1-0 Instalando o Firewall Aker - Data - Aker Security Solutions

More documents

Recommendations

Info

• N-1 A conversão de N-1, como o nome já diz, possibilita que várias máquinas com endereços reservados utilizem um mesmo endereço válido. Para conseguir este objetivo, ela utiliza endereços IP em combinação com portas (no caso dos protocolos TCP e UDP) ou com números de seqüência (no caso de ICMP). Este mapeamento é feito dinamicamente pelo firewall, cada vez que uma nova conexão é estabelecida. Como existem 65535 portas ou números de seqüência distintos, é possível a existência de até 65535 conexões simultâneas ativas utilizando o mesmo endereço. A única limitação desta tecnologia é que ela não permite que as máquinas internas sejam acessadas externamente. Todas as conexões devem ser iniciadas internamente. • 1-N Este tipo de conversão é também chamado de balanceamento de carga e possibilita que vários servidores sejam colocados atrás de um único endereço IP válido. Cada vez que uma uma nova conexão é aberta para esse endereço, ela é redirecionada para um dos servidores internos. A grande vantagem dessa tecnologia é possibilitar que serviços que demandam uma grande quantidade de recursos possam ser separados em várias máquinas e serem acessados de forma transparente, através de um único endereço. No caso de quedas de algumas dessas máquinas, as novas conexões são automaticamente repassadas para as máquinas que ainda estiverem no ar, implantando com isso mecanismo de tolerância a falhas. Aplicações da conversão de endereços com o Firewall Aker O Firewall Aker permite que qualquer tipo de conversão seja realizada, não se limitando apenas ao endereço válido da interface externa do firewall, mas sim dando total flexibilidade ao administrador em utilizar qualquer endereço dentro da rede, inclusive fazendo a conversão entre redes inválidas. Suponhamos que uma determinada organização receba uma endereço classe C, com o formato A.B.C.0. Este endereço é um endereço válido que suporta no máximo 254 máquinas (os endereços A.B.C.0 e A.B.C.255 são reservados para fins específicos e não podem ser utilizados, sobrando os valores de A.B.C.1 a A.B.C.254). Suponha ainda que esta rede possui 1000 máquinas para serem conectadas. Em virtude da impossibilidade de se alocar todas as máquinas no endereço recebido, foi decidido pelo uso da conversão de endereços. Escolheu-se então um endereço reservado classe A para ser colocado nas máquinas da rede interna, o 10.x.x.x com máscara 255.0.0.0. O Firewall Aker irá ficar na fronteira da Internet com a rede interna, que possui endereços reservados. Ele será o responsável pela conversão dos endereços reservados 10.x.x.x para os endereços válidos A.B.C.x. Desta forma, o firewall deverá possuir pelo menos dois endereços: um endereço válido, para que possa ser atingido pela Internet e um reservado, para que possa ser atingido pela rede interna. (na maioria das instalações, coloca-se duas ou mais placas de rede no firewall: uma para a rede externa e uma ou mais para a rede interna. Entretanto é possível, porém não recomendado, se fazer esta mesma configuração com apenas uma placa de rede, atribuindo um endereço válido e um reservado para a mesma placa)
Supondo que se escolha o endereço A.B.C.2 para o segmento válido e o 10.0.0.2 para o segmento reservado. Este endereço válido será utilizado pelo firewall para converter todas as conexões com origem na rede interna e destino na Internet. Externamente, todas as conexões serão vistas como se partissem dele. Um outro exemplo seria a de uma organização que possua saídas para a Internet e três classes de endereços válidos, neste caso o administrador tem a possibilidade de distribuir a conversão de endereços entre essas três classes, obtendo muito mais flexibilidade na configuração. Com a conversão de endereços funcionando, todas as máquinas internas conseguem acessar qualquer recurso da Internet transparentemente, com se elas próprias possuíssem endereços válidos. Porém, não é possível para nenhuma máquina externa iniciar uma conexão para qualquer máquina interna (devido ao fato delas não possuírem endereços válidos). Para resolver este problema, o Firewall Aker posssibilita a configuração de regras de conversão 1-1, o que permite simular endereços válidos para quaisquer endereços reservados. Voltando para o caso da nossa hipotética organização, suponha que em sua rede exista um servidor WWW, com endereço 10.1.1.5, e que seja desejado que este servidor forneça informações para a rede interna bem como para a Internet. Neste caso, é necessário se escolher um endereço válido para que este possa ser utilizado pelos clientes externos para se conectarem a este servidor. Suponha que o endereço escolhido tenha sido o A.B.C.10. Deve-se então acrescentar uma regra de conversão 1-1, de modo a mapear o endereço A.B.C.10 para o endereço interno 10.1.1.5. A partir deste momento, todos os acessos para A.B.C.10 serão automaticamente remapeados pelo firewall para 10.1.1.5. Os endereços válidos escolhidos para realizar a conversão de 1-1 não podem ser atribuídos a nenhuma máquina real. Desta forma, em nosso exemplo, é possível a configuração de até 253 servidores na sua rede interna passíveis de serem acessados externamente (um dos 254 endereços válidos já é usado para o firewall para converter o tráfego de todas as máquinas clientes). O Firewall Aker utiliza a tecnologia de proxy-arp para possibilitar que os servidores virtuais sejam tratados pelas máquinas pertencentes à rede válida (por exemplo, o roteador externo), como se fossem máquinas reais. Exemplos de configurações usando conversão de endereços • Se ligando à Internet com uma linha dedicada Equipamento: 1 roteador, 1 Firewall Aker, n clientes, 2 servidores na rede interna Endereço válido: A.B.C.x, máscara da rede 255.255.255.0 Endereço reservado: 10.x.x.x máscara da rede 255.0.0.0 Endereço dos servidores: 10.1.1.1, 10.2.1.1 Endereço dos clientes: 10.x.x.x Endereços do roteador: Rede válida A.B.C.1 , Internet :x.x.x.x Configuração do Firewall Aker:
Page 1 and 2:
Firewall Aker Manual de Configuraç
Page 3 and 4:
o 21-1 Planejando a instalação o
Page 5 and 6:
Introdução Este é o manual do us
Page 7 and 8:
1-0 Instalando o Firewall Aker Most
Page 9 and 10:
O servidor de log remoto do Firewal
Page 11 and 12:
A configuração das VLANs pode ser
Page 13 and 14:
Atualizando mensagens e parametros.
Page 15 and 16:
Após se ter ou não incluído o ad
Page 17 and 18:
Caso a chave seja válida, o progra
Page 19 and 20:
Caso se tenha optado por incluir um
Page 21 and 22:
2-0 Utilizando a Interface Remota N
Page 23 and 24:
A janela mostrada acima é a janela
Page 25 and 26:
se tentar conectar neste firewall,
Page 27 and 28:
login e sua senha foram digitados c
Page 29 and 30:
como: login, nome e direitos do usu
Page 31 and 32:
É possível mostrar ou esconder a
Page 33 and 34:
Esta opção só estará habilitada
Page 35 and 36:
Este campo será usado em conjunto
Page 37 and 38:
Para executar qualquer uma das opç
Page 39 and 40:
• Lista usuários cadastrados Est
Page 41 and 42:
Se o acesso ao firewall já estiver
Page 43 and 44:
4-0 Configurando os parâmetros do
Page 45 and 46:
Tempo limite TCP: Define o tempo m
Page 47 and 48:
Mesmo com esta opção ativa, somen
Page 49 and 50:
• Parâmetros de SNMP Comunidade
Page 51 and 52:
até considerá-la novamente ativa.
Page 53 and 54:
5-0 Cadastrando Entidades Mostrarem
Page 55 and 56:
uma comunicação completa nos prot
Page 57 and 58:
A janela de cadastro de entidades
Page 59 and 60:
Letras maiúsculas e minúsculas s
Page 61 and 62:
Nome: É o nome através do qual o
Page 63 and 64:
tarefa por um dos agentes externos,
Page 65 and 66: IP: É o endereço IP da máquina o
Page 67 and 68: O único campo de preechimento obri
Page 69 and 70: IP: É o endereço IP da máquina o
Page 71 and 72: DN Root de conexão: DN do usuário
Page 73 and 74: Incluindo / editando serviços Para
Page 75 and 76: serviços mantida aberta, pronta pa
Page 77 and 78: Para facilitar a inclusão de vári
Page 79 and 80: fwent inclui servico [TCP | UDP |
Page 81 and 82: Anti-Virus: ----------- Anti-virus
Page 83 and 84: 3 - No caso do cadastro de uma máq
Page 85 and 86: 5 - Escolha do ícone da entidade.
Page 88 and 89: 6-0 O Filtro de Estados Mostraremos
Page 90 and 91: quais portas serão usadas para est
Page 92 and 93: 10.1.1.2 & 255.255.255. 255 -> 10.2
Page 94 and 95: • Inserir: Esta opção permite s
Page 96 and 97: maiores informações sobre criptog
Page 98 and 99: 6-3 Trabalhando com Políticas de F
Page 100 and 101: todos UDP 8 Correio_SMTP server1 SM
Page 102 and 103: Para melhor visualização e contro
Page 104 and 105: \ [pipe ] [acumulador ] [loga] [ma
Page 106 and 107: 2 - Tela inicial com as explicaçõ
Page 108 and 109: 5 - Configuração da DMZ 6 - Escol
Page 110 and 111: 9 - Administração do Firewall. In
Page 112 and 113: 12 - Seleção dos serviços do ser
Page 114 and 115: 7-0 Configurando a conversão de en
Page 118 and 119: Endereços das placas: rede interna
Page 120 and 121: • Múltiplas ligações com a Int
Page 122 and 123: O funcionamento da conversão é si
Page 124 and 125: • O botão OK fará com que o con
Page 126 and 127: Tipo de NAT: Neste campo se define
Page 128 and 129: Quando o módulo de Cluster Coopera
Page 130 and 131: Persistência de Sessão: Esse camp
Page 132 and 133: Na regra 3 alguém da Internet est
Page 134 and 135: ealizará uma crítica para determi
Page 136 and 137: emovida da tabela Para conversao 1-
Page 138 and 139: 2 - Informe as redes que necessitar
Page 140 and 141: 4 - Escolha a opção Sim caso quei
Page 142 and 143: 6 - Escolha o IP da Máquina virtua
Page 144: 8 - Tela de finalização do Assist
Page 147 and 148: O que é autenticação ? Autentica
Page 149 and 150: O algoritmo AES foi escolhido dentr
Page 151 and 152: • Troca de chaves via SKIP SKIP
Page 153 and 154: criptografia.Também será necessá
Page 155 and 156: Exemplo de configuração de um can
Page 157 and 158: 8-2 Carregando certificados Aker-CD
Page 159 and 160: 1. Clica-se em um dos botões, clic
Page 161 and 162: • O botão Inserir permite se inc
Page 163 and 164: • O Botão Cancelar fará com que
Page 165 and 166: Segredo Compartilhado: Uma seqüên
Page 167 and 168:
Utilizando a troca de chaves manual
Page 169 and 170:
Chaves: É a chave que será utiliz
Page 171 and 172:
Utilizando troca de chaves via Aker
Page 173 and 174:
deve conter 2 caracteres no maximo.
Page 175 and 176:
3DES fwcripto inclui envia s
Page 177 and 178:
---------- Origem : Rede externa 1
Page 179 and 180:
firewall ou mecanismo de controle n
Page 181 and 182:
o o Clique com o botão direito do
Page 183 and 184:
fwclient max_clientes fwclient aut
Page 185 and 186:
Smart card : nao Token : nao Permit
Page 187 and 188:
9-5 Configurando o Cliente de Cript
Page 189 and 190:
Esta é a pasta principal da config
Page 191 and 192:
utilizados no logon da rede para es
Page 193 and 194:
Não é possível se excluir os alg
Page 195 and 196:
• O botão OK fará com que a jan
Page 197 and 198:
2. Permitir entidades listadas: Som
Page 199 and 200:
11-0 Integração dos Módulos do F
Page 201 and 202:
• O módulo de decriptação O m
Page 203 and 204:
12-0 Configurando a Segurança Most
Page 205 and 206:
• Clicar no menu Segurança na ja
Page 207 and 208:
A proteção também é útil para
Page 209 and 210:
O spoofing do IP envolve o fornecim
Page 211 and 212:
• O botão OK fará com que os pa
Page 213 and 214:
• Clicar no menu Segurança da ja
Page 215 and 216:
Esta janela consiste de 4 pastas. N
Page 217 and 218:
Os firewalls definidos acima devem
Page 219 and 220:
Esta pasta é muito útil para se a
Page 221 and 222:
fwflood [inclui | remove] fwflood
Page 223 and 224:
habilita = habilita o funcionamento
Page 225 and 226:
Para selecionar as ações a serem
Page 227 and 228:
Significado dos parâmetros: • Pa
Page 229 and 230:
Sintaxe: fwaction ajuda fwaction mo
Page 231 and 232:
07 - Conexao de controle nao esta a
Page 233 and 234:
14-0 Visualizando o log do Sistema
Page 235 and 236:
Exporta o log para diversos formato
Page 237 and 238:
2. Clica-se no botão Remover. O fi
Page 239 and 240:
Representa que ação o sistema tom
Page 241 and 242:
A janela de log será mostrada apó
Page 243 and 244:
14-2 Formato e significado dos camp
Page 245 and 246:
mostrado entre parênteses na inter
Page 247 and 248:
data_inicio = data a partir da qual
Page 249 and 250:
• Clicar no menu Informação do
Page 251 and 252:
Na parte superior da janela, encont
Page 253 and 254:
Os registros desta prioridade acres
Page 255 and 256:
Para exportar o conteúdo dos event
Page 257 and 258:
Exemplo 1: (mostrando os eventos do
Page 259 and 260:
Após a criação das regras de est
Page 261 and 262:
• Hora: Esta tabela define as hor
Page 263 and 264:
Ao pressionarmos o botão de salvar
Page 265 and 266:
ajuda mostra habilita [ ] = mostra
Page 267 and 268:
17-0 Visualizando e Removendo Conex
Page 269 and 270:
Esta pasta consiste de uma lista co
Page 271 and 272:
Esta pasta consiste de dois gráfic
Page 273 and 274:
#fwlist mostra TCP Origem (IP:porta
Page 275 and 276:
Proxies transparentes O Firewall Ak
Page 277 and 278:
Os proxies do Firewall Aker O Firew
Page 279 and 280:
A sintaxe do arquivo de configuraç
Page 281 and 282:
Após se selecionar o diretório de
Page 283 and 284:
IP: É o endereço IP do firewall q
Page 285 and 286:
Esta é uma pasta meramente informa
Page 287 and 288:
A aba de Controle de Acesso Essa ja
Page 289 and 290:
O uso desta opção não obriga que
Page 291 and 292:
Habilita autenticação PKI: Essa o
Page 293 and 294:
deles. Se a opção de usar a base
Page 295 and 296:
fwauth proxy [token | senha] [sim |
Page 297 and 298:
serviç o, existe uma tabela de hor
Page 299 and 300:
Para se excluir um perfil de acesso
Page 301 and 302:
• URLs com endereço IP: Se esta
Page 303 and 304:
A pasta de filtragem HTTP/FTP/GOPHE
Page 305 and 306:
Essa pasta somente é útil caso se
Page 307 and 308:
20-3 Associando Usuários com Perfi
Page 309 and 310:
4. Clica-se com o botão direito so
Page 311 and 312:
21-0 O Cliente de Autenticação Ak
Page 313 and 314:
Cao a opção -e tenha sido especif
Page 315 and 316:
Descrição: É um campo livre, uti
Page 317 and 318:
Usuário: É o nome do usuário que
Page 319 and 320:
especificado e que o firewall estej
Page 321 and 322:
21-4 Visualizando e Removendo Usuá
Page 323 and 324:
1. A resolução de nomes muitas ve
Page 325 and 326:
22-0 Configurando o proxy SMTP Nest
Page 327 and 328:
22-1 Editando os parâmetros de um
Page 329 and 330:
Nesta pasta são mostradas todas as
Page 331 and 332:
• TO (Todos): A pesquisa é feita
Page 333 and 334:
Nesta pasta são mostradas todas as
Page 335 and 336:
Nessa pasta são especificadas as r
Page 337 and 338:
Filtrar por tipo MIME: Esse campo p
Page 339 and 340:
Zona: É a zona completa de DNS que
Page 341 and 342:
23-0 Configurando o proxy Telnet Ne
Page 343 and 344:
menu será acionado sempre que se p
Page 345 and 346:
24-0 Configurando o proxy FTP Neste
Page 347 and 348:
Download de arquivos: Se esta opç
Page 349 and 350:
1. Cria-se um serviço que será de
Page 351 and 352:
pesquisará a lista a partir do in
Page 353 and 354:
Envia cópia para o administrador s
Page 355 and 356:
O Firewall Aker não implementa por
Page 357 and 358:
• Selecionar o item Proxy WWW A j
Page 359 and 360:
HTTPS: Este parâmetro define o tem
Page 361 and 362:
Pasta Antivírus Habilitar antivír
Page 363 and 364:
critérios for atendido, em outras
Page 365 and 366:
27-0 Configurando o proxy SOCKS Nes
Page 367 and 368:
• O botão Cancelar, fará com qu
Page 369 and 370:
Na janela de propriedades são conf
Page 371 and 372:
29-0 Utilizando as Ferramentas da I
Page 373 and 374:
• Clicar no firewall para o qual
Page 375 and 376:
• Clicar no menu Ferramentas da j
Page 377 and 378:
Esta janela consiste de dois campos
Page 379 and 380:
É possível se selecionar para ori
Page 381 and 382:
• Clicar no firewall para o qual
Page 383 and 384:
Inicialmente a janela de atualizaç
Page 385 and 386:
Nesta pasta são configuradas todas
Page 387 and 388:
Neste mesmo menu pode-se atribuir u
Page 389 and 390:
DHCP Nesta pasta são definidas as
Page 391 and 392:
• Clicar no menu Ferramentas da j
Page 393 and 394:
Esta janela consiste de um campo de
Page 395 and 396:
29-14 Visualizando estatísticas do
Page 397 and 398:
29-16 Utilizando a interface texto
Page 399 and 400:
Nesta tela é apresentada a opção
Page 401 and 402:
Após as informações terem sido d
Page 404 and 405:
30-0 Configurando o Firewall em Clu
Page 406 and 407:
30-2 Utilizando a interface texto A
Page 408 and 409:
31-0 Arquivos do Sistema e Backup N
Page 410 and 411:
• T/etc/firewall/fwcryptdT - Serv
Page 412 and 413:
É importante que nenhum processo d
Page 414 and 415:
T?T Para sair do shell, pode-se ou
Page 416 and 417:
Esta mensagem indica que o filtro d
Page 418 and 419:
Esta mensagem indica que a versão
Page 420 and 421:
Esta mensagem indica que o Firewall
Page 422 and 423:
050 - Dados inválidos recebidos pe
Page 424 and 425:
062 - Comando inválido Esta mensag
Page 426 and 427:
079 - Anexo removido Esta mensagem
Page 428 and 429:
091 - Conexão TCP finalizada atrav
Page 430 and 431:
HUCadastrando EntidadesUH) e que o
Page 432 and 433:
mensagem complementar entre parênt
Page 434 and 435:
criptografia para clientes não con
Page 436 and 437:
• CF - Configura Firewall • CL
Page 438 and 439:
156 - Remoção de sessão de usuá
Page 440 and 441:
Esta mensagem indica que foi tentad
Page 442 and 443:
Esta mensagem indica que houve um e
Page 444 and 445:
Esta mensagem registra o fato de al
Page 446 and 447:
Esta mensagem indica que o firewall
Page 448 and 449:
Apêndice B - Perguntas e respostas
Page 450 and 451:
Acrescentar a DWORD TCP/IP port com
Page 452 and 453:
- Recompilar o kernel setando a op
Page 454 and 455:
packages, no caso do linux eles est
Page 456 and 457:
# Caio fora send "quit\r" ---------
Page 458 and 459:
-----------------Inicio do Script,
Page 460 and 461:
The licence and distribution terms
Page 462 and 463:
THIS SOFTWARE IS PROVIDED BY THE RE
Page 464:
Apêndice D - Novidades da Versão
show all

1-0 Instalando o Firewall Aker - Data - Aker Security Solutions

Create successful ePaper yourself

Delete template?

Save as template?