Manual Ostec NGFW

MANUAL DO
USUÁRIO
Conheça todos os recursos do
produto OSTEC NGFW e torne-
se um verdadeiro guardião de
resultados.
CENTRAL DE Segurança digital de resultados

SERVIÇOS 48 3052-8500
Manual |
CONTEÚDO
1 Instalação 1
2 Interface 8
2.1 Primeiro acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.1.1 Termo de uso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.1.2 Licenciamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.1.3 Menu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3 Dashboard 11
4 Configurações 12
4.1 Configurações de rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
4.1.1 Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
4.1.1.1 Mapeamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
4.1.1.2 Estatísticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
4.1.1.3 Endereçamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
4.1.1.4 VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
4.1.1.5 Trunking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
4.1.2 Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
4.1.3 Servidores DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
4.1.4 Hostname . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4.1.5 Roteamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4.1.5.1 Estático . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4.1.5.2 Tabela . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
4.1.6 DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
4.1.6.1 Configuração . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
4.1.6.2 Subrede Compartilhada . . . . . . . . . . . . . . . . . . . . . . . . 23
4.1.6.3 Grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
4.1.6.4 Usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.1.6.5 Importar/exportar usuários . . . . . . . . . . . . . . . . . . . . . . 25
4.1.6.6 Opções personalizadas . . . . . . . . . . . . . . . . . . . . . . . . . 25
4.1.6.7 Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
4.1.6.8 Alocações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
4.1.7 Monitor de links . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.1.7.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.1.7.2 Links . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.1.7.3 Condições . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.1.7.4 Perfis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.1.8 DNS Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.1.9 ARP Cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.1.9.1 Atribuições . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.1.9.2 Tabela . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
i
Manual |
4.2 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.2.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.2.1.1 Política padrão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.2.1.2 Opções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.2.1.3 Macros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.2.1.4 Grupos de endereços . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.2.1.5 Controle por país . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
4.2.1.6 Alta disponibilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
4.2.2 Autenticador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.2.2.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.2.2.2 Usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
4.2.3 Controle de Banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.2.3.1 Filas download . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.2.3.2 Regras download . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.2.3.3 Filas upload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.2.3.4 Regras upload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.2.4 Tradução de Endereços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.2.4.1 NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
4.2.4.2 Mapeamento 1:1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4.2.4.3 Redirecionamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4.2.5 Regras de Filtragem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
4.2.5.1 Cadastro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
4.2.5.2 Edição . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
4.2.5.3 Opções avançadas . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
4.2.6 Controle de Aplicação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
4.2.6.1 Opções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
4.2.6.2 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
4.3 Proxy Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
4.3.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
4.3.1.1 Opções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
4.3.1.2 Autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
4.3.1.3 Balanceamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.3.1.4 Mensagem de erro . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.3.1.5 ICAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
4.3.2 Anti-Vírus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
4.3.2.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
4.3.2.2 ICAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
4.3.2.3 Lista de liberação . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
4.3.2.4 Bloqueio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
4.3.3 WPAD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
4.3.3.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.3.3.2 Portas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.3.3.3 Origem/Destino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.3.4 Pendências . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
4.3.4.1 Solicitações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
4.3.4.2 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
4.3.4.3 Ativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
4.3.4.4 Aceitas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
4.3.4.5 Rejeitadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
4.3.5 Categorias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
4.3.6 Listas de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
4.3.7 Regras de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
4.3.8 Controle de banda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
4.3.9 Limite de downloads . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
4.3.10 Requisições de Cabeçalho . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
4.4 Rede Virtual Privada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
4.4.1 SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
4.4.1.1 Modo Cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
ii
Manual |
4.4.1.2 Modo Servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

4.4.2 IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
4.4.2.1 VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
4.4.2.2 Sub-redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
4.5 IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
4.5.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
4.5.1.1 Opções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
4.5.1.2 Variáveis pré-definidas . . . . . . . . . . . . . . . . . . . . . . . . . 75
4.5.1.3 Variáveis personalizadas . . . . . . . . . . . . . . . . . . . . . . . . 76
4.5.2 Categorias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
4.5.2.1 Categorias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
4.5.2.2 Opções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
4.5.3 Módulos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
4.5.4 Regras customizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
4.6 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
4.6.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
4.6.1.1 Opções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
4.6.1.2 Outra opções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
4.6.2 Listas de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
4.6.3 Splits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
4.6.4 Zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
4.6.4.1 Zonas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
4.6.4.2 Opções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
4.6.4.3 Parâmetros globais (SOA) . . . . . . . . . . . . . . . . . . . . . . . 88
4.6.4.4 Registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
4.7 Portal Cativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
4.7.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
4.7.2 Portais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
4.7.2.1 Portais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
4.7.2.2 Layout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
4.7.2.3 Autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
4.7.3 Usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
4.7.3.1 Cadastro de usuário . . . . . . . . . . . . . . . . . . . . . . . . . . 94
4.7.3.2 Cadastro de vouchers . . . . . . . . . . . . . . . . . . . . . . . . . 96
4.8 Serviços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
4.8.1 Gerenciamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
4.8.2 Proxy FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
4.8.2.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
4.8.2.2 Endereços Reversos . . . . . . . . . . . . . . . . . . . . . . . . . . 99
4.8.3 SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
4.8.3.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
4.8.3.2 Comunidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
4.8.3.3 Usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
4.8.3.4 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
4.8.4 DNS Dinâmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
4.9 Administração . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
4.9.1 Usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
4.9.1.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
4.9.1.2 Usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
4.9.1.3 Grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
4.9.2 Certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
4.9.3 Backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
4.9.4 Agendamento de Backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
4.9.4.1 Agendamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
4.9.4.2 Servidores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
4.9.5 Exportação de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
4.9.6 Salvar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
4.9.7 Banco de Dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
iii
Manual |
4.9.7.1 Arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

4.9.7.2 Política de remoção . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
4.9.8 Perfis SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
4.9.8.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
4.9.8.2 Perfis SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
4.9.9 Perfis LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
4.9.9.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
4.9.9.2 Perfis LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
4.10 Notificações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
4.10.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
4.10.2 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
4.10.3 Proxy Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
4.10.4 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
4.10.4.1Servidores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
4.10.4.2Certificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
4.10.5 Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
4.10.5.1Geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
4.10.5.2Armazenamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
4.10.5.3Interfaces de rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
4.11 Ferramentas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
4.11.1 Ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
4.11.2 ARPing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
4.11.3 Traceroute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
4.11.4 Consulta DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
4.11.5 Teste TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
4.11.6 Teste Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
4.11.7 Consulta OUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
4.11.8 Análise de pacotes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
4.11.8.1Básico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
4.11.8.2Avançado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
4.12 Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
4.12.1 Data e hora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
4.12.1.1Configuração NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
4.12.2 Reiniciar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
4.12.3 Desligar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
4.13 Licença . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
5 Relatórios 124
5.1 Administração . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
5.2 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
5.2.1 Autenticador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
5.2.2 Acesso a Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
5.2.3 Controle de Aplicação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
5.2.4 Top Talkers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
5.2.5 Gráfico de Estados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
5.2.6 Gráfico de Cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
5.2.7 Tabela de Conexões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
5.3 Proxy Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
5.3.1 Relatório Gerencial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
5.3.2 Conexões Negadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
5.3.3 Informações Gerais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
5.3.4 Conexões Ativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
5.3.5 Gráficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
5.4 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
5.4.1 Registros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
5.4.1.1 SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
5.4.1.2 IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
5.4.2 Conexões Ativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
iv
Manual |
5.4.3 Histórico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

5.4.4 IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
5.5 IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
5.5.1 Eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
5.5.2 Conexões Bloqueadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
5.6 Portal Cativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
5.6.1 Ativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
5.6.2 Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
5.7 Utilização de Link . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
5.7.1 Gráficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
5.7.2 Consumo online . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
5.7.3 Gráfico Online . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
5.7.4 Consumo por IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
5.7.5 Histórico de Consumo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
5.8 Monitor de Links . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
5.8.1 Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
5.8.2 Links . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
5.8.3 Perfis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
5.8.4 Gráfico de Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
5.8.5 Gráfico de Links . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
5.9 Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
5.9.1 Utilização de CPU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
5.9.2 Utilização de Memória . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
5.9.3 Utilização de Disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
5.9.4 Carga Média . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
5.10 E-mails Automáticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
5.10.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
5.10.2 Relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
5.11 Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
5.11.1 Eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
5.12 Notificações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
v
Manual |
CAPÍTULO 1
INSTALAÇÃO
A instalação do produto é um procedimento de baixa complexidade e extremamente rápido

de ser realizado. Para isso, basta ter acesso a imagem ISO da solução e iniciar o processo
de instalação, que está segmentado em duas etapas. O primeiro passo após o processo de
boot é a definição do idioma que será utilizado, o padrão é português.
Figura1: Seleção do idioma para instalação
Após ler as informações de boas-vindas, basta sair, pressionando a tecla [q], para dar
continuidade a instalação da solução. Por padrão a opção [I] (instalação) é mostrada,
bastando apenas pressionar [ENTER] para proceder com a instalação ou [S] para retornar
ao shell
1
Manual |
Figura2: Tela de boas-vindas
A tela seguinte traz informações gerais com relação ao procedimento de instalação. É

muito importante ler as informações com atenção para ficar a par do funcionamento e
atalhos da instalação do produto. Depois, basta pressionar [ENTER] para continuar.
Figura3: Informações gerais do processo de instalação
A próxima etapa define o mapa do teclado a ser utilizado. Por padrão o teclado vêm pré-
configurado como “br”. Utilize “us” caso o teclado seja padrão americano. A lista com os
mapas de teclados suportados podem ser vistos digitando “?” seguido de [ENTER].
Release 5.4.8 2
Manual |
Figura4: Seleção do mapa de teclado
O próximo passo é somente uma confirmação de continuação da instalação, a opção “sim”

vem definida como padrão. Caso não queira prosseguir com a instalação basta digitar
“não” e chamar a instalação novamente com o comando install, retornando à tela de in-
formações gerais.
Uma vez continuado, os dispositivos de armazenamento serão listados (caso tenha mais de
um). Com o disco é necessário informar o tipo de particionamento: GPT (padrão) ou MBR
(compatibilidade com devices mais antigos). Para continuar basta pressionar [ENTER].
Figura5: Discos disponíveis e formato de particionamento
Release 5.4.8 3
Manual |
Nota: O disco mínimo exigido é de 20GB. Deve-se notar também que a quantidade e
tamanho das partições variam de acordo com o tamanho do disco, o modelo de particio-
namento utilizado é selecionado automaticamente dependendo do tamanho do disco.
Após a confirmação de continuidade será mostrado um resumo da estrutura de particio-

namento. A partir desse momento todos os dados existentes no dispositivo de armazena-
mento serão removidos.
Figura6: Resumo do particionamento
Na sequência da formatação dos discos serão instalados os pacotes, o tempo da instalação

pode variar de acordo com a capacidade do dispositivo, mas em média não ultrapassa 3
minutos
Release 5.4.8 4
Manual |
Figura7: Instalação dos pacotes
Com a finalização da instalação de pacotes inicia-se a segunda etapa da instalação que

consiste basicamente na configuração de parâmetros essenciais para o acesso ao produto.
O primeiro passo trata-se das configurações de rede para permitir o acesso a interface de
gerenciamento da solução.
Figura8: Configuração de parâmetros de rede
Nota: A configuração de rede é necessária para validação posterior da licença. Isto

significa que além da definição do endereço IP de acesso, deve-se também especificar o
gateway e pelo menos um servidor DNS de forma que o equipamento onde está sendo
Release 5.4.8 5
Manual |
instalado o OSTEC NGFW tenha acesso irrestrito à internet.
Após as configurações de rede são solicitadas configuração de localização, senha para os

usuários, data e horário. Estes usuários referem-se ao acesso CLI e devem ser devida-
mente armazenados para qualquer necessidade.
Figura9: Finalização da instalação
Após finalizado a instalação conforme imagem acima, basta pressionar [ENTER] e o equi-
pamento será reiniciado para a conclusão da instalação.
Figura10: Tela de boas-vindas após a reinicialização da última etapa
Release 5.4.8 6
Manual |
Nota: Sempre que o equipamento iniciar, será apresentado na console o endereço IP con-
figurado na interface LAN, este endereço deve ser utilizado no seu browser de preferência
para acesso à tela de administração do OSTEC NGFW.
Release 5.4.8 7
Manual |
CAPÍTULO 2
INTERFACE
2.1 Primeiro acesso
Ao acessar a interface do OSTEC NGFW através de seu IP da interface LAN definido na ins-
talação será solicitada um usuário e senha para acesso, por padrão ambos são admin.
Figura1: Tela de login no primeiro acesso
8
Manual |
2.1.1 Termo de uso
Ao efetuar o login pela primeira vez será exibido os termos de uso do produto, que des-
creve algumas regulamentações que a empresa usuária do produto deve aceitar para po-
der prosseguir a interface e utilizar o OSTEC NGFW normalmente.
Basta selecionar a opção “Declaro que li, compreendi e concordo com os termos de li-
cença do software” e clicar em “Aceitar”
Figura2: Termo de uso do produto
2.1.2 Licenciamento
Ao invés de ser exibida a Dashboard do produto, por ser o primeiro acesso, será auto-
maticamente redirecionado para a tela de licença do OSTEC NGFW, onde deve ser infor-
mado um número de série para ser validado pela OSTEC.
Caso não possua um número de série, ele pode ser adquirido com o time comer-
cial ou o time de suporte da OSTEC.
Nota: Antes de validar o numero de série é necessário verificar se as con-

figurações do gateway do OSTEC NGFW estão corretas pois para que a li-
cença seja corretamente verificada o equipamento deve ter conexão com a inter-
net, tendo em vista que se trata de uma validação online.
2.1. Primeiro acesso Release 5.4.8 9

Manual |
Figura3: Configurando a licença fornecidade pela OSTEC
Caso a licença seja instalada com sucesso será apresentada a informação de validade da
mesma conforme imagem abaixo.
Figura4: Dados da licença instalada
2.1.3 Menu
As opções apresentadas no menu superior possibilitam o acesso as configurações do pro-

duto para gerenciamento, aos relatórios mais variados para analises diversas, a dashboard
para visualizar de forma resumida algumas configurações e relatórios como também op-
ções que possibilitam alterar o idioma da interface, verificar as notificações e visualização
do usuário logado.
• Dashboard: Mostra a tela inicial contendo algumas informações do OSTEC NGFW
• Configurações: Acesso as configurações do OSTEC NGFW
• Relatórios: Acesso aos relatórios do OSTEC NGFW
• Troca de idioma: Permite mudar o idioma das opções exibidas na interface do OS-
TEC NGFW
• Usuário: Mostra o usuário que realizou a autenticação
• Notificações: Realiza a notificação dos alertas configurados no módulo Notificações
• Logout: Encerra a sessão do usuário autenticado no produto
2.1. Primeiro acesso Release 5.4.8 10

Manual |
CAPÍTULO 3
DASHBOARD
A Dashboard do UTM traz as informações mais importantes para uma visualização

mais agil, como conexões bloqueadas, portas bloqueadas, informações basicas do sis-
tema/hardware, utilização de recursos entre muitas outras.
Figura1: Dashboard do OSTEC NGFW.
11
Manual |
CAPÍTULO 4
CONFIGURAÇÕES
4.1 Configurações de rede
Através do menu Configurações de rede estão todas as definições de rede relacionadas

ao produto. O menu oferece acesso ao endereçamento de interfaces, VLAN, trunk, rotea-
mento, resolver e relay DNS, monitoramento de links automático, DHCP e outros.
4.1.1 Interfaces
Responsável pelo gerenciamento das interfaces físicas e lógicas, endereçamento, estatís-

ticas, VLAN e trunking.
4.1.1.1 Mapeamento
O mapeamento de interface tem como objetivo primeiro criar uma vinculação entre nome
simbólico e físico de interfaces de rede. Durante o processo de instalação, na plataforma
software (openserver), as etapas básicas relacionadas ao mapeamento de rede já são de-
vidamente realizadas.
Esta configuração é necessária para garantir que as interfaces lógicas estejam disponí-
veis ao longo da solução para serem usadas, desde seu próprio endereçamento, como em
regras e outras demandas.
12
Manual |
Figura1: Lista de interfaces mapeadas e não mapeadas.
Os mapeamentos podem ser alterados conforme necessidade. Em plataformas openserver

ou em appliances podem ser adicionados ou removidos módulos de rede. O primeiro passo
é mapear estas interfaces e assegurar que possam ser endereçadas e utilizadas.
Nota: Diante da necessidade de aplicar políticas de acesso em interfaces VPN-SSL, antes

também é necessário criar o devido mapeamento.
4.1.1.2 Estatísticas
As estatísticas mostram somente informações acerca da operação das interfaces físicas

e lógicas, podendo ser utilizado especialmente para avaliar taxa de erros em interfaces,
velocidade negociada com o meio físico (mídia) e presença de link, uma vez que os demais
itens como tráfego, endereçamento tem suas telas específicas.
Figura2: Estatística das interfaces de rede.
4.1. Configurações de rede Release 5.4.8 13

Manual |
4.1.1.3 Endereçamento
Uma vez que uma interface é mapeada o nome lógico associado fica então disponível para
ser utilizado ao longo da solução. Através deste menu são gerenciados os endereços pri-
mários e secundários (aliases)
Figura3: Cadastro de endereços.
O tipo de mídia atribuído como auto (automática) negocia automaticamente com o meio
físico a velocidade da interface de rede, que é o valor recomendado. Caso seja necessário
atribuir uma velocidade específica, a mesma pode ser selecionada clicando sobre a caixa
de seleção.
É possível também selecionar a opção DHCP para obter dinamicamente as informações
de rede, neste caso, não é necessário preencher qualquer outro campo além da interface.
• Interface: Interface a ser utilizada para endereçamento.
• Familia: Família de endereços: IPv4 ou IPv6.
• Endereço IP: Endereço IP que será atribuído.
• Máscara: Máscara de rede no formato de representação longa.
• Mídia: Velocidade da interface a ser negociada com o meio (padrão = auto).
• DHCP: Efetua o endereçamento através de uma requisição DHCP.

Manual |
Figura4: Cadastro de endereços secundários (aliases).
Nota: O cadastro de alias pode ser feito na mesma tela, desde que a opção DHCP não
esteja habilitada. Um alias nada mais é do que outro(s) endereço(s) que uma interface
poderá responder.
Figura5: Listagem de endereços primários e secundários cadastrados
4.1.1.4 VLAN
O suporte à VLANs é realizado no padrão 802.1Q em segmentos Ethernet permitindo inte-

roperabilidade com bridges ou switches através da marcação dos frames. Para criar uma
VLAN é necessário selecionar a interface, definir o VLAN ID e uma descrição (opcional)
associada para melhor identificação futura da interface.

Manual |
Figura6: Cadastro de VLAN 200.
Após a criação da interface é necessário realizar o mapeamento a fim de que a mesma

possa ser endereçada e utilizada. Os demais procedimentos de endereçamento e uso são
os mesmos aplicáveis para qualquer interface de rede.
Figura7: Mapeamento da VLAN200.
Figura8: Endereçamento da VLAN200.

Manual |
4.1.1.5 Trunking
O trunking permite agrupar várias interfaces para fins de desempenho e disponibilidade.

Para adicionar uma interface de trunk é necessário selecionar o protocolo a ser utilizado,
duas ou mais interfaces e associar uma descrição.
Figura9: Cadastro de interface de trunk com wan e wan2.
• Protocolo: Protocolo que será utilizado. Ver abaixo os protocolos disponíveis.

• Interface: Lista de interfaces mapeadas que serão utilizadas no trunking.
• Descrição: (Opcional) Descrição do trunking
• Estado: Define se o trunk será de fato configurado (ativo ou não)
Segue abaixo a lista de protocolos disponíveis:
• Round-robin: Distribui o tráfego de saída usando o agendador round-robin por meio
de todas as interfaces ativas e aceita o tráfego de entrada de qualquer interface ativa.
• Failover: Envia tráfego apenas para a interface ativa. Se a interface ficar indisponí-
vel, a próxima interface será utilizada.
• LACP: Suporta o protocolo de controle de agregação de link IEEE 802.1AX.
• Load-balance: Equilibra o tráfego de saída nas interfaces ativas com base nas infor-
mações do cabeçalho do protocolo em hash e aceita o tráfego de entrada de qualquer
interface ativa.
• Broadcast: Envia quadros para todas as interfaces do Trunking e recebe quadros
em qualquer interface do Trunking.
Uma vez que o trunk tenha sido adicionado, é necessário realizar o mapeamento lógico
para que o mesmo possa ser endereçado e posteriormente utilizado pelas demais funções
e recursos da solução.
4.1.2 Gateway
Um ou mais gateways podem ser cadastrados associados à interfaces diferentes. No en-

tanto, somente um gateway padrão é permitido. Ao cadastrar múltiplos gateways, os
apelidos definidos ficam disponíveis ao longo do produto para serem utilizados em regras
de balanceamento, alta disponibilidade e outros.

Manual |
Figura10: Cadastro de gateway.
Após cadastrado é possível alterar as informações do gateway, assim como simplesmente

alterar o gateway padrão.
Figura11: Listagem de gateways.
O monitoramento dos links e alteração automática de gateway, roteamentos, entre outros

pode ser visto na seção do Monitor de Links.
4.1.3 Servidores DNS
Os servidores DNS que serão utilizados pela solução para qualquer consulta de nomes po-
dem ser adicionados através desta opção. É permitido cadastrar até 05 (cinco) endereços,
a ordem dos mesmos podem também ser alteradas apenas colocando na coluna Índice o
novo valor desejado, logo após, clicar sobre o ícone Editar.
Figura12: Lista de resolvers cadastrados.

Manual |
4.1.4 Hostname
Nome ou FQDN utilizado para identificar o ativo. O hostname pode ser alterado a qual-
quer momento, e exceto para soluções que oferecem serviços de rede públicos (exemplo:
serviço de e-mails), o nome utilizado não tem influência direta em nenhuma operação de
recursos.
Figura13: Alteração de hostname.
4.1.5 Roteamento
Através do módulo de roteamento é possível gerenciar rotas estáticas para redes e hosts
bem como visualizar em tempo real um dump da tabela de roteamento.
4.1.5.1 Estático
O roteamento estático permite definir a configuração de rotas estáticas para hosts e redes.
• Host ou rede: Endereço de host ou rede.
• Máscara: Máscara da rede no formato aaa.bbb.ccc.ddd.
• Gateway: Endereço do gateway.
• Modificador: Modificador de roteamento. Padrão: Estático. As opções possível
são: Descartar: descarta os pacotes silenciosamente; Rejeitar: envia um ICMP
unreachable e Estático: rota adicionada manualmente
• Descrição: Descrição opcional associada à rota.
Figura14: Cadastro de rota.

Manual |
Figura15: Listagem de rotas para hosts e redes.
4.1.5.2 Tabela
Mostra toda a informação contida na tabela de roteamento no dado instante. É possí-

vel gerenciar rotas diretamente por esta opção, para fins de teste, uma vez que não são
carregadas durante o processo de inicialização da solução.
Figura16: Tabela de roteamento.

Manual |
4.1.6 DHCP
O módulo DHCP tem a finalidade de atribuição dinâmica de informações de rede para

estações dentro de um ou mais segmentos de rede. É importante pois permite a criação
de um ponto centralizado de distribuição de rede, garantindo que qualquer alteração atinja
rapidamente todos os equipamentos.
Existem alguns benefícios diretos para a utilização deste módulo, não somente para dis-
tribuição automática de informações, mas principalmente para o cadastro de grupos e
usuários, o que vêm facilitar para todo o funcionamento da solução e prevenção de aces-
sos não autorizados.
Possui integração com outros módulos para o cadastro facilitado de atividades, endere-
ços de acesso, visualização de relatórios e outros. A recomendação é dividir o segmento
de rede em grupos (setoriais hierárquicos ou por necessidade), atribuir faixas de endere-
çamento baseado no número máximo de equipamentos por grupo, e logo após cadastrar
cada usuário, atribuíndo endereços estáticos através do endereço MAC.
Outra função bastante importante é a possibilidade de só permitir o acesso a rede para
usuários que forem cadastrados. Neste tipo de configuração, usuários que não tiverem
cadastrados não receberão nenhum tipo de informação de rede, o que dificulta o ingresso
ao segmento de rede.
4.1.6.1 Configuração
O primeiro item do menu Configurações trata-se de um resumo acerca da quantidade de

subredes que estão cadastradas no módulo, e quantas delas estão marcadas como com-
partilhadas. A configuração do servidor depende primeiramente da definição do nome
para a subrede, logo após, endereço de subrede, que deve refletir exatamente o endereço
de rede relacionado à interface que responderá pelo servidor DHCP, atribuição da más-
cara de rede e intervalo de IPs. Podem ser adicionadas tantas quantas subredes forem
necessárias.
Figura17: Adição de subrede padrão ao DHCP.

Manual |
O campo Intervalo pode ser deixado em branco nas situações em que não deverão ser
distribuídos dinâmicamente informações de rede, exceto para aqueles usuários que forem
cadastrados.
• Nome: Nome de identificação da subrede
• Subrede: Endereço da subrede, deve corresponder ao endereço da rede que será
configurada para responder por requisições DHCP
• Intervalo: Primeiro endereço a ser atribuído dinamicamente e último endereço a ser
atribuído dinamicamente
• Gateway: Endereço IP do gateway da rede (geralmente o próprio IP do OSTEC
NGFW)
• Endereço Broadcast: Endereço de broadcast para ser atribuído
• Máscara de Subrede: Máscara de subrede para ser atribuída
• Domínio: Domínio a ser utilizado, exemplo: dominio.com.br
• Servidor DNS: Servidores que serão utilizados para resolução de nomes em cada
cliente
• Servidor WINS: Endereço IP do servidor WINS
• Auto-config. de proxy (URL): URL de configuração WPAD
• Tempo de empréstimo: Tempo padrão (em segundos) de empréstimo de configura-
ção de rede (o padrão é 1 dia)
• Tempo máximo de empréstimo: Tempo máximo (em segundos) de empréstimo de
configuração de rede
• Faixas secundárias: Faixa a ser distribuída após esgotamento dos endereços da
faixa atual
• Nome do arquivo de inicialização: Nome do arquivo de inicialização
• Endereço do servidor de inicialização: Endereço IP do servidor do serviço de
inicialização
• Permitir MACs não conhecidos: Define se deve ser distribuído endereço IPs para
endereços MACs não cadastrados na opção “Endereços MACs permitidos”
• Endereços MACs permitidos: Lista de endereços MACs que receberão endereço
IP dinâmico. Necessário somente se a opção “Permitir MACs não conhecidos” estiver
desativada
• Endereços MACs rejeitados: Lista de endereços MACs cujo serviço DHCP rejeitará
e não distribuirá endereço IP ao mesmo.
Nota: Quaisquer alterações que sejam feitas no parâmetro, no caso do serviço estar devi-
damente em operação, serão aplicadas imediatamente, sem necessidade de reinicialização
manual do mesmo.

Manual |
4.1.6.2 Subrede Compartilhada
Subredes compartilhadas são utilizadas em casos de existência de mais de uma subrede

associada à uma mesma interface de rede. Primeiro adiciona-se um nome ao compartilha-
mento e após isto o nome das subredes que estão associadas à uma mesma interface de
rede (física ou lógica).
Figura18: Adição de subredes compartilhadas no DHCP.
4.1.6.3 Grupos
Através da coluna Visualizar é possível realizar o gerenciamento de grupos e usuários. A

criação de grupos dentro do DHCP fornece uma melhor organização e visualização da rede
interna. Os grupos podem ser criados usando diversos critérios, não necessariamente por
setores organizacionais. Ao criar um grupo, o mesmo fica disponível em outros módulos
para facilitar o uso em regras de acesso, proxy, visualização de logs e outros. A partir do
momento que usuários são cadastrados nos grupos, os mesmos são replicados para estes
outros módulos, garantindo um ambiente homogêneo e facilitado para a administração.
A divisão por grupos é realizada através da definição do nome do grupo e intervalo de
IPs. Fica de total responsabilidade do administrador a correta definição destes campos.
O intervalo de IPs não oferece nenhuma mudança de comportamento da solução, apenas
serve como organização do próprio administrador.
• Grupo: Nome do grupo a ser criado
• Intervalo de IPs: Primeiro e último endereço a ser atribuído dentro da faixa perten-
cente ao grupo
Figura19: Listagem de grupos no DHCP.

Manual |
4.1.6.4 Usuários
Usuários ou equipamentos dentro do segmento interno podem ser cadastrados em grupos,

fixando o endereço IP mesmo em uma atribuição feita por DHCP. Isto garante que cada
equipamento cadastrado (MAC), mesmo configurado para obter informações automáticas
de rede, receberá sempre o mesmo endereço.
Figura20: Cadastro de usuário no DHCP.
• Usuário: Nome do usuário ou equipamento a ser cadastrado

• Grupo: Grupo no qual o usuário ou equipamento pertence
• Endereço IP: Endereço IP a ser atribuído dinamicamente
• Endereço MAC: Endereço físico da interface de rede do equipamento
• Reserva: Faz com que as reservas sejam cadastradas de forma global ao invés de
associadas diretamente a uma subrede.
• Vincular cache ARP: Vincula o endereço estaticamente no Cache ARP
Figura21: Listagem de usuários no DHCP.

Manual |
4.1.6.5 Importar/exportar usuários
O recurso de importar e exportar usuários é utilizado para provisionamento em massa de

configurações, ou download das mesmas. O formato do arquivo utilizado é CSV, onde os
campos devem ser respeitados, conforme imagem.
Figura22: Formato de utilização do assistente DHCP.
4.1.6.6 Opções personalizadas
Algumas configurações exigidas por fabricantes são particulares ao funcionamento de

seus equipamentos, e por conta disso, não entram como opções padrões de configura-
ção. Através desse item é possível adicionar opções personalizadas, fazendo com que o
DHCP entregue informações que são relevantes para determinados equipamentos.
Figura23: Adição de opções personalizadas.
Após criado a opção desejada, ela pode ser atribuída a uma subrede específica através
do menu de configurações disponível juntamente as configurações avançadas da subrede,
nela serão atribuídos as opções conforme sua necessidade.
Nota: As criações de novas opções personalizadas não podem estar em conflito com as já
existentes, novos registros de opções devem ser realizadas com identificações diferentes.

Manual |
4.1.6.7 Relay
O serviço de DHCP relay faz com que toda requisição feita para o produto seja encami-
nhada para outro servidor. Para isso, é somente necessário selecionar a interface e o
endereço IP do servidor DHCP que as requisições devem ser encaminhadas.
Figura24: Adição de relay DHCP em interface de rede.
4.1.6.8 Alocações
Todas as distribuições dinâmicas realizadas pelo DHCP são devidamente registrada como
alocações, permitindo a realização de consultas inerentes a alocação do endereço de rede.
Outro aspecto que pode ser bastante interessante é obter informações como endereço
MAC ou IP que determinado equipamento pegou através de seu hostname, para posterior
cadastro, e outras relacionadas.
Figura25: Lista de alocações de endereços.

Manual |
4.1.7 Monitor de links
O módulo monitor de links é responsável por monitorar os links de internet e tomar ações
que permitam a disponibilidade do ambiente, como a alteração de gateway padrão, balan-
ceamento de proxy e regras de roteamento, dependendo do estado dos links de internet.
4.1.7.1 Configurações
Através do item Configurações é possível definir endereços de e-mail para notificação em

caso de alteração no estado dos links de internet.
• Destinatários: Endereços de e-mail separado por vírgula que deverão receber noti-
ficações.
Nota: As definições do servidor SMTP utilizado para envio são definidas na tela de perfis
SMTP em Administração / Perfis SMTP.
4.1.7.2 Links
Os links monitorados devem ser previamente cadastrados. Para isso, basta preencher o
formulário de acordo com os parâmetros expostos na tabela.
• Interface: Interface que o link está mapeado
• Apelido: Apelido para o link de internet
• IP de origem: IP de origem utilizado para o teste
• Endereços IP de teste: Endereços IPs de destino utilizados para o teste
• Requisições: Número de requisições
• Tempo espera: Tempo de espera das requisições
Figura26: Link adicionado para monitoramento automático.

Manual |
4.1.7.3 Condições
Condições definem o conjunto de passos a serem executados de maneira automática pela

solução para assegurar a continuidade de comunicação em caso de queda ou indisponibi-
lidade de um link.
Figura27: Lista de condições para monitoramento.
No cadastro da condição é possível configurar a ação que será tomada caso de um dos
links mude de estado. As ações possíveis no momento do cadastro são: alteração do
gateway padrão e balanceamento de proxy. Acessando a opção Visualizar açôes é possível
configurar outras ações como adição de rota, remoção de rota e execução de um script.
4.1.7.4 Perfis
Perfis são estruturas únicas de representação de múltiplos links, permitindo que os mes-
mos sejam associados a regras de roteamento ou balanceamento de tráfego, disponíveis
nos módulos de Firewall e Proxy Web. Ao associar um perfil em uma regra, se eventual-
mente um link preferencial estiver indisponível, automaticamente o roteamento é reali-
zado para o segundo link associado ao perfil, e assim por diante. Para cadastrar um perfil
basta dar um nome para o mesmo, escolher os links de internet que serão utilizados por
esse perfil e os endereços de testes utilizados para verificar a disponibilidade dos links.
Figura28: Lista de perfis de links.

Manual |
4.1.8 DNS Relay
Através do serviço de DNS Relay a solução pode encaminhar solicitações DNS para ou-
tros servidores e responder aos clientes. O serviço trabalha com cache das respostas,
permitindo assim economia de banda e velocidade nas entregas das requisições.
Figura29: Lista de endereços cadastrados para relay de DNS.
4.1.9 ARP Cache
O conteúdo do cache ARP associado à solução pode ser visualizado e simplificadamente

gerenciado, com opções de remoção forçada, adição de vinculação estática e outros.
4.1.9.1 Atribuições
Os registros de equipamentos realizados no módulo DHCP podem ser individualmente

adicionados como uma entrada estática no cache ARP ou globalmente ativando a opção
correspondente disponível neste menu. A atribuição estática assegura que, sobre a pers-
pectiva da solução, serão aceitos somente pacotes que tiverem o IP e MAC cadastrados.
Figura30: Opção de vínculo estático de endereços IP e MAC.
Isso previne também que em políticas de acesso baseadas em endereços, no momento

em que o mesmo não estiver ativo na rede, alguém possa manualmente utilizá-lo para
acessar conteúdos que não são permitidos para seu endereço. Independente da utilização
do DHCP, vínculos ao cache podem ser criados também através deste menu.

Manual |
Figura31: Cadastro de cache ARP fora do DHCP.
4.1.9.2 Tabela
Através da opção Tabela é listado todo o conteúdo do cache ARP em um dado instante. To-
dos os vínculos que são feitos estaticamente são permanente, enquanto que outros apenas
aparecem em casos de atividade do equipamento que dependa da solução.
Figura32: Tabela de endereços e MAC no cache ARP.
4.2 Firewall
O menu Firewall oferece um conjunto de características que permitem, entre outras fi-

nalidades, trabalhar com políticas de passagem de informações em interfaces de rede,
criar ambientes de alta disponibilidade, balanceamento de carga através de diferentes co-
nexões com a Internet, tradução de endereços e portas, qualidade de serviço, regras de
filtragem e monitoramento de conexões ativas. Como forma de melhor organizar todas
estas informações, o menu Firewall é sub-dividido em áreas funcionais, como: Configu-
rações, Configurações Avançadas, Controle de Banda - QoS, Tradução de Endereços e
Regras de Filtragem
4.2. Firewall Release 5.4.8 30

Manual |
4.2.1 Configurações
Através de Configurações é possível parametrizar o comportamento do mecanismo de fil-

tragem, bem como associar políticas padrões de interface e cadastrar os objetos (macros
e grupos de endereços) associados ao sub-sistema de firewall
4.2.1.1 Política padrão
A política padrão deve ser cadastrada para cada interface de rede, física ou lógica, que
deseja-se criar qualquer regra de tradução de endereço ou porta, QoS ou filtragem de pro-
tocolos e portas. A política consiste no comportamento geral ou individual das interfaces
no que diz respeito a ação que deve ser executada em caso de um pacote atravessar um
dos fluxos (entrada ou saída) sem ter regras associadas ao mesmo.
Nota: Recomenda-se o uso de políticas, especialmente de entradas, restritivas, de forma

que os tráfegos que de fato devem atravessar estas interfaces, sejam conhecidos e por-
tanto liberados através de regras de filtragem.
A opção de log é utilizada para registrar o evento que bateu com a política. Estes eventos
ficam disponíveis através do menu Relatórios e logs - Firewall - Acesso a rede
Figura33: Tela de gerenciamento de políticas de interfaces.
4.2.1.2 Opções
No menu opções, é possível ajustar alguns parâmetros relacionados ao funcionamento do

módulo, tais como:
Limites
• Remontagem de fragmentos: Número máximo de entradas na memória usada para

remontagem de pacotes. O padrão é 5000.
• Track de endereço: IP Número máximo de entradas na memória usada para rastrear
endereços IP de origem em regras de filtragem. O padrão é 10000.
• Tabela de estados: Número máximo de entradas na memória usada para rastrear
conexões. O padrão é 50000.
• Grupos de endereços: Número máximo de grupos de endereços que podem ser
criados. O padrão é 1000.

Manual |
• Limite de endereços: Número máximo de endereços que podem ser adicionados

em todos os grupos existentes. O padrão é 100000.
• Máx IP State: Quantidade máxima de estados por IP que podem ser criados. O
padrão 0 é ilimitado.
• Quantidade Máx IP State: Quantidade máxima de estados por IP que podem ser
criados em um determinado período. O padrão 0 é ilimitado.
• Tempo Máx IP State: Período de verificação da quantidade máxima de estados por
IP. O padrão 0 é ilimitado.
Tempo limite
• Intervalo de eliminação: Tempo em segundos para eliminar da tabela de estados

conexões expiradas e pacotes fragmentados. O padrão é 10. Intervalo de fragmen-
tação Tempo em segundos que um fragmento não remontado expira. O padrão é
10.
• Intervalo de fragmentação: Tempo em segundos que um fragmento não montado
expira. O padrão é 30.
• Intervalo de tracking: Tempo em segundos para manter um endereço IP em me-
mória depois que a conexão expirou. O padrão é 0.
Outras opções
• Política de bloqueio: Ação tomada para todo pacote bloqueado por alguma regra
de filtragem. O padrão é Retornar RST ou ICMP UNREACH.
• Perfil: Comportamento de variáveis internas de tempo em ambientes mvariados. O
padrão é Normal.
• Otimização de regras: Controle do recurso de otimização do conjunto de regras de
filtragem. O padrão é Básico.
• Política de estados: Comportamento de como a filtragem com estado será anali-
sada. O padrão é Todas interfaces.
• Atualização de endereços: Define o intervalo de atualização de hostname para
endereços IP adicionados em macros e grupos de endereços. O padrão é 5 minutos.
4.2.1.3 Macros
Macros são variáveis disponíveis sobre toda estrutura do menu Firewall permitindo que
portas e endereços, ou conjunto dos mesmos, possam ser referenciados através de no-
mes, garantindo facilidade de manutenção e legibilidade de regras. Além de facilitar no
entendimento das regras, as macros podem ser utilizadas como fonte centralizadora de in-
formações de elementos que são freqüentemente referenciados nas regras. Desta forma,
se eventualmente for necessário mudar algum valor, basta aplicar sobre a macro que au-
tomaticamente todas as regras passam a entendê-lo.
Nota: Macros são referenciadas através do caracter $ precedendo seu nome. Ao uti-
lizar em uma regra, no entanto, basta iniciar a digitação do nome que virá opção para
autocompletar.

Manual |
Figura34: Cadastro de macros.
Figura35: Listagem de macros.
4.2.1.4 Grupos de endereços
Grupos de endereços são estruturas internas que armazenam e representam através de

uma única referência um grupo de endereços IP. Estes grupos oferecem grande desem-
penho mesmo em situações de milhares de cadastros. Como os grupos referenciam ende-
reços, eles podem ser utilizados somente em campos que permitem tal uso.
Figura36: Cadastro de grupo de endereço.

Manual |
Figura37: Listagem de grupos de endereços.
Através do ícone da lupa, podem ser visualizados os endereços cadastrados, adicionar

novos endereços, alterar descrição e importar endereços em massa através de arquivos
externos, que devem conter um endereço por linha.
Nota: Grupos de endereços são referenciados pelos seus nomes entre <> (exemplo ). Ao
utilizar em uma regra, no entanto, basta iniciar a digitação do nome que virá opção para
autocompletar.
Figura38: Grupo de endereço no uso de redirecionamento de porta baseado em origem.

Manual |
4.2.1.5 Controle por país
Este recurso permite selecionar tráfegos de origem baseado em redes de países para que
possam ser trabalhados em redirecionamentos de portas, regras de filtragem e outras fa-
cilidades. Através deste recurso, pode-se, por exemplo, criar regras de redirecionamento
de portas para serviços públicos e ao invés de liberar para toda a internet, restringir a
somente países ou continentes que podem gerar conexão, evitando tentativas de conexão
ou ataques desnecessários.
Figura39: Gerenciamento de países.
Uma vez que o recurso seja ativado e os países selecionados, as redes são cadastradas em
um grupo de endereços reservado denominado SYSCountries. Este grupo então pode ser
utilizado em qualquer regra que seja necessária a limitação.

Manual |
Figura40: Regra de filtragem bloqueando qualquer acesso originado de qualquer país não
selecionado.
4.2.1.6 Alta disponibilidade
A alta disponibilidade pode ser configurada em dois formados: ativo-ativo e ativo-passivo.

No primeiro caso é possível dois ou mais produtos, independente de plataforma, traba-
lham de maneira paralela, balanceando recursos de processamento, contingênciando um
ao outro de forma automática. No caso da utilização do modo ativo-passivo, também co-
nhecido como hot standby, em um dado momento somente um nó está ativo, os outros
somente assumirão se eventualmente o nó primário apresentar algum problema.
Figura41: Seleção do modo de operação do cluster.
Nota: O cluster trabalha com pacotes multicast, sendo os endereços virtuais nas interfa-
ces do cluster, em formato multicast MAC. É importante assegurar que os equipamentos
de nível superior e inferior, aceitem tais protocolos, como switches, roteadores e outros.
O cluster trabalha com anúncios multicast, sendo que é automaticamente eleito o princi-
pal, aquele nó que tiver o menor intervalo de notificação. Recomenda-se a utilização de
0, 100 e 200 como valores para este campo. O status das interfaces bem como o acom-

Manual |
panhamento de troca de estados pode ser visualizado através do menu Relatórios e logs -
Firewall - Gráfico de cluster.
Interfaces redundantes
O cluster opera com interfaces de rede virtuais, associadas às físicas, onde são colocados
todos os endereços que devem ser redundantes. Nas interfaces físicas, mantém-se os
endereços reais, únicos.
Por exemplo, se deseja-se manter o endereço 192.168.0.254 na interface LAN, publicado
como gateway da rede, este endereço será adicionado em todos os produtos que fazem
parte do cluster.
A interface física, ou lógica, por sua vez, deve ter endereços únicos, como 192.168.0.253
para um nó, e 192.168.0.252 para outro.
Cada interface deve ter um grupo específico, representado por um identificador numérico
que vai de 1 à 255, que também deve ser protegido por uma senha, que fará um hash para
assinatura dos pacotes multicast trocados pelo cluster.
Figura42: Cadastro de interface de cluster.
Uma vez que a interface tenha sido adicionada com sucesso, é necessário mapeá-la através
do menu Configurações de rede - Interfaces - Mapeamento. O prefixo destas interfaces de
cluster é carpX, onde X é a ordem de criação das mesmas.
Figura43: Mapeamento de interface de cluster.
Uma vez que as interfaces de cluster estejam mapeadas, é possível então endereçá-las.

Manual |
Para isso, é necessário acessar o menu Configurações de rede - Interfaces - Endereça-

mento, selecionar a interface com o nome lógico mapeado, e adicionar o endereço.
Figura44: Endereçamento IP associado a uma interface do cluster.
Como trata-se de um cluster, é necessário que a mesma configuração seja replicada aos
demais nós pertencentes. Caso não seja realizado, é natural que o cluster não funcione
de maneira adequada, pois a assinatura dos pacotes é realizada com base nos endereços
das interfaces.
Nota: Para adicionar mais de um endereço nas interfaces de cluster é o mesmo procedi-
mento do que em interfaces físicas. Através do menu Configurações de rede - Interfaces -
Endereçamento, cadastre quantos aliases forem necessários. Caso o endereço adicionado
não pertença a nenhuma rede de interfaces físicas, é necessário primeiro adicionar o IP
para acesso único do equipamento, e depois cadastrar o virtual que fará parte do cluster.
4.2.2 Autenticador
O Autenticador é um recurso interno que permite criar regras, redirecionamento de portas

e outros associados à Grupo de endereços. Uma vez que o usuário se conecte, o endereço
IP de sua conexão será adicionado a todos os grupos em que o mesmo faz parte.
Permite definir algumas configurações globais, abaixo segue a lista de opções disponíveis
• Autenticação: Define o tipo de autenticação. O padrão é local. As demais opções
possíveis são LDAP onde pode ser configurado um perfil LDAP para autenticação ex-
terna. Ambos onde é permitido a autenticação de usuários locals e externos (LDAP).
Desativado onde desativa o recurso.
• Grupos: Define a lista de grupos de endereços que serão utilizados pelos usuários
que não possuem grupo definido.
• Endereço redirecionamento: Define o endereço para onde usuário será redirecio-
nado após ser autenticado com sucesso.
• Remoção endereços: Define o período em que os endereços IPs dos usuários au-
tenticados serão removidos. O padrão é diariamente.

Manual |
Figura45: Configurações gerais
4.2.2.2 Usuários
Na adição de usuário do autenticador deve ser informado se o usuário é local (padrão) ou

externo. Caso tenha sido configurado autenticação LDAP, o usuário precisa estar com a
flag Externo ativa para que a autenticação do mesmo seja feita no serviço LDAP configu-
rado.
Figura46: Adição de um usuário associado à um grupo de endereço.
Figura47: Listagem de usuários do autenticador.

Manual |
Uma aplicação muito comum deste recurso é a publicação de serviços remotos à internet,
sem liberar de forma discriminada a origem. Desta forma, somente usuários que previa-
mente se autenticam, tem acesso ao recurso.
Figura48: Redirecionamento de porta baseado em grupo de endereço.
No caso exemplificado através da imagem, somente usuários que estejam vinculados ao

grupo de endereços adicionado no campo ORIGEM, uma vez autenticados, terão validade
no redirecionamento de porta.
4.2.3 Controle de Banda
A qualidade de serviço está relacionada, essencialmente, a priorização de recursos de

comunicação, fazendo com que estes permaneçam constantes (utilizáveis) mesmo em si-
tuações de sobrecarga nos links de dados. A palavra-chave para o controle de banda ́e
enfileiramento. Todo pacote que atravessa uma interface de rede, antes de processado,
́e colocado em uma fila para serem sequencialmente consumidos por protocolos de nível
superior.
Por padrão, o enfileirado opera em um modelo FIFO (First In First Out) onde não há ne-
nhuma preocupação em distinguir pacotes especiais que poderiam ser realocados e pro-
cessados antes de outros (com menor prioridade). De maneira geral, o QoS preocupa-se
em criar filas de enfileiramento virtuais permitindo que algoritmos ordenem da forma defi-
nida pelo administrador a sequência com que os pacotes devem realmente ser consumidos
pela rede.

Manual |
4.2.3.1 Filas download
Nesta tela é definido as filas de QoS que serão aplicadas no download de arquivos, aqui
podemos definir um nome para a fila, qual interface externa será aplicado o QoS, o disci-
plinador que será utilizado para realizar o controle, a quantidade de banda alocada para
a fila e um tipo de modificador. No item modificador, existem 3 opções, a primeira “Não
utilizado” aloca exatamente o que foi preenchido no campo “Banda Alocada”, a segunda
opção “Banda Uniforme” distribui a banda de forma in iforme entre os IPs da rede e a ter-
ceira opção “Banda Maxima” permite que os IPs utilizem o máximo de banda configurado
para a fila.
Figura49: Definições de filas de download.
4.2.3.2 Regras download
Tendo criado as filas, é nesta tela que criam-se as regras de download responsáveis por
aplicar o QoS aos IPs da rede, aqui é definido qual fila será utilizada, qual interface interna,
os protocolos, IPs e portas que devem ser aplicados para um controle mais específico
Figura50: Definições de regras de download.

Manual |
4.2.3.3 Filas upload
Da mesma forma que foram criadas as filas de download é nesta tela que são criadas as
filas responsáveis pelo upload, contendo os mesmos campos.
Figura51: Definições de filas de upload.
4.2.3.4 Regras upload
Após a criação das filas de upload, nesta tela cria-se as regras responsaveis por limitar o
upload
Figura52: Definições de regras de upload.
4.2.4 Tradução de Endereços
A tradução de endereços e portas estão segmentadas em 3 áreas distintas: NAT, respon-

sável única e exclusivamente pela tradução de endereços, Mapeamento 1.1 e Redirecio-
namento, responsável por realizar PAT (Port Address Translation).
Nota: Todas as regras são sempre avaliadas de acordo com seu índice, neste caso uma
regra pode invalidar ou então não fazer sentido caso outra esteja antes. Para isso, é
possível alterar somente o índice diante de necessidades de reindexação. A flag de log
quando aplicável, permite que o evento caso ocorra, seja armazenado para consulta futura
de relatórios.

Manual |
4.2.4.1 NAT
Para criar regras de tradução de endereço basta preencher os campos solicitados no for-
mulário. O NAT pode ser adicionado de maneira genérica aplicado a todos os protocolos,
ou também somente para protocolos ou portas. Uma vez que um pacote case com os parâ-
metros adicionados, o endereço de origem do pacote será reescrito pelo endereço definido
no campo Endereço de NAT.
Figura53: Cadastro de regra de tradução de endereço.
Além dos campos básicos, podem ser atribuídos critérios de balanceamento na existência
de múltiplos endereços para NAT, bem como cadastrar ou verificar por marcações. Regras
de negação de NAT podem ser adicionadas marcando a flag correspondente.
• Bitmask: Notação: CIDR (Exemplo: 200.1.2.0/29)
• Aleatório: Escolhe aleatoriamente um endereço. Notação: CIDR
• Sequência: Utiliza os endereços em sequencia para cada novo pacote, é o padrão
utilizado. Único que permite a utilização de grupos de endereços.
• Source-hash: Utiliza um hash com base no endereço de origem para determinar
qual endereço de NAT a ser utilizado. Interessante pois garante que um endereço de
origem sempre seja mapeado para o mesmo endereço. Notação: CIDR.
• Manter a porta: Não faz a tradução da porta de origem de pacotes TCP e UDP.
Algumas centrais de telefonia não funcionam com tradução da porta de origem e
neste caso é necessário utilizar este modo de balanceamento.
Nota: Ao invés de endereços no campo Endereço de NAT podem ser referenciados in-
terfaces (todos os endereços serão utilizados), ou primeiro endereço de interface. Isto é
interessante em caso de mudança de endereço, ou em caso de interfaces que são configu-
radas como DHCP, e que portanto o endereço pode alterar com frequência.
A listagem possui um ícone de edição avançada de regra, onde é possível visualizar a

presença de cada campo com as respectivas descrições, além de possuir alguns campos
adicionais, indisponíveis no formulário padrão de cadastro.

Manual |
4.2.4.2 Mapeamento 1:1
O mapeamento bidirecional, também denominado de NAT 1:1 (um para um), serve essen-
cialmente para estabelecer uma conversão de endereços internos e externos. O cadastro
deste tipo de regra é simples, bastando selecionar a interface e definir os endereços pri-
vados (geralmente internos) e o endereço para tradução (externo).
Figura54: Cadastro e listagem de NAT 1:1.
4.2.4.3 Redirecionamento
O redirecionamento de porta (PAT) é essencialmente utilizado para publicação de serviços

ou aplicações para a internet, ou outras redes, que não são possíveis de acesso direto uma
vez que os equipamentos possuem endereços não roteáveis (RFC 1918). Pode também
ser utilizado para redirecionamento transparente de portas, em casos de uso de proxies
transparentes, como HTTP ou FTP.

Manual |
Figura55: Cadastro de redirecionamento de porta.
Nota: Em estruturas de múltiplos links é necessário que a flag STi (inspeção stateful)
não seja marcada, do contrário o acesso somente funcionará no link que é o gateway
padrão. Neste caso, é necessário cadastrar o redirecionamento criando uma marcação,
e posteriormente criar uma regra de filtragem na entrada da interface do redireciona-
mento, verificando aquela marcação (exemplo: ROTEAR_LINK2) e usando o operador de
roteamento responder para.
Se o destino interno da porta de redirecionamento for exatamente o mesmo adicionado

no campo Porta destino, então não é necessário preencher o campo Porta NAT, pois será
considerado exatamente o mesmo valor. Macros podem ser utilizadas para configurar
múltiplas portas (separadas por vírgula), ou em intervalos (separados por dois pontos),
permitindo colocar várias portas em uma só regra.

Manual |
Figura56: Cadastro de redirecionamento de porta com macro.
Nos casos em que a porta no destino é diferente, então faz-se necessário para o correto
funcionamento que o campo seja devidamente preenchido com a porta em que o equipa-
mento de NAT estará recebendo a conexão
Figura57: Cadastro de redirecionamento de porta com destino diferente.
As marcações aplicadas a redirecionamento de portas (serviços) têm utilidade tanto para

o balanceamento de links (para que o tráfego de retorno volte pelo mesmo link) quanto
para aplicações de QoS. Em ambos os casos, não é possível associar diretamente a regra
para um link e/ou para uma fila de priorização, mas através da marcação é possível criar
a regra de filtragem na entrada da interface, verificando a marcação e balanceando e/ou

Manual |
colocando uma fila de QoS.

A flag de negação é extremamente útil especialmente nos casos de excetuar que deter-
minados endereços (IP destino) sejam redirecionados para um proxy transparente. Por
exemplo, permitir que todo tráfego FTP exceto para determinado endereço IP sejam redi-
recionados para um proxy. Desta maneira, cadastra-se uma regra de negação, e posteri-
ormente a regra genérica redirecionamento o restante do tráfego para o proxy FTP.
4.2.5 Regras de Filtragem
As regras de filtragem são mecanismos de avaliação de pacotes que atravessam as inter-

faces de rede, seja no sentido de entrada ou saída. As inspeç̃oes realizadas estão relaci-
onadas a análise dos cabeçalhos de rede (IPv4 e IPv6) e transporte (TCP, UDP e ICMP).
O filtro de pacotes determina um conjunto definido de informaç̃oes que devem ser anali-
sados pelo firewall para que o tráfego possa ser liberado, proibido, enfileirado (QoS) ou
então roteado especialmente com políticas de balanceamento de links. Cada pacote ao ser
recebido por uma interface de rede é analisado conforme o conjunto de regras definido
pelo administrador. As regras são avaliadas seq̈ uencialmente, e a primeira que bater com
as informaç̃oes do pacote, a ação definida é aplicada.
Figura58: Lista de interfaces e resumo de regras.
As regras são separadas por interface de rede, e então pelo fluxo de entrada ou saída.
Para visualizar o contéudo de regras cadastradas para uma dada interface, é necessário
clicar no ícone da lupa.
4.2.5.1 Cadastro
O formulário de cadastro de regra de filtragem possui informaç̃oes básicas necessárias

para a criação de uma nova regra. Na listagem das regras, é possível editá-las em modo
avançado, onde diversas outras opç̃oes estão disponíveis para cadastro.
O cadastro deve ser feito com base em uma ação (Aceitar ou Bloquear) e direção (Entrada
ou Saída) do pacote que deseja-se filtrar. Os campos de protocolo, endereço e porta de
origem/destino e verificação são exatamente os mesmos disponíveis em outras partes do
menu Firewall.
O campo log serve para registrar um evento no sistema (disponível via Relatórios e logs
- Firewall - Acesso a rede) sobre um determinado pacote, sendo bastante ́útil para logar
atividades bloqueadas, facilitando processos de identificação de serviços que foram incor-
retamente bloqueados.

Manual |
Figura59: Cadastro de uma regra de filtragem.
4.2.5.2 Edição
Qualquer regra disponível na listagem pode ser editada diretamente caso a alteração
ocorra somente nos campos mostrados ou então em modo avançado, onde outras opç̃oes
ficam disponíveis. Se a edição estiver relacionada com endereços ou portas, basta alterá-
los e clicar sobre o ícone de editar da regra correspondente. Não é possível fazer a troca
de protocolo, para isso uma nova regra deve ser criada e a antiga removida.
Figura60: Edição de endereço de origem direto na listagem da regra.

Manual |
O modo avançado de edição, nas regras de filtragem, oferece uma série de outros parâ-
metros interessantes no uso diário, especialmente relacionado a roteamento.
4.2.5.3 Opções avançadas
Figura61: Edição avançada de regra de filtragem.
O balanceamento de carga baseado por serviço, origem ou destino pode ser realizado
através de tr̂es operadores de roteamento.
• Rotear para: Encaminha o pacote para a interface especificada alterando o próximo
salto no roteamento. Somente válido para pacotes que atravessam o mesmo sentido
(entrada ou saída). Pacotes no sentido contrário (respostas) serão roteados normal-
mente
• Responder para: Semelhante ao rotear para, mas encaminha pacotes na direção
oposta da interface especificada. Bastante utilizado em regras que criam estado,
especialmente em equipamentos que possuem ḿultiplas conex̃ oes com a Internet
• Duplicar para: Duplica o pacote roteando um deles normalmente e outro da mesma
maneira que o operador rotear para
Na prática, o operador Rotear para é utilizado em interfaces internas, permitindo que
tráfegos possam ser redirecionados com base em determinadas características para um
ou outro link e Responder para é definido na entrada das conex̃ oes WAN permitindo que
o roteamento para múltiplos endereços ocorram normalmente.
Regras que utilizam operadores de roteamento são destacadas das demais na listagem,
no final da regra no campo “Opções” é possível verificar os ícones que diferenciam uma
regra normal de uma regra com operadores habilitados

Manual |
Figura62: Operadores das regras de filtragem
4.2.6 Controle de Aplicação
O Controle de aplicação tem como objetivo evitar que aplicativos maliciosos sejam utiliza-
dos pelos funcionários, podendo expor a rede corporativa ou equipamentos a hackers.
Assim é possível criar uma política de segurança no OSTEC NGFW para regis-
trar as ações dos aplicativos usados na rede corporativa e gerenciar suas atividades.
È definido quatro grupos de classificação para os aplicativos, são eles:
- Baixa restrição: aplicativos que não possuem uma assinatura digital de um fornece-
dor confiável e receberam um valor baixo de classificação de ameaça.
- Alta restrição: aplicativos que não possuem uma assinatura digital e têm um va-
lor alto de classificação de ameaça.
- Não confiáveis: aplicativos sem assinatura digital e que receberam um va-
lor muito alto de classificação de ameaça.
4.2.6.1 Opções
Na tela de opções se encontra a configuração da interface em que o serviço fará o fil-

tro, bem como uma opção de ativar/desativar o modo passivo da ferramenta.
- Interface: Interface que será processada pelo módulo - Modo pas-
sivo: Modo onde o AppFilter não toma nenhuma ação sobre o tráfego, serve ape-
nas para monitoramento
Configurações do controle de aplicação.

Manual |
4.2.6.2 Regras
É aqui onde configuram-se as regras que são responsáveis por bloquear/liberar as aplica-
ções na rede corporativa.
Existem vários itens a serem configurados para uma maior personalização das re-
gras, como, por exemplo, IP de origem, porta de destino, tipo de protocolo, IP de des-
tino entre muitos outros.
No campo “Protocolo(aplicação)” é selecionado qual aplicação devera ser afetada pela re-
gra em questão, o OSTEC NGFW conta com uma grande variedade de listas de aplicati-
vos contendo os principais nomes do mercado, como Instagram, WhatsApp, FaceBook en-
tre muitos outros.
Regras do controle de aplicação.
4.3 Proxy Web
O módulo Proxy Web disponibiliza diversos recursos para melhor gerenciamento de co-
nexões para sites e sistemas que são baseados ou funcionam através do protocolo HTTP.
Como grande parte do uso da internet é para consumo de sites e sistemas web, este re-
curso tem grande relevância para ambientes corporativos.
Diante dos mais variados recursos disponíveis, estão organizados características de filtra-
gem de acesso baseado em categorias, recursos de limitação de download e controle de
banda, regulamentação de tráfego, integração com recursos externos como ICAP, além
de gerenciamento de WPAD, controle de pendências e outras facilidades.
O comportamento padrão do recurso de proxy pode ser bastante parametrizado para aten-
der diferentes demandas de uso, permitindo grande facilidade, escalabilidade e interope-
rabilidade com serviços de autenticação centralizada, ICAP e outros.
4.3.1.1 Opções
Através do item opções são parametrizados o funcionamento básico do serviço. Quaisquer

alterações realizadas são ativadas de maneira automática, não necessitando reinicializa-
ção ou indisponibilidade do recurso.
• Porta: Porta de comunicação.
• Porta modo transparente: Porta utilizada somente para proxy transparente (não
suporta autenticação).
• Porta transparente SSL: Porta utilizada para proxy transparente SSL.
• Hostname: Nome para ser divulgado no banner das mensagens do proxy.
• Tamanho do cache: Tamanho do diretório de cache (MB).
• Memória para cache: Quantidade de memória (MB) para ser usada por objetos do
cache.
• Reserva de memória: Define se deve ser mantida memória alocada e não utilizada.
O padrão é desativado que mantém em memória apenas o que realmente está sendo
utilizado.
• Arquivos abertos: Número maximo de arquivos que podem ser abertos pelo Proxy.
4.3. Proxy Web Release 5.4.8 51

Manual |
• Tamanho máx. objeto: Tamanho máximo de objeto para ser cacheado (KB).
• Tamanho mín. objeto: Tamanho mínimo de objeto para ser cacheado (KB).
• Tam. máx. obj. em memória: Tamanho máximo de objeto residente na memória
(KB).
• Máx. resoluções FQDN: Número máximo de resoluções FQDN (domínio completa-
mente expressado).
• E-mail: E-mail de contato do administrador.
• Servidores de DNS: Servidores de DNS alternativos.
• Sufixo de domínio: Adiciona o domínio informado as requisições sem FQDN.
• SSL Bump: Personificação do certificado SSL.
• SSL Bump ACLs: Utilizar SSLBump apenas nas listas de acesso selecionadas.
• Validação SSL: Valida o certificado SSL dos websites. Se o certificado não for assi-
nado por uma CA confiável, a conexão é recusada. O padrão é ativo.
• Remove auditoria: Define listas de acesso cujo endereços não devem ser registra-
dos no Relatório gerencial. O padrão é desativado onde todos os acessos são regis-
trados.
• Cabeçalho X-Forwarded-For: Define o comportamento do cabeçalho X-Forwarded-
For por parte do proxy. Se definido como ativo, o proxy colocará o endereço IP do
cliente que fez a requisição. Se colocado como desativado o campo será preenchido
como “unknown”. O modo transparente permite que o proxy não altere o compor-
tamento do campo. Com o modo “remover” toda ocorrência do campo é retirada, e
o modo truncado remove todas as ocorrências e cria uma única com o endereço da
requisição. O padrão é ativo.
4.3.1.2 Autenticação
A estrutura de autenticação no proxy torna-se funcional para os usuários somente se não

utilizado de maneira transparente. Portanto, ao utilizar proxy autenticado, é obrigatório
o uso de WPAD ou outra facilidade que permita configurar manualmente as definições de
proxy nos ativos clientes.
A solução permite um backend variado de autenticações: arquivo, LDAP, Microsoft NTLM,
Kerberos e IMAP. Não é possível trabalhar com autenticações mistas, portanto, somente
uma das opções são permitidas em um dado instante. Todos os mecanismos respeitam os
parâmetros de configuração do serviço.
• Banner: Banner que será enviado ao usuário na janela de autenticação (se solicitado)
• Processos: Número omáximo de instâncias para autenticação
• Tempo máximo: Tempo de vida máximo para uma autenticação
• Tempo máximo por IP: Tempo de vida máximo para uma autenticação por IP
Nota: A autenticação somente terá validade caso o conjunto de listas de acesso e re-
gras referencie a necessidade de autenticação para continuidade do processamento das
requisições.

Manual |
Autenticando baseada em arquivo
Autenticação local disponibilizada através da própria solução. O gerenciamento de usuá-

rios pode ser realizado logo após a ativação desse tipo de autenticação, na mesma tela.
Figura63: Cadastro e lista de usuários autenticação local.
Autenticação baseada em LDAP
Autenticação baseada no serviço de diretório LDAP. O gerenciamento de usuários passa a

ser externo à solução, a mesma realiza as consultas nos servidores apontados, validando
ou não a continuidade da requisição feita pelo usuário. Ao selecionar este mecanismo de
autenticação algumas outras opções de configurações automaticamente ficam disponíveis.
• Tipo de autenticação: Define o tipo de autenticação que deve ser utilizado para
validar as credenciais. O padrão é basic.
• Solução alternativa POST: Ativa a solução para bug de navegadores que enviam
solicitação incorreta em requisições POST ao reutilizar o mesmo tkoen adquirido
anteriormente em uma requisição GET.
• Verificador de contagem do token: Verifica a contagem do token para contrnar
bugs na implementação digest de alguns navegadores. O padrão é ativado evitando
ataques de repetição de autenticação.
• Validade do token: Especifica o intervalo em que a validade do token emitido para
o cliente deve ser verificado. O padrão é 5 minutos.
• Tempo máximo do token: Especifica o tempo de vida máximo do token. O padrão
é 30 minutos.
Nota: As informações de configuração do diretório LDAP devem ser preenchidas e tes-

tadas a fim de garantir o correto funcionamento das autenticações. Os botões testar au-
tenticação e testar validação de grupo podem ser usados para auxiliar nesta finalidade.

Manual |
• Grupos recursivos: Define se os grupos devem ser procurados recursivamente den-

tro do DN base.
• Criptografia: Utilizar senha criptografada com HHA1.
• Atributo de senha: Atributo do usuário que contém a senha.
Nota: O proxy faz o cache de autenticações válidas permitindo menor consumo de con-
sultas aos servidores LDAP disponíveis
Autenticação baseada em NTLM
A configuração de autenticação NTLM é realizada em duas etapas, a primeira delas trata-

se das definições dos parâmetros de autenticação, e posteriormente o join da solução no
domínio em questão. Esse procedimento é necessário para estabelecer uma relação de
confiança com o servidor.
• Servidor: Endereço IP do Active Directory
• Grupo de trabalho: Nome único do grupo de trabalho do domínio
• Nome do domínio: Nome do domínio no formato FQDN
• Nome NetBIOS: Nome do equipamento mapeado no Active Directory
Autenticação baseada em Kerberos
A autenticação utilizando Kerberos é a mais recomendada e opera de maneira transpa-

rente para o usuário, uma vez que está totalmente integrada a camada do sistema opera-
cional.
• Servidor: Endereços dos servidores Active Directory
• Endereço local: Endereço do Proxy Web no formato FQDN
• Nome do domínio: Nome do domínio no formato FQDN
• Nome NetBIOS: Nome do equipamento mapeado no Active Directory
• Grupos recursivos: Define se os grupos devem ser procurados recursivamente den-
tro do DN base.
• Criptografia: Utilizar senha criptografada com HHA1.
• Atributo de senha: Atributo do usuário que contém a senha.
Nota: Além das configurações dos parâmetros de acesso ao servidor, no caso do Kerberos
é necessário executar um procedimento remoto (automático) ou manual para permitir a
integração e nível de confiança entre os dois ambientes

Manual |
Figura64: Envio automático ou manual do keytab.
Autenticação baseada em IMAP
A autenticação baseada em IMAP é bastante simples, sendo necessários o preenchimento

do domínio padrão e do servidor para onde as conexões devem ser direcionadas. Uma vez
que o usuário passa as credenciais no proxy, o mesmo valida com o servidor, procedendo
ou não com a requisição.
Figura65: Configuração de autenticação baseada em IMAP.

Manual |
4.3.1.3 Balanceamento
O balanceamento é um recurso que permite distribuir em múltiplos links o tráfego ge-

rado pelo proxy. Podem ser definidas condições baseadas endereço de origem, sites e
portas de conexão. No momento da seleção do link associado a uma determinada regra
de balanceamento, assim como na saída padrão pode ser definido um perfil, garantindo
disponibilidade em caso de queda de um link.
Figura66: Cadastro de regras e listagem de balanceamento no proxy.
4.3.1.4 Mensagem de erro
As mensagens de erro são mostradas quando um determinado tipo de requisição não pode
ser completado. São diversos tipos de mensagens, cada qual relacionada a um tipo de erro
especifico. De maneira geral, a mais utilizada é de acesso negado. Recomenda-se sua
personalização para direcionar o usuário da melhor maneira entendendo que o conteúdo
foi bloqueado pelas políticas do negócio.

Manual |
Figura67: Lista de mensagens de erro e personalizações.
4.3.1.5 ICAP
Conforme especificado pela RFC 3507 o ICAP (Internet Content Adaptation Protocol) é um
protocolo baseado no HTTP que serve especialmente para implementar recursos externos
como integração com anti-vírus, filtros de conteúdo e outras facilidades. A feature de ICAP
faz parte da engine do Proxy, não sendo necessário ativar nenhum serviço adicional para
seu funcionamento pleno.
• Estado: Habilita ou desabilita o suporte ao ICAP. O padrão é desativado
• Conexões persistentes: Utilizar conexões persistentes com os serviços ICAP. O pa-
drão é ativo
• Informar IP: Envia cabeçalho “X-Client-IP” com endereço IP do cliente. O padrão é
desativado
• Informar Usuário: Envia cabeçalho “X-Client-Username” se autenticado. O padrão
é desativado
• Enviar pré-visualização: Permite enviar apenas o começo do corpo da requisição
HTTP. O padrão é desativado
• Tamanho pré-visualização: Tamanho padrão a ser enviado do corpo da requisição
HTTP
• Tempo limite de teste: Número de segundos para aguardar resposta do servidor
ICAP. Não pode ser inferior à 30 segundos. O padrão é 180
• Limite de falhas: Desativa a utilização do serviço caso ultrapasse o limite de falhas
permitidas. O padrão é 10 falhas em 5 segundos
• Política padrão: Define as listas de acesso que devem passar pelo serviço ICAP.
Para ativar o recurso de ICAP, é necessário cadastrar um serviço com seu devido critério
de processamento e URI para onde o tráfego deve ser redirecionado. As opções para o
parâmetro Processamento estão devidamente descritas na abaixo.
• Requisição: A requisição do cliente é enviada ao servidor ICAP sem qualquer con-
sulta no cache do Proxy

Manual |
• Resposta: A resposta do servidor ICAP é tratada antes de qualquer consulta no cache

do Proxy
O conjunto de serviços serve para clusterizar serviços que possuem o mesmo tipo de pro-
cessamento. Desta forma, se eventualmente um serviço não responder, o conteúdo é
automaticamente redirecionado para o outro
4.3.2 Anti-Vírus
O módulo de antivírus do proxy cria uma camada de verificação extra entre o serviço de
proxy (Squid) e o browser, assim todo o tráfego é analisado em busca de possíveis malwa-
res ou pacotes mal-intencionados, contribuindo para uma maior segurança das máquinas
internas. Caso algum trafego mal-intencionado seja detectado pelo antivírus, o usuário
recebe uma mensagem de bloqueio informando a presença de vírus.
A comunicação do proxy com o antivírus é feita através do ICAP, que conta com várias
opções customizáveis para realizar tal comunicação, caso seja necessário.
A solução de antivírus utilizado pelo OSTEC NGFW é o Clamav, porem se a empresa possui
suítes de antivírus que aceitam a verificação via ICAP, pode-se fazer uso delas.
Nota: A ativação desse recurso causa um aumento brusco do consumo de Hardware do

servidor, em média para rodar o serviço o consumo de memória RAM é aumentado em
1,5GB, dependendo do tráfego encaminhado para o módulo, portanto recomendamos que
tenha 8 GB de RAM livre para rodar o serviço com tranquilidade. As verificações não são
realizadas para pacotes CONNECT(SSL), para ser realizado tal verificação é necessário
utilizar o proxy em modo transparente ou SSL Bump.
Nesta tela podemos definir o estado de serviço (ativado/desativado), bem como seu tempo
de vida e o tamanho máximo de arquivos a ser processado.
Figura68: Tela de configurações gerais

Manual |
4.3.2.2 ICAP
É aqui que se personalizam as opções de conexão feita com o antivírus, via ICAP, contendo
varias configurações, como porta de conexão, tempo de vida, pipelining entre muitas ou-
tras.
Figura69: Tela de configurações ICAP
4.3.2.3 Lista de liberação
Na tela Lista de liberação é onde se cadastram endereços ou usuários que não devem
passar pela verificação do antivírus
Existem 5 tipos de lista, são elas:
• Download URL: Desativa o recurso de anti-vírus em downloads realizados nas URLs
listadas. O formato suporta expressões regulares.
• Download conteúdo: Desativa o recurso de anti-vírus em downloads baseado no
tipo de conteúdo (Content-Type).
• Endereço de origem: Desativa a validação de anti-vírus em qualquer requisição
realizada através dos endereços listados.
• URL: Desativa a validação de anti-vírus em qualquer requisição realizada nas URLs
listadas.
• Usuário: Desativa a validação de anti-vírus em qualquer requisição realizada através
dos usuários listados.

Manual |
Figura70: Tela de lista de liberação
4.3.2.4 Bloqueio
Considerando que o módulo esteja devidamente configurado e os serviços web-proxy e

web-proxy-antivirus estejam rodando, quando o usuário acessar algum site com con-
teúdo malicioso e se detectado pelo anti-vírus, o acesso do usuário será bloqueado com a
mensagem conforme mostra na imagem abaixo.
Figura71: Tela de bloqueio do módulo de anti-vírus.
4.3.3 WPAD
O recurso de WPAD (Web Proxy Autodiscovery Protocol) é responsável pelo recurso de

detecção automática de proxies disponíveis nos navegadores internet. O serviço é consu-
mido pelos ativos de rede através do DNS ou DHCP. Portanto, antes de utilizar o serviço é
necessário configurar o registro wpad referente ao domínio interno apontando para a so-
lução, além de alguns casos/dispositivos, também fazer a configuração da URL nas opções
da subrede do DHCP.

Manual |
O conteúdo do arquivo de auto-configuração pode ser gerenciado de duas maneiras: bá-

sico e avançado. No primeiro todas as configurações podem ser feitas adicionando portas,
endereços e outros. No modo avançado todo o conteúdo deve ser criado manualmente se-
guindo a sintaxe utilizada pelo serviço.
• Protocolo HTTP: Define que conexões HTTP NÃO devem passar pelo proxy.
• Protocolo HTTPS: Define que conexões HTTPS NÃO devem passar pelo proxy.
• Protocolo FTP: Define que conexões FTP NÃO devem passar pelo proxy.
• Portas confiáveis: Define portas que NÃO devem passar pelo proxy.
• Origem/destino confiáveis: Define origens ou destinos que NÃO devem passar pelo
proxy.
Nota: Em alguns casos para que a aplicação reconheça as novas configurações é neces-
sário reiniciá-la.
4.3.3.2 Portas
Gerenciamento de portas que não devem passar pelo proxy. Para remover uma porta já
cadastrada, basta selecionar a mesma e utilizar a ação relacionada.
Figura72: Lista de portas excetuadas no WPAD.
4.3.3.3 Origem/Destino
Gerenciamento de endereços que não devem passar pelo proxy baseado na origem ou
destino.

Manual |
Figura73: Lista de endereços de origem excetuados no WPAD.
No caso de endereços de destino são permitidos o uso de caracteres especiais para repre-
sentar o todo, como *.ostec.com.br.
Figura74: Lista de endereços de destino excetuados no WPAD.
4.3.4 Pendências
O controle de pendências é um recurso integrado ao módulo de Proxy Web que tem como
finalidade facilitar o gerenciamento de sites bloqueados. Uma vez que um acesso é blo-
queado, o usuário recebe uma mensagem orientado-o a fazer uma solicitação de liberação.
O administrador pode receber um e-mail alertando sobre o cadastro de uma pendência, ou
pode visualizar diretamente pelo menu Proxy Web - Pendências - Ativas. Uma vez que uma
ação seja tomada, o solicitante também pode receber um e-mail informando da decisão.
Todas as ações são devidamente registradas para consultas futuras.
Para ativar o recurso é necessário alterar o link padrão disponível na mensagem de erro
de acesso negado para o endereço que seja acessível pelos usuários locais.

Manual |
4.3.4.1 Solicitações
Se devidamente configurado em “Configurações / Mensagens”, o usuário terá a possibi-

lidade de acessar uma tela onde poderá realizar solicitações de liberação que o mesmo
julgue que deve estar liberado para a organização.
Figura75: Tela de solicitação de liberação
• Notificar administrador: Enviar notificação ao administrador quando usuário re-

gistrar pendência.
• Notificar usuário: Enviar notificação ao usuário ao aceitar ou rejeitar pendência.
• E-mail do administrador: Endereço de e-mail do administrador.
• Assunto para administrador: Mensagem do campo Assunto das notificações envi-
adas ao administrador.
• Assunto para usuário: Mensagem do campo Assunto das notificações enviadas aos
usuários.

Manual |
4.3.4.3 Ativas
Pendências que foram feitas pelos usuários para uma possível liberação. É possível veri-
ficar nesta opção o Horário da solicitação, a Origem, Nome do responsável, E-mail, Site,
Motivo e a Ação que deverá ser tomada, podendo ser: Aceitar, Rejeitar e Remover a soli-
citação.
Figura76: Solicitações ativas
4.3.4.4 Aceitas
Pendências que foram aceitas pelo administrador.
Figura77: Solicitações aceitas
4.3.4.5 Rejeitadas
Pendências que foram rejeitadas pelo administrador.
Figura78: Solicitações rejeitadas

Manual |
4.3.5 Categorias
O filtro de acessos web baseado em categorias é uma facilidade sobre o ponto de vista de
gerenciamento de conteúdo. Através deste recurso, diversos sites de propósito comum
são agrupados, permitindo maior flexibilidade e assertividade na aplicação das regras de
acesso.
A parametrização do subsistema de categorias pode ser realizada através de algumas
opções, conforme propósitos descritos.
• Estado: Ativa o recurso de controle de acesso por categorias do Proxy, auxiliando a
gestão de acessos. O padrão é desativado.
• Concorrência: Número de requisições simultâneas por processo.
• Processos: Número máximo de instâncias.
• Usuário: Usuário utilizado para atualização de categorias.
• Senha: Senha referente ao login informado no campo Usuário.
4.3.6 Listas de acesso
Listas de acesso formam a base de informações necessárias para que regras do proxy
possam ser criadas. É importante saber que as listas, por si só, não definem se um de-
terminado tipo de acesso pode ou não ser realizado. O objetivo é criar um conjunto de
informações distintas, que podem ser combinadas na regras de acesso, controlando as
conexões realizadas através do proxy.
• Autenticação - Grupo LDAP: Lista de grupos para autenticação.
• Autenticação – Usuário: Lista de usuários para autenticação ou required caso todos
devam ser autenticados.
• Browser (regex): Libera o acesso a um determinado acesso pelo navegador (acesso
ao FireBox por exemplo)
• Caminho do Site (regex): Relacionado ao caminho da URL, útil para fazer bloqueios
de download de extensões de arquivos, suporta expressões regulares.
• Categoria de Sites: Lista de acesso definida por categorias.
• Dominio de destino: Formato literal de domínios que serão utilizados como destino.
Exemplo: intranet.empresa.com.br
• Dominio de destino (regex): Formato literal de domínios que serão utilizados como
destino, por checagem de expressão regular. Exemplo: intranet.empresa.com.br
• Dominio de origem: Formato literal de domínios que serão utilizados como origem.
Exemplo: intranet.empresa.com.br
• Endereço do site (regex): Relacionado a URL (Uniform Resource Loca-
tor), tanto literal quanto decimal, suportando expressões regulares. Exemplo:
www.ostec.com.br, .gov.br, exemplo.com$
• Endereço IP de destino: Endereços IP ou redes no formato decimal que se-
rão utilizados como destino a.b.c.d/e.f.g.h.Exemplos: 192.168.0.20/255.255.255.255,
10.1.0.0/24
• Endereço IP de origem: Endereços IP ou redes no formato decimal que serão
utilizados como origem a.b.c.d/e.f.g.h. Exemplos: 192.168.0.20/255.255.255.255,
10.1.0.0/24
• Endereço MAC: Endereços Físicos das placas de rede para utilização nas regras.
Exemplo: 78:2b:cb:bd:b2:b5

Manual |
• Horário/dia da semana: Faixa de horário e dias da semana. O formulário deve

ser preenchido, levando em consideração que o horário presente no lado esquerdo
sempre deve ser menor do que o direito. Exemplo: 12:00-13:30
• Identificação – Usuário: Permite liberação de acessos através de sistemas de iden-
tificação.
• Limite de conexões simultâneas: Número máximo de conexões. É definido como
número e deve ser utilizado em conjunto com uma ACL do tipo origem. Exemplo: 10
• Limite de usuários simultâneos: Número máximo de conexões utilizando o mesmo
usuário. Exemplo: 10
• Método HTTP: Métodos HTTP utilizados para a requisição. Exemplo: HEAD, GET,
POST, CONNECT.
• MIME - Requisição (regex): Permite trabalhar com liberação encima do tipo do
arquivo durante uma requisição de conexão. Exemplo arquivos de áudio, vídeo…
• MIME - Resposta (regex): Permite trabalhar com liberação encima do tipo do ar-
quivo durante uma resposta de conexão. Exemplo arquivos de áudio, vídeo…
• Porta de conexão: Porta relacionada a conexão, só aceita valores decimais. Exem-
plo: 80, 443, 8080.
Uma vez que uma lista de acesso é cadastrada, seu conteúdo pode ser alterado a qual-
quer momento. Podem ser provisionados em massa conteúdos (um por linha), remoções
aleatórias, download de conteúdo e outras opções.
Figura79: Gerenciamento de conteúdo de listas de acesso.
4.3.7 Regras de acesso
As regras de acesso asseguram a efetivação de uma permissão ou bloqueio com base na

co-relação de listas de acesso. Uma lista de acesso de usuário pode ser combinada com
uma lista de horário e de domínios de destino para formar uma regra de bloqueio. A
ordem das regras pode alterar o funcionamento das políticas definidas tendo em vista que
as mesmas são avaliadas de cima para baixo. Regras podem ser alteradas somente com a
movimentação de seus índices permitindo que esteja na posição adequada para que faça
sentido.
• Bloquear: Bloquear a requisição e retornar ao usuário mensagem de bloqueio.

Manual |
• Permitir: Permitir o processamento da requisição.

• Permitir certificado: Permitir o processamento da requisição mesmo se um certifi-
cado não válido for apresentado.
A política padrão define o que fazer com a requisição caso passe por todas as regras de
acesso e não case com nenhuma delas. O padrão utilizado é permitir, mas recomenda-se
fortemente após a ativação das regras em conformidade ao negócio, que seja alterada
para bloquear
Figura80: Listagem de regras de acesso no proxy
A lista de regras é composta por suas áreas de lista de acesso, sendo a segunda aplicada
para listas que foram negadas no momento da adição da regra. A leitura destas regras é
garantir que determinadas situações ocorrem exceto se também casarem com a lista de
acesso negada. Por exemplo, pode-se liberar um conjunto de sites de redes sociais, exceto
em horário comercial.
A edição de uma regra deve ser realizada diretamente na listagem, desde que respeitando
o espaço que deve conter entre uma lista de acesso e outra. Ao digitar qualquer parte do
nome da lista de acesso, automaticamente será informado listas que contém aquele nome.
Nota: Não é permitido utilizar dentro de uma mesma regra mais de uma lista de acesso
do mesmo tipo. A aplicação do filtro é baseada na condição “E (AND)”, portanto uma regra
com duas listas de acesso do mesmo tipo nunca terá resultado
4.3.8 Controle de banda
O controle de banda aplicado ao proxy difere do QoS aplicado de maneira geral as conexões
de rede reguladas pelo módulo Firewall. Neste caso, aplica-se única e exclusivamente
pelo tráfego realizado pelo proxy. As regras de controle de banda podem ser adicionadas
combinando alguns tipos de listas de acesso. Além da definição padrão de controle de
banda, que é aplicado para qualquer acesso que não esteja relacionado as regras definidas,
é possível configurar regras específicas, como por exemplo assegurar que determinados
sites de streaming tenham consumo limitado de banda, entre outras possibilidades.
• Banda máxima: Definir a quantidade de banda máxima global que será utilizada
• Banda por IP: Definir a quantidade de banda distribuída igualmente a cada endereço
IP

Manual |
Para realizar o cadastro, basta selecionar uma ou mais listas de acesso, juntamente com
os demais parâmetros. As regras são validadas no próximo acesso, sem necessidade de
reinicialização do serviço.
Figura81: Listagem de controle de banda no proxy
4.3.9 Limite de downloads
Diferentemente ao controle de banda, o limite de download tem finalidade complementar

e permite controlar o tamanho máximo de um único download. Pode-se definir portanto
que determinados endereços, ou downloads de determinados sites, não podem exceder o
tamanho individual de 200Mb. O formato de adição é idêntico ao Controle de banda. As
regras de limitação de downloads também são validadas de maneira sequencial, de cima
para baixo. Após aplicar ou editar alguma regra, não é necessário reiniciar o serviço.
Para realizar o cadastro, basta selecionar uma ou mais listas de acesso, juntamente com
os demais parâmetros. As regras são validadas no próximo acesso, sem necessidade de
reinicialização do serviço.

Manual |
Figura82: Listagem de limite de downloads
4.3.10 Requisições de Cabeçalho
Em alguns casos específicos aplicações webs requerem um cabeçalho especifico para po-
derem executar determinadas funções, por conta disso o OSTEC NGFW conta com um
módulo que possibilita a alteração do cabeçalho das requisições que passam pelo proxy.
Na adição de cabeçalhos é possível incluir listas de acessos do proxy onde contem os
valores desejados para serem enviados a aplicação web.
Figura83: Listagem de requisições de cabeçalho

Manual |
4.4 Rede Virtual Privada
O recurso de VPN pode ser provisionado através de SSL ou IPSec. Ambos estão devi-
damente segmentados e podem funcionar de maneira concorrente sem comprometer a
infraestrutura. O padrão de VPN-SSL utilizado pelas soluções OSTEC é o OpenVPN, desta
maneira é necessário software compatível para a conexão de clientes/usuários.
4.4.1 SSL
O cadastro de conexões VPN-SSL podem ser realizadas de duas maneiras: modo cliente
ou servidor (concentrador). O primeiro caso faz com que a solução conecte à um con-
centrador, enquanto que a segunda recebe as conexões. Para cada conexão adicionada,
uma interface tun é criada. Regras de acesso podem ser criadas através destas interfaces,
permitindo que determinados certificados tenham acesso somente aos equipamentos in-
ternos vinculados à sua necessidade, evitando assim quaisquer exposições dos segmentos
internos de rede.
4.4.1.1 Modo Cliente
A configuração de uma VPN-SSL em modo cliente requer a configuração dos detalhes da

conexão bem como os certificados do servidor (concentrador) para que a sessão possa ser
estabelecida. O primeiro passo é realizar o upload dos arquivos associados ao certificado,
e posteriormente, cadastrar os parâmetros de acesso ao servidor.
Opções
• Endereços Servidor: Endereços IP e porta do servidor de VPN. Exemplo:

vpn.empresa.com.br 1321.
• Protocolo: Protocolo IP utilizado, padrão UDP.
• Criptografia: Algoritmo utilizado para criptografia.
• Algoritmo de autenticação: Autentica pacotes com HMAC utilizando o algoritmo
selecionado. O padrão é SHA512.
• Assinatura certificado: Verifica se o certificado do peer foi assinado com uma de-
signação explícita do nsCertType client ou server. O padrão é antigo servidor, neces-
sário para compatibilidade com OpenVPN 2.3.
• Negociação de criptografia: Define se o recurso que negocia as cifras de cripto-
grafia deve ficar ativa. O padrão é desativado.
• Cifras de negociação: Define as cifras que devem ser utilizadas caso o recurso que
negocia a criptografia a ser utilizada na conexão estiver ativa. Se nenhum item for
selecionado, será negociado automaticamente. O padrão é nenhum.
• Assinatura HMAC: Adiciona proteção extra no SSL/TLS, exigindo que os pacotes
recebidos tenham uma assinatura válida. O padrão é ativado (recomendado).
• Compressão: LZO Utilizar compressão LZO.
• Usuário: Especifica o usuário que será utilizado para autenticação externa.
• Senha: Especifica a senha do usuário utilizado para autenticação externa.
• Senha certificado: Define a senha que foi utilizada na criação do certificado. Deixe
em branco caso o certificado não esteja protegido por senha.
• Nível de detalhamento: Nível de detalhamento de registro
4.4. Rede Virtual Privada Release 5.4.8 70

Manual |
• Endereço dinâmico: Aceita autenticação de pacotes de qualquer endereço, não

apenas o endereço que foi especificado no campo de endereço remoto.
4.4.1.2 Modo Servidor
No cadastro de uma VPN-SSL em modo servidor é necessário primeiramente gerar uma

Autoridade Certificadora local, que será responsável por emitir os certificados digitais
para aquela conexão. Posteriormente, todos os parâmetros envolvendo a configuração do
servidor devem ser realizados conforme descritivos da tabela.
Opções
• Topologia: Topologia de interconexão utilizada para o concentrador VPN. O padrão

é Sub-rede (recomendado).
• Endereço IP local: Endereço IP a partir de onde a VPN será iniciada.
• Protocolo: Protocolo IP utilizado, podendo escolher entre UDP (recomendado) e
TCP.
• Porta: Porta do concentrador VPN.
• Criptografia: Algoritmo utilizado para criptografia.
• Algoritmo de autenticação: Autentica pacotes com HMAC utilizando o algoritmo
selecionado.
• Negociação de criptografia: Define se o recurso que negocia as cifras de cripto-
grafia deve ficar ativa.
• Cifras de negociação: Define as cifras que devem ser utilizadas caso o recurso que
negocia a criptografia a ser utilizada na conexão estiver ativa. Se nenhuma cifra for
selecionada, será negociado automaticamente.
• Assinatura HMAC: Adiciona proteção extra no SSL/TLS, exigindo que os pacotes
recebidos tenham uma assinatura válida.
• Compressão LZO: Utilizar compressão LZO.
• Nível de detalhamento: Nível de detalhamento de registro.
• Rede / Máscara de rede: Rede e máscara de rede utilizada para distribuição de
endereço IP.
• Intervalo de endereços: Define o intervalo de endereços IP que serão distribuidos
dinâmicamente aos clientes.
• Tempo de associação de IPs: Tempo em segundos que o servidor armazenará a
associação entre IP e certificado.
• Rotas do servidor: Rotas do servidor que serão informadas aos clientes. Separado
por linha no formato REDE MÁSCARA.
• Rotas do cliente: Rotas do cliente que serão utilizadas pelo servidor. Separado por
linha no formato: REDE MÁSCARA.
• Comunicação entre clientes: Permite a comunicação entre clientes através do tú-
nel.
• Manter comunicação: Envia ping após X segundos sem comunicação e reinicia a
conexão se não houver resposta em até X+Y segundos, padrão 10 120.
• VPN como Gateway: Redireciona todo o tráfego do cliente pela VPN.
• Domínio: Sufixo de domínio a ser utilizado em pesquisas DNS.

Manual |
• Servidores de DNS: Servidores de DNS a serem utilizados pelo cliente. Separado

por linha.
• Servidores WINS: Servidores WINS a serem utilizados pelo cliente. Separado por
linha.
• Rotina ao conectar: Rotina executada após conexão do usuário.
• Rotina ao desconectar: Rotina executada após desconexão do usuário.
• Autenticação LDAP: Permite utilizar um servidor LDAP/Active Directory externo
para autenticar usuários para acesso à VPN.
• Conexões simultâneas: Permite que um mesmo certificado digital seja utilizado por
mais de uma conexão.
• Endereços servidor: Endereços IP do servidor de VPN.
• Perfis de horário: Define a lista de perfis de horário. Se nenhum perfil for selecio-
ando, nenhum controle por horário será feita.
Certificados
O cadastro pode de certificados pode ser realizado através da opção correspondente, per-
mitindo informar a validade e se o mesmo deve ser protegido por senha (recomendado).
Uma vez cadastrado um certificado, o mesmo pode ser copiado e replicado ao usuário que
fará o acesso.
Figura84: Lista de certificados VPN.
Nota: É importante notificar ao usuário que o padrão de VPN-SSL utilizado é OpenVPN,

para que o mesmo utilize softwares-cliente compatíveis
Em ambientes onde o certificado cliente é uma empresa, ou uma rede onde mais de um
equipamento/usuário deve utilizar ou acessar as redes locais da empresa, é necessário
informar o segmento de rede local é cadastrá-lo em redes internas. Desta maneira, tanto

Manual |
o cliente enxergará as redes do concentrador, quanto a rede interna do concentrador en-

xergará a do cliente.
• Rotas do cliente: Rotas do cliente que serão utilizadas pelo servidor. Separado por
linha no formato: REDE MÁSCARA
• Rotas do servidor: Rotas do servidor que serão informadas do cliente. Separado
por linha no formato: REDE MÁSCARA
• Endereço fixo: Endereço IP cliente e servidor fixo para a conexão cliente
• Perfis de horário: Define a lista de perfis de horário. Se nenhum perfil for selecio-
ando, nenhum controle por horário será feita.
Nota: Toda VPN cadastrada fica representanda como um serviço e deve ser devidamente
inicializada ou paralizada através do menu Serviços - Gerenciamento.
4.4.2 IPSec
A VPN do tipo IPSec foi criada para oferecer conexões ponto-a-ponto de forma perma-
nente, diferente das VPNs do tipo SSL onde serve apenas para acesso remoto, sendo as-
sim, é possível interligar pontos externos a rede interna da empresa como filiais.
Por atuar na camada de rede, a IPSec proporciona uma alta interoperabilidade, podendo
ser estabelecida em qualquer equipamento de diferentes fabricantes.
4.4.2.1 VPNs
Nesta tela é mostrada uma listagem dos túneis IPSec configuradas no OSTEC NGFW,
podendo ser adicionado novos túneis apartir do botão adicionar.
Figura85: Cadastro de túnel VPN.

Manual |
4.4.2.2 Sub-redes
Aqui são exibidas as sub-redes configuradas no túnel IPSec, mostrando as redes locais e
as redes externas interligadas pela IPSec.
Figura86: Listagem de sub-redes
4.5 IPS
O recurso de Prevenção de Intrusão permite monitorar o tráfego em determinadas in-

terfaces de rede a fim de identificar anomalias ou ataques que possam comprometer a
infraestrutura subjacente. O comportamento do funcionamento, ativo ou passivo, fica a
critério do administrador e propósito. Todos os eventos podem ser devidamente regis-
trados, bem como categorias de regras ou até mesmo regras personalizadas podem ser
criadas para melhor utilização do módulo.
4.5.1.1 Opções
As opções contidas neste menu estão relacionadas ao modelo de operação e comporta-

mento do IPS. Os valores apresentados como padrões são recomendados para maioria
dos ambientes, independente de porte e número de pacotes que atravessam as interfaces
de rede.
• Modo de operação: Determina o modo de operação. O modo passivo apenas gera
os alertas e não interfere nas conexões, enquanto o modo ativo bloqueia regras que
tiverem esta configuração
• Interfaces: Interfaces de rede que devem ser monitoradas pelo módulo
• Ação padrão: Define a ação de regras nas categorias de maneira global, caso não
seja explicitamente definida na categoria. As possível opção são: alertar somente
irá gerar registros de log; bloquear irá realizar a ação silenciosamente; alertar e
bloquear irá registrar o log e também executar a ação de bloqueio. O padrão é
nenhum, respeitando a ação de cada regra
• Ação por classificação: Define a lista de classificação de evento que será afetado
pela configuração de ação padrão. Cada regra em categoria tem uma classificação
padrão de evento que define a criticidade do mesmo. Recomenda-se a ativação para
tipo Alto, podendo variar de acordo com a severidade do ambiente
4.5. IPS Release 5.4.8 74

Manual |
• Status das regras: Ativa ou desativa globalmente todas as regras associadas as

categorias ativas. O padrão é nenhum onde a maioria das regras são desativadas.
• Modo de checksum IP/TCP: Define o formato utilizado para a soma de verificação
IP/ TCP. O padrão é Todos
• Alertas de decodificação: Envio de alertas genéricos de decodicação dos pacotes.
O padrão é desativado
• Alertas de opções inválidas IP: Envio de alertas na ocorrência de pacotes com
opções inválidas no cabeçalho IP. O padrão é desativado
• Alertas de opções TCP: Envio de alertas em qualquer ocorrência de opções TCP
com exceção dos itens anteriores. O padrão é desativado
• Alertas de opções em teste do TCP: Envio de alertas na ocorrência de pacotes com
opções experimentais do TCP. O padrão é desativado
• Alertas de opções obsoletas do TCP: Envio de alertas na ocorrência de pacotes
com opções descontinuadas do TCP. O padrão é desativado
• Alertas T/TCP: Envio de alertas na ocorrência de pacotes com T/TCP. O padrão é
desativado
• Alertas de tamanho excedido: Envio de alertas quando valores dos campos de
tamanho nos protocolos IP, TCP e UDP forem maior que o pacote. O padrão é desa-
tivado
• Alertas de pacotes cancelados: Envio de alertas quando pacotes que excederem a
informação de tamanho no cabeçalho forem cancelados. O padrão é desativado
• Tamanho de fluxos: Define o tamanho utilizado para o rastreamento de fluxos de
conexões. O padrão é 64
• Exceção de portas TCP: Lista de portas TCP que não devem ser verificadas pelo
ambiente de Prevenção de Intrusão. O padrão é nenhuma
• Exceção de portas UDP: Lista de portas UDP que não devem ser verificadas pelo
ambiente de Prevenção de Intrusão. O padrão é nenhuma
• Tamanho de PDU: Define o tamanho em bytes do máximo de PDU que o IPS pode
inspecionar sem fragmentação para os módulos HTTP, SMB e RPC. O padrão é 16000
• Limite de correspondências PCRE
• Limite de correspondências recursivas PCRE
• Limite de captura: Define o tamanho em bytes que será lido de cada pacote. O
padrão é automaticamente ajustado para a MTU da interface (caso desativado)
• Validade da regra: Define o tempo de armazenamento para regras de bloqueio.
Após o período estabelecido, as regras mais antigas são removidas automaticamente.
• Lista de liberação: Lista de endereços IP e redes que não devem ser bloqueados.
4.5.1.2 Variáveis pré-definidas
As variáveis pré-definidas representam um conjunto de endereços e serviços internos que

são automaticamente associados aos padrões de regras com as suas respectivas catego-
rias. Por conta disso, é fortemente recomendado que estes campos sejam preenchidos
corretamente para refleter a realidade daquilo que deve ser protegido.
• Redes protegidas: Endereços IP ou endereços de rede que fazem parte dos seg-
mentos de proteção. O padrão são as redes internas
• Redes externas: Endereços IP ou endereços de rede de onde serão analisados os
ataques. O padrão é Todos

Manual |
• Servidores DNS: Endereços IP de servidores de DNS que devem ser protegidos. O

padrão é nenhum
• Servidores SMTP: Endereços IP de servidores de SMTP que devem ser protegidos.
O padrão é nenhum
• Servidores HTTP: Endereços IP de servidores de HTTP que devem ser protegidos.
O padrão é nenhum
• Servidores de banco de dados: Endereços IP de servidores de Banco de dados que
devem ser protegidos. O padrão é nenhum
• Servidores Telnet: Endereços IP de servidores de Telnet que devem ser protegidos.
O padrão é nenhum
• Servidores SSH: Endereços IP de servidores de SSH que devem ser protegidos. O
padrão é nenhum
• Servidores FTP: Endereços IP de servidores de FTP que devem ser protegidos. O
padrão é nenhum
• Servidores SIP: Endereços IP de servidores de SIP que devem ser protegidos. O
padrão é nenhum
• Portas HTTP: Lista de portas vinculadas aos serviços HTTP utilizados pelas redes
protegidas
• Portas Shellcode: Lista de portas para monitoramento de shellcodes
• Portas Oracle: Lista de portas vinculadas aos serviços Oracle. O padrão é 1521
• Portas SSH: Lista de portas vinculadas aos serviços SSH. O padrão é 22,2022,2222
• Portas FTP: Lista de portas vinculadas aos serviços FTP. O padrão é 20,21
• Portas SIP: Lista de portas vinculadas aos serviços SIP
• Portas de dados: Lista de portas vinculadas a serviços que transferem arquivos,
para inspeção. Padrão 80,143,110,25,587
4.5.1.3 Variáveis personalizadas
Para acomodar as configurações de forma mais dinâmica, é permitido o uso de variáveis

de usuário baseada em portas e endereços para que sejam utilizadas na criação de regras
personalizadas.
Figura87: Adição de variáveis customizadas.

Manual |
Figura88: Listagem de variáveis customizadas.
A partir do momento que as variáveis são criadas, as mesmas podem ser utilizadas dire-
tamente no menu Prevenção de intrusão - Regras personalizadas.
4.5.2 Categorias
As categorias são agrupamento de regras pré-definidos e mantidas automaticamente pela

solução. As mesmas podem ser ativadas e desativadas a qualquer momento, de acordo
com o perfil de cada ambiente.
No momento em que um evento ou incidente é gerado, a devida categoria também é in-
formada, permitindo que em casos de muitos falsos positivos, a regra associada possa ser
temporariamente desativada para análise.
4.5.2.1 Categorias
• ActiveX - Ataques e vulnerabilidades

• Aplicações indesejadas - P2P
• Aplicações Web
• Atividade Worm
• Botnet
• Campanhas de curta duração
• Cliente Web
• Detecção Tor
• Detecção Trojan
• DoS - Negação de Serviço
• Endereços comprometidos
• Identificação User Agents
• Informações gerais
• Jogos
• Kit de exploit
• Lista de bloqueio - CINS Score
• Lista de bloqueio - DShield

Manual |
• Lista de bloqueio - SpamHaus DROP

• Malware
• Malware - Dispositivos Móveis
• Outros
• Política corporativa
• Pornografia e atividade semelhantes
• Protocolo - Chat
• Protocolo - DNS
• Protocolo - FTP
• Protocolo - ICMP
• Protocolo - ICMP (informações)
• Protocolo - IMAP
• Protocolo - NetBIOS
• Protocolo - POP3
• Protocolo - RPC
• Protocolo - Scada
• Protocolo - SMTP
• Protocolo - SNMP
• Protocolo - Telnet
• Protocolo - TFTP
• Protocolo - VoIP
• Regras customizadas
• Respostas indicativas de intrusão
• Scanners
• Servidor - SQL
• Servidor Web
• Shellcode
4.5.2.2 Opções
Clicando no ícone de detalhes na aba de categorias, é possível verificar as regras e as-

sinaturas disponibilizadas para cada uma das categorias. Ao desativar uma categoria,
automaticamente todas as regras são também desativadas.

Manual |
Figura89: Listagem de regras (opções) da categoria Kit de exploit.
Também é possível verificar maiores detalhes das regras de cada categoria clicando em
Detalhe conforme imagem abaixo.
Figura90: Detalhes de uma regra de categorias

Manual |
4.5.3 Módulos
As engines do módulo de IPS são modulares, podendo ser ativadas ou desativadas a quais-
quer momentos. É importante ressaltar, no entanto, que muitas delas são frequentemente
utilizadas por categorias, ou até mesmo por opções avançadas de regras personalizadas.
• ARP: Decodificador de tráfego ARP e identificação de ataques de envenenamento de
cache
• Desfragmentação IP: Módulo de desfragmentação IP target-based
• Desfragmentação IP – opções: Módulo de desfragmentação IP targed-based (op-
ções gerais)
• Desfragmentação TCP: Módulo de desfragmentação TCP/UDP (opções específicas
TCP)
• Desfragmentação TCP/UDP opções: Módulo de desfragmentação TCP/UDP (op-
ções gerais)
• Desfragmentação UDP: Módulo de desfragmentação TCP/UDP (opções específicas
UDP)
• DNS: Decodificador do protocolo DNS e identificação de vulnerabilidades
• FTP Cliente: Decodificador de tráfego FTP por cliente (configurações específicas)
• FTP e Telnet: Decodificador de tráfego FTP e Telnet (opções gerais)
• FTP Servidor: Decodificador de tráfego FTP por servidor (configurações específicas)
• HTTP: Decodificador de tráfego HTTP sem estado
• HTTP Servidor: Decodificador de tráfego HTTP por servidor (configurações especí-
ficas)
• IMAP: Decodificador do protocolo IMAP, em formato stateful
• Normalização: Normalização de tráfego em pacotes IP, TCP e ICMP
• POP3: Decodificador do protocolo POP3, em formato stateful
• Reputação: Módulo de reputação e gerenciamento de listas negras e brancas
• SIP: Decodificador do protocolo SIP e identificação de vulnerabilidades
• SMB e RPC: Decodificador dos protocolos SMB e RPC.
• SMB e RPC 2: Decodificador dos protocolos SMB e RPC versão 2.
• SMB e RPC para servidores: Decodificador dos protocolos SMB e RPC por servidor
(configurações específicas)
• SMB e RPC para servidores 2: Decodificador dos protocolos SMB e RPC por ser-
vidor (configurações específicas) versão 2
• SMTP: Decodificador de tráfego SMTP stateful
• SSH: Decodificador do protocolo SSH e identificação de vulnerabilidades
• SSL: Decodificador dos protocolos SSL/TLS
• Telnet: Decodificador de tráfego Telnet
• Varredura de portas: Detector de ataques de varredura nos protocolos IP, ICMP,
UDP e TCP
Um módulo que não esteja ativo, e que alguma regra esteja utilizando, causa o encerra-
mento do serviço de Prevenção de Intrusão, tendo em vista que estas engines exportam
parâmetros utilizados por regras.

Manual |
4.5.4 Regras customizadas
Com regras customizadas o administrador pode criar e gerenciar suas próprias assinatu-
ras, podendo bloquear determinados tráfegos através da análise de seu conteúdo, compor-
tamento de flags em protocolos e tantas outras facilidades. Toda regra é criada de uma
forma básica, baseada em endereços de origem e destino, onde podem também serem
utilizadas as variáveis e objetos do produto.
Figura91: Cadastro básico de regra no IPS.
Uma vez cadastrada, é possível parametrizar a regra com validações avançadas, clicando
no ícone correspondente.
Figura92: Edição de regra personalizada com opções avançadas.

Manual |
4.6 DNS
Este módulo implementa um servidor de DNS completo com opções de configurações avan-
çadas envolvendo informações gerais, splits/views, listas de acesso, zonas e outros.
Na aba de configurações é possível realizar diversos ajustes para o próprio servidor de

DNS. Normalmente essas configurações não são alteradas, com exceção do campos de
Endereço IP.
4.6.1.1 Opções
• Versão: Utilizado nas requisições version.bind com o tipo TXT

• Hostname: Utilizado nas requisições hostname.bind com o tipo TXT
• ID do Servidor: Utilizado nas requisições ID.SERVER com o tipo TXT
• Notificar: Utilizado para mensagens DNS NOTIFY quando uma zona é alterada
• Recursão: Suporte a pesquisas recursivas (não recomendado exceto para redes con-
fiáveis)
• Encaminhar: Utilizado para relay de requisições DNS, útil para realizar cache re-
duzindo o tráfego para servidores externos
• Encaminhadores: Lista de servidores DNS que devem ser utilizados como fonte de
consultas
• Permitir repasse de atualizações: Lista de endereços ou Listas de Acesso que
podem enviar atualizações dinâmicas de DNS para zonas escravas
• Permitir notificar: Lista de endereços ou Listas de Acesso autorizadas a receber
notificações de zona escrava além dos servidores mestres
• Permitir transferência: Lista de endereços ou Listas de Acesso autorizadas a re-
ceber transferências de zona. Recomendado definir separadamente em cada zona
cadastrada
• Permitir consulta: Lista de endereços ou Listas de Acesso que podem fazer consul-
tas ao DNS
• Permitir recursão: Lista de endereços ou Listas de Acesso que podem fazer consul-
tas recursivas ao DNS
• Lista bloqueio: Lista de endereços ou Listas de Acesso que o servidor DNS recusará
qualquer tipo de consulta
• Endereço IP: Endereços IP locais que serão utilizados para ouvir conexões DNS
• Clientes TCP: Número máximos de conexões TCP simulâneos que o servidor DNS
irá aceitar
• Pesquisas recursivas: Número máximo de pesquisas recursivas simultâneas para
seus clientes. O padrão é 1000
• Máximo de busca de atualização: Número máximo de consultas, por segundo,
feitas por DNS escravos, em busca de atualizações na zona. O padrão é 20
• Transferências (entrada): Número máximo de transferências de zona (entrada)
podem ser feitas simultaneamente. O padrão é 10
4.6. DNS Release 5.4.8 82

Manual |
• Transferências (saída): Número máximo de transferências de zona (saída) podem

ser feitas simultaneamente. O padrão é 10
• Transferências (por NS): Número máximo de transferências de zona (entrada) po-
dem ser feitas simultaneamente por um NS
• Dados adicionais (autorit)
• Dados adicionais (cache)
• Tamanho do cache: Tamanho máximo de memória RAM, em bytes, a ser utilizada
para fazer cache de consultas.
• Notificar também: Notifica os servidores especificados além dos cadastrados como
NS
• IP notificação: Endereço IP utilizado para notificação de zonas
• IP transferência: Endereço IP utilizado para transferência de zonas
4.6.1.2 Outra opções
• Transferência (entrada): Tempo máximo, em minutos, para que transferências de

zona (entrada) sejam realizadas
• Transferência (saída): Tempo máximo, em minutos, para que transferência de zona
(saída) sejam realizadas
• Ociosidade (entrada): Tempo máximo de ociosidade para transferências de zona
(entrada)
• Ociosidade (saída): Tempo máximo de ociosidade para transferência de zona (saída)
• Caching: Tempo, em minutos, que registros de recursos (RR) serão removidos do
cache. O padrão é 60
• Caching (lame server): Tempo, em segundos, para fazer cache de um lame server.
O padrão é 600
• Respostas negativas: Tempo máximo, em segundos, de retenção de respostas ne-
gativas do servidor DNS.
• Respostas positivas: Tempo máximo, em segundos, que o servidor irá cachear res-
postas positivas. O padrão é 1 semana
• Entre atualizações (mínimo): Tempo mínimo, em segundos, para atualização de
uma zona (pesquisa por diferenças no registro SOA)
• Entre atualizações (máximo): Tempo máximo, em segundos, para atualização de
uma zona (pesquisa por diferenças no registro SOA)
• Entre tentativas (mínimo): Tempo mínimo, em segundos, para novas tentativas
em caso de falhas de transferências de zona
• Entre tentativas (máximo): Tempo máximo, em segundos, para novas tentativas
em caso de falhas de transferências de zona

Manual |
4.6.2 Listas de acesso
Uma lista de acesso é um conjunto de endereços que podem ser representados de maneira
única em parâmetros cujo conteúdo trata-se de endereços. Uma vez que a lista seja criada,
seu nome pode ser utilizado em campos apropriados. Existem alguns valores especiais do
ambiente que também podem ser usados.
• any: Significa qualquer endereço
• none: Significa nenhum endereço
• localhost: Referencia apenas o próprio servidor
• localnets: Referencia todas as redes que o servidor faz parte
Figura93: Cadastro de listas de acesso.
Figura94: Listagem de listas de acesso.

Manual |
4.6.3 Splits
Os splits são utilizados para segmentar o acesso às zonas cadastradas no servidor DNS.
Sendo assim pode-se criar zonas que serão utilizadas apenas internamente e outras que
serão utilizadas externamente (internet).
Figura95: Cadastro de splits.
Figura96: Listagem de splits.
Uma vez cadastrado, pode ser acessado as opções do split para configurações avançadas,
onde deve ser configurado os endereços/redes que vão utilizar a split, além de poder de-
finir opções de recursão e encaminhamento. Na imagem abaixo foi definido que somente
as redes locais poderão utilizar as splits. Isto significa que conexões oriundas da internet
não cairão nesta split.
Figura97: Opções de splits.

Manual |
4.6.4 Zonas
4.6.4.1 Zonas
O cadastro de zona deve estar associado a um split (se houver) além da definição do tipo
de zona. Existem 3 tipos que são disponilizados no recurso: mestre, escravo e zona de
encaminhamento. Uma vez que uma zona seja cadastrada, os parâmetros associados à
mesma podem ser alterados para assegurar o funcionamento.
Figura98: Cadastro de zona.
Figura99: Listagem de zonas.
O conteúdo de uma zona pode ser visualizado através da aba de registros. Para zonas prin-
cipais, o conteúdo pode ser editado de maneira que os recursos possam ser cadastrados.
Em zonas cadastradas como secundário somente será visualizado o conteúdo transferido
da zona principal.

Manual |
4.6.4.2 Opções
Entre as opções mais comuns estão definir os endereços permitidos para transferência
de zona (em caso de mestre), endereços do servidor mestre (escravo) e também lista de
servidores para encaminhamento de requisições.
Primária
tas ao DNS
• Permitir consulta em: Especifica quais os endereços locais que podem aceitar pes-
quisas.
cadastrada.
• Permitir atualizações dinâmicas: Especifica quais hosts podem enviar atualiza-
ções de DNS dinâmico para zonas mestres.
• Notificar: Utilizado para mensagens DNS NOTIFY quando uma zona é alterada.
• Tempo de notificação: Tempo, em segundos, entre envio de mensagens de notifica-
ção para a zona. O padrão é 0.
• Notificar SOA: Envio de notificações de zona enviadas para o SOA MNAME ao invés
dos registros NS da zona.
NS.
• IP notificação: Endereço IP utilizado para notificação de zonas.
• Estatísticas de zona: Utilizado para o servidor coletar estatísticas da zona, utilizado
pelo serviço RNDC.
• Validação registro RR: Define o que fazer ao cadastrar um registro RR invá-
lido/desconhecido.
Secundário
tas ao DNS
• Permitir consulta em: Especifica quais os endereços locais que podem aceitar pes-
quisas.
cadastrada.
• Permitir notificar: Lista de endereços ou Listas de Acesso autorizados a receber
notificações de uma zona secundária além dos servidores primários.
• Notificar: Utilizado para mensagens DNS NOTIFY quando uma zona é alterada.
• Tempo de notificação: Tempo, em segundos, entre envio de mensagens de notifica-
ção para a zona. O padrão é 0.
• Notificar SOA: Envio de notificações de zona enviadas para o SOA MNAME ao invés
dos registros NS da zona.

Manual |
• Estatísticas de zona: Utilizado para o servidor coletar estatísticas da zona, utilizado

pelo serviço RNDC.
• Tempo mínimo entre atualizações: Tempo mínimo, em segundos, para atualização
de uma zona (pesquisa por diferenças no registro SOA)
• Tempo máximo entre atualizações: Tempo máximo, em segundos, para atualiza-
ção de uma zona (pesquisa por diferenças no registro SOA)
• Tempo mínimo entre tentativas: Tempo mínimo, em segundos, para novas tenta-
tivas em caso de falhas de transferência de zonas.
• Tempo máximo entre tentativas: Tempo máximo, em segundos, para novas tenta-
tivas em caso de falhas de transferência de zonas.
NS.
• IP notificação: Endereço IP utilizado para notificação de zonas.
• IP transferência: Endereço IP utilizado para transferência de zonas.
• Validação registro RR: Define o que fazer ao cadastrar um registro RR invá-
lido/desconhecido.
Encaminhar
• Encaminhar: Utilizado para relay de requisições DNS, útil para realizar cache re-
duzindo o tráfego para servidores externos.
• Encaminhadores: Lista de servidores DNS que devem ser utilizados como fonte de
consultas.
4.6.4.3 Parâmetros globais (SOA)
Para zonas mestres, existem duas estruturas de configuração. A primeira delas trata-se
do registro SOA (Start of Authority) definido através da tabela a seguir.
• Tempo de vida padrão: Tempo de vida padrão utilizado pelos registros.
• Contato: Endereço de e-mail do responsável pela zona.
• Nome do servidor: Servidor de nomes que responderá autoritariamente para a
zona.
• Número de série: Este número deve ser incrementado quando qualquer registro
for alterado.
• Intervalo de atualização: Intervalo de tempo que os servidores escravos se atuali-
zam.
• Intervalo de repetição: Define o intervalo de tempo entre tentativas ao falhar a
atualização.
• Expira após: Indica o tempo limite para que a zona no servidor escravo não seja
mais válida.
• Tempo de vida mínimo: Tempo de vida para respostas negativas.

Manual |
Figura100: Edição dos registros SOA.
4.6.4.4 Registros
A segunda estrutura de configuração trata-se dos registros que podem ser adicionados ou
editados conforme demanda, respeitando os tipos discriminados abaixo.
• A: Endereço IPv4 para host.
• CNAME: Apelido para host.
• DNSKEY: Chave pública (DNSSEC).
• MX: Troca de correio. Especifica os servidores de e-mail responsáveis e suas prefe-
rências para o domínio.
• NS: Servidores de DNS autoritativos para o domínio.
• PTR: Ponteiro para domínio.
• SRV: Serviços disponíveis para a zona.
• TXT: Informações de texto. Normalmente utilizado para SPF e DKIM.
Figura101: Cadastro de registro.

Manual |
Figura102: Listagem de registros.
4.7 Portal Cativo
Através do uso do Captive Portal é possível realizar o gerenciamento do acesso à internet

em redes públicas, liberando acesso para visitantes, eventos, terceiros, entre outros, sem
a necessidade de disponibilizar senhas de pontos de acesso. O funcionamento é simples
e depende do primeiro acesso ser realizado para uma página, onde o usuário é automa-
ticamente redirecionado para uma página de autenticação, que pode ser devidamente
customizada conforme necessidade.
Muitos dispositivos móveis tem recursos para detecção de hotspots e forçam uma requisi-
ção HTTP para que o usuário visualize a tela de login sem necessidade de utilizar aplicativo
de navegação.
Figura103: Página de Autenticação do Captive Portal (via desktop)
4.7. Portal Cativo Release 5.4.8 90

Manual |
Figura104: Página de Autenticação do Captive Portal (via mobile)
Este módulo está integrado aos módulos Firewall e Firewall Proxy, que permite geren-
ciar os acessos de forma simplificada, através de políticas globais ou de grupos definidas
pelo administrador. É também através do módulo de Firewall que as conexões geradas
por estas redes, de usuários ainda não autenticados, são redirecionamentos de maneira
transparente para o Portal Cativo.
Os parâmetros de funcionamento do Portal Cativo podem ser alterados conforme necessi-

dade do ambiente, sendo destacadas algumas opções disponíveis.
• Endereço de acesso ao portal: Endereço de acesso ao Portal Cativo. Podem ser
inseridos endereço IP e URL precedida por http/https.
• Tempo máximo de inatividade: Tempo máximo de inatividade em minutos antes
de desconectar.
• Bind: IP de origem das requisições. Em branco aceita qualquer origem.
• Porta HTTP: Porta utilizada para receber requisições HTTP. Padrão é 5831.
• Porta HTTPS: Porta utilizada para receber requisições HTTPS. Padrão é 5832.
• Endereço de redirecionamento: Define a página no qual o usuário será redirecio-
nado após efetuar a autenticação.
• Limpeza expirados: Define o período em dias em que os usuários serão mantidos
após sua expiração. Os usuários expirados serão removidos automaticamente após o
período configurado.
• ARP Cache: Vincular estaticamente no Cache ARP equipamentos autenticados no
Portal Cativo

Manual |
Figura105: Opções de configuração no Portal Cativo.
4.7.2 Portais
Com o Portal Cativo corretamente configurado, é nesta parte do módulo que configura-
mos a página de autenticação que será visualizada pelo usuário ao se conectar na rede.
Aqui alteram-se o layout da página, a forma de autenticação, qual rede de origem terá
permissão para acessar o portal entre muitas outras configurações.
4.7.2.1 Portais
Nesta tela configura-se o portal como um todo, definindo o tempo de inatividade dos usuá-
rios, a validade do auto cadastro e qual rede o portal irá aceitar requisições para acessar
a internet.
Figura106: Listagem de portais.

Manual |
4.7.2.2 Layout
Aqui altera-se o design do portal, é possível escolher um logo personalizado da sua em-
presa para ser exibido, adicionar um termo de uso e alterar as cores de fundo, texto, botão
e etc.
Figura107: Configurações de layout do portal.
4.7.2.3 Autenticação
Na Autenticação define-se a forma de autenticação que será utilizada no Portal Cativo,

podendo utilizar de forma local ou por um servidor LDAP. Também pode-se alterar alguns
campos exibidos para o usuário, como permitir auto cadastro, definir um grupo especí-
fico de usuários que poderá utilizar a autenticação, qual campo utilizar como login entre
muitos outros.
É possível habilitar a autenticação via Check-in do Facebook, porem é necessário realizar
algumas configurações previas para que esse recurso funcione da maneira correta. Cli-
que no botão “Instruções” para ter mais informações das configurações que devem ser
realizadas no próprio Facebook para saber mais.

Manual |
Figura108: Configurações de autenticação do portal.
4.7.3 Usuários
Permite o gerenciamento de usuários, onde é possível cadastrar ou remover usuários e

alterar propriedades. O Cadastro dos usuários pode ser feito de duas maneiras: Cadastrar
Usuários ou Cadastrar Vouchers
4.7.3.1 Cadastro de usuário
O cadastro de usuários é sempre associado à um grupo de endereços que deve ser pre-
viamente cadastrado no módulo Firewall com o prefixo c_ (exemplo: c_portal). Através
de múltiplos grupos é possível gerenciar políticas de acesso diferenciadas uma vez que o
usuário estiver autenticado.
O campo validade determina o tempo de vida do usuário dentro do portal cativo. Por
padrão vem configurado para nunca expira, sendo possível escolher entre após login que
é contabilizado apenas à partir do primeiro login, e a partir de agora que é contabilizado
à partir do momento do cadastro do usuário, onde o tempo utilizado pode ser configurado
em minutos, horas, dias ou semanas.
Por padrão, o usuário pode utilizar as credenciais de acesso em apenas um dispositivo,
sendo que este comportamento pode ser alterado através da opção Conexões simultâ-
neas, onde esta limitação é desativada. A coluna Estado é responsável pela ativação ou
desativação temporária do usuário, possibilitando desativá-lo sem remover o cadastro do
mesmo.

Manual |
Figura109: Cadastro de usuários no Portal Cativo.
No exemplo acima não foi informado a senha e, neste caso, a senha é gerada automatica-
mente e informada após a adição. Caso esqueça de copiar a senha, existe a possibilidade
de gerar uma nova senha para o usuário.
Figura110: Tela mostrando a senha gerada automaticamente após o cadastro.
Figura111: Listagem de usuários no Portal Cativo.

Manual |
4.7.3.2 Cadastro de vouchers
Ao invés de trabalhar com usuários e senhas, os vouchers permitem maior dinamismo em

especial no gerenciamento de hotspots, ou redes de visitantes dentro do ambiente corpora-
tivo de empresas. Dessa maneira, podem ser criados de maneira antecipada um conjunto
de vouchers com validades diferentes e distribuídos para usuários conforme necessidade.
O campo prefixo define o nome a ser utilizado para os usuários que serão criados de ma-
neira sequenciada, e no campo Qtd é informado quantos vouchers serão criados. Caso
seja necessário iniciar a sequência numérica de vouchers com um número específico, este
campo pode ser preenchido. Os demais campos seguem o mesmo significado de usuários.
Figura112: Cadastro de vouchers no Portal Cativo.
Figura113: Listagem de usuários e vouchers no Portal Cativo.
Nota: Se for utilizado o cadastro de usuários através do voucher, é possível salvar a

Manual |
listagem gerada em formato CSV, tendo acesso aos logins e senhas criados.
Figura114: Vouchers cadastrados contendo as senhas geradas.
4.8 Serviços
4.8.1 Gerenciamento
Muitos recursos disponibilizados pelas soluções OSTEC funcionam como serviços, e para
que entrem em funcionamento, é necessário que os mesmos sejam devidamente iniciados.
A lista de serviços disponíveis pode variar de acordo com o tipo de produto adquirido
Através do item gerenciamento é possível iniciar, paralisar e configurar as opções de ope-
ração do serviço. Um serviço marcado como alta disponibilidade, uma vez que seja parali-
sado, o mesmo é automaticamente inicializado, portanto não é possível visualizar o status
como paralisado.
• Iniciar com sistema: Define se o serviço deve ser iniciado automaticamente na
inicialização do ambiente.
• Alta disponibilidade: Define se o serviço, caso esteja paralizado, deve ser iniciado
automaticamente em validações a cada 3 minutos.
Existem serviços que estão associados aos módulos das soluções, que podem ser devida-
mente editados, paralisados e outros. Também existem serviços que são essenciais ao
funcionamento da solução, e portanto, não são gerenciáveis.
• Serviços editáveis
– appfilterd: Módulo controle de aplicação
– captive-redir: Redirecionador do Portal Cativo
– captive-redir2: Webserver e redirecionador do Portal Cativo
– ddclient: Módulo DynDNS
– dhcp-relay: Módulo DHCP Relay
– dhcp-server: Módulo Servidor de DHCP
– dns-relay: Módulo DNS Relay
4.8. Serviços Release 5.4.8 97

Manual |
– dns-server: Módulo Servidor de DNS

– firewall: Módulo Firewall
– ftp-proxy: Módulo Proxy FTP
– fwlogd: Módulo logs de Firewall
– ipsec: Módulo VPN IPSec
– link-check: Módulo Monitor de links
– noip: Módulo NoIP
– osips: Módulo IPS (Prevenção de Intrusão)
– osips-alertas: Módulo de alertas Prevenção de Intrusão
– snmpd: Módulo SNMP
– vmware-tools: Módulo de integração com produtos VMware
– web-proxy: Módulo Proxy Web
– web-proxy-antivirus: Módulo anti-vírus do Proxy Web
– vpn-NOME: Serviços de VPN (servidor ou cliente)
• Serviços não editáveis
– ntp-server: Módulo servidor e cliente NTP
– ssh-server: Módulo Servidor SSH (CLI)
– web-mgmt: Módulo interface de gerenciamento
4.8.2 Proxy FTP
O recurso de proxy FTP atende duas necessidades: permite que a rede interna conecte
de maneira segura e funcional a servidores FTP localizados em redes externas (como a
internet), onde as conexões são repassadas via proxy transparente para o serviço, e, atua
de maneira reversa, recebendo conexões e encaminhando para servidores internos.
• Anônimo: Define se o Proxy FTP aceitará apenas conexões de usuário anônimos. O

padrão é desativado.
• Endereço origem: Endereço IP que será utilizada como origem para estabelecer
comunicação com o servidor FTP de destino.
• Endereço IP: Endereço IP local que será utilizado para ouvir conexões. O padrão é
127.0.0.1.
• Porta: Porta utilizada pelo Proxy FTP para ouvir conexões. O padrão é 8021.
• Sessões: Define o número máximo de sessões. O padrão é 100. O máximo permitido
é 500.
• Modo ativo legado: Define se o Proxy FTP deve utilizar a porta 20 para iniciar as
conexões ativas
• Marcação: Define se as conexões FTP deverão ser marcadas para verificação nas
regras de Firewall.
• Tempo limite: Define o tempo limite de uma sessão em minutos. O padrão é 10
minutos. O valor máximo permitido é 24 horas.

Manual |
• Log: Define se as conexões FTP deverão ser logadas pelo módulo de Firewall.
4.8.2.2 Endereços Reversos
A configuração de FTP reverso se faz necessária quando se deseja acesso público através
de clientes de internet tendo como destino um servidor FTP dentro da rede local.
• Endereço origem: Endereço IP que será utilizada como origem receber as conexões
externas.
• Endereço IP: Endereço IP local que será utilizado para ouvir conexões. O padrão é
127.0.0.1.
• Porta: Porta utilizada pelo Proxy FTP para ouvir conexões. O padrão é 8021.
• Endereço servidor: Endereço IP interno onde está localizado o servidor FTP.
• Porta servidor: Porta utilizada para comunicação do servidor.
• Anônimo: Define se o Proxy FTP aceitará apenas conexões de usuário anônimos. O
padrão é desativado.
• Sessões: Define o número máximo de sessões. O padrão é 100. O máximo permitido
é 500.
• Modo ativo legado: Define se o Proxy FTP deve utilizar a porta 20 para iniciar as
conexões ativas.
• Marcação: Define se as conexões FTP deverão ser marcadas para verificação nas
regras de Firewall.
• Tempo limite: Define o tempo limite de uma sessão em minutos. O padrão é 10
minutos. O valor máximo permitido é 24 horas.
• Log: Define se as conexões FTP deverão ser logadas pelo módulo de Firewall.
• Estado: Indica o estado da regra, ativada ou desativada
4.8.3 SNMP
O recurso de SNMP assegura que a solução possa ser integrada em plataformas de moni-
toramento para gestão unificada de operação de ativos.
As configurações estão direcionadas a identificação da solução a ser monitorada, facili-

tando o gerenciamento por plataformas de monitoramento.
• Localização: Informação do equipamento físico
• Contato: Informação de contato do administrador
• Descrição: Informação sobre o serviço disponibilizado

Manual |
4.8.3.2 Comunidades
Dependendo da versão utilizada do protocolo SNMP, os acessos podem ser baseados em

usuários ou comunidades. Além disso, opcionalmente pode ser adicionado restrição ba-
seada em endereços, permitindo que somente determinados hosts ou redes possam fazer
operações SNMP na solução.
Figura115: Listagem de comunidades SNMP.
4.8.3.3 Usuários
Gerencia os usuários que serão utilizados para acesso ao serviço quando suportado.
Figura116: Listagem de usuários SNMP.
4.8.3.4 Regras
As regras definem com base nas comunidades ou usuários qual a permissão que será
concedida para a utilização do serviço.
• Leitura: Impede que o usuário processe solicitações SET do SNMP
• Gravação: Permite que o usuário processe solicitações SET
• Notificação: Permite que o usuário envie somente interceptações SNMP para a co-
munidade

Manual |
Figura117: Listagem de regras SNMP.
4.8.4 DNS Dinâmico
Em alguns casos a empresa não possui um IP fixo em seu link de internet, dificultando a
configurações de serviços que dependem de um IP fixo do link para funcionarem. Como
alternativa pode-se configurar o serviço de DNS dinâmico (DynDNS) assim é criado um
nome de domínio atrelado ao IP dinâmico da operadora que pode ser utilizado para con-
figurar os serviços que dependem de um IP fixo para ficarem disponíveis para acessos
externos.
Este recurso também serve como substituto do NoIP/DDClient.
• Endereço dinâmico: Caso tenha uma chave válida configurada, neste campo apa-
recerá o endereço dinâmico associado à chave.
• Endereço origem: Permite definir o endereço IP de origem na conexão utilizada
para atualização do endereço IP do endereço dinâmico, útil quando houver múltiplos
links e desejar utilizar o endereço IP do link que não é o gateway padrão.
• Chave: Chave fornecida pela OSTEC para utilização do módulo.
Figura118: Configuração do módulo de DNS Dinâmico.

Manual |
4.9 Administração
O módulo de administração tem por finalidade o gerenciamento de usuários à interface

de gerenciamento, realização e agendamento de backup, bem como a gravação das alte-
rações feitas e acesso aos bancos de dados da solução.
4.9.1 Usuários
Define o tipo de autenticação principal e secundária. O padrão é Local na autenticação

principal e desativado no secundário, podendo ser alterado para LDAP ou Sistema.
Se configurado a autenticação secundária, primeiramente será realizado a tentativa de
autenticação no principal e somente se falhar será feito a tentativa na autenticação se-
cundária.
No caso de grupos, a validação é feita somente via LDAP e somente se o tipo LDAP estiver
configurado para autenticação principal ou secundária. As definições LDAP são configu-
radas na tela de perfis LDAP.
4.9.1.2 Usuários
Todo acesso ao produto é dividido por módulos, que são mostrados nas colunas Módulos
leitura e Módulos gravação. Os usuários podem ser cadastrados com acesso somente à
leitura, assim como, acesso total aos módulos (leitura e gravação).
Figura119: Adição de usuário e definição de permissões.
4.9. Administração Release 5.4.8 102

Manual |
Figura120: Listagem de usuários
4.9.1.3 Grupos
Permite definir o acesso de usuários que estiverem nos grupos configurados e, para que
funcione, é necessário que tenha sido ativado a autenticação LDAP e configurado o perfil
LDAP corretamente.
Figura121: Adição de grupo e definição de permissões.

Manual |
Figura122: Listagem de grupos
4.9.2 Certificado
Apresenta detalhes sobre o certificado utilizado pelo produto. Por padrão é utilizado um
certificado auto-assinado, isto significa que os browser não conseguirão validar o certifi-
cado pois o mesmo não foi gerada por uma Autoridade Certificadora (CA) conhecida.
Caso seja adquirido um certificado válido por entidades certificadoras, o mesmo pode ser
utilizado pelo produto, e para isto, basta fazer upload de um arquivo contendo tanto o
certificado quanto a chave no formato PEM.
4.9.3 Backup
Através do menu backup é possível realizar três funções: Gerar backup, Restaurar backup
e Reiniciar configurações. Esta modalidade de backup não inclui dados, apenas configu-
rações. Portanto, qualquer outro tipo de backup deve ser realizado a parte.
Figura123: Opções disponíveis no menu Backup.
Ao clicar no botão Gerar backup, um arquivo é gerado e fica disponível para download.
Este arquivo pode ser salvo em qualquer equipamento e utilizado futuramente para res-
taurar alguma configuração, através do botão Restaurar backup. O botão Reiniciar confi-
gurações reinicia todas as configurações de fábrica do produto.

Manual |
Figura124: Tela de restauração de backup.
4.9.4 Agendamento de Backup
O agendamento de backup remoto é possível de ser realizado através de FTP, SSH, SMB e
Email. Para isso é necessário antes de criar o agendamento propriamente dito, adicionar
um ou mais métodos de backup remoto, através da opção Adicionar servidor.
4.9.4.1 Agendamento
Define o agendamento de backup dos servidores previamente cadastrados.
Figura125: Lista de agendamentos de backup.

Manual |
4.9.4.2 Servidores
Figura126: Opções ao adicionar servidor para backup remoto.
Uma vez adicionado o método a ser utilizado para o backup remoto, então o agendamento
pode ser realizado através da opção Adicionar agendamento. Os agendamentos podem
ser diários, semanais ou mensais. Podem ser cadastrados mais de um tipo de backup e
agendamento, suprindo a necessidade de cada tipo de negócio.
4.9.5 Exportação de logs
Os registros de eventos e demais logs gerados pela solução podem ser exportados por
completo ou por módulos para um servidor de logs remoto (padrão syslog). Desta maneira,
além de gravar as informações localmente, os registros são direcionados para a lista de
servidores cadastradas.
• Autenticação: Registros de sucesso e falha nas autenticações
• Agendamento: Serviço de agendamento de serviços (CRON)
• Depuração: Informações para depuração
• Serviço DHCP: Logs do serviço de DHCP
• Serviço IPSec: Registros de conexões IPSec
• Informações/notícias: Informações gerais e notícias geradas pelo sistema operaci-
onal e aplicativos
• Serviço DNS: Registros do serviço de DNS
• Segurança: Informações relacionadas à segurança
• IPS: Registro do serviço de prevenção de intrusão

Manual |
4.9.6 Salvar
Todas as alterações realizadas no produto precisam ser devidamente salvas para assegu-
rar que no caso de uma reinicialização do equipamento o ambiente retorne ao estado de
produção.
Além de copiar a configuração atual para a inicialização, é possível também manter uma
configuração de backup.
Figura127: Gravação das modificações de configuração.
4.9.7 Banco de Dados
Os backups oferecidos através da interface de gerenciamento do produto não contemplam

as bases de dados onde são armazenados logs, relatórios e outros registros de auditoria e
operação da solução. Através deste menu, todas as bases podem ser devidamente baixadas
ou removidas, de acordo com a necessidade do administrador.
4.9.7.1 Arquivos
Permite visualizar e baixar as bases existentes

Manual |
Figura128: Lista de bancos de dados.
Nota: As bases de dados estão no formato SQLite3 e podem ser livremente gerenciadas
por outras ferramentas de análise, conforme necessidade, uma vez que o propósito do
produto não é a entrega de relatórios, gráficos e formatos de pesquisas complexos.
4.9.7.2 Política de remoção
Permite definir uma política de remoção de acordo com a utilização de disco onde ficam
os bancos de dados.
• Estado: Ativa a política de remoção automática das bases de dados.
• Compressão: Define a quantidade de meses a partir da qual as bases devem ser
compactadas. O padrão são 3 meses.
• Política de remoção: A política linear remove todos os bancos do mesmo tipo antes
de iniciar a remoção dos demais. Por outro lado, não linear remove os bancos mais
antigos de acordo com a ordem definida até atingir o limite configurado de encerra-
mento de remoção. O padrão é não linear.
• Início de remoção: Percentual de uso de armazenamento em que deve-se iniciar a
remoção das bases de dados mais antigas. O padrão é 90%.
• Encerramento de remoção: Percentual de espaço livre após o início da remoção.
O padrão é 80%.
• Ordem de remoção: Ordem em que as bases de dados serão removidas (de cima
será removido primeiro) para manter o espaço livre configurado. O padrão é nenhum
banco selecionado.
• E-mails de administradores: Endereço de e-mail do administrador a ser notificado
das ações de política de remoção.
No exemplo da figura abaixo a política de remoção está ativa e definida para compactar
os bancos de dados mais antigos do que 3 meses, além de remover de forma não-linear

Manual |
os bancos selecionados quando a utilização de disco for igual ou maior do que 90% e
interromper a remoção quando chegar à 80% ou menos de utilização.
Figura129: Configuração de política de remoção.
4.9.8 Perfis SMTP
Permite a criação de perfis SMTP que podem ser associados aos módulos que utilizam do
serviço de envio de e-mail para gerar notificações.
Define quais perfis devem ser utilizado por cada módulo. O padrão é não utilizado onde
os módulos que fazem uso do serviço de envio de e-mail utilizarão o perfil global, se con-
figurado.
• Global: Define o perfil global que será utilizado por todos os módulos que fazem uso
do serviço de envio de e-mail.
• Notificações: Define perfil utilizado pelo módulo de notificações. O padrão é não
utilizado onde é utilizado o perfil global.
• Pendências: Define perfil utilizado pelo módulo de pendências do Proxy Web. O
padrão é não utilizado onde é utilizado o perfil global.
• E-mails automáticos: Define perfil utilizado pelo módulo de relatório automático.
O padrão é não utilizado onde é utilizado o perfil global.
• Monitor de links: Define perfil utilizado pelo módulo de monitor de links. O padrão
é não utilizado onde é utilizado o perfil global.
• Backup: Define perfil utilizado pelo módulo de agendamento de backup. O padrão
é não utilizado onde é utilizado o perfil global.

Manual |
4.9.8.2 Perfis SMTP
Permite o gerenciamento de perfis SMTP, estes que podem ser posteriormente associados
aos módulos que fazem uso do serviço, ou utilizado de forma global.
Figura130: Lista de perfis SMTP.
4.9.9 Perfis LDAP
Permite a criação de perfis LDAP que podem ser associados aos módulos que utilizam o
serviço de autenticação LDAP.
Define quais perfis devem ser utilizado por cada módulo. O padrão é não utilizado onde
os módulos que fazem uso do serviço de autenticação LDAP utilizarão o perfil global, se
configurado.
• Global: Define o perfil global que será utilizado por todos os módulos que fazem uso
do serviço de envio de e-mail.
• Proxy Web: Define perfil utilizado pelo módulo de autenticação do Proxy Web. O
padrão é não utilizado onde é utilizado o perfil global.
• VPN SSL: Define perfil utilizado pelo módulo de autenticação em VPN SSL (modo
servidor). O padrão é não utilizado onde é utilizado o perfil global.
• Portal Cativo: Define perfil utilizado pelo módulo de autenticação do Portal Cativo.
O padrão é não utilizado onde é utilizado o perfil global.
• Usuários: Define perfil utilizado pelo módulo de autenticação da interface do pro-
duto. O padrão é não utilizado onde é utilizado o perfil global.
• Autencador do Firewall: Define perfil utilizado pelo módulo de autenticação no
autencador do Firewall. O padrão é não utilizado onde é utilizado o perfil global.

Manual |
4.9.9.2 Perfis LDAP
Permite o gerenciamento de perfis LDAP, estes que podem ser posteriormente associados
aos módulos que fazem uso do serviço, ou utilizado de forma global.
Figura131: Edição de perfil LDAP.
4.10 Notificações
As notificações permitem a parametrização da solução para gerenciar o comportamento

de determinados serviços a fim de que anormalidades sejam rapidamente identificadas,
evitando assim possibilidades de indisponibilidade.
Grande parte das estruturas monitoradas são baseadas em limite e frequência. Se du-
rante um determinado intervalo de tempo um limite for atingido, a notificação é automa-
ticamente gerada. É possível realizar a configuração de notificação global, ou até mesmo
notificação diferenciada (destino diferente) para cada tipo de evento.
O tipo de saída é a forma como a notificação será apresentada, via interface, por e-mail,
ou ambos. As notificações através da interface de gerenciamento ficam no topo, devendo
ser reconhecidas pelo administrador para que aquele evento não seja mais listado.
Antes de definir os parâmetros de monitoramento, é necessário realizar a configuração da

estrutura de envio das notificações, que são baseadas por e-mail, ou na própria interface
de gerenciamento da solução.
• Destinatários: Endereços de e-mail separado por vírgula que deverão receber noti-
ficações.
• Intervalo de Notificações: Define o intervalo para envio de notificações por e-mail.
Será enviado somente uma notificação por tipo de evento no período configurado.
4.10. Notificações Release 5.4.8 111

Manual |
As notificações com tipo de saída interface são apresentadas no canto superior direito no
ícone de notificações e os detalhes das notificações podem ser visualizadas em Relatórios
/ Notificações.
Figura132: Alerta com notificações
4.10.2 Firewall
• Limite de conexões por endereço IP: Número máximo de conexões simultâneas

por endereço IP. O padrão é 200.
• Limite de conexões simultâneas: Número máximo de conexões simultâneas. O
padrão é 20000.
Figura133: Configurações de notificações de Firewall.
4.10.3 Proxy Web
• Limite de arquivos abertos: Número máximo de arquivos que podem ser abertos
pelo Proxy Web. O padrão é 900.
• Limite de conexões por endereço IP: Número máximo de conexões simultâneas
por endereço IP. O padrão é 200.
• Limite de conexões simultâneas: Número máximo de conexões simultâneas. O
padrão é 20000.

Manual |
Figura134: Configurações de notificações de Proxy Web.
4.10.4 VPN
As notificações do módulo de VPN são geradas somente com base na conexão e desconexão
de certificados, extremamente útil para acompanhamento de conexões de colaboradores,
fornecedores e outros.
4.10.4.1 Servidores
Permite ativar notificação para conexão e desconexão de todos os certificados de deter-

minado servidor.
Figura135: Configurações de notificações de servidores VPN.
4.10.4.2 Certificados
Permite ativar notificação para conexão e desconexão de um determinado certificado.

Manual |
Figura136: Configurações de notificações de certificados VPN.
4.10.5 Sistema
4.10.5.1 Geral
• Autenticação interface: Notifica se houver início ou encerramento de sessão na

interface de gerenciamento.
• Comunicação com o gateway padrão: Notifica se não houver comunicação com o
gateway padrão no período informado.
• Comunicação com o servidor DNS: Notifica se não houver comunicação com o
servidor DNS no período informado.
• Inexistência de gateway padrão: Notifica se não houver um gateway padrão no
período informado.
• Inexistência de servidor DNS: Notifica se não houver um servidor DNS no período
informado.
• Utilização memória RAM: Limite máximo em porcentagem de utilização de memó-
ria. O padrão é 90%.
• Utilização processador: Limite máximo em porcentagem de utilização do proces-
sador. O padrão é 90%.
• Utilização SWAP: Limite máximo em porcentagem de utilização de memória SWAP.
O padrão é 70%.

Manual |
Figura137: Configurações de notificações gerais de sistema
4.10.5.2 Armazenamento
Permite gerar notificação quando a utilização de disco for igual ou superior ao limite con-
figurado. Segue abaixo a lista das partições que são configuradas por padrão.
• /: Limite de 80% de utilização
• /ostec/conf: Limite de 80% de utilização
• /ostec/startup: Limite de 80% de utilização
• /ostecrw: Limite de 90% de utilização
Figura138: Configurações de notificações de armazenamento

Manual |
4.10.5.3 Interfaces de rede
Permite gerar notificação quando houver erros e/ou colisões nas interfaces de rede moni-
toradas.
4.11 Ferramentas
As ferramentas disponibilizadas servem como apoio para diagnósticos a serem realizados

sobre a perspectiva do produto diante da arquitetura em que o mesmo está colocado,
facilitando a identificação e depuração de eventuais problemas.
4.11.1 Ping
O ping pode ser utilizado para testar a conectividade entre equipamentos de rede, desde
que os mesmos não estejam filtrando pacotes ICMP.
• Endereço: Destino Endereço no qual será disparado o ping.
• Endereço Origem: Endereço no qual será originado.
• Requisições: Números de requisições ping a ser enviada.
• Espera: Tempo de espera entre cada envio.
• Tamanho: Tamanho do pacote ping a ser enviado (o padrão é 64 bytes).
Figura139: Utilização da ferramenta Ping.
4.11. Ferramentas Release 5.4.8 116

Manual |
4.11.2 ARPing
Pode ser utilizado para testar a conectividade utilizando tanto pacotes ARP quando IP para
o endereço informado.
Figura140: Utilização da ferramenta ARPing.
4.11.3 Traceroute
Para obter informações sobre o caminho que um pacote percorre da solução até chegar
ao seu destino, basta utilizar o traceroute. Para isso basta digitar o endereço IP ou FQDN,
se preferir, também definir um tempo de espera em segundos entre os saltos.
Figura141: Utilização da ferramenta Traceroute.

Manual |
4.11.4 Consulta DNS
Utilizado para verificar os registros DNS de um determinado servidor, por padrão, a con-
sulta é realizada pelo servidor DNS que está configurado na solução. Caso seja necessário
consultar em outro servidor DNS, o campo servidor deve ser preenchido.
Figura142: Utilização da ferramenta consulta DNS.
4.11.5 Teste TCP
Esta opção funciona como uma verificação TCP a determinada porta, basta adicionar o
endereço e porta de destino. O retorno é processado e informado ao requerente.
Figura143: Utilização da ferramenta teste TCP.

Manual |
4.11.6 Teste Internet
Esta ferramenta é utilizada para verificar a comunicação da solução com a Internet. Di-
versos itens são testados em formato de passo-a-passo para que seja identificado em que
ponto há alguma anormalidade de acesso.
Figura144: Teste de comunicação com a internet.
4.11.7 Consulta OUI
A opção consulta OUI (Organizationally Unique Identifier) é utilizada para verificar a ori-
gem do fabricante de um determinado MAC. São utilizados os três primeiros octetos do
endereço físico da placa de rede para determinar o fabricante.
Figura145: Utilização da ferramenta consulta OUI.
4.11.8 Análise de pacotes
Esta ferramenta coleta e analisa informações de pacotes que atravessam uma determinada
interface. Após a interceptação, as informações são apresentadas através da interface ou
são disponibilizadas para download, em formato PCAP. O recurso está segmentado em
Básico e Avançado.

Manual |
4.11.8.1 Básico
• Interface: Interface de rede onde será capturado o tráfego.

• Endereço: Endereço de origem e/ou destino. Pode ser utilizado no formato endereço
IP ou endereço de subrede em notação CIDR. Se nenhum valor for informado, todos
os endereços serão capturados.
• Porta: Porta de origem ou destino que será utilizado como filtro. Se nenhum valor
for informado, todas as portas serão capturadas.
• Tamanho do pacote: Define o tamanho máximo do pacote que será capturado. Se
nenhum valor for informado, será capturado todo o pacote.
• Detalhamento: Define o nível de detalhe que será exibido após a captura dos paco-
tes.
• DNS: Habilita a consulta reversa de DNS para os endereços e porta de origem e
destino.
• Registros: Define o número máximo de pacotes que serão capturados.
Tipos de detalhamento
• Normal: Informações referente à data/hora da captura, endereço e porta de origem,
endereço e porta de destino, flags, sequência, janela e tamanho do pacote.
• Médio Informações do nível básico e também informações de tempo de vida, identifi-
cação, tamanho total do pacote. Informações de integridade do cabeçalho IP e ICMP
também são apresentados.
• Alto: Informações do nível normal e médio, além de informações referente à campos
adicionais de retorno de pacotes NFS e SMB.
• Completo: Informações do nível normal, médio e alto, além de informações referente
a camada de enlace
Figura146: Utilização da ferramenta análise de pacotes (Básico).

Manual |
4.11.8.2 Avançado
A grande diferença entre o básico e avançado é a presença do campo condição neste caso.
A condição é uma expressão no formato BPF utilizada para aplicar um filtro a coleta de
pacotes que atravessam a interface. Exemplos de utilização:
• host 192.168.50.1 and (port 25 or port 465 or port 587): Filtra todos os pacotes
cujo endereço IP de origem ou destino seja 192.168.50.1 e a porta de origem ou
destino seja 25, 465 ou 587.
• (net 192.168.50.0/24 or host 192.168.60.1 or host 192.168.60.2) and ((port
8081 or port 8082) or icmp): Filtra todos os pacotes caso o endereço IP de origem
ou destino seja 192.168.60.1 ou faça parte da rede 192.168.50.0/24. A conexão pre-
cisa ser uma requisição ICMP ou uma conexão TCP ou UDP. Se a conexão for TCP ou
UDP é necessário também que a porta de origem ou destino seja a 8081 ou 8082.
Figura147: Utilização da ferramenta análise de pacotes (Avançado).
No exemplo da figura acima foram capturados os pacotes que passaram pela interface
wan e com destino à 8.8.8.8 (em qualquer porta) ou para qualquer destino mas na porta
587.
4.12 Sistema
Através do menu Sistema são disponibilizadas algumas funções básicas de operação do

ambiente no que diz respeito ao acompanhamento de eventos, configuração de data e
hora, além das facilidades de reinicialização e desligamento correto da solução.
4.12. Sistema Release 5.4.8 121

Manual |
4.12.1 Data e hora
Permite realizar manualmente a configuração de data, hora e fuso horário da solução.

Esta opção também permite a sincronização com servidores NTP (modo cliente), além da
configuração deste serviço como servidor.
Figura148: Configuração de data e hora.
4.12.1.1 Configuração NTP
O serviço de NTP pode ser utilizado no modo cliente ou servidor. O primeiro passo é definir
o modo de utilização, e posteriormente criar as configurações que reflitam a necessidade
do ambiente.
• Servidor NTP principal: Define o endereço do servidor NTP principal.
• Servidores NTP: Lista dos servidores NTP que serão utilizados para sincronizar a
data/hora.
• Redes confiáveis: Redes que podem acessar este servidor NTP.
4.12.2 Reiniciar
Permite reiniciar o equipamento instantaneamente, assim como agendar uma reinicializa-

ção.
4.12.3 Desligar
Permite desligar o equipamento instantaneamente, assim como agendar um desligamento.
4.13 Licença
Antes que a solução possa ser devidamente utilizada, é necessário fazer a ativação da
liceņca de uso. O modelo de licenciamento adotado permite a utilização de um único
número de série por equipamento.
Desta forma, ao instalar uma cópia da solução em outro equipamento, é necessário outro
número de série, que deve ser adquirido diretamente com a OSTEC. Após a ativação, a
licença é automaticamente renovada a cada trinta dias.
4.13. Licença Release 5.4.8 122

Manual |
Existem bundles de segurança que são comercializados com licenças individuais, e por-
tanto, o licenciamento base da solução não permite a utilização dos mesmos. Consulte a
OSTEC em caso de dúvidas.
Figura149: Dados da licença instalada
4.13. Licença Release 5.4.8 123

Manual |
CAPÍTULO 5
RELATÓRIOS
5.1 Administração
Recurso de auditoria das ações que são realizadas pelos usuários que possuem acesso a
solução. Todas as intervenções geradas são devidamente auditadas e ficam disponíveis
para consultas através de formulário.
Figura1: Histórico de ações na solução.
124
Manual |
5.2 Firewall
5.2.1 Autenticador
Todos os acessos de usuários realizados através do autenticador podem ser visualizados

através desta opção. Através da pesquisa pode-se acompanhar a origem da conexão bem
como a data de ocorrência.
Figura2: Pesquisa e listagem de ações no autenticador.
5.2.2 Acesso a Rede
Todo redirecionamento de portas ou regras de filtragem que são definidas com a flag log
geram eventos na solução. Estes eventos podem ser visualizados através deste módulo,
obtendo informações como data, hora, endereço de origem, endereço de destino, portas
de conexão envolvidas, ação sobre o tráfego, fluxo, entre outras coisas.

Manual |
Figura3: Pesquisa e listagem de eventos de rede.
Nota: Para o funcionamento adequado deste recurso é necessário que o serviço fwlogd
esteja devidamente ativado em Serviços / Gerenciamento.
5.2.3 Controle de Aplicação
Registros de conexões que bateram nas regras definidas em controle de aplicação com a
flag log ativa.
5.2.4 Top Talkers
Através do top talkers é possível verificar o número total de conexões, assim como os
protocolos, portas, endereço IP de origem e endereço IP de destino que mais estão gerando
conexões em tempo real.

Manual |
Figura4: Resumo de consumo de conexões e serviços.
5.2.5 Gráfico de Estados
Gráfico responsável por armazenar ao longo do tempo o número de entradas, pesquisas,

inserções e remoções na tabela de estados do firewall.
• Estados: Número total de estados atual na tabela.
• Pesquisas: Número de pesquisa por segundo.
• Inserções: Número de inserções por segundo.
• Remoções: Número de remoções por segundo.
Figura5: Consulta de estados ao longo do tempo.

Manual |
5.2.6 Gráfico de Cluster
Este gráfico tem como finalidade mostrar ao longo do tempo as mudanças de status que
ocorreram no cluster. Uma vez que uma determinada configuração esteja no formato ativo-
passivo, é então possível verificar momentos que o outro nó assumiu a responsabilidade
de processamento.
Figura6: Mudança de status em ambiente clusterizado.
5.2.7 Tabela de Conexões
A tabela de conexões é um recurso utilizado pela filtragem stateful que mantém regis-
tro de todo estado das conexões. Desta forma, é possível não somente analisar os pares
de conexão e serviços, mas acompanhar o tráfego das conexões, permitindo identificar
eventuais não conformidades com o perfil de tráfego da empresa.

Manual |
Figura7: Pesquisa na tabela de conexões.
Através deste recurso, também é possível filtrar determinados tipos de informações, bem
como selecionar conexões que devem ser devidamente finalizadas. Uma conexão fina-
lizada não é uma conexão bloqueada, os bloqueios permanentes devem ser realizados
através do menu Firewall - Regras de filtragem.
Figura8: Tabela de conexões em tempo real.

Manual |
5.3 Proxy Web
Os relatórios de navegação estão diretamente relacionados a operação do módulo Proxy

Web. Todos os acessos são devidamente registrados para consultas em tempo real ou
retroativas, permitindo avaliar o comportamento dos usuários, identificação de abusos e
não conformidades.
5.3.1 Relatório Gerencial
A atualização da base de dados dos acessos é realizada em intervalos de 10 minutos, ou

manualmente através do botão disponível na página. Existem 4 tipos de saída que podem
ser selecionados através do formulário de pesquisa. É possível realizar pesquisas básicas,
e até mesmo pesquisas condicionais para limitar o universo da busca.
Por padrão são apresentadas somente informações rápidas sem detalhamento, no entanto
é possível realizar pesquisar a alterar o formato de saída.
Figura9: Pesquisa do relatório gerencial do Proxy Web.
Nota: É possível gerar PDF a partir de uma impressão. Para isto basta realizar uma pes-
quisa e se houver registros no período consultado, aparecerá o ícone de uma impressora
no canto superior direito e ao clicar será possível imprimir em PDF. O Google Chrome tem
a opção para imprimir em PDF, mas caso o seu browser não tenha este recurso, existem
drivers específicos para simular uma impressora e imprimir em arquivo PDF.
Tipo de saída: Usuários

• Equipamento: Endereço IP ou nome do equipamento mapeado no DHCP
• Usuário: Login do usuário caso a conexão tenha sido autenticada
• Conexões: Número de conexões geradas
• Tráfego: Volume de tráfego consumido
• % Tráfego: Relação de tráfego com todo o restante de registros

Manual |
• Tempo: Tempo total de uso

• % Tempo: Relação de tempo com todo o restante de registros
• Primeiro acesso: Registro do primeiro acesso
• Último acesso: Registro do último acesso
• Ações: Ações associadas ao registro
Figura10: Relatório gerencial do Proxy Web com tipo de saída Usuários.
Tipo de saída: Domínios

• Ação: Apresenta qual ação teve o acesso (liberado ou bloqueado)
• Domínio: Domínio acessado

Manual |
Figura11: Relatório gerencial do Proxy Web com tipo de saída Domínios.
Tipo de saída: Acessos

• URL: Endereço acessado
Nota: Note que a diferença entre o tipo de saída Domínio para o tipo de saida Acessos é
que no primeiro caso os dados são agrupados por domínio.

Manual |
Figura12: Relatório gerencial do Proxy Web com tipo de saída Acessos.
Tipo de saída: Acessos detalhados

• Equipamento: Endereço IP do equipamento que fez o acesso
• Usuário: Nome do usuário autenticado (se aplicável)
• URL: Endereço acessado
• Método: Método da conexão (CONNECT, GET, POST, etc)
• Horário: Data e hora de acesso
Nota: Note que nesse tipo de saída os dados não são agrupados e portanto será apre-
sentado todos os acessos individualmente.

Manual |
Figura13: Relatório gerencial do Proxy Web com tipo de saída Acessos detalhados.
Nota: A informação de tempo total de uso não é exata. Não é possível apresentar a infor-
mação exata que o usuário gastou em determinado acesso, pois é comum os equipamentos
realizarem e manterem conexões o tempo todo, conexões essas que não são visualizadas
pelo usuário. Portanto é comum visualizar tempo de uso extremamente elevado.
5.3.2 Conexões Negadas
Tem por finalidade apontar o relatório de acesso diretamente para as conexões bloquea-
das, auxiliando na liberação de recursos que deveriam estar liberados, ou simplesmente
para verificar as tentativas de acessos não autorizados. Essa mesma consulta pode ser
realizada no formulário padrão de acesso.

Manual |
Figura14: Relatório de conexões negadas do Proxy Web.
5.3.3 Informações Gerais
Esta opção possibilita um acompanhamento geral das informações do serviço. Os parâme-

tros apresentados são de extrema importância para detecção de problemas e alterações
de configurações aplicadas em Proxy Web - Configurações - Opções.
Figura15: Tabela com informações gerais do proxy.

Manual |
5.3.4 Conexões Ativas
Permite visualizar, em tempo real, as conexões ativas do proxy de acordo com o tempo
de atualização de tela definido. Esta opção apresenta informações importantes como,
número de usuários conectados, número de conexões, velocidade de todos os acessos, por
equipamento, velocidade média, tamanho e tempo de acesso.
Figura16: Lista de conexões ativas no proxy.
5.3.5 Gráficos
Registro de informações em formato de gráfico da utilização de descritores de arquivo e

número de usuários conectados. Estas informações são coletadas e servem especialmente
de consulta retroativa.

Manual |
Figura17: Gráficos de uso do proxy.
5.4 VPN
5.4.1 Registros
Permite visualizar as mensagens de log dos serviços de VPN em tempo real.
5.4.1.1 SSL
Todas as informações do serviço VPN-SSL podem ser visualizadas nesta tela, quanto maior
o nível de detalhamento configurado no serviço, maior a quantidade de informações que
serão apresentadas.
5.4. VPN Release 5.4.8 137

Manual |
Figura18: Registros do serviço VPN-SSL.
5.4.1.2 IPSec
Todas as informações do serviço IPSec podem ser visualizadas nesta tela, quanto maior
o nível de detalhamento configurado no serviço, maior a quantidade de informações que
serão apresentadas.
Figura19: Registros do serviço IPSec.
5.4. VPN Release 5.4.8 138

Manual |
5.4.2 Conexões Ativas
• Data/Hora: Data e hora da conexão

• Servidor: Nome do servidor onde o certificado está conectado
• Certificado: Nome (identificação) do certificado conectado
• Rotas: Rotas publicadas relacionadas àquele certificado
• Conexões: Endereços IP que estão usando a VPN no lado cliente
• IP VPN: Endereço IP privado usado na VPN
• IP Origem: Endereço IP público do cliente da VPN
• Porta Origem: Porta de comunicação utilizada pelo cliente
• Intf. Servidor: Interface externa do servidor onde chegou a conexão do certificado
• IP Servidor: Endereço IP de bind utilizado pelo concentrador
• Porta Servidor: Porta de comunicação utilizada no concentrador
• Entrada: Volume de tráfego de entrada
• Saída: Volume de tráfego de saída
Figura20: Lista de conexões ativas VPN-SSL.
5.4.3 Histórico
As informações disponibilizadas através do histórico são muito semelhantes à conexões

ativas, com exceção de diferenciar a data de conexão e desconexão, e portanto discriminar
a duração daquela conexão.
Além disso, através do formulário de pesquisa é possível identificar de maneira retroativa
os acessos que ocorreram, quanto tempo duraram, entre outras facilidades.
5.4. VPN Release 5.4.8 139

Manual |
Figura21: Histórico de conexões VPN-SSL.
5.4.4 IPSec
Apresenta informações das VPNs e Subredes configuradas e o estado das mesmas.

• Conexão: Identificação do túnel, sendo que o prefixo é o nome da VPN.
• Endereço local: Endereço local configurado para a VPN.
• Endereço remoto: Endereço remoto configurado para a VPN.
• Túneis: Subredes configuradas.
• Estado: Estado da conexão.
• Ação: Permite forçar a inicialização se não estiver estabelecido, assim como paralisar
ou reiniciar se já estíver com o túnel estabelecido.
Figura22: Lista de conexões VPN-IPSec.
5.4. VPN Release 5.4.8 140

Manual |
5.5 IPS
5.5.1 Eventos
Todos os eventos registrados pelo módulo de Prevenção de Intrusão podem ser consultados
em formato básico ou avançado. Existem diversos campos de pesquisa que podem ser
utilizados para facilitar a visualização. Por padrão, são listados os eventos do dia corrente.
Figura23: Eventos do IPS.
Para cada evento, é possível detalhar suas informações, incluíndo em alguns casos do
próprio pacote que originou o evento (cabeçalhos e payload). Em casos de caracterização
de um ataque, estas informações são fundamentais para as equipes de segurança
5.5. IPS Release 5.4.8 141

Manual |
Figura24: Detalhes do evento do IPS.
5.5.2 Conexões Bloqueadas
Mostra todas as conexões em tempo real que foram bloqueadas pelo IPS.
5.6 Portal Cativo
5.6.1 Ativos
Exibe online os usuários do Portal Cativo autenticados no sistema. É exibido Logado em,
quando o usuário realizou login no sistema, Nome do usuário, Grupo, Endereço IP, Ende-
reço MAC e Última resposta (utilizado para contabilizar a inatividade). Através da coluna
Ação é possível finalizar a conexão de determinado usuário, onde é forçado uma nova
autenticação caso o usuário tente novo acesso
Figura25: Lista de usuários ativos no Portal Cativo.

Manual |
5.6.2 Auditoria
Informa e permite pesquisa da atividade dos usuários do Portal Cativo
Figura26: Formulário de pesquisa de acessos portal cativo.
5.7 Utilização de Link
Possibilita analisar de forma gráfica o consumo das conexões nas interfaces de rede assim
como avaliar o consumo de banda online.
5.7.1 Gráficos
Toda interface de rede previamente mapeada é automaticamente adicionada para geração

de gráficos, que são atualizados automaticamente a cada minuto. O intervalo de geração
do gráfico pode ser alterado conforme necessidade, para períodos maiores ou menores.
Figura27: Gráfico de consumo de banda de interfaces de rede.
5.7. Utilização de Link Release 5.4.8 143

Manual |
5.7.2 Consumo online
O consumo de tráfego e pacotes pode ser visualizado, por interface, online. Esta opção é
extremamente útil para identificar anormalidades de tráfego permitindo maior aprofun-
damento na solução para busca da causa-raiz.
• Interface: Nome da interface mapeada
• Física: Nome da interface física
• Descrição: Descrição informada da interface
• Velocidade: Tráfego passando pela interface no momento. Subdividido em En-
trada/Saída (KB/s)
• Pacotes: Número de pacotes por segundo passando pela interface. Subdividido em
Entrada/Saída (p/s)
• Tráfego: Tráfego total realizado na interface. Subdividido em Entrada/Saída (MB/s)
Figura28: Consumo online por interface de rede.
5.7.3 Gráfico Online
Uma outra forma de visualizar o consumo online das interfaces é através de gráficos.
Neste caso ao selecionar a interface o gráfico é automaticamente atualizado, no intervalo
e no formato definido (banda, tráfego)

Manual |
Figura29: Gráfico online por interface de rede.
5.7.4 Consumo por IP
As conexões geradas nas interfaces podem ser monitoradas por endereços IP. Nesse local
é possível analisar o tráfego de acordo com a interface, todos os endereços que estão
gerando conexão no momento, identificando potenciais gargalos.
• Interface: Interface para monitoramento de consumo
• Ordenação: Forma de ordenação para visualização dos registros
• Limite de endereços: Número de endereços a serem visualizados
• Atualização: Intervalo de atualização do conteúdo de consumo
Para iniciar o processo de análise, após a seleção do formato de monitoramento, basta
clicar no botão Atualizar. O item finalizar e bloquear conexões permite resetar conexões
ou bloquear temporariamente que estejam, eventualmente, gerando algum problema com
alto tráfego na rede.
Para garantir um tempo automático de liberação de endereços bloqueados, pode-se ativar
o recurso de remoção automática através do item Opções de remoção. A ação pode ser
realizada em uma frequência de tempo, ou também agendada ao longo do tempo.

Manual |
Figura30: Acompanhamento de consumo de rede por IP.
Nota: Endereços bloqueados por este módulo são cadastrados como um grupo de ende-
reço, denominado EnderecosBloqueados, e podem ser removidos automaticamente após
determinado período, ou, manualmente através do menu Firewall / Configurações /
Grupo de endereços.
5.7.5 Histórico de Consumo
Permite configurar o módulo para manter registro permanente do consumo por IP.
Para ativar basta selecionar as interfaces a serem monitoradas.
Nota: Este recurso tem alto consumo de armazenamento portanto é importante ativar o
tempo de retenção para evitar paralisação de serviços.
Figura31: Configurações gerais do histórico de consumo por IP.
Os registros são adicionados na base a cada 5 minutos e podem ser verificados posterior-
mente na aba Relatório.

Manual |
Figura32: Relatório do consumo por IP nas interfaces selecionadas.
5.8 Monitor de Links
Esta parte dos relatórios está focada no módulo do Monitor de Links, trazendo varias infor-
mações importantes como indisponibilidade de links, gateways, gráficos de desempenho
de links, etc.
5.8.1 Gateways
Este relatório mostra as alterações que ocorreram com determinado Gateway, informando
a causa do estado ter ficado indisponível bem como o horário do ocorrido.
Figura33: Eventos do alteração no estado dos gateways
5.8. Monitor de Links Release 5.4.8 147

Manual |
5.8.2 Links
Esta tela mostra a disponibilidade de determinado link, informando o horário do ocorrido

e qual IP de teste não respondeu ao ping executado pelo monitor.
Figura34: Eventos do alteração no estado dos links
5.8.3 Perfis
Aqui mostra-se a disponibilidade dos perfis de links configurados, informando o nome do

perfil, a hora da indisponibilidade e quais links ficaram indisponíveis.
Figura35: Eventos do alteração no estado dos perfis

Manual |
5.8.4 Gráfico de Gateways
Neste relatório temos uma visão em formato de gráfico sobre a latência, perda de pacotes
e o estado dos Gateways em determinado dia/horário
Figura36: Gráfico de gateways
5.8.5 Gráfico de Links
Aqui visualiza-se em formato de gráfico a latência, perda de pacotes e o estado dos links
em determinado dia/horário
Figura37: Gráfico de links

Manual |
5.9 Hardware
5.9.1 Utilização de CPU
Disponibiliza consulta para acompanhamento de consumo de CPU ao longo do tempo.

O gráfico pode ser gerado com todas as métricas, ou filtros aplicados por cada tipo de
consumo de recurso. A escala automática assegura maior detalhamento na visualização
dos registros, especialmente nos casos de baixíssimo consumo.
Figura38: Gráfico de consumo de CPU.
5.9.2 Utilização de Memória
Disponibiliza acesso à utilização de memória RAM e SWAP ao longo do tempo. Recurso

extremamente útil para identificação de potenciais gargalos/desempenho.
5.9. Hardware Release 5.4.8 150

Manual |
Figura39: Gráfico de utilização de memória RAM
Figura40: Gráfico de utilização de memória SWAP
Nota: Alguns serviços como proxy, DNS e outros fazem máximo uso de memória para
aumentar a performance do ambiente. Portanto, um alto consumo não significa necessa-
riamente um problema. No entanto, a utilização de swap é um sintoma que na ocorrência,
deve ser melhor avaliado.

Manual |
5.9.3 Utilização de Disco
Falar sobre a utilização de disco
Figura41: Gráfico de utilização de disco
5.9.4 Carga Média
Mostra a carga média de processamento ao longo do tempo. Pode ser definido um período
de avaliação para facilitar a coleta da informação desejada.
Figura42: Gráfico de carga média de processamento.
Nota: Os critérios utilizados pela OSTEC para definir os valores de baixo, normal, acima
do normal, alto e muito alto são extremamente agressivos. Portanto, picos de alto e muito
alto, ao longo do dia, são considerados normais.

Manual |
5.10 E-mails Automáticos
Os e-mails automáticos permitem que determinados tipos de eventos sejam recebidos por
pessoas responsáveis através de e-mail, sem necessidade de recorrer a solução para ex-
trair as informações que deseja obter. É uma maneira importante e fácil de acessar infor-
mações a respeito da operação do ambiente e usuários, sem depender de departamentos
de tecnologia.
Através do item Configurações, é possível ajustar os parâmetros constantes na tabela para

que o recurso esteja devidamente disponível para funcionamento.
• Limite de registros: Número padrão de itens a serem mostrados nos relatórios.
Padrão é 10.
5.10.2 Relatórios
Os relatórios disponibilizados pela solução ficam armazenados neste menu, onde é possível
criar as condições inerentes a necessidade do gestor, administrador ou usuário. É possível
enviar tipos de relatórios, com periodicidades diferentes, filtrando pessoas e endereços. É
possível enviar e-mails resumido de toda a operação, ou somente das maiores ocorrências,
entre outros.
• Nome: Nome da configuração do envio de relatórios
• Endereços de e-mail: Endereços de e-mail que devem receber os relatórios. Sepa-
rar os endereços por espaço ou linha nova
• Período: Período que deve ser enviado os relatórios
• Tipo de filtro: Tipo de filtro a ser aplicado nos registros
• Conteúdo do filtro: Conteúdo que será aplicado ao tipo de filtro acima
• Número de registros: Número máximo de registro a ser exibido nos relatórios do
tipo TOP
• Tempo utlização: Define se no relatório deve ser apresentado uma coluna com o
tempo de utilização
• Relatórios: Relatórios disponíveis para serem enviados automaticamente para en-
dereços de e-mail. Selecione um ou mais relatórios de preferência ou propósito
5.10. E-mails Automáticos Release 5.4.8 153

Manual |
Figura43: Listagem de relatórios automáticos configurados.
5.11 Sistema
5.11.1 Eventos
Qualquer tratamento de exceção gerado pela solução será mostrado nesta tela. Os eventos
são registrados, possibilitando fazer pesquisas que foram geradas desde o período de
funcionamento da solução.
5.12 Notificações
Todas as notificações que são geradas através de e-mail ou pela interface da solução tam-
bém são registradas em base para que consultas possam ser realizadas ao longo do tempo.
Figura44: Formulário de pesquisa para notificações.
5.11. Sistema Release 5.4.8 154

Manual Ostec NGFW

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Manual Ostec NGFW

Enviado por

Direitos autorais:

Formatos disponíveis

MANUAL DO

CENTRAL DE Segurança digital de resultados

4.4.1.2 Modo Servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

4.9.7.1 Arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

5.4.3 Histórico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

A instalação do produto é um procedimento de baixa complexidade e extremamente rápido

Figura1: Seleção do idioma para instalação

Figura2: Tela de boas-vindas

A tela seguinte traz informações gerais com relação ao procedimento de instalação. É

Figura3: Informações gerais do processo de instalação

Figura4: Seleção do mapa de teclado

O próximo passo é somente uma conﬁrmação de continuação da instalação, a opção “sim”

Figura5: Discos disponíveis e formato de particionamento

Após a conﬁrmação de continuidade será mostrado um resumo da estrutura de particio-

Figura6: Resumo do particionamento

Na sequência da formatação dos discos serão instalados os pacotes, o tempo da instalação

Figura7: Instalação dos pacotes

Com a ﬁnalização da instalação de pacotes inicia-se a segunda etapa da instalação que

Figura8: Conﬁguração de parâmetros de rede

Nota: A conﬁguração de rede é necessária para validação posterior da licença. Isto

instalado o OSTEC NGFW tenha acesso irrestrito à internet.

Após as conﬁgurações de rede são solicitadas conﬁguração de localização, senha para os

Figura9: Finalização da instalação

Figura10: Tela de boas-vindas após a reinicialização da última etapa

2.1 Primeiro acesso

Figura1: Tela de login no primeiro acesso

2.1.1 Termo de uso

Figura2: Termo de uso do produto

Nota: Antes de validar o numero de série é necessário veriﬁcar se as con-

2.1. Primeiro acesso Release 5.4.8 9

Figura3: Conﬁgurando a licença fornecidade pela OSTEC

Figura4: Dados da licença instalada

As opções apresentadas no menu superior possibilitam o acesso as conﬁgurações do pro-

2.1. Primeiro acesso Release 5.4.8 10

A Dashboard do UTM traz as informações mais importantes para uma visualização

Figura1: Dashboard do OSTEC NGFW.

4.1 Conﬁgurações de rede

Através do menu Conﬁgurações de rede estão todas as deﬁnições de rede relacionadas

Responsável pelo gerenciamento das interfaces físicas e lógicas, endereçamento, estatís-

Figura1: Lista de interfaces mapeadas e não mapeadas.

Os mapeamentos podem ser alterados conforme necessidade. Em plataformas openserver

Nota: Diante da necessidade de aplicar políticas de acesso em interfaces VPN-SSL, antes

As estatísticas mostram somente informações acerca da operação das interfaces físicas

Figura2: Estatística das interfaces de rede.

4.1. Conﬁgurações de rede Release 5.4.8 13

Figura3: Cadastro de endereços.

4.1. Conﬁgurações de rede Release 5.4.8 14

Figura4: Cadastro de endereços secundários (aliases).

Figura5: Listagem de endereços primários e secundários cadastrados

O suporte à VLANs é realizado no padrão 802.1Q em segmentos Ethernet permitindo inte-

4.1. Conﬁgurações de rede Release 5.4.8 15

Figura6: Cadastro de VLAN 200.

Após a criação da interface é necessário realizar o mapeamento a ﬁm de que a mesma

Figura7: Mapeamento da VLAN200.

Figura8: Endereçamento da VLAN200.

4.1. Conﬁgurações de rede Release 5.4.8 16

O trunking permite agrupar várias interfaces para ﬁns de desempenho e disponibilidade.

Figura9: Cadastro de interface de trunk com wan e wan2.

• Protocolo: Protocolo que será utilizado. Ver abaixo os protocolos disponíveis.

Um ou mais gateways podem ser cadastrados associados à interfaces diferentes. No en-

4.1. Conﬁgurações de rede Release 5.4.8 17

Figura10: Cadastro de gateway.

Após cadastrado é possível alterar as informações do gateway, assim como simplesmente