1-0 Instalando o Firewall Aker - Data - Aker Security Solutions
1-0 Instalando o Firewall Aker - Data - Aker Security Solutions 1-0 Instalando o Firewall Aker - Data - Aker Security Solutions
18-0 Trabalhando com Proxies Neste capítulo será mostrado toda a base de conhecimento necessária para se entender o funcionamento dos proxies do Firewall Aker. Os detalhes específicos de cada proxy serão mostrados nos próximos capítulos. 18-1 Planejando a instalação O que são proxies ? Proxies são programas especializados que geralmente rodam em firewalls e que servem como ponte entre a rede interna de uma organização e os servidores externos. Seu funcionamento é simples: eles ficam esperando por uma requisição da rede interna, repassam esta requisição para o servidor remoto na rede externa, e devolvem sua resposta de volta para o cliente interno. Na maioria das vezes os proxies são utilizados por todos os clientes de uma sub-rede e devido a sua posição estratégica, normalmente eles implementam um sistema de cache para alguns serviços. Além disso, como os proxies trabalham com dados das aplicações, para cada serviço é necessário um proxy diferente. Proxies tradicionais Para que uma máquina cliente possa utilizar os serviços de um proxy, é necessário que a mesma saiba de sua existência, isto é, que ela saiba que ao invés de estabelecer uma conexão com o servidor remoto, ela deve estabelecer a conexão com o proxy e repassar sua solicitação ao mesmo. Existem alguns clientes que já possuem suporte para proxies embutido neles próprios (como exemplo de clientes deste tipo, pode-se citar a maioria dos browsers existentes atualmente). Neste caso, para se utilizar as funções de proxy, basta-se configurá-los para tal. A g rande maioria dos clientes, entretanto, não está preparada para trabalhar desta forma. A única solução possível neste caso, é alterar a pilha TCP/IP em todas as máquinas clientes de modo a fazer com que transparentemente as conexões sejam repassadas para os proxies. Esta abordagem traz inúmeras dificuldades, já que além de ser extremamente trabalhoso se alterar todas as máquinas clientes, muitas vezes não existe forma de se alterar a implementação TCP/IP de determinadas plataformas, fazendo com que clientes nestas plataformas não possam utilizar os proxies. Um outro problema dos proxies tradicionais, é que eles só podem ser utilizados para acessos de dentro para fora (não se pode solicitar para que clientes externos repassem suas solicitações para o seu proxy para que este repasse para seu servidor interno). A figura abaixo ilustra o funcionamento básico de um proxy tradicional:
Proxies transparentes O Firewall Aker introduz um novo conceito de firewall com a utilização de proxies transparentes. Estes proxies transparentes são capazes de serem utilizados sem nenhuma alteração nas máquinas clientes e nas máquinas servidoras, simplesmente porque nenhuma delas sabe de sua existência. Seu funcionamento é igualmente simples: todas as vezes que o firewall decide que uma determinada conexão deve ser tratada por um proxy transparente, esta conexão é desviada para o proxy em questão. Ao receber a conexão, o proxy abre uma nova conexão para o servidor remoto e repassa as requisições do cliente para este servidor. A grande vantagem desta forma de trabalho, é que se torna possível oferecer uma segurança adicional para certos serviços sem perda da flexibilidade e sem a necessidade de alteração de nenhuma máquina cliente ou servidora. Além disso, é possível se utilizar proxies transparentes em requisições de dentro para fora e de fora para dentro, indiferentemente. Proxies transparentes e contextos O Firewall Aker introduz uma novidade com relação aos proxies transparentes: os contextos. Para entendê-los, vamos inicialmente analisar uma topologia de rede onde sua existência é necessária. Suponha que exista um Firewall Aker conectado a três redes distintas, chamadas de redes A, B e C, e que as redes A e B sejam redes de dois departamentos de uma mesma
- Page 223 and 224: habilita = habilita o funcionamento
- Page 225 and 226: Para selecionar as ações a serem
- Page 227 and 228: Significado dos parâmetros: • Pa
- Page 229 and 230: Sintaxe: fwaction ajuda fwaction mo
- Page 231 and 232: 07 - Conexao de controle nao esta a
- Page 233 and 234: 14-0 Visualizando o log do Sistema
- Page 235 and 236: Exporta o log para diversos formato
- Page 237 and 238: 2. Clica-se no botão Remover. O fi
- Page 239 and 240: Representa que ação o sistema tom
- Page 241 and 242: A janela de log será mostrada apó
- Page 243 and 244: 14-2 Formato e significado dos camp
- Page 245 and 246: mostrado entre parênteses na inter
- Page 247 and 248: data_inicio = data a partir da qual
- Page 249 and 250: • Clicar no menu Informação do
- Page 251 and 252: Na parte superior da janela, encont
- Page 253 and 254: Os registros desta prioridade acres
- Page 255 and 256: Para exportar o conteúdo dos event
- Page 257 and 258: Exemplo 1: (mostrando os eventos do
- Page 259 and 260: Após a criação das regras de est
- Page 261 and 262: • Hora: Esta tabela define as hor
- Page 263 and 264: Ao pressionarmos o botão de salvar
- Page 265 and 266: ajuda mostra habilita [ ] = mostra
- Page 267 and 268: 17-0 Visualizando e Removendo Conex
- Page 269 and 270: Esta pasta consiste de uma lista co
- Page 271 and 272: Esta pasta consiste de dois gráfic
- Page 273: #fwlist mostra TCP Origem (IP:porta
- Page 277 and 278: Os proxies do Firewall Aker O Firew
- Page 279 and 280: A sintaxe do arquivo de configuraç
- Page 281 and 282: Após se selecionar o diretório de
- Page 283 and 284: IP: É o endereço IP do firewall q
- Page 285 and 286: Esta é uma pasta meramente informa
- Page 287 and 288: A aba de Controle de Acesso Essa ja
- Page 289 and 290: O uso desta opção não obriga que
- Page 291 and 292: Habilita autenticação PKI: Essa o
- Page 293 and 294: deles. Se a opção de usar a base
- Page 295 and 296: fwauth proxy [token | senha] [sim |
- Page 297 and 298: serviç o, existe uma tabela de hor
- Page 299 and 300: Para se excluir um perfil de acesso
- Page 301 and 302: • URLs com endereço IP: Se esta
- Page 303 and 304: A pasta de filtragem HTTP/FTP/GOPHE
- Page 305 and 306: Essa pasta somente é útil caso se
- Page 307 and 308: 20-3 Associando Usuários com Perfi
- Page 309 and 310: 4. Clica-se com o botão direito so
- Page 311 and 312: 21-0 O Cliente de Autenticação Ak
- Page 313 and 314: Cao a opção -e tenha sido especif
- Page 315 and 316: Descrição: É um campo livre, uti
- Page 317 and 318: Usuário: É o nome do usuário que
- Page 319 and 320: especificado e que o firewall estej
- Page 321 and 322: 21-4 Visualizando e Removendo Usuá
- Page 323 and 324: 1. A resolução de nomes muitas ve
Proxies transparentes<br />
O <strong>Firewall</strong> <strong>Aker</strong> introduz um novo conceito de firewall com a utilização de proxies<br />
transparentes. Estes proxies transparentes são capazes de serem utilizados sem nenhuma<br />
alteração nas máquinas clientes e nas máquinas servidoras, simplesmente porque<br />
nenhuma delas sabe de sua existência.<br />
Seu funcionamento é igualmente simples: todas as vezes que o firewall decide que uma<br />
determinada conexão deve ser tratada por um proxy transparente, esta conexão é<br />
desviada para o proxy em questão. Ao receber a conexão, o proxy abre uma nova<br />
conexão para o servidor remoto e repassa as requisições do cliente para este servidor.<br />
A grande vantagem desta forma de trabalho, é que se torna possível oferecer uma<br />
segurança adicional para certos serviços sem perda da flexibilidade e sem a necessidade<br />
de alteração de nenhuma máquina cliente ou servidora. Além disso, é possível se utilizar<br />
proxies transparentes em requisições de dentro para fora e de fora para dentro,<br />
indiferentemente.<br />
Proxies transparentes e contextos<br />
O <strong>Firewall</strong> <strong>Aker</strong> introduz uma novidade com relação aos proxies transparentes: os<br />
contextos. Para entendê-los, vamos inicialmente analisar uma topologia de rede onde<br />
sua existência é necessária.<br />
Suponha que exista um <strong>Firewall</strong> <strong>Aker</strong> conectado a três redes distintas, chamadas de<br />
redes A, B e C, e que as redes A e B sejam redes de dois departamentos de uma mesma