação dos firewalls cooperativos.
243 - Erro ao replicar estado do cluster – Esta mensagem indica que o firewall servidor do
cluster não está conseguindo replicar o estado do cluster para os outros firewalls. Verifique o
segmento de rede de troca informação dos firewalls cooperativos.
272 - Erro carregando regras de IDS/IPS – Esta mensagem indica que o firewall detectou um
erro ao carregar as regras de IDS/IPS. Ela não deve ocorrer nunca em condições normais. Caso
ocorra, deve-se contatar o suporte técnico.
270 - Erro carregando regras globais de filtragem de aplicativos – Esta mensagem indica que
o firewall detectou um erro ao carregar as regras globais de filtragem de aplicativos. Ela não
deve ocorrer nunca em condições normais. Caso ocorra, deve-se contatar o suporte técnico.
firewall.

1103
271 - Erro expandindo regras de IDS/IPS – Esta mensagem indica que o firewall detectou um
erro ao expandir as regras de IDS/IPS. Ela não deve ocorrer nunca em condições normais. Caso
ocorra, deve-se contatar o suporte técnico.
269 - Erro expandindo regras de filtragem de aplicativos – Esta mensagem indica que o
firewall detectou um erro ao expandir as regras de filtragem de aplicativos. Ela não deve
ocorrer nunca em condições normais. Caso ocorra, deve-se contatar o suporte técnico.
295 - Erro fazendo download das atualizações dos filtros – Esta mensagem indica que
ocorreu um erro quando o firewall tentou fazer o download das novas assinaturas de IDS e/ou
da Filtragem de aplicativos. Verifique o complemento para maiores informações.
294 - Erro obtendo data de expiração do IDS – Não foi possível ler a data de expiração de
uma base IDS em disco. Provável base corrompida.
266 - Erro recebendo pacote do Kernel – Esta mensagem é gerada quando o módulo de
filtragem de aplicativos não conseguir ler os pacotes enviados pelo kernel do firewall. Ela não
deve ocorrer nunca em condições normais. Caso ocorra, deve-se contatar o suporte técnico.
268 - Pacote truncado recebido do kernel – Esta mensagem é gerada quando o módulo de
filtragem de aplicativos leu um pacote de tamanho inválido enviado pelo kernel do firewall.
Ela não deve ocorrer nunca em condições normais. Caso ocorra, deve-se contatar o suporte
técnico.
267 - Pacotes perdidos na análise - sistema possivelmente lento – Esta mensagem indica que
o módulo de análise de aplicativos não conseguiu tratar em tempo hábil todos os pacotes que
deveria a fim de verificar todas as regras de filtragem de aplicativos configuradas no firewall.
Possíveis ações que podem ser realizadas pelo administrador são:
 Verificar se algum dos filtros está com profundidade de pesquisa muito grande. Se
tiver, tentar diminuir ao máximo este valor;
 Não usar regras do tipo: procurar MP3 em todos os serviços. Utilizar somente nos
serviços nos quais este tipo de arquivo possa trafegar nos protocolos: FTP, HTTP,
SMTP, etc.
 Não colocar regras Internet - Internet. Sempre que possível utilizar regras do tipo
origem Rede Interna, destino Internet ou vice-versa.
 Não verificar arquivos e protocolos da Rede Interna para a DMZ.
114 - Regra de bloqueio temporária acrescentada – Esta mensagem indica que uma regra de
bloqueio temporária foi inserida no firewall. Como dados complementares são mostrados o
módulo que inseriu a regra temporária (IDS, Portscan, etc) e no caso do IDS interno, a razão
pela qual a máquina foi bloqueada.

1104
 Daemon de log
219 - Apagando registros do sistema de log – Esta mensagem indica que os registros do
sistema de log foram apagados. A mensagem complementar entre parênteses informa se
foram apagados logs, estatísticas ou eventos.
firewall.
210 - Erro lendo arquivo de configuração de estatísticas – Esta mensagem indica que houve
um problema ao ler o arquivo de configuração de estatísticas. A solução é restaurá-lo ou
removê-lo e criar as configurações novamente. Veja a seção Arquivos do Sistema.
211 - Erro lendo tabela de entidades – Esta mensagem indica que o módulo gerador de
estatísticas do Firewall não conseguiu ler a tabela de entidades do sistema.
214 - Erro recebendo estatísticas do kernel – Esta mensagem indica que o módulo gerador
de estatísticas do Firewall teve problemas ao ler os dados necessários ao seu cálculo dos
módulos que executam dentro do kernel do sistema operacional
215 - Erro salvando estatísticas do kernel – Esta mensagem indica que o módulo gerador de
estatísticas do Firewall teve problemas ao armazenar os dados coletados (ou enviá-los ao
servidor de log remoto). Se o log for local, verifique a possibilidade de o disco estar cheio. Se
for remoto, verifique a correta conexão com o servidor de log remoto
260 - Mensagem do sistema operacional – Esta mensagem é utilizada para reportar

mensagens produzidas pelo kernel do sistema operacional, que normalmente seriam
mostradas no console.
212 - Não encontrou entidade acumulador – Esta mensagem indica que o módulo gerador
de estatísticas do Firewall encontrou uma inconsistência em sua configuração, isto é, uma
estatística que referencia um acumulador inexistente. A mensagem complementar entre
parênteses indica qual a entidade em questão.

1105
 Daemon de monitoramento de links
251 - Host não respondeu e foi marcado como inativo – Esta mensagem indica que a máquina
de teste do balanceamento de link está fora ar ou não foi possível a sua verificação. Para
maiores informações consulte o capítulo intitulado Configurando a Conversão de Endereços.
250 - Host respondeu e foi marcado como ativo – Esta mensagem indica que a máquina de
teste do balanceamento de link está no ar. Para maiores informações consulte o capítulo
intitulado Configurando a Conversão de Endereços.
252 - Link foi marcado como ativo – Esta mensagem indica que o balanceamento de link está
no ar. Para maiores informações consulte o capítulo intitulado Configurando a Conversão de
Endereços.
253 - Link foi marcado como inativo – Esta mensagem indica que o balanceamento de link
está fora do ar. Para maiores informações consulte o capítulo intitulado Configurando a
Conversão de Endereços.
 Daemon de Quotas
Consumo de quota – Quota consumida por um usuário. O primeiro complemento é o

usuário que consumiu, o segundo é o tempo ou bytes consumidos. Esse evento é gerado de
acordo com o tipo de quota. Por exemplo, se a quota for diária, o evento é gerado todos os
dias às 23:59:59. Se a quota for semanal, o evento só é gerado uma semana após a ativação
da quota e se for mensal, um mês após a ativação da quota.
Enquanto o evento de "Consumo de quota" não é gerado, todo relatório de quota

Por bytes ou tempo consumidos são impressos sem informações.
 Daemon gerador de relatórios
261 - Erro ao criar processo – Esta mensagem indica que o firewall tentou criar um novo
processo para cuidar de uma determinada tarefa e não conseguiu. Possíveis causas de erro
são memória insuficiente no firewall ou número de processos ativos excessivamente altos.

1106
firewall.
263 - Processo foi interrompido – Esta mensagem indica que o processo de monitoramento
do firewall detectou que um processo crítico do sistema não estava mais rodando. Se esta
mensagem aparecer frequentemente, é necessário contatar o suporte técnico para
determinar a causa do problema.
317 - Relatório gerado e publicado com sucesso – Esta mensagem indica que um relatório
que estava agendado foi gerado e publicado com sucesso pelo firewall.
 Daemon IPSEC-IKE
201 - Algoritmo criptográfico não suportado – Esta mensagem indica que um outro Firewall
(ou qualquer equipamento que suporte IPSEC) tentou estabelecer um canal criptográfico com
um algoritmo de cifração não suportado pelo Aker Firewall. Escolha outros algoritmos (veja
seção Configurando canais Firewall-Firewall).
208 - Aviso do fwiked (olhar mensagens complementares) – Esta mensagem é uma

mensagem genérica de aviso do daemon de negociação de chaves IPSEC. Verifique as
mensagens complementares para obter mais detalhes.
198 - Erro comunicando com o kernel – Esta mensagem indica que o daemon de negociação
de chaves IPSEC (fwiked) não está conseguindo se comunicar com os módulos do Firewall que
executam dentro do kernel do sistema operacional.
firewall.
206 - Erro enviando mudança de estado ao cluster – Esta mensagem indica que houve um
erro quando enviando mudança do estado do cluster dentro do trabalho cooperativo.
Verifique o segmento de rede onde estão instalados os firewalls.
202 - Erro enviando regra de IKE ao filtro de pacotes – Esta mensagem indica que o daemon
de negociação de chaves IPSEC (fwiked) não está conseguindo se comunicar com os módulos

1107
do Firewall que executam dentro do kernel do sistema operacional para inserir uma regra de
liberação da comunicação com seus pares.
205 - Erro lendo mudança de estado do cluster – Esta mensagem indica que houve um erro
quando da leitura do estado do cluster dentro do trabalho cooperativo. Verifique o segmento
de rede onde estão instalados os firewalls.
197 - Erro processando configuração – Esta mensagem indica que ocorreu um erro interno
grave no daemon de negociação de chaves IPSEC (fwiked). Esta situação é anômala e não deve
acontecer. Por favor contate o suporte técnico se o Firewall gerar esta mensagem.
195 - Estabelecendo VPN IPSEC para o tráfego – Esta mensagem indica que o daemon de
negociação de chaves IPSEC (fwiked) iniciou o estabelecimento de um canal, por necessidade
imediata de seu uso.
204 - Negociação de IKE falhou (olhar mensagens complementares) – Esta mensagem indica
que houve um problema durante a negociação de chaves IPSEC. Verifique as mensagens
complementares para obter mais detalhes.
Geralmente uma pequena mudança de configuração resolve rapidamente o problema
207 - Notificação do fwiked (olhar mensagens complementares) – Esta mensagem é genérica

de notificação do daemon de negociação de chaves IPSEC. Verifique as mensagens
complementares para obter mais detalhes.
203 - Sucesso ativando a SA negociada – Esta mensagem indica que o daemon de negociação
de chaves IPSEC (fwiked) estabeleceu e instalou nos demais módulos do Firewall um canal de
criptografia IPSEC corretamente.
200 - Tentou instalar uma SA não negociada – Esta mensagem indica que o daemon de
negociação de chaves IPSEC (fwiked) encontrou um erro grave de consistência interna. Esta
situação é anômala e não deve acontecer. Por favor contate o suporte técnico se o Firewall
gerar esta mensagem.
196 - Fwiked falhou ao iniciar – Esta mensagem indica que o daemon de negociação de
chaves IPSEC (fwiked) não conseguiu ler suas configurações. Recrie as configurações de
criptografia para solucionar o problema (veja seção Configurando canais Firewall-Firewall).
 Daemons do firewall
166 - Alteração da configuração de SNMP – Esta mensagem indica que o administrador que
estava com a sessão de administração aberta alterou os parâmetros de configuração do
agente SNMP

1108
181 - Alteração da configuração de TCP/IP – Esta mensagem indica que o administrador que
estava com a sessão de administração aberta alterou a configuração de TCP/IP do firewall
(hostname, configuração de DNS, configuração de interfaces ou rotas).
172 - Alteração da configuração do proxy SOCKS – Esta mensagem indica que o

administrador que estava com a sessão de administração aberta alterou algum dos
parâmetros de configuração do proxy SOCKS.
162 - Alteração de conversão – Esta mensagem indica que o administrador que estava com a
sessão de administração aberta alterou algum parâmetro da conversão de endereços ou a
tabela de conversão de servidores. A mensagem complementar indica exatamente o que foi
alterado.
168 - Alteração da lista de controle de acesso – Esta mensagem indica que o administrador
que estava com a sessão de administração aberta alterou a lista de controles de acesso.
163 - Alteração da tabela de criptografia – Esta mensagem indica que o administrador que
estava com a sessão de administração aberta alterou a tabela de criptografia do firewall.
161 - Alteração das regras de filtragem – Esta mensagem indica que o administrador que
estava com a sessão de administração aberta alterou a tabela de regras de filtragem do
firewall.
165 - Alteração de contextos – Esta mensagem indica que o administrador que estava com a
sessão de administração aberta alterou contextos de um dos proxies transparentes do
Firewall. A mensagem complementar indica qual o proxy que teve seus contextos
modificados.
170 - Alteração de entidades – Esta mensagem indica que o administrador que estava com a
sessão de administração aberta alterou a lista de entidades do sistema.
160 - Alteração de parâmetro – Esta mensagem indica que o administrador que estava com
a sessão de administração aberta alterou algum parâmetro de configuração do sistema. A
mensagem complementar indica o nome do parâmetro que foi alterado.
171 - Alteração de parâmetros WWW – Esta mensagem indica que o administrador que
estava com a sessão de administração aberta alterou os parâmetros WWW.
169 - Alteração de parâmetros de autenticação – Esta mensagem indica que o administrador

que estava com a sessão de administração aberta alterou os parâmetros globais de
autenticação.
167 - Alteração dos perfis de acesso – Esta mensagem indica que o administrador que estava
com a sessão de administração aberta alterou a lista de perfis de acesso
164 - Alteração na configuração de SYN Flood – Esta mensagem indica que o administrador
que estava com a sessão de administração aberta alterou algum parâmetro da proteção
contra SYN Flood. A mensagem complementar indica exatamente o que foi alterado.
1109
178 - Alteração na data/hora do firewall – Esta mensagem indica que o administrador que
estava com a sessão de administração aberta alterou a data e/ou à hora do firewall.
180 - Alteração nos certificados – Esta mensagem indica que o administrador que estava com
a sessão de administração aberta alterou a lista de certificados das entidades certificadoras
ou de revogação do firewall.
179 - Carga do certificado de negociação local – Esta mensagem indica que o administrador
que estava com a sessão de administração aberta carregou ou alterou o certificado de
negociação local do firewall.
261 - Erro ao criar processo – Esta mensagem indica que o firewall tentou criar um novo
processo para cuidar de uma determinada tarefa e não conseguiu. Possíveis causas de erro
são memória insuficiente no firewall ou número de processos ativos excessivamente alto.
firewall.
158 - Erro de confirmação de sessão de administração – Esta mensagem indica que um

usuário cadastrado no sistema tentou estabelecer uma sessão de administração remota,

1110
porém sua senha estava incorreta. A mensagem complementar mostra o nome do usuário
em questão.
186 - Erro na operação anterior – Esta mensagem indica que a última operação executada
pelo servidor de comunicação remota não foi executada com sucesso.
Solução: Verifique se o existe espaço disponível no diretório '/' do firewall. Isto pode ser
realizado por meio do comando "$df -k". Se este comando mostrar o diretório '/' com 100%
de espaço utilizado, então é isto a causa do problema. Caso exista espaço disponível e ainda
assim este erro apareça, consulte o suporte técnico.
351 - Excesso de tentativas inválidas. IP bloqueado – Por padrão, o firewall bloqueia durante
cinco minutos todas tentativas de conexão de um determinado IP caso ele possua três
tentativas consecutivas inválidas. O complemento dessa mensagem é o IP que foi bloqueado.
159 - Firewall sendo administrado por outro usuário – Esta mensagem indica que um usuário
conseguiu se autenticar corretamente para estabelecer uma sessão de administração remota,
porém já existia um outro usuário com uma sessão aberta para a mesma máquina e por isso
a conexão foi recusada. A mensagem complementar indica qual o usuário que teve sua sessão
recusada.
176 - Operação sobre o arquivo de eventos – Esta mensagem indica que o administrador que
estava com a sessão de administração aberta realizou uma operação sobre o arquivo de
eventos. As operações possíveis são Compactar e Apagar. A mensagem complementar indica
qual destas operações foi executada.
175 - Operação sobre o arquivo de log – Esta mensagem indica que o administrador que
estava com a sessão de administração aberta realizou uma operação sobre o arquivo de log.
As operações possíveis são Compactar e Apagar. A mensagem complementar indica qual
destas operações foi executada.
177 - Operação sobre o arquivo de usuário – Esta mensagem indica que o administrador que
estava com a sessão de administração aberta realizou uma operação sobre o arquivo de
usuários. As operações possíveis são Incluir, Excluir e Alterar. A mensagem complementar
indica qual destas operações foi executada e sobre qual usuário
188 - Pacote não reconhecido – Esta mensagem indica que o servidor de comunicação do
firewall recebeu uma requisição de serviço desconhecida.
154 - Pedido de conexão de administração – Esta mensagem é gerada pelo módulo de

administração remota do Aker Firewall todas as vezes que este recebe um pedido de abertura
de conexão. Na mensagem complementar é mostrado o endereço IP da máquina que solicitou
a abertura de conexão.
263 - Processo foi interrompido – Esta mensagem indica que o processo de monitoramento
do firewall detectou que um processo crítico do sistema não estava mais rodando. Se esta
1111
262 - Processo recriado – Esta mensagem indica que o processo de monitoramento do

firewall recriou um processo crítico do sistema que não estava mais rodando. Se esta
184 - Queda de sessão de administração por erro – Esta mensagem indica que a sessão de
administração que estava ativa foi interrompida devido a um erro de protocolo de
comunicação.
Solução: Experimente estabelecer a conexão novamente. Se o problema voltar a ocorrer,

consulte o suporte técnico.
185 - Queda de sessão de administração por inatividade – Quando uma interface remota
estabelece uma conexão de administração, ela passa a enviar periodicamente pacotes para o
firewall indicando que ela continua ativa. Estes pacotes são enviados mesmo que usuário não
execute nenhuma operação.
Esta mensagem indica que a sessão de administração que estava ativa foi interrompida
devido a um tempo limite ter sido atingido, sem o servidor ter recebido nenhum pacote da
interface remota. A sua causa mais provável é uma queda na máquina que rodava a Interface
Remota ou uma queda na rede.
173 - Remoção de conexão ativa – Esta mensagem indica que o administrador que estava
com a sessão de administração aberta removeu uma das conexões ativas. A mensagem
complementar indica se a conexão removida era TCP ou UDP
174 - Remoção de sessão de usuário ativa – Esta mensagem indica que o administrador que
estava com a sessão de administração aberta removeu uma das sessões de usuários que
estavam logados no firewall por meio do Cliente de Autenticação Aker.
155 - Sessão de administração estabelecida – Esta mensagem é gerada pelo módulo de

administração remota do Aker Firewall quando um usuário consegue se autenticar
corretamente e iniciar uma sessão de administração. Na mensagem complementar é
mostrado o login do usuário que estabeleceu a sessão e os seus direitos.
Os direitos do usuário são representados por meio de três siglas independentes. Caso o
usuário possua um determinado direito será mostrada a sigla correspondente a ele, caso
contrário será mostrado o valor "--". As siglas e seus significados são os seguintes:
 CF - Configura Firewall
 CL - Configura Log
 GU - Gerencia usuários
156 - Sessão de administração finalizada – Esta mensagem indica que a sessão de

administração estabelecida anteriormente foi terminada a pedido do cliente.
1112
157 - Usuário não cadastrado para administração – Esta mensagem indica que um usuário
não cadastrado no sistema tentou estabelecer uma sessão de administração.
259 - Usuário responsáveis do Configuration Manager – Esta mensagem é gerada quando o

Configuration Manager efetua uma modificação da configuração de um determinado firewall
e serve para informar qual o usuário responsável por tais modificações (o usuário que estava
utilizando o Configuration Manager)
344 - Versão não suportada do Web Content Analyzer – Não é mais utilizado.
 Filtro de pacote
055 - Aker Firewall 6.5 – Inicialização completa – Esta mensagem tem caráter puramente
informativo, servindo para determinar os horários que o Firewall entrou em funcionamento.
Ela será produzida a cada reinicialização da máquina.
firewall.
357 - Limite configurado de conexões a partir do endereço IP excedido – Por padrão, o

firewall bloqueia durante cinco minutos todas tentativas de conexão de um determinado IP
caso ele possua três tentativas consecutivas inválidas. O complemento dessa mensagem é o
IP que foi bloqueado.
 IDS
112 - Erro ao conectar com agente IDS – Esta mensagem indica que o firewall não conseguiu
se conectar ao agente IDS que estaria rodando em uma determinada máquina. A mensagem
complementar indica o nome do agente IDS que não pode ser conectado e o endereço IP que
ele supostamente estaria rodando.

1113
Solução: Verifique se o endereço IP da máquina onde o agente estaria rodando está correto
na definição da entidade (para maiores informações, veja o capítulo intitulado Cadastrando
Entidades) e que o agente está realmente sendo executado na máquina em questão.
063 - Erro ao ler o arquivo de parâmetros – Esta mensagem é produzida por qualquer um
dos módulos externos ao tentar ler o arquivo de parâmetros do sistema e constatar que este
não existe ou não pode ser lido.
Solução: Reinicialize a máquina, que o programa de inicialização irá recriar o arquivo de

parâmetros. Se isso não funcionar, contate o suporte técnico.
firewall.
113 - Erro de comunicação com agente IDS – Esta mensagem indica que o firewall conseguiu
se conectar ao agente IDS, porém não conseguiu estabelecer uma comunicação. A mensagem
complementar indica o nome do agente IDS que provocou o problema e o endereço IP da
máquina onde ele está rodando.
Solução: Verifique se a senha de acesso na definição da entidade está igual à senha colocada
na configuração do agente IDS. Para maiores informações, veja o capítulo intitulado
1114
 Leitura e exportação de logs
356 - Erro criando arquivo local para ser exportado – Não foi possível criar arquivos para
exportá-los. Verifique a permissão do diretório temporário e o espaço em disco. O título do
relatório está no complemento.
353 - Exportação de evento finalizada com sucesso – Gerado ao final da exportação de

eventos e nenhum erro foi detectado. O título do relatório e o ip da máquina/diretório estão
no complemento.
352 - Exportação de log finalizada com sucesso – Gerado ao final da exportação de log e
nenhum erro foi detectado. O título do relatório e o ip da máquina/diretório estão no
complemento
354 - Falha ao conectar no servidor FTP para exportar logs ou eventos – Não foi possível
conectar-se no servidor FTP para exportar logs ou ventos. O título e o motivo da falha estão
no complemento.
355 - Falha ao copiar log ou eventos para pasta local – Não foi possível copiar os relatórios
na máquina local. Verifique a permissão do diretório de destino e espaço em disco. O título
do relatório está no complemento.
 Módulo de configuração do cluster
242 - Erro alterando a configuração do firewall – Esta mensagem indica que o firewall
servidor do cluster não está conseguindo alterar as configurações dos outros firewalls.
Verifique o segmento de rede de troca informação dos firewalls cooperativos.
241 - Erro de processamento no firewall servidor – Esta mensagem indica que o firewall
servidor do cluster não está processando os dados corretamente. Verifique o firewall servidor
quanto a espaço em disco e processador.
240 - Erro enviando dados do firewall servidor – Esta mensagem indica que o firewall servidor
do cluster não está enviando os dados corretamente. Verifique o segmento de rede de troca
239 - Erro recebendo dados do firewall servidor – Esta mensagem indica que o firewall
servidor do cluster não está recebendo os dados corretamente. Verifique o segmento de rede
de troca informação dos firewalls cooperativos
 Módulo de controle do cluster

1115
125 - Chave de ativação do firewall repetida – Esta mensagem indica que dois firewalls
possuem a mesma licença instalada. Para o trabalho dos firewalls cooperativos e necessário
que cada um dos firewalls possua a sua própria licença.
124 - Convergência do cluster completada com sucesso – Esta mensagem indica que todos
os firewalls do cluster estão funcionando corretamente.
firewall.
330 - Interface de rede conectada – Interface do heart beat ficou ativa. O complemento é a
interface.
329 - Interface de rede desconectada – Interface do heart beat ficou inativa. O complemento
é a interface.
122 - Máquina participante do cluster fora do ar – Esta mensagem indica que uma das
máquinas participantes do cluster está fora do ar. Verifique a situação da máquina de modo
a solucionar o problema da mesma.
121 - Nova máquina detectada no cluster – Esta mensagem indica que uma nova máquina
foi anexada ao sistema de cluster do firewall.
123 - Pacote de heartbeat inválido – Esta mensagem indica que um pacote de verificação do
cluster foi recebido incorretamente. Verifique se o segmento de comunicação dos firewalls
está funcionando corretamente.

1116
 Módulo de estado do cluster
245 - Erro ao agrupar dados do cluster – Esta mensagem indica que o firewall servidor do
cluster não está conseguindo agrupar os dados do cluster. Verifique o segmento de rede de
troca informação dos firewalls cooperativos.
244 - Erro ao enviar arquivo ao cluster – Esta mensagem indica que o firewall servidor do
cluster não está conseguindo enviar arquivo ao cluster. Verifique o segmento de rede de troca
131 - Erro ao enviar dados para o kernel do firewall – Esta mensagem indica que algum dos
 Protocolos de roteamento
firewall.
333 - Erro de comunicação com o serviço de rotas – Ocorreu um erro de comunicação do

firewall com o processo Zebrad. Verifique o status do processo e tente novamente.
331 - Rota adicionada – O Zebrad adicionou uma rota no firewall.
332 - Rota removida – O Zebrad removeu uma rota no firewall.

1117
 Proxies Transparentes
firewall.
 Proxy DCE-RPC
337 - Erro conectando ao servidor – O Proxy transparente DCE-RPC não conseguiu se conectar
ao servidor. O complemento mostra o erro ocorrido.
firewall.

1118
334 - Erro na conexão DCE-RPC – Ocorreu uma falha irrecuperável durante a conexão do
proxy DCE-RPC. Os complementos da mensagem mostram detalhes do erro de conexão.
335 - Serviço DCE-RPC aceito – Conexão do proxy DCE-RPC foi aceita pelas regras do proxy, o
complemento mostra os IPs conectados e o a UUID aceita.
336 - Serviço DCE-RPC bloqueado – Conexão do proxy DCE-RPC foi rejeitada pelas
configurações. O complemento mostra os IPs conectados e as UUID rejeitada.
 Proxy FTP
342 - Contabilidade de tráfego FTP (downloads) – Dados de download foram enviados por
meio do proxy FTP.
343 - Contabilidade de tráfego FTP (uploads) – Dados de uploads foram enviados por meio
do proxy FTP.
072 - DNS direto e reverso conflitantes – Quando um proxy do Firewall é configurado para
somente aceitar conexões a partir de máquinas com DNS reverso válido, ele utiliza uma
técnica que consiste em tentar resolver o nome para o endereço IP de origem da conexão.
Caso ele não consiga, ele indica erro mostrando a mensagem anterior e não permite a
realização da conexão. Caso resolva o nome, ele faz uma outra pesquisa de DNS a partir do
nome retornado, buscando seu endereço IP. Se ele não conseguir realizar esta segunda
pesquisa ou se o endereço IP retornado for diferente do endereço de origem, a conexão é
abortada e esta mensagem é produzida.
071 - DNS reverso não configurado – Esta mensagem é produzida por algum dos proxies se
ele tiver sido configurado para somente receber conexões a partir de máquinas com DNS
reverso válido e não tiver conseguido resolver o nome para o endereço IP de origem de uma
conexão. A mensagem complementar indica o endereço IP de origem da conexão.
069 - Erro ao carregar contexto – Esta mensagem indica que um dos proxies transparentes
não conseguiu carregar o contexto especificado.
151 - Número de processos excessivo no sistema – Esta mensagem indica que algum dos

1119
073 - Possível ataque de simulação de protocolo – Esta mensagem indica que o firewall
durante o monitoramento de uma sessão de algum protocolo com várias conexões (por
exemplo, FTP e Real Áudio / Real Vídeo) detectou uma tentativa de abertura de conexão para
uma porta menor que 1024 ou para um endereço diferente do esperado. Isso provavelmente
é causado por um ataque ou por uma implementação defeituosa do protocolo.
A mensagem complementar indica os endereços de origem e destino da conexão.
068 - Tamanho de linha excessivo – Esta mensagem indica que algum proxy do Aker Firewall
recebeu uma linha com um número excessivo de caracteres e devido a isso, derrubou a
conexão. A informação complementar entre parênteses indica o endereço IP da máquina que
causou o problema.
Solução: Esta mensagem é causada por um servidor ou cliente fora dos padrões das RFCs. A
única solução possível para o problema é contatar o administrador da máquina causadora da
mensagem.
 Proxy H323 (H225.0)

Ex: via ssh, execute o comando: fwh245pd –p 50
Este comando faz com que o número limite de processos filhos criados pelo fwh245pd, seja
de até 50 processos.
 Proxy H323 (H245)
151 - Número de processos excessivos no sistema – Esta mensagem indica que algum dos

1120
Ex: via ssh, execute o comando: fwh245pd –p 50
Este comando faz com que o número limite de processos filhos criados pelo fwh245pd, seja
de até 50 processos.
 Proxy HTTP
101 - ActiveX removido – O Proxy HTTP encontrou um objeto ActiveX que foi removido.
247 - Arquivo com vírus bloqueado – Esta mensagem indica que um arquivo estava com vírus
e não pode ser removido, por isso o arquivo foi bloqueado.
246 - Arquivo com vírus desinfectado – Esta mensagem indica que um arquivo analisado pelo
firewall estava com vírus mas foi desinfectado.
249 - Arquivo não pode ser analisado pois estava cifrado – Esta mensagem indica que o
antivírus do firewall não pode analisar o arquivo pois o mesmo estava cifrado.
248 - Arquivo não pode ser analisado estava corrompido – Esta mensagem indica que o
antivírus do firewall não pode analisar o arquivo pois o mesmo estava corrompido.
098 - Banner removido – Esta mensagem indica que o Filtro Web substitui uma requisição
por uma imagem em branco, visto que a URL se encaixou nas regras de filtragem de banners.
A mensagem complementar entre parênteses indica o nome do usuário que fez a requisição.
A linha de mensagem seguinte indica o endereço IP da máquina da qual a requisição se
originou e a terceira linha indica qual URL que o usuário tentou acessar.
340 - Contabilidade de tráfego HTTP (WWW) – Evento de contabilização HTTP, utilizado

normalmente para a geração de relatórios, por padrão vem desabilitado.
341 - Contabilidade de tráfego HTTP (downloads) – Evento de contabilização de downloads

HTTP, utilizado normalmente para a geração de relatórios, por padrão vem desabilitado.
096 - Download de arquivo local aceito – Esta mensagem indica que o Filtro Web aceitou um
pedido de uma URL realizado por um usuário. A mensagem complementar entre parênteses
indica o nome do usuário que fez a requisição. A linha de mensagem seguinte indica o
endereço IP da máquina da qual a requisição se originou e a terceira linha indica qual URL foi
acessada.
Esta mensagem se refere a um arquivo armazenado localmente no firewall, que foi

requisitado utilizando-se o Filtro Web como um servidor WEB.

1121
119 - Erro ao conectar com Web Content Analyzer – Esta mensagem indica que o firewall não
conseguiu se conectar ao Web Content Analyzer que estaria rodando em uma determinada
máquina. A mensagem complementar indica o nome do analisador que não pode ser
conectado e o endereço IP que ele supostamente estaria rodando.
Solução: Verifique se o endereço IP da máquina onde o analisador estaria rodando está

correto na definição da entidade (para maiores informações, veja o capítulo intitulado
Cadastrando Entidades) e que ele está realmente sendo executado na máquina em questão.
318 - Erro conectando ao serviço de quotas – Algum proxy não conseguiu comunicar-se com
o processo responsável pelas quotas. Verifique se o fwquotad está executando e/ou reinicie
o seu equipamento.
firewall.
120 - Erro de comunicação com Web Content Analyzer – Esta mensagem indica que o firewall
conseguiu se conectar ao Web Content Analyzer, porém não conseguiu estabelecer uma
comunicação. A mensagem complementar indica o nome do analisador que provocou o
problema e o endereço IP da máquina onde ele está rodando.
na configuração do Web Content Analyzer. Para maiores informações, veja o capítulo
intitulado Cadastrando Entidades.

1122
324 - Erro de comunicação com o serviço de quotas – Erro ao se comunicar com o servidor
de quotas. O complemento da mensagem mostra detalhes sobre o erro.
126 - Falha de autenticação para proxy – Esta mensagem indica que um usuário informou
uma senha inválida ao tentar autenticar-se em um determinado proxy. As mensagens
complementares indicam o nome do usuário e as máquinas de origem e destino (no caso de
proxy transparente) da conexão.
099 - Java removido – O Proxy HTTP encontrou uma linha de código Java e foi removida.
100 - Javascript removido – O Proxy HTTP encontrou uma linha de código Javascript e foi
removida.
325 - Quota de bytes expirada – Quota de bytes foi consumida pelo usuário
326 - Quota de bytes insuficiente para a operação – Não existem bytes suficientes para
finalizar uma requisição ainda não iniciada. O início da transferência não foi permitido.
327 - Quota de tempo expirada – Informação sobre uma quota de tempo que foi expirada.
095 - URL aceita – Esta mensagem indica que o Filtro Web aceitou um pedido de uma URL
realizado por um usuário. A mensagem complementar entre parênteses indica o nome do
usuário que fez a requisição. A linha de mensagem seguinte indica o endereço IP da máquina
da qual a requisição se originou e a terceira linha indica qual URL foi acessada.
Esta mensagem somente será produzida para URLs do protocolo HTTP quando elas
resultarem em código HTML. Para os protocolos FTP e Gopher, ela será gerada para cada
requisição aceita, independente do seu tipo.
Formato do evento para exportação:
DD/MM/AAAA HH:MM:SS <prioridade> <id> <modulo_gerador> URL Aceita <usuario>

<perfil> <ip_origem> <url>
097 - URL rejeitada – Esta mensagem indica que o Filtro Web rejeitou um pedido de uma URL
da qual a requisição se originou e a terceira linha indica qual URL que o usuário tentou acessar.

1123
127 - Usuário não cadastrado para proxy – Esta mensagem indica que um usuário não
cadastrado tentou se autenticar em um determinado proxy. A mensagem complementar
indica as máquinas de origem e destino (no caso de proxy transparente) da conexão.
 Proxy HTTPS
101 - ActiveX removido – O Proxy HTTP encontrou um objeto ActiveX que foi removido.
098 - Banner removido – Esta mensagem indica que o Filtro Web substitui uma requisição
por uma imagem em branco, visto que a URL se encaixou nas regras de filtragem de banners.
A mensagem complementar entre parênteses indica o nome do usuário que fez a requisição.
A linha de mensagem seguinte indica o endereço IP da máquina da qual a requisição se
originou e a terceira linha indica qual URL que o usuário tentou acessar.
340 - Contabilidade de tráfego HTTP (WWW) – Evento de contabilização HTTP, utilizado

normalmente para a geração de relatórios, por padrão vem desabilitado.
341 - Contabilidade de tráfego HTTP (downloads) – Evento de contabilização de downloads

HTTP, utilizado normalmente para a geração de relatórios, por padrão vem desabilitado.
096 - Download de arquivo local aceito – Esta mensagem indica que o Filtro Web aceitou um
pedido de uma URL realizado por um usuário. A mensagem complementar entre parênteses
indica o nome do usuário que fez a requisição. A linha de mensagem seguinte indica o
endereço IP da máquina da qual a requisição se originou e a terceira linha indica qual URL foi
acessada.
Esta mensagem se refere a um arquivo armazenado localmente no firewall, que foi

requisitado utilizando-se o Filtro Web como um servidor WEB.

1124
119 - Erro ao conectar com Web Content Analyzer – Esta mensagem indica que o firewall não
conseguiu se conectar ao Web Content Analyzer que estaria rodando em uma determinada
máquina. A mensagem complementar indica o nome do analisador que não pode ser
conectado e o endereço IP que ele supostamente estaria rodando.
Solução: Verifique se o endereço IP da máquina onde o analisador estaria rodando está

correto na definição da entidade (para maiores informações, veja o capítulo intitulado
Cadastrando Entidades) e que ele está realmente sendo executado na máquina em questão.
o seu equipamento.
firewall.
120 - Erro de comunicação com Web Content Analyzer – Esta mensagem indica que o firewall
conseguiu se conectar ao Web Content Analyzer, porém não conseguiu estabelecer uma
comunicação. A mensagem complementar indica o nome do analisador que provocou o
problema e o endereço IP da máquina onde ele está rodando.
na configuração do Web Content Analyzer. Para maiores informações, veja o capítulo
intitulado Cadastrando Entidades.
324 - Erro de comunicação com o serviço de quotas – Erro ao se comunicar com o servidor
de quotas. O complemento da mensagem mostra detalhes sobre o erro.

1125
099 - Java removido – O Proxy HTTP encontrou uma linha de código Java e foi removida.
100 - Javascript removido – O Proxy HTTP encontrou uma linha de código Javascript e foi
removida.
325 - Quota de bytes expirada – Quota de bytes foi consumida pelo usuário
326 - Quota de bytes insuficiente para a operação – Não existem bytes suficientes para
finalizar uma requisição ainda não iniciada. O início da transferência não foi permitido.
327 - Quota de tempo expirada – Informação sobre uma quota de tempo que foi expirada.
095 - URL aceita – Esta mensagem indica que o Filtro Web aceitou um pedido de uma URL
da qual a requisição se originou e a terceira linha indica qual URL foi acessada.
Esta mensagem somente será produzida para URLs do protocolo HTTP quando elas
resultarem em código HTML. Para os protocolos FTP e Gopher, ela será gerada para cada
requisição aceita, independente do seu tipo.

097 - URL rejeitada – Esta mensagem indica que o Filtro Web rejeitou um pedido de uma URL
da qual a requisição se originou e a terceira linha indica qual URL que o usuário tentou acessar.


1126
 Proxy MSN Messenger
348 - Arquivo infectado foi bloqueado – Arquivo transferido por meio do proxy MSN foi
analisado e possui vírus. Arquivo bloqueado. O complemento dessa mensagem é o nome do
arquivo.
349 - Arquivo não tem vírus – Arquivo transferido por meio do proxy MSN foi analisado, não
possui vírus e o arquivo aceito. O complemento dessa mensagem descreve o nome do
arquivo.
286 - Conexão do MSN Messenger encerrada por timeout – Esta mensagem indica que uma
conexão com um servidor do serviço MSN Messenger foi encerrada por timeout. Verifique se
o acesso à Internet está funcionando corretamente.
278 - Conversação do MSN Messenger bloqueada – Conversa entre dois usuários foi
bloqueada pelas configurações no proxy MSN.
279 - Conversação do MSN Messenger finalizada – Esta mensagem é gerada quando um

usuário fecha a janela de conversação no MSN Messenger, passando por meio do firewall.
277 - Conversação do MSN Messenger iniciada – Esta mensagem é gerada quando um

usuário abre a janela de conversação no MSN Messenger, passando por meio do firewall.
282 - Convite para transferência de arquivo via MSN Messenger permitido – Esta mensagem
é gerada quando um pedido de transferência de arquivo por meio do Messenger foi recebido
e aceito pelo firewall.
284 - Convite para uso de aplicativo via MSN Messenger permitido – Esta mensagem é
gerada quando um pedido de uso de aplicativo (jogos, vídeo, etc) por meio do Messenger foi
recebido e aceito pelo firewall.

1127
287 - Erro analisando a mensagem – Esta mensagem indica que o firewall detectou um erro
de parser em uma mensagem do MSN Messenger. Caso esta mensagem apareça, favor
contatar o suporte técnico.
segmento de rede de troca informação dos firewalls cooperativos
o seu equipamento.
346 - Erro interno no proxy Messenger – Erro grave envolvendo o proxy MSN ocorreu, por
favor contate o suporte Aker.
350 - Erro no antivírus – O módulo de integração antivírus e proxy MSN apresentou um erro
durante a comunicação com o servidor de antivírus. Verifique as configurações do servidor,
regras de filtragem do firewall e tente novamente. O complemento da mensagem descreve a
etapa de comunicação que falhou.
359 - Logando a conversação do MSN Messenger – Evento loga dados do chat entre os
usuários do Proxy MSN.
281 - Notificação do Hotmail bloqueada – Proxy MSN não permitiu a notificação do Hotmail.
345 - Pacote de transferência de arquivos não consta na lista de transferências ativas – Um

cliente tentou transferir um arquivo, mas os dados relativos à informação de transferência de
arquivos não foram enviados. Por favor, utilize um cliente Messenger válido.
347 - Proxy Messenger não pode salvar o arquivo em disco – Não foi possível salvar o arquivo
temporariamente em disco. Verifique se o firewall possui espaço em disco suficiente para
operar e tente novamente.
288 - Servidor MSN Messenger não responde – Esta mensagem indica que os servidores do
serviço MSN Messenger não estão respondendo. Verifique se a conexão com a Internet está
funcionando corretamente.
1128
280 - Tempo diário de uso de MSN Messenger não permitido – Esta mensagem indica que o
tempo diário de conversa por meio do MSN Messenger para o usuário em questão foi
exercido. Este usuário não mais poderá acessar o Messenger no dia corrente.
283 - Transferência de arquivo via MSN Messenger bloqueada – Esta mensagem é gerada
quando um pedido de transferência de arquivo por meio do Messenger foi recebido e
rejeitado pelo firewall.
285 - Uso de aplicativo via MSN Messenger não permitido – Esta mensagem é gerada quando
um pedido de uso de aplicativo (jogos, vídeo, etc) por meio do Messenger foi recebido e
rejeitado pelo firewall.
289 - Usuário entrou no MSN Messenger – Esta mensagem é gerada todas as vezes que um
usuário se autentica no serviço MSN Messenger por meio do Firewall
290 - Usuário saiu do MSN Messenger – Esta mensagem é gerada todas as vezes que um
usuário sai do serviço MSN Messenger, passando por meio do Firewall
291 - Usuário sem permissão tentou entrar no MSN Messenger – Esta mensagem é gerada
todas as vezes que um usuário sem permissão tenta acessar o serviço MSN Messenger
passando por meio do Firewall.
358 - Versão do MSN bloqueada para a utilização – Evento informa que uma versão não
permitida do cliente MSN foi bloqueada.
 Proxy POP3
090 - Anexo com vírus removido – Esta mensagem indica que um anexo da mensagem
continha vírus e foi removido. O complemento da mensagem indica quem é o remetente e o
destinatário da mensagem, assim como o nome do vírus encontrado.
093 - Anexo continha vírus e foi desinfectado – Esta mensagem indica que um anexo da
mensagem continha vírus e foi desinfectado. O complemento da mensagem indica quem são
o remetente e o destinatário da mensagem, assim como o nome do vírus encontrado.
094 - Anexo incorretamente codificado (mensagem defeituosa) – Esta mensagem indica que
um anexo de mensagem está incorretamente codificado, ou seja, apresenta erro na
codificação do tipo MIME. Normalmente este arquivo pode ser descartado pelo firewall caso
o administrador configure a opção desejada. Para mais informações leia o capítulo intitulado
Configurando o proxy SMTP.
091 - Anexo removido – Esta mensagem indica que um anexo da mensagem foi removido. O
complemento da mensagem indica quem são o remetente e o destinatário da mensagem.

1129
233 - Comando POP3 inválido ou erro de sintaxe – Esta mensagem indica que o proxy POP3
transparente leu um comando incorreto do cliente e fechou a conexão sem repassá-lo ao
servidor. O comando em questão encontra-se nas mensagens complementares.
238 - Entrando em modo STLS - nenhuma análise possível – Esta mensagem indica que o
firewall entrou em modo STLS. Entre em contato com o suporte técnico para a solução.
234 - Erro abrindo arquivo para spool – Esta mensagem indica que o proxy POP3 transparente
não conseguiu abrir o arquivo temporário para salvar a mensagem.
117 - Erro ao conectar com servidor de antivírus – Esta mensagem indica que o firewall não
conseguiu se conectar ao servidor de antivírus que estaria rodando em uma determinada
máquina. A mensagem complementar indica o nome do servidor que não pode ser conectado
e o endereço IP que ele supostamente estaria rodando.
231 - Erro conectando-se ao servidor POP3 – Esta mensagem indica que o proxy POP3
transparente não consegui estabelecer a conexão com o servidor. Provavelmente o endereço
está errado ou o servidor está fora do ar.
118 - Erro de comunicação com servidor de antivírus – Esta mensagem indica que o firewall
conseguiu se conectar ao servidor de antivírus, porém não conseguiu estabelecer uma
comunicação. A mensagem complementar indica o nome do agente antivírus que provocou
o problema e o endereço IP da máquina onde ele está rodando.
na configuração do agente antivírus. Para maiores informações, veja o capítulo intitulado
Cadastrando Entidades
228 - Erro enviando dados ao cliente POP3 – Esta mensagem indica que o proxy POP3
transparente encontrou um erro de conexão ao enviar dados para o cliente. As mensagens
complementares informam qual a conexão em questão.
229 - Erro enviando dados ao servidor POP3 – Esta mensagem indica que o proxy POP3
transparente encontrou um erro de conexão ao enviar dados ao servidor. As mensagens
1130
235 - Erro gravando dados no arquivo – Esta mensagem indica que o proxy POP3
transparente encontrou um erro ao gravar a mensagem em espaço de armazenamento
temporário.
227 - Erro recebendo dados do cliente POP3 – Esta mensagem indica que o proxy POP3
transparente encontrou um erro de conexão ao receber dados do cliente. As mensagens
226 - Erro recebendo dados do servidor POP3 – Esta mensagem indica que o proxy POP3
transparente encontrou um erro de conexão ao receber dados do servidor. As mensagens
236 - Falta de espaço gravando arquivo – Esta mensagem indica que faltou espaço em disco
para o proxy POP3 transparente gravar as mensagens recebidas.
092 - Mensagem descartada por causa de seu anexo – Esta mensagem indica que uma
mensagem tinha um anexo inaceitável (veja suas regras) e foi bloqueada pelo proxy SMTP do
Firewall. O complemento da mensagem indica quem são o remetente e o destinatário da
mensagem.
230 - Resposta inválida do servidor POP3 – Esta mensagem indica que o proxy POP3
transparente recebeu uma resposta incorreta do servidor. As mensagens complementares
informam que resposta foi esta
232 - Servidor POP3 recusou a conexão – Esta mensagem indica que o proxy POP3
transparente conectou-se ao servidor e este informou estar fora do ar.
 Proxy Real Áudio

1131
 Proxy RTSP
 Proxy SIP

firewall.
1132
Solução: Adquira mais memória RAM ou aumente as partições de swap
319 - Erro de parse do corpo SDP – Mensagem inválida no proxy SIP, os complementos dessa
mensagem informam o erro específico
273 - Erro de rede – Esta é uma mensagem genérica para erros de rede. Favor verificar os
complementos para maiores informações sobre sua causa.
338 - Erro na conexão SIP sobre TCP – Proxy SIP encontrou um erro durante a conexão. O
primeiro complemento detalha os erros que ocorreram.
293 - Ligação finalizada – Proxy SIP detectou o fim de uma ligação.
292 - Ligação iniciada – Proxy SIP detectou o início de uma ligação.
328 - Resposta para request nunca visto ou já expirado – O proxy SIP encontrou uma resposta
inesperada.
 Proxy SMTP
090 - Anexo com vírus removido – Esta mensagem indica que um anexo da mensagem
continha vírus e foi removido. O complemento da mensagem indica quem é o remetente e o
destinatário da mensagem, assim como o nome do vírus encontrado.
093 - Anexo continha vírus e foi desinfectado – Esta mensagem indica que um anexo da
mensagem continha vírus e foi desinfectado. O complemento da mensagem indica quem são
o remetente e o destinatário da mensagem, assim como o nome do vírus encontrado.
094 - Anexo incorretamente codificado (mensagem defeituosa) – Esta mensagem indica que
um anexo de mensagem está incorretamente codificado, ou seja, apresenta erro na
codificação do tipo MIME. Normalmente este arquivo pode ser descartado pelo firewall caso
o administrador configure a opção desejada. Para mais informações leia o capítulo intitulado
Configurando o proxy SMTP.
091 - Anexo removido – Esta mensagem indica que um anexo da mensagem foi removido. O
complemento da mensagem indica quem são o remetente e o destinatário da mensagem.
080 - Cliente SMTP enviou linha de tamanho excessivo – O cliente SMTP enviou uma linha
de tamanho muito grande que não pode ser tratada pelo proxy SMTP. Verifique se o cliente
segue a padronização da RFC ou ajuste o mesmo para tal.
081 - Cliente SMTP fechou conexão – O cliente SMTP fechou inesperadamente a conexão.
Isto pode ter acontecido por intervenção do próprio usuário ou por problemas do cliente.
Normalmente as conexões são restabelecidas automaticamente.

1133
074 - Comando inválido – Esta mensagem indica que um dos proxies recebeu um comando
considerado inválido da máquina cliente e devido a isso não o repassou para o servidor. As
mensagens complementares indicam qual o comando que tentou ser executado e quais as
máquinas de origem e destino (no caso de proxy transparente) da conexão.
078 - Conexão SMTP bloqueada por RBL – Esta mensagem indica que o proxy SMTP bloqueou
uma conexão devido ao servidor SMTP de origem estar inscrito em uma lista negra de
spammers.
077 - Conexão SMTP bloqueada por regra de DNS – Esta mensagem indica que o proxy SMTP
bloqueou uma conexão devido a uma regra do DNS. Para mais informações leia o capitulo
intitulado Configurando o proxy SMTP.
079 - Conexão SMTP recusada pelo servidor ou servidor fora do ar – Esta mensagem indica
que o proxy SMTP tentou uma conexão com o servidor SMTP de destino, porém o mesmo
pode ter recusado ou está fora do ar. Verifique se o servidor destino está no ar realizando um
telnet na porta 25 do mesmo.
085 - Endereço de e-mail inválido enviado pelo cliente SMTP – Esta mensagem indica que o
cliente SMTP não forneceu um endereço de e-mail em formato válido.
117 - Erro ao conectar com servidor de antivírus – Esta mensagem indica que o firewall não
conseguiu se conectar ao servidor de antivírus que estaria rodando em uma determinada
1134
115 - Erro de comunicação com servidor Spam Meter – Esta mensagem indica que o firewall
não conseguiu se conectar ao Spam Meter que estaria rodando em uma determinada
Entidades) e que o Spam Meter está realmente sendo executado na máquina em questão.
118 - Erro de comunicação com servidor de antivírus – Esta mensagem indica que o firewall
conseguiu se conectar ao servidor de antivírus, porém não conseguiu estabelecer uma
comunicação. A mensagem complementar indica o nome do agente antivírus que provocou
o problema e o endereço IP da máquina onde ele está rodando.
na configuração do agente antivírus. Para maiores informações, veja o capítulo intitulado
087 - Falta de espaço (disco cheio) para analisar mensagem – Esta mensagem indica que o
disco rígido do firewall está cheio. Tente esvaziar os arquivos de logs ou aumentar a
capacidade do disco para o firewall poder analisar a mensagem
075 - Mensagem SMTP aceita – Esta mensagem indica que o proxy SMTP transparente
aceitou uma mensagem e a enviou para o servidor. A mensagem complementar indica quais
as máquinas de origem e destino da conexão e quem são o remetente e o destinatário, da
mensagem.
DD/MM/AAAA HH:MM:SS <prioridade> <id> <modulo_gerador> Mensagem SMTP aceita

<email_origem> <email_destino> <ip_origem> <ip_destino> <tamanho_da_mensagem>
<nome_regra>
076 - Mensagem SMTP rejeitada – Esta mensagem indica que o proxy SMTP transparente
rejeitou uma mensagem recebida. Isto foi causado por ter a mensagem, se encaixado em
algum filtro que indicava que ela deveria ser rejeitada ou por ter um tamanho maior que o
tamanho máximo permitido.

1135
DD/MM/AAAA HH:MM:SS <prioridade> <id> <modulo_gerador> Mensagem SMTP rejeitada
<email_origem> <email_destino> <ip_origem> <ip_destino> <tamanho_da_mensagem>
<nome_regra>
299 - Mensagem aceita pela configuração do Spam Meter – Esta mensagem é gerada quando
uma mensagem de e-mail é aceita pelo proxy SMTP devido ter recebido uma nota do Spam
Meter cuja configuração do proxy indicou ao firewall para aceitá-la.
089 - Mensagem com erro de sintaxe – Esta mensagem indica que a mensagem SMTP estava
com erro de sintaxe dos comandos SMTP. Geralmente programas de spammers fazem com
que este erro aconteça.
092 - Mensagem descartada por causa de seu anexo – Esta mensagem indica que uma
mensagem tinha um anexo inaceitável (veja suas regras) e foi bloqueada pelo proxy SMTP do
Firewall. O complemento da mensagem indica quem são o remetente e o destinatário da
mensagem.
297 - Mensagem descartada por configuração do Spam Meter – Esta mensagem é gerada
quando uma mensagem de e-mail é descartada pelo proxy SMTP devido a ter recebido uma
nota do Spam Meter cuja configuração do proxy indicou ao firewall para descartá-la.
088 - Mensagem estourou tamanho máximo permitido – Esta mensagem indica que a
mensagem SMTP ultrapassou o tamanho máximo permitido. Verifique o capítulo Editando os
parâmetros de um contexto SMTP para aumentar o tamanho de recebimento da mensagem.
300 - Mensagem modificada para treinamento pelo Spam Meter – Esta mensagem é gerada
quando uma mensagem de e-mail é modificada pelo proxy SMTP para possibilitar seu
treinamento pelo destinatário a fim de melhorar a classificação de futuras mensagens do
Spam Meter.
298 - Mensagem rejeitada por configuração do Spam Meter – Esta mensagem é gerada
quando uma mensagem de e-mail é rejeitada pelo proxy SMTP devido a ter recebido uma
nota do Spam Meter cuja configuração do proxy indicou ao firewall para rejeitá-la.
082 - Servidor SMTP enviou linha de tamanho excessivo – O servidor SMTP enviou uma linha
de tamanho muito grande que não pode ser tratada pelo proxy SMTP. Verifique se o servidor
segue a padronização da RFC ou ajuste o mesmo para tal.

1136
083 - Servidor SMTP fechou conexão – O servidor SMTP fechou inesperadamente a conexão.
Isto pode ter acontecido por problemas de trafego excessivo ou erro no próprio servidor.
Normalmente as conexões são restabelecidas automaticamente. Se o problema está
ocorrendo com frequência tente aumentar os tempos de negociação do protocolo SMTP no
proxy.
086 - Tentativa de relay não permitido bloqueada – Esta mensagem indica que uma tentativa
de relay foi bloqueada pelo firewall. Verifique o capítulo Editando os parâmetros de um
contexto SMTP para liberar domínios permitidos para relay
 Proxy SOCKS
074 - Comando inválido – Esta mensagem indica que um dos proxies recebeu um comando
considerado inválido da máquina cliente e devido a isso não o repassou para o servidor. As
mensagens complementares indicam qual o comando que tentou ser executado e quais as
máquinas de origem e destino (no caso de proxy transparente) da conexão.
105 - Conexão TCP estabelecida por meio do proxy SOCKS – Essa mensagem indica que o
proxy SOCKS recebeu uma solicitação de estabelecimento de uma conexão TCP e a mesmo
foi estabelecida, devido a existência de uma regra no perfil de acesso correspondente
indicando que o proxy poderia fazê-lo.
As mensagens complementares indicam o nome do usuário que estabeleceu a conexão (se a

autenticação de usuários estiver habilitada), o endereço do cliente e o endereço para o qual
a conexão foi estabelecida.
106 - Conexão TCP finalizada por meio do proxy SOCKS – Essa mensagem é gerada todas as
vezes que uma conexão TCP é finalizada por meio do proxy SOCKS.
As mensagens complementares indicam o nome do usuário que havia estabelecido a conexão

(se a autenticação de usuários estiver habilitada), o endereço do cliente e o endereço para o
qual a conexão foi estabelecida.
107 - Conexão TCP recusada pelo proxy SOCKS – Essa mensagem indica que o proxy SOCKS
recebeu uma solicitação de estabelecimento de uma conexão TCP e a mesmo foi recusada,
devido a existência de uma regra no perfil de acesso correspondente indicando que o proxy
não deveria aceitar tal conexão.
As mensagens complementares indicam o nome do usuário que solicitou a conexão (se a

autenticação de usuários estiver habilitada), o endereço do cliente e o endereço de destino.
108 - Dados incorretos recebidos pelo proxy SOCKS – Essa mensagem é gerada quando o
proxy SOCKS recebe dados do cliente em desacordo com a especificação do protocolo SOCKS.

1137
Exemplos de dados inválidos podem ser uma versão do protocolo diferente de 4 ou 5, um
endereço destino em branco, entre outros.
066 - Nome de perfil de acesso inválido – Esta mensagem indica que o servidor de
autenticação ao procurar o perfil de acesso de um usuário constatou que o mesmo não se
encontra cadastrado no sistema.
1138
103 - Pacote UDP aceito pelo proxy SOCKS – Essa mensagem indica que o proxy SOCKS
recebeu uma solicitação de envio de um pacote UDP e o mesmo foi enviado, devido a
existência de uma regra no perfil de acesso correspondente indicando que o proxy poderia
fazê-lo.
As mensagens complementares indicam o nome do usuário que enviou o pacote (se a

autenticação de usuários estiver habilitada), o endereço do cliente e o endereço destino.
104 - Pacote UDP recusado pelo proxy SOCKS – Essa mensagem indica que o proxy SOCKS
recebeu uma solicitação de envio de um pacote UDP e o mesmo foi recusado, devido a
existência de uma regra no perfil de acesso correspondente indicando que o proxy não
deveria aceitar tal requisição.
As mensagens complementares indicam o nome do usuário que tentou enviar o pacote (se a
autenticação de usuários estiver habilitada), o endereço do cliente e o endereço destino.
102 - Pacote fora das regras do proxy SOCKS – Essa mensagem indica que o proxy SOCKS
recebeu uma solicitação de abertura de conexão TCP ou de envio de pacote UDP e a mesma
não se encaixou em nenhuma regra de filtragem do perfil de acesso correspondente. Devido
a isso a solicitação foi recusada.
As mensagens complementares indicam o nome do usuário que enviou a requisição (se a

autenticação de usuários estiver habilitada), o endereço do cliente, o endereço destino da
requisição e seu protocolo.
209 - Recebendo número do pipe do kernel – Esta mensagem indica que um proxy não
conseguiu descobrir quais eram o pipe e o acumulador para uma conexão, visto que tiveram
problemas de comunicação com o Kernel.

1139
 Proxy SSL
275 - Conexão TCP aceita pelo proxy SSL – Esta mensagem indica que o firewall recebeu uma
conexão de Proxy SSL e a aceitou.
316 - Conexão TCP em segundo endereço IP recusada pelo proxy SSL – Esta mensagem indica
que um mesmo usuário tentou se conectar ao mesmo tempo na Proxy SSL a partir de duas
máquinas distintas e o firewall estava configurado para não permitir tal acesso.
276 - Conexão TCP recusada pelo proxy SSL – Essa mensagem indica que o proxy SOCKS
recebeu uma solicitação de estabelecimento de uma conexão TCP e a mesmo foi recusada,
devido a existência de uma regra no perfil de acesso correspondente indicando que o proxy
não deveria aceitar tal conexão.
As mensagens complementares indicam o nome do usuário que solicitou a conexão (se a

autenticação de usuários estiver habilitada), o endereço do cliente e o endereço de destino.
274 - Conexão fora das regras de perfil do proxy SSL – Esta mensagem indica que um usuário
tentou acessar o proxy SSL mas não havia nenhuma regra autorizando seu acesso.
149 -Erro ao carregar pseudo-grupos – Esta mensagem indica que o firewall não conseguiu
carregar a lista de pseudo-grupos das autoridades certificadoras.

1140
firewall.
273 - Erro de rede – Esta é uma mensagem genérica para erros de rede. Favor verificar os
complementos para maiores informações sobre sua causa.
066 - Nome de perfil de acesso inválido – Esta mensagem indica que o servidor de
autenticação ao procurar o perfil de acesso de um usuário constatou que o mesmo não se
encontra cadastrado no sistema.
 Proxy TELNET

1141
fazer isso, contate o suporte técnico
129 - Sessão telnet estabelecida – Esta mensagem indica que um usuário se autenticou
corretamente no proxy telnet e tinha permissão para efetuar a conexão desejada. Devido a
isso, a conexão foi estabelecida. As mensagens complementares indicam o nome do usuário
e as máquinas de origem e destino da conexão.
130 - Sessão telnet finalizada – Esta mensagem indica que um usuário se desconectou de
uma sessão telnet. As mensagens complementares indicam o nome do usuário e as máquinas
de origem e destino da conexão.

1142
128 - Usuário sem permissão para telnet – Esta mensagem indica que um usuário se
autenticou corretamente no proxy telnet porém não tinha permissão de efetuar a conexão
desejada. As mensagens complementares indicam o nome do usuário e as máquinas de
origem e destino da conexão.
 Retreinamento para Spam Meter
321 - Erro ao conectar no servidor Spam Meter – Erro ao se comunicar com o processo
responsável por treinar mensagens SMTP. Verifique suas configurações de Spam Meter e
tente novamente.
firewall.
320 - Finalização de treinamento de mensagem – Treinamento de mensagem SMTP

finalizada com sucesso. O complemento da mensagem mostra o tipo classificado e a nota
obtida.
 Secure Roaming
256 - Aviso importante do Secure Roaming – Esta é uma mensagem com prioridade aviso
gerada pelo Secure Roaming. Verifique os complementos para maiores informações.

1143
255 - Informação do Secure Roaming – Esta é uma mensagem com prioridade informação
254 - Mensagem de debug do Secure Roaming – Esta é uma mensagem com prioridade
depuração gerada pelo Secure Roaming. Verifique os complementos para maiores
informações.
257 - O Secure Roaming encontrou um erro – Esta é uma mensagem com prioridade erro
258 - O Secure Roaming encontrou um erro fatal – Esta é uma mensagem com prioridade
erro fatal gerada pelo Secure Roaming. Verifique os complementos para maiores
informações.
 Servidor de Acesso
148 - Conflito de versão de cliente de autenticação – Durante a autenticação, foi encontrada

uma versão de um cliente de autenticação que não permite que outros usuários sejam
autenticados.
149 - Erro ao carregar pseudo-grupos – Esta mensagem indica que o firewall não conseguiu

1144
firewall.
364 - Excesso de tentativas de logon incorreto – Evento é gerado quando um usuário por
meio do Aker Client ou Cliente Java erra o usuário ou a senha 5 vezes. Seu Ip é bloqueado por
49 minutos.
143 - Falha de autenticação para perfil de acesso – Esta mensagem indica que um usuário
informou uma senha inválida ao tentar se logar no firewall utilizando o Cliente de
Autenticação Aker. As mensagens complementares indicam o nome do usuário e a máquina
de origem da requisição

1145
147 - Requisição de perfil de acesso inválida – Esta mensagem, que pode ter várias causas,
indica que o servidor de login de usuários recebeu uma requisição inválida de um Cliente de
Autenticação Aker.
As mensagens complementares indicam qual a causa do problema e o endereço da máquina

de origem da requisição.
145 - Sessão de perfil de acesso estabelecida – Esta mensagem indica que um usuário se
logou corretamente no firewall utilizando o Cliente de Autenticação Aker. As mensagens
complementares indicam o nome do usuário que estabeleceu a sessão e a máquina a partir
da qual a sessão foi estabelecida
146 - Sessão de perfil de acesso finalizada – Esta mensagem indica que um usuário finalizou
uma sessão no firewall estabelecida por meio do Cliente de Autenticação Aker. As mensagens
complementares indicam o nome do usuário que finalizou a sessão e a máquina a partir da
qual a sessão foi finalizada.
144 - Usuário não cadastrado para perfil de acesso – Esta mensagem indica que um usuário
não cadastrado tentou se logar no firewall utilizando o Cliente de Autenticação Aker. A
mensagem complementar indica a máquina de origem da requisição.
 Servidor de autenticação
149 - Erro ao carregar pseudo-grupos – Esta mensagem indica que o firewall não conseguiu
Erro ao conectar com agente de autenticação –

1146
firewall.
111 - Erro de comunicação com agente de autenticação – Esta mensagem indica que o
servidor de autenticação conseguiu se conectar ao agente de autenticação, porém não
conseguiu estabelecer uma comunicação. A mensagem complementar indica o nome do
agente de autenticação que provocou o problema.
Solução: Verifique se a senha de acesso na definição do autenticador está igual à senha

colocada na configuração do agente de autenticação. Para maiores informações, veja o
capítulo intitulado Cadastrando Entidades.
 SpamMeter integrado
308 - Aviso importante do Spam Meter – Esta é uma mensagem com prioridade de aviso
gerada pelo Spam Meter. Verifique os complementos para maiores informações.
307 - Informação do Spam Meter – Esta é uma mensagem com prioridade de informação
309 - Mensagem de alerta do Spam Meter – Esta é uma mensagem com prioridade de alerta
311 - Mensagem de debug do Spam Meter – Esta é uma mensagem com prioridade de
depuração gerada pelo Aker Web Content Analyzer. Verifique os complementos para maiores
informações.

1147
310 - O Spam Meter encontrou um erro – Esta é uma mensagem com prioridade de erro
45.3. Formato de exportação de logs e eventos
O formato dos dados exportados segue esta sequência:
<TAG> <MSG1> <MSG2> <DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA
MENSAGEM, MSG1, MSG2>
Exemplo de um evento gerado pelo Filtro Web:
URL_ACEITA Usuário/Autenticado, Perfil ip Origem, host

19/01/2010,13:45:31,Info,095,Proxy HTTP,URL aceita,thiago.chaves/AD ,Suporte
Técnico,10.2.0.243,http://189.22.237.40/
45.4. Eventos gerados pelo Filtro Web
TAG MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MÓDULO, TEXTO DA MENSAGEM,
MSG1, MSG2
ERRO_AUTH_PROXY Usuário/Autenticado ip Origem 16/01/2010,15:28:51,Info,340,

Proxy HTTP, Falha de autenticação para proxy, rodrigo.aranha/AD,source: 10.4.0.186
NÃO_CADASTRADO_PROXY NULL ORIGEM 16/01/2010,15:28:51,Info,340, Proxy

HTTP, Usuário não cadastrado para proxy, source: 10.4.0.186
HTTP_VIRUS_CLEANED NOME DO VIRUS URL do vírus

20/01/2010,10:43:17,Warning,246,Proxy HTTP, Arquivo com vírus
desinfectado,EICAR_Test,http://www.eicar.org/download/eicarcom2.zip

1148
HTTP_VIRUS_BLOCKED NOME DO VIRUS URL do vírus
20/01/2010,10:43:17,Warning,247,Proxy HTTP,Arquivo com vírus
bloqueado,EICAR_Test,http://www.eicar.org/download/eicarcom2.zip
HTTP_VIRUS_NS_CORRUPT NULL URL do Virus 20/01/2010,10:43:17,Warning,248,Proxy

HTTP, Arquivo não pode ser analisado pois estava corrompido,
http://www.eicar.org/download/eicarcom2.zip
HTTP_VIRUS_NS_CRYPT NULL URL do Virus 20/01/2010,10:43:17,Warning,249,Proxy

HTTP, Arquivo não pode ser analisado pois estava cifrado,
http://www.eicar.org/download/eicarcom2.zip
HTTP_DOWNLOAD_ACCOUNTING Usuário/Autenticado - Perfil Origem IP - Destino IP e

URL 19/01/2010,08:41:05,Info,341, Proxy HTTP,Contabilidade de tráfego HTTP
(downloads), recepção/AD - 0.102 s,Up 175 B - Dw 285 B URL: http://www.google.com/
HTTP_WWW_ACCOUNTING Usuário/Autenticado - Perfil Origem IP - Destino IP e URL

16/01/2010,15:28:51,Info,340, Proxy HTTP, Contabilidade de trafego HTTP (WWW),
rodrigo.aranha/AD - 0.933 s,Up 424 B - Dw 562 B URL: http://www.google.com/
QUOTA_EXPIRED_BYTES Usuário/Autenticado - Perfil Origem IP - Destino IP e URL

19/01/2010,13:45:31, Notice,326,Proxy HTTP,Quota de bytes expirado,lidia.silva/AD
- Adminsitrativo,Origem: 10.0.0.229 Destino: 74.125.45.86 URL: http://www.google.com
QUOTA_EXPIRED_TIME Usuário/Autenticado - Perfil Origem IP - Destino IP e URL

19/01/2010,13:45:31,Notice,326, Proxy HTTP,Quota de tempo expirada,lidia.silva/AD
- Adminsitrativo, Origem: 10.0.0.229 Destino: 74.125.45.86 URL: http://www.google.com
QUOTA_INSUFFICIENT_BYTES Usuário/Autenticado - Perfil Origem IP - Destino IP e

URL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de bytes insuficiente para a

1149
operação,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229 Destino: 74.125.45.86 URL:
http://www.google.com
URL_ACEITA Usuário/Autenticado, Perfil ip Origem,host

19/01/2010,13:45:31,Info,095,Proxy HTTP,URL aceita,thiago.chaves/AD ,Suporte
Técnico,10.2.0.243,http://189.22.237.40/
URL_REJEITADA Usuário/Autenticado, Perfil ip Origem,host

19/01/2010,13:43:34,Notice,097 Proxy HTTP,URL rejeitada,lidia.silva/AD
,Adminsitrativo,10.0.0.229,http://www.google.com
URL_BANNER Usuário/Autenticação - Perfil Origem: IP Destino: IP URL: URL

19/01/2010,08:49:19,Notice,098, Proxy HTTP,Banner
removido,apoio.administrativo/AD - Adminsitrativo,Origem: 10.0.0.234 Destino:
64.233.163.149 URL:
http://ad.doubleclick.net/adi/gna.br/homepage;tile=4;sz=234x100;ord=196681?area
ERRO_CON_ANALISADOR IP do analizador NULL 27/01/2010,19:38:24,Error,119,

Proxy HTTP,Erro ao conectar com Web Content Analyzer,127.0.0.1,
QUOTA_COMM_ERR quota read: retorno e erro NULL

19/01/2010,18:42:01,Warning,324,Proxy HTTP,Erro de comunicação com o servico
de quotas,quota read: -3 25,
NÃO_LEU_ACL NULL 19/01/2010,18:42:01,Error,64,Proxy HTTP,Erro ao

carregar perfis de acesso,
NÃO_LEU_CATLIST Retorno da função e errno NULL

19/01/2010,18:16:01,Error,323,Erro carregando lista de categorias, -2 34
QUOTA_INIT_ERR socket, errno NULL 20/01/2010,11:28:56,Error,318,Proxy MSN

Messenger,Erro conectando ao servico de quotas, 7 13,
1150
ERRO_SERV_AUTH connect (errno) NULL 20/01/2010,11:28:56,Error,109,Proxy
MSN Messenger,Erro ao comunicar com servidor de autenticação, connect (10),
v_auth NULL 20/01/2010,11:28:56,Error,109,Proxy MSN Messenger,Erro ao

comunicar com servidor de autenticação,v_auth,
45.5. Eventos gerados pelo Proxy MSN
MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA MENSAGEM,
MSG1, MSG2
IP – Profissão Passaportes Usuário->com quem [Tempo de conversa] \nNome do

Usuário\Autenticação 27/01/2010,19:03:34,Info,279, Proxy MSN Messenger,
Conversação do MSN Messenger finalizada,IP: 192.168.222.254 - Prof: Suporte
Técnico,Passports: diogo.falcomer@gmail.com -> pablo_viana@hotmail.com [00:01:15]
Username: diogo.falcomer/AD
IP – Profissão Passaporte [Tempo de conversa] \nNome do Usuário\Autenticação

27/01/2010,19:23:24,Info,290, Proxy MSN Messenger, Usuário saiu do MSN
Messenger, IP: 10.3.0.6 - Prof: Suporte Técnico, Passport: edilson.moura@aker.com.br
[00:07:53] Username: edilson.moura/AD
Cannot connect Server : IP 27/01/2010,19:23:30,Warning,350,Proxy MSN

Messenger, Erro no antivírus, Cant Connect, Server:xxx.xxx.xxx.xxx
av_auth Unable to auth 27/01/2010,19:23:30,Warning,350,Proxy MSN

Messenger,Erro no antivírus,av_auth,Unable to auth
av_greeting_hCan't receive server greeting header 27/01/2010,19:23:30,Warning,350,Proxy

MSN Messenger,Erro no antivírus,av_greeting_h,Can't receive server greeting headert
av_greeting_bCan't receive server greeting body 27/01/2010,19:23:30,Warning,350,Proxy

MSN Messenger,Erro no antivírus,av_greeting_b,Can't receive server greeting body
av_send_file Can't send file to AV 27/01/2010,19:23:30,Warning,350,Proxy MSN

Messenger,Erro no antivírus,av_send_file,Can't send file to AV

1151
av_get_answer Can't get answer from AV 27/01/2010,19:23:30,Warning,350,Proxy
MSN Messenger,Erro no antivírus,av_get_answer, Can't get answer from AV
av_get_answer Error on answer received 27/01/2010,19:23:30,Warning,350,Proxy

MSN Messenger,Erro no antivírus, Error on answer received
IP: - TimeOut: Passaporte: \nNome do Usuário\Autenticação

27/01/2010,18:18:30,Notice,286, Proxy MSN Messenger, Conexão encerrada por
timeout,IP: 10.2.0.217 - Timeout: 600 s,Passport: edilson.moura@aker.com.br Username:
edilson.moura/AD
sendto Error: inteiro Errno: inteiro 20/01/2010,12:38:49,Warning,109, Proxy MSN

Messenger,Erro ao comunicar com servidor de autenticação,sendto,error: -3 errno: 11
find Prof: nome da profissão 20/01/2010,12:38:49,Warning,109, Proxy MSN

Messenger,Erro ao comunicar com servidor de autenticação,find,Suporte Técnico
IP – Profissão Passaporte: \nNome do Usuário\Autenticação

20/01/2010,12:36:44,Info,289,Proxy MSN Messenger, Usuário entrou no MSN
Messenger, IP: 10.0.0.232 - Prof: Adminsitrativo, Passport: diego.fernandes@aker.com.br
Username: recepção/AD
From Cliente ou Servidor , Ret: erro Mensagem 15/01/2010,17:39:57,Error,287,Proxy

MSN Messenger,Erro analisando a mensagem,from server, ret = -43,MSG
madanovavida2009@hotmail.com [i] [b]
Mada..."HOJE%20tudo%20SERÃ<83>Â<81>%20para%20SEMPRE...” [/b] [/i] 248^M
File infected FILENAME 20/01/2010,12:36:44,Warning,348,Proxy MSN

Messenger,Arquivo infectado foi bloqueado, File Infected,trojan.exe
File clean FILENAME 20/01/2010,16:16:58,Info,349,Proxy MSN Messenger,Arquivo

não tem virus,File clean,chines.TXT

1152
session id: SESSION ID 25/01/2010,19:34:35,Warning,345,Proxy MSN Messenger,
Pacote de transferência de arquivo não consta na lista de transferências ativas, session
id:,2628610983
nome da função Empty File! Sess_d: ID 20/01/2010,16:16:59,Error,346,Proxy

MSN Messenger,Erro interno no proxy messenger,msn_get_msnp2p_data,Empty file!
Sess_id: 26192345
nome da função Out of order packet! Current: pkg, Expected: pkg

20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxy
messenger,msn_get_msnp2p_data,Out of order packet! Current:current_pkg Expected:
Expected_
nome da função "Error on fork! Numero da Linha

20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxy
messenger,msn_get_msnp2p_data,Error on fork! Line: 2736
unable to write on disk! errno: INTEIRO 20/01/2010,16:16:59,Error,347,Proxy

MSN Messenger,Proxy messenger não pode salvar o arquivo em disco,unable to write on disk,
errno: 34
Nome do arquivo (tamanho) – Prof: profissão. Passaportes Usuário->com quem \nNome

do Usuário\Autenticação 20/01/2010,11:43:39,Info,282,Proxy MSN Messenger, Convite
para transferência de arquivo via MSN Messenger permitido,'messages_20jan10.RAR' (87976
bytes) - Prof: Suporte Té,Passports: victor.aker@hotmail.com -> thiago.divino@gmail.com
Username: victor.rossi/AD
Nome do arquivo (tamanho) – Prof: profissão. Passaportes Usuário->com quem \nNome

do Usuário\Autenticação 20/01/2010,15:45:42,Notice,283,Proxy MSN Messenger,
Transferência de arquivo via MSN Messenger bloqueada,'VPNs.DOC' (569856 bytes) - Prof:
Suporte Técnico,Passports: edilson.moura@aker.com.br -> lucas.pereira@aker.com.br
Username: edilson.moura/AD
id de um serviço do msn – Prof: Profissão Passaportes Usuário->com quem \nNome do

Usuário\Autenticação 20/01/2010,15:45:42,Info,283,Convite para uso de aplicativo

1153
via MSN Messenger permitido, transferência de arquivo - Prof: Suporte Técnico,Passports:
edilson.moura@aker.com.br -> lucas.pereira@aker.com.br Username: edilson.moura/AD
id de um serviço do msn – Prof: Profissão Passaportes Usuário->com quem \nNome do

Usuário\Autenticação 20/01/2010,15:45:42,Notice,284,Uso de aplicativo via MSN
Messenger não permitido, jogo - Prof: Suporte Técnico,Passports:
edilson.moura@aker.com.br -> lucas.pereira@aker.com.br Username: edilson.moura/ADse
IP – Profissão Passaportes Usuário->com quem \nNome do Usuário\Autenticação

20/01/2010,11:28:56,Notice,278,Proxy MSN Messenger, Conversação do MSN
Messenger bloqueada,IP: 10.0.0.234 - Prof: Adminsitrativo,Passports:
josimar_hip@yahoo.com -> recepcao@aker.com.br Username: apoio.administrativo/AD
IP – Profissão Passaportes Usuário->com quem \nNome do Usuário\Autenticação

20/01/2010,11:27:44,Info,277,Proxy MSN Messenger, Conversação do MSN
Messenger iniciada, IP: 10.2.0.204 - Prof: Suporte Técnico,Passports:
victor.aker@hotmail.com -> vlandemir@msn.com Username: victor.rossi/AD
IP – Profissão Passaporte do Usuário \nNome do Usuário\Autenticação

20/01/2010,11:27:44,Notice,291,Proxy MSN Messenger, Usuário sem permissão
tentou entrar no MSN Messenger,10.4.0.19 – Prof: Estagiário, bruno.lobo@aker.com.br
bruno.lobo/AD
IP – Profissão Passaporte do Usuário \nNome do Usuário\Autenticação

20/01/2010,11:27:44,Notice,281,Proxy MSN Messenger, Notificação do Hotmail
bloqueada,10.4.0.19 – Prof: Estagiário, bruno.lobo@aker.com.br bruno.lobo/AD
NULL IP do servidor : porta do servidor 19/01/2010,18:42:01,Warning,288,Proxy MSN

Messenger, Servidor MSN Messenger não responde,65.54.52.254:1863
clfwquota_test_and_consume(): retorno e erro NULL

19/01/2010,18:42:01,Warning,324,Proxy MSN Messenger,Erro de comunicação com
o servico de quotas,clfwquota_test_and_consume(): -3 25,
1154
clfwquota_read(): NULL 19/01/2010,18:42:01,Warning,324,Proxy MSN Messenger,Erro
de comunicação com o servico de quotas,clfwquota_read(): -3 25,
NULL NULL 20/01/2010,11:28:56,Notice,314,Proxy MSN Messenger,Quota de bytes

expirada,
NULL NULL 20/01/2010,11:28:56,Notice,316,Proxy MSN Messenger,Quota de tempo

expirada,
socket, errno NULL 20/01/2010,11:28:56,Error,318,Proxy MSN Messenger,Erro

conectando ao servico de quotas, 7 13,
45.6. Eventos gerados pelo Proxy POP3
TAG MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA
MENSAGEM, MSG1, MSG2
POP3_SRV_RCV Source (IP) -> Destino(IP:Porta) CMD: recv

27/01/2010,19:23:30,Warning,226,Proxy POP3,Erro recebendo dados do servidor
POP3,10.4.0.19 -> 10.4.0.186:1080,CMD: recv
CMD: fcntl
POP3_LINE_TOO_LONG Sourec (IP) -> Destino(IP:Porta) Texto digitado pelo cliente

de POP3
POP3_CLI_RCV Sourec (IP) -> Destino(IP:Porta) CMD: fcntl
CMD: recv
POP3_CLI_SND Sourec (IP) -> Destino(IP:Porta) NULL

1155
POP3_SRV_SND Sourec (IP) -> Destino(IP:Porta) Texto digitado pelo cliente de
POP3
POP3_SRV_INVALID_ANSWER Sourec (IP) -> Destino(IP:Porta) Texto digitado pelo

cliente de POP3
POP3_SRV_CONNECT Sourec (IP) -> Destino(IP:Porta) NULL
POP3_SRV_NOT_AVAIL Sourec (IP) -> Destino(IP:Porta) Texto digitado pelo cliente

de POP3
POP3_INVALID_CMD Sourec (IP) -> Destino(IP:Porta) Texto digitado pelo cliente de

POP3
POP3_OPEN_FILE Sourec (IP) -> Destino(IP:Porta) (erro) nome do arquivo
POP3_WRITE_FILE Sourec (IP) -> Destino(IP:Porta) nome do arquivo
POP3_OUT_OF_SPACE Sourec (IP) -> Destino(IP:Porta) nome do arquivo
POP3_MIME_ERROR Sourec (IP) -> Destino(IP:Porta) errno
POP3_STLS_MODE Sourec (IP) -> Destino(IP:Porta) NULL
45.7. Eventos gerados pelo Proxy SMTP

1156
MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA MENSAGEM, MSG1,
MSG2
Source: IP – Destination:IP \nFrom: EMAIL – To: EMAIL

27/01/2010,19:23:30,Warning,226,Proxy SMTP,Mensagem SMTP aceita,Mensagem
enviada,Source 10.4.0.19 – Destination: 10.4.0.18\nFrom bruno.l
bruno.lobo2@aker.com.brobo@aker.com.br - To:
Source: IP – Destination:IP
Source: IP – Destination:IP
Source: IP - Destination:IP

1157
Regra: Nome da regra
Regra: Nome da regra
,3Source: IP – Destination:IP \nFrom: EMAIL – To: EMAIL
Source: IP – Destination:IP- Size: Tamanho\nFrom: EMAIL – To: EMAIL
Source: IP – Destination:IP- Size: Tamanho\nFrom: EMAIL – To: EMAIL
45.8. Eventos gerados pelo Módulo de IDS/IPS e filtro de aplicativos
MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA MENSAGEM,
MSG1, MSG2
op = INT, errno = INT NULL 27/01/2010,19:23:30,Warning,Analise profunda e IDS

interno,Erro ao enviar dados para o kernel do Firewall, op = 1, errno = 34,
“IDS rule” NULL

1158
“Commit” st: INT num: INT errno: INT
origem: IP ORIGEM, temp: EM HORA “Modulo de IDS/IPS”\nRaso(STRING)
origem: IP ORIGEM, temp: EM HORA “Modulo de filtragem de

aplicativos”\nRaso(STRING)
Pipe Name(STRING), PESO(STRING) (IP:PORTA) -> (IP:PORTA)
(IP:PORTA) -> (IP:PORTA) NULL
Retorno da função(INT), ERRNO(INT) NULL
NULL (INT) Pacotes perdidos em (INT) segundos
NULL (INT)TAMANHO DO PACOTE < (INT) TAMANHO DO PACOTE IP
NULL NULL
Err: Retorno(INT) Errno(INT) NULL
Aonde ocorreu o erro(STRING) Motivo (STRING)
Aonde ocorreu o erro(STRING) Motivo (STRING)
“Filters applied successfully” NULL
"avisando" NULL

1159
“not start slave” NULL
“Download started (master)” NULL
"Filters applied successfully (slave)" NULL
Nome do arquivo (STRING) “updates"
“updates" sk: (INT), st: (INT), err: (INT), errno: (INT)"
“errno: ” (INT) NULL
"expiration" sk: (INT), st: (INT), err: (INT), errno: (INT)"
Err: Retorno(INT) Errno(INT)
Regras do perfil: Nome(STRING) Err: Retorno(INT)
NULL Motivo (STRING)
Err: Retorno(INT) Errno(INT)
45.9. Eventos gerados pelo Aker Antivírus Module
Tipo de mensagem Complemento 1 Complemento 2
Information
License expiration date updated successfully NULL

02/04/2010,17:24:03,Informação do Antivírus, License expiration date updated
successfully,

1160
Engine successfully loaded Engine(Kaspersky)
02/04/2010,17:24:03,Informação do Antivírus, Engine successfully loaded.
Update installed successfully Nome do arquivo

02/04/2010,17:24:03,Informação do Antivírus, Update installed
successfully,update.tar
License applied successfully NULL 02/04/2010,17:24:03,Informação do

Antivírus, License applied successfully,
Configuration applied NULL 02/04/2010,17:24:03,Informação do

Antivírus,Configuration,applied
Patch/hotfix applied successfully Hora de aplicação

02/04/2010,17:24:03,Informação do Antivírus,Patch/hotfix applied successfully,Wed
Feb 3 14:24:04 2010
Patch/hotfix rollback applied successfully Hora de aplicação

02/04/2010,17:24:03,Informação do Antivírus,Patch/hotfix rollback applied
successfully,Wed Feb 3 14:24:04 2010
User authenticated PID do processo que esta logando

02/04/2010,17:24:03,Informação do Antivírus,User authenticated,1964
Signatures database backup loaded NULL 02/04/2010,17:24:03,Informação

do Antivírus, Signatures database backup loaded,
Manual update started Hora de aplicação

02/04/2010,17:24:03,Informação do Antivírus, Manual update started,Wed Feb 3
14:24:04 2010
Signatures database already updated Hora de aplicação

02/04/2010,17:24:03,Informação do Antivírus, Signatures database already
updated,Wed Feb 3 14:24:04 2010
Automatic update started Hora de aplicação

02/04/2010,17:24:03,Informação do Antivírus, Automatic update started,Wed Feb 3
14:24:04 2010
Update file downloaded successfully Download file Name(STRING)

02/04/2010,17:24:03,Informação do Antivírus, Update file downloaded
successfully,Download.tar.bz2
Notice

1161
License not found NULL 02/03/2010,15:34:19,Aviso importante do
Antivírus, License not found,
File is corrupted PID do processo que esta logando

02/03/2010,15:34:19,Aviso importante do Antivírus,File is corrupted,123456
File is encrypted PID do processo que esta logando

02/03/2010,15:34:19,Aviso importante do Antivírus,File is encrypted,123456
Virus found Nome do vírus(STRING) PID do processo que esta logando

02/03/2010,15:34:19,Aviso importante do Antivírus, Virus found,virus.txt 123465
Configuration file not found, default loaded NULL

02/03/2010,15:34:19,Aviso importante do Antivírus, Configuration file not found,
default loaded,
Update already in progress NULL 02/03/2010,15:34:19,Aviso importante

do Antivírus, Update already in progress,
Update canceled NULL 02/03/2010,15:34:19,Aviso importante do

Antivírus, Update canceled,
Error
Scan error PID do processo que esta logando 02/03/2010,15:34:19,O

Antivírus encontrou um erro,Scan error,123465
Error changing license expiration date NULL 02/03/2010,15:34:19,O

Antivírus encontrou um erro,Error changing license expiration date,
No engine loaded NULL 02/03/2010,15:34:19,O Antivírus encontrou um

erro,No engine loaded,
Error applying license NULL 02/03/2010,15:34:19,O Antivírus encontrou um

erro,Error applying license,
Connection lost with daemon “Engined” 02/03/2010,15:34:19,O

Antivírus encontrou um erro,Connection lost with daemon,Engined
Connection lost with daemon “Service” 02/03/2010,15:34:19,O

Antivírus encontrou um erro,Connection lost with daemon, Service

1162
Warning
Error loading engine Engine(Kaspersky) 02/02/2010,09:24:04,Mensagem

de alerta do Antivírus, Error loading engine, Kaspersky
Error installing update Nome do arquivo

02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error installing
update,update.db
Error applying configuration NULL 02/02/2010,09:24:04,Mensagem de

alerta do Antivírus, Error applying configuration,
Error applying patch/hotfix Hora de aplicação

02/02/2010,09:24:04,Mensagem de alerta do Antivírus, Error applying patch/hotfix,
Wed Feb 3 14:24:04 2010
Error trying patch/hotfix rollback Hora de aplicação

02/02/2010,09:24:04,Mensagem de alerta do Antivírus, Error trying patch/hotfix
rollback, Wed Feb 3 14:24:04 2010
Error getting system information NULL 02/02/2010,09:24:04,Mensagem

de alerta do Antivírus, Error getting system information,
Error getting patch/hotfix history NULL 02/02/2010,09:24:04,Mensagem

de alerta do Antivírus, Error getting patch/hotfix history,
Error authenticating user PID do processo que esta logando

02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error authenticating
user,123456
Signatures database corrupted NULL 02/02/2010,09:24:04,Mensagem

de alerta do Antivírus, Signatures database corrupted,
Error loading signatures database backup NULL

02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error loading signatures
database backup,
Error communicating with client IP 02/02/2010,09:24:04,Mensagem

de alerta do Antivírus,Error communicating with client,10.4.0.19
Error loading signatures database backup NULL

02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error loading signatures
database backup,
Update not allowed: Invalid license NULL 02/02/2010,09:24:04,Mensagem

de alerta do Antivírus, Update not allowed: Invalid license,

1163
Update error: error writing to disk NULL 02/02/2010,09:24:04,Mensagem
de alerta do Antivírus, Update error: error writing to disk,
Update error: memory allocation error NULL

02/02/2010,09:24:04,Mensagem de alerta do Antivírus, Update error: memory
allocation error,
Update file download failed Host does download

02/02/2010,09:24:04,Mensagem de alerta do Antivírus, Update file Update
error: no file downloaded NULL 02/02/2010,09:24:04,Mensagem de alerta do
Antivírus, Update error: no file downloaded,
Update error: corrupted file Download file Name(STRING)

02/02/2010,09:24:04,Mensagem de alerta do Antivírus, Update error: corrupted
file,FileCorrupt.tar
45.10. Eventos gerados pelo Aker Web Content Analizer
Mensagem ComplementoDate, Time, Tipo do evento, Message, Complement
nome da categoria URLs database replacement failed 02/05/2010,20:03:49,Informação

do Web Content Analyzer, Informática URL Category found,
http://www1.aker.com.br/sites/icones/sis-pixel1.gif
upload: errno Error when mapping the compressed file containing the urls to be sent
upload: errno Error when mapping the undefined urls files
upload: errno Error when opening the undefined urls files
upload: errno Error when opening the compressed file containing the urls to be sent
NULL Error when opening the undefined urls files
NULL Error when saving the file containing the urls to be uploaded
NULL Error when compressing file to upload
NULL There is no urls to be sent
Urls: NUMERO DE URLS URLs successfully uploaded to Aker

1164
Upload : errno Socket creation error
NULL Server returned error message after uploading
Communication error: Error when sending message to daemon
(INT) Socket creation error
erro(INT) Error when reopening the undefined urls files
CF: erro Error when reopening the undefined urls files
Upload: (URL do servidor de download) NULL
URL do servidor de Proxy NULL
IP NULL
Upload: (URL do servidor de download) Invalid URL
URL do servidor de download Invalid URL
FileName File not available for download
AKER header: Size File not available for download
no 'Content-length' nor 'chunked' nor 'close' File not available for download
cat_list.xml - no 'Last-Modified' File not available for download
Header do arquivo(STRING) File not available for download
FileName Error while opening update file
makeindex Error while opening update file
recv==0 header Error while downloading URLs update file
FileName Error while downloading URLs update file
AKER header chuncked: ChunckedData Error while downloading URLs update file
comp_regs_len chuncked ChunckedData Error while downloading URLs update file
uncompress buffer Error while downloading URLs update file
Md5 buffer Error while downloading URLs update file

1165
regs num: numero de regras Error while downloading URLs update file
No modified file of categories signature found! NULL
Error code retuned from web server is not 200(OK)! NULL
Nome do arquivo Error while writing URLs update file"
Erro de comunicação com processo pai Data send error
decompress_file: erro URLs database replacement failed
Erro de comunicação com processo pai URLs database replacement failed
mmap: erro URLs database replacement failed
“decompress_buffer: NULL” URLs database replacement failed
DATA CORRENTE Updating daily URLs databasepdating daily URLs database
CreateFile: erro Error when reopening the undefined urls files
Erro de comunicação com processo pai NULL
FileName Invalid URL update file
“Replication of undefined URL failed erro = errno” NULL
/usr/local/akerurl/db/base.udx URLs database corrupt
"cluster_read_st = AKERURL_REPL_URL_BASE" NULL
Erro ao replicar URL indefinida NULL
cluster_read_st = AKERURL_REPL_UNDEFS_URLS NULL
URLs file replication failed
URLs file replication failed (time index snd=erro) NULL
URLs file replication failed (commit_st index = erro) NULL
URLs file replication failed (send_file index = erro) NULL
NULL URLs database replacement failed
Fazendo o merge ou replace da base NULL
nome do arquivo Error while opening update file
/usr/local/akerurl/db/base.udx Error while creating URLs update file

1166
/usr/local/akerurl/db/base.udx Error while writing URLs update file
NULL URls database replacement successfull
x URLs Inseridas, x URLs, removidas, x URLs modificadas URls database replacement

successfull
FileName Error while reading URLs update file
Erro de parser no arquivo xml de configuração /usr/local/akerurl/aker_users.cfg
Erro de parser no arquivo xml de configuração nome do arquivo
Erro de parser no arquivo xml de configuração file = Nome do arquivo - lang = Idioma
empacota_user_cat_list fail NULL
xmlNewDoc fail NULL
Categories list was successfully updated! NULL
Erro ao replicar o time index da base NULL
(URL do servidor de Proxy) connect: errno NULL
(URL do servidor de Proxy) send: errno NULL
(URL do servidor de Proxy) connect: errno NULL
(URL do servidor de Proxy) send: errno NULL
Upload NULL
NULL NULL
Header len: NULL
Ip NULL
1167
Upload Data receive error
Header len: Data receive error
select: erro Data receive error
pkt: errno Data receive error
Ip Firewall closed the connection
NULL Error while opening categories list
envia_pacote: errno Data send error
sendto client: erro Data send error
NULL NULL
FileMapping: erro(INT) NULL
MappingView: erro(INT) NULL
decompress_buffer: NULL NULL
Ip NULL
NULL URL
NULL Activation key not found
NULL Activation key expired. It will be no longer possible to update database.
NULL Update license expired. It will be no longer possible to update database.
lic_resp.erro = errno NULL
Activation key will expire in few days X remaining days

1168
Update key will expire in few days X remaining days
Ip NULL
NULL NULL
45.11. Eventos gerados pelo Aker Spam Meter
Mensagem Texto da Mensagem Complemento DATA, HORA, TIPO, COMPLEMENTO,

TEXTO DA MENSAGEM
LOG_BAYES_RECALC_START Iniciando recalculo de base NOME DA BASE

02/06/2010,02:12:12 AM, Informação do Spam Mete, Base do sistema, Iniciando
recálculo da base (Inactive Node)
LOG_BAYES_AUTH_ERR Erro de autenticação
Header
Data
LOG_BAYES_SEND_ERR Erro ao enviar dados NULL
LOG_BAYES_RECV_ERR Erro ao receber dados NULL
LOG_BAYES_NEW_CONNECTION Nova cornea recebida NULL
LOG_BAYES_TIMEOUT Timeout na conexão NULL
LOG_BAYES_INVALID_DATA Dados inválidos recebidos
Packet Size

1169
Invalid Greeting Operation OP
Greeting Size
Context Number
New classification data length
New classification base name
Message end length
New training data length
New training base name
ID training data length
ID training base name
Database recalculation data length
Database recalculation base name
Database deletion base name
LOG_BAYES_CONNECTION_OK Conexão autenticada OK
Connection at port PORTA
Connection protocl PROTOCOLO
LOG_BAYES_MEM_ERR Erro de alocação de memoria
New context
NULL
Message list
Adding recalculation - Base NOME_DA_BASE
LOG_BAYES_ENGINE_ERR Erro retornado pelo engine
Erasing system database – ERRO

1170
Changing database cache timeout – ERRO
Erasing database DATABASE NAME – ERRO
New context - ERRO
Classification new – training into the system database is not allowed
Classification new - ERRO: NOME DA BASE"
Op: OPERAÇÂO – ERRO
Classification end – ERRO
Training new – ERRO
Training end – ERRO
ID training – ERRO
Base delete – ERRO
Getting system update time – ERRO
Database merging – ERRO
Getting system update time – ERRO
LOG_BAYES_CONN_REFUSED Conexus recusada ao cliente Op OPERATION - State

ESTADO
LOG_BAYES_INVALID_STATE Estado invalido Op OPERATION - State ESTADO
LOG_BAYES_INVALID_OP Operação invalida Operation code OP_CODE unrecognized
LOG_BAYES_CREATE_FILE_ERR HAM and SPAM info file - Error ERRNO
HAM index file – Error ERRNO

1171
SPAM index file - Error ERRNO
User’s trainings file – Error ERRNO
Temporary download file - Error ERRNO
LOG_BAYES_DOWNLOAD_ERR Erro ao baixar nova base Error converting proxy data

to base64
Error receiving header
Bad header error
Write file error
Invalid data size error
Uncompress error – ERRNO
Bad hash error
ERRNO
Server replied HTTP status code ERRNO
LOG_BAYES_PROXY_AUTH_ERR Erro ao autenticar no proxy Error converting proxy data

to base64
NOME DO PROXY
LOG_BAYES_DOWNLOAD_START Iniciando download da base Base of DATA
Complete base
LOG_BAYES_DOWNLOAD_SUCCESSFULL Download completado OK NULL
LOG_BAYES_RECALC_OK Recalculo completo OK NOME DA BASE

1172
Base: NOME DA BASE - %ERRNO
LOG_BAYES_RECALC_ERR Erro ao recalcular base Base: NOME DA BASE - %ERRNO
LOG_BAYES_UPLOAD_START iniciando upload da base NULL
LOG_BAYES_UPLOAD_SUCCESSFULL upload completado OK NULL
LOG_BAYES_UPLOAD_ERR Erro ao enviar base Error resolving host END_PROXY
Error creating connection socket
Error ERRNO when opening update file FILENAME
Erro converting string containing an Ipv4 into a proper address
Error converting proxy data to base64
Error %1 while connecting to proxy
Error while sending HTTP request to proxy
Error while sending HTTP request to server
Error when reading header from file FILENAME
Error while sending header to proxy
Error while sending header to server
Disk error when reading training file FILENAME
Compress error – ERRNO
Error sending compressed registers to proxy
Error sending compressed registers to server
Error sending trailer to proxy
Error sending trailer to server

1173
Error receiving response header
Transference was cancelled
Proxy authentication required
Server replied an error message
Error opening Index Database
Error opening Index Database
User’s trainings file - Error ERRNO
Empty Index Database
Corrupted Index Database
LOG_BAYES_LICENSE_EXPIRED Licença expirou License expired DATA
LOG_BAYES_ACCUMULATE_ERR erro ao acumular base NULL
LOG_BAYES_PATCH_ERR Error validating the patch: ERRNO
Error getting id in patch:- ERRNO
Error getting history dir:- ERRNO
Error applying the patch:- ERRNO
Error getting history dir for get patch history:- ERRNO
Error getting patch history:- ERRNO
Error getting id for System info:- ERRNO
Error getting history dir for System info:- ERRNO
Error packing Cluster info:- ERRNO
LOG_BAYES_PATCH_SUCCESSFULL aplicação do patch ok NULL

1174
LOG_BAYES_BASE_BACKUP_ERR erro ao tentar fazer backup de bases de treinamentos de
usuários receiving database list
generating backup file
Opening File
Reading File
error mapping file
LOG_BAYES_BASE_BACKUP_SUCCESSFULL backup de treinamentos de usuário completado

com sucesso NULL
LOG_BAYES_BASE_RESTORE_ERR erro ao tentar restaurar backup das bases de

treinamentos dos usuários opening file
temporary file is closed
writing restore data
error mapping file
transfer error
local user ID is different from the restore file ID
transfer error
unpacking data
LOG_BAYES_BASE_RESTORE_SUCCESSFULL restauração do backup das bases de

treinamentos dos usuários completado com sucesso NULL
LOG_BAYES_MSG_CLASSIFY_SUCCESSFUL sucesso na classificação de uma mensagem da

interface Score: SCORE Id: ID
Score: SCORE Base: NOME DA BASE
Delta: (DELTA, DELTA_INTERNO)
Cache rate: RATE

1175
LOG_BAYES_LOG_CONFIG_ERROR erro no processo de configuração do servidor de log
Error starting communication with Aker Log Server
Error relesinha log configurai-o
LOG_BAYES_SMALL_CACHE performance degradada por cache ser muito pequeno

Erasing system database
Database listing
Erasing database DATABASE NAME
Classification new
Training new
ID training
Base delete
Erasing system database
Recalc base – BASENAME
Getting system update time
Merging system base
Getting system update time
Gerenate probability base – BASENAME
LOG_BAYES_MSG_TRAIN_SUCCESSFULL sucesso na classificação de uma mensagem da

interface Trained as TIPO - Base: BASENAME
LOG_BAYES_CONNECTION_CLOSED conexão fechada MOTIVO
LOG_BAYES_HOST_DL_ERR erro no download do arquivo de hosts
ERRO

1176
Error creating file
Error requesting data: ERRO
Host list is empty
Error packing data
download already in progress
LOG_BAYES_WRITE_FILE_ERR Erro ao escrever em arquivo File FILENAME – Error

ERRNO
LOG_BAYES_HOST_DL_START iniciando download do arquivo de hosts NULL

02/02/2010,11:24:14,Informação de o Spam Meter, Iniciando download da lista de
hosts (Active Node)
LOG_BAYES_HOST_DL_SUCCESSFULL download do arquivo de hosts finalizado NULL

02/02/2010,11:24:14,Informação de o Spam Meter, Download da lista de hosts
realizado com sucesso (Active Node)
LOG_BAYES_BASE_DELETED base apagada BayesLog System database
LOG_BAYES_DOWNLOAD_INFO informação sobre download Invalid License
Download already in progress
Database already updated
LOG_BAYES_ROLLBACK_ERR erro ao aplicar o rollback de um patch Error getting

rollback info – ERRNO
Error getting history dir for rollback – ERRNO
Error rollbacking patch – ERRNO
LOG_BAYES_ROLLBACK_SUCCESSFULL aplicação do rollback de um patch ok NULL

1177
Apêndice B - Copyrights e
Disclaimers

1178
46. Apêndice B - Copyrights e Disclaimers
Neste apêndice estão listados os disclaimers das bibliotecas e códigos fontes de terceiro
utilizados no Aker Firewall. Estes disclaimers se aplicam apenas às partes explicitamente
citadas e não ao Aker Firewall como um todo. Eles estão citados aqui devido a exigências das
entidades desenvolvedoras:
Biblioteca DES
Copyright (C) 1995 Eric Young (eay@mincom.oz.au)

All rights reserved.
This library and applications are

FREE FOR COMMERCIAL AND NON-COMMERCIAL USE
as long as the following conditions are aheared to.
Copyright remains Eric Young's, and as such any Copyright notices in

the code are not to be removed. If this code is used in a product,
Eric Young should be given attribution as the author of the parts used.
This can be in the form of a textual message at program startup or
in documentation (online or textual) provided with the package.
Redistribution and use in source and binary forms, with or without

modification, are permitted provided that the following conditions
are met:
1. Redistributions of source code must retain the copyright
notice, this list of conditions and the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright
notice, this list of conditions and the following disclaimer in the
documentation and/or other materials provided with the distribution.
3. All advertising materials mentioning features or use of this software
must display the following acknowledgement:
This product includes software developed by Eric Young (eay@mincom.oz.au)
THIS SOFTWARE IS PROVIDED BY ERIC YOUNG `ÀS IS'' AND ANY EXPRESS OR
IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED
WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR
CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL,
EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA,
OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE
USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH
DAMAGE.
1179
The licence and distribution terms for any publically available version or
derivative of this code cannot be changed. i.e. this code cannot simply be
copied and put under another distribution licence
[including the GNU Public Licence.]
Biblioteca de criptografia libcrypto
Copyright (C) 1995-1998 Eric Young (eay@cryptsoft.com)

All rights reserved.
This package is an SSL implementation written

by Eric Young (eay@cryptsoft.com).
The implementation was written so as to conform with Netscapes SSL.
This library is free for commercial and non-commercial use as long as

the following conditions are aheared to. The following conditions
apply to all code found in this distribution, be it the RC4, RSA,
lhash, DES, etc., code; not just the SSL code. The SSL documentation
included with this distribution is covered by the same copyright terms
except that the holder is Tim Hudson (tjh@cryptsoft.com).
Copyright remains Eric Young's, and as such any Copyright notices in

the code are not to be removed.
If this package is used in a product, Eric Young should be given attribution
as the author of the parts of the library used.
This can be in the form of a textual message at program startup or
in documentation (online or textual) provided with the package.

modification, are permitted provided that the following conditions
are met:
1. Redistributions of source code must retain the copyright
notice, this list of conditions and the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright
notice, this list of conditions and the following disclaimer in the
documentation and/or other materials provided with the distribution.
3. All advertising materials mentioning features or use of this software
must display the following acknowledgement:
"This product includes cryptographic software written by
Eric Young (eay@cryptsoft.com)"
The word 'cryptographic' can be left out if the rouines from the library
being used are not cryptographic related :-).
4. If you include any Windows specific code (or a derivative thereof) from
the apps directory (application code) you must include an acknowledgement:
"This product includes software written by Tim Hudson (tjh@cryptsoft.com)"

1180
THIS SOFTWARE IS PROVIDED BY ERIC YOUNG `ÀS IS'' AND
ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE
FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
SUCH DAMAGE.
The licence and distribution terms for any publically available version or
derivative of this code cannot be changed. i.e. this code cannot simply be
copied and put under another distribution licence
[including the GNU Public Licence.]
Biblioteca SNMP
Copyright 1997 by Carnegie Mellon University

All Rights Reserved
Permission to use, copy, modify, and distribute this software and its
documentation for any purpose and without fee is hereby granted,
provided that the above copyright notice appear in all copies and that
both that copyright notice and this permission notice appear in
supporting documentation, and that the name of CMU not be
used in advertising or publicity pertaining to distribution of the
software without specific, written prior permission.
CMU DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE,

INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS,
IN NO EVENT SHALL CMU BE LIABLE FOR ANY SPECIAL, INDIRECT OR
CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING
FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF
CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN
CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.

1181
Códigos do FreeBSD
Copyright (c) 1982, 1986, 1993

The Regents of the University of California. All rights reserved.

modification, are permitted provided that the following conditions are met:
1. Redistributions of source code must retain the above copyright notice, this list of
conditions
and the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright notice, this list of
conditions
and the following disclaimer in the documentation and/or other materials provided with the
distribution.
3. All advertising materials mentioning features or use of this software must display the
following
acknowledgement: This product includes software developed by the University of California,
Berkeley and its contributors.
4. Neither the name of the University nor the names of its contributors may be used to
endorse or
promote products derived from this software without specific prior written permission.
THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS `ÀS IS''

AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED
TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A
PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR
CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL,
EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA,
OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE
USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH
DAMAGE.
Algoritmo MD5
Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. All rights reserved.
License to copy and use this software is granted provided that it is identified as the "RSA
Data
Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning or referencing this
software or this function.
License is also granted to make and use derivative works provided that such works are
identified
as "derived from the RSA Data Security, Inc. MD5 Message-Digest Algorithm" in all material
1182
mentioning or referencing the derived work.
RSA Data Security, Inc. makes no representations concerning either the merchantability of
this
software or the suitability of this software for any particular purpose. It is provided "as is"
without
express or implied warranty of any kind.
These notices must be retained in any copies of any part of this documentation and/or
software.
Agente SNMP
Copyright (c) 1996,1997 Wes Hardaker and the University of California at Davis
COPYRIGHT
Many portions of the code in this package were distributed by Carnegie Mellon University.
All other code and changes to the original code written by Wes Hardaker at the University of
California at Davis is copyrighted under the following copyright:
Permission is granted to use, copy, modify, and distribute this software and documentation.
This
software is distributed freely and usage of it is not subject to fees of any kind. It may be
included in
a software compact disk set provided that the author is contacted and made aware of its
distribution.
Biblioteca de números extendidos LInteger
LInteger Version 0.2 Source Code and Documentation
Copyright (C) 1996 by Leonard Janke
This source code and documentation may be used without charge for both commercial and
non-commercial use. Modification of the source code or documentation is allowed provided
any derivate work is clearly indentified as such and all copyright notices are retained
unmodified. Redistribution of the source code or documentation is unlimited, except by the
limits already mentioned, provided that the redistribution is not for profit. Those wishing to
redistribute this source code or documentation or any work derived from either for profit
must contact Leonard Janke (janke@unixg.ubc.ca) to work out an acceptable arrangement.
Anyone who wishes to distribute a program statically linked against the functions provided
may do so providing that he or she include a copy of this note with the program.
Distribution of libraries compiled from this source code is unlimited if the distribution is not
for profit and this copyright notice is included. Those wishing to distribute libraries compiled

1183
from this source code or any work derived from it for profit must contact Leonard Janke
(janke@unixg.ubc.ca) to work out an acceptable arrangement.
Anyone using this source code or documentation or any work derived from it, including, but
not limited to, libraries and statically linked executable, must do so at his or her own risk, and
with understanding that Leonard Janke will not be held responsible for any damages or losses
that may result.

1184

Akerfirewall 6.7.3 PT Manual 003

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Akerfirewall 6.7.3 PT Manual 003

Enviado por

Direitos autorais:

Formatos disponíveis

Versão: 06/11/2014

1.1. COMO ESTÁ DISPOSTO ESTE MANUAL ............................................................................................................ 31

2. INSTALANDO O AKER FIREWALL ........................................................................................................................35

2.1. REQUISITOS DE HARDWARE E SOFTWARE ....................................................................................................... 35

3. UTILIZANDO O AKER CONTROL CENTER .............................................................................................................88

3.1. O QUE É A ADMINISTRAÇÃO REMOTA DO AKER FIREWALL? ............................................................................... 88

® Aker Security Solutions

4. ADMINISTRANDO USUÁRIOS DO FIREWALL ....................................................................................................172

4.1. USUÁRIOS ADMINISTRADORES .................................................................................................................. 172

5. CONFIGURANDO OS PARÂMETROS DO SISTEMA .............................................................................................196

5.1. UTILIZANDO A INTERFACE REMOTA ............................................................................................................ 196

6. CADASTRANDO ENTIDADES .............................................................................................................................217

6.1. PLANEJANDO A INSTALAÇÃO...................................................................................................................... 217

7. O FILTRO DE ESTADO .......................................................................................................................................271

7.1. PLANEJANDO A INSTALAÇÃO...................................................................................................................... 271

8. CONFIGURANDO A CONVERSÃO DE ENDEREÇOS .............................................................................................307

8.1. PLANEJANDO A INSTALAÇÃO...................................................................................................................... 307

9. CRIANDO CANAIS DE CRIPTOGRAFIA ...............................................................................................................346

9.1. NAT TRANSVERSAL .................................................................................................................................. 346

10. CONFIGURANDO CRIPTOGRAFIA CLIENTE-FIREWALL .......................................................................................381

10.1. PLANEJANDO A INSTALAÇÃO...................................................................................................................... 381

11. CONFIGURANDO O PROXY SSL.........................................................................................................................447

11.1. EDITANDO OS PARÂMETROS DE UM CONTEXTO SSL ....................................................................................... 448

12. INTEGRAÇÃO DOS MÓDULOS DO FIREWALL ....................................................................................................454

® Aker Security Solutions

13. CONFIGURANDO A SEGURANÇA ......................................................................................................................459

13.1. PROTEÇÃO CONTRA SYN FLOOD ................................................................................................................ 459

14. CONFIGURANDO AÇÕES DE SISTEMA ..............................................................................................................475

14.1. UTILIZANDO A INTERFACE REMOTA ............................................................................................................ 475

15. VISUALIZANDO O LOG DO SISTEMA .................................................................................................................486

15.1. UTILIZANDO A INTERFACE REMOTA ............................................................................................................ 487

16. VISUALIZANDO EVENTOS DO SISTEMA ............................................................................................................505

16.1. UTILIZANDO A INTERFACE REMOTA ............................................................................................................ 506

17. VISUALIZANDO ESTATÍSTICAS ..........................................................................................................................515

17.1. UTILIZANDO A INTERFACE REMOTA ............................................................................................................ 516

18. VISUALIZANDO E REMOVENDO CONEXÕES .....................................................................................................527

18.1. UTILIZANDO A INTERFACE REMOTA ............................................................................................................ 527

19. UTILIZANDO O GERADOR DE RELATÓRIOS .......................................................................................................536

19.1. ACESSANDO RELATÓRIOS ......................................................................................................................... 536

20. EXPORTAÇÃO AGENDADA DE LOGS E EVENTOS ..............................................................................546

20.1. ACESSANDO A EXPORTAÇÃO AGENDADA DE LOGS E EVENTOS.......................................................................... 546

21. TRABALHANDO COM PROXIES ..............................................................................................................552

21.1. PLANEJANDO A INSTALAÇÃO...................................................................................................................... 552

22.1. UTILIZANDO A INTERFACE REMOTA ............................................................................................................ 565

23. PERFIS DE ACESSO DE USUÁRIOS ..........................................................................................................585

23.1. PLANEJANDO A INSTALAÇÃO...................................................................................................................... 585

24. AUTENTICAÇÃO DE USUÁRIOS ..............................................................................................................622

24.1. VISUALIZANDO E REMOVENDO USUÁRIOS CONECTADOS NO FIREWALL.............................................................. 622

25. CONFIGURANDO O PROXY SMTP .....................................................................................................................628

25.1. EDITANDO OS PARÂMETROS DE UM CONTEXTO SMTP ................................................................................... 630

26. CONFIGURANDO O PROXY TELNET ..................................................................................................................652

26.1.1. EDITANDO OS PARÂMETROS DE UM CONTEXTO TELNET................................................................................... 652

27. CONFIGURANDO O PROXY FTP ........................................................................................................................657

27.1. EDITANDO OS PARÂMETROS DE UM CONTEXTO FTP ....................................................................................... 658

28. CONFIGURANDO O PROXY POP3 .....................................................................................................................662

28.1. EDITANDO OS PARÂMETROS DE UM CONTEXTO POP3 .................................................................................... 663

29. UTILIZANDO AS QUOTAS .................................................................................................................................669

29.1. EDITANDO OS PARÂMETROS DO USO DE QUOTA ........................................................................................... 670

30. CONFIGURANDO O FILTRO WEB ......................................................................................................................675

30.1. PLANEJANDO A INSTALAÇÃO...................................................................................................................... 675

31. CONFIGURANDO O PROXY SOCKS....................................................................................................................740

31.1. PLANEJANDO A INSTALAÇÃO...................................................................................................................... 740

32. CONFIGURANDO O PROXY RPC E O PROXY DCE-RPC .......................................................................................744