1-0 Instalando o Firewall Aker - Data - Aker Security Solutions

07.06.2015 Views
6-0 O Filtro de Estados Mostraremos aqui como configurar as regras que propiciarão a aceitação ou não de conexões pe lo firewall. Este módulo é o coração do sistema e é onde normalmente s e gasta o maior tempo de configuração. 6-1 Planejando a instalação O que é um filtro de pacotes ? Um filtro de pacotes é o módulo que irá decidir se um determinado pacote poderá passar através do firewall ou não. Deixar um pacote passar implica em aceitar um determinado serviço. Bloquear um pacote significa impedir que este serviço seja utilizado. Para decidir a ação a ser tomada para cada pacote que chega ao firewall, o filtro de pacotes possui um conjunto de regras configurado pelo administrador do sistema. Para cada pacote que chega, o filtro de pacotes percorre este conjunto de regras, na ordem em que foi criado, verificando se este se encaixa em alguma das regras. Se ele se encaixar em uma r egra então a ação definida para e la será executada. Caso o filtro termine a pesquisa de todas as regras e o pacote não se encaixar em nenhuma então a ação padrão será executada. O que é o filtro de estados do Firewall Aker ? Um filtro tradicional de pacotes baseia suas ações exclusivamente no conjunto de regras configurado pelo administrador. Para cada pacote que poderá passar pelo filtro, o administrador tem que configurar uma regra que possibilite sua aceitação. Em alguns casos isto é simples, mas em outros isto não é possível de ser feito ou pelo menos não é possível de se fazer com a segurança e flexibilidade necessárias. O filtro de pacotes do Firewall Aker é chamado de filtro de estados na medida em que armazena informações do estado de todas as conexões que estão fluindo através dele e usa estas informações em conjunto com as regras definidas pelo administrador na hora de tomar a decisão de permitir ou não a passagem de um determinado pacote. Além disso, diferentemente de um filtro de pacotes que baseia suas decisões apenas nos dados contidos no cabeçalho do pacote, o filtro de estados examina dados de todas as camadas e utiliza todos estes dados ao tomar uma decisão. Vamos analisar como isso permite a solução de diversos problemas apresentados pelos filtros de pacotes tradicionais. O problema do protocolo UDP: Para usar um serviço UDP, a máquina cliente inicialmente escolhe um número de porta (que é variável cada vez que o serviço for utilizado) e envia um pacote para a porta da máquina servidora correspondente ao serviço (esta porta na máquina servidora é fixa). A máquina servidora, ao receber a requisição, responde com um ou mais pacotes para a

porta da máquina cliente. Para que a comunicação seja efetiva, é necessário que o firewall permita a passagem dos pacotes de solicitação do serviço e de resposta. O problema é que o protocolo UDP é um protocolo não orientado à conexão, isto significa que se um determinado pacote for observado isoladamente, fora de um contexto, não se pode saber se ele é uma requisição ou uma resposta de um serviço. Nos filtros de pacotes tradicionais, como o administrador não pode saber de antemão qual porta será escolhida pela máquina cliente para acessar um determinado serviço, ele pode ou bloquear todo o tráfego UDP ou permitir a passagem de pacotes para todas as possíveis portas. Ambas abordagens possuem problemas óbvios. O Firewall Aker possui a capacidade de se adaptar dinamicamente ao tráfego de modo a resolver problemas deste tipo: todas as vezes que um pacote UDP é aceito por uma das regras configurada pelo administrador, é adicionada uma entrada em uma tabela interna, chamada de tabela de estados, de modo a permitir que os pacotes de resposta ao serviço correspondente possam voltar para a máquina cliente. Esta entrada só fica ativa durante um curto intervalo de tempo, ao final do qual ela é removida (este intervalo de tempo é configurado através da janela de configuração de parâmetros, mostrada no capítulo intitulado Configurando os parâmetros do sistema). Desta forma, o administrador não precisa se preocupar com a os pacotes UDP de resposta, sendo necessário apenas configurar as regras para permitir o acesso aos serviços. Isto pode ser feito facilmente, já que todos os serviços possuem portas fixas. O problema do protocolo FTP: O FTP é um dos protocolos mais populares da Internet, porém é um dos mais complexos de ser tratado por um firewall. Vamos analisar seu funcionamento: Para acessar o serviço FTP, inicialmente a máquina cliente abre uma conexão TCP para a máquina servidora na porta 21. (a porta usada pelo cliente é variável). Esta conexão é chamada de conexão de controle. A partir daí, para cada arquivo transferido ou para cada listagem de diretório, uma nova conexão é estabelecida, chamada de conexão de dados. Esta conexão de dados pode ser estabelecida de duas maneiras distintas: 1. O servidor pode iniciar a conexão a partir da porta 20 em direção a uma porta variável, informada pelo cliente pela conexão de controle (este é chamado de FTP ativo) 2. O cliente pode abrir a conexão a parir de uma porta variável para uma porta variável do servidor, informada para o cliente através da conexão de controle (este é chamado de FTP passivo). Em ambos os casos o administrador não tem como saber quais portas serão escolhidas para estabelecer as conexões de dados e desta forma, se ele desejar utilizar o protocolo FTP através de um filtro de pacotes tradicional, deverá liberar o acesso para todas as possíveis portas utilizadas pelas máquinas clientes e servidores. Isto tem implicações sérias de segurança. O Firewall Aker tem a capacidade de vasculhar o tráfego da conexão de controle FTP e desta forma descobrir qual o tipo de transferência será utilizada (ativa ou passiva) e

Page 1 and 2: Firewall Aker Manual de Configuraç

Page 3 and 4: o 21-1 Planejando a instalação o

Page 5 and 6: Introdução Este é o manual do us

Page 7 and 8: 1-0 Instalando o Firewall Aker Most

Page 9 and 10: O servidor de log remoto do Firewal

Page 11 and 12: A configuração das VLANs pode ser

Page 13 and 14: Atualizando mensagens e parametros.

Page 15 and 16: Após se ter ou não incluído o ad

Page 17 and 18: Caso a chave seja válida, o progra

Page 19 and 20: Caso se tenha optado por incluir um

Page 21 and 22: 2-0 Utilizando a Interface Remota N

Page 23 and 24: A janela mostrada acima é a janela

Page 25 and 26: se tentar conectar neste firewall,

Page 27 and 28: login e sua senha foram digitados c

Page 29 and 30: como: login, nome e direitos do usu

Page 31 and 32: É possível mostrar ou esconder a

Page 33 and 34: Esta opção só estará habilitada

Page 35 and 36: Este campo será usado em conjunto

Page 37 and 38: Para executar qualquer uma das opç

Page 39 and 40: • Lista usuários cadastrados Est

Page 41 and 42: Se o acesso ao firewall já estiver

Page 43 and 44: 4-0 Configurando os parâmetros do

Page 45 and 46: Tempo limite TCP: Define o tempo m

Page 47 and 48: Mesmo com esta opção ativa, somen

Page 49 and 50: • Parâmetros de SNMP Comunidade

Page 51 and 52: até considerá-la novamente ativa.

Page 53 and 54: 5-0 Cadastrando Entidades Mostrarem

Page 55 and 56: uma comunicação completa nos prot

Page 57 and 58: A janela de cadastro de entidades

Page 59 and 60: Letras maiúsculas e minúsculas s

Page 61 and 62: Nome: É o nome através do qual o

Page 63 and 64: tarefa por um dos agentes externos,

Page 65 and 66: IP: É o endereço IP da máquina o

Page 67 and 68: O único campo de preechimento obri

Page 69 and 70: IP: É o endereço IP da máquina o

Page 71 and 72: DN Root de conexão: DN do usuário

Page 73 and 74: Incluindo / editando serviços Para

Page 75 and 76: serviços mantida aberta, pronta pa

Page 77 and 78: Para facilitar a inclusão de vári

Page 79 and 80: fwent inclui servico [TCP | UDP |

Page 81 and 82: Anti-Virus: ----------- Anti-virus

Page 83 and 84: 3 - No caso do cadastro de uma máq

Page 85 and 86: 5 - Escolha do ícone da entidade.

Page 90 and 91: quais portas serão usadas para est

Page 92 and 93: 10.1.1.2 & 255.255.255. 255 -> 10.2

Page 94 and 95: • Inserir: Esta opção permite s

Page 96 and 97: maiores informações sobre criptog

Page 98 and 99: 6-3 Trabalhando com Políticas de F

Page 100 and 101: todos UDP 8 Correio_SMTP server1 SM

Page 102 and 103: Para melhor visualização e contro

Page 104 and 105: \ [pipe ] [acumulador ] [loga] [ma

Page 106 and 107: 2 - Tela inicial com as explicaçõ

Page 108 and 109: 5 - Configuração da DMZ 6 - Escol

Page 110 and 111: 9 - Administração do Firewall. In

Page 112 and 113: 12 - Seleção dos serviços do ser

Page 114 and 115: 7-0 Configurando a conversão de en

Page 116 and 117: • N-1 A conversão de N-1, como o

Page 118 and 119: Endereços das placas: rede interna

Page 120 and 121: • Múltiplas ligações com a Int

Page 122 and 123: O funcionamento da conversão é si

Page 124 and 125: • O botão OK fará com que o con

Page 126 and 127: Tipo de NAT: Neste campo se define

Page 128 and 129: Quando o módulo de Cluster Coopera

Page 130 and 131: Persistência de Sessão: Esse camp

Page 132 and 133: Na regra 3 alguém da Internet est

Page 134 and 135: ealizará uma crítica para determi

Page 136 and 137: emovida da tabela Para conversao 1-

Page 138 and 139: 2 - Informe as redes que necessitar

Page 140 and 141: 4 - Escolha a opção Sim caso quei

Page 142 and 143: 6 - Escolha o IP da Máquina virtua

Page 144: 8 - Tela de finalização do Assist

Page 147 and 148: O que é autenticação ? Autentica

Page 149 and 150: O algoritmo AES foi escolhido dentr

Page 151 and 152: • Troca de chaves via SKIP SKIP

Page 153 and 154: criptografia.Também será necessá

Page 155 and 156: Exemplo de configuração de um can

Page 157 and 158: 8-2 Carregando certificados Aker-CD

Page 159 and 160: 1. Clica-se em um dos botões, clic

Page 161 and 162: • O botão Inserir permite se inc

Page 163 and 164: • O Botão Cancelar fará com que

Page 165 and 166: Segredo Compartilhado: Uma seqüên

Page 167 and 168: Utilizando a troca de chaves manual

Page 169 and 170: Chaves: É a chave que será utiliz

Page 171 and 172: Utilizando troca de chaves via Aker

Page 173 and 174: deve conter 2 caracteres no maximo.

Page 175 and 176: 3DES fwcripto inclui envia s

Page 177 and 178: ---------- Origem : Rede externa 1

Page 179 and 180: firewall ou mecanismo de controle n

Page 181 and 182: o o Clique com o botão direito do

Page 183 and 184: fwclient max_clientes fwclient aut

Page 185 and 186: Smart card : nao Token : nao Permit

Page 187 and 188: 9-5 Configurando o Cliente de Cript

Page 189 and 190: Esta é a pasta principal da config

Page 191 and 192: utilizados no logon da rede para es

Page 193 and 194: Não é possível se excluir os alg

Page 195 and 196: • O botão OK fará com que a jan

Page 197 and 198: 2. Permitir entidades listadas: Som

Page 199 and 200: 11-0 Integração dos Módulos do F

Page 201 and 202: • O módulo de decriptação O m

Page 203 and 204: 12-0 Configurando a Segurança Most

Page 205 and 206: • Clicar no menu Segurança na ja

Page 207 and 208: A proteção também é útil para

Page 209 and 210: O spoofing do IP envolve o fornecim

Page 211 and 212: • O botão OK fará com que os pa

Page 213 and 214: • Clicar no menu Segurança da ja

Page 215 and 216: Esta janela consiste de 4 pastas. N

Page 217 and 218: Os firewalls definidos acima devem

Page 219 and 220: Esta pasta é muito útil para se a

Page 221 and 222: fwflood [inclui | remove] fwflood

Page 223 and 224: habilita = habilita o funcionamento

Page 225 and 226: Para selecionar as ações a serem

Page 227 and 228: Significado dos parâmetros: • Pa

Page 229 and 230: Sintaxe: fwaction ajuda fwaction mo

Page 231 and 232: 07 - Conexao de controle nao esta a

Page 233 and 234: 14-0 Visualizando o log do Sistema

Page 235 and 236: Exporta o log para diversos formato

Page 237 and 238: 2. Clica-se no botão Remover. O fi

Page 239 and 240: Representa que ação o sistema tom

Page 241 and 242: A janela de log será mostrada apó

Page 243 and 244: 14-2 Formato e significado dos camp

Page 245 and 246: mostrado entre parênteses na inter

Page 247 and 248: data_inicio = data a partir da qual

Page 249 and 250: • Clicar no menu Informação do

Page 251 and 252: Na parte superior da janela, encont

Page 253 and 254: Os registros desta prioridade acres

Page 255 and 256: Para exportar o conteúdo dos event

Page 257 and 258: Exemplo 1: (mostrando os eventos do

Page 259 and 260: Após a criação das regras de est

Page 261 and 262: • Hora: Esta tabela define as hor

Page 263 and 264: Ao pressionarmos o botão de salvar

Page 265 and 266: ajuda mostra habilita [ ] = mostra

Page 267 and 268: 17-0 Visualizando e Removendo Conex

Page 269 and 270: Esta pasta consiste de uma lista co

Page 271 and 272: Esta pasta consiste de dois gráfic

Page 273 and 274: #fwlist mostra TCP Origem (IP:porta

Page 275 and 276: Proxies transparentes O Firewall Ak

Page 277 and 278: Os proxies do Firewall Aker O Firew

Page 279 and 280: A sintaxe do arquivo de configuraç

Page 281 and 282: Após se selecionar o diretório de

Page 283 and 284: IP: É o endereço IP do firewall q

Page 285 and 286: Esta é uma pasta meramente informa

Page 287 and 288: A aba de Controle de Acesso Essa ja

Page 289 and 290: O uso desta opção não obriga que

Page 291 and 292: Habilita autenticação PKI: Essa o

Page 293 and 294: deles. Se a opção de usar a base

Page 295 and 296: fwauth proxy [token | senha] [sim |

Page 297 and 298: serviç o, existe uma tabela de hor

Page 299 and 300: Para se excluir um perfil de acesso

Page 301 and 302: • URLs com endereço IP: Se esta

Page 303 and 304: A pasta de filtragem HTTP/FTP/GOPHE

Page 305 and 306: Essa pasta somente é útil caso se

Page 307 and 308: 20-3 Associando Usuários com Perfi

Page 309 and 310: 4. Clica-se com o botão direito so

Page 311 and 312: 21-0 O Cliente de Autenticação Ak

Page 313 and 314: Cao a opção -e tenha sido especif

Page 315 and 316: Descrição: É um campo livre, uti

Page 317 and 318: Usuário: É o nome do usuário que

Page 319 and 320: especificado e que o firewall estej

Page 321 and 322: 21-4 Visualizando e Removendo Usuá

Page 323 and 324: 1. A resolução de nomes muitas ve

Page 325 and 326: 22-0 Configurando o proxy SMTP Nest

Page 327 and 328: 22-1 Editando os parâmetros de um

Page 329 and 330: Nesta pasta são mostradas todas as

Page 331 and 332: • TO (Todos): A pesquisa é feita

Page 333 and 334: Nesta pasta são mostradas todas as

Page 335 and 336: Nessa pasta são especificadas as r

Page 337 and 338: Filtrar por tipo MIME: Esse campo p

Page 339 and 340: Zona: É a zona completa de DNS que

Page 341 and 342: 23-0 Configurando o proxy Telnet Ne

Page 343 and 344: menu será acionado sempre que se p

Page 345 and 346: 24-0 Configurando o proxy FTP Neste

Page 347 and 348: Download de arquivos: Se esta opç

Page 349 and 350: 1. Cria-se um serviço que será de

Page 351 and 352: pesquisará a lista a partir do in

Page 353 and 354: Envia cópia para o administrador s

Page 355 and 356: O Firewall Aker não implementa por

Page 357 and 358: • Selecionar o item Proxy WWW A j

Page 359 and 360: HTTPS: Este parâmetro define o tem

Page 361 and 362: Pasta Antivírus Habilitar antivír

Page 363 and 364: critérios for atendido, em outras

Page 365 and 366: 27-0 Configurando o proxy SOCKS Nes

Page 367 and 368: • O botão Cancelar, fará com qu

Page 369 and 370: Na janela de propriedades são conf

Page 371 and 372: 29-0 Utilizando as Ferramentas da I

Page 373 and 374: • Clicar no firewall para o qual

Page 375 and 376: • Clicar no menu Ferramentas da j

Page 377 and 378: Esta janela consiste de dois campos

Page 379 and 380: É possível se selecionar para ori

Page 381 and 382: • Clicar no firewall para o qual

Page 383 and 384: Inicialmente a janela de atualizaç

Page 385 and 386: Nesta pasta são configuradas todas

Page 387 and 388: Neste mesmo menu pode-se atribuir u

Page 389 and 390: DHCP Nesta pasta são definidas as

Page 391 and 392: • Clicar no menu Ferramentas da j

Page 393 and 394: Esta janela consiste de um campo de

Page 395 and 396: 29-14 Visualizando estatísticas do

Page 397 and 398: 29-16 Utilizando a interface texto

Page 399 and 400: Nesta tela é apresentada a opção

Page 401 and 402: Após as informações terem sido d

Page 404 and 405: 30-0 Configurando o Firewall em Clu

Page 406 and 407: 30-2 Utilizando a interface texto A

Page 408 and 409: 31-0 Arquivos do Sistema e Backup N

Page 410 and 411: • T/etc/firewall/fwcryptdT - Serv

Page 412 and 413: É importante que nenhum processo d

Page 414 and 415: T?T Para sair do shell, pode-se ou

Page 416 and 417: Esta mensagem indica que o filtro d

Page 418 and 419: Esta mensagem indica que a versão

Page 420 and 421: Esta mensagem indica que o Firewall

Page 422 and 423: 050 - Dados inválidos recebidos pe

Page 424 and 425: 062 - Comando inválido Esta mensag

Page 426 and 427: 079 - Anexo removido Esta mensagem

Page 428 and 429: 091 - Conexão TCP finalizada atrav

Page 430 and 431: HUCadastrando EntidadesUH) e que o

Page 432 and 433: mensagem complementar entre parênt

Page 434 and 435: criptografia para clientes não con

Page 436 and 437: • CF - Configura Firewall • CL

Page 438 and 439: 156 - Remoção de sessão de usuá

Page 440 and 441: Esta mensagem indica que foi tentad

Page 442 and 443: Esta mensagem indica que houve um e

Page 444 and 445: Esta mensagem registra o fato de al

Page 446 and 447: Esta mensagem indica que o firewall

Page 448 and 449: Apêndice B - Perguntas e respostas

Page 450 and 451: Acrescentar a DWORD TCP/IP port com

Page 452 and 453: - Recompilar o kernel setando a op

Page 454 and 455: packages, no caso do linux eles est

Page 456 and 457: # Caio fora send "quit\r" ---------

Page 458 and 459: -----------------Inicio do Script,

Page 460 and 461: The licence and distribution terms

Page 462 and 463: THIS SOFTWARE IS PROVIDED BY THE RE

Page 464: Apêndice D - Novidades da Versão

firewall

caso

mensagem

janela

interface

regra

aker

indica

proxy

campo

instalando

solutions

aker.com.br

1-0 Instalando o Firewall Aker - Data - Aker Security Solutions

1-0 Instalando o Firewall Aker - Data - Aker Security Solutions ... View more 1-0 Instalando o Firewall Aker - Data - Aker Security Solutions

Delete template?

Save as template ?

1-0 Instalando o Firewall Aker - Data - Aker Security Solutions 1-0 Instalando o Firewall Aker - Data - Aker Security Solutions