Escolar Documentos
Profissional Documentos
Cultura Documentos
USUÁRIO
Conheça todos os recursos do
produto OSTEC NGFW e torne-
se um verdadeiro guardião de
resultados.
CONTEÚDO
1 Instalação 1
2 Interface 8
2.1 Primeiro acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.1.1 Termo de uso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.1.2 Licenciamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.1.3 Menu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3 Dashboard 11
4 Configurações 12
4.1 Configurações de rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
4.1.1 Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
4.1.1.1 Mapeamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
4.1.1.2 Estatísticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
4.1.1.3 Endereçamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
4.1.1.4 VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
4.1.1.5 Trunking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
4.1.2 Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
4.1.3 Servidores DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
4.1.4 Hostname . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4.1.5 Roteamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4.1.5.1 Estático . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4.1.5.2 Tabela . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
4.1.6 DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
4.1.6.1 Configuração . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
4.1.6.2 Subrede Compartilhada . . . . . . . . . . . . . . . . . . . . . . . . 23
4.1.6.3 Grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
4.1.6.4 Usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.1.6.5 Importar/exportar usuários . . . . . . . . . . . . . . . . . . . . . . 25
4.1.6.6 Opções personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . 25
4.1.6.7 Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
4.1.6.8 Alocações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
4.1.7 Monitor de links . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.1.7.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.1.7.2 Links . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.1.7.3 Condições . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.1.7.4 Perfis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.1.8 DNS Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.1.9 ARP Cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.1.9.1 Atribuições . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.1.9.2 Tabela . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
i
Manual |
4.2 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.2.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.2.1.1 Política padrão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.2.1.2 Opções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.2.1.3 Macros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.2.1.4 Grupos de endereços . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.2.1.5 Controle por país . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
4.2.1.6 Alta disponibilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
4.2.2 Autenticador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.2.2.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.2.2.2 Usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
4.2.3 Controle de Banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.2.3.1 Filas download . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.2.3.2 Regras download . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.2.3.3 Filas upload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.2.3.4 Regras upload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.2.4 Tradução de Endereços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.2.4.1 NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
4.2.4.2 Mapeamento 1:1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4.2.4.3 Redirecionamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4.2.5 Regras de Filtragem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
4.2.5.1 Cadastro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
4.2.5.2 Edição . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
4.2.5.3 Opções avançadas . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
4.2.6 Controle de Aplicação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
4.2.6.1 Opções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
4.2.6.2 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
4.3 Proxy Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
4.3.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
4.3.1.1 Opções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
4.3.1.2 Autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
4.3.1.3 Balanceamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.3.1.4 Mensagem de erro . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.3.1.5 ICAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
4.3.2 Anti-Vírus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
4.3.2.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
4.3.2.2 ICAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
4.3.2.3 Lista de liberação . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
4.3.2.4 Bloqueio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
4.3.3 WPAD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
4.3.3.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.3.3.2 Portas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.3.3.3 Origem/Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.3.4 Pendências . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
4.3.4.1 Solicitações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
4.3.4.2 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
4.3.4.3 Ativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
4.3.4.4 Aceitas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
4.3.4.5 Rejeitadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
4.3.5 Categorias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
4.3.6 Listas de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
4.3.7 Regras de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
4.3.8 Controle de banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
4.3.9 Limite de downloads . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
4.3.10 Requisições de Cabeçalho . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
4.4 Rede Virtual Privada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
4.4.1 SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
4.4.1.1 Modo Cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
ii
Manual |
iii
Manual |
5 Relatórios 124
5.1 Administração . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
5.2 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
5.2.1 Autenticador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
5.2.2 Acesso a Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
5.2.3 Controle de Aplicação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
5.2.4 Top Talkers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
5.2.5 Gráfico de Estados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
5.2.6 Gráfico de Cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
5.2.7 Tabela de Conexões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
5.3 Proxy Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
5.3.1 Relatório Gerencial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
5.3.2 Conexões Negadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
5.3.3 Informações Gerais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
5.3.4 Conexões Ativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
5.3.5 Gráficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
5.4 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
5.4.1 Registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
5.4.1.1 SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
5.4.1.2 IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
5.4.2 Conexões Ativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
iv
Manual |
v
Manual |
CAPÍTULO 1
INSTALAÇÃO
Após ler as informações de boas-vindas, basta sair, pressionando a tecla [q], para dar
continuidade a instalação da solução. Por padrão a opção [I] (instalação) é mostrada,
bastando apenas pressionar [ENTER] para proceder com a instalação ou [S] para retornar
ao shell
1
Manual |
A próxima etapa define o mapa do teclado a ser utilizado. Por padrão o teclado vêm pré-
configurado como “br”. Utilize “us” caso o teclado seja padrão americano. A lista com os
mapas de teclados suportados podem ser vistos digitando “?” seguido de [ENTER].
Release 5.4.8 2
Manual |
Release 5.4.8 3
Manual |
Nota: O disco mínimo exigido é de 20GB. Deve-se notar também que a quantidade e
tamanho das partições variam de acordo com o tamanho do disco, o modelo de particio-
namento utilizado é selecionado automaticamente dependendo do tamanho do disco.
Release 5.4.8 4
Manual |
Release 5.4.8 5
Manual |
Após finalizado a instalação conforme imagem acima, basta pressionar [ENTER] e o equi-
pamento será reiniciado para a conclusão da instalação.
Release 5.4.8 6
Manual |
Nota: Sempre que o equipamento iniciar, será apresentado na console o endereço IP con-
figurado na interface LAN, este endereço deve ser utilizado no seu browser de preferência
para acesso à tela de administração do OSTEC NGFW.
Release 5.4.8 7
Manual |
CAPÍTULO 2
INTERFACE
Ao acessar a interface do OSTEC NGFW através de seu IP da interface LAN definido na ins-
talação será solicitada um usuário e senha para acesso, por padrão ambos são admin.
8
Manual |
Ao efetuar o login pela primeira vez será exibido os termos de uso do produto, que des-
creve algumas regulamentações que a empresa usuária do produto deve aceitar para po-
der prosseguir a interface e utilizar o OSTEC NGFW normalmente.
Basta selecionar a opção “Declaro que li, compreendi e concordo com os termos de li-
cença do software” e clicar em “Aceitar”
2.1.2 Licenciamento
Ao invés de ser exibida a Dashboard do produto, por ser o primeiro acesso, será auto-
maticamente redirecionado para a tela de licença do OSTEC NGFW, onde deve ser infor-
mado um número de série para ser validado pela OSTEC.
Caso não possua um número de série, ele pode ser adquirido com o time comer-
cial ou o time de suporte da OSTEC.
Caso a licença seja instalada com sucesso será apresentada a informação de validade da
mesma conforme imagem abaixo.
2.1.3 Menu
CAPÍTULO 3
DASHBOARD
11
Manual |
CAPÍTULO 4
CONFIGURAÇÕES
4.1.1 Interfaces
4.1.1.1 Mapeamento
O mapeamento de interface tem como objetivo primeiro criar uma vinculação entre nome
simbólico e físico de interfaces de rede. Durante o processo de instalação, na plataforma
software (openserver), as etapas básicas relacionadas ao mapeamento de rede já são de-
vidamente realizadas.
Esta configuração é necessária para garantir que as interfaces lógicas estejam disponí-
veis ao longo da solução para serem usadas, desde seu próprio endereçamento, como em
regras e outras demandas.
12
Manual |
4.1.1.2 Estatísticas
4.1.1.3 Endereçamento
Uma vez que uma interface é mapeada o nome lógico associado fica então disponível para
ser utilizado ao longo da solução. Através deste menu são gerenciados os endereços pri-
mários e secundários (aliases)
O tipo de mídia atribuído como auto (automática) negocia automaticamente com o meio
físico a velocidade da interface de rede, que é o valor recomendado. Caso seja necessário
atribuir uma velocidade específica, a mesma pode ser selecionada clicando sobre a caixa
de seleção.
É possível também selecionar a opção DHCP para obter dinamicamente as informações
de rede, neste caso, não é necessário preencher qualquer outro campo além da interface.
• Interface: Interface a ser utilizada para endereçamento.
• Familia: Família de endereços: IPv4 ou IPv6.
• Endereço IP: Endereço IP que será atribuído.
• Máscara: Máscara de rede no formato de representação longa.
• Mídia: Velocidade da interface a ser negociada com o meio (padrão = auto).
• DHCP: Efetua o endereçamento através de uma requisição DHCP.
Nota: O cadastro de alias pode ser feito na mesma tela, desde que a opção DHCP não
esteja habilitada. Um alias nada mais é do que outro(s) endereço(s) que uma interface
poderá responder.
4.1.1.4 VLAN
4.1.1.5 Trunking
4.1.2 Gateway
Os servidores DNS que serão utilizados pela solução para qualquer consulta de nomes po-
dem ser adicionados através desta opção. É permitido cadastrar até 05 (cinco) endereços,
a ordem dos mesmos podem também ser alteradas apenas colocando na coluna Índice o
novo valor desejado, logo após, clicar sobre o ícone Editar.
4.1.4 Hostname
Nome ou FQDN utilizado para identificar o ativo. O hostname pode ser alterado a qual-
quer momento, e exceto para soluções que oferecem serviços de rede públicos (exemplo:
serviço de e-mails), o nome utilizado não tem influência direta em nenhuma operação de
recursos.
4.1.5 Roteamento
Através do módulo de roteamento é possível gerenciar rotas estáticas para redes e hosts
bem como visualizar em tempo real um dump da tabela de roteamento.
4.1.5.1 Estático
O roteamento estático permite definir a configuração de rotas estáticas para hosts e redes.
• Host ou rede: Endereço de host ou rede.
• Máscara: Máscara da rede no formato aaa.bbb.ccc.ddd.
• Gateway: Endereço do gateway.
• Modificador: Modificador de roteamento. Padrão: Estático. As opções possível
são: Descartar: descarta os pacotes silenciosamente; Rejeitar: envia um ICMP
unreachable e Estático: rota adicionada manualmente
• Descrição: Descrição opcional associada à rota.
4.1.5.2 Tabela
4.1.6 DHCP
4.1.6.1 Configuração
O campo Intervalo pode ser deixado em branco nas situações em que não deverão ser
distribuídos dinâmicamente informações de rede, exceto para aqueles usuários que forem
cadastrados.
• Nome: Nome de identificação da subrede
• Subrede: Endereço da subrede, deve corresponder ao endereço da rede que será
configurada para responder por requisições DHCP
• Intervalo: Primeiro endereço a ser atribuído dinamicamente e último endereço a ser
atribuído dinamicamente
• Gateway: Endereço IP do gateway da rede (geralmente o próprio IP do OSTEC
NGFW)
• Endereço Broadcast: Endereço de broadcast para ser atribuído
• Máscara de Subrede: Máscara de subrede para ser atribuída
• Domínio: Domínio a ser utilizado, exemplo: dominio.com.br
• Servidor DNS: Servidores que serão utilizados para resolução de nomes em cada
cliente
• Servidor WINS: Endereço IP do servidor WINS
• Auto-config. de proxy (URL): URL de configuração WPAD
• Tempo de empréstimo: Tempo padrão (em segundos) de empréstimo de configura-
ção de rede (o padrão é 1 dia)
• Tempo máximo de empréstimo: Tempo máximo (em segundos) de empréstimo de
configuração de rede
• Faixas secundárias: Faixa a ser distribuída após esgotamento dos endereços da
faixa atual
• Nome do arquivo de inicialização: Nome do arquivo de inicialização
• Endereço do servidor de inicialização: Endereço IP do servidor do serviço de
inicialização
• Permitir MACs não conhecidos: Define se deve ser distribuído endereço IPs para
endereços MACs não cadastrados na opção “Endereços MACs permitidos”
• Endereços MACs permitidos: Lista de endereços MACs que receberão endereço
IP dinâmico. Necessário somente se a opção “Permitir MACs não conhecidos” estiver
desativada
• Endereços MACs rejeitados: Lista de endereços MACs cujo serviço DHCP rejeitará
e não distribuirá endereço IP ao mesmo.
Nota: Quaisquer alterações que sejam feitas no parâmetro, no caso do serviço estar devi-
damente em operação, serão aplicadas imediatamente, sem necessidade de reinicialização
manual do mesmo.
4.1.6.3 Grupos
4.1.6.4 Usuários
Após criado a opção desejada, ela pode ser atribuída a uma subrede específica através
do menu de configurações disponível juntamente as configurações avançadas da subrede,
nela serão atribuídos as opções conforme sua necessidade.
Nota: As criações de novas opções personalizadas não podem estar em conflito com as já
existentes, novos registros de opções devem ser realizadas com identificações diferentes.
4.1.6.7 Relay
O serviço de DHCP relay faz com que toda requisição feita para o produto seja encami-
nhada para outro servidor. Para isso, é somente necessário selecionar a interface e o
endereço IP do servidor DHCP que as requisições devem ser encaminhadas.
4.1.6.8 Alocações
Todas as distribuições dinâmicas realizadas pelo DHCP são devidamente registrada como
alocações, permitindo a realização de consultas inerentes a alocação do endereço de rede.
Outro aspecto que pode ser bastante interessante é obter informações como endereço
MAC ou IP que determinado equipamento pegou através de seu hostname, para posterior
cadastro, e outras relacionadas.
O módulo monitor de links é responsável por monitorar os links de internet e tomar ações
que permitam a disponibilidade do ambiente, como a alteração de gateway padrão, balan-
ceamento de proxy e regras de roteamento, dependendo do estado dos links de internet.
4.1.7.1 Configurações
Nota: As definições do servidor SMTP utilizado para envio são definidas na tela de perfis
SMTP em Administração / Perfis SMTP.
4.1.7.2 Links
Os links monitorados devem ser previamente cadastrados. Para isso, basta preencher o
formulário de acordo com os parâmetros expostos na tabela.
• Interface: Interface que o link está mapeado
• Apelido: Apelido para o link de internet
• IP de origem: IP de origem utilizado para o teste
• Endereços IP de teste: Endereços IPs de destino utilizados para o teste
• Requisições: Número de requisições
• Tempo espera: Tempo de espera das requisições
4.1.7.3 Condições
No cadastro da condição é possível configurar a ação que será tomada caso de um dos
links mude de estado. As ações possíveis no momento do cadastro são: alteração do
gateway padrão e balanceamento de proxy. Acessando a opção Visualizar açôes é possível
configurar outras ações como adição de rota, remoção de rota e execução de um script.
4.1.7.4 Perfis
Perfis são estruturas únicas de representação de múltiplos links, permitindo que os mes-
mos sejam associados a regras de roteamento ou balanceamento de tráfego, disponíveis
nos módulos de Firewall e Proxy Web. Ao associar um perfil em uma regra, se eventual-
mente um link preferencial estiver indisponível, automaticamente o roteamento é reali-
zado para o segundo link associado ao perfil, e assim por diante. Para cadastrar um perfil
basta dar um nome para o mesmo, escolher os links de internet que serão utilizados por
esse perfil e os endereços de testes utilizados para verificar a disponibilidade dos links.
Através do serviço de DNS Relay a solução pode encaminhar solicitações DNS para ou-
tros servidores e responder aos clientes. O serviço trabalha com cache das respostas,
permitindo assim economia de banda e velocidade nas entregas das requisições.
4.1.9.1 Atribuições
4.1.9.2 Tabela
Através da opção Tabela é listado todo o conteúdo do cache ARP em um dado instante. To-
dos os vínculos que são feitos estaticamente são permanente, enquanto que outros apenas
aparecem em casos de atividade do equipamento que dependa da solução.
4.2 Firewall
4.2.1 Configurações
A política padrão deve ser cadastrada para cada interface de rede, física ou lógica, que
deseja-se criar qualquer regra de tradução de endereço ou porta, QoS ou filtragem de pro-
tocolos e portas. A política consiste no comportamento geral ou individual das interfaces
no que diz respeito a ação que deve ser executada em caso de um pacote atravessar um
dos fluxos (entrada ou saída) sem ter regras associadas ao mesmo.
A opção de log é utilizada para registrar o evento que bateu com a política. Estes eventos
ficam disponíveis através do menu Relatórios e logs - Firewall - Acesso a rede
4.2.1.2 Opções
Limites
Tempo limite
Outras opções
• Política de bloqueio: Ação tomada para todo pacote bloqueado por alguma regra
de filtragem. O padrão é Retornar RST ou ICMP UNREACH.
• Perfil: Comportamento de variáveis internas de tempo em ambientes mvariados. O
padrão é Normal.
• Otimização de regras: Controle do recurso de otimização do conjunto de regras de
filtragem. O padrão é Básico.
• Política de estados: Comportamento de como a filtragem com estado será anali-
sada. O padrão é Todas interfaces.
• Atualização de endereços: Define o intervalo de atualização de hostname para
endereços IP adicionados em macros e grupos de endereços. O padrão é 5 minutos.
4.2.1.3 Macros
Macros são variáveis disponíveis sobre toda estrutura do menu Firewall permitindo que
portas e endereços, ou conjunto dos mesmos, possam ser referenciados através de no-
mes, garantindo facilidade de manutenção e legibilidade de regras. Além de facilitar no
entendimento das regras, as macros podem ser utilizadas como fonte centralizadora de in-
formações de elementos que são freqüentemente referenciados nas regras. Desta forma,
se eventualmente for necessário mudar algum valor, basta aplicar sobre a macro que au-
tomaticamente todas as regras passam a entendê-lo.
Nota: Macros são referenciadas através do caracter $ precedendo seu nome. Ao uti-
lizar em uma regra, no entanto, basta iniciar a digitação do nome que virá opção para
autocompletar.
Nota: Grupos de endereços são referenciados pelos seus nomes entre <> (exemplo ). Ao
utilizar em uma regra, no entanto, basta iniciar a digitação do nome que virá opção para
autocompletar.
Este recurso permite selecionar tráfegos de origem baseado em redes de países para que
possam ser trabalhados em redirecionamentos de portas, regras de filtragem e outras fa-
cilidades. Através deste recurso, pode-se, por exemplo, criar regras de redirecionamento
de portas para serviços públicos e ao invés de liberar para toda a internet, restringir a
somente países ou continentes que podem gerar conexão, evitando tentativas de conexão
ou ataques desnecessários.
Uma vez que o recurso seja ativado e os países selecionados, as redes são cadastradas em
um grupo de endereços reservado denominado SYSCountries. Este grupo então pode ser
utilizado em qualquer regra que seja necessária a limitação.
Figura40: Regra de filtragem bloqueando qualquer acesso originado de qualquer país não
selecionado.
Nota: O cluster trabalha com pacotes multicast, sendo os endereços virtuais nas interfa-
ces do cluster, em formato multicast MAC. É importante assegurar que os equipamentos
de nível superior e inferior, aceitem tais protocolos, como switches, roteadores e outros.
O cluster trabalha com anúncios multicast, sendo que é automaticamente eleito o princi-
pal, aquele nó que tiver o menor intervalo de notificação. Recomenda-se a utilização de
0, 100 e 200 como valores para este campo. O status das interfaces bem como o acom-
panhamento de troca de estados pode ser visualizado através do menu Relatórios e logs -
Firewall - Gráfico de cluster.
Interfaces redundantes
O cluster opera com interfaces de rede virtuais, associadas às físicas, onde são colocados
todos os endereços que devem ser redundantes. Nas interfaces físicas, mantém-se os
endereços reais, únicos.
Por exemplo, se deseja-se manter o endereço 192.168.0.254 na interface LAN, publicado
como gateway da rede, este endereço será adicionado em todos os produtos que fazem
parte do cluster.
A interface física, ou lógica, por sua vez, deve ter endereços únicos, como 192.168.0.253
para um nó, e 192.168.0.252 para outro.
Cada interface deve ter um grupo específico, representado por um identificador numérico
que vai de 1 à 255, que também deve ser protegido por uma senha, que fará um hash para
assinatura dos pacotes multicast trocados pelo cluster.
Uma vez que a interface tenha sido adicionada com sucesso, é necessário mapeá-la através
do menu Configurações de rede - Interfaces - Mapeamento. O prefixo destas interfaces de
cluster é carpX, onde X é a ordem de criação das mesmas.
Uma vez que as interfaces de cluster estejam mapeadas, é possível então endereçá-las.
Como trata-se de um cluster, é necessário que a mesma configuração seja replicada aos
demais nós pertencentes. Caso não seja realizado, é natural que o cluster não funcione
de maneira adequada, pois a assinatura dos pacotes é realizada com base nos endereços
das interfaces.
Nota: Para adicionar mais de um endereço nas interfaces de cluster é o mesmo procedi-
mento do que em interfaces físicas. Através do menu Configurações de rede - Interfaces -
Endereçamento, cadastre quantos aliases forem necessários. Caso o endereço adicionado
não pertença a nenhuma rede de interfaces físicas, é necessário primeiro adicionar o IP
para acesso único do equipamento, e depois cadastrar o virtual que fará parte do cluster.
4.2.2 Autenticador
4.2.2.1 Configurações
Permite definir algumas configurações globais, abaixo segue a lista de opções disponíveis
• Autenticação: Define o tipo de autenticação. O padrão é local. As demais opções
possíveis são LDAP onde pode ser configurado um perfil LDAP para autenticação ex-
terna. Ambos onde é permitido a autenticação de usuários locals e externos (LDAP).
Desativado onde desativa o recurso.
• Grupos: Define a lista de grupos de endereços que serão utilizados pelos usuários
que não possuem grupo definido.
• Endereço redirecionamento: Define o endereço para onde usuário será redirecio-
nado após ser autenticado com sucesso.
• Remoção endereços: Define o período em que os endereços IPs dos usuários au-
tenticados serão removidos. O padrão é diariamente.
4.2.2.2 Usuários
Uma aplicação muito comum deste recurso é a publicação de serviços remotos à internet,
sem liberar de forma discriminada a origem. Desta forma, somente usuários que previa-
mente se autenticam, tem acesso ao recurso.
Nesta tela é definido as filas de QoS que serão aplicadas no download de arquivos, aqui
podemos definir um nome para a fila, qual interface externa será aplicado o QoS, o disci-
plinador que será utilizado para realizar o controle, a quantidade de banda alocada para
a fila e um tipo de modificador. No item modificador, existem 3 opções, a primeira “Não
utilizado” aloca exatamente o que foi preenchido no campo “Banda Alocada”, a segunda
opção “Banda Uniforme” distribui a banda de forma in iforme entre os IPs da rede e a ter-
ceira opção “Banda Maxima” permite que os IPs utilizem o máximo de banda configurado
para a fila.
Tendo criado as filas, é nesta tela que criam-se as regras de download responsáveis por
aplicar o QoS aos IPs da rede, aqui é definido qual fila será utilizada, qual interface interna,
os protocolos, IPs e portas que devem ser aplicados para um controle mais específico
Da mesma forma que foram criadas as filas de download é nesta tela que são criadas as
filas responsáveis pelo upload, contendo os mesmos campos.
Após a criação das filas de upload, nesta tela cria-se as regras responsaveis por limitar o
upload
Nota: Todas as regras são sempre avaliadas de acordo com seu índice, neste caso uma
regra pode invalidar ou então não fazer sentido caso outra esteja antes. Para isso, é
possível alterar somente o índice diante de necessidades de reindexação. A flag de log
quando aplicável, permite que o evento caso ocorra, seja armazenado para consulta futura
de relatórios.
4.2.4.1 NAT
Para criar regras de tradução de endereço basta preencher os campos solicitados no for-
mulário. O NAT pode ser adicionado de maneira genérica aplicado a todos os protocolos,
ou também somente para protocolos ou portas. Uma vez que um pacote case com os parâ-
metros adicionados, o endereço de origem do pacote será reescrito pelo endereço definido
no campo Endereço de NAT.
Além dos campos básicos, podem ser atribuídos critérios de balanceamento na existência
de múltiplos endereços para NAT, bem como cadastrar ou verificar por marcações. Regras
de negação de NAT podem ser adicionadas marcando a flag correspondente.
• Bitmask: Notação: CIDR (Exemplo: 200.1.2.0/29)
• Aleatório: Escolhe aleatoriamente um endereço. Notação: CIDR
• Sequência: Utiliza os endereços em sequencia para cada novo pacote, é o padrão
utilizado. Único que permite a utilização de grupos de endereços.
• Source-hash: Utiliza um hash com base no endereço de origem para determinar
qual endereço de NAT a ser utilizado. Interessante pois garante que um endereço de
origem sempre seja mapeado para o mesmo endereço. Notação: CIDR.
• Manter a porta: Não faz a tradução da porta de origem de pacotes TCP e UDP.
Algumas centrais de telefonia não funcionam com tradução da porta de origem e
neste caso é necessário utilizar este modo de balanceamento.
Nota: Ao invés de endereços no campo Endereço de NAT podem ser referenciados in-
terfaces (todos os endereços serão utilizados), ou primeiro endereço de interface. Isto é
interessante em caso de mudança de endereço, ou em caso de interfaces que são configu-
radas como DHCP, e que portanto o endereço pode alterar com frequência.
O mapeamento bidirecional, também denominado de NAT 1:1 (um para um), serve essen-
cialmente para estabelecer uma conversão de endereços internos e externos. O cadastro
deste tipo de regra é simples, bastando selecionar a interface e definir os endereços pri-
vados (geralmente internos) e o endereço para tradução (externo).
4.2.4.3 Redirecionamento
Nota: Em estruturas de múltiplos links é necessário que a flag STi (inspeção stateful)
não seja marcada, do contrário o acesso somente funcionará no link que é o gateway
padrão. Neste caso, é necessário cadastrar o redirecionamento criando uma marcação,
e posteriormente criar uma regra de filtragem na entrada da interface do redireciona-
mento, verificando aquela marcação (exemplo: ROTEAR_LINK2) e usando o operador de
roteamento responder para.
Nos casos em que a porta no destino é diferente, então faz-se necessário para o correto
funcionamento que o campo seja devidamente preenchido com a porta em que o equipa-
mento de NAT estará recebendo a conexão
As regras são separadas por interface de rede, e então pelo fluxo de entrada ou saída.
Para visualizar o contéudo de regras cadastradas para uma dada interface, é necessário
clicar no ícone da lupa.
4.2.5.1 Cadastro
4.2.5.2 Edição
Qualquer regra disponível na listagem pode ser editada diretamente caso a alteração
ocorra somente nos campos mostrados ou então em modo avançado, onde outras opç̃oes
ficam disponíveis. Se a edição estiver relacionada com endereços ou portas, basta alterá-
los e clicar sobre o ícone de editar da regra correspondente. Não é possível fazer a troca
de protocolo, para isso uma nova regra deve ser criada e a antiga removida.
O modo avançado de edição, nas regras de filtragem, oferece uma série de outros parâ-
metros interessantes no uso diário, especialmente relacionado a roteamento.
O balanceamento de carga baseado por serviço, origem ou destino pode ser realizado
através de tr̂es operadores de roteamento.
• Rotear para: Encaminha o pacote para a interface especificada alterando o próximo
salto no roteamento. Somente válido para pacotes que atravessam o mesmo sentido
(entrada ou saída). Pacotes no sentido contrário (respostas) serão roteados normal-
mente
• Responder para: Semelhante ao rotear para, mas encaminha pacotes na direção
oposta da interface especificada. Bastante utilizado em regras que criam estado,
especialmente em equipamentos que possuem ḿultiplas conex̃ oes com a Internet
• Duplicar para: Duplica o pacote roteando um deles normalmente e outro da mesma
maneira que o operador rotear para
Na prática, o operador Rotear para é utilizado em interfaces internas, permitindo que
tráfegos possam ser redirecionados com base em determinadas características para um
ou outro link e Responder para é definido na entrada das conex̃ oes WAN permitindo que
o roteamento para múltiplos endereços ocorram normalmente.
Regras que utilizam operadores de roteamento são destacadas das demais na listagem,
no final da regra no campo “Opções” é possível verificar os ícones que diferenciam uma
regra normal de uma regra com operadores habilitados
O Controle de aplicação tem como objetivo evitar que aplicativos maliciosos sejam utiliza-
dos pelos funcionários, podendo expor a rede corporativa ou equipamentos a hackers.
Assim é possível criar uma política de segurança no OSTEC NGFW para regis-
trar as ações dos aplicativos usados na rede corporativa e gerenciar suas atividades.
È definido quatro grupos de classificação para os aplicativos, são eles:
- Baixa restrição: aplicativos que não possuem uma assinatura digital de um fornece-
dor confiável e receberam um valor baixo de classificação de ameaça.
- Alta restrição: aplicativos que não possuem uma assinatura digital e têm um va-
lor alto de classificação de ameaça.
- Não confiáveis: aplicativos sem assinatura digital e que receberam um va-
lor muito alto de classificação de ameaça.
4.2.6.1 Opções
4.2.6.2 Regras
É aqui onde configuram-se as regras que são responsáveis por bloquear/liberar as aplica-
ções na rede corporativa.
Existem vários itens a serem configurados para uma maior personalização das re-
gras, como, por exemplo, IP de origem, porta de destino, tipo de protocolo, IP de des-
tino entre muitos outros.
No campo “Protocolo(aplicação)” é selecionado qual aplicação devera ser afetada pela re-
gra em questão, o OSTEC NGFW conta com uma grande variedade de listas de aplicati-
vos contendo os principais nomes do mercado, como Instagram, WhatsApp, FaceBook en-
tre muitos outros.
Regras do controle de aplicação.
O módulo Proxy Web disponibiliza diversos recursos para melhor gerenciamento de co-
nexões para sites e sistemas que são baseados ou funcionam através do protocolo HTTP.
Como grande parte do uso da internet é para consumo de sites e sistemas web, este re-
curso tem grande relevância para ambientes corporativos.
Diante dos mais variados recursos disponíveis, estão organizados características de filtra-
gem de acesso baseado em categorias, recursos de limitação de download e controle de
banda, regulamentação de tráfego, integração com recursos externos como ICAP, além
de gerenciamento de WPAD, controle de pendências e outras facilidades.
4.3.1 Configurações
O comportamento padrão do recurso de proxy pode ser bastante parametrizado para aten-
der diferentes demandas de uso, permitindo grande facilidade, escalabilidade e interope-
rabilidade com serviços de autenticação centralizada, ICAP e outros.
4.3.1.1 Opções
• Tamanho máx. objeto: Tamanho máximo de objeto para ser cacheado (KB).
• Tamanho mín. objeto: Tamanho mínimo de objeto para ser cacheado (KB).
• Tam. máx. obj. em memória: Tamanho máximo de objeto residente na memória
(KB).
• Máx. resoluções FQDN: Número máximo de resoluções FQDN (domínio completa-
mente expressado).
• E-mail: E-mail de contato do administrador.
• Servidores de DNS: Servidores de DNS alternativos.
• Sufixo de domínio: Adiciona o domínio informado as requisições sem FQDN.
• SSL Bump: Personificação do certificado SSL.
• SSL Bump ACLs: Utilizar SSLBump apenas nas listas de acesso selecionadas.
• Validação SSL: Valida o certificado SSL dos websites. Se o certificado não for assi-
nado por uma CA confiável, a conexão é recusada. O padrão é ativo.
• Remove auditoria: Define listas de acesso cujo endereços não devem ser registra-
dos no Relatório gerencial. O padrão é desativado onde todos os acessos são regis-
trados.
• Cabeçalho X-Forwarded-For: Define o comportamento do cabeçalho X-Forwarded-
For por parte do proxy. Se definido como ativo, o proxy colocará o endereço IP do
cliente que fez a requisição. Se colocado como desativado o campo será preenchido
como “unknown”. O modo transparente permite que o proxy não altere o compor-
tamento do campo. Com o modo “remover” toda ocorrência do campo é retirada, e
o modo truncado remove todas as ocorrências e cria uma única com o endereço da
requisição. O padrão é ativo.
4.3.1.2 Autenticação
Nota: A autenticação somente terá validade caso o conjunto de listas de acesso e re-
gras referencie a necessidade de autenticação para continuidade do processamento das
requisições.
Nota: O proxy faz o cache de autenticações válidas permitindo menor consumo de con-
sultas aos servidores LDAP disponíveis
Nota: Além das configurações dos parâmetros de acesso ao servidor, no caso do Kerberos
é necessário executar um procedimento remoto (automático) ou manual para permitir a
integração e nível de confiança entre os dois ambientes
4.3.1.3 Balanceamento
As mensagens de erro são mostradas quando um determinado tipo de requisição não pode
ser completado. São diversos tipos de mensagens, cada qual relacionada a um tipo de erro
especifico. De maneira geral, a mais utilizada é de acesso negado. Recomenda-se sua
personalização para direcionar o usuário da melhor maneira entendendo que o conteúdo
foi bloqueado pelas políticas do negócio.
4.3.1.5 ICAP
Conforme especificado pela RFC 3507 o ICAP (Internet Content Adaptation Protocol) é um
protocolo baseado no HTTP que serve especialmente para implementar recursos externos
como integração com anti-vírus, filtros de conteúdo e outras facilidades. A feature de ICAP
faz parte da engine do Proxy, não sendo necessário ativar nenhum serviço adicional para
seu funcionamento pleno.
• Estado: Habilita ou desabilita o suporte ao ICAP. O padrão é desativado
• Conexões persistentes: Utilizar conexões persistentes com os serviços ICAP. O pa-
drão é ativo
• Informar IP: Envia cabeçalho “X-Client-IP” com endereço IP do cliente. O padrão é
desativado
• Informar Usuário: Envia cabeçalho “X-Client-Username” se autenticado. O padrão
é desativado
• Enviar pré-visualização: Permite enviar apenas o começo do corpo da requisição
HTTP. O padrão é desativado
• Tamanho pré-visualização: Tamanho padrão a ser enviado do corpo da requisição
HTTP
• Tempo limite de teste: Número de segundos para aguardar resposta do servidor
ICAP. Não pode ser inferior à 30 segundos. O padrão é 180
• Limite de falhas: Desativa a utilização do serviço caso ultrapasse o limite de falhas
permitidas. O padrão é 10 falhas em 5 segundos
• Política padrão: Define as listas de acesso que devem passar pelo serviço ICAP.
Para ativar o recurso de ICAP, é necessário cadastrar um serviço com seu devido critério
de processamento e URI para onde o tráfego deve ser redirecionado. As opções para o
parâmetro Processamento estão devidamente descritas na abaixo.
• Requisição: A requisição do cliente é enviada ao servidor ICAP sem qualquer con-
sulta no cache do Proxy
4.3.2 Anti-Vírus
O módulo de antivírus do proxy cria uma camada de verificação extra entre o serviço de
proxy (Squid) e o browser, assim todo o tráfego é analisado em busca de possíveis malwa-
res ou pacotes mal-intencionados, contribuindo para uma maior segurança das máquinas
internas. Caso algum trafego mal-intencionado seja detectado pelo antivírus, o usuário
recebe uma mensagem de bloqueio informando a presença de vírus.
A comunicação do proxy com o antivírus é feita através do ICAP, que conta com várias
opções customizáveis para realizar tal comunicação, caso seja necessário.
A solução de antivírus utilizado pelo OSTEC NGFW é o Clamav, porem se a empresa possui
suítes de antivírus que aceitam a verificação via ICAP, pode-se fazer uso delas.
4.3.2.1 Configurações
Nesta tela podemos definir o estado de serviço (ativado/desativado), bem como seu tempo
de vida e o tamanho máximo de arquivos a ser processado.
4.3.2.2 ICAP
É aqui que se personalizam as opções de conexão feita com o antivírus, via ICAP, contendo
varias configurações, como porta de conexão, tempo de vida, pipelining entre muitas ou-
tras.
Na tela Lista de liberação é onde se cadastram endereços ou usuários que não devem
passar pela verificação do antivírus
Existem 5 tipos de lista, são elas:
• Download URL: Desativa o recurso de anti-vírus em downloads realizados nas URLs
listadas. O formato suporta expressões regulares.
• Download conteúdo: Desativa o recurso de anti-vírus em downloads baseado no
tipo de conteúdo (Content-Type).
• Endereço de origem: Desativa a validação de anti-vírus em qualquer requisição
realizada através dos endereços listados.
• URL: Desativa a validação de anti-vírus em qualquer requisição realizada nas URLs
listadas.
• Usuário: Desativa a validação de anti-vírus em qualquer requisição realizada através
dos usuários listados.
4.3.2.4 Bloqueio
4.3.3 WPAD
4.3.3.1 Configurações
Nota: Em alguns casos para que a aplicação reconheça as novas configurações é neces-
sário reiniciá-la.
4.3.3.2 Portas
Gerenciamento de portas que não devem passar pelo proxy. Para remover uma porta já
cadastrada, basta selecionar a mesma e utilizar a ação relacionada.
4.3.3.3 Origem/Destino
Gerenciamento de endereços que não devem passar pelo proxy baseado na origem ou
destino.
No caso de endereços de destino são permitidos o uso de caracteres especiais para repre-
sentar o todo, como *.ostec.com.br.
4.3.4 Pendências
O controle de pendências é um recurso integrado ao módulo de Proxy Web que tem como
finalidade facilitar o gerenciamento de sites bloqueados. Uma vez que um acesso é blo-
queado, o usuário recebe uma mensagem orientado-o a fazer uma solicitação de liberação.
O administrador pode receber um e-mail alertando sobre o cadastro de uma pendência, ou
pode visualizar diretamente pelo menu Proxy Web - Pendências - Ativas. Uma vez que uma
ação seja tomada, o solicitante também pode receber um e-mail informando da decisão.
Todas as ações são devidamente registradas para consultas futuras.
Para ativar o recurso é necessário alterar o link padrão disponível na mensagem de erro
de acesso negado para o endereço que seja acessível pelos usuários locais.
4.3.4.1 Solicitações
4.3.4.2 Configurações
Nota: As definições do servidor SMTP utilizado para envio são definidas na tela de perfis
SMTP em Administração / Perfis SMTP.
4.3.4.3 Ativas
Pendências que foram feitas pelos usuários para uma possível liberação. É possível veri-
ficar nesta opção o Horário da solicitação, a Origem, Nome do responsável, E-mail, Site,
Motivo e a Ação que deverá ser tomada, podendo ser: Aceitar, Rejeitar e Remover a soli-
citação.
4.3.4.4 Aceitas
4.3.4.5 Rejeitadas
4.3.5 Categorias
O filtro de acessos web baseado em categorias é uma facilidade sobre o ponto de vista de
gerenciamento de conteúdo. Através deste recurso, diversos sites de propósito comum
são agrupados, permitindo maior flexibilidade e assertividade na aplicação das regras de
acesso.
A parametrização do subsistema de categorias pode ser realizada através de algumas
opções, conforme propósitos descritos.
• Estado: Ativa o recurso de controle de acesso por categorias do Proxy, auxiliando a
gestão de acessos. O padrão é desativado.
• Concorrência: Número de requisições simultâneas por processo.
• Processos: Número máximo de instâncias.
• Usuário: Usuário utilizado para atualização de categorias.
• Senha: Senha referente ao login informado no campo Usuário.
Listas de acesso formam a base de informações necessárias para que regras do proxy
possam ser criadas. É importante saber que as listas, por si só, não definem se um de-
terminado tipo de acesso pode ou não ser realizado. O objetivo é criar um conjunto de
informações distintas, que podem ser combinadas na regras de acesso, controlando as
conexões realizadas através do proxy.
• Autenticação - Grupo LDAP: Lista de grupos para autenticação.
• Autenticação – Usuário: Lista de usuários para autenticação ou required caso todos
devam ser autenticados.
• Browser (regex): Libera o acesso a um determinado acesso pelo navegador (acesso
ao FireBox por exemplo)
• Caminho do Site (regex): Relacionado ao caminho da URL, útil para fazer bloqueios
de download de extensões de arquivos, suporta expressões regulares.
• Categoria de Sites: Lista de acesso definida por categorias.
• Dominio de destino: Formato literal de domínios que serão utilizados como destino.
Exemplo: intranet.empresa.com.br
• Dominio de destino (regex): Formato literal de domínios que serão utilizados como
destino, por checagem de expressão regular. Exemplo: intranet.empresa.com.br
• Dominio de origem: Formato literal de domínios que serão utilizados como origem.
Exemplo: intranet.empresa.com.br
• Endereço do site (regex): Relacionado a URL (Uniform Resource Loca-
tor), tanto literal quanto decimal, suportando expressões regulares. Exemplo:
www.ostec.com.br, .gov.br, exemplo.com$
• Endereço IP de destino: Endereços IP ou redes no formato decimal que se-
rão utilizados como destino a.b.c.d/e.f.g.h.Exemplos: 192.168.0.20/255.255.255.255,
10.1.0.0/24
• Endereço IP de origem: Endereços IP ou redes no formato decimal que serão
utilizados como origem a.b.c.d/e.f.g.h. Exemplos: 192.168.0.20/255.255.255.255,
10.1.0.0/24
• Endereço MAC: Endereços Físicos das placas de rede para utilização nas regras.
Exemplo: 78:2b:cb:bd:b2:b5
A lista de regras é composta por suas áreas de lista de acesso, sendo a segunda aplicada
para listas que foram negadas no momento da adição da regra. A leitura destas regras é
garantir que determinadas situações ocorrem exceto se também casarem com a lista de
acesso negada. Por exemplo, pode-se liberar um conjunto de sites de redes sociais, exceto
em horário comercial.
A edição de uma regra deve ser realizada diretamente na listagem, desde que respeitando
o espaço que deve conter entre uma lista de acesso e outra. Ao digitar qualquer parte do
nome da lista de acesso, automaticamente será informado listas que contém aquele nome.
Nota: Não é permitido utilizar dentro de uma mesma regra mais de uma lista de acesso
do mesmo tipo. A aplicação do filtro é baseada na condição “E (AND)”, portanto uma regra
com duas listas de acesso do mesmo tipo nunca terá resultado
O controle de banda aplicado ao proxy difere do QoS aplicado de maneira geral as conexões
de rede reguladas pelo módulo Firewall. Neste caso, aplica-se única e exclusivamente
pelo tráfego realizado pelo proxy. As regras de controle de banda podem ser adicionadas
combinando alguns tipos de listas de acesso. Além da definição padrão de controle de
banda, que é aplicado para qualquer acesso que não esteja relacionado as regras definidas,
é possível configurar regras específicas, como por exemplo assegurar que determinados
sites de streaming tenham consumo limitado de banda, entre outras possibilidades.
• Banda máxima: Definir a quantidade de banda máxima global que será utilizada
• Banda por IP: Definir a quantidade de banda distribuída igualmente a cada endereço
IP
Para realizar o cadastro, basta selecionar uma ou mais listas de acesso, juntamente com
os demais parâmetros. As regras são validadas no próximo acesso, sem necessidade de
reinicialização do serviço.
Em alguns casos específicos aplicações webs requerem um cabeçalho especifico para po-
derem executar determinadas funções, por conta disso o OSTEC NGFW conta com um
módulo que possibilita a alteração do cabeçalho das requisições que passam pelo proxy.
Na adição de cabeçalhos é possível incluir listas de acessos do proxy onde contem os
valores desejados para serem enviados a aplicação web.
O recurso de VPN pode ser provisionado através de SSL ou IPSec. Ambos estão devi-
damente segmentados e podem funcionar de maneira concorrente sem comprometer a
infraestrutura. O padrão de VPN-SSL utilizado pelas soluções OSTEC é o OpenVPN, desta
maneira é necessário software compatível para a conexão de clientes/usuários.
4.4.1 SSL
O cadastro de conexões VPN-SSL podem ser realizadas de duas maneiras: modo cliente
ou servidor (concentrador). O primeiro caso faz com que a solução conecte à um con-
centrador, enquanto que a segunda recebe as conexões. Para cada conexão adicionada,
uma interface tun é criada. Regras de acesso podem ser criadas através destas interfaces,
permitindo que determinados certificados tenham acesso somente aos equipamentos in-
ternos vinculados à sua necessidade, evitando assim quaisquer exposições dos segmentos
internos de rede.
Opções
Opções
Certificados
O cadastro pode de certificados pode ser realizado através da opção correspondente, per-
mitindo informar a validade e se o mesmo deve ser protegido por senha (recomendado).
Uma vez cadastrado um certificado, o mesmo pode ser copiado e replicado ao usuário que
fará o acesso.
Em ambientes onde o certificado cliente é uma empresa, ou uma rede onde mais de um
equipamento/usuário deve utilizar ou acessar as redes locais da empresa, é necessário
informar o segmento de rede local é cadastrá-lo em redes internas. Desta maneira, tanto
Nota: Toda VPN cadastrada fica representanda como um serviço e deve ser devidamente
inicializada ou paralizada através do menu Serviços - Gerenciamento.
4.4.2 IPSec
A VPN do tipo IPSec foi criada para oferecer conexões ponto-a-ponto de forma perma-
nente, diferente das VPNs do tipo SSL onde serve apenas para acesso remoto, sendo as-
sim, é possível interligar pontos externos a rede interna da empresa como filiais.
Por atuar na camada de rede, a IPSec proporciona uma alta interoperabilidade, podendo
ser estabelecida em qualquer equipamento de diferentes fabricantes.
4.4.2.1 VPNs
Nesta tela é mostrada uma listagem dos túneis IPSec configuradas no OSTEC NGFW,
podendo ser adicionado novos túneis apartir do botão adicionar.
4.4.2.2 Sub-redes
Aqui são exibidas as sub-redes configuradas no túnel IPSec, mostrando as redes locais e
as redes externas interligadas pela IPSec.
4.5 IPS
4.5.1 Configurações
4.5.1.1 Opções
A partir do momento que as variáveis são criadas, as mesmas podem ser utilizadas dire-
tamente no menu Prevenção de intrusão - Regras personalizadas.
4.5.2 Categorias
4.5.2.1 Categorias
4.5.2.2 Opções
Também é possível verificar maiores detalhes das regras de cada categoria clicando em
Detalhe conforme imagem abaixo.
4.5.3 Módulos
As engines do módulo de IPS são modulares, podendo ser ativadas ou desativadas a quais-
quer momentos. É importante ressaltar, no entanto, que muitas delas são frequentemente
utilizadas por categorias, ou até mesmo por opções avançadas de regras personalizadas.
• ARP: Decodificador de tráfego ARP e identificação de ataques de envenenamento de
cache
• Desfragmentação IP: Módulo de desfragmentação IP target-based
• Desfragmentação IP – opções: Módulo de desfragmentação IP targed-based (op-
ções gerais)
• Desfragmentação TCP: Módulo de desfragmentação TCP/UDP (opções específicas
TCP)
• Desfragmentação TCP/UDP opções: Módulo de desfragmentação TCP/UDP (op-
ções gerais)
• Desfragmentação UDP: Módulo de desfragmentação TCP/UDP (opções específicas
UDP)
• DNS: Decodificador do protocolo DNS e identificação de vulnerabilidades
• FTP Cliente: Decodificador de tráfego FTP por cliente (configurações específicas)
• FTP e Telnet: Decodificador de tráfego FTP e Telnet (opções gerais)
• FTP Servidor: Decodificador de tráfego FTP por servidor (configurações específicas)
• HTTP: Decodificador de tráfego HTTP sem estado
• HTTP Servidor: Decodificador de tráfego HTTP por servidor (configurações especí-
ficas)
• IMAP: Decodificador do protocolo IMAP, em formato stateful
• Normalização: Normalização de tráfego em pacotes IP, TCP e ICMP
• POP3: Decodificador do protocolo POP3, em formato stateful
• Reputação: Módulo de reputação e gerenciamento de listas negras e brancas
• SIP: Decodificador do protocolo SIP e identificação de vulnerabilidades
• SMB e RPC: Decodificador dos protocolos SMB e RPC.
• SMB e RPC 2: Decodificador dos protocolos SMB e RPC versão 2.
• SMB e RPC para servidores: Decodificador dos protocolos SMB e RPC por servidor
(configurações específicas)
• SMB e RPC para servidores 2: Decodificador dos protocolos SMB e RPC por ser-
vidor (configurações específicas) versão 2
• SMTP: Decodificador de tráfego SMTP stateful
• SSH: Decodificador do protocolo SSH e identificação de vulnerabilidades
• SSL: Decodificador dos protocolos SSL/TLS
• Telnet: Decodificador de tráfego Telnet
• Varredura de portas: Detector de ataques de varredura nos protocolos IP, ICMP,
UDP e TCP
Um módulo que não esteja ativo, e que alguma regra esteja utilizando, causa o encerra-
mento do serviço de Prevenção de Intrusão, tendo em vista que estas engines exportam
parâmetros utilizados por regras.
Com regras customizadas o administrador pode criar e gerenciar suas próprias assinatu-
ras, podendo bloquear determinados tráfegos através da análise de seu conteúdo, compor-
tamento de flags em protocolos e tantas outras facilidades. Toda regra é criada de uma
forma básica, baseada em endereços de origem e destino, onde podem também serem
utilizadas as variáveis e objetos do produto.
Uma vez cadastrada, é possível parametrizar a regra com validações avançadas, clicando
no ícone correspondente.
4.6 DNS
Este módulo implementa um servidor de DNS completo com opções de configurações avan-
çadas envolvendo informações gerais, splits/views, listas de acesso, zonas e outros.
4.6.1 Configurações
4.6.1.1 Opções
Uma lista de acesso é um conjunto de endereços que podem ser representados de maneira
única em parâmetros cujo conteúdo trata-se de endereços. Uma vez que a lista seja criada,
seu nome pode ser utilizado em campos apropriados. Existem alguns valores especiais do
ambiente que também podem ser usados.
• any: Significa qualquer endereço
• none: Significa nenhum endereço
• localhost: Referencia apenas o próprio servidor
• localnets: Referencia todas as redes que o servidor faz parte
4.6.3 Splits
Os splits são utilizados para segmentar o acesso às zonas cadastradas no servidor DNS.
Sendo assim pode-se criar zonas que serão utilizadas apenas internamente e outras que
serão utilizadas externamente (internet).
Uma vez cadastrado, pode ser acessado as opções do split para configurações avançadas,
onde deve ser configurado os endereços/redes que vão utilizar a split, além de poder de-
finir opções de recursão e encaminhamento. Na imagem abaixo foi definido que somente
as redes locais poderão utilizar as splits. Isto significa que conexões oriundas da internet
não cairão nesta split.
4.6.4 Zonas
4.6.4.1 Zonas
O cadastro de zona deve estar associado a um split (se houver) além da definição do tipo
de zona. Existem 3 tipos que são disponilizados no recurso: mestre, escravo e zona de
encaminhamento. Uma vez que uma zona seja cadastrada, os parâmetros associados à
mesma podem ser alterados para assegurar o funcionamento.
O conteúdo de uma zona pode ser visualizado através da aba de registros. Para zonas prin-
cipais, o conteúdo pode ser editado de maneira que os recursos possam ser cadastrados.
Em zonas cadastradas como secundário somente será visualizado o conteúdo transferido
da zona principal.
4.6.4.2 Opções
Entre as opções mais comuns estão definir os endereços permitidos para transferência
de zona (em caso de mestre), endereços do servidor mestre (escravo) e também lista de
servidores para encaminhamento de requisições.
Primária
• Permitir consulta: Lista de endereços ou Listas de Acesso que podem fazer consul-
tas ao DNS
• Permitir consulta em: Especifica quais os endereços locais que podem aceitar pes-
quisas.
• Permitir transferência: Lista de endereços ou Listas de Acesso autorizadas a re-
ceber transferências de zona. Recomendado definir separadamente em cada zona
cadastrada.
• Permitir atualizações dinâmicas: Especifica quais hosts podem enviar atualiza-
ções de DNS dinâmico para zonas mestres.
• Notificar: Utilizado para mensagens DNS NOTIFY quando uma zona é alterada.
• Tempo de notificação: Tempo, em segundos, entre envio de mensagens de notifica-
ção para a zona. O padrão é 0.
• Notificar SOA: Envio de notificações de zona enviadas para o SOA MNAME ao invés
dos registros NS da zona.
• Notificar também: Notifica os servidores especificados além dos cadastrados como
NS.
• IP notificação: Endereço IP utilizado para notificação de zonas.
• Estatísticas de zona: Utilizado para o servidor coletar estatísticas da zona, utilizado
pelo serviço RNDC.
• Validação registro RR: Define o que fazer ao cadastrar um registro RR invá-
lido/desconhecido.
Secundário
• Permitir consulta: Lista de endereços ou Listas de Acesso que podem fazer consul-
tas ao DNS
• Permitir consulta em: Especifica quais os endereços locais que podem aceitar pes-
quisas.
• Permitir transferência: Lista de endereços ou Listas de Acesso autorizadas a re-
ceber transferências de zona. Recomendado definir separadamente em cada zona
cadastrada.
• Permitir notificar: Lista de endereços ou Listas de Acesso autorizados a receber
notificações de uma zona secundária além dos servidores primários.
• Notificar: Utilizado para mensagens DNS NOTIFY quando uma zona é alterada.
• Tempo de notificação: Tempo, em segundos, entre envio de mensagens de notifica-
ção para a zona. O padrão é 0.
• Notificar SOA: Envio de notificações de zona enviadas para o SOA MNAME ao invés
dos registros NS da zona.
Encaminhar
• Encaminhar: Utilizado para relay de requisições DNS, útil para realizar cache re-
duzindo o tráfego para servidores externos.
• Encaminhadores: Lista de servidores DNS que devem ser utilizados como fonte de
consultas.
Para zonas mestres, existem duas estruturas de configuração. A primeira delas trata-se
do registro SOA (Start of Authority) definido através da tabela a seguir.
• Tempo de vida padrão: Tempo de vida padrão utilizado pelos registros.
• Contato: Endereço de e-mail do responsável pela zona.
• Nome do servidor: Servidor de nomes que responderá autoritariamente para a
zona.
• Número de série: Este número deve ser incrementado quando qualquer registro
for alterado.
• Intervalo de atualização: Intervalo de tempo que os servidores escravos se atuali-
zam.
• Intervalo de repetição: Define o intervalo de tempo entre tentativas ao falhar a
atualização.
• Expira após: Indica o tempo limite para que a zona no servidor escravo não seja
mais válida.
• Tempo de vida mínimo: Tempo de vida para respostas negativas.
4.6.4.4 Registros
A segunda estrutura de configuração trata-se dos registros que podem ser adicionados ou
editados conforme demanda, respeitando os tipos discriminados abaixo.
• A: Endereço IPv4 para host.
• CNAME: Apelido para host.
• DNSKEY: Chave pública (DNSSEC).
• MX: Troca de correio. Especifica os servidores de e-mail responsáveis e suas prefe-
rências para o domínio.
• NS: Servidores de DNS autoritativos para o domínio.
• PTR: Ponteiro para domínio.
• SRV: Serviços disponíveis para a zona.
• TXT: Informações de texto. Normalmente utilizado para SPF e DKIM.
Este módulo está integrado aos módulos Firewall e Firewall Proxy, que permite geren-
ciar os acessos de forma simplificada, através de políticas globais ou de grupos definidas
pelo administrador. É também através do módulo de Firewall que as conexões geradas
por estas redes, de usuários ainda não autenticados, são redirecionamentos de maneira
transparente para o Portal Cativo.
4.7.1 Configurações
4.7.2 Portais
Com o Portal Cativo corretamente configurado, é nesta parte do módulo que configura-
mos a página de autenticação que será visualizada pelo usuário ao se conectar na rede.
Aqui alteram-se o layout da página, a forma de autenticação, qual rede de origem terá
permissão para acessar o portal entre muitas outras configurações.
4.7.2.1 Portais
Nesta tela configura-se o portal como um todo, definindo o tempo de inatividade dos usuá-
rios, a validade do auto cadastro e qual rede o portal irá aceitar requisições para acessar
a internet.
4.7.2.2 Layout
Aqui altera-se o design do portal, é possível escolher um logo personalizado da sua em-
presa para ser exibido, adicionar um termo de uso e alterar as cores de fundo, texto, botão
e etc.
4.7.2.3 Autenticação
4.7.3 Usuários
O cadastro de usuários é sempre associado à um grupo de endereços que deve ser pre-
viamente cadastrado no módulo Firewall com o prefixo c_ (exemplo: c_portal). Através
de múltiplos grupos é possível gerenciar políticas de acesso diferenciadas uma vez que o
usuário estiver autenticado.
O campo validade determina o tempo de vida do usuário dentro do portal cativo. Por
padrão vem configurado para nunca expira, sendo possível escolher entre após login que
é contabilizado apenas à partir do primeiro login, e a partir de agora que é contabilizado
à partir do momento do cadastro do usuário, onde o tempo utilizado pode ser configurado
em minutos, horas, dias ou semanas.
Por padrão, o usuário pode utilizar as credenciais de acesso em apenas um dispositivo,
sendo que este comportamento pode ser alterado através da opção Conexões simultâ-
neas, onde esta limitação é desativada. A coluna Estado é responsável pela ativação ou
desativação temporária do usuário, possibilitando desativá-lo sem remover o cadastro do
mesmo.
No exemplo acima não foi informado a senha e, neste caso, a senha é gerada automatica-
mente e informada após a adição. Caso esqueça de copiar a senha, existe a possibilidade
de gerar uma nova senha para o usuário.
listagem gerada em formato CSV, tendo acesso aos logins e senhas criados.
4.8 Serviços
4.8.1 Gerenciamento
Muitos recursos disponibilizados pelas soluções OSTEC funcionam como serviços, e para
que entrem em funcionamento, é necessário que os mesmos sejam devidamente iniciados.
A lista de serviços disponíveis pode variar de acordo com o tipo de produto adquirido
Através do item gerenciamento é possível iniciar, paralisar e configurar as opções de ope-
ração do serviço. Um serviço marcado como alta disponibilidade, uma vez que seja parali-
sado, o mesmo é automaticamente inicializado, portanto não é possível visualizar o status
como paralisado.
• Iniciar com sistema: Define se o serviço deve ser iniciado automaticamente na
inicialização do ambiente.
• Alta disponibilidade: Define se o serviço, caso esteja paralizado, deve ser iniciado
automaticamente em validações a cada 3 minutos.
Existem serviços que estão associados aos módulos das soluções, que podem ser devida-
mente editados, paralisados e outros. Também existem serviços que são essenciais ao
funcionamento da solução, e portanto, não são gerenciáveis.
• Serviços editáveis
– appfilterd: Módulo controle de aplicação
– captive-redir: Redirecionador do Portal Cativo
– captive-redir2: Webserver e redirecionador do Portal Cativo
– ddclient: Módulo DynDNS
– dhcp-relay: Módulo DHCP Relay
– dhcp-server: Módulo Servidor de DHCP
– dns-relay: Módulo DNS Relay
O recurso de proxy FTP atende duas necessidades: permite que a rede interna conecte
de maneira segura e funcional a servidores FTP localizados em redes externas (como a
internet), onde as conexões são repassadas via proxy transparente para o serviço, e, atua
de maneira reversa, recebendo conexões e encaminhando para servidores internos.
4.8.2.1 Configurações
• Log: Define se as conexões FTP deverão ser logadas pelo módulo de Firewall.
A configuração de FTP reverso se faz necessária quando se deseja acesso público através
de clientes de internet tendo como destino um servidor FTP dentro da rede local.
• Endereço origem: Endereço IP que será utilizada como origem receber as conexões
externas.
• Endereço IP: Endereço IP local que será utilizado para ouvir conexões. O padrão é
127.0.0.1.
• Porta: Porta utilizada pelo Proxy FTP para ouvir conexões. O padrão é 8021.
• Endereço servidor: Endereço IP interno onde está localizado o servidor FTP.
• Porta servidor: Porta utilizada para comunicação do servidor.
• Anônimo: Define se o Proxy FTP aceitará apenas conexões de usuário anônimos. O
padrão é desativado.
• Sessões: Define o número máximo de sessões. O padrão é 100. O máximo permitido
é 500.
• Modo ativo legado: Define se o Proxy FTP deve utilizar a porta 20 para iniciar as
conexões ativas.
• Marcação: Define se as conexões FTP deverão ser marcadas para verificação nas
regras de Firewall.
• Tempo limite: Define o tempo limite de uma sessão em minutos. O padrão é 10
minutos. O valor máximo permitido é 24 horas.
• Log: Define se as conexões FTP deverão ser logadas pelo módulo de Firewall.
• Estado: Indica o estado da regra, ativada ou desativada
4.8.3 SNMP
O recurso de SNMP assegura que a solução possa ser integrada em plataformas de moni-
toramento para gestão unificada de operação de ativos.
4.8.3.1 Configurações
4.8.3.2 Comunidades
4.8.3.3 Usuários
Gerencia os usuários que serão utilizados para acesso ao serviço quando suportado.
4.8.3.4 Regras
As regras definem com base nas comunidades ou usuários qual a permissão que será
concedida para a utilização do serviço.
• Leitura: Impede que o usuário processe solicitações SET do SNMP
• Gravação: Permite que o usuário processe solicitações SET
• Notificação: Permite que o usuário envie somente interceptações SNMP para a co-
munidade
Em alguns casos a empresa não possui um IP fixo em seu link de internet, dificultando a
configurações de serviços que dependem de um IP fixo do link para funcionarem. Como
alternativa pode-se configurar o serviço de DNS dinâmico (DynDNS) assim é criado um
nome de domínio atrelado ao IP dinâmico da operadora que pode ser utilizado para con-
figurar os serviços que dependem de um IP fixo para ficarem disponíveis para acessos
externos.
Este recurso também serve como substituto do NoIP/DDClient.
• Endereço dinâmico: Caso tenha uma chave válida configurada, neste campo apa-
recerá o endereço dinâmico associado à chave.
• Endereço origem: Permite definir o endereço IP de origem na conexão utilizada
para atualização do endereço IP do endereço dinâmico, útil quando houver múltiplos
links e desejar utilizar o endereço IP do link que não é o gateway padrão.
• Chave: Chave fornecida pela OSTEC para utilização do módulo.
4.9 Administração
4.9.1 Usuários
4.9.1.1 Configurações
4.9.1.2 Usuários
Todo acesso ao produto é dividido por módulos, que são mostrados nas colunas Módulos
leitura e Módulos gravação. Os usuários podem ser cadastrados com acesso somente à
leitura, assim como, acesso total aos módulos (leitura e gravação).
4.9.1.3 Grupos
Permite definir o acesso de usuários que estiverem nos grupos configurados e, para que
funcione, é necessário que tenha sido ativado a autenticação LDAP e configurado o perfil
LDAP corretamente.
4.9.2 Certificado
Apresenta detalhes sobre o certificado utilizado pelo produto. Por padrão é utilizado um
certificado auto-assinado, isto significa que os browser não conseguirão validar o certifi-
cado pois o mesmo não foi gerada por uma Autoridade Certificadora (CA) conhecida.
Caso seja adquirido um certificado válido por entidades certificadoras, o mesmo pode ser
utilizado pelo produto, e para isto, basta fazer upload de um arquivo contendo tanto o
certificado quanto a chave no formato PEM.
4.9.3 Backup
Através do menu backup é possível realizar três funções: Gerar backup, Restaurar backup
e Reiniciar configurações. Esta modalidade de backup não inclui dados, apenas configu-
rações. Portanto, qualquer outro tipo de backup deve ser realizado a parte.
Ao clicar no botão Gerar backup, um arquivo é gerado e fica disponível para download.
Este arquivo pode ser salvo em qualquer equipamento e utilizado futuramente para res-
taurar alguma configuração, através do botão Restaurar backup. O botão Reiniciar confi-
gurações reinicia todas as configurações de fábrica do produto.
O agendamento de backup remoto é possível de ser realizado através de FTP, SSH, SMB e
Email. Para isso é necessário antes de criar o agendamento propriamente dito, adicionar
um ou mais métodos de backup remoto, através da opção Adicionar servidor.
4.9.4.1 Agendamento
4.9.4.2 Servidores
Uma vez adicionado o método a ser utilizado para o backup remoto, então o agendamento
pode ser realizado através da opção Adicionar agendamento. Os agendamentos podem
ser diários, semanais ou mensais. Podem ser cadastrados mais de um tipo de backup e
agendamento, suprindo a necessidade de cada tipo de negócio.
Nota: As definições do servidor SMTP utilizado para envio são definidas na tela de perfis
SMTP em Administração / Perfis SMTP.
Os registros de eventos e demais logs gerados pela solução podem ser exportados por
completo ou por módulos para um servidor de logs remoto (padrão syslog). Desta maneira,
além de gravar as informações localmente, os registros são direcionados para a lista de
servidores cadastradas.
• Autenticação: Registros de sucesso e falha nas autenticações
• Agendamento: Serviço de agendamento de serviços (CRON)
• Depuração: Informações para depuração
• Serviço DHCP: Logs do serviço de DHCP
• Serviço IPSec: Registros de conexões IPSec
• Informações/notícias: Informações gerais e notícias geradas pelo sistema operaci-
onal e aplicativos
• Serviço DNS: Registros do serviço de DNS
• Segurança: Informações relacionadas à segurança
• IPS: Registro do serviço de prevenção de intrusão
4.9.6 Salvar
Todas as alterações realizadas no produto precisam ser devidamente salvas para assegu-
rar que no caso de uma reinicialização do equipamento o ambiente retorne ao estado de
produção.
Além de copiar a configuração atual para a inicialização, é possível também manter uma
configuração de backup.
4.9.7.1 Arquivos
Nota: As bases de dados estão no formato SQLite3 e podem ser livremente gerenciadas
por outras ferramentas de análise, conforme necessidade, uma vez que o propósito do
produto não é a entrega de relatórios, gráficos e formatos de pesquisas complexos.
Permite definir uma política de remoção de acordo com a utilização de disco onde ficam
os bancos de dados.
• Estado: Ativa a política de remoção automática das bases de dados.
• Compressão: Define a quantidade de meses a partir da qual as bases devem ser
compactadas. O padrão são 3 meses.
• Política de remoção: A política linear remove todos os bancos do mesmo tipo antes
de iniciar a remoção dos demais. Por outro lado, não linear remove os bancos mais
antigos de acordo com a ordem definida até atingir o limite configurado de encerra-
mento de remoção. O padrão é não linear.
• Início de remoção: Percentual de uso de armazenamento em que deve-se iniciar a
remoção das bases de dados mais antigas. O padrão é 90%.
• Encerramento de remoção: Percentual de espaço livre após o início da remoção.
O padrão é 80%.
• Ordem de remoção: Ordem em que as bases de dados serão removidas (de cima
será removido primeiro) para manter o espaço livre configurado. O padrão é nenhum
banco selecionado.
• E-mails de administradores: Endereço de e-mail do administrador a ser notificado
das ações de política de remoção.
No exemplo da figura abaixo a política de remoção está ativa e definida para compactar
os bancos de dados mais antigos do que 3 meses, além de remover de forma não-linear
os bancos selecionados quando a utilização de disco for igual ou maior do que 90% e
interromper a remoção quando chegar à 80% ou menos de utilização.
Permite a criação de perfis SMTP que podem ser associados aos módulos que utilizam do
serviço de envio de e-mail para gerar notificações.
4.9.8.1 Configurações
Define quais perfis devem ser utilizado por cada módulo. O padrão é não utilizado onde
os módulos que fazem uso do serviço de envio de e-mail utilizarão o perfil global, se con-
figurado.
• Global: Define o perfil global que será utilizado por todos os módulos que fazem uso
do serviço de envio de e-mail.
• Notificações: Define perfil utilizado pelo módulo de notificações. O padrão é não
utilizado onde é utilizado o perfil global.
• Pendências: Define perfil utilizado pelo módulo de pendências do Proxy Web. O
padrão é não utilizado onde é utilizado o perfil global.
• E-mails automáticos: Define perfil utilizado pelo módulo de relatório automático.
O padrão é não utilizado onde é utilizado o perfil global.
• Monitor de links: Define perfil utilizado pelo módulo de monitor de links. O padrão
é não utilizado onde é utilizado o perfil global.
• Backup: Define perfil utilizado pelo módulo de agendamento de backup. O padrão
é não utilizado onde é utilizado o perfil global.
Permite o gerenciamento de perfis SMTP, estes que podem ser posteriormente associados
aos módulos que fazem uso do serviço, ou utilizado de forma global.
Permite a criação de perfis LDAP que podem ser associados aos módulos que utilizam o
serviço de autenticação LDAP.
4.9.9.1 Configurações
Define quais perfis devem ser utilizado por cada módulo. O padrão é não utilizado onde
os módulos que fazem uso do serviço de autenticação LDAP utilizarão o perfil global, se
configurado.
• Global: Define o perfil global que será utilizado por todos os módulos que fazem uso
do serviço de envio de e-mail.
• Proxy Web: Define perfil utilizado pelo módulo de autenticação do Proxy Web. O
padrão é não utilizado onde é utilizado o perfil global.
• VPN SSL: Define perfil utilizado pelo módulo de autenticação em VPN SSL (modo
servidor). O padrão é não utilizado onde é utilizado o perfil global.
• Portal Cativo: Define perfil utilizado pelo módulo de autenticação do Portal Cativo.
O padrão é não utilizado onde é utilizado o perfil global.
• Usuários: Define perfil utilizado pelo módulo de autenticação da interface do pro-
duto. O padrão é não utilizado onde é utilizado o perfil global.
• Autencador do Firewall: Define perfil utilizado pelo módulo de autenticação no
autencador do Firewall. O padrão é não utilizado onde é utilizado o perfil global.
Permite o gerenciamento de perfis LDAP, estes que podem ser posteriormente associados
aos módulos que fazem uso do serviço, ou utilizado de forma global.
4.10 Notificações
4.10.1 Configurações
Nota: As definições do servidor SMTP utilizado para envio são definidas na tela de perfis
SMTP em Administração / Perfis SMTP.
As notificações com tipo de saída interface são apresentadas no canto superior direito no
ícone de notificações e os detalhes das notificações podem ser visualizadas em Relatórios
/ Notificações.
4.10.2 Firewall
• Limite de arquivos abertos: Número máximo de arquivos que podem ser abertos
pelo Proxy Web. O padrão é 900.
• Limite de conexões por endereço IP: Número máximo de conexões simultâneas
por endereço IP. O padrão é 200.
• Limite de conexões simultâneas: Número máximo de conexões simultâneas. O
padrão é 20000.
4.10.4 VPN
As notificações do módulo de VPN são geradas somente com base na conexão e desconexão
de certificados, extremamente útil para acompanhamento de conexões de colaboradores,
fornecedores e outros.
4.10.4.1 Servidores
4.10.4.2 Certificados
4.10.5 Sistema
4.10.5.1 Geral
4.10.5.2 Armazenamento
Permite gerar notificação quando a utilização de disco for igual ou superior ao limite con-
figurado. Segue abaixo a lista das partições que são configuradas por padrão.
• /: Limite de 80% de utilização
• /ostec/conf: Limite de 80% de utilização
• /ostec/startup: Limite de 80% de utilização
• /ostecrw: Limite de 90% de utilização
Permite gerar notificação quando houver erros e/ou colisões nas interfaces de rede moni-
toradas.
4.11 Ferramentas
4.11.1 Ping
O ping pode ser utilizado para testar a conectividade entre equipamentos de rede, desde
que os mesmos não estejam filtrando pacotes ICMP.
• Endereço: Destino Endereço no qual será disparado o ping.
• Endereço Origem: Endereço no qual será originado.
• Requisições: Números de requisições ping a ser enviada.
• Espera: Tempo de espera entre cada envio.
• Tamanho: Tamanho do pacote ping a ser enviado (o padrão é 64 bytes).
4.11.2 ARPing
Pode ser utilizado para testar a conectividade utilizando tanto pacotes ARP quando IP para
o endereço informado.
4.11.3 Traceroute
Para obter informações sobre o caminho que um pacote percorre da solução até chegar
ao seu destino, basta utilizar o traceroute. Para isso basta digitar o endereço IP ou FQDN,
se preferir, também definir um tempo de espera em segundos entre os saltos.
Utilizado para verificar os registros DNS de um determinado servidor, por padrão, a con-
sulta é realizada pelo servidor DNS que está configurado na solução. Caso seja necessário
consultar em outro servidor DNS, o campo servidor deve ser preenchido.
Esta opção funciona como uma verificação TCP a determinada porta, basta adicionar o
endereço e porta de destino. O retorno é processado e informado ao requerente.
Esta ferramenta é utilizada para verificar a comunicação da solução com a Internet. Di-
versos itens são testados em formato de passo-a-passo para que seja identificado em que
ponto há alguma anormalidade de acesso.
A opção consulta OUI (Organizationally Unique Identifier) é utilizada para verificar a ori-
gem do fabricante de um determinado MAC. São utilizados os três primeiros octetos do
endereço físico da placa de rede para determinar o fabricante.
Esta ferramenta coleta e analisa informações de pacotes que atravessam uma determinada
interface. Após a interceptação, as informações são apresentadas através da interface ou
são disponibilizadas para download, em formato PCAP. O recurso está segmentado em
Básico e Avançado.
4.11.8.1 Básico
4.11.8.2 Avançado
A grande diferença entre o básico e avançado é a presença do campo condição neste caso.
A condição é uma expressão no formato BPF utilizada para aplicar um filtro a coleta de
pacotes que atravessam a interface. Exemplos de utilização:
• host 192.168.50.1 and (port 25 or port 465 or port 587): Filtra todos os pacotes
cujo endereço IP de origem ou destino seja 192.168.50.1 e a porta de origem ou
destino seja 25, 465 ou 587.
• (net 192.168.50.0/24 or host 192.168.60.1 or host 192.168.60.2) and ((port
8081 or port 8082) or icmp): Filtra todos os pacotes caso o endereço IP de origem
ou destino seja 192.168.60.1 ou faça parte da rede 192.168.50.0/24. A conexão pre-
cisa ser uma requisição ICMP ou uma conexão TCP ou UDP. Se a conexão for TCP ou
UDP é necessário também que a porta de origem ou destino seja a 8081 ou 8082.
No exemplo da figura acima foram capturados os pacotes que passaram pela interface
wan e com destino à 8.8.8.8 (em qualquer porta) ou para qualquer destino mas na porta
587.
4.12 Sistema
O serviço de NTP pode ser utilizado no modo cliente ou servidor. O primeiro passo é definir
o modo de utilização, e posteriormente criar as configurações que reflitam a necessidade
do ambiente.
• Servidor NTP principal: Define o endereço do servidor NTP principal.
• Servidores NTP: Lista dos servidores NTP que serão utilizados para sincronizar a
data/hora.
• Redes confiáveis: Redes que podem acessar este servidor NTP.
4.12.2 Reiniciar
4.12.3 Desligar
4.13 Licença
Antes que a solução possa ser devidamente utilizada, é necessário fazer a ativação da
liceņca de uso. O modelo de licenciamento adotado permite a utilização de um único
número de série por equipamento.
Desta forma, ao instalar uma cópia da solução em outro equipamento, é necessário outro
número de série, que deve ser adquirido diretamente com a OSTEC. Após a ativação, a
licença é automaticamente renovada a cada trinta dias.
Existem bundles de segurança que são comercializados com licenças individuais, e por-
tanto, o licenciamento base da solução não permite a utilização dos mesmos. Consulte a
OSTEC em caso de dúvidas.
CAPÍTULO 5
RELATÓRIOS
5.1 Administração
Recurso de auditoria das ações que são realizadas pelos usuários que possuem acesso a
solução. Todas as intervenções geradas são devidamente auditadas e ficam disponíveis
para consultas através de formulário.
124
Manual |
5.2 Firewall
5.2.1 Autenticador
Todo redirecionamento de portas ou regras de filtragem que são definidas com a flag log
geram eventos na solução. Estes eventos podem ser visualizados através deste módulo,
obtendo informações como data, hora, endereço de origem, endereço de destino, portas
de conexão envolvidas, ação sobre o tráfego, fluxo, entre outras coisas.
Nota: Para o funcionamento adequado deste recurso é necessário que o serviço fwlogd
esteja devidamente ativado em Serviços / Gerenciamento.
Registros de conexões que bateram nas regras definidas em controle de aplicação com a
flag log ativa.
Através do top talkers é possível verificar o número total de conexões, assim como os
protocolos, portas, endereço IP de origem e endereço IP de destino que mais estão gerando
conexões em tempo real.
Este gráfico tem como finalidade mostrar ao longo do tempo as mudanças de status que
ocorreram no cluster. Uma vez que uma determinada configuração esteja no formato ativo-
passivo, é então possível verificar momentos que o outro nó assumiu a responsabilidade
de processamento.
A tabela de conexões é um recurso utilizado pela filtragem stateful que mantém regis-
tro de todo estado das conexões. Desta forma, é possível não somente analisar os pares
de conexão e serviços, mas acompanhar o tráfego das conexões, permitindo identificar
eventuais não conformidades com o perfil de tráfego da empresa.
Através deste recurso, também é possível filtrar determinados tipos de informações, bem
como selecionar conexões que devem ser devidamente finalizadas. Uma conexão fina-
lizada não é uma conexão bloqueada, os bloqueios permanentes devem ser realizados
através do menu Firewall - Regras de filtragem.
Nota: É possível gerar PDF a partir de uma impressão. Para isto basta realizar uma pes-
quisa e se houver registros no período consultado, aparecerá o ícone de uma impressora
no canto superior direito e ao clicar será possível imprimir em PDF. O Google Chrome tem
a opção para imprimir em PDF, mas caso o seu browser não tenha este recurso, existem
drivers específicos para simular uma impressora e imprimir em arquivo PDF.
Nota: Note que a diferença entre o tipo de saída Domínio para o tipo de saida Acessos é
que no primeiro caso os dados são agrupados por domínio.
Nota: Note que nesse tipo de saída os dados não são agrupados e portanto será apre-
sentado todos os acessos individualmente.
Figura13: Relatório gerencial do Proxy Web com tipo de saída Acessos detalhados.
Nota: A informação de tempo total de uso não é exata. Não é possível apresentar a infor-
mação exata que o usuário gastou em determinado acesso, pois é comum os equipamentos
realizarem e manterem conexões o tempo todo, conexões essas que não são visualizadas
pelo usuário. Portanto é comum visualizar tempo de uso extremamente elevado.
Tem por finalidade apontar o relatório de acesso diretamente para as conexões bloquea-
das, auxiliando na liberação de recursos que deveriam estar liberados, ou simplesmente
para verificar as tentativas de acessos não autorizados. Essa mesma consulta pode ser
realizada no formulário padrão de acesso.
Permite visualizar, em tempo real, as conexões ativas do proxy de acordo com o tempo
de atualização de tela definido. Esta opção apresenta informações importantes como,
número de usuários conectados, número de conexões, velocidade de todos os acessos, por
equipamento, velocidade média, tamanho e tempo de acesso.
5.3.5 Gráficos
5.4 VPN
5.4.1 Registros
5.4.1.1 SSL
Todas as informações do serviço VPN-SSL podem ser visualizadas nesta tela, quanto maior
o nível de detalhamento configurado no serviço, maior a quantidade de informações que
serão apresentadas.
5.4.1.2 IPSec
Todas as informações do serviço IPSec podem ser visualizadas nesta tela, quanto maior
o nível de detalhamento configurado no serviço, maior a quantidade de informações que
serão apresentadas.
5.4.3 Histórico
5.4.4 IPSec
5.5 IPS
5.5.1 Eventos
Todos os eventos registrados pelo módulo de Prevenção de Intrusão podem ser consultados
em formato básico ou avançado. Existem diversos campos de pesquisa que podem ser
utilizados para facilitar a visualização. Por padrão, são listados os eventos do dia corrente.
Para cada evento, é possível detalhar suas informações, incluíndo em alguns casos do
próprio pacote que originou o evento (cabeçalhos e payload). Em casos de caracterização
de um ataque, estas informações são fundamentais para as equipes de segurança
Mostra todas as conexões em tempo real que foram bloqueadas pelo IPS.
5.6.1 Ativos
Exibe online os usuários do Portal Cativo autenticados no sistema. É exibido Logado em,
quando o usuário realizou login no sistema, Nome do usuário, Grupo, Endereço IP, Ende-
reço MAC e Última resposta (utilizado para contabilizar a inatividade). Através da coluna
Ação é possível finalizar a conexão de determinado usuário, onde é forçado uma nova
autenticação caso o usuário tente novo acesso
5.6.2 Auditoria
Possibilita analisar de forma gráfica o consumo das conexões nas interfaces de rede assim
como avaliar o consumo de banda online.
5.7.1 Gráficos
O consumo de tráfego e pacotes pode ser visualizado, por interface, online. Esta opção é
extremamente útil para identificar anormalidades de tráfego permitindo maior aprofun-
damento na solução para busca da causa-raiz.
• Interface: Nome da interface mapeada
• Física: Nome da interface física
• Descrição: Descrição informada da interface
• Velocidade: Tráfego passando pela interface no momento. Subdividido em En-
trada/Saída (KB/s)
• Pacotes: Número de pacotes por segundo passando pela interface. Subdividido em
Entrada/Saída (p/s)
• Tráfego: Tráfego total realizado na interface. Subdividido em Entrada/Saída (MB/s)
Uma outra forma de visualizar o consumo online das interfaces é através de gráficos.
Neste caso ao selecionar a interface o gráfico é automaticamente atualizado, no intervalo
e no formato definido (banda, tráfego)
As conexões geradas nas interfaces podem ser monitoradas por endereços IP. Nesse local
é possível analisar o tráfego de acordo com a interface, todos os endereços que estão
gerando conexão no momento, identificando potenciais gargalos.
• Interface: Interface para monitoramento de consumo
• Ordenação: Forma de ordenação para visualização dos registros
• Limite de endereços: Número de endereços a serem visualizados
• Atualização: Intervalo de atualização do conteúdo de consumo
Para iniciar o processo de análise, após a seleção do formato de monitoramento, basta
clicar no botão Atualizar. O item finalizar e bloquear conexões permite resetar conexões
ou bloquear temporariamente que estejam, eventualmente, gerando algum problema com
alto tráfego na rede.
Para garantir um tempo automático de liberação de endereços bloqueados, pode-se ativar
o recurso de remoção automática através do item Opções de remoção. A ação pode ser
realizada em uma frequência de tempo, ou também agendada ao longo do tempo.
Nota: Endereços bloqueados por este módulo são cadastrados como um grupo de ende-
reço, denominado EnderecosBloqueados, e podem ser removidos automaticamente após
determinado período, ou, manualmente através do menu Firewall / Configurações /
Grupo de endereços.
Permite configurar o módulo para manter registro permanente do consumo por IP.
Para ativar basta selecionar as interfaces a serem monitoradas.
Nota: Este recurso tem alto consumo de armazenamento portanto é importante ativar o
tempo de retenção para evitar paralisação de serviços.
Os registros são adicionados na base a cada 5 minutos e podem ser verificados posterior-
mente na aba Relatório.
Esta parte dos relatórios está focada no módulo do Monitor de Links, trazendo varias infor-
mações importantes como indisponibilidade de links, gateways, gráficos de desempenho
de links, etc.
5.8.1 Gateways
Este relatório mostra as alterações que ocorreram com determinado Gateway, informando
a causa do estado ter ficado indisponível bem como o horário do ocorrido.
5.8.2 Links
5.8.3 Perfis
Neste relatório temos uma visão em formato de gráfico sobre a latência, perda de pacotes
e o estado dos Gateways em determinado dia/horário
Aqui visualiza-se em formato de gráfico a latência, perda de pacotes e o estado dos links
em determinado dia/horário
5.9 Hardware
Nota: Alguns serviços como proxy, DNS e outros fazem máximo uso de memória para
aumentar a performance do ambiente. Portanto, um alto consumo não significa necessa-
riamente um problema. No entanto, a utilização de swap é um sintoma que na ocorrência,
deve ser melhor avaliado.
Mostra a carga média de processamento ao longo do tempo. Pode ser definido um período
de avaliação para facilitar a coleta da informação desejada.
Nota: Os critérios utilizados pela OSTEC para definir os valores de baixo, normal, acima
do normal, alto e muito alto são extremamente agressivos. Portanto, picos de alto e muito
alto, ao longo do dia, são considerados normais.
Os e-mails automáticos permitem que determinados tipos de eventos sejam recebidos por
pessoas responsáveis através de e-mail, sem necessidade de recorrer a solução para ex-
trair as informações que deseja obter. É uma maneira importante e fácil de acessar infor-
mações a respeito da operação do ambiente e usuários, sem depender de departamentos
de tecnologia.
5.10.1 Configurações
Nota: As definições do servidor SMTP utilizado para envio são definidas na tela de perfis
SMTP em Administração / Perfis SMTP.
5.10.2 Relatórios
Os relatórios disponibilizados pela solução ficam armazenados neste menu, onde é possível
criar as condições inerentes a necessidade do gestor, administrador ou usuário. É possível
enviar tipos de relatórios, com periodicidades diferentes, filtrando pessoas e endereços. É
possível enviar e-mails resumido de toda a operação, ou somente das maiores ocorrências,
entre outros.
• Nome: Nome da configuração do envio de relatórios
• Endereços de e-mail: Endereços de e-mail que devem receber os relatórios. Sepa-
rar os endereços por espaço ou linha nova
• Período: Período que deve ser enviado os relatórios
• Tipo de filtro: Tipo de filtro a ser aplicado nos registros
• Conteúdo do filtro: Conteúdo que será aplicado ao tipo de filtro acima
• Número de registros: Número máximo de registro a ser exibido nos relatórios do
tipo TOP
• Tempo utlização: Define se no relatório deve ser apresentado uma coluna com o
tempo de utilização
• Relatórios: Relatórios disponíveis para serem enviados automaticamente para en-
dereços de e-mail. Selecione um ou mais relatórios de preferência ou propósito
5.11 Sistema
5.11.1 Eventos
Qualquer tratamento de exceção gerado pela solução será mostrado nesta tela. Os eventos
são registrados, possibilitando fazer pesquisas que foram geradas desde o período de
funcionamento da solução.
5.12 Notificações
Todas as notificações que são geradas através de e-mail ou pela interface da solução tam-
bém são registradas em base para que consultas possam ser realizadas ao longo do tempo.