Download - Data - Aker Security Solutions

Versão 16/12/2011

ÍndiceÍndice ........................................................................................................................ 2Índice de Figuras ..................................................................................................... 91. Introdução ......................................................................................................232. Instalando o Aker Firewall.............................................................................272.1. Requisitos de hardware e software .....................................................................272.2. Instalando o Aker Firewall ...................................................................................282.3. Instalando a interface remota ..............................................................................323. Utilizando o Aker Control Center ..................................................................353.1. Iniciando a interface remota ................................................................................363.2. Finalizando a administração remota....................................................................443.3. Mudando sua senha de usuário ..........................................................................453.4. Visualizando informação de sessão ....................................................................463.5. Utilizando a ajuda on-line e a Ajuda-Rápida .......................................................483.6. Utilizando as ferramentas da Interface Gráfica ...................................................493.7. Chaves de Ativação ............................................................................................493.8. Salvar configurações (backup)............................................................................513.9. Restaurar configurações .....................................................................................533.10. Reinicializar Firewall ........................................................................................573.11. Atualizações .....................................................................................................573.12. Módulo de atualização automática – Aker Update System (AUS) ...................623.13. DNS Reverso ...................................................................................................693.14. Simulação de Regras de Filtragem ..................................................................713.15. Relatórios .........................................................................................................753.16. Busca de Entidades .........................................................................................753.17. Janela de Alarmes ...........................................................................................803.18. Visualizando a rede graficamente ....................................................................813.19. Visualizando estatísticas do sistema ...............................................................843.20. Utilizando a janela de Sniffer de Pacotes ........................................................863.21. Visualizando o Estado dos Agentes Externos ..................................................893.22. Utilizando o verificador de configuração ..........................................................913.23. Ferramentas de Diagnóstico ............................................................................94© Aker Security Solutions 2

4. Administrando usuários do Firewall ............................................................964.1. Utilizando a interface gráfica ...............................................................................964.2. Utilizando a interface texto ................................................................................1065. Configurando os parâmetros do sistema ..................................................1165.1. Utilizando a interface gráfica .............................................................................1165.2. Utilizando a interface texto ................................................................................1296. Cadastrando Entidades ...............................................................................1336.1. Planejando a instalação ....................................................................................1336.2. Cadastrando entidades utilizando a interface gráfica ........................................1366.3. Utilizando a interface texto ................................................................................1726.4. Utilizando o Assistente de Entidades ................................................................1767. O Filtro de Estado ........................................................................................1847.1. Planejando a instalação ....................................................................................1847.2. Editando uma lista de regras usando a interface gráfica...................................1897.3. Trabalhando com Políticas de Filtragem ...........................................................1977.4. Utilizando a interface texto ................................................................................2017.5. Utilizando o assistente de regras ......................................................................2047.6. Utilizando Regras de Pipes ...............................................................................2178. Configurando a conversão de endereços ..................................................2208.1. Planejando a instalação ....................................................................................2208.2. Utilizando a interface texto ................................................................................2438.3. Redundância de Link Via Modem .....................................................................2478.4. Utilizando o Assistente de Configuração NAT ...................................................2489. Criando canais de criptografia ...................................................................2589.1. Planejando a instalação. ...................................................................................2589.2. Utilizando a interface texto ................................................................................28010. Configurando criptografia Cliente-Firewall ...............................................28810.1. Planejando a instalação. ................................................................................28810.2. Aker Secure Roaming ....................................................................................28910.3. L2TP ..............................................................................................................29510.4. PPTP .............................................................................................................30410.5. IPSEC Client ..................................................................................................32710.6. VPN – SSL .....................................................................................................342© Aker Security Solutions 3

11. Configurando criptografia Cliente-Firewall ...............................................34911.1. Editando os parâmetros de um contexto SSL ................................................35011.2. Configurando regras de Proxy SSL ...............................................................35412. Integração dos Módulos do Firewall ..........................................................35612.1. O fluxo de pacotes no Aker Firewall ..............................................................35612.2. Integração do filtro com a conversão de endereços ......................................35812.3. Integração do filtro com a conversão e a criptografia ....................................35913. Configurando a Segurança .........................................................................36113.1. Proteção contra SYN Flood ...........................................................................36113.2. Utilizando a interface gráfica para Proteção contra SYN Flood .....................36313.3. Proteção de Flood ..........................................................................................36513.4. Utilizando a interface gráfica para Proteção de Flood ...................................36613.5. Proteção Anti Spoofing ..................................................................................36813.6. Utilizando a interface gráfica para Anti Spoofing ...........................................36913.7. Utilizando a interface texto - Syn Flood .........................................................37113.8. Utilizando a interface texto - Proteção de Flood ............................................37213.9. Utilizando a interface texto - Anti Spoofing ....................................................37313.10. Bloqueio por excesso de tentativas de login inválidas ................................37414. Configurando Ações de Sistema ................................................................37614.1. Utilizando a interface gráfica ..........................................................................37614.2. Utilizando a interface texto .............................................................................38215. Visualizando o log do Sistema ...................................................................38815.1. Utilizando a interface gráfica ..........................................................................38915.2. Formato e significado dos campos dos registros do log ................................39815.3. Utilizando a interface texto .............................................................................40216. Visualizando Eventos do Sistema ..............................................................40516.1. Utilizando a interface gráfica ..........................................................................40516.2. Formato e significado dos campos das mensagens de eventos ....................41216.3. Utilizando a interface texto .............................................................................41217. Visualizando Estatísticas ............................................................................41617.1. Utilizando a interface gráfica ..........................................................................41717.2. Utilizando a interface texto .............................................................................42218. Visualizando e Removendo conexões .......................................................426© Aker Security Solutions 4

18.1. Utilizando a interface gráfica ..........................................................................42618.2. Utilizando a interface texto .............................................................................43219. Utilizando o Gerador de Relatórios ............................................................43519.1. Acessando Relatórios ....................................................................................43519.2. Configurando os Relatórios............................................................................43619.3. Lista dos Relatórios disponíveis .....................................................................44120. Exportação Agendada de Logs e Eventos .................................................44420.1. Acessando a Exportação Agendada de Logs e Eventos ...............................44420.2. Configurando a Exportação Agendada de Logs e Eventos ...........................44521. Trabalhando com Proxies ...........................................................................45021.1. Planejando a instalação .................................................................................45021.2. Instalando o agente de autenticação em plataformas Unix ...........................45521.3. Instalando o agente de autenticação em Windows Server tm ..........................45721.4. Configuração do agente de autenticação para Windows Server tm .................45822. Configurando parâmetros de autenticação ...............................................46422.1. Utilizando a interface gráfica ..........................................................................46422.2. Utilizando a interface texto .............................................................................48023. Perfis de acesso de Usuários .....................................................................48323.1. Planejando a instalação .................................................................................48323.2. Cadastrando perfis de acesso .......................................................................48323.3. Regras ...........................................................................................................48723.4. Regras SOCKS ..............................................................................................48823.5. Geral ..............................................................................................................48923.6. FTP e GOPHER .............................................................................................49023.7. HTTP/HTTPS .................................................................................................49323.8. Secure Roaming ............................................................................................50223.9. VPN SSL (Proxy SSL) ...................................................................................50523.10. MSN Messenger .........................................................................................50823.11. Filtros de Aplicação ....................................................................................51123.12. Associando Usuários com Perfis de Acesso ..............................................51324. Autenticação de Usuários ...........................................................................51924.1. Visualizando e Removendo Usuários Conectados no Firewall ......................51924.2. Utilizando a Interface Texto ...........................................................................522© Aker Security Solutions 5

25. Configurando o Proxy SMTP ......................................................................52525.1. Editando os parâmetros de um contexto SMTP .............................................52726. Configurando o Proxy Telnet ......................................................................55126.1. Editando os parâmetros de um contexto Telnet .............................................55127. Configurando o Proxy FTP ..........................................................................55727.1. Editando os parâmetros de um contexto FTP ................................................55728. Configurando o Proxy POP3 .......................................................................56228.1. Editando os parâmetros de um contexto POP3 .............................................56329. Utilizando as Quotas ...................................................................................57029.1. Editando os parâmetros do Uso de Quota .....................................................57130. Configurando o Filtro Web ..........................................................................57630.1. Planejando a instalação .................................................................................57630.2. Editando os parâmetros de Filtro Web ...........................................................57830.3. Editando os parâmetros de Sessões Web .....................................................61831. Configurando o Proxy Socks ......................................................................62131.1. Planejando a instalação .................................................................................62131.2. Editando os parâmetros do Proxy SOCKS ....................................................62232. Configurando o Proxy RPC e o proxy DCE-RPC .......................................62632.1. Editando os parâmetros de um contexto RPC ...............................................627Editando os parâmetros de um contexto DCE-RPC ...................................................62933. Configurando o Proxy MSN ........................................................................63333.1. Planejando a instalação .................................................................................63333.2. Editando os parâmetros do Proxy MSN .........................................................63434. Configurando a Filtragem de Aplicações ..................................................64034.1. Planejando a instalação .................................................................................64034.2. Criando Regras de Filtragem de Aplicações ..................................................64034.3. Criando Filtros de Aplicações ........................................................................64435. Configurando IDS/IPS ..................................................................................65035.1. Acessando IPS/IDS .......................................................................................65035.2. Visualizando os IPs bloqueados ....................................................................66035.3. Configurando a atualização de assinaturas ...................................................66235.4. Instalando o Plugin para IDS Externo no Windows ........................................66435.5. Utilizando a interface texto - Portscan ...........................................................669© Aker Security Solutions 6

35.6. Utilizando a interface texto - IDS Externo ......................................................67136. Configurações TCP/IP .................................................................................67436.1. Configuração TCP/IP .....................................................................................67436.2. DHCP .............................................................................................................67536.3. DNS ...............................................................................................................67836.3.1. Interfaces de Rede .....................................................................................67936.4. Roteamento ...................................................................................................68336.4.1. Geral ...........................................................................................................68436.4.2. Dinâmico .....................................................................................................68636.4.3. Avançado ....................................................................................................69336.5. Utilizando a interface texto nas Chaves de Ativação .....................................69736.6. Utilizando a interface texto na Configuração TCP/IP .....................................69836.7. Utilizando a interface texto na Configuração de Wireless ..............................70536.8. Utilizando a interface texto na Configuração de DDNS .................................70836.9. Configuração do Link 3G ...............................................................................71037. Configurando o firewall em Cluster ...........................................................71537.1. Planejando a Instalação .................................................................................71537.2. Configuração do Cluster ................................................................................71737.3. Estatística do Cluster .....................................................................................72237.4. Utilizando a interface texto .............................................................................72438. Arquivos do Sistema ...................................................................................72838.1. Arquivos do Sistema ......................................................................................72839. Aker Firewall Box .........................................................................................73340. Apêndice A – Mensagens do sistema ........................................................73740.1. Mensagens do log do Firewall .......................................................................73740.2. Mensagens dos eventos do Firewall ..............................................................74340.3. Formato de exportação de logs e eventos .....................................................78440.4. Eventos gerados pelo Aker Firewall ...............................................................78440.4.1. Eventos gerados pelo Filtro Web ................................................................78440.4.2. Eventos gerados pelo Proxy MSN ..............................................................78740.4.3. Eventos gerados pelo Proxy POP3 ............................................................79240.4.4. Eventos gerados pelo Proxy SMTP ............................................................79340.4.5. Eventos gerados pelo Módulo de IDS/IPS e filtro de aplicativos ................795© Aker Security Solutions 7

40.4.6. Eventos gerados pelo Aker Antivirus Module .............................................79740.4.7. Eventos gerados pelo Aker Web Content Analizer .....................................80140.4.8. Eventos gerados pelo Aker Spam Meter ....................................................80541. Apêndice B - Copyrights e Disclaimers .....................................................816© Aker Security Solutions 8

Índice de FigurasFigura 1. Termo de Licença. .....................................................................................30Figura 2. Interface do Aker Control Center. ..............................................................37Figura 3. Caixa de descrição de entidade. ................................................................38Figura 4. Caixa de edição do dispositivo remoto. .....................................................39Figura 5. Informações requeridas para editar o Dispositivo Remoto. .......................41Figura 6. Tipos de autenticação (usuário, domínio e senha) para editar o DispositivoRemoto. ....................................................................................................................42Figura 7. Interface conectada ao Firewall escolhido. ................................................43Figura 8. Finalizador de adminsitração remota do Aker Firewall (Desconectar dodispositivo remoto). ...................................................................................................44Figura 9. Dispositivos remotos (realizar mudança de senha). ..................................45Figura 10. Mudar Senha (inserir senha antiga, a nova senha e confirmação damesma). ....................................................................................................................46Figura 11. Dispositovos remotos (Visualizar Informações da sessão). .....................47Figura 12. Informação da sessão (mostra dados do Firewall, Licença e Usuário). ...48Figura 13. Apresentação da janela de ajuda. ...........................................................49Figura 14. Informações sobre ativação de licenças. .................................................50Figura 15. Salvar um backup do item selecionado. ..................................................51Figura 16. Download das configurações personalizadas e bases de treinamento. ..51Figura 17. Backup Informações de log. ....................................................................52Figura 18. Tela de escolha de arquivo para salvar configurações. ...........................52Figura 19. Salvar o backup automaticamente. ..........................................................53Figura 20. Botões para restauração de backup. .......................................................53Figura 21. Escolha de arquivo para carregar dados de configuração. ......................54Figura 22. Restauração do backup do Antivirus Module. ..........................................55Figura 23. Restauração do backup do Aker Firewall. ...............................................55Figura 24. Restauração do backup do Spam Meter. .................................................56Figura 25. Restauração do backup do Web Content Analyzer. ................................56Figura 26. Reiniciar o Firewall...................................................................................57Figura 27. Sistema de atualização de dados do Firewall. .........................................58Figura 28. Escolha do arquivo para atualização ou correção. ..................................60Figura 29. Visualização de históricos de aplicação de patches e hotfixes. ...............61Figura 30. Acessando o Aker Firewall. .....................................................................62Figura 31. Notificação sobre atualizações disponíveis no Aker Update System. ......64Figura 32. Visualizando atualizações disponíveis através do Aker Update System. 65Figura 33. Acessando o Aker Firewall. .....................................................................66Figura 34. Acessando as janelas do Aker Update System. ......................................67Figura 35. Acessando o Aker Firewall. .....................................................................68Figura 36. Acessando as janelas do Aker Update System. ......................................69© Aker Security Solutions 9

Figura 37. Janela de DNS reverso. ...........................................................................70Figura 38. DNS reverso. ...........................................................................................71Figura 39. Janela de acesso a Simulação de Regras de Filtragem. .........................72Figura 40. Simluação de Regras de Filtragem (origem do pacote, destino, data, horae máscaras). .............................................................................................................73Figura 41. Simluação de Regras de Filtragem (origem do pacote, destino, data, horae entidade). ...............................................................................................................74Figura 42. Relatório de configuração do firewall. ......................................................75Figura 43. Janela de acesso a Busca de Entidades. ................................................76Figura 44. Busca de Entidades (procura de entidade com IP ou nome e últimosresultados). ...............................................................................................................77Figura 45. Busca de Entidades (Serviços, protocolo e últimos resultados). .............78Figura 46. Busca de Entidades (Regras, entidades e últimos resultados). ...............79Figura 47. Janela de acesso à Janela de Alarmes. ..................................................80Figura 48. Janela de Alarmes (Descrição). ...............................................................81Figura 49. Janela de acesso: Mapa da Rede. ..........................................................82Figura 50. Mapa da Rede. ........................................................................................83Figura 51. Janela de acesso: Estatísticas do Sistema. .............................................84Figura 52. Estatísticas do Sitema. ............................................................................85Figura 53. Acesso a janela: Sniffer de Pacotes. .......................................................86Figura 54. Sniffer de Pacotes – Sniffer 1. .................................................................87Figura 55. Janela de acesso: Agentes Externos. ......................................................89Figura 56. Agentes Externos (nome, tipo e status). ..................................................90Figura 57. Janela de acesso: Verificador de Configuração. ......................................92Figura 58. Verificador de Configuração (Regras de Filtragem, Conversão deendereço de rede (NAT), Autenticação, Filtro web e Rede privada virtual (VPN). ....93Figura 59. Janela de Diagnosticos. ...........................................................................94Figura 60. Acesso a janela de Usuários Administrativos. .........................................96Figura 61. Janela de Usuários administrativos (Usuários internos). .........................97Figura 62. Usuários Administrativos (configuração dos agentes externos). ...........101Figura 63. Usuários Administrativos (método de autenticação com certigficaçãodigital X509). ...........................................................................................................103Figura 64. Execução do programa utilizando a interface texto. ..............................107Figura 65. Execução do programa para inclusão de usuários como administrados doAker Firewall. ..........................................................................................................108Figura 66. Execução do programa para a exclusão de usuários. ...........................109Figura 67. Execução do programa para a alteração de senha do usuário..............110Figura 68. Execução do programa para exibir a listagem de usuários e permissões.................................................................................................................................111Figura 69. Execução do programa para exibir a compactação do arquivo deusuários. .................................................................................................................112Figura 70. Edição das configurações do Aker Configuration Manager. ..................113© Aker Security Solutions 10

Figura 71. Edição das configurações do Aker Configuration Manager (Firewallhabilitado). ..............................................................................................................113Figura 72. Edição das configurações do Aker Configuration Manager (desabilita,modifica ou retorna). ...............................................................................................114Figura 73. Acesso aos dispositovos remostos (Parametros de configuração). .......116Figura 74. Parametros de configuração do Aker Firewall ( Paramentros do servidor,interface remota e endereços fixos de configuração rempota. ...............................117Figura 75. Parametros de configuração de Log (local, remoto e opções gerais). ...119Figura 76. Parametros de configuração de segurança. ..........................................121Figura 77. Parametros de configuração via SNMP. ................................................124Figura 78. Parametros de configuração - Monitoramento. ......................................126Figura 79. Parametros de configuração – Data e hora. ..........................................128Figura 80. Janela de entidades (Aker Firewall). ......................................................137Figura 81. Entidades (Instância Aker Firewall). ......................................................137Figura 82. Cadastro de entidade Tipo Máquina. .....................................................139Figura 83. Cadastro de entidade Tipo Máquina IPv6. .............................................140Figura 84. Inclusão e edição de redes. ...................................................................141Figura 85. Inclusão e edição de redes IPv6. ...........................................................142Figura 86. Inclusão e edição de conjuntos. .............................................................144Figura 87. Adição de entidades. .............................................................................145Figura 88. Edição de conjuntos IPv6. .....................................................................146Figura 89. Edição de conjuntos IPv6 (entidades a ser adcionada). ........................147Figura 90. Inclusão e edição das listas de categorias. ............................................148Figura 91. Inclusão e edição dos padrões de buscas. ............................................149Figura 92. Inclusão e edição de quotas. .................................................................150Figura 93. Inclusão e edição de agentes externos..................................................151Figura 94. Cadastro de um agente externo tipo autenticador ou autenticados token.................................................................................................................................153Figura 95. Cadastro de um agente externo tipo Autoriadade CertificadoraAutênticadora. .........................................................................................................154Figura 96. Definição de Pseudo-Grupos para usuários que se autenticarem por meiode autoridade certificadora. ....................................................................................156Figura 97. Cadastro de agente externo tipo Agente IDS. .......................................157Figura 98. Cadastro de agente externo tipo Analisador de texto. ...........................157Figura 99. Cadastro de agente externo tipo Módulo de Antivírus. ..........................158Figura 100. Cadastro de agente externo tipo Spam Meter. ....................................158Figura 101. Cadastro de agente externo Servidor Remoto. ....................................159Figura 102. Cadastro de agente externo Autenticador LDAP. ................................160Figura 103. Cadastro de agente externo Autenticador Radius. ..............................162Figura 104. Inclusão e edição de serviços. .............................................................163Figura 105. Inclusão e edição de interfaces. ..........................................................165Figura 106. Inclusão e edição de listas de e-mails. ................................................167Figura 107. Opção para realizar uma operação sobre um e-mail ou domínio. .......168© Aker Security Solutions 11

Figura 108. Lista dos tipos de arquivos. .................................................................168Figura 109. Opção para realizar uma operação (Entrada da lista). ........................169Figura 110. Acumuladores. .....................................................................................170Figura 111. Cadastro de entidade tipo Canal. ........................................................171Figura 112. Mensagem de entrada no Assistente de criação de entidades. ...........177Figura 113. Escolha do tipo de entidade. ................................................................178Figura 114. Inserção do endereço de IP da máquina. ............................................179Figura 115. Atribuição do nome da entidade. .........................................................180Figura 116. Escolha do ícone da entidade. .............................................................181Figura 117. Mensagem de finalização do cadastramento. ......................................182Figura 118. Dispositivos remotos ( Acesso a janela de configuração das regras). .190Figura 119. Janelas de regras de filtragem. ............................................................190Figura 120. Menu com opções de entidades referente ao campo. .........................191Figura 121. Menu ícone de verificação de regras. ..................................................195Figura 122. Verificador de regras............................................................................196Figura 123. Regras de filtragem (Exemplo de canal de 50KBits). ..........................196Figura 124. Ajustes de prioridade de canal. ............................................................197Figura 125. Exemplo de como trabalhar com políticas de filtragem........................198Figura 126. Exemplo de regras de filtragem. ..........................................................199Figura 127. Interface regras de filtragem. ...............................................................200Figura 128. Barra de ícones (Politíca). ...................................................................200Figura 129. Exibição das regras de filtragem. .........................................................201Figura 130. Assitente de regras filtragem (janela exibida quando um númeropequeno de regras for detectado. ...........................................................................204Figura 131. Mensagem de boas vindas ao Assitente de regras filtragem. ..............205Figura 132. Escolha da rede interna e configuração inicial. ....................................206Figura 133. Tela de acesso para escolha de acesso restrito ou não à internet. .....207Figura 134. Escolha se possui ou não DMZ. ..........................................................208Figura 135. Escolha da entidade DMZ. ...................................................................209Figura 136. Máquinas DMZ (acesso restrito ou não a internet). .............................210Figura 137. Escolha dos serviços da internet e estações de trabalho que o DMZ teráacesso. ...................................................................................................................211Figura 138. Configuração do Firewall. ....................................................................212Figura 139. Registro de configuração do servidor. .................................................213Figura 140. Escolha da entidade do servidor. .........................................................214Figura 141. Selecionar o locar onde o servidor DMZ ficará disponível. ..................215Figura 142. Escolha para configurar outro servidor ou não. ...................................216Figura 143. Aviso de finalização de configuração das regras de filtragem. ............217Figura 144. Janela com as regras de Pipes. ...........................................................218Figura 145. Exemplo 1 de configuração do Aker Firewall (interligandodepartamentos). ......................................................................................................224Figura 146. Exemplo 2 de configuração do Aker Firewall (múltiplas ligações com ainternet). ..................................................................................................................226© Aker Security Solutions 12

Figura 147. Exemplo 3 de configuração do Aker Firewall (montando regras deconversão de endereços). ......................................................................................227Figura 148. Janela de configuração da conversão de endereços. ..........................229Figura 149. Janela de configuração da conversão de endereços (NAT). ...............229Figura 150. Janela de configuração de balanceamento de link. .............................231Figura 151. Janela de configuração para adicionar entidades. ...............................233Figura 152. Janela de inclusão de regras de NAT. .................................................234Figura 153. Janela de configuração para ações que deseja ser realizada. ............236Figura 154. Mascaras de rede da entidade de origem e virutal devem ser iguais. .237Figura 155. Configuração dos parâmetros de monitoramento a ser realizado pelofirewall. ....................................................................................................................237Figura 156. Exemplo 1, conversão de endereços. ..................................................240Figura 157. Exemplo 2, conversão de serviços. .....................................................241Figura 158. Balanceamento de link (primeira fase).................................................242Figura 159. Motangem das regras do NAT 9 Segunda fase). .................................243Figura 160. Mensagem de boas vindas ao Assistênte de configuração de NAT. ...249Figura 161. Seleção das redes que tem a necessidade de acessar a internetcompartilhando um endereço IP. ............................................................................250Figura 162. Seleção do IP da máquina virtual para realizar a conversão de N-1. ..251Figura 163. Mensagem se deseja configurar os servidores acessíveisexternamentes. .......................................................................................................252Figura 164. Escolha da entidade que deseja tornar acessível na internet. .............253Figura 165. Escolha do endereço IP utilizados por máquinas externas a ser utilizadono servidor. .............................................................................................................254Figura 166. Escolha para configurar mais servidores. ............................................255Figura 167. Finalização do assistentes de regras. ..................................................256Figura 168. Exemplo de configuração de um canal seguro firewall-firewall para umasub-rede. .................................................................................................................267Figura 169. Canal seguro entre redes. ...................................................................269Figura 170. Dispositivos remotos (Acesso a janelas de Certificados IPSEC). ........270Figura 171. Janela de Certificados IPSEC. .............................................................271Figura 172. Barra de ferramentas (Certificados IPSEC). ........................................271Figura 173. Janela de ação para Certificados IPSEC. ............................................272Figura 174. Dispositivos remotos (Acesso a janela de Firewall/Firewall). ...............274Figura 175. Janela de Criptografia Firewall/Firewall. ..............................................274Figura 176. Menu de inserção, copia ou exclusão para definição dos fluxos decriptografia. .............................................................................................................275Figura 177. Menu de inclusão ou ateração de fluxos. .............................................276Figura 178. Configuração de canais IPSEC. ..........................................................277Figura 179. Definição dos algoritmos de criptografia e autenticação permitidos pelofirewall durante negociação das chaves IKE. .........................................................278Figura 180. Visualização do tráfego IPSEC. ...........................................................279Figura 181. Gráfico de acompanhamento (Bytes de logs transferidos). .................280© Aker Security Solutions 13

Figura 182. Dispositivos remoto (Acesso as configurações do Security Roaming).................................................................................................................................289Figura 183. Configuração geral do Security Roaming. ...........................................290Figura 184. Configuração do Security Roaming. ....................................................291Figura 185. Lista de controle de acesso do Security Roaming. ..............................292Figura 186. Menu com escolha das entidades a ser adicionadas. .........................293Figura 187. Conjuto de endereços do Security Roming. .........................................294Figura 188. Configuração da VPN L2TP. ................................................................296Figura 189. Lista de endereços que podem ser fornecidos a clientes conectadosremotamente ao firewall. .........................................................................................296Figura 190. Menu com escolhas da entidade para adicionar. .................................298Figura 191. Configurando o cliente L2TP (Windows Vista/XP). ..............................299Figura 192. Configurando o cliente L2TP (utilizando VPN). ....................................299Figura 193. Configurando o cliente L2TP (escolha do IP e nome da conexão). .....300Figura 194. Configurando o cliente L2TP (nome do usuário e senha utilizados paraautenticar o cliente de VPN no Aker Firewall). ........................................................301Figura 195. Configuração da VPN L2TP concluída. ...............................................301Figura 196. Network conections (edição das propriedades de conexão). ...............302Figura 197. Network conections (janela de configurações avançadas). .................303Figura 198. Dialogo de propriedades (configuração). .............................................304Figura 199. Configurando a VPN PP TP. ................................................................305Figura 200. Menu com escolhas da entidades para adicionar. ...............................306Figura 201. Configurando o Cliente PPTP para autenticação com PAP (WindowsVista/XP). ................................................................................................................308Figura 202. Janela de configuração da VPN no Microsoft Windows®. ...................309Figura 203. Janela de configuração de rede da VPN no Microsoft Windows®. ......310Figura 204. Janela de configuração de usuário e senha da VPN no MicrosoftWindows®. ..............................................................................................................311Figura 205. Configuração da VPN no Microsoft Windows® concluída. ..................312Figura 206. Janela de configurações avançadas da VPN no Microsoft Windows®.................................................................................................................................313Figura 207. Janela de configurações dos parâmentros de autenticação da VPN noMicrosoft Windows®. ..............................................................................................314Figura 208. Janela de configurações dos parâmentros de rede da VPN no MicrosoftWindows®. ..............................................................................................................315Figura 209. Configurações do Servidor de autenticação Radius do MicroosftWindows Server®. ..................................................................................................316Figura 210. Configurações do Shared secret do servidor de autenticação Radius doMicroosft Windows Server®. ...................................................................................317Figura 211. Definição das regras de acesso remoto do servidor de autenticaçãoRadius do Microosft Windows Server®. ..................................................................318Figura 212. Especificação das condições de conexão do servidor de autenticaçãoRadius do Microosft Windows Server®. ..................................................................319© Aker Security Solutions 14

Figura 213. Especificação das condiçõs de conexão - Edição. ..............................320Figura 214. Especificação das condiçõs de conexão – IP. .....................................321Figura 215. Especificação das condiçõs de conexão – Multilink. ...........................322Figura 216. Especificação das condiçõs de conexão – Authentication. ..................323Figura 217. Especificação das condiçõs de conexão – Encryption. .......................324Figura 218. Especificação das condiçõs de conexão – Advanced. ........................325Figura 219. Informações dos usuários podem efetuar autenticações. ....................326Figura 220. Propriedades dos usuários podem efetuar autenticações. ..................327Figura 221. Clientes VPN - IPSEC. .........................................................................329Figura 222. Lista de endereços que podem ser atribuídos aos clientes. ................330Figura 223. Lista de endereços que são redes protegidas. ....................................331Figura 224. Configurações recomendadas para clientes de criptografia – SharedSecret. ....................................................................................................................334Figura 225. Configurações recomendadas para clientes de criptografia – X.509. ..334Figura 226. Configuração da VPN – General. ........................................................335Figura 227. Configuração da VPN – Authentication................................................335Figura 228. Configuração da VPN – Phase 1. ........................................................336Figura 229. Configuração da VPN – Phase 2. ........................................................336Figura 230. Configuração da VPN – Connect. ........................................................337Figura 231. Configuração I-Phone – certificado. .....................................................338Figura 232. Configuração I-Phone – estabelecendo VPN. .....................................339Figura 233. Configuração VPN com certificado. .....................................................340Figura 234. Configuração VPN - Authentication – Local Identity. ..........................340Figura 235. Configuração VPN - Authentication – Remote Identily........................341Figura 236. Configuração VPN - Authentication – Authentication Method. ............341Figura 237. Janela de acesso – VPN SSL. .............................................................342Figura 238. VPN SSL - Portais. ..............................................................................343Figura 239. VPN SSL - Applet. ...............................................................................345Figura 240. Perfil de acesso – Permissão VPN. .....................................................346Figura 241. VPN SSL – Instruções gerais.. ............................................................347Figura 242. Utilização do Proxy SSL. .....................................................................350Figura 243. Edição dos paramentros de um contexto SSL. ....................................351Figura 244. Exibição do certificado do proprietário – X.509. ...................................353Figura 245. Fluxo do pacote da rede interna ao atingir o firewall. ..........................356Figura 246. Fluxo do pacote da rede externa em direção a rede interna. ...............357Figura 247. Janela de acesso ao SYN Flood. .........................................................363Figura 248. SYN Flood – Ativação de proteção SYN Flood. ...................................364Figura 249. Janela de acesso: Proteção de Flood. .................................................366Figura 250. Proteção de Flood - Configuração. ......................................................367Figura 251. Janela de acesso: Anti Spoofing. .........................................................369Figura 252. Anti Spoofing – Ativação do controle. ..................................................370Figura 253. Bloqueio de excesso de tentativas de login inválidas - Eventos. .........374Figura 254. Janela de acesso - Ações. ...................................................................377© Aker Security Solutions 15

Figura 255. Ações – Mensagens de logs. ...............................................................378Figura 256. Ações a serem executadas para mensagens exibidas. .......................378Figura 257. Ações: Parametros. .............................................................................380Figura 258. Janela de acesso: log. .........................................................................389Figura 259. Barra de ferramentas de log. ...............................................................389Figura 260. Filtro de log. .........................................................................................391Figura 261. Filtro de log. .........................................................................................393Figura 262. Lista com várias entradas de log. ........................................................396Figura 263. Exportador de log. ...............................................................................397Figura 264. Barra de exportação de log – porcentagem realizada. ........................397Figura 265. Janela de acesso: Eventos. .................................................................406Figura 266. Barra de ferramentas: Eventos. ...........................................................406Figura 267. Filtro de eventos. .................................................................................407Figura 268. Descrição dos Eventos. .......................................................................410Figura 269. Exportar log de eventos. ......................................................................411Figura 270. Janelas de eventos - Estatística. .........................................................417Figura 271. Regras de estatística. ..........................................................................418Figura 272. Barra de ferramentas - Regras de estatística. .....................................419Figura 273. Visualizar Estatisticas. .........................................................................420Figura 274. Visualizar Estatisticas – Gráfico. ..........................................................421Figura 275. Exportar Estatistica. .............................................................................422Figura 276. Barra de ferramentas: visualização das estatísticas. ...........................422Figura 277. Janela de acesso: Conexões TCP. ......................................................427Figura 278. Conexões TCP – Conexões IPv4. .......................................................428Figura 279. Conexões TCP – Conexões IPv6. .......................................................429Figura 280. Barra de ferramentas: conexões TCP..................................................430Figura 281. Conexões TCP – Gráfico de conexões IPv4. .......................................431Figura 282. Janela de acesso: Relatório. ................................................................435Figura 283. Configurando relatório - Diário. ............................................................436Figura 284. Configuração do relatório - geral. ........................................................437Figura 285. Configuração do relatório – sub-relatório. ............................................438Figura 286. Configuração do relatório – método de publicação. .............................439Figura 287. Configuração do relatório – método de SMTP. ....................................440Figura 288. Janela de acesso: Exportação Agendada de Logs e Eventos.. ...........444Figura 289. Exportação Agendada de Logs e Eventos - diário. ..............................445Figura 290. Configuração da Exportação Agendada de Logs e Eventos - geral. ...446Figura 291. Configuração da Exportação Agendada de Logs e Eventos – método depublicação. ..............................................................................................................447Figura 292. Configuração da Exportação Agendada de Logs e Eventos – tipo depublicação. ..............................................................................................................448Figura 293. Funcionamento básico de um Proxy tradicional. .................................451Figura 294. Funcionamento básico de um Proxy trasparênte. ................................452Figura 295. Proxie transparentes e contextos. .......................................................453© Aker Security Solutions 16

Figura 296. Istalação do agente de autenticação do em Windows Server – pasta dedestino. ...................................................................................................................457Figura 297. Agente de autenticação - Aker. ............................................................459Figura 298. Agente de autenticação – Firewall Aker. ..............................................460Figura 299. Agente de autenticação - Log. .............................................................461Figura 300. Agente de autenticação - Sobre. .........................................................462Figura 301. Jnaela de acesso: Autenticação. .........................................................464Figura 302. Autenticação de acesso: Controle de acesso. .....................................465Figura 303. Autenticação de acesso: Listagem de grupos ou usuários. .................467Figura 304. Autenticação de acesso: Escolha do perfil desejado. ..........................467Figura 305. Autenticação de acesso: Métodos. ......................................................468Figura 306. Autenticação de acesso: Adiconar entidades. .....................................470Figura 307. Autenticação de acesso: Remover entidades. .....................................470Figura 308. Autenticação de acesso: Métodos. ......................................................471Figura 309. Autenticação de acesso: Métodos (habilitar autenticação do Token). .472Figura 310. Autenticação de acesso: Autenticação para proxies. ..........................473Figura 311. Autenticação de acesso: Autenticação local. .......................................474Figura 312. Aba para inclusão de usuário. .............................................................474Figura 313. Autenticação – Autenticação local. ......................................................475Figura 314. Autenticação – alteração de senha ou grupo. ......................................475Figura 315. Autenticação local – criar ou remover grupos. .....................................476Figura 316. Controle de acesso por IP. ..................................................................477Figura 317. Configuração NTLM. ............................................................................478Figura 318. Segurança do Window – solicitação de usuário e senha. ....................479Figura 319. Janela de acesso: Perfis. .....................................................................484Figura 320. Perfis – Aker Firewall. ..........................................................................485Figura 321. Janela de configuração de perfil (inserir e excluir). ..............................485Figura 322. Regras: regras de filtragem para o perfil de acesso. ...........................487Figura 323. Perfis: Socks. .......................................................................................488Figura 324. Perfis: Geral. ........................................................................................489Figura 325. Perfis: FTP e Gopher. ..........................................................................490Figura 326. Janela de acesso Perfis (inseir e desabilitar). ......................................491Figura 327. Geral: HTTP e HTTPS. ........................................................................493Figura 328. Janela de acesso: Bloqueio de Banners. .............................................494Figura 329. Bloquei de Banners (URL de banners). ...............................................495Figura 330. Perfis: bloqueio de URL. ......................................................................496Figura 331. Barra de ferramentas (inserir ou desabilitar). .......................................496Figura 332. Perfis: Arquivos bloqueados. ...............................................................498Figura 333. Escolhas de operadores. .....................................................................499Figura 334. Perfis: Security Roaming. ....................................................................502Figura 335. Perfis: Security Roaming (conjunto de endereços). .............................504Figura 336. Perfis: VPN-SSL (Proxy SSL). .............................................................505Figura 337. Conexão Direta: Proxy Reverso SSL. ..................................................506© Aker Security Solutions 17

Figura 338. Conexão Via Apllet. .............................................................................506Figura 339. Conexão Cliente Applet / SSL / Normal. ..............................................506Figura 340. Perfis – MSN Messenger. ....................................................................508Figura 341. Menu (inserir/desabilitar) para executar qualquer operação sobre aregra. ......................................................................................................................509Figura 342. Perfis: Filtragem de aplicação. .............................................................511Figura 343. Menu (inserir/desabilitar) para executar qualquer operação sobre aregra. ......................................................................................................................511Figura 344. Janela de acesso: Autentição. .............................................................513Figura 345. Autenticação: Controle de acesso. ......................................................514Figura 346. Menu de escolha do usuário. ...............................................................515Figura 347. Menu de escolha do perfil. ...................................................................515Figura 348. Controle de acesso por IP. ..................................................................516Figura 349. Janela de acesso: usuários conectados. .............................................519Figura 350. Usuários conectados (máquina, nome, domínio, perfil, inicio, TPC e nºde usuários conectados.) ........................................................................................520Figura 351. Barra de ferramentas: usuários conectados. .......................................520Figura 352. Serviços: relay. ....................................................................................527Figura 353. Serviços: geral. ....................................................................................528Figura 354. Serviços: relay. ....................................................................................529Figura 355. Serviço: regras. ....................................................................................530Figura 356. Menu (inserir, copiar, editar, excluir ou renomear). .............................530Figura 357. Edição de regra: SMTP. .......................................................................532Figura 358. Serviço: DNS. ......................................................................................535Figura 359. Menu (inserir, copiar, editar, excluir ou renomear).. ............................536Figura 360. Serviço: DNS. ......................................................................................537Figura 361. Serviço: anexos. ..................................................................................538Figura 362. Menu (inserir, copiar, editar, excluir ou renomear).. ............................539Figura 363. Regra: edição de regras e anexos. ......................................................540Figura 364. Regra: edição de regras e anexos. ......................................................542Figura 365. Serviço: Spam Meter. ..........................................................................544Figura 366. Serviço: Avançado. ..............................................................................548Figura 367. Serviço: propriedade de um contexto Telnet. ......................................552Figura 368. Menu (inserir). ......................................................................................553Figura 369. Janela de inclusão de usuários ou grupos. ..........................................554Figura 370. Serviços: propriedades de um contexto SMTP. ...................................558Figura 371. Janela de lista de regras (aceitas ou não).. .........................................559Figura 372. Propriedades de um contexto POP3....................................................563Figura 373. Operações sobre determinada regra. ..................................................564Figura 374. Edição de regras de arquivos. .............................................................566Figura 375. Janela de acesso: Uso de quotas. .......................................................571Figura 376. Uso de quotas: viasualização do usuário.............................................572Figura 377. Uso de quotas: viasualização da quota. ..............................................573© Aker Security Solutions 18

Figura 378. Conexão (internet, rede interna, firewall e DMZ. .................................577Figura 379. Janela de acesso: filtro web. ................................................................579Figura 380. Configuração dos parâmetros do filtro web (geral). .............................580Figura 381. Filtro Web: cliente de autenticação. .....................................................584Figura 382. Filtro Web: controle de conteúdo. ........................................................586Figura 383. Filtro Web: tipo de arquivo. ..................................................................588Figura 384. Escolhas dos operadores. ...................................................................591Figura 385. Filtro Web: antivírus. ............................................................................592Figura 386. Diagrama de certificados envolvidos no acesso. .................................596Figura 387. Filtro web: configuração. ......................................................................598Figura 388. Certificado de errro do Firefox. ............................................................600Figura 389. Certificado assinado pela CA de erro. ................................................601Figura 390. Erro de acesso. ....................................................................................601Figura 391. Certificado de informação. ...................................................................604Figura 392. Certificado de informação. ...................................................................605Figura 393. Certificado CA – tela de acesso. ..........................................................606Figura 394. Certificado CA – properties. .................................................................606Figura 395. Certificado CA – General. ....................................................................607Figura 396. Certificado CA – Details.. .....................................................................608Figura 397. Certificado CA – All tasks / Back up Ca. ..............................................609Figura 398. Certificado Authority Backup Wizard....................................................609Figura 399. Certificado Authority Backup Wizard – senha e confirmação. .............610Figura 400. Microsoft Management Console. .........................................................611Figura 401. Adicionar ou remover Snap-is. .............................................................612Figura 402. Microsoft Management Console – certificates, all taks, import). ..........613Figura 403. Escolha do diretório onde deseja importar o relatório. .........................614Figura 404. Mozila Firefox (importar certificado). ....................................................614Figura 405. Mozila Firefox (criptografia). ................................................................615Figura 406. Gerenciador de certificados – autoridades. .........................................616Figura 407. Filtro Web: avançado. ..........................................................................617Figura 408. Sessões Web. ......................................................................................618Figura 409. Janela de acesso: Proxy Socks ...........................................................622Figura 410. Autenticação dos usuários Socks. .......................................................623Figura 411. Propriedades de um contexto RCP......................................................628Figura 412. Menu de execução da janela RPC. .....................................................629Figura 413. Menu de execução da janela RPC (inseir, apagar, rejeitar ou aceitar).................................................................................................................................629Figura 414. Propriedades de um contexto DCE-RPC. ............................................630Figura 415. Menu de execução da janela DCE-RPC. .............................................631Figura 416. Menu de execução da janela DCE-RPC (inseir, apagar, rejeitar ouaceitar). ...................................................................................................................631Figura 417. Janela de acesso: Proxy Messenger. ..................................................634Figura 418. Proxy Messenger – Aba Tipo Serviço. .................................................635© Aker Security Solutions 19

Figura 419. Proxy Messenger – Aba Mensagens. ..................................................636Figura 420. Proxy Messenger – Controle de acesso. .............................................637Figura 421. Proxy Messenger – Configurações. .....................................................638Figura 422. Janela de acesso: Filtragem de aplicações. ........................................641Figura 423. Filtragem de aplicações – Regras de filtragem de aplicações. ............642Figura 424. Menu de operação sobre uma regra. ...................................................643Figura 425. Janela de acesso: Filtragem de aplicações. ........................................645Figura 426. Filtragem de aplicações – Filtros de Aplicações. .................................646Figura 427. Menu de operação sobre um filtro. ......................................................646Figura 428. Menu de operação para acessar o nome do filtro ou forma deconcatenação. ........................................................................................................647Figura 429. Operações de filtragem. .......................................................................647Figura 430. Janela de acesso: IPS/IDS. .................................................................650Figura 431. IPS/IDS – Regras IDS..........................................................................651Figura 432. Menu para execução de operação de regras.. ....................................652Figura 433. IPD/IDS – Filtros IDS. ..........................................................................654Figura 434. Filtros IDS – Configuração do filtro. .....................................................655Figura 435. IPD/IDS - Portscan...............................................................................657Figura 436. IPD/IDS – IDS Externo. ........................................................................659Figura 437. Janela de acesso: IPs bloquados. .......................................................661Figura 438. IPs bloquados. .....................................................................................662Figura 439. Janela de Acesso – atualização de assinaturas. .................................663Figura 440. Atualização de assinaturas. .................................................................664Figura 441. Configuração IDS – configuração. .......................................................665Figura 442. Firewalls usados. .................................................................................667Figura 443. Configuração de IDS – log. ..................................................................668Figura 444. Configuração de IDS – eventos. ..........................................................669Figura 445. Janela de acesso: TCP/IP. ..................................................................674Figura 446. Servidor DHCP. ...................................................................................675Figura 447. Relay DHCP entre redes. ....................................................................676Figura 448. Servidor DHCP interno. .......................................................................677Figura 449. TCP/IP - DNS ......................................................................................678Figura 450. Janela de acesso: Interfaces de redes. ...............................................679Figura 451. Menu: configuração ou modificação de endereço IP. ..........................680Figura 452. Menu de criação: VLAN. ......................................................................680Figura 453. Configuração PPPoE. ..........................................................................681Figura 454. Janela de Roteamento. ........................................................................683Figura 455. Roteamento - Geral. ............................................................................684Figura 456. Roteamento dinâmico. .........................................................................686Figura 457. Roteamentoavançado (RIP). ...............................................................689Figura 458. Roteamento avançado (OSPF). ...........................................................691Figura 459. Roteamento avançado. ........................................................................693Figura 460. Exemplo de laboratório de teste – balaceamento de rotas. .................694© Aker Security Solutions 20

Figura 461. Teste e configurações – NAT – exemplo A. .........................................694Figura 462. Teste e configurações – Balanceamento de link – exemplo B. ............695Figura 463. Teste e configurações – NAT exemplo B. ............................................695Figura 464. Teste e configurações – Balanceamento de link – exemplo B. ............695Figura 465. Roteamento. ........................................................................................696Figura 466. Modo de configuração para interfaces de rede. ...................................698Figura 467. Configuração de Interfaces. .................................................................699Figura 468. Lista da interfaces de rede. ..................................................................700Figura 469. Módulo de configuração para interfaces de rede. ................................701Figura 470. Cadastro de Vlan. ................................................................................701Figura 471. Configuração de interfaces. .................................................................702Figura 472. Configuração de rotas estáticas. .........................................................703Figura 473. Configuração de rotas estáticas – entrada de dados. ..........................703Figura 474. Configuração de DNS. .........................................................................704Figura 475. Módulo de configuração para interfaces de rede. ................................705Figura 476. Interface de texto na configuração Wireless. .......................................705Figura 477. Exemplo de interface de texto na configuração DNS...........................709Figura 478. Configuração de link 3G. .....................................................................711Figura 479. Confiugaração 3G no Aker Firewall. ....................................................712Figura 480. Janela de acesso – configuração do cluster. .......................................717Figura 481. Criar cluster. ........................................................................................718Figura 482. Configuração do cluster – configurações gerais. .................................719Figura 483. Configuração do cluster – adicionar membro. .....................................721Figura 484. Janela de acesso – Estatísticas do cluster. .........................................722Figura 485. Estatísticas do cluster – Firewall 1. ......................................................723Figura 486. Estatísticas do cluster – Gráfico. .........................................................724Figura 487. Interface texto – exemplo 1: mostrando a configuração da interface. ..725© Aker Security Solutions 21

Introdução© Aker Security Solutions 22

1. IntroduçãoEste é o manual do usuário do Aker Firewall 6.5. Nos próximos capítulos vocêaprenderá como configurar esta poderosa ferramenta de proteção às redes. Estaintrodução tem como objetivo descrever a organização deste manual e tentar tornarsua leitura o mais simples e agradável possível.Como está disposto este manual.Este manual está organizado em vários capítulos. Cada capítulo mostrará umaspecto da configuração do produto e todas as informações relevantes ao aspectotratado.Todos os capítulos começam com uma introdução teórica sobre o tema a sertratado seguido dos aspectos específicos de configuração do Aker Firewall.Juntamente com esta introdução teórica, alguns módulos possuem exemplospráticos do uso do serviço a ser configurado, em situações hipotéticas, porémbastante próximas da realidade. Buscamos com isso tornar o entendimento dasdiversas variáveis de configuração o mais simples possível.Recomendamos que este manual seja lido pelo menos uma vez por inteiro, naordem apresentada. Posteriormente, se for necessário, pode-se usá-lo como fontede referência (para facilitar seu uso como referência, os capítulos estão divididos emtópicos, com acesso imediato pelo índice principal. Desta forma, pode-se acharfacilmente a informação desejada).Em vários locais deste manual, aparecerá o símbolo seguido de uma fraseescrita em letras vermelhas. Isto significa que a frase em questão é uma observaçãomuito importante e deve ser totalmente entendida antes de prosseguir com a leiturado capítulo.Interface texto vs. Interface GráficaO Aker Firewall possui duas interfaces distintas para sua configuração: umainterface gráfica remota e uma interface texto local.A interface gráficaA interface gráfica é chamada de remota porque através dela é possíveladministrar remotamente, via Internet, um Aker Firewall localizado em qualquerparte do mundo. Esta administração é feita através de um canal seguro entre ainterface e o firewall, com um forte esquema de autenticação e criptografia, demodo a torná-la totalmente segura.© Aker Security Solutions 23

A interface gráfica é de uso bastante intuitivo e está disponível para plataformasWindows e Linux.A interface textoA interface texto é uma interface totalmente orientada à linha de comando queroda na máquina onde o firewall está instalado. O seu objetivo básico épossibilitar a automação de tarefas da administração do Aker Firewall (através dacriação de scripts) e possibilitar uma interação de qualquer script escrito peloadministrador com o Firewall.Praticamente todas as variáveis que podem ser configuradas pela interfacegráfica poderão ser configuradas também pela interface texto.Como as duas interfaces tratam das mesmas variáveis, a funcionalidade, osvalores e os comentários destas têm validade tanto para interface gráfica quantopara a interface texto. Devido a isso, os tópicos referentes à interface textonormalmente serão curtos e se limitarão a mostrar seu funcionamento. Casotenha dúvida sobre algum parâmetro, deve-se recorrer à explicação do mesmono tópico relativo à interface gráfica.Não é possível o uso simultâneo de várias interfaces gráficas para um mesmoFirewall, nem o uso da interface texto enquanto existir uma interface gráfica aberta.O FirewallCom a evolução da Internet, o ambiente das aplicações em nível de routers, tornouseum ambiente dinâmico que constantemente oferece novos protocolos, serviços eaplicações. Os routers e proxies não são suficientes e não conseguem garantir asegurança às diversas aplicações da Internet ou cumprir as novas necessidadesempresariais, alto bandwidth e a exigências de segurança de redes. Diante danecessidade das organizações em proteger suas redes, a Aker desenvolveu o AkerFirewall.A segurança que envolve a rede é construída por um conjunto de programas etécnicas que tem por finalidade liberar ou bloquear serviços dentro de uma redeinterligada à Internet de forma controlada. Sendo o Firewall a parte mais importanteem um programa de segurança, não se deve esquecer a importância de utilizarferramentas que auxiliam na detecção de brechas e vulnerabilidades dos sistemasoperacionais que estão em uso na rede, bem como, o uso de programas quedetectam intrusos ou ataques. É importante também, saber qual ação a ser tomadaquando uma violação ou um serviço importante parar.Copyrights do Sistema Copyright (c) 1997-2003 Aker Security Solutions; Utiliza a biblioteca SSL escrita por Eric Young (cay@mincon.oz.au). Copyright ©1995 Eric Young;© Aker Security Solutions 24

Utiliza o algoritmo AES implementação do Dr. B. R. Gladman(brg@gladman.uk.net); Utiliza o algoritmo MD5 retirado da RFC 1321. Copyright © 1991-2 RSA DataSecurity, Inc; Utiliza a biblioteca CMU SNMP. Copyright© 1997 Carnegie Mellon University; Utiliza a biblioteca de compressão Zlib. Copyright © 1995-1998 Jean-loup Gailly andMark Adler; Utiliza a biblioteca QWT escrita por Josef Wilgen. Copyright © 1997; Inclui software desenvolvido pela Universidade da California, Berkeley e seuscolaboradores; Inclui software desenvolvido por Luigi Rizzo, Universita` di Pisa Portions Copyright2000 Akamba Corp; Inclui software desenvolvido por Niklas Hallqvist, Angelos D. Keromytis and HaanOlsson; Inclui software desenvolvido por Ericsson Radio Systems.© Aker Security Solutions 25

Instalando o Aker Firewall© Aker Security Solutions 26

2. Instalando o Aker FirewallEste capítulo mostrará como se realiza a instalação do Aker Firewall, os requisitosde hardware, software e instalação do Firewall e interface remota.2.1. Requisitos de hardware e softwarePara o firewallO Aker Firewall 6.5 roda sobre o sistema operacional proprietário, em plataformasIntel ou compatíveis.Para que o Aker Firewall execute de maneira satisfatória todos os componentes dehardware é necessário possuir as seguintes configurações:Computador Intel ou compatível 1.0 Ghz ou superior;Para utilizar um link com alta taxa de transferência ou utilizar criptografia em umlink com velocidade relativamente alta, recomenda-se o uso de um computadormais potente.512 Mbytes de memória RAM;Para fazer um grande uso dos serviços de proxy e de criptografia, provavelmenteserá necessário utilizar memória maior ou igual a 512 Mbytes.20 Gbytes de espaço em disco;Para armazenar os logs do sistema por um grande espaço de tempo recomendaseo uso de um disco maior.Leitor de CD-ROMou pen-driver USB, monitor, mouse e teclado;Isso só é necessário durante a instalação ou caso se pretenda utilizar a interfacetexto a partir do console, entretanto é altamente recomendado em todos oscasos.Placa(s) de rede.Não existe um número máximo de placas de rede que podem ser colocadas noFirewall. A única limitação existente é a limitação do próprio hardware. Casonecessite de um grande número de interfaces de rede, pode-se optar por placascom mais de uma saída na mesma interface.Para a interface gráfica© Aker Security Solutions 27

A interface gráfica de administração do Aker Firewall roda em plataformas Windows,Linux, em plataformas Intel ou compatíveis.Para que a interface gráfica execute de maneira satisfatória os componentes dehardware devem-se possuir as seguintes configurações:Computador Intel ou compatível 1.3Mhz ou superior;256 Mbytes de memória RAM;2 Gbytes de espaço livre em disco;Monitor;Mouse;Teclado;Placa de rede.Todos os componentes do hardware devem ser suportados pelo sistema operacionalna qual a interface será instalada, em alguma das versões aceitas pelo produto.2.2. Instalando o Aker FirewallO Aker Firewall pode ser adquirido na forma de appliance, i.e. Firewall Box. Sendocomprado desta forma, o produto já vem instalado e pré-configurado. Caso tenhaoptado por comprar apenas o software (versão IS), a instalação deverá ser feita namáquina escolhida, o que será explicado neste tópico.Para instalá-lo deve-se iniciar a máquina com o CD-ROM de instalação ou com oPEN-DRIVER que podem ser efetuado o download no site da Aker.Para gravar o PEN-DRIVER, siga os passos abaixo:1. Efetue o download do arquivo no site da Aker;2. Verifique se o pen drive no Linux está com sdb, digite o comando como root.“#dmesg | grep sd” ou “#fdisk –l” serão mostradas as informações de disco damáquina e encontre o pen-drive.3. Após identificar em qual device o Linux montou o pen-drive, digite o comando“dd if= | gunzip | dd of=/dev/”.Exemplo:“dd if=

2. Selecione qual produto deseja instalar: Aker Firewall, Aker Secure MailGateway ou Aker Web Gateway;3. Podem-se instalar os Produtos em HD ou flash, ou ainda, instalar em HD edeixar a flash zerado. Para o caso de falha utilizá-la. Estas opções irão variarde acordo com o modelo de BOX. OBS: Todos os dados do HD ou flashserão requisitados ao efetuar este processo;4. Ao iniciar o instalador será exibido um Menu, onde podem ser instalado emuma flash, ou em um HD;5. Instalando em flash. Esse modo deve ser utilizado em caso de problemas noHD. Caso você possua um Agente (Antivírus, AWCA, Spam Meter), ele serádesativado6. Instalando o Firewall em um HD. Modo recomendado. Os funcionaram comtodas as suas funcionalidades.Após reiniciar a máquina o programa fwinst é o responsável por efetuar a instalaçãoe a configuração do sistema para a execução do Aker Firewall. Ao ser executado,ele mostrará a seguinte tela:Firewall Aker v6.5 - Programa de InstalaçãoEste programa realiza a Instalação do Firewall Aker 6.5 e da interface texto deconfiguracao local.Deseja prosseguir com a Instalação do firewall (S/N) ?Após responder Sim, o programa de instalação mostrará a licença de uso do AkerFirewall . Para prosseguir, é necessário aceitar todos os termos e condiçõescontidas na licença. Caso sejam aceitos, o programa prosseguirá com a instalaçãomostrando seu progresso através de uma série de mensagens auto-explicativas.Após terminar de copiar os arquivos, o programa de instalação fará algumasperguntas de modo a realizar a configuração específica para cada sistema.Será mostrada a seguinte tela:© Aker Security Solutions 29

Figura 1. Termo de Licença.Após responder Sim, será instalado todas as dependências necessárias para que oAker Firewall funcione.A próxima janelaFirewall Aker v6.5 - Programa de InstalaçãoConfiguração do sistema completada. E necessário agora ativar a cópia instaladaatravés da digitação da chave de ativação que foi entregue ao se adquirir o produto.A chave de ativacao, o nome da empresa e o endereco IP da interface externadeverao ser digitados exatamente como constam no documento entregue pela AkerConsultoria e Informatica ou seu representante.Pressione enter para continuarApós digitar enter, o programa mostrará uma tela solicitando o caminho onde oarquivo da chave de ativação está salvo.Caso a chave seja válida, o programa prosseguirá com a instalação.Firewall Aker v6.5 - Programa de InstalaçãoÉ necessario se definir o nome da interface de rede externa do firewall Osenderecos IP que se originarem desta interface nao serao contabilizados no numeromaximo de licencas do produto.A interface externa deve assumir um dos seguintes valores:© Aker Security Solutions 30

eth0eth1eth2Entre a interface externa:A configuração da interface externa é usada apenas para o controle de licenças dofirewall. Deve-se informar o nome da interface que estará conectada à Internet.A especificação da interface externa não possui nenhuma implicação de segurança.Nenhum controle de acesso é feito levando-se em conta esta interface.Firewall Aker v6.5 - Programa de InstalaçãoAtivacao do sistema completada. Vamos agora para a configuracao de algunsparametros do Firewall Aker:Você pode cadastrar agora um endereço IP para possibilitar que o firewall sejaadministrado remotamente a parit de uma outra máquina.Deseja cadastrar este IP (S/N).Após responder Sim, digite o endereço IP da máquina onde está instalado o AkerControl center.Firewall Aker v6.5 - Programa de InstalaçãoEu posso cadastrar automaticamente um administrador capaz de gerenciarremotamente o firewall. Este administrador tera plenos poderes em relacao firewall ea partir dele novos usuarios poderao ser cadastrados.Obs: Se voce nao cadastrar um administrador nao podera administrar o firewall apartir da interface grafica, apenas atraves da interface texto local.Voce deseja criar este administrador (S/N)?Para que seja possível administrar o firewall a partir da interface gráfica énecessário cadastrar um administrador, devendo-se responder S a esta pergunta.De qualquer forma é possível cadastrar posteriormente outros administradoresatravés das interfaces locais de administração. A explicação de como fazer isso, seencontra no capítulo intitulado Administrando usuários do firewall.© Aker Security Solutions 31

Caso tenha optado por incluir um novo administrador, será mostrada a tela pedindoos dados do administrador a ser cadastrado. Um exemplo desta tela se encontraabaixo (cabe mencionar que a senha do administrador a ser cadastrado não serámostrada na tela).Firewall Aker versão 6.5Módulo de administracao de usuários remotos Inclusão de usuárioEntre o login: administradorEntre o nome completo: Administrador do Firewall AkerEntre a senha (6-14):Confirme a senha:Confirma inclusao do usuario? (S/N)Após se ter ou não incluído o administrador, será mostrada uma mensagemperguntando sobre o cadastro de um segredo compartilhado para administração doFirewall através do Aker Configuration Manager. Se você não tem este produto,responda não, caso contrário consulte o manual do mesmo.Finalmente, será mostrada uma mensagem indicando o término da instalação esolicitando que a máquina seja reinicializada para ativar o Aker Firewall. Ao sereinicializar a máquina, o firewall já entrará em funcionamento automaticamente epoderá ser configurado remotamente.A senha digitada deve conter de 6 a 14 caracteres.2.3. Instalando a interface remotaEm plataformas WindowsPara instalar as interface remota nas plataformas Windows XP ou superio, deve-secolocar o CD-ROM do Aker Security Suite no drive e seguir as instruções queaparecerão na tela.Caso a opção de auto-execução esteja desabilitada, deve-se executar os seguintespassos:1. Clicar no menu Iniciar;© Aker Security Solutions 32

2. Selecionar a opção Executar;3. Ao ser perguntado sobre qual programa executar, digitarD:\br\control_center\AkerRemoteDesktop-br-win-6.5 (Caso o leitor de CD-ROM seja acessado por uma letra diferente de D, substituí-la pela letraequivalente, no comando anterior).Ao término da instalação, será criado um grupo chamado Aker, no menu Iniciar.Para executar a interface remota, basta selecionar a opção Firewall 6.5 GUI dentrodeste grupo.Em plataformas LinuxPara instalar a interface remota em plataformas Linux é necessário que os pacotesda biblioteca QT estejam previamente instalados.A interface gráfica para plataformas Linux é distribuída em pacotes BIN. Parainstalá-la, proceda da seguinte forma:1. Coloque o CD-ROM no drive e monte-o, através do comando mount/mnt/cdrom;2. Execute o comando: sh /mnt/cdrom/br/control_center/;3. Siga as instruções do instalador.O nome do pacote a ser instalado pode mudar conforme a versão do Linux noqual a interface será instalada. Verifique o conteúdo do diretório/mnt/cdrom/br/control_center/ para ver os nomes de todos os pacotes eselecionar o mais adequado.© Aker Security Solutions 33

Utilizando o Aker Control Center© Aker Security Solutions 34

3. Utilizando o Aker Control CenterNeste capítulo será mostrado o funcionamento da interface gráfica remota deadministração do Aker Firewall.O que é a administração remota do Aker Firewall?O Aker Firewall pode ser totalmente configurado e administrado remotamente apartir de qualquer máquina que possua um sistema operacional compatível comuma das versões da interface remota, que tenha TCP/IP e que consiga acessar amáquina na qual o firewall se encontra. Isto permite um alto grau de flexibilidade efacilidade de administração, possibilitando que um administrador monitore econfigure vários firewalls a partir de sua estação de trabalho.Além dessa facilidade, a administração remota permite uma economia de recursosna medida em que possibilita que a máquina que rode o firewall não possua monitore outros periféricos.Esta comunicação entre a interface remota e os produtos Aker é criptografada comuma chave de 256 bits.Como funciona a administração remota do Aker Firewall?Para possibilitar a administração remota existe um processo rodando na máquina dofirewall responsável por receber as conexões, validar os usuários e executar astarefas solicitadas por estes usuários. Quando um usuário inicia uma sessão deadministração remota, a interface gráfica estabelece uma conexão com o módulo deadministração remota do firewall e mantém esta conexão aberta até que o usuáriofinalize a sessão.Toda a comunicação entre a interface remota e o firewall é feita de maneira segura,para cada sessão são geradas novas chaves de criptografia e autenticação. Alémdisso, são empregadas técnicas de segurança para impedir outros tipos de ataques,como por exemplo: ataques de repetição de pacotes.Seguem comentários sobre algumas observações importantes da administraçãoremota:Para que a interface remota consiga se conectar ao firewall precisa da adição deuma regra liberando o acesso TCP para a porta 1020 a partir da máquina quedeseja se conectar. Informações de como fazer isso se encontram no capítulointitulado: O Filtro de Estados.1. Só é possível a abertura de uma conexão de administração remota em umdeterminado instante. Se já existir uma interface conectada, pedidos© Aker Security Solutions 35

subseqüentes de conexão serão recusados e a interface remota informará que jáexiste uma sessão ativa.2. Cada um dos usuários que for utilizar a interface remota deve estar cadastradono sistema. O programa de instalação pode criar automaticamente umadministrador com poderes para cadastrar os demais administradores. Casotenha eliminado este administrador ou perdido sua senha é necessário o uso domódulo local da interface gráfica ou da interface texto para criar um novoadministrador. Detalhes de como fazer isso se encontram no capítulo intitulado:Administrando Usuários do Firewall.Como utilizar a interfaceA interface é bastante simples de ser utilizada, entretanto, existe uma observaçãoque deve ser comentada:O botão esquerdo e direito do mouse, tem funções diferentes na interface. O botãoesquerdo é usado para selecionar entradas em uma lista e para clicar em botões. Obotão direito tem como função mostrar um menu de opções para uma determinadalista.3.1. Iniciando a interface remotaPara iniciar a execução da interface gráfica remota deve-se executar um dosseguintes passos:Em máquinas Windows, clicar no menu Iniciar, selecionar o grupo Aker, dentrodeste grupo selecionar o sub-grupo Aker Control Center e clicar no ícone AkerControl Center 2.Em Linux deve-se acessar o diretório de instalação do Control Center e executar oseguinte script 'aker_control_center2_init.sh'.Será mostrada a seguinte janela:© Aker Security Solutions 36

Figura 2. Interface do Aker Control Center.A janela mostrada acima é a janela principal do Aker Firewall e é a partir dela que setem acesso a todas as opções de configuração, inclusive da ativação da licença doFirewall. Sem ativação da licença não será possível realizar as configuraçõessubseqüentes.No primeiro acesso os dados referentes à licença aparecem todos em branco ehabilitados para que o Administrador possa carregá-lo. A licença de uso consta emum arquivo, que após clicar no botão "Carregar", será indicado e assim queconfirmado o carregamento dos dados, a janela será aberta com todos os dados dalicença atual, logo surgirá uma janela confirmando e reiniciar o firewall.Portanto clique no botão "Carregar", no canto superior direito da interface:A interface gráfica remota é composta de 4 menus descritos brevemente abaixo(quando existe um firewall selecionado, um quinto menu é mostrado com opçõesespecíficas para o mesmo):OpçõesO menu Opções contém as configurações relacionadas ao layout da interfacegráfica. Ao clicar neste menu, aparecerão as seguintes opções:© Aker Security Solutions 37

Textos nos botões: marcando esta opção será mostrada juntamente comcada ícone a ação correspondente do botão. Desmarcando esta opção, serámostrado apenas o ícone.Dicas para Entidades: quando esta opção estiver ativada, uma pequenacaixa com a descrição de cada entidade irá aparecer quando o mouse forpassado sobre seu ícone.Figura 3. Caixa de descrição de entidade.Ajuda Rápida: esta opção ativa o help contextual automático para cadajanela.Mostrar ícones nos botões: esta opção, se ativada, faz com que sejammostrados ícones nos botões Ok, Cancelar e Aplicar das janelas.Tempo de sessão ociosa: Permite definir o tempo máximo, em minutos, quea interface permanecerá conectada ao firewall sem receber nenhumcomando do administrador. Assim que este tempo limite for atingido, ainterface automaticamente será desconectada do firewall, permitindo queuma nova sessão seja estabelecida. Seu valor pode variar entre 1 e 60. Acaixa "Sem limite" quando estiver marcada não desconectará a interface dofirewall.Valor padrão: 1 minuto.Sair: fecha a janela da interface gráfica.FirewallsEste menu serve para cadastrar mais firewalls na interface gráfica de modo quepossibilite simultaneamente a administração de diversos Aker Firewalls. Com ainterface conectada a mais de um firewall simultaneamente, é possível usar afacilidade de arrastar e soltar as entidades e regras entre firewalls, de modo afacilitar a replicação de determinadas configurações entre eles. Este menu serádescrito em detalhes mais abaixo.JanelasEste menu possui as funções de configuração das janelas abertas e da barra demenu.Barra de ferramentas: esta opção permite definir se a barra de ferramentas naparte superior da janela principal será mostrada ou não.Janelas: esta opção permite mostrar ou não as janelas padrão do sistema: ajuda,firewalls e entidades.© Aker Security Solutions 38

Lado a Lado: selecionando esta opção, as janelas abertas do lado direito dainterface gráfica se ajustam de forma que todas aparecem visíveis.Cascata: esta opção faz com que as janelas abertas no lado direito da interfacegráfica fiquem posicionadas em forma de cascata, uma na frente da outra.Inicialmente nem todas as opções dos menus se encontram habilitadas, porfuncionarem apenas quando houver uma conexão estabelecida. Para ter acesso àsdemais opções deve estabelecer uma sessão de administração remota com ofirewall que deseja administrar. Para tanto se devem seguir os seguintes passos:Cadastrar o firewall selecionando o menu Firewalls e a opção Novo Firewall (vejao item Cadastrando Firewalls logo a seguir)Selecionar o firewall com o qual deseja-se conectarClicar na opção ConectarCadastrando FirewallsNesta seção demonstraremos como podemos cadastrar um (ou mais) firewalls.Quando selecionamos a opção Novo Firewall dentro do menu Firewalls ou no ícone"Criar novo Firewall" aparecerá a seguinte janela. Nessa janela, poderáescolher o tipo de autenticação desejada. De acordo com cada opção a janela seráalterada, mostrando os campos correspondentes.Tipo de Autenticação: Usuário/SenhaFigura 4. Caixa de edição do dispositivo remoto.© Aker Security Solutions 39

Modo de demonstração: Ao selecionar essa opção, será criado um firewall dedemonstração com uma configuração padronizada. Nenhuma conexão real seráfeita ao tentar se conectar neste firewall, podendo-se criar quantos firewalls dedemonstração for desejado, cada um com a configuração distinta um do outro;Nome: cadastrar o nome pelo qual o firewall será referenciado na interface gráfica;Nome da máquina: Caso o servidor do Firewall no qual se deseja conectar possuaum nome associado ao IP da máquina, basta colocar este nome nesta opção paraque o Control Center resolva o DNS automaticamente e se conecte no servidor;Endereço IPv4 e IPv6: cadastrar o endereço IP para conectar no firewall;Usuário: esse campo identifica o usuário que acessará o firewall. Este campo gravao usuário, onde aparecerá todas as vezes que o firewall for acessado.Senha: a senha do usuário. Caso deixe a caixa Salvar senha marcada, não seránecessário digitar a senha quando fizer a conexão (a senha aparecerá na tela comovários asteriscos "*"). Caso ela esteja desmarcada, este campo estará desabilitado.A cada 3 tentativas inválidas, o cliente é bloqueado de acessar a Control Centerpor 3 minutos. A cada tentativa inválida gera-se um evento "Excesso detentativasinvalidas. IP bloqueado", do módulo "Daemons do Firewall".No final basta clicar em Ok e o firewall estará cadastrado, como o tipo deautenticação selecionado. No caso de cancelar o cadastro do firewall, basta clicarem Cancelar.© Aker Security Solutions 40

Tipo de Autenticação: X.509Figura 5. Informações requeridas para editar o Dispositivo Remoto.Essa opção permite autenticação com certificação digital X509.Certificado da CA: representa o certificado raiz da autoridade certificadora, mostrao Domínio (C.N) desse certificado.Ao clicar no íconeo certificado. O íconecarrega-se um arquivo com extensão *.cer/*.crt que contémmostra um resumo das informações do certificado.Certificado do Usuário: essa opção permite carregar um pacote de certificado noformato PKCS#12. Ele desmembra o pacote em dois arquivos, um com o certificadoe outro com a chave. Carrega um certificado com uma senha e a outra senha é parasalvar o arquivo da chave, salvando assim, de forma encriptada.Senha: Senha com a qual a chave primária foi salva. Se informar (cadastro), decifraa chave e manda para o firewall fazer a autenticação. Caso deixe a caixa Salvarsenha marcada, não será necessário digitar a senha quando fizer a conexão (asenha aparecerá na tela como vários asteriscos "*"). Caso ela esteja desmarcada,este campo estará desabilitado.Alterar Senha: Altera a senha cadastrada no campo senha.© Aker Security Solutions 41

Tipo de Autenticação: Agente externo usuário/senhaFigura 6. Tipos de autenticação (usuário, domínio e senha) para editar o Dispositivo Remoto.Essa opção permite autenticação por meio de Agentes Externos.Usuário: O usuário que acessará o firewall. Este campo grava o usuário, ondeaparecerá todas as vezes que o firewall for acessado.Domínio: Nome do domínio no qual o agente externo está rodandoSenha: A senha do usuário. Caso deixe a caixa Salvar Senha marcada, não seránecessário digitar a senha quando fizer a conexão (a senha aparecerá na tela comovários asteriscos "*"). Caso ela esteja desmarcada, este campo estará desabilitado.Fingerprint: É um resumo da identificação do certificado digital do Firewall. Essaopção possibilita ao usuário identificar quando tem uma mudança do firewall que secostuma conectar.Observação: Na primeira vez que há a tentativa da conexão não haverá aidentificação do firewall. A partir da segunda vez todas às vezes que é conectadovai comparar com o fingerprint.© Aker Security Solutions 42

O Aker Firewall só permite a existência de uma sessão de administração em umdeterminado instante. Se esta mensagem for mostrada, significa que já existe umaoutra interface remota conectada ou um módulo de administração local sendoutilizado.Erro de rede ou conexão encerrada pelo servidorEste é um erro genérico e pode ter uma série de causas. A sua causa mais comumé um erro na digitação do login ou da senha. Se o login do usuário não estivercadastrado ou sua senha estiver errada, o servidor encerrará a conexão. Verifiqueprimeiramente se o seu login e sua senha foram digitados corretamente. Caso oerro continue, siga a seguinte seqüência de passos:1. Verifique se o usuário que está tentando se conectar está cadastrado no sistemae se a sua senha está correta (para fazer isso, utilize o módulo local deadministração de usuários. Veja o capítulo intitulado Administrando usuários dofirewall).2. Verifique se a rede está funcionando corretamente. É possível fazer isso devárias formas, uma delas é utilizando o comando ping. (Não se esqueça deacrescentar uma regra liberando os serviços ICMP “echo request” e “echo reply”para a máquina que se está testando em direção ao firewall, caso vá utilizar oping. Para aprender como fazer isso, veja o capítulo intitulado O Filtro deEstados). Se isso não funcionar, então a rede está com problemas deconectividade e isto deve ser corrigido antes de tentar a administração remota.Caso funcione, veja o passo 3.3. Verifique se existe uma regra cadastrada liberando o acesso a partir da máquinaque queira conectar ao firewall, utilizando o serviço Aker (TCP, porta 1020).Caso não exista, insira esta regra (para aprender como fazer isso, veja o capítulointitulado O Filtro de Estados).3.2. Finalizando a administração remotaExistem três formas de finalizar a administração remota do Aker Firewall:Finalizando a sessão clicando com o botão direito do mouse no firewall conectado eselecionando Desconectar do dispositivo remoto;Figura 8. Finalizador de adminsitração remota do Aker Firewall (Desconectar do dispositivo remoto).© Aker Security Solutions 44

Clicando em Desconectar do firewall na barra de ferramentas ouFechando a interface gráfica remota. Neste caso você perderá a conexão com todosos firewalls que estiverem conectados.Caso queira sair do programa, deve-se clicar no botão Sair na barra deferramentas da janela principal ou clicar no "x" no canto superior direito da janela.3.3. Mudando sua senha de usuárioÉ possível para qualquer usuário do Aker Firewall alterar a sua senha sempre quedesejado. Para tanto deve-se primeiro estabelecer uma sessão de administração(como mostrado no tópico Iniciando a interface remota) e após isso executar osseguintes passos:Figura 9. Dispositivos remotos (realizar mudança de senha).Selecionar o firewall a ser configurado.Clicar em Ferramentas.Clicar duas vezes em Mudar senha.Será mostrada então a seguinte janela:© Aker Security Solutions 45

Figura 10. Mudar Senha (inserir senha antiga, a nova senha e confirmação da mesma).Deve-se digitar a senha anterior no campo Senha antiga e digitar a nova senha noscampos Nova senha e Confirmar a nova senha (as senhas aparecerão na telacomo vários asteriscos "*").Após preencher os campos, deve-se pressionar o botão OK, para alterar a senha ouo botão Cancelar, caso não queira mudá-la.Os campos Senha antiga, Nova Senha e Confirmar senha, devem conter de 6a 14 caracteres.3.4. Visualizando informação de sessãoÉ possível a qualquer momento visualizar algumas informações sobre a sessão deadministração ativa. Para isso existe uma janela específica que mostra informaçõesúteis como: login, nome e direitos do usuário que está administrando o firewall e aversão e o release do Aker Firewall que estiver sendo administrado. São mostradastambém a hora de início da conexão e há quanto tempo ela está ativa. Para abriresta janela, execute os seguintes passos:© Aker Security Solutions 46

Figura 11. Dispositovos remotos (Visualizar Informações da sessão).Selecionar o firewall a ser configurado.Clicar em Informação.Clicar duas vezes em Informação de sessão.Será mostrada então a seguinte janela:© Aker Security Solutions 47

Figura 12. Informação da sessão (mostra dados do Firewall, Licença e Usuário).3.5. Utilizando a ajuda on-line e a Ajuda-RápidaO Aker Firewall possui uma ajuda on-line bastante completa. Ela é mostrada emuma janela ao final da interface gráfica. Esta janela pode ser escondida oumostrada, sendo possível escolher qual das duas formas através do menu Janelas,Sub-menu Janelas, opção Ajuda.A ajuda on-line consiste no conteúdo deste manual mostrado de forma sensível aocontexto em relação à janela de configuração do firewall ativa, ou seja, serámostrada a parte do manual que seja relevante para a janela que estejaconfigurando.A Ajuda - Rápida consiste em uma breve explicação sobre cada um dos itens dosmenus de configuração. Esta explicação é mostrada em uma pequena janela,abaixo dos menus, como destacado abaixo:© Aker Security Solutions 48

Figura 13. Apresentação da janela de ajuda.É possível mostrar ou esconder a Ajuda-Rápida, bastando clicar na opção AjudaRápida do menu Opções.3.6. Utilizando as ferramentas da Interface GráficaO que são as ferramentas da interface gráfica do Aker Firewall?As ferramentas são um conjunto de utilitários presentes apenas na interface gráficado Aker Firewall. Elas servem para facilitar a administração do firewall, provendouma série de funções bastante úteis no dia-a-dia.3.7. Chaves de AtivaçãoEsta opção permite atualizar a chave de ativação do Aker Firewall e dos demaisprodutos que possam estar instalados juntos: Antivírus, Spam Meter, SecureRoaming e Web Content Analyzer.Para visualizar ou atualizar a licença, deve-se:Clicar no botão Licença na barra de tarefas do firewall que estiver conectado.© Aker Security Solutions 49

A janela de ativação de licençaFigura 14. Informações sobre ativação de licenças.Esta janela é apenas informativa. Nela são mostrados todos os produtos que estãoinstalados junto com o firewall e os dados referentes à licença de cada um deles.Entre estes dados pode-se verificar a data de expiração, número de licenças, ID e adata de expiração do IDS e etc, para cada produto.Caso se deseje inserir uma nova licença, deve-se clicar no botão Carregar,localizado na barra de tarefas. Esta opção abrirá um diálogo onde se podeespecificar o arquivo de onde a nova chave será carregada. No caso do FirewallBox, caso exista mais de um produto instalado junto com o firewall, as chaves dosprodutos adicionais também serão atualizadas.Da versão 6.0 do Aker Firewall em diante não é mais possível atualizar aschaves de ativação do firewall digitando-as, apenas carregando-as a partir doarquivo enviado pela Aker Security Solutions ou um de seus representantesautorizados.© Aker Security Solutions 50

3.8. Salvar configurações (backup)Esta opção permite salvar a configuração completa do firewall na máquina ondeestá administrando. No caso de algum desastre, pode-se facilmente restaurar estaconfiguração posteriormente.Para salvar as configurações conecte em um dispositivo remoto e clique no ícone(Salvar um backup do item selecionado):Figura 15. Salvar um backup do item selecionado.Realizar o download das configurações personalizadas e bases de treinamento dosprodutos:Figura 16. Download das configurações personalizadas e bases de treinamento.© Aker Security Solutions 51

Figura 17. Backup Informações de log.A janela para salvar configurações:Figura 18. Tela de escolha de arquivo para salvar configurações.Após digitar o nome do arquivo salvo, deve-se clicar no botão Salvar. Caso nãoqueira mais gravar a cópia de segurança, deve-se clicar no botão Cancelar.Esta opção permite restaurar a cópia de segurança da configuração completa dofirewall realizada através da opção anterior.© Aker Security Solutions 52

Salvar o backup automaticamenteAtravés da configuração a seguir é salvo um backup completo do dispositivo remototodas as vezes que se conectar ao mesmo automaticamente, para ativa-la selecionea opção “Salvar o backup automaticamente” conforme figura a seguir:Figura 19. Salvar o backup automaticamente.O local onde os backups ficaram salvos é na pasta de instalação do Aker ControlCenter.3.9. Restaurar configuraçõesPara restaurar uma cópia de segurança, deve-se:Figura 20. Botões para restauração de backup.Clicar no firewall para o qual será carregada a cópia de segurança.Selecionar o item Carregar configurações na barra de ferramentas ou no menucom o nome do firewall selecionado.© Aker Security Solutions 53

A janela para carregar configurações:Figura 21. Escolha de arquivo para carregar dados de configuração.Esta janela permite escolher o nome do arquivo de onde a configuração serárestaurada. Após seu nome ser especificado, o firewall lerá todo seu conteúdo, farávários testes de consistência e se o seu conteúdo estiver válido será carregado.O botão Abrir fará com que a cópia seja carregada e a configuração do firewallimediatamente atualizada.O Botão Cancelar fará com que a janela seja fechada, porém a cópia desegurança não seja carregada.É possível escolher, no momento da restauração do backup escolher quaisconfigurações serão aplicadas no produto, agrupadas por similaridade.Exemplo:Regras;Licença;Certificados;Base de dados temporárias;TCP/IP;Perfis de acesso.© Aker Security Solutions 54

Sendo possível seleciona-las nas janelas a seguir:Figura 22. Restauração do backup do Antivirus Module.Figura 23. Restauração do backup do Aker Firewall.© Aker Security Solutions 55

Figura 24. Restauração do backup do Spam Meter.Figura 25. Restauração do backup do Web Content Analyzer.Será exibida a versão do sistema quando da geração do backup e alertas podemser exibidos em caso de incompatibilidade.© Aker Security Solutions 56

3.10. Reinicializar FirewallEsta opção serve para reinicializar o firewall, porém não deve ser utilizada emcondições normais de operação. A única operação que exige a reinicialização dofirewall é a carga de um algoritmo de criptografia externo.Para reinicializar o firewall basta:Figura 26. Reiniciar o Firewall.Selecionar o firewall a ser reinicializadoSelecionar o item Reiniciar Firewall no menu com a opção Ações do firewall.3.11. AtualizaçõesO que são atualizações e onde consegui-las?Como todo software, o Aker Firewall pode eventualmente apresentar bugs em seufuncionamento. À medida em que estes problemas são resolvidos, a Aker produzum arquivo que permite a atualização de seu Aker Firewall e a eliminação desteserros. Algumas vezes também são adicionadas determinadas características novasem uma versão já existente, de modo a aumentar sua performance ou aumentar suaflexibilidade.Em ambos os casos, os arquivos de atualização ou correção são disponibilizados deforma gratuita no site da Aker: basta procurar o menu Download e selecionar aopção Correções e Atualizações. Estes arquivos são sempre cumulativos, ou seja, énecessário apenas baixar a última versão disponível e esta incluirá as correçõespresentes nos arquivos de correção/atualização anteriores.A janela de atualizaçõesEsta opção permite aplicar uma atualização ou correção do Aker Firewallremotamente, através da interface gráfica. É possível também atualizarcompletamente a versão do produto.Para ter acesso à janela de atualizações deve-se clicar no ícone localizado nabarra de ferramentas, automaticamente a janela será aberta, para que sejamescolhidas as atualizações a serem aplicadas.© Aker Security Solutions 57

Aba PatchEssa janela se divide em duas abas: Atualização e Histórico, conforme explicadasa baixo:Figura 27. Sistema de atualização de dados do Firewall.Por meio dessa janela é possível visualizar o status atual dasatualizações/correções aplicadas no Web Gateway. Caso se trate de cluster a janelaapresentará as informações das máquinas que o compõem. Possui os seguintescampos:Id: Refere-se à identificação das máquinas que compõe o cluster.Nome: Refere-se ao apelido atribuído às máquinas.Restauração: Este campo informa se a última atualização aplicada pode serdesfeita.© Aker Security Solutions 58

As atualizações aplicadas por meio dos Patches e dos Hotfixes são alterações quepodem ser desfeitas. Essa opção permite desfazer a última atualização aplicada namáquina, seja hotfix ou patch. Deve-se observar que as alterações são desfeitasuma por uma, ou seja, se a versão já estiver no Patch 3, e deseja-se voltar a versãoinicial, deve ser desfeito o patch 3, depois o patch 2, e assim por diante.Última atualização: Identificação do último patch aplicado no membro do cluster.Hotfixes: Lista de hotfixes aplicados dentro do patch. Nessa lista, mostra a ordemdireta de aplicação dos hotfixes.O hotfix é uma pequena atualização ou correção feita para um patch específico.Pode ser aplicado independente da ordem, o que não acontece com o patch, quedeve ser aplicado na ordem seqüencial de atualização.Caso a atualização ou correção sejam destinadas a uma versão diferente desistema operacional ou de versão do Aker Web Gateway, então o botão Aplicarficará desabilitado, não permitindo sua aplicação.Para carregar um arquivo de atualização ou correção deve-se clicar no íconeque se encontra na barra de ferramentas. Com isso é aberta uma janela, quepermite carregar um arquivo de atualização do patch ou do hotfix, conforme mostraa figura abaixo.© Aker Security Solutions 59

Figura 28. Escolha do arquivo para atualização ou correção.Para aplicar o arquivo de atualização/correção, deve-se primeiramente selecionaruma máquina na aba Patch, e logo em seguida clicar no íconeou o hotfix seja aplicado.para que o patchCaso queira aplicar o rollback, pelo menos uma máquina deve ser selecionada naaba Patch, e logo em seguida deve-se clicar no ícone , sendo que essasalterações serão desfeitas uma a uma, na sequência que foram atualizadas.Para aplicar rollback em mais de uma máquina ao mesmo tempo, as mesmasdevem estar com a mesma atualização, por exemplo: todas estão com a versãopatch 3, e quer voltar para o patch 1.Aba Histórico© Aker Security Solutions 60

Figura 29. Visualização de históricos de aplicação de patches e hotfixes.Essa aba permite, visualizar todo o histórico das aplicações dos patches e hotfixes.A aba é composta dos seguintes campos:ID: Mostra a identificação da máquina de onde foi feita a atualização.Usuário: Indica o usuário que aplicou a atualização.Restauração: Indica se pode ser ou não desfeito a atualização.Data: Indica a data que foi feita alguma aplicação de patch ou hotfix.A expressão "Versão Corrente" significa que não foi aplicado nenhuma patch.Observação: Ao clicar no botão OK, o Patch ou o Hotfix não são aplicados,somente é fechada a janela.© Aker Security Solutions 61

3.12. Módulo de atualização automática – Aker Update System (AUS)O Aker Update System tem como função disponibilizar os pacotes de atualização detodos os produtos da Aker no diretório do Control Center. O sistema funciona deforma inteligente, onde ele trará somente a última versão para pacotes integradoscom o Control Center, os últimos patchs e hotfix.Acesso as janelas de configuraçãoExistem 3 formas de configurar o Módulo de Atualização:Primeira opção:Selecionar o produto Aker desejado;Figura 30. Acessando o Aker Firewall.© Aker Security Solutions 62

Caso tenha atualização disponível, aparecerá a seguinte notificação no canto direitoinferior da tela do Control Center: “Atualizações prontas”.© Aker Security Solutions 63

Figura 31. Notificação sobre atualizações disponíveis no Aker Update System.Clicar com o botão esquerdo do mouse sobre a mensagem e aparecerá a tela“Notificador de Instalação de Atualizações”. Deve-se escolher individualmenteas atualizações a serem instaladas e clicar no botão “OK”.© Aker Security Solutions 64

Figura 32. Visualizando atualizações disponíveis através do Aker Update System.Em seguida aparecerá a seguinte tela: “Sistema de Atualização”. Onde na partede Patch e possível assinalar os itens ao qual deseja se aplicar as mudanças (naparte descrição é possível saber o que cada uma corresponde) e informações sobreo pacth . Basta escolher a opção desejada e clicar em “OK”. A atualização serárealizada automaticamente, caso queria realizar mais de uma, deve-se repetir oprocedimento acima.Segunda opção:Selecionar o produto Aker desejado;© Aker Security Solutions 65

Figura 33. Acessando o Aker Firewall.Clicar com o mouse no botão de “Atualizações” localizados do canto inferior direitoda tela da Control Center e escolher uma das duas opções: “Atualizações parainstalar” ou “Atualizações para baixar”.© Aker Security Solutions 66

Figura 34. Acessando as janelas do Aker Update System.Terceira opçãoSelecionar o produto Aker desejado;© Aker Security Solutions 67

Figura 35. Acessando o Aker Firewall.Clicar no ícone “Ajuda” e escolher uma das três opções:“Configuração de Atualização Automática”: as atualizações serão realizadasconstantemente conforme tempo estipulado;“Janelas de Atualizações”: tem a opção de abrir as “Janelas de Download” ou“Janelas de Instalação”.“Realizar a busca por atualizações”:© Aker Security Solutions 68

Figura 36. Acessando as janelas do Aker Update System.3.13. DNS ReversoDNS reverso é utilizado para resolver nomes de máquinas a partir de endereços IP.A janela de resolução de DNS reverso do Aker Firewall serve para prover resoluçãode endereços sem a necessidade de utilização de programas adicionais.Para ter acesso a janela de resolução de DNS reverso, deve-se:© Aker Security Solutions 69

Figura 37. Janela de DNS reverso.Clicar no menu Ferramentas da janela de administração do firewall.Selecionar o item DNS Reverso.© Aker Security Solutions 70

A janela de resolução de DNS reversoFigura 38. DNS reverso.Esta janela consiste de um campo para digitar o endereço IP que deseja resolver euma lista com os endereços IP já resolvidos anteriormente.O botão OK fará com que a janela seja fechada.A opção Mostrar todos se estiver marcada, fará com que sejam mostradostodos os endereços já resolvidos na lista na parte inferior da janela.Para resolver um endereço, deve-se digitá-lo no campo e pressionar o botão DNSReverso. Neste momento o endereço será mostrado na lista na parte inferior dajanela, junto com o status da resolução. Após algum tempo, será mostrado o nomeda máquina correspondente ao endereço ou uma indicação de que o endereçoinformado não possui DNS reverso configurado.3.14. Simulação de Regras de FiltragemAs varreduras de regras permitem ao administrador testar a configuração das regrasde filtragem do firewall através de uma simulação de tentativas de conexões. Aoanalisar o resultado desta simulação, é possível verificar se o firewall está realmentebloqueando as conexões que não devem ser aceitas e permitindo a passagem dasque devem.© Aker Security Solutions 71

Para ter acesso a janela de varreduras, deve-se:Figura 39. Janela de acesso a Simulação de Regras de Filtragem.Clicar no menu Ferramentas da janela de administração do firewall.Selecionar o item Simulação de regras de filtragem.A janela de varredura de regrasÉ possível alternar entre a varredura por endereços IP ou por entidades. Avarredura por entidades é útil quando já tem cadastradas no sistema todas asmáquinas, redes e serviços que serão utilizados. A varredura por IP é mais indicadaquando deseja utilizar máquinas, redes ou serviços que não estão cadastrados eque não deseja cadastrar (por exemplo, máquinas externas que não serão utilizadasem nenhuma regra de filtragem).É possível selecionar para origem, destino e serviços, independentemente, sedevem ser utilizadas entidades ou não. Para alternar entre os dois modos deoperação basta clicar nos ícones correspondentes à esquerda de cada um destescampos.© Aker Security Solutions 72

Varredura por IPQuando a opção Varrer por IP estiver selecionada, a janela de varreduras terá oseguinte formato:Figura 40. Simluação de Regras de Filtragem (origem do pacote, destino, data, hora e máscaras).Os campos IP e Máscara, dentro de Origem do Pacote, permitem especificar a faixade máquinas a serem utilizadas como origem das conexões simuladas. Os camposIP e Máscara, dentro de Destino do Pacote especificam a faixa de máquinas aserem utilizadas como destino.O campo Serviço permite especificar o protocolo e a faixa de portas a seremsimuladas.No caso dos protocolos TCP e UDP, os valores dos serviços são as portasdestino; no caso do ICMP são o tipo de serviço e no caso de outros protocolos ovalor do protocolo.O campo Dia/Hora permite que o administrador teste as regras para umadeterminada hora e dia da semana.© Aker Security Solutions 73

Varredura por EntidadesQuando a opção Varrer por Entidades estiver selecionada, a janela de varredurasterá o seguinte formato:Figura 41. Simluação de Regras de Filtragem (origem do pacote, destino, data, hora e entidade).O campo Origem do pacote permite especificar a entidade que será usada naorigem das conexões simuladas.O campo Destino do pacote especifica para qual entidade as conexões simuladasdevem se dirigir.O campo Serviço permite especificar o protocolo e a faixa de portas a seremsimuladas, através de uma entidade.O campo Dia/Hora permite que o administrador teste as regras para umadeterminada hora e dia da semana.Só é possível selecionar uma entidade como origem, uma como destino e umserviço.© Aker Security Solutions 74

3.15. RelatóriosEsta opção possibilita que o administrador imprima um relatório de toda (ou departe) da configuração do firewall de forma fácil e rápida. Este relatório é bastanteútil para fins de documentação ou de análise da configuração.Para ter acesso a janela de relatórios basta:Clicar no firewall para o qual se deseja gerar o relatório.Selecionar a opção Ações na barra de ferramentas do firewall.A janela RelatórioFigura 42. Relatório de configuração do firewall.Esta janela consiste de várias opções distintas, uma para cada parte daconfiguração do firewall, que podem ser selecionadas independentemente. Paragerar um relatório, deve-se proceder da seguinte forma:1. Marcar os itens que se deseja imprimir.2. Clicar no botão Procurar e escolha o diretório onde irão ser armazenadas aspáginas html.3. Abrir o diretório e selecionar o arquivo html para imprimir seu relatório.Caso queira cancelar a emissão do relatório, basta clicar no botão Cancelar.3.16. Busca de EntidadesEsta opção permite que localize entidades que contenham um determinadoendereço IP, interface ou serviço, bem como regras que contenham umadeterminada entidade.© Aker Security Solutions 75

Para ter acesso à janela de localização de entidades deve-se:Figura 43. Janela de acesso a Busca de Entidades.Clicar no menu Ferramentas da janela de administração do firewall.Selecionar o item Busca de entidade.A janela de localização de entidadesEsta janela consiste de três abas onde cada uma é responsável por um tipo depesquisa diferente:© Aker Security Solutions 76

Aba EntidadeFigura 44. Busca de Entidades (procura de entidade com IP ou nome e últimos resultados).Esta aba permite localizar entidades pelo endereço IP informado ou pelo seu nome.Procurar: inicia a busca a partir dos dados informados.Fechar: fecha a janela de localização de entidades.Ao clicar duas vezes sobre o nome de uma entidade ou regra, mostrada comoresultado da pesquisa, a janela de edição correspondente será aberta,possibilitando que se edite seus valores rapidamente.© Aker Security Solutions 77

Aba ServiçoFigura 45. Busca de Entidades (Serviços, protocolo e últimos resultados).Esta aba permite localizar entidades do tipo serviço que contenham o protocolo e oserviço especificados.Procurar: inicia a busca a partir dos dados informados.Fechar: fecha a janela de localização de entidades.Ao clicar duas vezes sobre o nome de uma entidade ou regra, mostrada comoresultado da pesquisa, a janela de edição correspondente será aberta,possibilitando que se edite seus valores rapidamente.© Aker Security Solutions 78

Aba RegrasFigura 46. Busca de Entidades (Regras, entidades e últimos resultados).Esta aba permite localizar a regra que a entidade pertence.Procurar: Este campo permite inicializar a busca a partir dos dados informados.Fechar: Este campo permite fechar a janela de localização de entidades.Nesta aba serão carregadas apenas as entidades do tipo Máquina, Rede, Conjuntoe Serviço.Entidade: Ao selecionar uma entidade, uma busca será realizada retornando onúmero da regra a qual a entidade pertence. As regras podem ser: Regras VPN,Regras de NAT, Regras de filtragem ou Regras de Filtragem dentro dos Perfis,se a entidade procurada for do tipo Rede ou Máquina é iniciada uma busca parasaber se ela está presente em alguma entidade do tipo Conjunto. Caso esteja, asregras que contém essa entidade Conjunto e os tipos relacionados a ela, serãomostradas e impressas no resultado da busca, e conseqüentemente, as regrasque contiverem estes conjuntos também serão mostradas.Ao clicar duas vezes sobre uma entidade ou regra, mostrada como resultado dapesquisa (Entidades de Conjunto, Regras de Filtragem, Regras de NAT, Regra VPNe Perfil) a janela de edição correspondente será aberta, possibilitando editar os seusvalores rapidamente.© Aker Security Solutions 79

3.17. Janela de AlarmesEsta opção permite visualizar os alarmes gerados pelo firewall, quando esta opçãoestiver marcada nas regras de filtragem ou na janela de ações.Para ter acesso à janela de alarmes deve-se:Figura 47. Janela de acesso à Janela de Alarmes.Clicar no menu Ferramentas da janela de administração do firewall.Selecionar o item Janela de alarmes.© Aker Security Solutions 80

A janela de alarmesFigura 48. Janela de Alarmes (Descrição).Esta janela consiste de um campo de descrição com as entradas correspondentes aação executada pela regra de filtragem.O botão Fechar fará com que a janela seja fechada.A opção Não mostrar essa janela automaticamente, se estiver marcada, farácom que a janela não seja mostrada automaticamente quando ocorrer umevento.O botão Salvar grava as entradas em um arquivo de log do tipo texto.O botão Apagar limpa todas as entradas contidas na janela.3.18. Visualizando a rede graficamenteO firewall dispõe de um prático sistema para visualizar a rede onde ele se insere deforma gráfica. Para ter acesso à janela de visualização gráfica da rede, deve-se:© Aker Security Solutions 81

Figura 49. Janela de acesso: Mapa da Rede.Clicar no menu Informação da janela de administração do firewall.Selecionar o item Mapa de Rede.A janela a seguir aparecerá:© Aker Security Solutions 82

Figura 50. Mapa da Rede.O primeiro item representa o firewall, conectado as suas interfaces de rede. A cadainterface, conectam-se uma ou mais redes e roteadores, que se conectam a maisredes distantes. Clicando em uma rede com o botão direito do mouse, aparecerá ummenu listando as entidades que fazem parte da mesma, possibilitando ao usuárioeditá-las.© Aker Security Solutions 83

3.19. Visualizando estatísticas do sistemaA janela de estatísticas do sistema possui informações sobre uso do processador euso de memória do sistema. Para ter acesso à essa janela, deve-se:Figura 51. Janela de acesso: Estatísticas do Sistema.Clicar no menu Informação da janela de administração do firewall.Selecionar o item Estatísticas do Sistema.A janela a seguir aparecerá:© Aker Security Solutions 84

Figura 52. Estatísticas do Sitema.Na parte superior da janela são mostradas as informações de uso do CPU. Essasinformações estão dividas em três partes: porcentagem ociosa, porcentagemdedicada ao sistema e porcentagem sendo usada por programas iniciados pelousuário. A parte inferior da janela mostra a situação da memória do sistema emMegabytes. Também está divida em três partes: quantidade de memória livre,quantidade de memória sendo usada e quantidade de memória armazenandoinformações em forma de cache.A quantidade de memória não afeta de forma significativa a performance dofirewall. Entretanto, pode ocorrer queda de desempenho se o sistema possuir áreade memória swap e estiver fazendo muito uso dessa, o que irá afetar apenas osproxies.© Aker Security Solutions 85

É importante observar que a memória cache não é considerada memória usada. Elaé acessada apenas quando o sistema precisa reabrir um programa. Caso esseprograma ainda esteja em cache, a reabertura será mais rápida. Porém, se o sistemaprecisar de uma quantidade maior de memória livre, a área usada para cache éliberada.3.20. Utilizando a janela de Sniffer de PacotesA janela de Sniffer do Aker Firewall permite ao administrador capturar pacotes deuma ou mais conexões que estiverem trafegando pelo firewall. A grande vantagemdeste sniffer em relação à utilização de um tradicional é que é possível capturarpacotes em vários pontos distintos dentro de uma interface: é possível ver ospacotes como eles são recebidos (i.e., cifrados e com endereços convertidos) ouexatamente antes ou depois da filtragem, o que faz com que sejam mostrados emclaro e com os endereços reais.Para ter acesso à janela de sniffer deve-se:Figura 53. Acesso a janela: Sniffer de Pacotes.© Aker Security Solutions 86

Clicar no menu Ferramentas da janela de administração do firewall.Selecionar o item Sniffer de Pacotes.A janela de Sniffer de PacotesFigura 54. Sniffer de Pacotes – Sniffer 1.Esta janela consiste de várias abas. Cada uma das abas permite a captura detráfego em uma interface distinta ou em pontos diferentes de uma mesma interface.Para criar novas abas com sniffer deve-se clicar na última aba onde aparece o textoNovo sniffer.Para iniciar a captura, deve-se preencher os seguintes campos:Onde capturar: Definir o ponto onde a captura deve ser realizada. As seguintesopções estão disponíveis:Interface física: Definir que a captura deve ser feita exatamente como os pacotessão recebidos pelo firewallAntes da filtragem: Definir que os pacotes devem ser capturados imediatamenteantes de serem filtrados, i.e., após serem decriptados e terem seus endereçosconvertidos, se for o caso.Após filtragem: Definir que a captura será feita apenas dos pacotes que passarempela filtragem e eles serão vistos decriptados e com seus endereços convertidos, sefor o caso.Interface física: Definir qual a interface que será utilizada para capturar os pacotes© Aker Security Solutions 87

Filtro: Este campo serve para definir o filtro que será utilizado na captura dospacotes. O objetivo deste filtro é limitar os pacotes recebidos somente ao queinteressa. Caso ele esteja em branco todos os pacotes serão capturados. A sintaxedo filtro é a mesma usada no popular programa tcpdump e todas suas opções sãosuportadas. Um resumo das principais opções que podem ser utilizadas no filtro é:dirIndica a direção em que a transferência ocorrerá, para e/ou do identificador. Asdireções possíveis são src, dst, src or dst e src and dst.Exemplos:``src foo''``dst net 128.3''''src or dst port ftp-data''protoQualificador restrito a estipular um tipo particular de protocolo. As opções existentesde protocolo são:ether, ip, arp, rarp, tcp e udp.Exemplos:``ether src foo''``arp net 128.3''``tcp port 21''Se não estipulado, todos os protocolos existentes em opção serão assumidos.port portCaptura pacotes com a porta de origem ou de destino do pacote igual a port. Todasas expressões de porta podem ser precedidas de tcp ou udp, assim:tcp src port portCapturar apenas pacotes tcp com porta de origem port.O botão Travar seleção se estiver selecionado faz com que o pacote selecionadofique sempre visível na janela de captura.O botão Iniciar captura inicia a captura de pacotes, porém envia o resultadoapenas para a janela.O botão Capturar em arquivo inicia a captura de pacotes e grava os dados noarquivo especificado. Este arquivo pode posteriormente ser aberto pela maioria dosSniffers tradicionais disponíveis no mercado.O botão OK encerra a captura e fecha a janela. Caso tenha capturado para umarquivo, ele estará disponível.© Aker Security Solutions 88

3.21. Visualizando o Estado dos Agentes ExternosA janela de estado dos agentes externos é puramente informativa e serve paraindicar ao administrador o estado dos Agentes Externos. Isso é muito útil quando sequer configurar um novo agente externo ou para detectar a ocorrência de possíveisproblemas.Para ter acesso à janela de estado dos agentes externos deve-se:Figura 55. Janela de acesso: Agentes Externos.Clicar no menu Informação da janela de administração do firewall.Selecionar o item Agentes Externos.© Aker Security Solutions 89

A janela de agentes externosFigura 56. Agentes Externos (nome, tipo e status).Esta janela consiste de uma lista com o nome de todos os agentes extenos ativosque sejam um dos seguintes tipos: Agentes de Antivírus, Agentes IDS,Analisadores de URL, Autenticadores (Usuário/Senha, Token, RADIUS e LDAP),Servidores de Log e SpamMeter.Para cada agente listado serão mostradas as seguintes informações:Nome: Nome da entidade do nome do agente externo.Tipo: Tipo do agente externo.Status: Informa o estado atual da conexão com o agente externo. Os seguintesestados podem ser mostrados nesta coluna:Estado indefinido: Ainda não existem informações disponíveis sobre o estadodeste agente.Conectado ao principal: O firewall conectou-se com sucesso ao IP principal doagente externo.Conectado ao primeiro backup: O firewall conectou-se com sucesso ao IP do1º backup do agente externo. Por alguma razão ele não conseguiu inicialmenteconectar-se ao principalConectado ao segundo backup: O firewall conectou-se com sucesso ao IP do2º backup do agente externo. Por alguma razão ele não conseguiu inicialmenteconectar-se ao principal nem ao 1º backup.Erro de conexão: Existe um problema de comunicação com o agente externo.Verifique os eventos para maiores informações.© Aker Security Solutions 90

Erro interno: Não foi possível conectar-se ao agente externo por um problemainterno. Verifique os eventos para maiores informações.Vírus não detectado: Este estado só aparece nos agentes de antivírus e indicaque embora o firewall tenha conseguido se conectar corretamente ao agente, elenão foi capaz de detectar o vírus de teste que o firewall enviou. Verifique aconfiguração do antivírus.IP do servidor: Endereço(s) IP(s) do agente externo no qual(is) o firewall estáconectado.Para os servidores de log, além dos estados Conectado ou Erro, haverá mais umestado: parcialmente conectado, que ocorrerá quando mais de um servidor estiverdisponível (primeiro e segundo backup) porém o agente não está conectado a todoseles.3.22. Utilizando o verificador de configuraçãoO Verificador de Configuração é uma janela que será mostrada sempre que ofirewall for iniciado e suas configurações iniciais ainda não estiverem completas. Eleserve para chamar de forma simples os assistentes que realizam cada uma dasetapas principais de configuração do produto.É possível também a qualquer momento chamar o Verificador de Configuração.Para isso deve-se executar a seguinte seqüência de passos:© Aker Security Solutions 91

Figura 57. Janela de acesso: Verificador de Configuração.Clicar no menu Ferramentas da janela de administração do firewall.Selecionar o item Verificador de Configuração.A janela do verificador de configuração© Aker Security Solutions 92

Figura 58. Verificador de Configuração (Regras de Filtragem, Conversão de endereço de rede (NAT),Autenticação, Filtro web e Rede privada virtual (VPN).Esta janela consiste de 5 grupos de configurações distintas. Cada um dos grupos émostrado em azul, caso sua configuração já tenha sido realizada ou em laranja casonão tenha sido realizada. Em cada um dos grupos é possível clicar no linkassistente para invocar a execução do assistente responsável pela configuração dogrupo. No caso em que alguma configuração não venha a ser realizada nunca (porexemplo, no caso de um firewall que não realizará VPN) é possível desabilitar achecagem desta configuração marcando a caixa Parar a checagem automáticadas configurações do grupo desejado.O botão Aplicar salvará as opções de checagem e manterá a janela aberta.O botão OK fará com que a janela seja fechada e as alterações salvas.© Aker Security Solutions 93

O botão Cancelar fechará a janela e descartará as modificações efetuadas.Recomenda-se que a configuração seja feita na ordem em que os grupos seencontram de cima para baixo.3.23. Ferramentas de DiagnósticoO Aker Firewall realizará testes básicos de conectividade:Ping na rota padrão;Ping em lugares conhecidos (Ex. DNS da Google);Testes de DNS;Teste de HTTP;Comando traceroute;Comando Netstat;Comando Nslookup.Será retornado ao usuário o status do acesso à Internet.Figura 59. Janela de Diagnosticos.© Aker Security Solutions 94

Administrando usuários doFirewall© Aker Security Solutions 95

4. Administrando usuários do FirewallEste capítulo mostra-rá como criar os usuários que irão administrar remotamente oAker Firewall.O que são usuários do Aker Firewall?Para que alguma pessoa consiga administrar remotamente o Aker Firewall é precisoser reconhecida e validada pelo sistema. Esta validação é feita na forma de senhas,assim, para que ela seja possível, cada um dos administradores deverá serpreviamente cadastrado com um login e uma senha.Além disso, o Aker Firewall permite a existência de vários administradores distintos,cada um responsável por uma determinada tarefa da administração. Isso, além defacilitar a administração, permite um maior controle e uma maior segurança. É nocadastro de usuários que define as atribuições de cada um dos administradores.4.1. Utilizando a interface gráficaPara ter acesso à janela de administração de usuários, na interface remota deve-se:Figura 60. Acesso a janela de Usuários Administrativos.© Aker Security Solutions 96

Clicar em Configurações do Sistema da janela do firewall que quer administrar.Selecionar o item Usuários Administrativos.Esta opção só estará habilitada se o usuário que estiver com a sessão aberta nainterface remota, tiver autoridade para gerenciar usuários. Isso será comentado emdetalhes no próximo tópico.A janela de Usuários AdministrativosAba usuários internosFigura 61. Janela de Usuários administrativos (Usuários internos).© Aker Security Solutions 97

Esta janela consiste de uma lista de todos os usuários atualmente definidos paraacesso à administração do firewall, além de um segredo compartilhado (ou senha),para administração centralizada pelo Aker Configuration Manager. Não havendo osegredo compartilhado, a configuração será apenas efetuada pelos usuárioscadastrados.Para cada usuário é mostrado seu login, seu nome completo e suas permissões.O botão OK fará com que a janela de administração de usuários seja fechada eas modificações salvas.O botão Aplicar fará com que as alterações realizadas sobre um determinadousuário sejam aplicadas, isto é, realizadas permanentemente, sem fechar ajanela.O botão Cancelar fechará a janela de administração de usuários e descartarátodas as alterações efetuadas.Quando um usuário for selecionado, os seus atributos completos serãomostrados nos campos Permissões.Para alterar os atributos de um usuário, deve-se proceder da seguinte forma:1. Selecionar o usuário a ser alterado clicando sobre seu nome com o botãoesquerdo do mouse. Neste momento serão mostrados os seus atributos noscampos após a listagem de usuários.2. Alterar o valor dos atributos desejados e clicar no botão Aplicar ou no botão OK.A partir deste momento as alterações serão efetivadas.Para incluir um usuário na lista, deve-se proceder da seguinte forma:1. Clicar com o botão direito do mouse em qualquer lugar da área reservada paramostrar a lista (aparecerá o botão Inserir) e selecionar a opção Incluir no menupop-up ou clicar no ícone que representa a inclusão na barra deferramentas.2. Preenche os campos do usuário a ser incluído e clicar no botão Aplicar ou nobotão OK.Para remover um usuário da lista, deve-se proceder da seguinte forma:1. Selecionar o usuário a ser removido, clicando sobre seu nome com o botãoesquerdo do mouse e clicar no ícone que representa a remoção na barra deferramentas, ou clicar com o botão direito do mouse sobre o nome do usuário aser removido e selecionar a opção Excluir no menu pop-up.Significado dos atributos de um usuárioLogin© Aker Security Solutions 98

É a identificação do usuário para o firewall. Não podem existir dois usuários com omesmo login. Este login será pedido ao administrador do firewall quando este forestabelecer uma sessão de administração remota.O login deve ter entre 1 e 14 caracteres. Não há diferenças entre letras maiúsculase minúsculas neste campo.NomeEste campo contém o nome completo do usuário associado ao login. Os seusobjetivos são de informação, não sendo usado para qualquer validação.Este nome deve ser um conjunto de caracteres de comprimento entre 0 e 40.SenhaEste campo será usado em conjunto com o campo login para identificar um usuárioperante o Aker Firewall. Ao digitar a senha, serão mostrados na tela asteriscos "*"ao invés das letras.O campo senha deve ter no máximo 14 caracteres. Seu tamanho mínimo éconfigurável por meio da janela de parâmetros da interface (para maioresinformações veja o tópico Utilizando a interface remota). Neste campo, letrasmaiúsculas e minúsculas são consideradas diferentes.É extremamente importante que as senhas usadas tenham um comprimentogrande, o mais próximo possível do limite de 14 caracteres. Além disso, deve-sesempre utilizar uma combinação de letras minúsculas, maiúsculas, números ecaracteres especiais nas senhas (caracteres especiais são aqueles encontrados noteclado dos computadores e que não são números nem letras: "$","&",”]", etc).Nunca use como senhas palavras em qualquer idioma ou apenas números.ConfirmaçãoEste campo serve para confirmar a senha digitada no campo anterior, uma vez queesta aparece como asteriscos.PermissõesEste campo define o que um usuário pode fazer dentro do Aker Firewall. Eleconsiste de três opções que podem ser marcadas independentemente.O objetivo destas permissões é possibilitar a criação de uma administraçãodescentralizada para o firewall. É possível, por exemplo, numa empresa que possuavários departamentos e vários firewalls, deixar um administrador responsável pelaconfiguração de cada um dos firewalls e um responsável central com a tarefa desupervisionar a administração. Este supervisor seria a única pessoa capaz deapagar e alterar a configuração de log e eventos dos firewalls. Desta forma, apesarde cada departamento ter autonomia de administração é possível ter um controle© Aker Security Solutions 99

central do que cada administrador alterou na configuração e quando ele realizoucada alteração. Isto é um recurso muito importante para realizar auditorias internas,além de aumentar a segurança da administração.Caso um usuário não possua nenhum atributo de autoridade, então, esse terápermissão apenas para visualizar a configuração do firewall e compactar osarquivos de log e de eventos.Configuração do FirewallSe esta permissão estiver marcada, o usuário em questão poderá administrar ofirewall, isto é, alterar a configuração das entidades, regras de filtragem, conversãode endereços, criptografia, proxies e parâmetros de configuração que não estejamrelacionados ao log.Configurar LogSe esta opção estiver marcada, o usuário em questão terá poderes para alterar osparâmetros relacionados ao log (como por exemplo, tempo de permanência do log),alterar a configuração da janela de ações (tanto as mensagens quanto osparâmetros) e apagar permanentemente o log e os eventos.Administrar UsuáriosSe esta opção estiver marcada, o usuário em questão terá acesso à janela deadministração de usuários, podendo incluir, editar e excluir outros usuários.Um usuário que possuir esta autoridade somente poderá criar, editar ou excluirusuários com autoridades iguais ou menores às que ele possuir (por exemplo, seum usuário tiver poderes de gerenciar usuários e configurar log, então ele poderácriar usuários que não possuam nenhuma autoridade, que somente possamconfigurar o log, que somente possam criar novos usuários ou que possamgerenciar usuários e configurar log. Ele não poderá nunca criar, nem editar ouexcluir, um usuário que possa configurar o firewall).Permite conexão do Configuration ManagerEssa opção permite habilitar/desabilitar acessos ao Aker Firewall pelo ConfigurationManager. Ao habilitar conexões deve-se informar a senha que será comum aofirewall e o gerenciador (shared secret).© Aker Security Solutions 100

Aba Agentes ExternosFigura 62. Usuários Administrativos (configuração dos agentes externos).Esta aba consiste na configuração dos agentes externos que serão utilizados para aautenticação dos usuários que administram o firewall, definindo assim regras deautenticação para o acesso destes.Habilitar autenticação via agentes externosAo selecionar essa opção permite a autenticação dos usuários, por meio dosagentes externos que estão cadastrados no firewall. Permite definir o autenticadorexterno, qual o usuário/grupo que ele pertence, quais as suas permissões deacesso e a definição das entidades que o usuário utilizará para conectar ao firewall.AutenticadorAo clicar com o botão direito em cima da opção autenticador, poderá selecionar umautenticador (agente externo) habilitados na Janela autenticação aba Métodos. Esse© Aker Security Solutions 101

autenticador será responsável por intermediar o processo de autenticação dainterface com o firewall.Usuário/GrupoOs usuários e os grupos estarão relacionados ao autenticador escolhido. Pode-seassociar um usuário somente ou um grupo deles.PermissõesEste campo define o que um usuário pode fazer dentro do Aker Firewall. Eleconsiste de três opções que podem ser marcadas independentemente.O objetivo destas permissões é possibilitar a criação de uma administraçãodescentralizada para o firewall. É possível, por exemplo, numa empresa que possuavários departamentos e vários firewalls, deixar um administrador responsável pelaconfiguração de cada um dos firewalls e um responsável central com a tarefa desupervisionar a administração. Este supervisor seria a única pessoa capaz deapagar e alterar a configuração de log e eventos dos firewalls. Desta forma, apesarde cada departamento ter autonomia de administração é possível ter um controlecentral do que cada administrador alterou na configuração e quando ele realizoucada alteração. Isto é um recurso muito importante para realizar auditorias internas,além de aumentar a segurança da administração.EntidadesAs Entidades são representações de objetos do mundo real para o Aker Firewall.Através delas, podem-se representar máquinas, redes, serviços a seremdisponibilizados, entre outros. Nessa opção permite definir de qual entidade ousuário se conectará ao firewall.Servidor FingerprintÉ um resumo da identificação do certificado digital do Firewall. Essa opçãopossibilita ao usuário identificar quando tem uma mudança do firewall que secostuma conectar.© Aker Security Solutions 102

Aba Autenticação X509Figura 63. Usuários Administrativos (método de autenticação com certigficação digital X509).Essa aba consiste no método de autenticação com certificação digital X509. OCertificado Digital pode ser considerado como a versão eletrônica (digital) de umacédula de identidade, associa uma chave pública com a identidade real de umindivíduo, de um sistema servidor, ou de alguma outra entidade. Um certificadodigital normalmente é usado para ligar uma entidade a uma chave pública. Paragarantir a integridade das informações contidas neste arquivo ele é assinadodigitalmente, no caso de uma Infra-estrutura de Chaves Públicas (ICP), o certificadoé assinado pela Autoridade Certificadora (AC) que o emitiu e no caso de um modelode Teia de Confiança (Web of trust) como o PGP o certificado é assinado pelaprópria entidade e assinado por outros que dizem confiar naquela entidade. Emambos os casos as assinaturas contidas em um certificado são atestamentos feitospor uma entidade que diz confiar nos dados contidos naquele certificado.Um certificado normalmente inclui:© Aker Security Solutions 103

Informações referentes a entidade para o qual o certificado foi emitido (nome,email, CPF/CNPJ, PIS etc.);A chave pública referente a chave privada de posse da entidade especificadanocertificado;O período de validade;A localização do "centro de revogação" (uma URL para download da CRL, oulocal para uma consulta OCSP;A(s) assinatura(s) da(s) AC/entidade(s) que afirma que a chave públicacontida naquele certificado confere com as informações contidas no mesmoUm certificado padrão X.509 é outro formato de certificado muito comum. Todos oscertificados X.509 obedecem ao padrão internacional ITU-T X.509; assim(teoricamente) certificados X.509 criados para uma aplicação podem ser usados porqualquer aplicação que obedece X.509.Um certificado exige alguém para validar que uma chave pública e o nome do donoda chave vão juntos. Com certificados de PGP, qualquer um pode representar opapel de validador. Com certificados X.509, o validador é sempre uma Autoridadede Certificação ou alguém designado por uma CA.Um certificado X.509 é uma coleção de um conjunto padrão de campos contendoinformações sobre um usuário ou dispositivo e sua correspondente chave pública. Opadrão X.509 define qual informação vai no certificado, e descreve como codificaristo (o formato dos dados). Todos os certificados X.509 têm os seguintes dados:O número da versão do X.509 que identifica qual o padrão é aplicado na versão doX.509 para este certificado, o que afeta e qual informação pode ser especificadaneste.A chave pública do possuidor do certificado junto com um algoritmo de identificação,especifica qual sistema de criptografia pertence a chave e quaisquer parâmetrosassociados.Abaixo, seguem os campos que contém na aba:Habilitar autenticação X.509:Ao selecionar essa opção permite habilitar a autenticação do usuário via certificadodigital x.509.CN do certificado do firewall:Nessa opção mostra qual certificado o Firewall está utilizando na sua autenticação.© Aker Security Solutions 104

Importa Certificado:Ao clicar nesse ícone, permite a inclusão de um novo certificado, ou seja carrega-seo certificado cadastrado no arquivo e incluindo-o no firewall.Exporta Certificado: Gravam os dados do certificado, para transportá-lo para umafutura aplicação desse certificado. Tira uma cópia do certificado.Remove Certificado: Ao clicar nesse ícone, permite a remoção do certificado quefoi incluído. Com isso o Aker Firewall fica sem nenhum certificado.Mostra detalhes dos certificados: Mostra todas as informações contidas nocertificado habilitado.Autoridade Certificadora:A autoridade certificadora (CA - certificate authority) deve garantir ao usuário,através da assinatura de seus certificados, que tais entidades são realmente quemdizem ser. Então, a CA tem um papel básico de garantir a correspondência entre aidentidade e a chave pública de uma determinada entidade, sabendo que tal chavepública corresponde a uma chave privada que permanece sob guarda exclusivadessa entidade.Para tanto, a CA deve ser capaz de realizar todos os processos de emissão decertificados, verificação de validade, armazenamento, publicação ou acesso on-line,revogação e arquivamento para verificação futura.Em conseqüência, uma autoridade certificadora constitui-se de um sistemacomputacional completo, com capacidade de comunicação processamento earmazenamento. Além disso, tanto as comunicações envolvendo esse sistema,assim como o próprio sistema, devem ser também protegidos e a própria identidadedo sistema deve ser garantida, necessidades esta que são atendidas por intermédioda publicação de uma chave pública pertencente à própria autoridade certificadora.Como tal chave deve também ser garantida com um certificado digital, então, emgeral, uma autoridade certificadora deposita sua chave pública junto aoutra autoridade certificadora, formando uma estrutura de certificação onde algumasCA funcionam como autoridades certificadoras para outras CAs.Essa opção permite selecionar uma autoridade a qual o usuário está vinculado.© Aker Security Solutions 105

Pseudo GroupCorresponde aos grupos de certificados, relacionados a autoridade certificadoraselecionada na opção acima. Este campo não é editável.PermissõesEsse campo das permissões é editável, podendo, para cada CA selecionadarelacionar as permissões para cada grupo.Nessa opção, uma vez escolhida uma Autoridade Certificadora e definidos osníveis/permissões de acesso para cada grupo, ao trocar de CA todas as permissõesrelacionadas a outra CA serão perdidos.4.2. Utilizando a interface textoAlém da interface gráfica de administração de usuários, existe uma interface localorientada à caracteres que possui praticamente as mesmas capacidades dainterface gráfica. A única função não disponível é a de alteração das permissõesdos usuários. Essa interface texto, ao contrário da maioria das demais interfacesorientadas a caracteres do Firewall Aker, é interativa e não recebe parâmetros dalinha de comando.Localização do programa: /etc/firewall/fwadminAo ser executado, o programa mostrará a seguinte tela:© Aker Security Solutions 106

Figura 64. Execução do programa utilizando a interface texto.Para executar qualquer uma das opções mostradas, basta digitar a letra mostradaem negrito. Cada uma das opções será mostrada abaixo, em detalhes:Inclui um novo usuárioEsta opção permite a inclusão de um novo usuário que poderá administrar o AkerFirewall remotamente. Ao ser selecionada, será mostrada uma tela pedindo asdiversas informações do usuário. Após todas as informações serem preenchidasserá pedida uma confirmação para a inclusão do usuário.© Aker Security Solutions 107

Figura 65. Execução do programa para inclusão de usuários como administrados do Aker Firewall.Observações importantes:1. Nos campos onde aparecem as opções (S/N), deve-se digitar apenas S, para sim eN para não.2. A senha e a confirmação das senhas não serão mostradas na tela.Remove um usuário existenteEsta opção, remove um usuário existente que esteja cadastrado no sistema. Serápedido o login do usuário a ser removido caso o usuário esteja cadastrado, serápedida a seguir uma confirmação para realizar a operação.© Aker Security Solutions 108

Figura 66. Execução do programa para a exclusão de usuários.Para prosseguir com a remoção, deve-se digitar S, caso contrário digita-se N.Altera senha de um usuárioEsta opção permite alterar a senha de um usuário já cadastrado no sistema. Serápedido o login do usuário e caso este exista, serão pedidas a nova senha e aconfirmação desta nova senha (conforme já comentado anteriormente, a senha e aconfirmação não serão mostradas na tela).© Aker Security Solutions 109

Figura 67. Execução do programa para a alteração de senha do usuário.Lista usuários cadastradosEsta opção mostra uma lista com o nome e as permissões de todos os usuáriosautorizados a administrar remotamente o firewall. Um exemplo de uma possívellistagem de usuários é a seguinte:© Aker Security Solutions 110

Figura 68. Execução do programa para exibir a listagem de usuários e permissões.O campo permissões consiste de 3 possíveis valores: CF, CL, e GU, quecorrespondem respectivamente às permissões de: Configura Firewall, Configura Loge Gerencia Usuários. Se um usuário possuir uma permissão, ela será mostrada como código acima, caso contrário será mostrado o valor --, indicando que o usuário nãoa possui.Compacta arquivo de usuários© Aker Security Solutions 111

Figura 69. Execução do programa para exibir a compactação do arquivo de usuários.Esta opção não está presente na interface gráfica e não possui uso freqüente. Elaserve para compactar o arquivo de usuários, removendo entradas não mais usadas.Ele somente deve ser usado quando for removido um grande número de usuáriosdo sistema.Ao ser selecionada, o arquivo será compactado e ao final será mostrada umamensagem indicando que a operação foi completada (a compactação do arquivocostuma ser uma operação bastante rápida, durando poucos segundos).Edita as opções do Configuration ManagerEsta opção permite alterar as configurações do Aker Configuration Manager. Épossível habilitar/desabilitar acessos ao Aker Firewall pelo Configuration Manager emodificar a shared secret. Se o acesso ao firewall não estiver habilitado, serámostrada uma tela pedindo a criação da shared secret. É necessário preencher asenha e sua confirmação, onde as mesmas não serão exibidas na tela.© Aker Security Solutions 112

Figura 70. Edição das configurações do Aker Configuration Manager.Se o acesso ao firewall já estiver habilitado, serão mostradas novas opções deconfiguração:Figura 71. Edição das configurações do Aker Configuration Manager (Firewall habilitado).© Aker Security Solutions 113

Desabilita acesso pelo Configuration ManagerAo selecionar essa opção não será mais possível acessar o Aker Firewall peloConfiguration Manager até que o usuário habilite o acesso novamente.Modifica shared secret do Configuration ManagerPermite alterar a shared secret. É necessário entrar com a nova senha e com a suaconfirmação, onde as mesmas não serão exibidas na tela.Figura 72. Edição das configurações do Aker Configuration Manager (desabilita, modifica ou retorna).Sai do fwadminEsta opção encerra o programa fwadmin e retorna para a linha de comando.© Aker Security Solutions 114

Configurando Parâmetros doSistema© Aker Security Solutions 115

5. Configurando os parâmetros do sistemaEste capítulo mostrará como configurar as variáveis que irão influenciar nosresultados de todo o sistema. Estes parâmetros de configuração atuam em aspectoscomo a segurança, log do sistema e tempos de inatividade das conexões.5.1. Utilizando a interface gráficaPara ter acesso a janela de configuração de parâmetros deve-se:Figura 73. Acesso aos dispositovos remostos (Parametros de configuração).Clicar no menu Configurações do Sistema da janela do firewall que quer administrar;Selecionar o item Parâmetros de Configuração.A janela de Parâmetros de configuração© Aker Security Solutions 116

O botão OK fará com que a janela de configuração de parâmetros seja fechada e asalterações que foram efetuadas sejam aplicadas.O botão Cancelar fará com que a janela seja fechada, porém as alteraçõesefetuadas não sejam aplicadas;O botão Aplicar enviará para o firewall todas as alterações feitas, porém manterá ajanela aberta.Significado dos parâmetrosAba GlobalFigura 74. Parametros de configuração do Aker Firewall ( Paramentros do servidor, interface remota eendereços fixos de configuração rempota.Nesta janela, estes parâmetros são utilizados pelo filtro de estados e pelo conversorde endereços. Eles consistem dos seguintes campos:Interface Externa (Por motivo de controle de licença): Define o nome dainterface externa do firewall. Conexões que vierem por esta interface não contarãona licença.Valor padrão: Configurado durante a instalação do firewall pelo administrador.© Aker Security Solutions 117

Tempo limite TCP: Define o tempo máximo, em segundos, que uma conexão TCPpode permanecer sem tráfego e ainda ser considerada ativa pelo firewall. Seu valorpode variar de 0 a 259200 (72 horas).Valor padrão: 900 segundos.Tempo limite UDP: Define o tempo máximo, em segundos, que uma conexão UDPpode permanecer sem tráfego e ainda ser considerada ativa pelo firewall. Seu valorpode variar de 0 a 259200 (72 horas).Valor padrão: 180 segundos.Estes campos são de vital importância para o correto funcionamento do firewall:valores muito altos poderão causar problemas de segurança para serviçosbaseados no protocolo UDP, farão com que o sistema utilize mais memória e otornarão mais lento. Valores muito baixos poderão causar constantes quedas desessão e o mau funcionamento de alguns serviços.Tamanho mínimo de senha: Define o número mínimo de caracteres que as senhasdos administradores devem ter para serem aceitas pelo sistema. Seu valor podevariar entre 4 e 14 caracteres.Valor padrão: 6 caracteres.É importante que este valor seja o maior possível, de modo a evitar a utilização desenhas que possam ser facilmente quebradas.Endereços fixos de configuração remota: São endereços que,independentemente de regras e de extrapolação dos limites de licenças, podemadministrar o firewall (isto é conectar na porta 1020). Eles servem como medida deprevenção anti-bloqueio do firewall, uma vez que só podem ser configurados viainterface texto.© Aker Security Solutions 118

Aba LogFigura 75. Parametros de configuração de Log (local, remoto e opções gerais).Local: Indica que o log/eventos/estatísticas devem ser salvos em um disco local, namáquina onde o firewall estiver rodando.Tempo de vida no log / eventos / estatística: Os registros de log, eventos eestatísticas do firewall são mantidos em arquivos diários. Esta configuração define onúmero máximo de arquivos que serão mantidos pelo sistema, em caso de log local.Os valores possíveis vão de 1 a 365 dias.Valor padrão: 7 diasNo caso de utilização de log remoto essas opções estarão desabilitadas edeverão ser configuradas no próprio servidor remoto© Aker Security Solutions 119

Remoto: Esta opção indica que o log/eventos/estatísticas deverão ser enviadospara um servidor de log remoto ao invés de serem gravados no disco local. Comisso, o controle de diversos firewalls pode ser centralizado, facilitando a auditoria.Servidor Remoto: Esta opção indica o servidor de log remoto para o qual olog/eventos/estatísticas serão enviados.Logar Conversão de Endereço (NAT): Habilita o registro no log do sistema dasconversões de endereços feitas pelo firewall.Valor padrão: Conversões de endereço não devem ser logadasMesmo com esta opção ativa, somente serão logados os pacotes convertidosatravés das conversões 1:N e N:1. As conversões por outros tipos de regras nãoserão registradas.A ativação desta opção não traz nenhuma informação importante e deve serutilizada apenas para fim de testes ou para tentar resolver problemas.Logar syslog do Unix: Habilita o envio do log e dos eventos do firewall para odaemon de log do Unix, o syslogd.Valor padrão: Não envia log para o syslogdAo habilitar essa opção, os registros de log serão enviados para a fila local0 e os deeventos para a fila local1.Esta opção não altera em nada o registro interno do log e dos eventos realizadopelo próprio firewall.© Aker Security Solutions 120

Aba SegurançaParâmetros de SegurançaFigura 76. Parametros de configuração de segurança.Permitir pacotes com rota para origem: Habilita a passagem de pacotes quetenham a opção de registro de rota ou de roteamento dirigido. Se esta opção estiverdesmarcada, os pacotes com alguma destas opções não poderão trafegar.Valor padrão: Pacotes IP direcionados não são permitidos.Cabe ressaltar que a aceitação de pacotes com rota para a origem pode causaruma falha séria de segurança. A não ser que se tenha uma razão específica paradeixá-los passar, esta opção deve ser mantida desmarcada.Suporte FTP: Habilita o suporte específico para o protocolo FTP.© Aker Security Solutions 121

Valor padrão: Suporte FTP está habilitadoEste parâmetro faz com que o firewall trate o protocolo FTP de forma especial, demodo a permitir que ele funcione transparentemente para todas as máquinasclientes e servidoras, internas ou externas. A menos que não se pretenda usar FTPatravés do firewall, esta opção deve estar marcada.Suporte ao Real Audio: Habilita o suporte para os protocolos Real Audio e RealVideo.Valor padrão: Suporte Real Audio está habilitadoEste parâmetro faz com que o firewall trate o protocolo Real Audio / Real Video deforma especial, de modo que permita ele funcionar transparentemente usandoconexões TCP e UDP. A menos que não se pretenda usar o Real Audio ou sepretenda utilizá-lo apenas com conexões TCP, esta opção deve estar marcada.Suporte RTSP: Habilita o suporte para o protocolo RTSP.Valor padrão: Suporte RTSP está habilitadoO RTSP (Real Time Streaming Protocol) é um protocolo que atua a nível deaplicação e ajuda a prover um certo arranjo que permite a entrega controlada dedados em tempo real, como áudio e vídeo. Fontes de dados podem incluirprogramas ao vivo (com áudio e vídeo) ou algum conteúdo armazenado (eventospré-gravados). Ele é projetado para trabalhar com protocolos como o RTP, HTTPe/ou outro que de suporte a mídia contínuas sobre a Internet. Ele suporta tráfegomulticast bem como unicast. E também suporta interoperabilidade entre clientes eservidores de diferentes fabricantes. Este parâmetro faz com que o firewall trate oprotocolo de forma especial, de modo a permitir que ele funcione transparentementeusando conexões TCP e UDP.Suporte PPTP: Habilita o suporte para o protocolo PPTP da Microsoft.Valor padrão: Suporte PPTP está habilitadoO PPTP é um protocolo criado pela Microsoft para possibilitar acesso seguro demáquinas clientes a redes corporativas, através de VPN. Este parâmetro faz comque o firewall trate o PPTP de forma especial possibilitando que ele trafeguenormalmente através dele, mesmo com a conversão de endereços (NAT) habilitada.Suporte H323: Habilita o suporte para o protocolo H.323Valor padrão: Suporte H.323 está habilitadoO H.323 é um protocolo que permite a implementação de voz sobre IP (VOIP) e ésuportado pela maioria dos dispositivos com este fim. Este parâmetro faz com que o© Aker Security Solutions 122

firewall trate o H.323 de forma especial possibilitando que ele trafegue normalmenteatravés dele, mesmo com a conversão de endereços (NAT) habilitada.Suporte ao MSN: Habilita o suporte para o MSN MessengerValor padrão: Suporte ao MSN Messenger está habilitado.O MSN Messenger é um protocolo de mensagens instantâneas que permite acomunicação entre duas ou mais pessoas ao mesmo tempo. Este parâmetro fazcom que o firewall trate o Messenger de forma especial possibilitando que seu usoseja controlado através dos perfis de acesso.Suporte SIP: habilita o suporte para o protocolo SIP.Valor padrão: Suporte SIP está habilitado.O Protocolo de Iniciação de Sessão (Session Initiation Protocol - SIP) é umprotocolo de aplicação, que utiliza o modelo “requisição-resposta”, similar ao HTTP,para iniciar chamadas e conferências através de redes via protocolo IP.Suporte DCE-RPC TCP: habilita o suporte o para protocolo DCE-RPC TCP.Valor padrão: Suporte DCE-RPC TCP está habilitado.O DCE/RPC TCP é um tipo de protocolo RPC, Chamada de Procedimento Remoto(Remote Procedure Call), que tem como objetivo permitir o desenvolvimento deaplicações cliente/servidor. É muito utilizado em administração de domínio egerenciamento remoto do servidor.Manter conexões das regras expiradas: mantém a conexão mesmo após o prazode validade da regra ter expirado.Valor padrão: manter conexões de regras expiradas.Esta opção permite ao usuário permanecer conectado mesmo após o término doperíodo definido para o fim da conexão.Ex.: o usuário inicia um download via FTP dentro do horário definido por regra. Casoesta opção esteja marcada, a conexão (download) não será finalizada no horáriodefinido e sim após o término de transferência dos arquivos.© Aker Security Solutions 123

Aba SNMPFigura 77. Parametros de configuração via SNMP.Comunidade de leitura: Este parâmetro indica o nome da comunidade que estáautorizada a ler dados do firewall via SNMP. Caso este campo esteja em branco,nenhuma máquina estará autorizada a lê-los.Valor padrão: campo em brancoComunidade de escrita: Este parâmetro indica o nome da comunidade que estáautorizada a alterar dados do firewall via SNMP. Caso este campo esteja embranco, nenhuma máquina estará autorizada a alterá-los.Valor padrão: campo em brancoMesmo com uma comunidade de escrita definida, por razões de segurança,somente poderão ser alterados algumas variáveis do grupo system.© Aker Security Solutions 124

Descrição: Tipo de serviço que a máquina disponibiliza para o usuário.Contato: Tipo de contato (e-mail, home page) que o administrador disponibilizapara o usuário.Nome: Nome abreviado do sistema que o identifica na rede, ex: DNSLocal: Local físico onde a máquina está instalada.O SNMPv3 inclui três importantes serviços: autenticação (authentication),privacidade (privacy) e controle de acesso (access control).Habilita SNMPv3: Ao selecionar essa opção permite definir o tipo de permissão deum usuário e qual o nível de segurança que ele estará relacionado.Nome do usuário: Nome do usuário que terá permissão para conferir ou modificaras informações.Tipo de permissão: Permite a escolha do tipo de permissão do usuário. Poderá teracesso de somente leitura dos dados ou de leitura e escrita.Nível de segurança: Permite a escolha do tipo de segurança dos dados. Pode-seoptar por nenhuma autenticação, com autenticação ou autenticação com cifragem.Caso a escolha seja com autenticação, as opções Método de autenticação e senhade autenticação serão habilitados. Caso a escolha seja autenticação com cifragem,as opções Método de cifragem e senha de cifragem serão habilitadas.Método de autenticação: Possuem dois métodos de autenticação, um com oalgoritmo MD5 e o outro com o algoritmo SHA.Senha de autenticação: Deve ser informada uma senha para autenticação, com nomínimo 8 caracteres.Método de encriptação: Possuem dois métodos de cifragem dos dados, um pormeio do algoritmo DES e o outro por meio do algoritmo AES.Senha de encriptação: Deve ser informada uma senha para cifragem, com nomínimo 8 caracteres.Ramo de acesso: Permite restringir, por meio de sub-árvores, quais os grupos dedados/informações que o usuário terá acesso.© Aker Security Solutions 125

Aba MonitoramentoFigura 78. Parametros de configuração - Monitoramento.Quando utiliza conversão 1-N, ou seja, balanceamento de canal é possívelconfigurar o tipo de monitoramento a ser realizado pelo firewall para verificar se asmáquinas participantes do balanceamento estão no ar. Os parâmetros demonitoramento permitem modificar os intervalos de tempo de monitoramento, demodo a ajustá-los melhor a cada ambiente.Monitoramento via pingEsses parâmetros configuram os tempos utilizados pelo firewall para realizar omonitoramento via pacotes ICMP Echo Request e Echo Reply. São eles:Intervalo de ping: Esse campo define de quantos em quantos segundos, seráenviado um ping para as máquinas sendo monitoradas. Seu valor pode variar entre1 e 60 segundos.© Aker Security Solutions 126

Valor padrão: 2 segundos.Tempo limite de resposta: Esse campo define o tempo máximo, em segundos, queuma máquina pode permanecer sem responder aos pacotes de ping enviados pelofirewall e ainda ser considerada ativa. Seu valor pode variar entre 2 e 120 segundos.Valor padrão: 8 segundos.Tempo de ativação: Esse campo define o tempo, em segundos, que o firewall iráesperar, após receber um pacote de resposta de uma máquina anteriormente forado ar, até considerá-la novamente ativa. Esse intervalo de tempo é necessário, poisnormalmente uma máquina responde a pacotes ping antes de estar com todos osseus serviços ativos. Seu valor pode variar entre 1 e 60 segundos.Valor padrão: 10 segundos.Monitoramento via httpEsses parâmetros configuram os tempos utilizados pelo firewall para realizar omonitoramento via requisições HTTP. São eles:Tempo limite dos pedidos: Esse campo define de quantos em quantos segundos,o firewall requisitará a URL especificada pelo administrador para cada máquinasendo monitorada. Seu valor pode variar entre 1 e 300 segundos.Valor padrão: 5 segundos.Tempo limite de resposta: Esse campo define o tempo máximo, em segundos, queuma máquina sendo monitorada poderá levar para responder à requisição dofirewall e ainda ser considerada ativa. Seu valor pode variar entre 2 e 300 segundos.Valor padrão: 15 segundos.© Aker Security Solutions 127

Aba Data e HoraFigura 79. Parametros de configuração – Data e hora.Esta opção permite ao administrador verificar e alterar a data e a hora do firewall. Adata e hora configuradas corretamente são essenciais para o funcionamento databela de horário das regras e dos perfis de acesso WWW, das trocas de chavesatravés do protocolo SKIP e dos sistemas de log e eventos.Data e horaEsta janela consiste de dois campos que mostram o valor da data e horaconfigurado no firewall. Para alterar qualquer um destes valores, basta colocar ovalor desejado no campo correspondente. Para escolher o mês pode-se utilizaras setas de navegação.Fuso HorárioEscolha o fuso horário que mais se aproxima da região aonde o firewall seráinstalado.O botão Aplicar alterará a data e hora e manterá a janela aberta.O botão OK fará com que a janela seja fechada e as alterações salvas.© Aker Security Solutions 128

O botão Cancelar fechará a janela e descartará as modificaçõesefetuadas.Servidor NTP (Network Time Protocol)Define o servidor de tempo que será utilizado pelo firewall para sincronizar seurelógio interno. (Este campo só aparece para o Firewall Box)5.2. Utilizando a interface textoA interface texto de configuração de parâmetros é bastante simples de ser utilizadae possui exatamente as mesmas capacidades da interface gráfica. Ela possui,entretanto, possibilidades não disponíveis na interface gráfica, de adicionar até trêsmáquinas possíveis de administrarem o firewall remotamente, mesmo sem aexistência de uma regra liberando sua conexão. O objetivo desta funcionalidade épermitir que, mesmo que um administrador tenha feito uma configuraçãoequivocada que impeça sua conexão, ainda assim ele poderá continuaradministrando remotamente o firewall. Este parâmetro chama-se end_remoto.Localização do programa: /aker/bin/firewall/fwparSintaxe:fwpar - mostra/altera parametros de configuracaoUso:fwpar [mostra | ajuda]fwpar interface_externa fwpar [tempo_limite_tcp | tempo_limite_udp] fwpar [ip_direcionado] fwpar [suporte_ftp | suporte_real_audio | suporte_rtsp] fwpar [loga_conversao | loga_syslog] fwpar [permanencia_log | permanencia_event | permanencia_stat] fwpar [serv_log_remoto ]fwpar [add_remoto ]© Aker Security Solutions 129

fwpar [comunidade_leitura | comunidade_escrita] [nome]mostra = mostra a configuracao atualajuda = mostra esta mensageminterface_externa = configura o nome da interface externa (conexoes quevierem poresta interface nao contam na licenca)tempo_limite_tcp = tempo maximo de inatividade para conexoes TCPtempo_limite_udp = tempo maximo de inatividade para conexoes UDPip_direcionado = aceita pacotes IP direcionadossuporte_ftp = habilita suporte ao protocolo FTPsuporte_real_audio = habilita suporte ao procotolo Real Audiosuporte_rtsp = habilita suporte ao procotolo RTSPloga_conversao = registra mensagens de conversao de endereçosloga_syslog = envia mensagens de log e eventos para o syslogdpermanencia_log = tempo de permanencia (dias) dos registros de logpermanencia_event = tempo de permanencia (dias) dos registris de eventos;permanencia_stat = tempo de permanencia (dias) das estatísticas;serv_log_remoto = servidor de log remoto (nome da entidade);end_remoto = endereco dos tres controladores remotos;comunidade_leitura = nome da comunidade de leitura para SNMPcomunidade_escrita = nome da comunidade de escrita para SNMPExemplo 1: (visualizando a configuração)# fwpar mostra Parametros globais:-------------------tempo_limite_tcp : 900 segundostempo_limite_udp : 180 segundosinterface_externa : lnc0© Aker Security Solutions 130

Parametros de seguranca:------------------------ip_direcionado : nãosuporte_ftp: simsuporte_real_audio: simsuporte_rtsp: simend_remoto : 1) 10.0.0.1 2) 10.0.0.2 3)10.0.0.3Parametros de configuracao de log:----------------------------------loga_conversao : nãologa_syslog: nãopermanencia_log : 7 diaspermanencia_event : 7 diaspermanencia_stat : 7 diasParametros de configuracao de SNMP:-----------------------------------comunidade_leitura:comunidade_escrita:Exemplo 2: (habilitando pacotes IP direcionados)#/aker/bin/firewall/fwpar ip_direcionado simExemplo 3: (configurando o nome da comunidade de leitura SNMP)#/aker/bin/firewall/fwpar comunidade_leitura publicExemplo 4: (apagando o nome da comunidade de escrita SNMP)#/aker/bin/firewall/fwpar comunidade_escrita© Aker Security Solutions 131

Cadastrando Entidades© Aker Security Solutions 132

6. Cadastrando EntidadesEste capítulo mostrará o que são, para que servem e como cadastrar entidades noAker Firewall.6.1. Planejando a instalaçãoO que são e para que servem as entidades?Entidades são representações de objetos do mundo real para o Aker Firewall.Através delas, pode-se representar máquinas, redes, serviços a seremdisponibilizados, entre outros.A principal vantagem da utilização de entidades para representar objetos reais é quea partir do momento em que são definidas no Firewall, elas podem ser referenciadascomo se fossem os próprios objetos, propiciando uma maior facilidade deconfiguração e operação. Todas as alterações feitas em uma entidade serãoautomaticamente propagadas para todos os locais onde ela é referenciada.Pode-se definir, por exemplo, uma máquina chamada de Servidor WWW, com oendereço IP de 10.0.0.1. A partir deste momento, não é mais necessário sepreocupar com este endereço IP. Em qualquer ponto onde seja necessárioreferenciar esta máquina, a referência será feita pelo nome. Caso futuramente sejanecessário alterar seu endereço IP, basta alterar a definição da própria entidade queo sistema automaticamente propagará esta alteração para todas as suasreferências.Definindo entidadesAntes de explicar como cadastrar entidades no Aker Firewall é necessária umabreve explicação sobre os tipos de entidades possíveis e o que caracteriza cadauma delas.Existem 9 tipos diferentes de entidades no Aker Firewall: máquinas, máquinas IPv6,redes, redes IPv6, conjuntos, conjuntos IPv6, serviços, autenticadores e interfaces.As entidades do tipo máquina e rede, como o próprio nome já diz, representamrespectivamente máquinas individuais e redes. Entidades do tipo conjuntorepresentam uma coleção de máquinas e redes, em qualquer número. Entidades dotipo serviço representam um serviço a ser disponibilizado através de um protocoloqualquer que rode em cima do IP. Entidades do tipo autenticador representam umtipo especial de máquina que pode ser utilizada para realizar autenticação de© Aker Security Solutions 133

usuários e as entidades do tipo interface, representam uma interface de rede dofirewall.Por definição, o protocolo IP, exige que cada máquina possua um endereçodiferente. Normalmente estes endereços são representados da forma byte a byte,como por exemplo, 172.16.17.3. Desta forma, pode-se caracterizar unicamente umamáquina em qualquer rede IP, incluindo a Internet, com apenas seu endereço.Para definir uma rede deve-se utilizar uma máscara além do endereço IP. Amáscara serve para definir quais bits do endereço IP serão utilizados pararepresentar a rede (bits com valor 1) e quais serão utilizados para representar asmáquinas dentro da rede (bits com valor 0). Assim, para representar a rede cujasmáquinas podem assumir os endereços IP de 192.168.0.1 a 192.168.0.254, deve-secolocar como rede o valor 192.168.0.0 e como máscara o valor 255.255.255.0. Estamáscara significa que os 3 primeiros bytes serão usados para representar a rede eo último byte será usado para representar a máquina.Para verificar se uma máquina pertence a uma determinada rede, basta fazer um Elógico da máscara da rede, com o endereço desejado e comparar com o E lógico doendereço da rede com sua máscara. Se eles forem iguais, a máquina pertence àrede, se forem diferentes não pertence. Vejamos dois exemplos:Suponha que desejamos verificar se a máquina 10.1.1.2 pertence à rede 10.1.0.0,máscara 255.255.0.0. Temos:10.1.0.0 E 255.255.0.0 = 10.1.0.0 (para a rede)10.1.1.2 E 255.255.0.0 = 10.1.0.0 (para o endereço)Temos então que os dois endereços são iguais após a aplicação da máscara,portanto a máquina 10.1.1.2 pertence à rede 10.1.0.0.Suponha agora que desejamos saber se a máquina 172.16.17.4 pertence à rede172.17.0.0, máscara 255.255.0.0. Temos:172.17.0.0 E 255.255.0.0 = 172.17.0.0 (para a rede)172.16.17.4 E 255.255.0.0 = 172.16.0.0 (para o endereço)Como os endereços finais são diferentes, temos que a máquina 172.16.17.4 nãopertence à rede 172.17.0.0Caso seja necessário definir uma rede onde qualquer máquina seja consideradacomo pertencente a ela (ou para especificar qualquer máquina da Internet), deve-secolocar como endereço IP desta rede o valor 0.0.0.0 e como máscara o valor0.0.0.0. Isto é bastante útil na hora de disponibilizar serviços públicos, onde todas asmáquinas da Internet terão acesso.© Aker Security Solutions 134

Toda a vez que ocorre uma comunicação entre duas máquinas, usando o protocoloIP, estão envolvidos não apenas os endereços de origem e destino, mas tambémum protocolo de nível mais alto (nível de transporte) e algum outro dado queidentifique a comunicação unicamente. No caso dos protocolos TCP e UDP (quesão os dois mais utilizados sobre o IP), uma comunicação é identificada por doisnúmeros: a Porta Origem e a Porta Destino.A porta destino é um número fixo que está associado, geralmente, a um serviçoúnico. Assim, temos que o serviço Telnet está associado com o protocolo TCP naporta 23, o serviço FTP com o protocolo TCP na porta 21 e o serviço SNMP com oprotocolo UDP na porta 161, por exemplo.A porta origem é um número seqüencial escolhido pelo cliente de modo apossibilitar que exista mais de uma sessão ativa de um mesmo serviço em um dadoinstante. Assim, uma comunicação completa nos protocolos TCP e UDP pode serrepresentada da seguinte forma:10.0.0.1 1024 10.4.1.2 23 TCPEndereço origem Porta origem Endereço destino Porta destino ProtocoloPara um firewall, a porta de origem não é importante, uma vez que ela é randômica.Devido a isso, quando se define um serviço, leva-se em consideração apenas aporta de destino.Além dos protocolos TCP e UDP existem outro protocolo importante: o ICMP. Esteprotocolo é utilizado pelo próprio IP para enviar mensagens de controle, informarsobre erros e testar a conectividade de uma rede.O protocolo ICMP não utiliza o conceito de portas. Ele usa um número que varia de0 a 255 para indicar um Tipo de Serviço. Como o tipo de serviço caracterizaunicamente um serviço entre duas máquinas, ele pode ser usado como se fosse aporta destino dos protocolos, TCP e UDP, na hora de definir um serviço.Por último, existem outros protocolos que podem rodar sobre o protocolo IP e quenão são TCP, UDP ou ICMP. Cada um destes protocolos tem formas próprias paradefinir uma comunicação e nenhum deles é utilizado por um grande número demáquinas. Ainda assim, o Aker Firewall optou por adicionar suporte para possibilitarao administrador o controle sobre quais destes protocolos podem ou não passaratravés do firewall.Para entender como isso é feito, basta saber que cada protocolo tem um númeroúnico que o identifica para o protocolo IP. Este número varia de 0 a 255. Destaforma, podemos definir serviços para outros protocolos usando o número doprotocolo como identificação do serviço.© Aker Security Solutions 135

O que é Qualidade de Serviço (QoS)A qualidade de serviço pode ser compreendida de duas formas: do ponto de vistada aplicação ou da rede.Para uma aplicação oferecer seus serviços com qualidade, tem que atender àsexpectativas do usuário em relação ao tempo de resposta e da qualidade do serviçoque está sendo provido. Por exemplo, no caso de uma aplicação de vídeo,fidelidade adequada do som e/ou da imagem sem ruídos nem congelamentos.A qualidade de serviço da rede depende das necessidades da aplicação, ou seja, doque ela requisita da rede a fim de que funcione bem e atenda, por sua vez, àsnecessidades do usuário. Estes requisitos são traduzidos em parâmetrosindicadores do desempenho da rede como, por exemplo, o atraso máximo sofridopelo tráfego da aplicação entre o computador origem e destino.O Aker Firewall implementa um mecanismo com o qual é possível definir uma bandamáxima de tráfego para determinadas aplicações. Através de seu uso,determinadas aplicações que tradicionalmente consomem muita banda, podem terseu uso controlado. As entidades do tipo Canal são utilizadas para este fim e serãoexplicadas logo abaixo.6.2. Cadastrando entidades utilizando a interface gráficaPara ter acesso à janela de cadastro de entidades deve-se:Clicar no menu Configuração do Firewall da janela do firewall que se queradministrar;Selecionar o item Entidades (a janela será mostrada abaixo da janela com os menusde configuração dos firewalls).© Aker Security Solutions 136

A janela de cadastro de entidadesFigura 80. Janela de entidades (Aker Firewall).Figura 81. Entidades (Instância Aker Firewall).© Aker Security Solutions 137

A janela de cadastro de entidades é onde são cadastradas todas as entidades doAker Firewall, independente do seu tipo. Esta janela, por ser constantementeutilizada em praticamente todas as demais configurações do firewall, normalmente émostrada sempre aberta na horizontal, abaixo da janela com os menus deconfiguração de cada firewall.Dica: Possui uma janela única para todos os firewalls abertos. A janela continuará amesma, só mudará o conteúdo que será referente ao firewall selecionado. Ostipos de entidades mais usados são os únicos apresentados na aba. As entidadesmenos utilizadas aparecem no menu.Dica: É possível posicionar a janela de entidades como se fosse uma janelacomum, bastando para isso clicar sobre sua barra de título e arrastá-la para aposição desejada.Dica: Para criar uma nova entidade, caso a lista de entidades criadas esteja cheia,deve-se clicar em cima da aba que fica na parte inferior da janela.Nesta janela estão desenhados oito ícones, em forma de árvore, que representamos oito tipos de entidades possíveis de serem criados.Dica: Para visualizar as entidades criadas é só clicar no sinal de '+' e as entidadesficarão listadas logo abaixo do logotipo, ou clicar sobre a aba correspondente aentidade que se deseja visualizar.Para cadastrar uma nova entidade, deve-se proceder da seguinte forma:1. Clicar uma vez no ícone correspondente à entidade do tipo que deseja criar como botão direito do mouse e selecionar a opção Inserir no menu pop-upou2. Clicar no ícone correspondente à entidade do tipo que deseja criar e pressionar atecla Insert.Para editar ou excluir uma entidade, deve-se proceder da seguinte forma:1. Selecionar a entidade a ser editada ou excluída (se necessário, expande-se alista do tipo de entidade correspondente);2. Clicar com o botão direito do mouse e selecionar a opção Editar ou Apagar,respectivamente, no menu pop-up que aparecer;3. Clicar no ícone correspondente à entidade do tipo que deseja criar e pressionar atecla Delete.No caso das opções Editar ou Incluir, aparecerá a janela de edição de parâmetrosda entidade a ser editada ou incluída. Esta janela será diferente para cada um dostipos possíveis de entidades.© Aker Security Solutions 138

O ícone , localizado na parte inferior da janela aciona o assistente decadastramento de entidades que será descrito no final deste capítulo.Incluindo / editando máquinasFigura 82. Cadastro de entidade Tipo Máquina.Para cadastrar uma entidade do tipo máquina deve-se preencher os seguintescampos:Nome: É o nome pelo qual a máquina será sempre referenciada pelo firewall. Épossível especificar este nome manualmente ou deixar que ele seja atribuídoautomaticamente. A opção Automático permite escolher entre estes dois modos deoperação: caso ela esteja marcada, a atribuição será automática, caso contrário,manual.Letras maiúsculas e minúsculas são consideradas diferentes nos nomes dasentidades. Desta forma, é possível a existência de várias entidades compostas denomes com as mesmas letras, porém com combinações distintas de maiúsculas eminúsculas. As entidades Aker, AKER e aker são, portanto, consideradasdiferentes.Ícone: É o ícone que aparecerá associado à máquina em todas as referências. Paraalterá-lo, basta clicar sobre o desenho do ícone atual. O Firewall então mostraráuma lista com todos os possíveis ícones para representar máquinas. Para escolherentre eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-loapós ver a lista, basta clicar no botão Cancelar.Endereço IP: É o endereço IP da máquina a ser criada.Após todos os campos estarem preenchidos, deve-se clicar no botão OK pararealizar a inclusão ou alteração da máquina. Para cancelar as inclusões oualterações realizadas deve pressionar o botão Cancelar.© Aker Security Solutions 139

Para facilitar a inclusão de várias máquinas seguidamente, existe um botãochamado Nova (que não estará habilitado durante uma edição). Ao ser clicado, estebotão fará com que a máquina inclua os dados preenchidos e mantenha aberta ajanela de inclusão de máquinas onde estará pronta para uma nova inclusão. Destaforma é possível cadastrar rapidamente um grande número de máquinas.Incluindo / editando servidor IPv6Figura 83. Cadastro de entidade Tipo Máquina IPv6.Para cadastrar uma entidade do tipo máquina IPv6 deve-se preencher os seguintescampos:Nome: É o nome pelo qual a máquina será sempre referenciada pelo firewall. Épossível especificar este nome manualmente ou deixar que ele seja atribuídoautomaticamente. A opção Automático permite escolher entre estes dois modos deoperação: caso ela esteja marcada, a atribuição será automática, caso contrário,manual.Letras maiúsculas e minúsculas são consideradas diferentes nos nomes dasentidades. Desta forma, é possível a existência de várias entidades compostas denomes com as mesmas letras, porém com combinações distintas de maiúsculas eminúsculas. As entidades Aker, AKER e aker são, portanto, consideradasdiferentes.Ícone: É o ícone que aparecerá associado à máquina em todas as referências. Paraalterá-lo, basta clicar sobre o desenho do ícone atual. O firewall então mostrará umalista com todos os possíveis ícones para representar máquinas. Para escolher entreeles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo apósver a lista, basta clicar no botão Cancelar.Endereço IPv6 : É o endereço IPv6 da máquina a ser criada.© Aker Security Solutions 140

Após todos os campos estarem preenchidos, deve-se clicar no botão OK pararealizar a inclusão ou alteração da máquina. Para cancelar as inclusões oualterações realizadas deve pressionar o botão Cancelar.Para facilitar a inclusão de várias máquinas seguidamente, existe um botãochamado Nova (que não estará habilitado durante uma edição). Ao ser clicado, estebotão fará com que a máquina inclua os dados preenchidos e mantenha aberta ajanela de inclusão de máquinas onde estará pronta para uma nova inclusão. Destaforma, é possível cadastrar rapidamente um grande número de máquinas.A ampliação de 32 bits do endereço IPv4 para 128 bits no endereço IPv6 é umadas mais importantes características do novo protocolo. É um imenso espaço deendereçamento, com um número difícil de ser apresentado (2 elevado a 128),porque são milhares de bilhões de endereços. O IPv6 acaba ainda com as classesde endereços e possibilita um método mais simples de auto-configuração.A notação mais usual que o endereço IPv6 é representado é x:x:x:x:x:x:x:x, onde os"x" são números hexadecimais, ou seja, o endereço é dividido em oito partes de 16bits, como no seguinte exemplo: 1080:0:0:0:8:800:200C:417AIncluindo / editando redesFigura 84. Inclusão e edição de redes.Para cadastrar uma entidade do tipo rede deve-se preencher os seguintes campos:Nome: É o nome pelo qual a rede será sempre referenciada pelo firewall. É possívelespecificar este nome manualmente ou deixar que ele seja atribuídoautomaticamente. A opção Automático permite escolher entre estes dois modos deoperação: caso ela esteja marcada, a atribuição será automática, caso contrário,manual.© Aker Security Solutions 141

Letras maiúsculas e minúsculas são consideradas diferentes nos nomes dasentidades. Desta forma, é possível a existência de várias entidades compostas denomes com as mesmas letras, porém com combinações distintas de maiúsculas eminúsculas. As entidades Aker, AKER e aker são consideradas diferentes.Ícone: É o ícone que aparecerá associado à rede em todas as referências. Paraalterá-lo deve clicar sobre o desenho do ícone atual. O firewall então mostrará umalista com todos os possíveis ícones para representar redes. Para escolher entre elestem que clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após vera lista, basta clicar no botão Cancelar.Endereço IP: É o endereço IP da rede a ser criada.Máscara de Rede: Define quais bits do endereço IP serão utilizados pararepresentar a rede (bits com valor 1) e quais serão utilizados para representar asmáquinas dentro da rede (bits com valor 0)Intervalo: Este campo mostra a faixa de endereço IP a que pertence a rede erealiza uma crítica quanto a máscara que está sendo cadastrada, ou seja nãopermite cadastramento de máscaras erradas.Após estarem todos os campos preenchidos, deve-se clicar no botão OK pararealizar a inclusão ou alteração da rede. Para cancelar as alterações realizadas ou ainclusão, deve-se pressionar o botão Cancelar.Para facilitar a inclusão de várias redes seguidamente, existe um botão chamadoNova (que não estará habilitado durante uma edição). Ao clicar neste botão farácom que sejam incluídos os dados preenchidos e manterá aberta a janela deinclusão de redes onde estará pronta para uma nova inclusão. Desta forma épossível cadastrar rapidamente um grande número de redes.Incluindo / editando redes IPv6Figura 85. Inclusão e edição de redes IPv6.© Aker Security Solutions 142

Para cadastrar uma entidade do tipo rede IPv6 deve-se preencher os seguintescampos:Nome: É o nome pelo qual a rede será sempre referenciada pelo firewall. É possívelespecificar este nome manualmente ou deixar que ele seja atribuídoautomaticamente. A opção Automático permite escolher entre estes dois modos deoperação: caso ela esteja marcada, a atribuição será automática, caso contrário,manual.Letras maiúsculas e minúsculas são consideradas diferentes nos nomes dasentidades. Desta forma, é possível a existência de várias entidades compostas denomes com as mesmas letras, porém com combinações distintas de maiúsculas eminúsculas. As entidades Aker, AKER e aker são consideradas diferentes.Ícone: É o ícone que aparecerá associado à rede em todas as referências. Paraalterá-lo deve clicar sobre o desenho do ícone atual. O firewall então mostrará umalista com todos os possíveis ícones para representar redes. Para escolher entre elestem que clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após vera lista, basta clicar no botão Cancelar.Endereço IPv6: É o endereço IPv6 da rede a ser criada.Tamanho do prefixo da sub-rede : Define quais bits do endereço IP serãoutilizados para representar a rede.Após estarem todos os campos preenchidos, deve-se clicar no botão OK pararealizar a inclusão ou alteração da rede. Para cancelar as alterações realizadas ou ainclusão, deve-se pressionar o botão Cancelar.Para facilitar a inclusão de várias redes seguidamente, existe um botão chamadoNova (que não estará habilitado durante uma edição). Ao clicar neste botão farácom que sejam incluídos os dados preenchidos e manterá aberta a janela deinclusão de redes onde estará pronta para uma nova inclusão. Desta forma épossível cadastrar rapidamente um grande número de redes.© Aker Security Solutions 143

Incluindo / editando conjuntosFigura 86. Inclusão e edição de conjuntos.Para cadastrar uma entidade do tipo conjunto deve-se preencher os seguintescampos:Nome: É o nome pelo qual o conjunto será sempre referenciado pelo firewall. Épossível especificar este nome manualmente ou deixar que ele seja atribuídoautomaticamente. A opção Automático permite escolher entre estes dois modos deoperação: caso ela esteja marcada, a atribuição será automática se não, manual.Letras maiúsculas e minúsculas são consideradas diferentes nos nomes dasentidades. Desta forma, é possível a existência de várias entidades compostas denomes com as mesmas letras, porém com combinações distintas de maiúsculas eminúsculas. As entidades Aker, AKER e aker são consideradas diferentes.Ícone: É o ícone que aparecerá associado ao conjunto em todas as referências.Para alterá-lo, basta clicar sobre o desenho do ícone atual. O firewall entãomostrará uma lista com todos os possíveis ícones para representar conjuntos. Paraescolher entre eles basta clicar no ícone desejado e no botão OK. Caso não queiraalterá-lo após ver a lista, basta clicar no botão Cancelar.© Aker Security Solutions 144

Após preencher o nome e escolher o ícone para o conjunto, deve-se definir quaismáquinas e redes farão parte do mesmo. Abaixo estão os passos que deverão serseguidos.1. Clicar com o botão direito do mouse no campo em branco e selecionar a opçãoAdicionar Entidades (a entidade pode ser adicionada clicando-se duas vezessobre ela ou clicando uma vez e logo abaixo em Adicionar).ou2. Clicar sobre a entidade que deseja incluir, com isso deve arrastá-la e soltá-ladentro da janela de entidades do conjunto.Figura 87. Adição de entidades.Para remover uma rede ou máquina do conjunto, deve-se proceder da seguinteforma:1. Clicar com o botão direito do mouse sobre a entidade a ser removida eselecionar a opção Remover, ou,© Aker Security Solutions 145

2. Clicar na máquina ou rede a ser removida e pressionar a tecla Delete.Após todos os campos estarem preenchidos e todas as redes e máquinas quedevem fazer parte do conjunto selecionadas, deve-se clicar no botão OK pararealizar a inclusão ou alteração do conjunto. Para cancelar as alterações realizadasou a inclusão, deve-se pressionar o botão Cancelar.Para facilitar a inclusão de vários conjuntos seguidamente, existe um botãochamado Nova (que não estará habilitado durante uma edição). Ao ser clicado, estebotão fará com que o conjunto cujos dados foram preenchidos seja incluído e ajanela de inclusão de conjuntos mantida aberta, pronta para uma nova inclusão.Desta forma é possível cadastrar rapidamente um grande número de conjuntos.Editando conjuntos - IPv6Figura 88. Edição de conjuntos IPv6.Para cadastrar uma entidade do tipo conjunto IPv6 deve-se preencher os seguintescampos:Nome: É o nome pelo qual o conjunto será sempre referenciado pelo firewall. Épossível especificar este nome manualmente ou deixar que ele seja atribuídoautomaticamente. A opção Automático permite escolher entre estes dois modos deoperação: caso ela esteja marcada, a atribuição será automática se não, manual.© Aker Security Solutions 146

Letras maiúsculas e minúsculas são consideradas diferentes nos nomes dasentidades. Desta forma, é possível a existência de várias entidades compostas denomes com as mesmas letras, porém com combinações distintas de maiúsculas eminúsculas. As entidades Aker, AKER e aker são consideradas diferentes.Ícone: É o ícone que aparecerá associado ao conjunto em todas as referências.Para alterá-lo, basta clicar sobre o desenho do ícone atual. O firewall entãomostrará uma lista com todos os possíveis ícones para representar conjuntos. Paraescolher entre eles basta clicar no ícone desejado e no botão OK. Caso não queiraalterá-lo após ver a lista, basta clicar no botão Cancelar.Após preencher o nome e escolher o ícone para o conjunto, deve-se definir quaismáquinas e redes farão parte do mesmo. Abaixo estão os passos que deverão serseguidos.1. Clicar com o botão direito do mouse no campo em branco e selecionar aopção Adicionar Entidades (a entidade pode ser adicionada clicando-seduas vezes sobre ela ou clicando uma vez e logo abaixo em Adicionar).ou2. Clicar sobre a entidade que deseja incluir, com isso deve arrastá-la e soltá-ladentro da janela de entidades do conjunto.Figura 89. Edição de conjuntos IPv6 (entidades a ser adcionada).© Aker Security Solutions 147

Para remover uma rede ou máquina do conjunto, deve-se proceder da seguinteforma:1. Clicar com o botão direito do mouse sobre a entidade a ser removida eselecionar a opção Remover.ou2. Clicar na máquina ou rede a ser removida e pressionar a tecla Delete.Após todos os campos estarem preenchidos e todas as redes e máquinas quedevem fazer parte do conjunto selecionadas, deve-se clicar no botão OK pararealizar a inclusão ou alteração do conjunto. Para cancelar as alterações realizadasou a inclusão, deve-se pressionar o botão Cancelar.Para facilitar a inclusão de vários conjuntos seguidamente, existe um botãochamado Nova (que não estará habilitado durante uma edição). Ao ser clicado, estebotão fará com que o conjunto cujos dados foram preenchidos seja incluído e ajanela de inclusão de conjuntos mantida aberta, pronta para uma nova inclusão.Desta forma é possível cadastrar rapidamente um grande número de conjuntos.Incluindo/Editando lista de categoriasFigura 90. Inclusão e edição das listas de categorias.© Aker Security Solutions 148

Para definir uma lista de categorias é necessário proceder da seguinte forma:Selecionar a opção Automático, caso queira atribuir um nome padrão a lista.Preencher o campo nome, onde pode definir um nome específico para a lista decategorias.O botão Atualizar permite buscar as categorias no firewall caso tenha havidoalgumaatualização.Ao selecionar a opção Tentar recuperar categorias pelo critério nome quando oAnalisador de Contexto for trocado, permite identificar as categorias pelos nomesque foram cadastradas, pois ao trocar o analisador de contexto muitas categoriaspodem ser perdidas.Incluindo/Editando lista de padrões de buscaFigura 91. Inclusão e edição dos padrões de buscas.Para definir um padrão de pesquisa é necessário proceder da seguinte forma:Selecionar a opção Automático, caso queira atribuir um nome padrão ao tipo depesquisa.Preencher o campo nome, onde pode definir um nome específico para a pesquisa.Os campos Padrão e Texto permitem definir qual será a string ou os parâmetrosque serão pesquisados na URL acessada e qual operação a ser efetuada.© Aker Security Solutions 149

Incluindo/Editando lista de quotasFigura 92. Inclusão e edição de quotas.Esta janela permite definir, vários tipos de quotas de acesso do usuário à rede.Para criar uma quota pode-se selecionar a opção Automático para que sejaatribuído um nome padrão ao tipo de quota a ser definido ou então preencher ocampo nome, onde pode atribuir um nome específico para a lista de quotas.A opção Tipo da Quota permite escolher se a quota definida será atribuídadiariamente, semanalmente ou mensalmente. Ao marcar qual o tipo de quotadesejada, pode associar a ela a checagem de tempo de acesso e/ou de volume dedados.A checagem de tempo pode ser definida em dias e/ou horas. Por exemplo,diariamente só vai ser liberado 3 horas de acesso à internet, ou semanalmente 3dias ou até mesmo semanalmente liberado 7 dias.Observação 1: A contagem de tempo funciona da seguinte forma: quando o usuárioacessa uma página, conta um relógio de 31 segundos, se o usuário acessar umaoutra página, começa a contar do zero, mas não deixar de contar, por exemplo, os10 segundos que o usuário gastou ao acessar a página anterior.Observação 2: Para o consumo de quota, funciona da seguinte forma: no MSN,para cada janela de conversação, o tempo é contado separadamente, já na WEBser tiver acessando 10 sites, será contado somente o tempo de uma.© Aker Security Solutions 150

Incluindo / Editando agentes externosAgentes externos são utilizados para a definição de programas complementares aoAker Firewall. São responsáveis por funções específicas que podem estar rodandoem máquinas distintas. Quando houver necessidade de realização de umadeterminada tarefa por um dos agentes externos, ou vice-versa, o firewall secomunicará com eles e requisitará sua execução.Figura 93. Inclusão e edição de agentes externos.Existem 10 diferentes tipos de agentes externos, cada um responsável por um tipodistinto de tarefas:AutenticadoresOs agentes de autenticação são utilizados para fazer a autenticação de usuários nofirewall utilizando usuarios/senhas de bases de dados de diversos sistemasoperacionais (Windows NT, Linux, etc).Autoridades certificadorasAutoridades certificadoras são utilizadas para fazer autenticação de usuáriosatravés de PKI, com o uso de Smart Cards e para autenticação de firewalls comcriptografia IPSEC.Autenticadores TokenOs autenticadores token são utilizados para fazer autenticação de usuários nofirewall utilizando SecurID (R) , Alladin e outros.© Aker Security Solutions 151

Agentes IDSOs agentes IDS (Intrusion Detection Systems - Sistemas detectores de intrusão) sãosistemas que ficam monitorando a rede em tempo real procurando por padrõesconhecidos de ataques ou abusos. Ao detectar uma destas ameaças, ele podeincluir uma regra no firewall que bloqueará imediatamente o acesso do atacante.Módulos de AntivirusOs agentes anti-vírus são utilizados pelo proxy SMTP, POP3 e Filtro Web pararealizarem a checagem e a desinfecção de virus de forma transparente em e-mails enos downloads FTP e HTTP.Analisadores de contextoOs analisadores de contexto são utilizados pelo Filtro Web para controlar o acesso aURLs baseados em diversas categorias pré-configuradas.Servidores remotos de logOs servidores de log remoto são utilizados pelo firewall para enviar o log paraarmazenamento em uma máquina remota.Autenticador RadiusO autenticador Radius é utilizado para fazer autenticação de usuários no firewall apartir de uma base Radius.Autenticadores LDAPO autenticador LDAP permite ao firewall autenticar usuário usando uma base LDAPcompatível com o protocolo X500.Spam MetersOs servidores do spam meter são utilizados pelo firewall para classificar e-mails edefinir quais deles serão considerados SPAM.É possível a instalação de diversos agentes externos em uma mesma máquina,desde que sejam distintos.Para cadastrar um agente externo deve-se inicialmente selecionar seu tipo, abrindoo diretório de Agentes Externos. Independemente de seu sub-tipo, todos os agentesexternos possuem os seguintes campos (os demais campos serão entãomodificados de acordo com o tipo do agente a ser cadastrado):Nome: É o nome pelo qual o agente será sempre referenciado pelo firewall. Épossível especificar este nome manualmente ou deixar que ele seja atribuído© Aker Security Solutions 152

automaticamente. A opção Automático permite escolher entre estes dois modos deoperação: caso ela esteja marcada, a atribuição será automática, caso contrário,manual.Letras maiúsculas e minúsculas são consideradas diferentes nos nomes dasentidades. Desta forma, é possível a existência de várias entidades compostas denomes com as mesmas letras, porém com combinações distintas de maiúsculas eminúsculas. As entidades Aker, AKER e aker são consideradas diferentes.Ícone: É o ícone que aparecerá associado ao agente em todas as referências. Paraalterá-lo, basta clicar sobre o desenho do ícone atual. O firewall então mostrará umalista com todos os possíveis ícones para representar agentes do sub-tiposelecionado. Para escolher entre eles basta clicar no ícone desejado e no botão OK.Caso não queira alterá-lo após ver a lista, basta clicar no botão Cancelar.Para cadastrar um agente externo do tipo Autenticador ou Autenticador Token, énecessário preencher os seguintes campos adicionais:Figura 94. Cadastro de um agente externo tipo autenticador ou autenticados token.IP: É o endereço IP da máquina onde o agente está rodando.Backup 1 e Backup 2: Estes campos permitem com que seja especificado até doisendereços de outras máquinas que também estarão rodando o agente e queservirão como backup no caso de quedas da máquina principal.A máquina principal e as de backup deverão compartilhar uma mesma base deusuários, ou seja, elas deverão ser controladoras de domínio primárias e de backup© Aker Security Solutions 153

(PDCs e BDCs), no caso de redes Windows, ou várias máquinas Unix utilizandoNIS.Senha: É a senha utilizada para gerar as chaves de autenticação e criptografiausadas na comunicação com o agente. Esta senha deverá ser igual a configuradano agente. Para maiores informações, veja o capítulo intitulado: Trabalhando comproxies.Confirmação: Este campo é utilizado apenas para verificar se a senha foi digitadacorretamente. Deve-se digitá-la exatamente como no campo Senha.Tempo limite do cache: Todas as vezes que é realizada uma autenticação comsucesso, o firewall mantém em memória os dados recebidos do usuário e doagente. Nas autenticações seguintes, o firewall possui todos os dados necessários enão mais precisa consultar o agente. Isso permite um grande ganho deperformance.Este parâmetro permite definir em segundos o tempo em que o firewall deve manteras informações de autenticação em memória. Para maiores informações, veja ocapítulo intitulado: Trabalhando com proxies.Para cadastrar um agente externo do tipo Autoridade Certificadora, deve-sepreencher os seguintes campos adicionais:Figura 95. Cadastro de um agente externo tipo Autoriadade Certificadora Autênticadora.© Aker Security Solutions 154

Localização da publicação da lista de certificados revogados (CRL): É a URLda qual será baixada a lista de certificados revogados da CA (CRL). Esta URL deveser obrigatoriamente do protocolo HTTP e deve ser especificada sem o http:// nasua frente.O botão Importar certificado raiz permite carregar o certificado root da CA nofirewall. Ao ser clicado, a interface abrirá uma janela para que especificar o nome doarquivo com o certificado a ser importado.É necessário importar um certificado raiz para cada Autoridade Certificadoracriada, caso contrário não será possível autenticar usuários por meio dela.O Campo Pseudo-grupos permite definir grupos para usuários que se autenticarempor meio da autoridade certificadora, da mesma forma como define grupos em umsistema operacional. Desta maneira, é possível criar pseudo-grupos querepresentem todos os usuários de uma determinada empresa, departamento,cidade, etc. Após serem criados os pseudo-grupos, eles podem ser associados aperfis de acesso, da mesma forma como se faz com grupos de autenticadores ouautenticadores token.Clicando com o botão direito podemos selecionar as seguintes opções:Inserir: Esta opção permite incluir um novo pseudo-grupo;Excluir: Esta opção remove da lista o pseudo-grupo selecionado.;Editar: Esta opção abre a janela de edição para o pseudo-grupo selecionado;Ao clicar no botão Inserir ou Editar, a seguinte janela será mostrada:© Aker Security Solutions 155

Figura 96. Definição de Pseudo-Grupos para usuários que se autenticarem por meio de autoridadecertificadora.Nome: Campo de preenchimento obrigatório é o campo que, indicará o nome peloqual o pseudo-grupo será referenciado pelo firewall. Os demais camposrepresentam dados que serão comparados com os dados presentes no certificadoX509 de cada usuário autenticado. Se um determinado campo estiver em brancoentão qualquer valor será aceito no campo correspondente do certificado, se nãoapenas certificados que possuírem o campo igual ao valor informado serãoconsiderados como parte do grupo.Domínio: Nome da pessoa certificada;E-mail: Endereço de e-mail da pessoa certificada;Empresa: Nome da empresa onde trabalha a pessoa certificada ;Departamento: Departamento dentro da empresa onde trabalha a pessoacertificada;Cidade: Cidade onde se localiza a empresa onde trabalha a pessoa certificada;Estado: Estado onde se localiza a empresa onde trabalha a pessoa certificada;País: País onde se localiza a empresa onde trabalha a pessoa certificada;Os campos: Domínio, E-mail, Empresa, Departamento, Cidade, Estado e País sereferem a pessoa que o certificado foi emitido.© Aker Security Solutions 156

Para que um usuário autenticado através da autoridade certificadora sejaconsiderado como membro de um pseudo-grupo, todos os campos de seucertificado X509 devem ser iguais aos valores dos campos correspondentes dopseudo-grupo. Campos em branco de um pseudo-grupo são ignorados nacomparação e, portanto, quaisquer valores do certificado para estes campos serãoaceitos.Para cadastrar um agente externo do tipo Agente IDS, Analisador de contexto,Anti-vírus, Spam Meter ou Servidor de Log Remoto, deve-se preencher osseguintes campos adicionais:Figura 97. Cadastro de agente externo tipo Agente IDS.Figura 98. Cadastro de agente externo tipo Analisador de texto.© Aker Security Solutions 157

Figura 99. Cadastro de agente externo tipo Módulo de Antivírus.Figura 100. Cadastro de agente externo tipo Spam Meter.© Aker Security Solutions 158

Figura 101. Cadastro de agente externo Servidor Remoto.IP: É o endereço IP da máquina onde o agente está rodando.Backup 1 e Backup 2: Estes campos permitem especificar até dois endereços deoutras máquinas que também estarão rodando o agente e que servirão comobackup no caso de quedas da máquina principal.Senha: É a senha utilizada para gerar as chaves de autenticação e criptografiausadas na comunicação com o agente. Esta senha deve ser igual à configurada noagente.Confirmação: Este campo é utilizado apenas para verificar se a senha foi digitadacorretamente. Deve-se digitá-la exatamente como no campo Senha.Para cadastrar um agente externo do tipo Autenticador LDAP deve-se preencheros seguintes campos:© Aker Security Solutions 159

Figura 102. Cadastro de agente externo Autenticador LDAP.IP: É o endereço IP da máquina onde o agente está rodando.Backup 1 e Backup 2: Estes campos permitem especificar até dois endereços deoutras máquinas que também estarão rodando o servidor LDAP e que servirãocomo backup no caso de quedas da máquina principal.Tempo limite da cache: Todas as vezes que uma autenticação é realizada comsucesso, o firewall mantém em memória os dados recebidos do usuário e doagente. Nas autenticações seguintes, o firewall possui todos os dados necessários enão mais precisa consultar o agente. Isso permite um grande ganho deperformance.Este parâmetro permite definir em segundos o tempo que o firewall deve manter asinformações de autenticação em memória. Para maiores informações, veja ocapítulo intitulado Trabalhando com proxies.Configurações LDAP: Neste conjunto de campos deve-se especificar asconfigurações do servidor LDAP que será utilizado para a realização dasautenticações. A descrição de cada campo pode ser vista a seguir:© Aker Security Solutions 160

DN Root de conexão: DN do usuário utilizado pelo firewall para as consultas;Senha Root de conexão: a senha deste usuário;DN Base: DN para começar a busca;ObjectClass da Conta: valor de objectclass que identifica objetos de contasválidas;Atributo nome do usuário: o atributo onde encontra o nome do usuário;Atributo senha: o atributo onde se encontra a senha do usuário;Atributo grupo: o atributo onde se encontra o grupo do usuário;Permitir senha em branco: permite senhas em branco para o usuário quandomarcado;Usar a versão 3 do protocolo LDAP: Habilita a o uso da versão 3 do protocoloLDAP;Ignorar maiúsculas e minúsculas na comparação: Permite que maiúsculas eminúsculas na comparação sejam equivalentes;Método de Autenticação: Este campo especifica se o firewall deve buscar a senhaou deve se conectar na base LDAP com as credenciais do usuário para validá-lo;Conectar utilizando as credencias do usuário: Permite ao usuário autenticar-seutilizando suas credenciais.Hash (RFC2307): Permite atenticação pelo modo Hash (RFC2307);Adicionar DN Base ao nome do usuário: Permite adicionar DN Base ao nome dousuário na autenticação;Conexão LDAP segura: Este campo especifica se a conexão ao servidor LDAPserá encriptada ou não. Ele consiste das seguintes opções:SSL: especifica que o firewall usará conexão encriptada via SSL;TLS: especifica que o firewall usará conexão encriptada via TLS;Nenhuma: especifica que o firewall não usará criptografia ao se conectar aoservidor LDAP;Para cadastrar um agente externo do tipo Autenticador Radius deve-se preencheros seguintes campos adicionais:© Aker Security Solutions 161

Figura 103. Cadastro de agente externo Autenticador Radius.IP: É o endereço IP da máquina onde o agente está rodando.Porta: Número da porta onde o servidor RADIUS estará escutando as requisiçõesde autenticação.1º Backup: Este campo permite com que se especifique outra máquina que tambémestará rodando o servidor RADIUS e que servirá como backup no caso de quedada máquina principal.Segredo: É o segredo compartilhado utilizado no servidor RADIUS.Confirmação: Este campo é utilizado apenas para se verificar se o segredo foidigitado corretamente. Deve-se digitá-lo exatamente como no campo Segredo.Tempo limite do cache: Todas as vezes que é realizado uma autenticação comsucesso, o firewall mantém em memória os dados recebidos do usuário e doagente. Nas autenticações seguintes, o firewall possui todos os dados necessários enão mais precisa consultar o agente. Isso permite um grande ganho deperformance.Este parâmetro permite definir o tempo, em segundos, que o firewall deve manter asinformações de autenticação em memória. Para maiores informações, veja ocapítulo intitulado Trabalhando com proxies.Usuários: Este campo serve para que se possa cadastrar e posteriormenteassociar usuários específicos RADIUS com perfis de acesso do firewall, uma vezque com este protocolo não é possível para o firewall conseguir a lista completa de© Aker Security Solutions 162

usuários. Somente é necessário realizar o cadastramento dos usuários que queirase associar com perfis específicos.Grupos: Este campo serve para cadastrar e posteriormente associar gruposespecíficos RADIUS com perfis de acesso do firewall, uma vez que com esteprotocolo não é possível para o firewall conseguir a lista completa de grupos.Somente é necessário realizar o cadastramento dos grupos que quer associar comperfis específicos.Existe um grupo chamado de RADIUS USERS, gerado automaticamente pelofirewall que pode ser utilizado para a associação de usuários RADIUS com um perfilde acesso específico. Todos os usuários autenticados em um determinado servidorRADIUS são considerados como pertencentes a este grupo. Desta forma, casoqueira utilizar um único perfil de acesso para todos os usuários, não é necessário ocadastramento de nenhum usuário e/ou grupo.Após todos os campos estarem preenchidos, deve-se clicar no botão OK pararealizar a inclusão ou alteração do agente externo. Para cancelar as alteraçõesrealizadas ou a inclusão, deve-se pressionar o botão Cancelar.Para facilitar a inclusão de vários agentes seguidamente, existe um botão chamadoNova (que não estará habilitado durante uma edição). Ao clicar, neste botão farácom que o dados preenchidos do agente, sejam incluídos e a janela de inclusão deagentes mantida aberta, pronta para uma nova inclusão. Desta forma é possívelcadastrar rapidamente um grande número de agentes.Incluindo / editando serviçosFigura 104. Inclusão e edição de serviços.© Aker Security Solutions 163

Para cadastrar uma entidade do tipo serviço deve-se preencher os seguintescampos:Nome: É o nome pelo qual o serviço será sempre referenciado pelo firewall. Épossível especificar este nome manualmente ou deixar que ele seja atribuídoautomaticamente. A opção Automático permite escolher entre estes dois modos deoperação: caso ela esteja marcada, a atribuição será automática, caso contrário,manual.Letras maiúsculas e minúsculas são consideradas diferentes nos nomes dasentidades. Desta forma, é possível a existência de várias entidades compostas denomes com as mesmas letras, porém com combinações distintas de maiúsculas eminúsculas. As entidades Aker, AKER e aker são consideradas diferentes.Ícone: É o ícone que aparecerá associado ao serviço em todas as referências. Paraalterá-lo, deve-se clicar sobre o desenho do ícone atual. O firewall então mostraráuma lista com todos os possíveis ícones para representar serviços. Para escolherentre eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-loapós ver a lista, basta clicar no botão Cancelar.Protocolo: É o protocolo associado ao serviço. (TCP, UDP, ICMP ou OUTROS)Serviço: É o número que identifica o serviço. No caso dos protocolos TCP e UDP,este número é a porta destino. No caso de ICMP é o tipo de serviço e no caso deoutros protocolos é o número do protocolo. Para cada protocolo, o firewall possuiuma lista dos valores mais comuns associados a ele, de modo a facilitar a criaçãodo serviço. Entretanto, é possível colocar valores que não façam parte da lista,simplesmente digitando-os neste campo.Caso queira especificar uma faixa de valores, ao invés de um único valor, deve-seclicar no botão ao lado dos nomes De e Para e especificar o menor valor da faixaem De e o maior em Para. Todos os valores compreendidos entre estes dois,inclusive, serão considerados como fazendo parte do serviço.Proxy: Este campo só se encontra habilitado para os protocolos TCP e UDP epermite especificar se a conexão que se enquadrar neste serviço, seráautomaticamente desviada para um dos proxies transparentes do Firewall Aker ounão. O valor padrão é Sem Proxy, que significa que a conexão não deve serdesviada para nenhum proxy. Quando o protocolo TCP está selecionado, as outrasopções são Proxy SMTP, Proxy Telnet, Proxy FTP, Proxy do usuário, ProxyHTTP e Proxy POP3 que desviam para os proxies SMTP, Telnet, FTP, proxiescriados pelo usuário, HTTP e POP3, respectivamente. Quando o protocolo UDPestá selecionado, as outras opções são Proxy RPC, que desvia para o proxy RPC,e Proxy do Usuário.O serviço Telnet está associado à porta 23, o SMTP à porta 25, o FTP à porta21, o HTTP à porta 80 e o POP3 à porta 110. É possível especificar que conexõesde quaisquer outras portas sejam desviadas para um destes proxies, entretanto, isto© Aker Security Solutions 164

não é o comportamento padrão e não deve ser feito a não ser que tenhaconhecimento de todas as possíveis implicações.Caso tenha especificado que a conexão deve ser desviada para um proxy, pode sernecessário definir os parâmetros do contexto que será utilizado pelo proxy para esteserviço. Caso isso seja necessário, no momento em que o proxy for selecionado, ajanela será expandida para mostrar os parâmetros adicionais que devem serconfigurados.A explicação dos parâmetros de cada um dos contextos dos proxies padrão, seencontra nos capítulos intitulados Configurando o proxy SMTP, Configurando oproxy Telnet, Configurando o proxy FTP, Configurando o proxy POP3 eConfigurando o Proxy RPC e o proxy DCE-RPC. O proxy HTTP não temparâmetros configuráveis e suas configurações são descritas no capítuloConfigurando o Filtro Web . Para maiores informações sobre proxiestransparentes e contextos, veja o capítulo intitulado Trabalhando com proxies.Proxies definidos pelo usuário somente são úteis para desenvolvedores e suadescrição não será abordada aqui.Após todos os campos estarem preenchidos, deve-se clicar no botão OK pararealizar a inclusão ou alteração do serviço. Para cancelar as alterações realizadasou a inclusão, deve-se pressionar o botão Cancelar.Para facilitar a inclusão de vários serviços seguidamente, existe um botão chamadoNova (que não estará habilitado durante uma edição). Ao ser clicado, este botãofará com que o serviço, cujos dados foram preenchidos, seja incluído e a janela deinclusão de serviços mantida aberta, pronta para uma nova inclusão. Desta forma épossível cadastrar rapidamente um grande número de serviços.Incluindo / editando interfacesFigura 105. Inclusão e edição de interfaces.© Aker Security Solutions 165

Para cadastrar uma entidade do tipo interface é necessário preencher os seguintescampos:Nome: É o nome pelo qual a interface será sempre referenciada pelo firewall. Épossível especificar este nome manualmente ou deixar que ele seja atribuídoautomaticamente. A opção Automático permite escolher entre estes dois modos deoperação: se ela estiver marcada, a atribuição será automática caso contrário serámanual.Letras maiúsculas e minúsculas são consideradas diferentes nos nomes dasentidades. Desta forma, é possível a existência de várias entidades compostas denomes com as mesmas letras, porém com combinações distintas de maiúsculas eminúsculas. As entidades Aker, AKER e aker são consideradas diferentes.Ícone: É o ícone que aparecerá associado à interface em todas as referências. Paraalterá-lo, basta clicar sobre o desenho do ícone atual. O firewall então mostrará umalista com todos os possíveis ícones para representar interfaces. Para escolher entreeles deve-se clicar no ícone desejado e no botão OK. Caso não queira alterá-loapós ver a lista, basta clicar no botão Cancelar.Interface: É o nome do adaptador de rede que será associado à entidadeinterface. Será mostrada automaticamente uma lista com todos os adaptadores derede configurados no firewall e o endereço IP de cada um, se existir.Comentário: É um campo texto livre usado apenas para fins de documentação.Após todos os campos estarem preenchidos, deve-se clicar no botão OK pararealizar a inclusão ou alteração da interface. Para cancelar as alterações realizadasou a inclusão, deve-se pressionar o botão Cancelar .Para facilitar a inclusão de várias interfaces seguidamente, existe um botãochamado Nova (que não estará habilitado durante uma edição). Ao clicar este botãofará com que os dados da interface que foram preenchidos sejam incluídos emantida aberta a janela de inclusão de interfaces onde estará pronta para uma novainclusão. Desta forma, é possível cadastrar rapidamente um grande número deinterfaces.Incluindo / editando listas de e-mailsListas de e-mails são entidades usadas no proxy MSN com o objetivo de definir comquais pessoas um determinado usuário pode conversar através do MSN Messenger.© Aker Security Solutions 166

Figura 106. Inclusão e edição de listas de e-mails.Para cadastrar uma entidade do tipo lista de e-mails deve-se preencher osseguintes campos:Nome: É o nome pelo qual a lista de e-mails será sempre referenciado pelo firewall.É possível especificar este nome manualmente ou deixar que ele seja atribuídoautomaticamente. A opção Automático permite escolher entre estes dois modos deoperação: caso ela esteja marcada, a atribuição será automática, caso contrário,manual.A lista deve ter apenas "enter ou (\n)" como separadores na lista de e-mails.Letras maiúsculas e minúsculas são consideradas diferentes nos nomes dasentidades. Desta forma, é possível a existência de várias entidades compostas denomes com as mesmas letras, porém com combinações distintas de maiúsculas eminúsculas. As entidades Aker, AKER e aker são consideradas diferentes.Domínio de E-mail: Este campo é composto pelos e-mails ou domínios que farãoparte da lista. É possível especificar um e-mail completo ou utilizar o símbolo * pararepresentar um caractere qualquer. As seguintes opções são e-mails válidos:= *@* - Corresponde a qualquer e-mail= *@aker.com.br - Corresponde a todos os e-mails do domínio aker.com.brPara executar qualquer operação sobre um e-mail ou domínio, deve-se clicar sobreele com o botão direito e a seguir escolher a opção desejada no menu que serámostrado. As seguintes opções estão disponíveis:© Aker Security Solutions 167

Figura 107. Opção para realizar uma operação sobre um e-mail ou domínio.Incluir: Esta opção permite incluir um novo endereço;Excluir: Esta opção remove da lista o endereço selecionado;Importar: Esta opção importa a lista de e-mails a partir de um arquivo .ctt(formado de contatos do Messenger) ou .txt (arquivo texto com um e-mail porlinha);Exportar: Esta opção exporta a lista de e-mails para um arquivo .ctt(formado de contatos do Messenger) ou .txt (arquivo texto com um e-mail porlinha).A lista deve ter apenas "enter ou (\n)" como separadores na lista de domínios.Incluindo / editando listas de tipos de arquivosListas de tipos de arquivos são entidades usadas no proxy MSN com o objetivo dedefinir quais tipos de arquivos podem ser enviados e recebidos, através do MSNMessenger.Figura 108. Lista dos tipos de arquivos.© Aker Security Solutions 168

Para cadastrar uma entidade do tipo lista de arquivos deve-se preencher osseguintes campos:Nome: É o nome pelo qual a lista de tipos de arquivos será sempre referenciadopelo firewall. É possível especificar este nome manualmente ou deixar que ele sejaatribuído automaticamente. A opção Automático permite escolher entre estes doismodos de operação: caso ela esteja marcada, a atribuição será automática, casocontrário, manual.Letras maiúsculas e minúsculas são consideradas diferentes nos nomes dasentidades. Desta forma é possível a existência de várias entidades compostas denomes com as mesmas letras, porém com combinações distintas de maiúsculas eminúsculas. As entidades Aker, AKER e aker são consideradas diferentes.Para executar qualquer operação sobre uma entrada da lista, deve-se clicar sobreela com o botão direito e a seguir escolher a opção desejada no menu que serámostrado. As seguintes opções estão disponíveis:Figura 109. Opção para realizar uma operação (Entrada da lista).Incluir: Incluir um novo tipo de arquivo;Excluir: Remover da lista o tipo de arquivo selecionado;Duplicar: Criar uma nova entrada na lista, idêntica à entrada selecionada, sendoindicada para criar vários tipos com a mesma descrição;Para cada entrada, os seguintes campos devem ser preenchidos:Extensão: Extensão do arquivo sem o ponto. Ex.: zip, exe, etc.Descrição: Breve descrição do tipo associado à extensão.Incluindo / editando acumuladoresAcumuladores são entidades usadas nas regras de filtragem com o objetivo decoletar estatísticas sobre o tráfego de rede. Um mesmo acumulador pode serutilizado em várias regras de filtragem. O tráfego que encaixar em cada uma destasregras é sumarizado pelo acumulador. A sua utilização está descrita nos capítulos:O Filtro de Estados e Visualizando estatísticas.© Aker Security Solutions 169

Figura 110. Acumuladores.Para cadastrar uma entidade do tipo acumulador deve-se preencher os seguintescampos:Nome: É o nome pelo qual o acumulador será sempre referenciado pelo firewall. Épossível especificar este nome manualmente ou deixar que ele seja atribuídoautomaticamente. A opção Automático permite escolher entre esses dois modos deoperação: se ela estiver marcada, a atribuição será automática caso contrário serámanual.Letras maiúsculas e minúsculas são consideradas diferentes nos nomes dasentidades. Desta forma, é possível a existência de várias entidades compostas denomes com as mesmas letras, porém com combinações distintas de maiúsculas eminúsculas. As entidades Aker, AKER e aker são consideradas diferentes.Ícone: É o ícone que aparecerá associado ao acumulador em todas as referências.Para alterá-lo, basta clicar sobre o desenho do ícone atual. O firewall entãomostrará uma lista com todos os possíveis ícones para representar interfaces. Paraescolher entre eles basta clicar no ícone desejado e no botão OK. Caso não queiraalterá-lo após ver a lista, basta clicar no botão Cancelar.Comentário: É um campo texto livre, usado apenas para fins de documentação.Após todos os campos estarem preenchidos, deve-se clicar no botão OK pararealizar a inclusão ou alteração do acumulador. Para cancelar as alteraçõesrealizadas ou a inclusão, deve-se pressionar o botão Cancelar .Para facilitar a inclusão de vários acumuladores seguidamente, existe um botãochamado Nova (que não estará habilitado durante uma edição). Ao clicar nestebotão fará com que os dados do acumulador que foram preenchidos sejam incluídose mantida aberta a janela de inclusão de acumuladores onde estará pronta parauma nova inclusão. Desta forma é possível cadastrar rapidamente um grandenúmero de acumuladores.© Aker Security Solutions 170

Incluindo / editando CanaisCanais são entidades usadas nas regras de filtragem com o objetivo de limitar abanda de determinados serviços, máquinas, redes e/ou usuários. Seu uso estádescrito no capítulo: O Filtro de Estados.Figura 111. Cadastro de entidade tipo Canal.Para cadastrar uma entidade do tipo Canal deve-se preencher os seguintescampos:Nome: É o nome pelo qual o canal será sempre referenciado pelo firewall. Épossível especificar este nome manualmente ou deixar que ele seja atribuídoautomaticamente. A opção Nome automático permite escolher entre estes doismodos de operação: caso ela esteja marcada, a atribuição será automática, casocontrário, manual.Letras maiúsculas e minúsculas são consideradas diferentes nos nomes dasentidades. Desta forma, é possível a existência de várias entidades compostas denomes com as mesmas letras, porém com combinações distintas de maiúsculas eminúsculas. As entidades Aker, AKER e aker são consideradas diferentes.Ícone: É o ícone que aparecerá associado ao Canal em todas as referências. Paraalterá-lo, basta clicar sobre o desenho do ícone atual. O firewall então mostrará uma© Aker Security Solutions 171

lista com todos os possíveis ícones para representar interfaces. Para escolher entreeles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo apósver a lista, basta clicar no botão Cancelar.Largura de Banda: É um campo texto usado para designar a largura de banda(velocidade máxima de transmissão em bits por segundo) deste Canal. Esta bandaserá compartilhada entre todas as conexões que usarem este Canal. Deve serescolhida a unidade de medida mais conveniente.Banda de upload: velocidade máxima de transmição em bits por segundo definidapara realizar um upload.Banda de download: velocidade máxima de transmição em bits por segundodefinida para realizar um download.Buffer: É um campo texto usado para designar o tamanho do buffer (espaçotemporário de dados utilizado para armazenar pacotes que serão transmitidos)utilizado por este Canal. Deve ser escolhida a unidade de medida. É possívelespecificar este tamanho manualmente ou deixar que ele seja atribuídoautomaticamente.A opção Automático permite escolher entre estes dois modos de operação: se elaestiver marcada, a atribuição será automática, senão manual.Após todos os campos estarem preenchidos, deve-se clicar no botão OK pararealizar a inclusão ou alteração do Canal. Para que as alterações e as inclusõessejam canceladas deve-se pressionar o botão Cancelar .Para facilitar a inclusão de vários Canais seguidamente, existe um botão chamadoNova (que não estará habilitado durante uma edição). Ao clicar este botão fará comque os dados da canal que foram preenchidos sejam incluídos e mantida aberta ajanela de inclusão de canais onde estará pronta para uma nova inclusão. Destaforma é possível cadastrar rapidamente um grande número de canais.6.3. Utilizando a interface textoA utilização da interface texto na configuração das entidades é bastante simples epossui praticamente todos os recursos da interface gráfica. As únicas opções nãodisponíveis são a criação de serviços que utilizem proxies transparentes e a ediçãode pseudo-grupos de uma autoridade certificadora. É importante comentar,entretanto, que na interface texto os agentes externos são mostrados e criadosdiretamente pelo seu sub-tipo.Localização do programa: /aker/bin/firewall/fwent© Aker Security Solutions 172

Sintaxe:Uso: fwent ajudafwent mostrafwent remove fwent inclui maquina < | > < | >< | >< | >fwent inclui radius [ ] fwent inclui anti-virus [] [] fwent inclui ids [] [] fwent inclui analisador-url [] [] fwent inclui interface []fwent inclui acumulador []fwent inclui servico [TCP | UDP | ICMP | OUTRO] [..fwent inclui ca :fwent inclui pipe [ ]fwent inclui log_remoto [IP] [IP] fwent inclui quota [ kbytes ] [ segundos ]fwent - Interface texto para configuracao das entidadesAjuda do programa :inclui = inclui uma nova nova entidaderemove = remove uma entidade existenteajuda = mostra esta mensagem© Aker Security Solutions 173

Para remove / inclui temos:nome = nome da entidade a ser criada ou removidaPara inclui temos:IP = endereco IP da maquina ou da redemascara = mascara da rede entidade = nome das entidades a seremacrescentadas no conjunto(OBS: Somente podem fazer parte de um conjunto entidades do tipo maquina ourede)senha = senha de acessot. cache = tempo em segundos de permanencia de uma entrada no cache deautenticacao TCP = servico utiliza protocolo TCPUDP = servico utiliza protocolo UDPICMP = servico utiliza protocolo ICMPOUTRO = servico utiliza protocolo diferente dos acima citadosvalor = Numero que identica o servico.Para os protocolos TCP e UDP, e' o valor da porta associada ao servico.No caso de ICMP, e' otipo de servico e no caso de outros protocolos o numero doproprio protocolo. Pode-se especificar uma faixa atraves danotacao valor1..valor2, que significa a faixa de valorescompreendida entre o valor1 e o valor2 (inclusive).Para inclui ldap temos:root_dn = DN do usuario utilizado pelo firewall para as consultasroot_pwd = a senha deste usuariobase_dn = DN para comecar a buscaact_class= valor de objectclass que identifica objetos de contas validasusr_attr = o atributo onde se encontra o nome do usuariogrp_addr = o atributo onde se encontra o grupo do usuariopwd_addr = o atributo onde se encontra a senha do usuario-bind = nao tenta buscar a senha, em vez disso tenta conectar na base-append_dn = onde se adiciona base DN ao nome de usuário-ldap_v3 = atributo onde habilita ou não a versão 3 do protocolo LDAP-case_sensitive = permite a diferenciação de caracteres maiúsculos e minúsculosLDAP com as credenciais do usuario para valida-lo-ssl = usar conexao encriptada via ssl-tls = usar conexao encriptada via tls-nenhuma = nao usar conexao encriptada-no_pwd = permite senhas em branco para o usuario-pwd = nao permite senhas em branco para o usuarioExemplo 1:(visualizando as entidades definidas no sistema)© Aker Security Solutions 174

#fwent mostraMaquinas:---------cache 10.4.1.12firewall 10.4.1.11Redes:------AKER 10.4.1.0 255.255.255.0Internet 0.0.0.0 0.0.0.0Conjuntos:----------Maquinas Internas cache firewallAutenticadores:---------------Autenticador NT 10.0.0.1 10.0.0.2 600Unix 192.168.0.1 192.168.0.2 192.168.0.3 600Autenticadores do tipo token:-----------------------------Autenticador token 10.0.0.1 10.0.0.2 600Agentes IDS:------------Agente IDS 10.10.0.1Anti-Virus:-----------Anti-virus local 127.0.0.1Servicos:---------echo reply ICMP 8echo request ICMP 0ftp TCP 21snmp UDP 161telnet TCP 23Interfaces:----------Interface Externa xl0Interface Interna de0Exemplo 2:(cadastrando uma entidade do tipo máquina)#/aker/bin/firewall/fwent inclui maquina Servidor_1 10.4.1.4Entidade incluidaExemplo 3:(cadastrando uma entidade do tipo rede)#/aker/bin/firewall/fwent inclui rede Rede_1 10.4.0.0 255.255.0.0Entidade incluida© Aker Security Solutions 175

Exemplo 4:(cadastrando uma entidade do tipo serviço)#/aker/bin/firewall/fwent inclui servico DNS UDP 53Entidade incluidaExemplo 5:(cadastrando uma entidade do tipo autenticador)#/aker/bin/firewall/fwent inclui autenticador "Autenticador Unix" 10.4.2.2 senha_123900Entidade incluidaO uso de "" ao redor do nome da entidade é obrigatório quando inclui ou removeentidades cujo nome contém espaços.Exemplo 6: (incluindo uma entidade do tipo conjunto, cujos membros sãoas máquinas cache e firewall, previamente definidas)#/aker/bin/firewall/fwent inclui conjunto "Conjunto de teste" cache firewallEntidade incluidaExemplo 7: (incluindo uma entidade do tipo interface, sem especificar umcomentário)#/aker/bin/firewall/fwent inclui interface "Interface DMZ" fxp0Entidade incluidaExemplo 8: (incluindo uma entidade do tipo autenticador token, utilizando umamáquina primária e uma secundária, como backup)#/aker/bin/firewall/fwent inclui token "Autenticador token" 10.0.0.1 10.0.0.2 senha600Entidade incluidaExemplo 9: (removendo uma entidade)#/aker/bin/firewall/fwent remove "Autenticador Unix"Entidade incluida6.4. Utilizando o Assistente de EntidadesO assistente de criação de entidades pode ser invocado clicando-se no ícone ,localizado na parte inferior da janela de entidades. O seu intuito é simplificar a tarefade criação das entidades, podendo ser utilizado sempre que desejado. Ele consistede várias janelas mostradas em série, dependendo do tipo de entidade a ser criada.Seu uso é extremamente simples e o exemplificaremos para a criação de umaentidade do tipo máquina:© Aker Security Solutions 176

1 - A primeira janela mostrada é uma breve explicação dos procedimentos a seremrealizados:Figura 112. Mensagem de entrada no Assistente de criação de entidades.© Aker Security Solutions 177

2 - Escolher tipo de entidade. Na segunda janela deve escolher o tipo de entidade aser cadastrada:Figura 113. Escolha do tipo de entidade.© Aker Security Solutions 178

3 - Localizar o endereço IP. Para cadastrar uma máquina deve ser especificado oendereço IP correspondente. Caso queira obter esse endereço, deve ser informadoo nome da máquina e logo em seguida clicar no botão Resolva:Figura 114. Inserção do endereço de IP da máquina.© Aker Security Solutions 179

4 - Atribuição do nome da entidade. Pode-se escolher o nome ou usar a atribuiçãoautomática:Figura 115. Atribuição do nome da entidade.© Aker Security Solutions 180

5 -Escolha do ícone da entidade. Para escolher o ícone da entidade deve-se clicarem um dos ícones que aparecem na janela. Observe que o ícone selecionado iráaparecer à direita da janela:Figura 116. Escolha do ícone da entidade.© Aker Security Solutions 181

6 - Finalização do cadastramento. Será mostrado um resumo dos dados daentidade. Para cadastrá-la deve-se clicar no botão Finalizar:Figura 117. Mensagem de finalização do cadastramento.© Aker Security Solutions 182

O Filtro de Estado© Aker Security Solutions 183

7. O Filtro de EstadoEste capítulo mostrará como configurar as regras que propiciarão a aceitação ounão de conexões pelo firewall. Este módulo é o mais importante do sistema e éonde normalmente se gasta o maior tempo de configuração.7.1. Planejando a instalaçãoO que é um filtro de pacotes?Um filtro de pacotes é o módulo que irá decidir se um determinado pacote poderápassar através do firewall ou não. Deixar um pacote passar, implica em aceitar umdeterminado serviço. Bloquear um pacote significa impedir que este serviço sejautilizado.Para que seja decidido qual ação a ser tomada para cada pacote que chega aofirewall, o filtro de pacotes possui um conjunto de regras configurado peloadministrador do sistema. Para cada pacote que chega, o filtro de pacotes percorreeste conjunto de regras, na ordem em que foi criado, verificando se este, encaixaem alguma das regras. Se ele se encaixar em uma regra então a ação definida paraela será executada. Caso o filtro termine a pesquisa de todas as regras e o pacotenão se encaixe em nenhuma delas então a ação padrão será executada.O que é o filtro de estados do Aker Firewall?Um filtro tradicional de pacotes baseia suas ações exclusivamente no conjunto deregras configurado pelo administrador. Para cada pacote que poderá passar pelofiltro, o administrador tem que configurar uma regra que possibilite sua aceitação.Em alguns casos isto é simples, mas em outros isto não é possível de ser feito oupelo menos não é possível realizar com a segurança e flexibilidade necessárias.O filtro de pacotes do Aker Firewall é chamado de filtro de estados. Armazenainformações do estado de todas as conexões que estão fluindo por meio dele e usaestas informações em conjunto com as regras definidas pelo administrador na horade tomar a decisão de permitir ou não a passagem de um determinado pacote. Alémdisso, diferentemente de um filtro de pacotes que baseia suas decisões apenas nosdados contidos no cabeçalho do pacote, o filtro de estados examina dados de todasas camadas e utiliza todos estes dados ao tomar uma decisão.Vamos analisar como isso permite a solução de diversos problemas apresentadospelos filtros de pacotes tradicionais.O problema do protocolo UDP:© Aker Security Solutions 184

Para usar um serviço UDP, a máquina cliente inicialmente escolhe um número deporta (que é variável cada vez que o serviço for utilizado) e envia um pacote para aporta da máquina servidora correspondente ao serviço (esta porta na máquinaservidora é fixa). A máquina servidora, ao receber a requisição, responde com umou mais pacotes para a porta da máquina cliente. Para que a comunicação sejaefetiva o firewall deve permitir a passagem dos pacotes de solicitação do serviço ede resposta. O problema é que o protocolo UDP não é orientado à conexão, istosignifica que se um determinado pacote for observado isoladamente, fora de umcontexto, não pode saber se ele é uma requisição ou uma resposta de um serviço.Nos filtros de pacotes tradicionais; como o administrador não pode saberinicialmente, qual a porta será escolhida pela máquina cliente para acessar umdeterminado serviço, ele pode ou bloquear todo o tráfego UDP ou permitir apassagem de pacotes para todas as possíveis portas. Ambas as abordagenspossuem alguns problemas.O Aker Firewall possui a capacidade de se adaptar dinamicamente ao tráfego demodo a resolver possíveis problemas. Um exemplo é quando um pacote UDP éaceito por uma das regras configuradas pelo administrador, com isso é adicionadauma entrada em uma tabela interna, chamada de tabela de estados, de modo apermitir que os pacotes de resposta ao serviço correspondente possam voltar para amáquina cliente. Esta entrada só fica ativa durante um curto intervalo de tempo, aofinal do qual ela é removida (este intervalo de tempo é configurado através da janelade configuração de parâmetros, mostrada no capítulo intitulado Configurando osparâmetros do sistema). Desta forma, o administrador não precisa se preocuparcom os pacotes UDP de resposta, sendo necessário apenas configurar as regraspara permitir o acesso aos serviços. Isto pode ser feito facilmente, já que todos osserviços possuem portas fixas.O problema do protocolo FTP:O FTP é um dos protocolos mais populares da Internet, porém é um dos maiscomplexos de ser tratado por um firewall. Vamos analisar seu funcionamento:Para acessar o serviço FTP, inicialmente a máquina cliente abre uma conexão TCPpara a máquina servidora na porta 21. (a porta usada pelo cliente é variável). Estaconexão é chamada de conexão de controle. A partir daí, para cada arquivotransferido ou para cada listagem de diretório, uma nova conexão é estabelecida,chamada de conexão de dados. Esta conexão de dados pode ser estabelecida deduas maneiras distintas:1. O servidor pode iniciar a conexão a partir da porta 20 em direção a uma portavariável, informada pelo cliente pela conexão de controle (este é chamado deFTP ativo)2. O cliente pode abrir a conexão a partir de uma porta variável para uma outraporta variável do servidor, informada para o cliente através da conexão decontrole (este é chamado de FTP passivo).© Aker Security Solutions 185

Nos dois casos o administrador não tem como saber quais portas serão escolhidaspara estabelecer as conexões de dados e desta forma, se ele desejar utilizar oprotocolo FTP através de um filtro de pacotes tradicional, deverá liberar o acessopara todas as possíveis portas utilizadas pelas máquinas clientes e servidores. Istotem implicações sérias de segurança.O Aker Firewall tem a capacidade de vasculhar o tráfego da conexão de controleFTP e desta forma descobrir qual o tipo de transferência que será utilizada (ativa oupassiva) e quais portas serão usadas para estabelecer as conexões de dados.Desta forma, todas as vezes que o filtro de pacotes determinar que umatransferência de arquivos será realizada, ele acrescenta uma entrada na tabela deestados de modo a permitir que a conexão de dados seja estabelecida. Esta entradasó fica ativa enquanto a transferência estiver se realizando e caso a conexão decontrole esteja aberta, propiciando o máximo de flexibilidade e segurança. Nestecaso, para configurar o acesso FTP deve-se acrescentar uma regra liberando oacesso para a porta da conexão de controle (porta 21). Todo o resto será feitoautomaticamente.O problema do protocolo Real Áudio:O protocolo Real Áudio é o mais popular protocolo de transferência de som e vídeoem tempo real através da Internet.Para que seja possível uma transmissão de áudio ou vídeo é necessário que ocliente estabeleça uma conexão TCP para o servidor de Real Áudio. Além destaconexão, para conseguir uma melhor qualidade de som, o servidor pode abrir umaconexão UDP para o cliente, para uma porta randômica informada em tempo realpelo cliente e o cliente também pode abrir uma outra conexão UDP para o servidor,também em uma porta randômica informada pelo servidor no decorrer da conexão.Os filtros de pacotes tradicionais não permitem o estabelecimento das conexõesUDP do servidor para o cliente e vice-versa, uma vez que as portas não sãoconhecidas antecipadamente, fazendo com que a qualidade, do áudio e vídeoobtidas, seja bastante inferior.O filtro de estados do Aker Firewall acompanha toda a negociação do servidor RealÁudio com o cliente de modo a determinar se as conexões UDP serão abertas equais portas serão usadas acrescentando esta informação em uma entrada na suatabela de estados. Esta entrada na tabela de estados só fica ativa enquanto aconexão de controle TCP estiver aberta, propiciando o máximo de segurança.O problema do protocolo Real Video (RTSP):O protocolo Real Vídeo é suportado pelo firewall. Assim como o Real Áudio, astransações são controladas pelo firewall, permitindo uma total segurança do uso deaplicações de Real Vídeo.© Aker Security Solutions 186

Montando regras de filtragem em um filtro de pacotes simplesAntes de mostrar como funciona a configuração do filtro de estados do Aker Firewallé interessante explicar o funcionamento básico de um filtro de pacotes simples:Existem vários critérios possíveis para realizar filtragem de pacotes. A filtragem deendereços pode ser considerada a mais simples de todas, pois ela consiste emfazer uma comparação entre os endereços dos pacotes e os endereços das regras.Caso os endereços sejam iguais, o pacote é aprovado. Esta comparação é feita daseguinte forma:Trabalharemos com a seguinte regra: Todas as máquinas da rede 10.1.x.x podemse comunicar com as máquinas da rede 10.2.x.x. Escreveremos esta regrautilizando o conceito de mascaramento (para maiores informações, veja o capítulointitulado Cadastrando Entidades). Assim temos:10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0------- Origem ------ ------- Destino -------Vamos agora aplicar a regra a um pacote que trafega da máquina 10.1.1.2 para amáquina 10.3.7.7. Aplica-se a máscara da regra aos dois endereços, o da regra e odo pacote e verifica se os endereços de destino e o de origem são iguais.Para o endereço origem temos10.1.0.0 AND 255.255.0.0 = 10.1.0.0 (para a regra)10.1.1.2 AND 255.255.0.0 = 10.1.0.0 (para o pacote)Temos então que os dois endereços origem são iguais após a aplicação damáscara. Veremos agora para o endereço destino:10.2.0.0 AND 255.255.0.0 = 10.2.0.0 (para a regra)10.3.7.7 AND 255.255.0.0 = 10.3.0.0 (para o pacote)Como o endereço destino do pacote não está igual ao endereço destino da regraapós a aplicação da máscara, por definição, esta regra não se aplicaria a estepacote.Esta operação é feita em toda a lista de endereços e máscaras destino e origem atéo fim da lista, ou até uma das regras aplicar para o pacote examinado. Uma lista deregras teria a seguinte forma:10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0© Aker Security Solutions 187

10.3.3.2 & 255.255.255.255 -> 10.1.2.1 & 255.255.255.25510.1.1.0 & 255.0.0.0 -> 10.2.3.0 & 255.255.255.010.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0Além dos endereços origem e destino, cada pacote IP possui um protocolo e umserviço associado. Esta combinação de serviço mais protocolo pode ser utilizadocomo mais um critério de filtragem.Os serviços no protocolo TCP, por exemplo, estão sempre associados a uma porta(para maiores informações, veja o capítulo intitulado Cadastrando Entidades).Assim, pode-se também associar uma lista de portas aos endereços.Pegaremos como exemplo dois serviços conhecidos, o POP3 e o HTTP. O POP3está associado à porta 110 do servidor e o HTTP está associado à porta 80. Assim,iremos acrescentar estas portas no formato da regra. Teremos então:10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 TCP 80 110------- Origem ------ ------- Destino ------- - Protocolo - --Portas-Esta regra autoriza todo pacote que vai da rede 10.1.x.x para a rede 10.2.x.x e queutiliza os serviços HTTP ou POP3 a trafegar pelo firewall.Assim, em uma primeira etapa compara-se os endereços da regra com os dopacote. Caso estes endereços sejam iguais após a aplicação das máscaras, passasea comparar o protocolo e a porta destino no pacote com o protocolo e a lista deportas associados à regra. Se o protocolo for o mesmo e se for encontrada umaporta da regra igual à porta do pacote, esta regra por definição se aplica ao pacote,caso contrário a pesquisa continua na próxima regra.Assim um conjunto de regras teria o seguinte formato:10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0 UDP 5310.3.3.2 & 255.255.255.255 -> 10.1.2.1 & 255.255.255.255 TCP 8010.1.1.0 & 255.0.0.0 -> 10.2.3.0 & 255.255.255.0 TCP 21 20 11310.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 ICMP 0 8Montando regras de filtragem para o Aker FirewallConfigurar as regras de filtragem no Aker Firewall é algo muito fácil em função desua concepção inteligente. Toda a parte de endereços IP, máscaras, protocolos,© Aker Security Solutions 188

portas são interfaces e são configuradas nas entidades (para maiores informações,veja o capítulo intitulado Cadastrando Entidades). Com isso, ao configurar umaregra não é necessário preocupar com qual porta um determinado serviço utiliza ouqual o endereço IP de uma rede. Tudo isso já foi previamente cadastrado. Parafacilitar ainda mais, todos os serviços mais utilizados na Internet já vem previamenteconfigurado de fábrica, não havendo a necessidade de gastar tempo pesquisandoos dados de cada um.Basicamente, para cadastrar uma regra, o administrador deve especificar asentidades de origem, destino e os serviços que farão parte da regra. Ele podetambém especificar uma interface de origem para os pacotes e definir em quaishorários a regra estará ativa, em uma tabela de horários semanal. Com o uso destatabela de horários é possível liberar determinados serviços em determinadas horasdo dia (por exemplo, liberar IRC, ou bate-papo, apenas nos horários fora doexpediente). Se um pacote chegar a um horário no qual a regra não está marcadocomo ativa, ela será ignorada, fazendo com que a busca continue na próxima regrada lista.O funcionamento do filtro é simples: o firewall irá pesquisar uma a uma as regrasdefinidas pelo administrador, na ordem especificada, até que o pacote se encaixeem uma delas. A partir deste momento, ele irá executar a ação associada à regra,que pode ser aceita, rejeitada ou descartada (estes valores serão explicados nopróximo tópico). Caso a pesquisa chegue ao final da lista e o pacote não seenquadre em nenhuma regra então este será descartado (é possível configurarações para serem executadas neste caso). Isto será tratado no capítulo intitulado:Configurando as ações do sistema.7.2. Editando uma lista de regras usando a interface gráficaPara ter acesso a janela de configuração de regras basta:© Aker Security Solutions 189

Figura 118. Dispositivos remotos ( Acesso a janela de configuração das regras).Clicar no menu Configurações do firewall da janela principal.Selecionar o item Regras de Filtragem.A janela de regras de filtragemFigura 119. Janelas de regras de filtragem.© Aker Security Solutions 190

A janela de regras contém todas as regras de filtragem definidas no Aker Firewall.Cada regra será mostrada em uma linha separada, composta de diversas células.Caso uma regra esteja selecionada, ela será mostrada em uma cor diferente.O botão OK fará com que o conjunto de regras seja atualizado e passe a funcionarimediatamente.O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas e ajanela seja fechada.O botão Aplicar enviará para o firewall todas as alterações feitas porém manterá ajanela abertaAo clicar sobre uma regra que tenha algum comentário, este aparecerá na parteinferior da janelaPara executar qualquer operação sobre uma determinada regra, deve-se clicar como botão direito do mouse sobre o campo que queira alterar. Aparecerá um menucom as opções de entidades referentes ao campo, como na figura abaixo:Figura 120. Menu com opções de entidades referente ao campo.© Aker Security Solutions 191

Inserir: Incluir uma nova regra na lista. Se alguma regra estiver selecionada, a novaregra será inserida na posição da selecionada. Caso contrário, a nova regra seráincluída no final da lista.Copiar: Copiar a regra selecionada para uma área temporária.Colar: Copiar a regra da área temporária para a lista. Se uma regra estiverselecionada, a nova será copiada para a posição da regra selecionada. Casocontrário ela será copiada para o final da lista.Excluir: Remover da lista a regra selecionada.Habilitar/Desabilitar: Desabilitar/habilitar a regra selecionada.Adicionar entidades: Adicionar uma entidade cadastrada no firewall. Veja se oponteiro do mouse está sobre o campo o qual se quer inserir a entidade.Remover entidades: Remover uma entidade que foi inserida na regra.Dica: A posição de cada regra pode ser alterada, bastando clicar e arrastar amesma para a nova posição desejada, soltando em seguida.Política Padrão: pode-se definir uma nova política, clicando no botão "Política" nabarra de ferramentas do Firewall. É possível editar um nome e uma cor para cadapolítica, inclusive a padrão.Adicionando e removendo entidades e serviços na regraPara adicionar uma entidade a um destes campos, pode-se proceder de duasformas:1. Selecionar a entidade a ser incluída, clicando sobre ela na tabela de entidades,localizada na parte inferior esquerda da janela e a arraste para o campocorrespondente. As teclas Insert e Delete podem inserir e remover as entidadesrespectivamente.2. Clicar com o botão direito do mouse sobre o campo onde se deseja adicionar asentidades, será exibida uma lista das entidades pertinentes ao camposelecionado, bem como que tipo de ação se deseja aplicar sobre as mesmas.3. O duplo-clique na entidade irá permitir a edição da mesma.Para remover uma entidade de um destes campos, deve-se proceder da seguinteforma:1. Clicar com o botão direito do mouse sobre o campo onde se encontra a entidadeque se deseja remover e será exibida uma lista das entidades participantes docampo com a opção de remoção da entidades no seguinte formato: remover'entidade_removida'.2. Pode-se utilizar a opção Remover Entidade para eliminar várias entidades deuma vez.Na criação de regras ao selecionar as entidades, deve-se observar a origem e odestino destas. Se especificar um endereço ipv4 na origem, obrigatoriamente deveseespecificar um endereço ipv4 no destino, a mesma coisa acontece caso a opçãoseja o endereço ipv6.© Aker Security Solutions 192

Parâmetros da regra:Além das especificações básicas de uma regra, entidades de origem, entidades dedestino e serviços, deve-se levar em conta outros parâmetros de configuração:Acumulador: Define qual o acumulador para os pacotes da regra. A opção nenhumdesativa a contabilização dos pacotes que se encaixem nesta regra. Se forescolhido um acumulador, serão adicionados a ele a quantidade de bytes e pacotesencaixados nesta regra.Canal: Define o canal que será utilizado para controlar a banda para a regra. Aopção nenhum desativa a utilização de controle de banda para esta regra.Ação: Este campo define qual a ação a ser tomada para todos os pacotes que seencaixem nesta regra. Ela consiste nas seguintes opções:Aceita: Autorizar os pacotes, que encaixaram na regra, a passarem através dofirewall.Rejeita: Impedir a passagem pelo firewall, dos pacotes que se encaixaram nestaregra. Assim será enviado um pacote ICMP para a máquina de origem do pacotedizendo que o destino é inatingível. Esta opção não funciona para alguns tipos deserviço ICMP, devido a uma característica inerente a este protocolo.Descarta: Significa que os pacotes que se encaixarem nesta regra não passarãopelo firewall, mas não será enviado nenhum pacote para a máquina de origem.Restrições: Este campo permite especificar exigências adicionais que um pacotedeve cumprir para que ele se encaixe nesta regra. Ele é formado pelas seguintesopções:Nenhum: Não existe nenhuma exigência adicional.Somente se encriptado: Neste caso, para que um pacote se enquadre nestaregra, ele deverá obrigatóriamente vir encriptado/autenticado, ou seja, vir deum canal seguro. Esta opção é particularmente útil quando está utilizandoclientes de criptografia e deseja que apenas conexões provenientes destesclientes (ou de canais de criptografia firewall-firewall) sejam aceitas. Paramaiores informações sobre criptografia e canais seguros, veja o capítulo:Criando canais de criptografia.Somente se encriptado e de um usuário autenticado: Neste caso, paraque os pacotes sejam aceitos, além deles virem encriptados/autenticados, ousuário que estabeleceu o canal seguro deve ter sido autenticado pelofirewall. A única maneira de um pacote atender esta exigência é ele serproveniente de um cliente de criptografia e a opção de realizar autenticaçãode usuários para os clientes de criptografia, estar ativa.© Aker Security Solutions 193

Log: Definir quais tipos de ações serem executadas pelo sistema quando umpacote se encaixar na regra. Ele consiste em várias opções que podem serselecionadas independentemente uma das outras. Os valores possíveis são:Logs: Se esta opção estiver selecionada, todos os pacotes que seenquadrarem nesta regra serão registrados no log do sistema.Envia email: Se esta opção estiver selecionada, será enviado um e-mailtodas as vezes que um pacote enquadrar-se nesta regra (a configuração doendereço de e-mail será mostrada no capítulo intitulado configurando asações do sistema).Executar programa: Ao selecionar essa opção, será executado umprograma definido pelo administrador todas as vezes que um pacote seenquadrar nesta regra (a configuração do nome do programa a ser executadoserá mostrada no capítulo intitulado configurando as ações do sistema).Disparar mensagens de alarme: Ao selecionar essa opção, o firewallmostrará uma janela de alerta todas as vezes que um pacote se enquadrarnesta regra. Esta janela de alerta será mostrada na máquina onde a interfacegráfica remota estiver aberta e, se a máquina permitir, será emitido tambémum aviso sonoro. Caso a interface gráfica não esteja aberta, não serámostrada nenhuma mensagem e esta opção será ignorada.Enviar Trap SMNP: Se esta opção estiver selecionada, será enviada umaTrap SNMP para cada pacote que enquadrar nesta regra (a configuração dosparâmetros para o envio das traps será mostrada no capítulo intituladoconfigurando as ações do sistema).No caso do protocolo TCP, somente serão executadas as ações definidas naregra para o pacote de abertura de conexão. No caso do protocolo UDP, todos ospacotes que forem enviados pela máquina cliente e se enquadrarem na regra(exceto os pacotes de resposta) provocarão a execução das ações.Tabela de horários: Definir as horas e dias da semana em que a regra seráaplicável. As linhas representam os dias da semana e as colunas representam ashoras. Caso queira que a regra seja aplicável em determinada hora o quadradodeve ser preenchido, caso contrário o quadrado deve ser deixado em branco.Para facilitar sua configuração, pode-se clicar com o botão esquerdo do mousesobre um quadrado e a seguir arrastá-lo, mantendo o botão pressionado. Isto fazcom que a tabela seja alterada na medida em que o mouse se move.Período de validade: Permitir o cadastro de duas datas que delimitam um períodofora do qual a regra não tem validade. É um recurso muito útil para, por exemplo,liberar o tráfego relacionado a um evento não recorrente, como um teste. Se o© Aker Security Solutions 194

período ainda não tiver começado ou estiver expirado, o número da regra serámostrado sobre um fundo vermelho.Comentário: Inserir um comentário sobre a regra. Muito útil na documentação emanutenção das informações sobre a utilidade da regra.Verificação de regrasA verificação de regras é feita por meio do ícone , ou então automaticamente,quando o usuário aplica as regras no botão aplicar na janela de Regras de filtragem.A verificação pelo botão aplicar só será feita se a opção estiver habilitada, estaopção é configurada no menu configurações > suprimir > verificar regras.Figura 121. Menu ícone de verificação de regras.O botão verificar faz a verificação da conexão com o Aker Control Center e averificação das regras eclipsadas. A primeira permite checar se existe alguma regraque impeça o usuário de conectar-se no firewall que ele está atualmenteconfigurando.Exemplo: O ip do usuário é o 10.0.0.1 e o do firewall é o 10.0.0.2 e a porta docontrol center é a 1020. Caso exista alguma regra dizendo que é para rejeitar ospacotes de origem 10.0.0.1 e destino 10.0.0.2 na porta 1020, e caso esta regra sejaaplicada, implicará na impossibilidade do usuário se conectar a esse firewall. É ummecanismo para impedir que o próprio usuário tire o seu acesso de conexão nofirewall, sendo assim um tipo de regra problemático que o verificador de regrasválidas.A segunda verificação é a da regra "eclipsa", é necessária essa verificação quandoa regra 1 engloba completamente a regra 2, impedindo que a regra 2 seja atingida.Exemplo: A regra 1 tem origem 0.0.0.0 (qualquer origem), destino 0.0.0.0 (qualquerdestino) e todas as portas TCP 7. A regra 2 tem origem 10.0.0.1, destino 10.0.0.2 eporta TCP 7. A primeira regra faz tudo o que a segunda regra faz, então a segundaregra nunca vai ser atingida, porque a primeira regra vai ser processada primeiro enão vai deixar com que a outra regra seja alcançada.Obs.: Todas as regras que são verificadas, são regras que já existem ou seja, quejá foram definidas.© Aker Security Solutions 195

Figura 122. Verificador de regras.Utilização dos Canais na Regra de Filtragem do Aker FirewallO administrador pode definir Qualidade de Serviço (QoS) diferenciada para cadatipo de regra. No caso da figura abaixo, foi criado um canal de 500Kbits e aplicadonas regras 8 e 9. O servidor "Correio_SMTP" possui prioridade no tráfego pois aprioridade para ele no canal está como "Muito alto".Figura 123. Regras de filtragem (Exemplo de canal de 50KBits).© Aker Security Solutions 196

Para ajustes de prioridade de canal, basta clicar como o botão direito na entidadeCanal e escolher a prioridade pelo botão deslizando. Veja a figura abaixo:Figura 124. Ajustes de prioridade de canal.7.3. Trabalhando com Políticas de FiltragemEste recurso permite que o administrador do firewall faça um agrupamento deregras dentro de um levantamento feito dos fluxos que ocorrerem entre as suas subredes.Para exemplificar, suponha que o administrador possua um firewall colocado entreas redes interna, DMZ e Internet, conforme esquema abaixo:© Aker Security Solutions 197

Figura 125. Exemplo de como trabalhar com políticas de filtragem.Pode-se verificar os possíveis fluxos de dados que poderão ocorrer entre essasredes. Para cada fluxo foi dada uma numeração e com isso pode-se concluir que osfluxos com números mais altos (5 e 6) serão considerados os mais inseguros, poisenvolvem o acesso da internet as redes DMZ e interna, respectivamente.Estes fluxos para o firewall serão desdobrados em regras de filtragem, com istopoderiam ter as seguintes regras:© Aker Security Solutions 198

Figura 126. Exemplo de regras de filtragem.No exemplo acima foram criadas as seguintes regras:© Aker Security Solutions 199

Regras Gerais do Firewall, de 1 a 4;Fluxo Interna para DMZ, de 5 a 7;Fluxo DMZ para Interna, de 8 a 10;Fluxo Interna para Internet, de 11 a 13;Fluxo DMZ para Internet, de 14 a 16;Fluxo Internet para DMZ, de 17 a 19;Fluxo Internet para Interna a 20.Repare que ao final de cada fluxo foi colocada uma regra bloqueando o mesmo (4,7, 10, 13, 16, 19 e 20). O objetivo desta técnica é evitar que erros cometidos aolongo do cadastramento das regras de filtragem possam abrir indevidamente umacesso não permitido, com isso caso uma regra não esteja colocada corretamentedentro do fluxo, ela cairá em um destes bloqueios que não permitirá o acessoindevido.Observe que no fluxo Internet para Rede Interna não existe nenhuma regracadastrada, apenas o bloqueio.Para melhor visualização e controle, o firewall permite agrupar estas regras pelosfluxos. A interface então ficaria desta forma:Figura 127. Interface regras de filtragem.Para criar novas “Políticas” basta clicar no ícone da barra de ferramentas "Política".Figura 128. Barra de ícones (Politíca).© Aker Security Solutions 200

A figura abaixo mostra o desdobramento das regras da política. Basta dar um duploclique na linha para exibir as regras que ela contém:Figura 129. Exibição das regras de filtragem.No caso de desabilitar uma política, todas as regras que ela contém tambémserão desabilitadas.7.4. Utilizando a interface textoA utilização da interface texto na configuração das regras de filtragem traz umadificuldade gerada pela grande quantidade de parâmetros que devem ser passadospela linha de comando.Não é possível configurar a tabela de horários nem especificar comentários paraas regras através da interface texto. Também não é possível especificar mais deuma entidade para origem ou destino da regra. Todas as regras acrescentadas poresta interface são consideradas aplicáveis em todas as horas da semana.Localização do programa: /aker/bin/firewall/fwrule.Sintaxe:Uso: fwrule [ajuda | mostra]fwrule [habilita | desabilita | remove] [forca] fwrule inclui [forca] [pipe ] [acumulador ]© Aker Security Solutions 201

Ajuda do programa:[loga] [mail] [trap] [programa] [alerta][encriptado | usuario ] [ ...]Firewall Aker - Versão 6.5fwrule - Configura tabela de regras do filtro de estadosUso: fwrule [ajuda | mostra]fwrule [habilita | desabilita | remove] fwrule inclui [forca] [pipe ] [acumulador ][loga] [mail] [trap] [programa] [alerta][encriptado | usuario ] [ ...]mostra = mostra todas as entradas da tabela de regrasinclui = inclui uma nova regra de filtragemhabilita = habilita uma regra de filtragem desabilitadadesabilita = desabilita uma regra de filtragem existenteremove = remove uma regra existenteajuda = mostra esta mensagemPara inclui temos:pos = posicao onde incluir a nova regra na tabela(Pode ser um inteiro positivo ou a palavra FIM para incluirno final da tabela)aceita = a regra aceita as conexoes que se enquadrarem nelarejeita = a regra rejeita as conexoes que se enquadrarem nela e enviapacote ICMP de destino inatingivel para maquina de origemdescarta = a regra descarta os pacotes recebidos (nao envia pacote ICMP)pipe = faz com que o trafego que se encaixe nesta regra sejadirecionado ao "pipe" indicado com peso relativo dado por:acumulador = faz com que o trafego que se encaixe nesta regra sejasomado a entidade acumulador especificadapeso = "ocioso", "m_baixo" (muito baixo), "baixo", "normal","alto", "m_alto" (muito alto) ou "tr" (tempo real)loga = loga os pacotes que se enquadrarem na regramail = envia e-mail para cada pacote que se enquadre na regratrap = gera trap SNMP para cada pacote que se enquadre na regraprograma = executa um programa para cada pacote que se enquadre na regraalerta = abre uma janela de alerta para cada pacote que se enquadre na regraencriptado = indica que a regra so e' valida se os pacotes vierem encriptadosusuario = indica que a regra so e' valida se os pacotes vierem© Aker Security Solutions 202

encriptados e o usuario tiver se autenticado previamente nofirewall. Esta condicao somente pode ser atendida porconexoes originadas de clientes de criptografiaservico = lista de nomes dos servicos para a nova regraPara habilita / desabilita / remove temos:pos = numero da regra a ser habilitada, desabilitada ou removidaExemplo 1: (visualizando as regras de filtragem)#/aker/bin/firewall/fwrule mostraRegra 01--------Origem : InternetDestino : firewall cacheAcao : DescartaLog : Loga Trap AlertaServicos : todos_tcp todos_udptodos_icmpRegra 02--------Origem : cache firewallDestino : InternetAcao : AceitaLog : LogaServicos : http ftpRegra 03--------OrigemDestinoAcaoLogServicosRegra 04--------OrigemDestinoAcaoLogServicos: Internet: Mail server: Aceita: Loga: smtp: Empresas externas: Aker: Aceita: Loga: smtp© Aker Security Solutions 203

Exemplo 2: (removendo a quarta regra de filtragem)#/aker/bin/firewall/fwrule remove 4Regra 4 removidaExemplo 3: (incluindo uma nova regra no final da tabela)#/aker/bin/firewall/fwrule inclui fim Internet "Mail server" aceita loga smtpRegra incluida na posicao 4As entidades Internet e Mail server, bem como o serviço smtp devem ter sidopreviamente cadastradas no sistema. Para maiores informações sobre comocadastrar entidades no Aker Firewall, veja o capítulo intitulado CadastrandoEntidades.O uso de "" ao redor do nome da entidade a ser incluída na regra é obrigatórioquando este contém espaços.7.5. Utilizando o assistente de regrasO assistente de regras pode ser acionado pelo menu ou pela barra de tarefas. Casoo número de regras for muito pequeno o próprio assistente será acionadoautomaticamente.1 - Acionando do assistente de regras. A janela abaixo aparecerá quando umnúmero muito pequeno de regras for detectado.Figura 130. Assitente de regras filtragem (janela exibida quando um número pequeno de regras fordetectado.© Aker Security Solutions 204

2 - Tela inicial com as explicações necessárias.Figura 131. Mensagem de boas vindas ao Assitente de regras filtragem.© Aker Security Solutions 205

3 - Escolha da rede interna na configuração inicial.Figura 132. Escolha da rede interna e configuração inicial.© Aker Security Solutions 206

4 - Informação necessária para saber se as máquinas terão acesso irrestrito àInternet.Figura 133. Tela de acesso para escolha de acesso restrito ou não à internet.© Aker Security Solutions 207

5 - Configuração da DMZ.Figura 134. Escolha se possui ou não DMZ.© Aker Security Solutions 208

6 - Escolha da entidade da DMZ.Figura 135. Escolha da entidade DMZ.© Aker Security Solutions 209

7 - Informa se a DMZ terá acesso irrestrito a Internet.Figura 136. Máquinas DMZ (acesso restrito ou não a internet).© Aker Security Solutions 210

8 - Serviços a serem disponibilizados para a DMZ.Figura 137. Escolha dos serviços da internet e estações de trabalho que o DMZ terá acesso.© Aker Security Solutions 211

9 - Administração do Firewall. Informar quem terá acesso de administração aomesmo.Figura 138. Configuração do Firewall.© Aker Security Solutions 212

10- Registro individual de servidor para a DMZ.Figura 139. Registro de configuração do servidor.© Aker Security Solutions 213

11 - Informação de servidor específico para a DMZ.Figura 140. Escolha da entidade do servidor.© Aker Security Solutions 214

12 - Seleção dos serviços do servidor para a DMZ.Figura 141. Selecionar o locar onde o servidor DMZ ficará disponível.© Aker Security Solutions 215

13 - Pergunta se deseja configurar outro servidor.Figura 142. Escolha para configurar outro servidor ou não.© Aker Security Solutions 216

14 - Visualização final das regras de filtragem montada pelo assistente.Figura 143. Aviso de finalização de configuração das regras de filtragem.7.6. Utilizando Regras de PipesEsta janela foi criada para organizar suas regras de Q.o.S, no Aker Firewallconhecida como "canal/pipe". Ela permite que seja visualizado em apenas umajanela todas as suas regras de PIPE, sem a necessidade de visualizar várias janelasseparadas como as de Regras de filtragem Geral e/ou Regras de Filtragem nosPerfis de Acesso.Os campos são muito parecidos com a janela de Regras de Filtragem, contendo:© Aker Security Solutions 217

Origem: Determina o IP/rede de origem dos pacotes;Destino: Determina o IP/rede de destino dos pacotes;Serviço: Permite selecionar quais os serviços (TCP, UDP, ICMP ou Outros)utilizará esta regra de PIPE;Canal: O administrador pode definir Qualidade de Serviço (QoS) diferenciadapara cada tipo de regra;Hora:Define as horas e dias da semana em que a regra será aplicável. As linhasrepresentam os dias da semana e as colunas representam às horas. Caso queiraque a regra seja aplicável em determinada hora o quadrado deve ser preenchido,caso contrário o quadrado deve ser deixado em branco.Para facilitar sua configuração, pode-se clicar com o botão esquerdo do mousesobre um quadrado e arrastá-lo, mantendo o botão pressionado. Isto faz com que atabela seja alterada na medida em que o mouse se move.Período de validade: Permitir o cadastro de duas datas que delimitam umperíodo fora do qual a regra não tem validade. É um recurso muito útil para,por exemplo, liberar o tráfego relacionado a um evento não recorrente, como umteste. Se o período ainda não tiver começado ou estiver expirado, o número daregra será mostrado sobre um fundo vermelho.Comentário: Inserir um comentário sobre a regra. Muito útil na documentação emanutenção das informações sobre a utilidade da regra.A janela de Regras de PipesFigura 144. Janela com as regras de Pipes.Observação: Estas regras sobrepõem às configurações de "Canal" das Regras deFiltragem Geral e das Regras de Filtragem nos Perfis de Acesso.© Aker Security Solutions 218

Configurando conversão deendereços© Aker Security Solutions 219

8. Configurando a conversão de endereçosEste capítulo mostrará como configurar os parâmetros de conversão de endereços(NAT) de modo a possibilitar que a rede interna trabalhe com endereços reservados,aumentando sua capacidade de endereçamento, ocultando as máquinas da redeinterna e acessando a Internet, de forma totalmente transparente. Nesta versãotambém será possível realizar um balanceamento de carga das conexões de formamais inteligente.8.1. Planejando a instalaçãoO que é conversão de endereços?Qualquer rede que vai se ligar à Internet necessita de um conjunto de endereços IPatribuídos por alguma autoridade designada para tal (no Brasil esta distribuição é deresponsabilidade da FAPESP). Basicamente existem 3 conjuntos de endereçospossíveis, os chamados classe A, que possibilitam 16.777.214 máquinas dentro darede, os classe B, que possibilitam 65.533 máquinas e os classe C, que possibilitam254 máquinas.Devido ao grande crescimento apresentado pela Internet nos últimos anos, nãoexistem mais endereços classe A e B disponíveis. Assim sendo, qualquer rede quevenha a se conectar receberá um endereço classe C que permite o endereçamentode apenas 254 máquinas. Caso o número de máquinas seja maior do que isso,deve-se adquirir vários endereços classe C o que dificulta o trabalho deadministração, ou utilizar uma solução de conversão de endereços.A conversão de endereços é uma tecnologia que permite que os endereços dasmáquinas da rede interna sejam distribuídos livremente, utilizando endereços classeA. Assim continua a permitir que todas as máquinas tenham acesso a internet deforma simultânea e transparente a Internet.O seu funcionamento é simples, todas as vezes que uma máquina com umendereço reservado tenta acessar a Internet, o Firewall detecta e automaticamentetraduz seu endereço para um endereço válido. Quando a máquina de destinoresponde e envia dados para o endereço válido, o Firewall converte de volta esteendereço para o reservado e repassa os dados para a máquina interna. Da formaque isso é feito, nem as máquinas clientes nem as máquinas servidoras sabem daexistência de tal mecanismo.Outra vantagem, além da apresentada acima, é que com a conversão de endereçostodas as máquinas da sua rede interna ficam invisíveis para a rede externa,aumentando ainda mais o nível de segurança da instalação.© Aker Security Solutions 220

A conversão de endereços não é compatível com serviços que transmitemendereços IP ou portas como parte do protocolo. Os únicos serviços deste tiposuportados pelo Aker Firewall são o FTP, Real Áudio e Real Vídeo.Quais são as minhas redes internas?As redes internas se constituem de todas as máquinas de uma ou mais sub-redesque estão sendo protegidas pelo Aker Firewall. Isto inclui todos os dispositivosinternos à rede, como roteadores, switches, máquinas servidoras, máquinasclientes, etc. São os equipamentos que guardam informações importantes da suarede, ou são peças chaves para seu funcionamento.Quais são as minhas redes externas?As redes externas são formadas por todas as máquinas que não fazem parte darede interna. Elas podem estar ou não sobre a responsabilidade administrativa desua organização.No caso de uma rede de uma organização se ligando à Internet, a rede externaseria toda a Internet.Endereçando as minhas redes internasApesar de tecnicamente possível, os endereços de suas redes internas não devemser escolhidos aleatoriamente. Existem alguns endereços reservadosespecificamente para este fim. Estes endereços não podem ser atribuídos anenhuma máquina ligada à Internet.Os endereços reservados são:De 10.0.0.0 à 10.255.255.255, máscara 255.0.0.0 (classe A)De 172.16.0.0 à 172.31.0.0, máscara 255.255.0.0 (classe B)De 192.168.0.0 à 192.168.255.255, máscara 255.255.255.0 (classe C)Tipos de conversão de endereçosExistem três tipos diferentes de conversão de endereços: 1-1, N-1, 1-N e N-N. Cadaum deles possui características distintas e normalmente são utilizados em conjuntopara conseguir melhores resultados. 1-1O tipo 1-1 é o mais intuitivo, porém normalmente o menos útil. Ele consiste emfazer mapeamentos binários de um para um entre endereços reservados eendereços válidos. Desta forma, máquinas distintas teriam endereçosconvertidos distintos.© Aker Security Solutions 221

A grande limitação desta forma de operação é que não é possível colocar umnúmero de máquinas maior que o número de endereços válidos, uma vez quesão sempre convertidos na base de um para um. Em compensação, ela permiteque máquinas com endereços reservados possam ser acessadas externamentecom endereços válidos. N-1A conversão de N-1, como o nome já diz, possibilita que várias máquinas comendereços reservados utilizem um mesmo endereço válido. Para conseguir esteobjetivo, ela utiliza endereços IP em combinação com portas (no caso dosprotocolos TCP e UDP) ou com números de seqüência (no caso de ICMP). Estemapeamento é feito dinamicamente pelo firewall, cada vez que uma novaconexão é estabelecida. Como existem 65535 portas ou números de seqüênciadistintos é possível a existência de até 65535 conexões simultâneas ativasutilizando o mesmo endereço.A única limitação desta tecnologia é que ela não permite que as máquinasinternas sejam acessadas externamente. Todas as conexões devem seriniciadas internamente. 1-NEste tipo de conversão é também chamado de balanceamento de carga epossibilita que vários servidores sejam colocados atrás de um único endereço IPválido. Cada vez que uma nova conexão é aberta para esse endereço, ela éredirecionada para um dos servidores internos. A grande vantagem dessatecnologia é possibilitar que serviços que demandam uma grande quantidade derecursos possam ser separados em várias máquinas e serem acessados deforma transparente, através de um único endereço. No caso de quedas dealgumas dessas máquinas, as novas conexões são automaticamenterepassadas para as máquinas que ainda estiverem no ar, implantando com issomecanismo de tolerância a falhas.N-NEsta conversão permite que todos os endereços de uma rede sejam convertidospara os endereços de uma rede virtual automaticamente.Aplicações da conversão de endereços com o Aker FirewallO Aker Firewall permite que qualquer tipo de conversão seja realizada, não selimitando apenas ao endereço válido da interface externa do firewall, mas sim dandototal flexibilidade ao administrador em utilizar qualquer endereço dentro da rede,inclusive fazendo a conversão entre redes inválidas.© Aker Security Solutions 222

S. Suponhamos que uma determinada organização receba uma rede de endereçosclasse C, com o formato A.B.C.0. Este endereço é um endereço válido que suportano máximo 254 máquinas (os endereços A.B.C.0 e A.B.C.255 são reservados parafins específicos e não podem ser utilizados, sobrando os valores de A.B.C.1 aA.B.C.254). Suponha ainda que esta rede possua 1000 máquinas para seremconectadas. Em virtude da impossibilidade de alocar todas as máquinas noendereço recebido, foi decidido pelo uso da conversão de endereços. Escolheu-seentão um endereço reservado classe A para ser colocado nas máquinas da redeinterna, o 10.x.x.x com máscara 255.0.0.0.O Aker Firewall irá ficar na fronteira da Internet com a rede interna, que possuiendereços reservados. Ele será o responsável pela conversão dos endereçosreservados 10.x.x.x para os endereços válidos A.B.C.x. Desta forma, o firewalldeverá possuir pelo menos dois endereços: um endereço válido, para que possa seratingido pela Internet e um reservado, para que possa ser atingido pela rede interna.(na maioria das instalações, colocam-se duas ou mais placas de rede no firewall:uma para a rede externa e uma ou mais para a rede interna. Entretanto é possível,porém não recomendado, fazer esta mesma configuração com apenas uma placade rede, atribuindo um endereço válido e um reservado para a mesma placa).Supondo que seja escolhido o endereço A.B.C.2 para o segmento válido e o10.0.0.2 para o segmento reservado. Este endereço válido será utilizado pelofirewall para converter todas as conexões com origem na rede interna e destino naInternet. Externamente, todas as conexões serão vistas como se partissem dele.Outro exemplo seria a de uma organização que possua saídas para a Internet e trêsclasses de endereços válidos, neste caso o administrador tem a possibilidade dedistribuir a conversão de endereços entre essas três classes, obtendo muito maisflexibilidade na configuração.Com a conversão de endereços funcionando, todas as máquinas internasconseguem acessar qualquer recurso da Internet transparentemente, como se elaspróprias possuíssem endereços válidos. Porém, não é possível para nenhumamáquina externa iniciar uma conexão para qualquer máquina interna (devido ao fatodelas não possuírem endereços válidos). Para resolver este problema, o AkerFirewall possibilita a configuração de regras de conversão 1-1, o que permitesimular endereços válidos para quaisquer endereços reservados.Voltando para o caso da nossa hipotética organização, suponha que em sua redeexista um servidor WWW, com endereço 10.1.1.5, e que seja desejado que esteservidor forneça informações para a rede interna bem como para a Internet. Nestecaso deve-se escolher um endereço válido para que este possa ser utilizado pelosclientes externos para se conectarem a este servidor. Suponha que o endereçoescolhido tenha sido o A.B.C.10. Deve-se então acrescentar uma regra deconversão 1-1, de modo a mapear o endereço A.B.C.10 para o endereço interno10.1.1.5. A partir deste momento, todos os acessos para A.B.C.10 serãoautomaticamente mapeados novamente pelo firewall para 10.1.1.5.© Aker Security Solutions 223

Os endereços válidos escolhidos para realizar a conversão de 1-1 não podem seratribuídos a nenhuma máquina real. Desta forma, em nosso exemplo é possível aconfiguração de até 253 servidores na sua rede interna passíveis de seremacessados externamente (um dos 254 endereços válidos já é usado para que ofirewall converta o tráfego de todas as máquinas clientes).O Aker Firewall utiliza a tecnologia de proxy-arp para possibilitar que osservidores virtuais sejam tratados pelas máquinas pertencentes à rede válida (porexemplo, o roteador externo), como se fossem máquinas reais.Exemplos de configurações usando conversão de endereços:Se ligando à Internet com uma linha dedicadaEquipamento: 1 roteador, 1 Aker Firewall, n clientes, 2 servidores na rede internaEndereço válido: A.B.C.x, máscara da rede 255.255.255.0Endereço reservado: 10.x.x.x máscara da rede 255.0.0.0Endereço dos servidores: 10.1.1.1, 10.2.1.1Endereço dos clientes: 10.x.x.xEndereços do roteador: Rede válida A.B.C.1 , Internet :x.x.x.xConfiguração do Aker Firewall:Endereços das placas: rede interna: 10.0.0.2, rede válida A.B.C.2IP virtual para a conversão N-1: A.B.C.2Rede privada: 10.0.0.0Máscara da rede privada: 255.0.0.0Regras de conversão 1-1:A.B.C.10 - 10.1.1.1A.B.C.30 - 10.2.1.1Figura 145. Exemplo 1 de configuração do Aker Firewall (interligando departamentos).© Aker Security Solutions 224

Desenho do Exemplo 1Interligando departamentosNeste exemplo, iremos mostrar como interligar departamentos de uma mesmaempresa, utilizando um conversor de endereços entre estes departamentos.Equipamento: 1 roteador, 3 Aker Firewall, n clientes, 4 servidores na rede internaEndereço válido: A.B.C.x, máscara da rede 255.255.255.0Endereço reservado: 10.x.x.x máscara da rede 255.255.0.0Endereço reservado:172.16.x.x, máscara 255.255.0.0Endereços da sub-rede 1:10.1.x.xEndereço do servidor: 10.1.1.1Endereço dos clientes: 10.1.x.xEndereços do roteador: Rede válida A.B.C.1 , Internet: x.x.x.xConfiguração do Aker Firewall:Rede interna: 10.1.0.1, Rede válida A.B.C.2IP virtual para a conversão N-1: A.B.C.2Rede privada: 10.0.0.0Máscara da rede privada: 255.0.0.0Endereços da sub-rede 2:Externamente: 10.1.0.2Internamente:172.16.x.xEndereço do servidor: 172.16.1.1Endereço dos clientes: 172.16.x.xConfiguração do Aker Firewall:Sub-Rede 2: 172.16.0.1, Sub-rede 1:10.1.0.2IP Virtual para conversão N-1:10.1.0.2Rede privada (2): 172.16.0.0Máscara da rede privada: 255.255.0.0Regras de conversão 1-1:10.2.1.1 - 172.16.1.1Endereços da sub-rede 3:© Aker Security Solutions 225

Externamente: 10.1.0.3Internamente:172.16.x.xEndereço do servidor: 172.16.1.1Endereço dos clientes: 172.16.x.xConfiguração do Aker Firewall:Sub-Rede 3: 172.16.0.1, Sub-rede 1:10.1.0.3IP Virtual para conversão N-1:10.1.0.3Rede privada (3): 172.16.0.0Máscara da rede privada: 255.255.0.0Regras de conversão 1-1:10.3.1.1 - 172.16.1.1Na tabela de roteamento para este tipo de instalação devemos inserir rotas paraas sub-redes 10.1.x.x, 10.2.x.x, 10.3.x.x.Figura 146. Exemplo 2 de configuração do Aker Firewall (múltiplas ligações com a internet).Desenho do Exemplo 2Múltiplas ligações com a InternetNeste exemplo bem mais complexo, mostraremos como utilizar três ligações com aInternet e duas redes internas, utilizando o conversor de endereços entre elas.© Aker Security Solutions 226

Equipamento: 3 roteadores, 1 Aker Firewall, n clientes, 2 servidores na rede DMZEndereços válidos: A.B.C.x, D.E.F.x, G.H.I.x, todos com máscara de rede255.255.255.0Endereço reservado para a rede interna: 10.x.x.x máscara da rede 255.0.0.0Endereço reservado para a DMZ:172.16.x.x, máscara 255.255.0.0Endereços dos roteadores: Rede válida A.B.C.1, D.E.F.1, G.H.I.1 , Internet :x.x.x.xConfiguração do Aker Firewall:Endereços das placas: Placa 1: 10.0.0.2, Placa 2: 172.16.0.2 , Placa 3: A.B.C.2,Placa 4: D.E.F.2, Placa 5: G.H.I.2Redes privadas: 10.0.0.0 e 172.16.0.0Máscara da redes privadas: 255.255.0.0Servidores da DMZServidor Web - 10.0.0.10Servidor SMTP - 10.0.0.25Regras de conversão de Endereços1. Origem - 10.0.0.10 converte para A.B.C.10 quando for para a Internet2. Origem - 10.0.0.25 converte para D.E.F.25 quando for para a Internet3. Origem - 172.16.x.x converte para 10.0.0.4 quando for para rede 10.0.0.04. Origem - 172.16.x.x converte para D.E.F.25 quando for para Internet5. Origem - 10.x.x.x converte para A.B.C.20 quando for para InternetFigura 147. Exemplo 3 de configuração do Aker Firewall (montando regras de conversão deendereços).© Aker Security Solutions 227

Desenho do Exemplo 3Com o Aker Firewall é possível realizar um balanceamento dos links para realizarum aproveitamento mais otimizado dos links. O firewall possui mecanismos deverificação de ativação dos links, sendo possível dividir o tráfego de formainteligente pelos links ou desviar totalmente o tráfego daquele que estiver fora do ar.O administrador também poderá atribuir pesos às suas conexões, ou seja, asconexões mais rápidas poderão ter um peso maior do que as conexões mais lentas,desta forma o firewall dará preferência em enviar o tráfego para o link com maiorpeso.Montando regras de conversão de endereços para o Aker FirewallConfigurar as regras de conversão de endereços no Aker Firewall é algo fácil emfunção de sua concepção inteligente. Toda a parte de endereços IP, máscaras,protocolos e portas são configurados nas entidades (para maiores informações, vejao capítulo intitulado (Cadastrando Entidades). Devido a isso, ao configurar umaregra, não é necessário se preocupar com qual porta um determinado serviço utilizaou qual o endereço IP de uma rede ou máquina. Tudo isso já foi previamentecadastrado. Para facilitar ainda mais, todos os serviços mais utilizados na Internet jávem previamente configurado de fábrica, sendo desnecessário perder tempopesquisando os dados de cada um.Basicamente, para cadastrar uma regra de conversão, deve-se especificar asentidades de origem e destino, tipo de conversão, interface virtual e serviço (se for ocaso).O funcionamento da conversão é simples: o firewall pesquisará uma a uma asregras definidas pelo administrador, na ordem especificada, até que o pacote seencaixe numa delas. A partir deste momento, ele executará o tipo de conversãoassociado à regra. Caso a pesquisa chegue ao final da lista e o pacote não seenquadre em nenhuma regra então este não será convertido.Utilizando a interface gráficaPara ter acesso a janela de configuração da conversão de endereços, basta:© Aker Security Solutions 228

Figura 148. Janela de configuração da conversão de endereços.Clicar no menu Configuração do Firewall.Selecionar o item NAT.A janela de configuração de conversão de endereços (NAT)Figura 149. Janela de configuração da conversão de endereços (NAT).© Aker Security Solutions 229

A janela de conversão de endereços contém todas as regras de conversão definidasno Aker Firewall. Cada regra será mostrada em uma linha separada, composta dediversas células. Caso uma regra esteja selecionada, ela será mostrada em uma cordiferente.O botão OK fará com que o conjunto de regras seja atualizado e passe afuncionar imediatamente.O botão Aplicar enviará para o firewall todas as alterações feitas porém manteráa janela abertaO botão Cancelar fará com que todas as alterações feitas sejam desprezadas ea janela seja fechada.Existe uma barra para inclusão de comentários relativo a regra de conversão.A opção Ativar NAT se estiver marcada, fará com que o firewall passe aconverter os endereços de acordo com as regras cadastradas. Caso ela estejadesmarcada, nenhum tipo de conversão de endereços será feita.A barra de rolagem do lado direito serve para visualizar as regras que nãocouberem na janela.Ao clicar sobre uma regra e selecioná-la, se ela possuir um comentário, esteaparecerá na parte inferior da janela.A posição da regra pode ser alterada clicando e arrastando com o mouse para anova posição desejada.A janela possui os seguintes campos:Origem: Neste campo especifica-se a lista de todas as entidades cujos endereçosserão convertidos para o endereço da Entidade Virtual, descrita acima. A conversão1-1 ou conversão de serviços permitem que apenas uma entidade seja selecionadapara este campo e esta entidade deve ser do tipo máquina.Caso esteja utilizando Conversão 1-N ou Conversão de Serviços 1-N, então cadamáquina pertencente a esse campo terá um peso associado a ela, mostrado entreparênteses, à direita do nome da entidade. Para alterar o peso de uma determinadamáquina, ou seja, fazer com que ela receba mais conexões que as demais, deve-seclicar com o botão direito sobre o nome da entidade, na lista da direita, selecionar aopção Alterar peso e escolher o novo valor.O campo Entidade Origem deve sempre conter os endereços internos(reservados ou não válidos) das máquinas participantes da conversão,independentemente de seu tipo.Destino: Este campo serve para especificar as entidades para as quais a conversãode endereços será efetuada (no caso da conversão N-1) ou as máquinas queacessarão as máquinas internas através do endereço contido no campo EntidadeVirtual (para os demais tipos de conversão). Ao criar várias regras com valoresdistintos nesse campo, faz com que uma mesma máquina tenha seu endereçoconvertido em endereços distintos dependendo do destino da comunicação.© Aker Security Solutions 230

O valor mais comum para esse campo é a especificação da entidade Internetcomo destino. Isso fará com que a conversão de endereços selecionada na regraseja efetuada para todas as máquinas externas.Opções: Tipo de nat que será utilizado.Entidade Virtual: Neste campo deve-se configurar a entidade para a qual osendereços internos serão convertidos ou para o qual as requisições externas devemser direcionadas. A entidade virtual deverá sempre ser uma entidade do tipomáquina.Serviços: Este campo define quais os serviços que farão parte da regra, quando forutilizado o tipo de conversão de Serviços, N-1 serviços ou 1-N com Serviços. Ajanela ficará desabilitada para os demais tipos de conversão.Serviço Virtual: Serviço que sofrerá a conversão, somente utilizado em Nat deporta.Balanceamento de link: Este campo permite habilitar ou desabilitar obalanceamento de link. As configurações do balanceamento deverão ter sidorealizadas quando for selecionada esta opção.Comentário: Reservado para colocar uma descrição sobre a regra. Muito útil nadocumentação e manutenção das informações sobre sua utilidade.A janela de configuração de Balanceamento de LinkFigura 150. Janela de configuração de balanceamento de link.© Aker Security Solutions 231

O botão OK fará com que o conjunto de regras seja atualizado e passe afuncionar imediatamente.O botão Aplicar enviará para o firewall todas as alterações feitas porém manteráa janela abertaO botão Cancelar fará com que todas as alterações feitas sejam desprezadas ea janela seja fechada.Esta aba possui os seguintes campos:Nome: Neste campo dever ser informado um nome para representar o link daoperadora;Tipo: Este campo informa qual o tipo da configuração e pode assumir dentre doisvalores possíveis, "estático" ou "dinâmico".Quando o link for estático é obrigatório cadastrar uma entidade de rede e umaentidade de máquina (gateway) sendo, neste, caso não permitido o cadastro deentidade de interface de rede. Quando o link for estático, a situação se inverte,sendo o usuário obrigado a cadastrar uma entidade do tipo interface, sendo que ocadastro de entidades do tipo rede e máquina (gateway) não são permitidos.Rede: Cadastre a rede que a operadora forneceu;Gateway: O IP do roteador da operadora deve ser informado (neste caso o firewallfará uma crítica para verificar se o gateway realmente pertence a rede daoperadora);Interface: Esse campo é utilizado para o cadastro da entidade do tipo interface derede, a qual irá representar o link dinâmico.Peso: Indica um valor a ser atribuído ao link. Quando os pesos são maiorespressupõe que os links sejam mais rápidos.Checa host 1: Nesse campo deve ser cadastrada uma entidade que tenha certezaque esteja logo a seguir do roteador da operadora, de preferência dentro de um oudois saltos de seu roteador. Esta entidade será utilizada pelo firewall paradeterminar se o link está no ar ou não. Pode ser cadastrado um servidor DNS daoperadora ou mesmo roteadores próximos.Checa host 2 e Checa host 3: Entidades de verificação também utilizadas pelofirewall. Não é obrigatório que estejam cadastradas as três entidades de verificação,contudo, quanto mais entidades cadastradas melhor para o sistema de verificaçãodo firewall.Para executar qualquer operação sobre uma determinada regra, basta clicar com obotão direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu seráacionado sempre que o botão direito for pressionado, mesmo que não exista© Aker Security Solutions 232

nenhuma regra selecionada. Neste caso, somente as opções Incluir e Colar estarãohabilitadas).Figura 151. Janela de configuração para adicionar entidades.Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiverselecionada, a nova será inserida na posição da regra selecionada. Casocontrário, a nova regra será incluída no final da lista.Copiar: Copiar a regra selecionada para uma área temporária.Colar: Copiar a regra da área temporária para a lista. Se uma regra estiverselecionada, a nova será copiada para a posição da regra selecionada. Casocontrário ela será copiada para o final da lista.Excluir: Remover da lista a regra selecionada.Habilita/Desabilita: Permitir habilitar/desabilitar a regra selecionada, ou seja, elapermanecerá cadastrada, mas o Firewall se comportará como se a mesma nãoexistisse (no caso do Disable) e prosseguirá a pesquisa na regra seguinte.Adicionar entidades: No ponto em que for feito o clique do mouse, serápossível inserir a entidade no campo correspondente da regra de conversão.Apenas um certo número de entidades poderá ser visualizada. Para escolheroutra entidade faça a rolagem da janela na barra correspondente.Dica: O método mais prático para o administrador montar sua regra de conversãoserá arrastando diretamente as entidades para dentro da regra.© Aker Security Solutions 233

Dica 2: A posição de cada regra pode ser alterada, bastando clicar e arrastar amesma para a nova posição desejada, soltando em seguida. Observe que o cursorde indicação do mouse irá mudar para uma caixa pontilhada.No caso de inclusão ou edição de regras, será mostrada a janela de propriedades,descrita na seção abaixo:1.1.1.1.1 A janela de inclusão de regras de NATFigura 152. Janela de inclusão de regras de NAT.Tipos de NAT: Neste campo é definido o tipo de conversão que a regra realizará.Ela possui as seguintes opções:Sem Conversão: Esta opção indica ao firewall que não deve haver conversãode endereços quando qualquer uma das máquinas pertencentes às EntidadesOrigem for acessar qualquer uma das máquinas pertencentes às EntidadesDestino e vice-versa.Conversão 1-1: Esta opção indica ao firewall que quando a máquina listada nasEntidades Origem for acessar qualquer uma das máquinas pertencentes àsEntidades Destino ela terá seu endereço convertido para o endereço da EntidadeVirtual. Todas as vezes que uma máquina pertencente às Entidades Destinoacessar o endereço da Entidade Virtual, esse último será automaticamenteconvertido para o endereço real, definido pela entidade presente nas EntidadesOrigem. Este tipo de conversão é útil para possibilitar o acesso externo aservidores internos.© Aker Security Solutions 234

Nas Entidades Origem deve-se colocar uma entidade com o endereço real(interno, reservado) da máquina para a qual se fará conversão de 1-1. Na EntidadeVirtual deve-se colocar uma entidade com o endereço para o qual o endereçointerno será convertido (endereço válido) e que será acessado pelas máquinasexternas.Conversão N-1: Esta opção indica ao firewall que quando qualquer máquinalistada nas Entidades Origem for acessar qualquer uma das máquinaspertencentes às Entidades Destino ela terá seu endereço convertido para oendereço da Entidade Virtual. Este tipo de conversão é útil para possibilitar queum grande número de máquinas utilize apenas um endereço IP válido para secomunicar através da Internet, entretanto ela não permite com que máquinasexternas (listadas nas Entidades Destino) iniciem qualquer comunicação com asmáquinas internas (listadas nas Entidades Origem).Quando o módulo de Cluster Cooperativo estiver funcionado na conversão de N-1, o IP da entidade virtual não pode ser nenhum dos atribuídos as interfaces dofirewall.Conversão de Serviços: Esta opção é útil para redes que dispõem de apenasum endereço IP e necessitam disponibilizar serviços para a Internet. Elapossibilita que determinados serviços, ao serem acessados no firewall, sejamredirecionados para máquinas internas.No campo Entidades Origem, deve-se colocar o endereço IP interno (real) damáquina para a qual os serviços serão redirecionados. No campo EntidadesDestino, deve-se colocar as máquinas que irão acessar os serviços externamente.No campo Serviços, deve-se escolher todos os serviços que serão redirecionadospara a máquina presente em Entidades Origem quando uma máquina presente nasEntidades Destino acessá-los no endereço IP da Entidade Virtual.Quando o módulo de Cluster Cooperativo estiver funcionado não é possível aconversão de serviços.Conversão 1-N: Esta opção é utilizada para fazer balanceamento de carga, ouseja, possibilitar que várias máquinas respondam como se fossem uma única.No campo Entidades Origem deve-se colocar a lista de máquinas que farão partedo balanceamento e que passarão a responder como se fossem uma única. Nocampo Entidades Destino, deve-se colocar as máquinas que irão acessar asmáquinas internas pelo endereço especificado na entidade presente no campoEntidade Virtual.© Aker Security Solutions 235

Figura 153. Janela de configuração para ações que deseja ser realizada.Conversão 1:N para serviços: Esta opção é utilizada para fazer balanceamentode carga para determinados serviços, ou seja, possibilitar que várias máquinasrespondam a requisições destes serviços como se fosse uma única.Porta: Para efetuar conversões não somente de endereços ip, mas também deportas para conexão, utiliza-se este tipo de nat, que também é conhecido comPAT (port address translation).1:N para Porta: Faz balanceamento de servidores efetuando conversões nãosomente de endereços ip, mas também as portas de conexão, sendo que após aconversão os acessos são distribuídos entre os servidores que fazem parte dobalanceamento.Faz balanceamento de servidores efetuando conversões não somente de endereçosip, mas também das portas de conexão sendo, que após a conversão os acessos,são distribuídos entre os servidores que fazem parte do balanceamento.Conversão N:N: Esta opção indica ao firewall que os endereços pertencentes àrede listada nas Entidades Origem, ao acessar qualquer uma das máquinaspertencentes às Entidades Destino, serão convertidos para os endereços darede no campo Entidade Virtual, ou seja, nesta conversão deve-se usar umaentidade de rede na coluna origem e uma entidade de rede na coluna entidadevirtual. O campo destino pode ser preenchido da mesma maneira como é feitopara os demais tipos de NAT.Além disso, as máscaras de rede da entidade de origem e da entidade virtualprecisam ser iguais para que o NAT funcione. Por exemplo:© Aker Security Solutions 236

IPMáscara de redeOrigem 192.168.0.0 255.255.255.0Entidadevirtual172.16.0.0 255.255.255.0Figura 154. Mascaras de rede da entidade de origem e virutal devem ser iguais. Nesse caso, todos os IPs da rede 192 serão convertidos para a 172.O botão Avançado, que somente estará habilitado quando selecionar a conversãode endereços 1-N ou Conversão de serviços 1-N, permite configurar os parâmetrosdo monitoramento que será realizado pelo firewall a fim de detectar se as máquinasparticipantes do balanceamento estão no ar ou não e como o balanceamento serárealizado. Ao clicar neste botão, a seguinte janela será mostrada:Figura 155. Configuração dos parâmetros de monitoramento a ser realizado pelo firewall.O campo Tipo de monitoramento, permite definir o método utilizado pelo firewallpara verificar se as máquinas participantes do balanceamento (máquinas definidasno campo Entidades Origem) estão no ar. Ela consiste das seguintes opções:Sem monitoramento: Se essa opção for selecionada, o firewall não monitorará asmáquinas e assumirá que elas estão sempre ativas.© Aker Security Solutions 237

Pacotes Ping: Se essa opção for selecionada, o firewall monitorará as máquinasatravés de pacotes ICMP de Echo Request e Echo Reply (que também sãoutilizados pelo comando PING, daí o nome dessa opção).Pedidos HTTP: Se essa opção for selecionada, o firewall monitorará as máquinasatravés de requisições HTTP. Nesse caso, deve-se especificar a URL (sem o prefixohttp://) que o firewall tentará acessar em cada máquina para verificar se ela estáativa ou não.Algoritmo de balanceamento de carga: Esse campo permite definir o métodoutilizado para balancear as requisições entre as máquinas presentes no campoEntidades Origem. Ele consiste das seguintes opções:Round - Robin: Ao selecionar essa opção, o firewall distribuirá seqüencialmente asrequisições para as máquinas participantes do balanceamento, uma a uma. Caso asmáquinas tenham pesos diferentes, primeiro será distribuída uma conexão paracada máquina, a seguir uma conexão para cada máquina que recebeu um númerode conexões menor que seu peso e assim sucessivamente. Quando todas asmáquinas receberem o número de conexões equivalente a seu peso, o algoritmo seinicia.Aleatório: Ao selecionar essa opção, o firewall distribuirá as conexões de formarandômica entre as máquinas, ou seja, a probabilidade de uma conexão serredirecionada para uma determinada máquina é igual à razão entre seu peso e opeso total de todas as máquinas.Persistência entre conexões: Esse campo permite definir o tempo de persistênciada sessão em protocolos ou aplicativos que utilizem mais de uma conexão emtempos diferentes, ou seja, o tempo máximo de espera por uma nova conexão apóso término da primeira. Neste intervalo de tempo as novas conexões serãodirecionadas pelo firewall ao mesmo servidor.Observações sobre a montagem das regrasÉ altamente recomendável que as regras de conversão sejam colocadas naseguinte ordem:1. Regras de Não Conversão;2. Regras de Conversão de Serviços;3. Regras de Conversão 1-1 e de N-N;4. Regras de Conversão de Serviços 1-N;5. Regras de Conversão 1-N;6. Regras de Conversão N-1;7. Regras de Conversão N-N.© Aker Security Solutions 238

É necessária a inclusão de uma regra de Não Conversão com origem nas redesinternas e destino nas próprias redes internas caso se pretenda administrar ofirewall por uma máquina interna que participará de qualquer tipo de conversão.Essa regra deverá estar antes das demais regras de conversão.Exemplos - Cenário 1 - Conversão de EndereçosSuponha que uma empresa possua as máquinas e serviços abaixo e desejaimplementar a conversão de endereços. A empresa possui uma conexão dedicadacom a Internet e seu provedor distribuiu uma faixa de endereços IP válidos naInternet de 200.120.210.0 até 200.120.210.63.Na regra 1 colocamos as redes internas da empresa (DMZ e Interna) em nãotradução. Esta regra possibilita que caso alguma máquina interna da rede foradministrar o firewall o seu endereço não é convertido e a administração sejapossível. Estaria também correto em especificar as máquinas que sãoadministradoras (Entidade Origem) e a interface por onde iremos administrar ofirewall (Entidade de Destino) com a opção de "Sem tradução".Na regra 2 o servidor server1 fará uma conversão de 1:1 para o endereço200.120.210.15, ou seja, caso alguém da Internet procure pelo IP 200.120.210.15será enviado para o servidor server1 (IP 10.20.0.50). Do mesmo modo caso oservidor server1 origine uma conexão para Internet o seu IP será 200.120.210.15.A regra 3 por analogia é idêntica a regra 2, o servidor servidor_web_aker faráconversão de 1:1 para o endereço 200.120.210.25.A regra 4 é o exemplo de balanceamento de carga. Alguém da Internet procurandopela máquina 200.120.210.20 será enviado para o NT3, NT2 ou NT1. Istodependerá do cálculo a ser realizado pelo firewall. No caso abaixo os pesos sãodiferentes, portanto a máquina NT3 que possui o peso 4 é a que receberá a maiorquantidade de conexões. Caso as máquinas NT tenham de originar conexões paraInternet, elas também terão seus endereços convertidos para 200.120.210.20.A regra 5 é de conversão de N:1, ou seja qualquer máquina da Rede_Interna(10.20.0.0 com máscara 255.255.255.0) terá o seu endereço convertido para200.120.210.16 quando as mesmas originarem conexão para a Internet. No entantoa recíproca não é verdadeira, caso alguém da Internet venha procurando conexãopara o IP 200.120.210.16 o firewall não enviará para nenhuma máquina da redeinterna e irá descartar os pacotes para esta conexão, pois o mesmo não sabe paraqual máquina enviar a requisição.Cabe ressaltar que a ordem das regras é de extrema importância. Vamos supor quea regra 2 seja movida para a última posição. Neste caso alguém que viesseprocurando pela máquina 200.120.210.15 seria enviado para o server1, entretantoquando o server1 fosse originar uma conexão para a Internet o mesmo teria seuendereço convertido para 200.120.210.16, pois a regra da antiga posição 5 é queiria atender primeira a conversão.© Aker Security Solutions 239

Figura 156. Exemplo 1, conversão de endereços.Exemplos - Cenário 2 - Conversão de ServiçosSuponha agora que a empresa não possua uma faixa de endereços IP da Internet esim um Único IP válido. Neste caso é conveniente fazer a conversão de serviços.Com este tipo de configuração poderá ser feito um aproveitamento deste único IPpara diversos tipos de serviços. No caso o IP é o 200.120.210.15.A regra 1, foi colocada pelos mesmos motivos citados no cenário anterior.Na regra 2, alguém da Internet esteja procurando pela máquina 200.120.210.15 ena porta do servidor FTP (21/TCP). Neste caso o firewall irá enviar a conexão para amáquina server1.Na regra 3, alguém da Internet está procurando pela mesma máquina200.120.210.15, porém na porta do SMTP (25/TCP). O firewall irá mandar estaconexão para o endereço da entidade Correio_SMTP.Já a regra 4 possibilita que o servidor web da empresa seja acessado pela portaHTTP (80/TCP).A regra 5 é um exemplo do balanceamento de carga utilizando uma porta deserviço. Neste caso alguém da Internet está procurando acesso ao IP200.120.210.15 para o serviço web seguro (443/TCP), sendo que há três servidorespara atender a requisição, no caso NT1, NT2 e NT3. Os princípios para atenderestas conexões são os mesmos já explicados no cenário anterior.© Aker Security Solutions 240

Finalizando, a regra 6 permite que qualquer outra máquina origine conexão paraInternet, no caso sendo visualizado o IP 200.120.210.15 no destino.Apesar de ser possível utilizar a conversão de serviços no caso do cenário 1, a Akerrecomenda que esta configuração seja utilizada no caso da empresa possuirsomente um único endereço IP válido para Internet.Figura 157. Exemplo 2, conversão de serviços.Exemplos - Cenário 3 - Balanceamento de LinkNeste cenário será descrito como realizar o balanceamento de links. Suponha que aempresa possua dois prestadores de conexão IP para Internet, por exemplo,Embratel e Intelig. No caso cada operadora forneceu sua faixa de endereço IP paraa empresa.Primeira Fase - Montagem do BalanceamentoO administrador do firewall então irá realizar o cadastramento e informar asseguintes entidades e campos:Nome: Informe um nome para representar o link da operadora;Tipo: Este campo informa qual o tipo da configuração e pode assumir dentredois valores possíveis, "estático" ou "dinâmico";Rede: Cadastre a rede que a operadora forneceu;© Aker Security Solutions 241

Gateway: O IP do roteador da operadora deve ser informado (neste caso ofirewall fará uma crítica para verificar se o gateway realmente pertence a rede daoperadora);Interface: Esse campo é utilizado para o cadastro da entidade do tipo interfacede rede, a qual irá representar o link dinâmico;Peso: Um valor a ser atribuído ao link. Quando os pesos são maiores pressupõeque links sejam mais rápidos.Checa host 1: Cadastre uma entidade que tenha certeza que esteja logo aseguir do roteador da operadora, de preferência dentro de um ou dois saltos deseu roteador. Esta entidade será utilizada pelo firewall para determinar se o linkestá no ar ou não. Pode ser cadastrado um servidor DNS da operadora oumesmo roteadores próximos.Checa host 2 e Checa host 3: Entidades de verificação também utilizadas pelofirewall. Não é mandatório que estejam cadastrados as três entidades deverificação, contudo quanto mais entidades cadastradas, melhor para o sistemade verificação do firewall.Figura 158. Balanceamento de link (primeira fase).Segunda Fase - Montagem das Regras de NATA segunda fase da montagem é bem simples, bastando colocar em cada regra deconversão duas ou mais entidades virtuais, uma com endereço de cada prestadorde serviço.Não esqueça de habilitar na coluna Balanceamento de links o ícone correspondentepara que o serviço possa ser realizado pelo firewall. Cabe ressaltar que o firewalltambém realizará uma crítica para determinar se realmente a Entidade Virtualpertence a um link previamente cadastrado.© Aker Security Solutions 242

Uma limitação desta implementação é quanto à origem da conexão pela Internet. OsDNS devem ter entradas duplas de IP e devem trabalhar em modo Round-Robin. Oproblema está quando um link de determinada operadora cai, o firewall não temcomo desviar as conexões que são originadas pela Internet. Para contornar esteproblema o administrador poderia utilizar de scripts para remover do DNS o IP daoperadora que esteja fora do ar, pois o firewall passa para o log de eventos destainformação.Figura 159. Motangem das regras do NAT 9 Segunda fase).8.2. Utilizando a interface textoA interface texto de configuração da conversão de endereços é relativamentesimples e tem as mesmas capacidades da interface gráfica, exceto pelo fato de nãoser possível configurar os parâmetros de monitoramento.Localização do programa: /aker/bin/firewall/fwnatSintaxe:Firewall Aker - Versão 6.5fwnat - Configura regras de conversao de enderecos (NAT)Uso: fwnat [ajuda | mostra | ativa | desativa]fwnat [habilita | desabilita | remove] fwnat inclui 1-1 [ |© Aker Security Solutions 243

-bal ... ]fwnat inclui n-1 [ |-bal ... ]fwnat inclui servicos [ |-bal ... ] ...fwnat inclui portas [ |-bal ... ] fwnat inclui sem_conversao fwnat inclui 1-n ... [ |-bal ... ] nenhum | ping | HTTP >fwnat inclui n-n [ | -bal ...]Ajuda do programa:desativa = desativa conversao de enderecosmostra = mostra todas as regras da tabela de conversaoinclui = inclui uma nova regra de conversaohabilita = habilita uma regra de conversao desabilitadadesabilita = desabilita uma regra de conversao existenteremove = remove uma regra de conversao existenteajuda = mostra esta mensagem Para inclui temos:pos = posicao onde incluir a nova regra na tabela(Pode ser um inteiro positivo ou a palavra FIM para incluir no final da tabela)1-1 = realiza conversao de servidores. Neste caso a origem deveser obrigatoriamente uma entidade do tipo maquinan-1 = realiza conversao de clientesservicos = realiza conversao apenas para os servicos citados.Neste caso a origem deve ser obrigatoriamente uma entidade dotipo maquinaportas = realiza conversao apenas para o servico citado.Neste caso a origem deve ser obrigatoriamente uma entidade dotipo maquina. Alem disso, o servico visivel externamentesera' o sem_conversao = nao realiza conversaoentre a origem e o destino1-n = realiza balanceamento de carga, ou seja, possibilita queas varias maquinas origem sejam acessadas pelo enderecoIP configurado na entidade virtual, como se fossem uma somaquinan-n= Esta conversão permite que todos os endereços de uma redesejam convertidos para os endereços de uma rede virtual automaticamente.© Aker Security Solutions 244

servico1 = lista de nomes dos servicos para a nova regra. Sao aceitosapenas servicos dos protocolos TCP ou UDP Para habilita / desabilita /remove temos:pos= numero da regra a ser habilitada, desabilitada ou removida da tabelaPara conversao 1-n temos:round-robin = Utiliza algoritmo round-robin para o balanceamento das conexoesrandomico = Utiliza algoritmo randomico para o balanceamento das conexoespersist = Tempo de persistencia (mins) de servidor destino paraconexoes originadas do mesmo clientenenhum = Nao monitora as maquinas origem, isto e', considera que elas estaosempre ativasping = Monitora as maquinas origem atraves de pingsHTTP = Monitora as maquinas origem atraves de conexoes HTTPURL = Especifica qual a URL deve utilizada para monitorar asmaquinas, no caso de se utilizar monitoramento HTTPExemplo 1 : (Mostrando a configuração)#/aker/bin/firewall/fwnat mostraParametros Globais:-------------------Conversao de enderecos: AtivadaRegras de Conversao:--------------------Regra 01--------Tipo: sem_conversaoOrigem: Rede InternaDestino: Rede InternaRegra 02--------Tipo: servicosOrigem: ServerDestino: InternetEntidade virtual: Firewall - interface externaServicos: MYSQL POP3 SMTPRegra 03© Aker Security Solutions 245

--------Tipo: 1-1Origem: Web Server_001Destino: InternetEntidade virtual: External Web serverRegra 04--------Tipo: n-nOrigem: rede1Destino: internetEntidade Virtual: rede2Regra 05--------Tipo: 1-nOrigem: server1,server2, server3Destino: InternetEntidade virtual: Virtual ServerBalanceamento: randomico Monitoramento: httpURL: www.aker.com.brRegra 06--------Tipo: n-1Origem: Rede InternaDestino: InternetEntidade virtual: Firewall - interface externaExemplo 2 : (Incluindo uma regra de conversão 1-1 no final da tabela. mapeando oservidor SMTP Server, com endereço reservado para o External Server, comendereço válido para todas as máquinas da Internet).#/aker/bin/firewall/fwnat inclui fim 1-1 "SMTP Server" Internet "External Server"Regra incluida na posicao 6Exemplo 3: (Incluindo uma regra de conversão n-n na posição 5).#/aker/bin/firewall/fwnat inclui 5 n-n rede1 internet rede2.Regra incluida na posição 5© Aker Security Solutions 246

Exemplo 4 : (Incluindo uma regra de conversão de serviços no início da tabela).#/aker/bin/firewall/fwnat inclui 1 Servicos "Server 2" Internet "External Server 2"Telnet FTPRegra incluida na posicao 1Exemplo 5 : (Removendo a regra 3).#/aker/bin/firewall/fwnat remove 3Regra 5 removidaExemplo 6 : (Incluindo uma regra de conversão 1-N, balanceamento, mapeando osservidores srv01 e srv02 em uma máquina externa chamada de srv_externo, paratodas as máquinas da Internet, e monitorando via ping).#/aker/bin/firewall/fwnat inclui 4 1-N srv01 srv02 Internet srv_externo round-robinpingRegra incluida na posicao 48.3. Redundância de Link Via ModemEste aplicativo é utilizado apenas em modelos de Firewall Box com modem, onde sepode configurar a redundância de link usando o aplicativo de configuração "fwdialup_conn", conforme demonstrado na sintaxe abaixo:Sintaxe:/aker/bin/firewall # fwdialup_conn ajudaFirewall Aker - Versão 6.5 (HW)Uso: fwdialup_conn ajudafwdialup_conn mostrafwdialup_conn configura [fone2] [fone3]fwdialup_conn habilitafwdialup_conn desabilitafwdialup_conn habilita_teste fwdialup_conn desabilita_testeos parametros sao:nome_usuario : nome de usuario para a conexao com o ISP.senha : senha utilizada para conexao com o ISP.fone1, 2, 3 : numero de telefone do ISP para discagem.dias_semana : dias da semana quando o teste sera executado. Os dias devem serespecificados por digitos.Exemplos: 0 => para representar Domingo, 6 => para representar Sabado.Voce pode especificar valores simples (1;3;5 ou 3) ou sequencias (1-5).hora : hora do dia quando o teste sera executado, tipo 20:55.© Aker Security Solutions 247

aker/bin/firewall # fwdialup_conn mostraConfiguracao:---------------------Habilitado: NaoNome de usuario: igSenha: igTelefone 1: 34824000Telefone 2:Telefone 3:Teste:---------------------Teste habilitado: NaoDias da semana:Hora: 00:00Exemplo 1: (Habilita e desabilita a funcionalidade)/aker/bin/firewall # fwdialup_conn habilitaAlteracao feita com sucesso!!!/aker/bin/firewall # fwdialup_conn desabilitaAlteracao feita com sucesso!!!Exemplo 2: (testando o funcionamento do modem periodicamente, o exemploabaixo habilita o teste de segunda a sexta às 00:27)/aker/bin/firewall # fwdialup_conn habilita_teste '1;6' 00:27Alteracao feita com sucesso!!!/aker/bin/firewall # fwdialup_conn desabilita_testeAlteracao feita com sucesso!!!A funcionalidade de Redundância de Link aplica-se apenas em Firewall Box.8.4. Utilizando o Assistente de Configuração NATO assistente de configuração NAT pode ser acionado tanto pela barra deferramentas como pelo menu. As janelas abaixo irão solicitar diversas informaçõesde modo que a conversão seja configurada.1 - A janela inicial informa sobre o que é o NAT. Clique no botão Próximo paracontinuar com a configuração.© Aker Security Solutions 248

Figura 160. Mensagem de boas vindas ao Assistênte de configuração de NAT.© Aker Security Solutions 249

2 - Informe as redes que necessitarão acessar a Internet.Figura 161. Seleção das redes que tem a necessidade de acessar a internet compartilhando umendereço IP.© Aker Security Solutions 250

3 - Escolha o IP da Máquina virtual para realizar a conversão N-1.Figura 162. Seleção do IP da máquina virtual para realizar a conversão de N-1.© Aker Security Solutions 251

4 - Escolha a opção Sim caso queira configurar os servidores que deverão aparecerpara Internet.Figura 163. Mensagem se deseja configurar os servidores acessíveis externamentes.© Aker Security Solutions 252

5 - Escolha a entidade para aparecer para a Internet.Figura 164. Escolha da entidade que deseja tornar acessível na internet.© Aker Security Solutions 253

6 - Escolha o IP da Máquina virtual o qual o servidor será mostrado para Internet.Figura 165. Escolha do endereço IP utilizados por máquinas externas a ser utilizado no servidor.© Aker Security Solutions 254

7 - Esta tela irá permitir que mais servidores sejam configurados.Figura 166. Escolha para configurar mais servidores.© Aker Security Solutions 255

8 - Tela de finalização do Assistente e as regras que foram criadas pelo mesmo.Figura 167. Finalização do assistentes de regras.© Aker Security Solutions 256

Criando canais de criptografia© Aker Security Solutions 257

9. Criando canais de criptografiaEste capitulo mostrará como configurar as regras que propiciarão a criação decanais seguros de comunicação na Internet. Estes canais seguros são usados parainterligar instituições pela Internet de forma a permitir que os dados fluam entre elassem o risco de serem lidos ou alterado por estranhos.9.1. Planejando a instalação.O que é e para que serve um canal seguro de dados?A Internet é uma rede mundial composta de milhares de máquinas espalhadas portodo o mundo. Quando duas máquinas quaisquer estão se comunicando, todo otráfego entre elas passa por diversas outras máquinas (roteadores, switches, etc)desde sua origem até seu destino. Na quase totalidade das vezes, a administraçãodestas máquinas intermediárias é feita por terceiros e nada se pode afirmar quantoa sua honestidade (na maioria das vezes, não é nem possível saberantecipadamente por quais máquinas os pacotes passarão até atingir seu destino).Qualquer uma destas máquinas que estiver no caminho dos pacotes pode visualizarseu conteúdo e/ou alterar qualquer um destes. Isto é um problema sério e suaimportância é aumentada ainda mais quando existe a necessidade de transmitirdados confidenciais e de grande impacto.Para resolver este problema, pode-se usar um canal seguro de dados. Um canalseguro de dados pode ser visto como se fosse um túnel. De um lado são colocadasas informações que só poderão ser lidas novamente após saírem do outro lado.Na prática, o que é feito é dar um tratamento especial aos dados a seremtransmitidos de modo que estes não possam ser alterados durante seu caminho(autenticação), nem visualizados (criptografia). A combinação das duas técnicasproduz dados invisíveis e imutáveis para qualquer máquina que se encontre nocaminho dos pacotes, da origem ao destino.O que é criptografia?Criptografia é a combinação de uma chave com um algoritmo matemático baseadoem uma função unidirecional. Este algoritmo é aplicado aos dados, juntamente coma chave, de modo a torná-los indecifráveis para qualquer um que os veja. O modoque isso é feito garante que somente é possível obter os dados originais casopossua o algoritmo e a chave usados inicialmente.Ao manter um destes dois componentes secretos (no caso, a chave), tornaimpossível a visualização dos dados por terceiros.© Aker Security Solutions 258

O que é autenticação?Autenticação é também a combinação de uma chave com um algoritmo matemáticobaseado em uma função unidirecional. A diferença em relação a criptografia é queeste algoritmo, quando aplicado sobre os dados, não produz dados indecifráveismas sim uma assinatura digital para estes. Essa assinatura é gerada de tal formaque qualquer pessoa que desconheça o algoritmo ou a chave utilizado para gerá-laseja incapaz de calculá-la.Quando a assinatura digital é gerada, ela passa a ser transmitida para o destinojunto com os dados. Caso estes tenham sofrido quaisquer alterações no caminho, orecipiente quando calcular a assinatura digital dos dados recebidos e compará-lacom a assinatura recebida irá perceber que as duas são diferentes e concluir que osdados foram alterados.A autenticação é uma operação bastante rápida quando comparada com acriptografia, porém ela sozinha não consegue impedir que os dados sejam lidos. Eladeve ser usada apenas nos casos onde necessita confiabilidade dos dados, masnão sigilo. Caso necessite de ambos, usa-se autenticação em conjunto com acriptografia.O que é certificação digital?Através do processo de autenticação descrito acima é possível garantir a origemdas mensagens em uma comunicação entre duas partes. Entretanto, para que issoseja possível é necessário que as entidades que estão se comunicando já tenhampreviamente trocado informações através de algum meio fora do tráfego normal dosdados. Esta troca de informações normalmente consiste no algoritmo a ser utilizadopara a autenticação e sua chave.O problema surge quando é necessário assegurar a origem das mensagens de umaentidade com a qual nunca existiu comunicação prévia. A única forma de resolvereste problema é delegar a uma terceira entidade o poder de realizar estasautenticações (ou em termos mais técnicos, realizar a certificação da origem de umamensagem). Esta terceira entidade é chamada de Entidade Certificadora e paraque seja possível ela assegurar a origem de uma mensagem, ela já deve terrealizado uma troca de informações com a entidade que está sendo certificada.O que é um certificado digital?Certificado digital é um documento fornecido pela Entidade Certificadora para cadauma das entidades que irá realizar uma comunicação, de forma a garantir suaautenticidade.© Aker Security Solutions 259

Tipos de algoritmos de autenticação e criptografiaAtualmente existem inúmeros algoritmos de autenticação e criptografia. Neste tópicoserão mostrados apenas os algoritmos suportados pelo Aker Firewall.Cabe comentar que um dos parâmetros para medir a resistência de um algoritmo éo tamanho de suas chaves. Quanto maior o número de bits das chaves, maior onúmero de possíveis combinações e, teoricamente, maior é a resistência doalgoritmo contra ataques.Algoritmos de autenticação:MD5MD5 é a abreviatura de Message Digest 5. Ele é um algoritmo criado epatenteado pela RSA Data Security, Inc, porém com uso liberado para quaisqueraplicações. Ele é usado para gerar assinaturas digitais de 128 bits paramensagens de qualquer tamanho e é considerado um algoritmo bastante rápidoe seguro.SHASHA é a abreviatura de Secure Hash. Ele é um algoritmo que gera assinaturasdigitais de 160 bits para mensagens de qualquer tamanho. Ele é consideradomais seguro que o MD5, porém tem uma performance em média 50% inferior (naimplementação do Aker Firewall ).A versão implementada pelo Aker Firewall é o SHA-1, uma revisão no algoritmoinicial para corrigir uma pequena falha. Entretanto ele será chamado sempre deSHA, tanto neste manual quanto nas interfaces de administração.Algoritmos de criptografia simétricos:Os algoritmos de criptografia simétricos são utilizados para encriptar fluxos deinformações. Eles possuem uma única chave que é utilizada tanto para encriptarquanto para decriptar os dados.DESO algoritmo DES é um anagrama para Data Encription Standard, foi criado pelaIBM na década de 70 e foi adotado pelo governo americano como padrão atérecentemente. Ele é um algoritmo bastante rápido em implementações dehardware, porém não tão rápido quando implementado em software. Suaschaves de criptografia possuem tamanho fixo de 56 bits, número consideradopequeno para os padrões atuais. Devido a isso, deve-se dar preferência a outrosalgoritmos em caso de aplicações críticas.Triplo DES ou 3DES© Aker Security Solutions 260

Este algoritmo consiste na aplicação do algoritmo DES três vezes, usando trêschaves distintas, sobre os mesmos dados. Isto equivale a se utilizar um algoritmocom chave de 112 bits, o que representa uma segurança extremamente maior doque a oferecida pelo DES. O problema deste algoritmo é que ele é duas vezesmais lento que o DES (na implementação utilizada no Aker Firewall).AESO algoritmo AES foi escolhido dentre muitos concorrentes pelo NIST parasubstituir o já inseguro e ineficiente DES. AES é um anagrama para AdvancedEncryption Standard. O algoritmo escolhido em concurso foi o Rijndael, e eleutiliza 256 bits de chave, sendo ao mesmo tempo muito mais seguro e rápidoque o DES ou mesmo o 3DES.O Aker Firewall trabalha com o AES utilizando chaves de 256 bits, o que garanteum nível altíssimo de segurança. Ele é a escolha recomendada.BlowfishO algoritmo Blowfish foi criado como uma possível substituição ao DES. Ele éum algoritmo extremamente rápido (quando comparado com outros algoritmosde criptografia), bastante seguro e pode trabalhar com vários tamanhos dechaves, de 40 a 438 bits.O Aker Firewall trabalha com o Blowfish utilizando chaves de 128 ou 256 bits, oque garante um nível altíssimo de segurança.Algoritmos de criptografia assimétricos:Os algoritmos de criptografia assimétricos possuem um par de chaves associadas,uma para encriptar e outra para decriptar os dados. Eles são bastante lentos secomparados aos algoritmos simétricos e, devido a isso, normalmente são utilizadosapenas para realizar assinaturas digitais e no estabelecimento de chaves de sessãoque serão usadas em algoritmos simétricos.RSAO RSA é um algoritmo baseado em aritmética modular capaz de trabalhar comchaves de qualquer tamanho, porém valores inferiores a 512 bits sãoconsiderados muito frágeis. Ele pode ser utilizado para encriptar e decriptardados, porém, devido a sua grande lentidão se comparado aos algoritmossimétricos, seu principal uso é em assinaturas digitais e no estabelecimento dechaves de sessão.Diffie-HellmanO algoritmo Diffie-Hellman na verdade não pode ser encarado como algoritmo decriptografia, uma vez que não serve para encriptar dados ou realizar assinaturasdigitais. Sua única função é possibilitar a troca de chaves de sessão, feita de© Aker Security Solutions 261

forma a impedir que escutas passivas no meio de comunicação consigam obtêlas.Ele também é baseado em aritmética modular e pode trabalhar com chavesde qualquer tamanho, porém chaves menores que 512 são consideradas muitofrágeis.Algoritmos de trocas de chavesUm problema básico que ocorre quando se configura um canal seguro é comoconfigurar as chaves de autenticação e criptografia e como realizar trocas periódicasdestas chaves.É importante realizar trocas periódicas de chaves para diminuir a possibilidade dequebra das mesmas por um atacante e para diminuir os danos causados caso eleconsiga decifrar uma das chaves. Suponha que um atacante consiga em seis mesesquebrar as chaves usadas por um algoritmo de criptografia (este tempo é totalmentehipotético, não tendo nenhuma relação com situações reais). Se uma empresa usaras mesmas chaves, por exemplo, durante 1 ano, então um atacante conseguirádecifrar todo o tráfego nos últimos 6 meses desta empresa. Em contrapartida, se aschaves forem trocadas diariamente, este mesmo atacante, após 6 meses,conseguirá decifrar o tráfego do primeiro dia e terá mais 6 meses de trabalho paradecifrar o tráfego do segundo dia e assim por diante.O Aker Firewall possui quatro métodos para trocas de chaves: IPSEC-IKE, AKER-CDP, SKIP e manual:Troca de chaves via IPSEC-IKEEsta opção estará disponível apenas quando utilizar o conjunto completo deprotocolos IPSEC.O IPSEC (IP Security) é um conjunto de protocolos padronizados (RFC 2401-RFC 2412) desenvolvidos pela IETF. O IPSec oferece transferência segura deinformações através de rede IP pública ou privada. Uma conexão via IPSecenvolve sempre 3 etapas:1. Negociação do nível de segurança;2. Autenticação e Integridade;3. Confidencialidade.Para implementar essas 3 etapas o IPSec utiliza-se 3 mecanismos:AH - Autentication HeaderESP - Encapsulation Security PayloadIKE - Internet Key Exchange ProtocolRecomenda-se fortemente o uso desta opção na hora de configurar os canaisseguros.© Aker Security Solutions 262

Troca de chaves via Aker-CDPO Aker-CDP é um protocolo desenvolvido pela Aker Security Solutions quepossibilita a configuração totalmente automática de todos os parâmetros de umcanal seguro. Ele utiliza o protocolo SKIP como base (o que significa que eleoferece todas as facilidades de trocas de chaves apresentadas anteriormente),porém possui a grande vantagem de não necessitar de uma configuraçãomanual dos segredos compartilhados, tudo é feito automaticamente.Para assegurar o máximo de segurança, toda a troca de chaves é feita por meiode certificados digitais assinados pela própria Aker ou por outras entidadescertificadoras autorizadas. Nestes certificados são utilizados os protocolos Diffie-Hellman e RSA, ambos com 1024 bits.Os algoritmos a serem utilizados na criptografia e autenticação podem serespecificados, da mesma forma que no protocolo SKIP, ou deixados em modoautomático, o que fará que os dois firewalls comunicantes negociem o algoritmomais seguro suportado por ambos.Troca de chaves via SKIPSKIP é um anagrama para Simple Key Management for IP. Ele é basicamenteum algoritmo que permite que as trocas de chaves sejam realizadas de formaautomática e com uma freqüência extremamente elevada, tornando inviável aquebra destas chaves. O funcionamento do SKIP é complexo e não entraremosem maiores detalhes aqui. Nossa abordagem ficará limitada a descrever seufuncionamento.Basicamente o SKIP trabalha com três níveis diferentes de chaves:• Um segredo compartilhado pelas duas entidades que desejamcomunicar-se (configurado manualmente, no caso do Aker Firewall).• Uma chave mestre, recalculada de hora em hora, baseada no segredocompartilhado.• Uma chave randômica, que pode ser recalculada quando se desejar.Genericamente falando, para efetuar a comunicação, o algoritmo gera umachave aleatória e a utiliza para encriptar e autenticar os dados a serem enviados.A seguir ele encripta esta chave com a chave mestre e envia isto junto com osdados encriptados. Ao receber o pacote, o outro lado decripta a chave, com oauxílio da chave mestra, e a utiliza para decriptar o restante do pacote.Os algoritmos utilizados para autenticar o pacote e encriptar a chave sãodefinidos pelo remetente e informados como parte do protocolo. Desta forma,não é necessário configurar estes parâmetros no recipiente.A principal vantagem do SKIP é a possibilidade de utilizar o mesmo segredocompartilhado por anos, sem a menor possibilidade de quebra das chaves porqualquer atacante (uma vez que a troca de chaves é efetuada em intervalos depoucos segundos a no máximo uma hora, dependendo do tráfego entre as redes© Aker Security Solutions 263

comunicantes).Troca de chaves manualNeste caso, toda a configuração de chaves é feita manualmente. Isto implica quetodas as vezes que uma chave for trocada, ambos os Firewall participantes deum canal seguro terão que ser re-configurados simultaneamente.Tipos de canais segurosO Aker Firewall possibilita a criação de dois tipos de canais seguros distintos,chamados de Firewall-Firewall e Cliente-Firewall. Cada um destes tipos de canaispossuem objetivos e limitações diferentes e normalmente são combinados paraatingir o máximo de segurança e flexibilidade.Canais seguros Firewall-FirewallEste tipo de canal seguro é o mais comum e é suportado pelo Aker Firewalldesde sua versão 1.31. Ele consiste na utilização de criptografia e autenticaçãoentre dois firewalls, interligados através da Internet ou de outro meio qualquer.Os pontos de entrada e saída do canal são os dois firewalls, o que significa quetoda a criptografia é feita transparentemente por eles e nenhum softwareadicional necessita ser instalado em nenhuma máquina cliente.A única limitação desta solução é que ela exige a presença de dois firewalls, umna entrada de cada rede, para que o canal seguro possa ser criado.Canais seguros Cliente-Firewall (Secure Roaming)Estes canais são suportados pelo Aker Firewall a partir da versão 3.10. Elespermitem com que uma máquina cliente (Família Windows TM e Linux) estabeleçaum canal seguro diretamente com um Aker Firewall. Para tanto é necessária ainstalação de um programa, chamado de Aker Client, em cada uma destasmáquinas.A principal vantagem desta tecnologia é possibilitar com que clientes acessemuma rede coorporativa através de linhas discadas com total segurança etransparência (transparência na medida em que as aplicações que estejamrodando na máquina com o cliente de criptografia instalado desconhecem suaexistência e continuam funcionando normalmente).Apesar de ser bastante útil, esta tecnologia possui algumas desvantagens elimitações:É necessário a instalação de um software, Aker Client, em todas asmáquinas clientes;O cliente de criptografia não está disponível para todas as plataformas;© Aker Security Solutions 264

Definindo um canal seguro firewall-firewallPara definirmos um canal seguro firewall-firewall deve-se escolher primeiro doisgrupos de máquinas que irão trocar informações entre si de forma segura. Estesgrupos de máquinas terão seus pacotes autenticados e, caso desejado,criptografados. É necessário que exista um firewall nas duas extremidades do canal.Estes firewalls serão responsáveis por autenticar/verificar e criptografar/decriptar osdados a serem transmitidos e recebidos, respectivamente.Para definir os grupos de máquinas, será utilizado o conceito de entidades,mostrado no capítulo intitulado Cadastrando Entidades. Pode-se utilizar entidadesdo tipo máquina, rede ou conjunto nesta definição.O Aker Firewall suporta a existência de diversos canais seguros simultâneos, entrepontos distintos. A união destes diversos canais produz uma lista, onde cadaentrada define completamente os parâmetros de um canal seguro. Cada umadestas entradas recebe o nome de Associação de Segurança ou SA.O planejamento destes canais seguros deverá ser feito com bastante cuidado. Acriptografia é um recurso dispendioso que demanda uma capacidade deprocessamento muito alta. Desta forma, criptografar pacotes para os quais nãoexista uma necessidade real de segurança será um desperdício de recursos. Alémdisso, deve-se atentar que diferentes algoritmos de criptografia exigem quantidadesde processamento diferentes e, por conseguinte, produzem um nível de segurançamais elevado. Dependendo do nível de segurança desejado, pode-se optar por umou outro algoritmo (a descrição da cada algoritmo suportado pelo Aker Firewall seencontra no tópico anterior).Uma última observação sobre canais de criptografia firewall-firewall é que estes sãounidirecionais, ou seja, caso deseje configurar uma comunicação segura entre duasredes, A e B, deve-se configurar dois canais diferentes: um canal com origem narede A e destino na rede B e outro com origem na rede B e destino na rede A. Ospacotes que forem enviados de A para B seguirão a configuração do primeiro canale os pacotes de B para A seguirão a configuração do segundo. Isto será ilustradocom mais clareza nos exemplos abaixo:Exemplos do uso de canais seguros firewall-firewallExemplo básico de configuração de um canal seguro firewall-firewallNeste exemplo será mostrado como definir um canal seguro de comunicação entreduas redes, através da Internet, usando dois Aker Firewalls. O canal será criado deforma com que toda a comunicação entre estas duas redes seja segura. Como oalgoritmo de autenticação foi escolhido o MD5 e como algoritmo de criptografia, oDES.© Aker Security Solutions 265

É obrigatório o uso de um algoritmo de autenticação para todos os fluxos, ouseja, não é permitida a criação de fluxos com criptografia apenas. Isto é necessáriojá que sem a autenticação os algoritmos de criptografia são passíveis de ataques derecortar e colar (cut and paste). Configuração do Aker Firewall da rede 1Entidades:REDE1 - Endereço IP: A1.B1.C1.0 - Máscara 255.255.255.0REDE2 - Endereço IP: A2.B2.C2.0 - Máscara 255.255.255.0Regra de criptografia 1:Sentido do canal: enviaEntidades origem: REDE1Entidades destino: REDE2Algoritmo de criptografia: DESAlgoritmo de autenticação: MD5Chave de autenticação: X1Chave de criptografia: X2Regra de criptografia 2:Sentido do canal: recebeEntidades origem: REDE2Entidades destino: REDE1Algoritmo de criptografia: DESAlgoritmo de autenticação: MD5Chave de autenticação: X3Chave de criptografia: X4 Configuração do Aker Firewall da rede 2Entidades:REDE1 - Endereço IP: A1.B1.C1.0 - Máscara 255.255.255.0REDE2 - Endereço IP: A2.B2.C2.0 - Máscara 255.255.255.0Regra de criptografia 1:Sentido do canal: recebeEntidades origem: REDE1Entidades destino: REDE2Algoritmo de criptografia: DESAlgoritmo de autenticação: MD5Chave de autenticação: X1Chave de criptografia: X2© Aker Security Solutions 266

Regra de criptografia 2:Sentido do canal: enviaEntidades origem: REDE2Entidades destino: REDE1Algoritmo de criptografia: DESAlgoritmo de autenticação: MD5Chave de autenticação: X3Chave de criptografia: X4Note que a regra 1 do Aker Firewall 1 é exatamente igual à regra 1 do AkerFirewall 2, exceto no campo relativo ao sentido. O mesmo ocorre com as regras 2.Figura 168. Exemplo de configuração de um canal seguro firewall-firewall para uma sub-rede.Exemplo de configuração de um canal seguro firewall-firewall para uma subredeNeste exemplo o nosso canal seguro será definido apenas para um grupo demáquinas dentro de cada uma das duas redes. Além disso, definiremos algoritmosdiferentes para os fluxos entre estes grupos.Na prática, configurar algoritmos diferentes para os dois sentidos de um canalseguro pode ser interessante quando as informações de um determinado sentidotiverem um valor maior do que as do sentido oposto do fluxo. Neste caso, utiliza-seum algoritmo mais seguro no sentido mais crítico.Neste exemplo, vamos supor que as redes 1 e 2 possuam dois endereços classe B:A1.B1.0.0 e A2.B2.0.0, respectivamente. Configuração do Aker Firewall da rede 1Entidades:© Aker Security Solutions 267

SUB_REDE1 - Endereço IP: A1.B1.2.0 - Máscara 255.255.255.0SUB_REDE2 - Endereço IP: A2.B2.5.0 - Máscara 255.255.255.0Regra de criptografia 1:Sentido do canal: enviaEntidades origem: SUB_REDE1Entidades destino: SUB_REDE2Algoritmo de criptografia: DESAlgoritmo de autenticação: MD5Chave de autenticação: X1Chave de criptografia: X2Regra de criptografia 2:Sentido do canal: recebeEntidades origem: SUB_REDE2Entidades destino: SUB_REDE1Algoritmo de criptografia: 3DESAlgoritmo de autenticação: SHAChave de autenticação: X3Chave de criptografia: X4 Configuração do Aker Firewall da rede 2Entidades:SUB_REDE1 - Endereço IP: A1.B1.2.0 - Máscara 255.255.255.0SUB_REDE2 - Endereço IP: A2.B2.5.0 - Máscara 255.255.255.0Regra de criptografia 1:Sentido do canal: enviaEntidades origem: SUB_REDE2Entidades destino: SUB_REDE1Algoritmo de criptografia: 3DESAlgoritmo de autenticação:SHAChave de autenticação: X3Chave de criptografia: X4Regra de criptografia 2:Sentido do canal: recebeEntidades origem: SUB_REDE1Entidades destino: SUB_REDE2Algoritmo de criptografia: DESAlgoritmo de autenticação: MD5Chave de autenticação: X1Chave de criptografia: X2© Aker Security Solutions 268

Note que neste caso as regras aparecem colocadas em uma ordem diferente nosdois firewalls: a regra 1 no Firewall 1 é igual a regra 2 do Firewall 2 (com os sentidosinvertidos) e a regra 2 no Firewall 1 é igual a regra 1 no Firewall 2 (novamente comos sentidos trocados). Neste exemplo, a ordem das regras não faz diferença(observe, entretanto que em alguns casos isto pode não ser verdade).Certificados IPSECFigura 169. Canal seguro entre redes.Os certificados IPSEC são certificados padrão X.509 utilizados pelo firewall paraidentificarem-se junto a seus pares quando do estabelecimento dos canaiscriptográficos firewall-firewall no padrão IPSEC (veja a seção Configurando túneisIPSEC, logo abaixo). Seu uso, entretanto, não é obrigatório, já que é possívelestabelecer canais IPSEC usando segredos compartilhados.Para que um firewall aceite um certificado apresentado por outro, é preciso queele possua o certificado da Autoridade Certificadora que o emitiu.Para ter acesso a janela de manutenção de certificados IPSEC basta:© Aker Security Solutions 269

Figura 170. Dispositivos remotos (Acesso a janelas de Certificados IPSEC).Clicar no menu Criptografia da janela principal.Escolher o item Certificados IPSEC.A janela de certificados e requisições IPSEC© Aker Security Solutions 270

Figura 171. Janela de Certificados IPSEC.A janela de certificados IPSEC contém os certificados e as requisições do AkerFirewall.Uma requisição é um formulário a ser preenchido com seus dados para que aautoridade certificadora gere um certificado. Um certificado é uma carteira deidentidade para autenticar (reconhecer como o próprio) o seu proprietário. O AkerFirewall utilizará estes certificados para autenticar frente a seus pares quando danegociação de um canal IPSEC. Desta forma cada um dos dois Firewalls envolvidosnum canal IPSEC tem que gerar seu próprio certificado.As operações desta janela se encontram na barra de ferramentas localizada acimada janela de Certificados IPSEC ou clicando-se com o botão direito do mouse sobreo campo que se deseja operar.Figura 172. Barra de ferramentas (Certificados IPSEC).© Aker Security Solutions 271

Figura 173. Janela de ação para Certificados IPSEC.O botão Inserir permite incluir uma nova requisição, podendo ser local ouremota, sendo que as requisições e certificados locais ficam na janela "destefirewall" e certificados e requisições remotas ficam na janela "outros firewalls".O botão Copiar copia o certificado/requisição selecionado.O botão Colar cola da memória o certificado/requisição copiado.O botão Excluir remove da lista o certificado/requisição selecionado.O botão Importar permite que seja carregado um certificado que foi exportado.O botão Exportar permite que salve o certificado selecionado.O botão Submeter permite que carregue um certificado exportado ou carregueum certificado de acordo com uma requisição selecionada (somente aparecequando inserindo um novo certificado).O botão Instalar fará com que a janela seja fechada e atualizada.O botão Atualizar faz com seja recarregada as informações de certificados.Para gerar um certificado é necessário que primeiro gere uma requisição no AkerFirewall, com esta requisição faça um pedido a uma autoridade certificadora paragerar o certificado e depois importe o certificado para o Aker Firewal.Esta janela é atualizada dinamicamente, ou seja, não é possível cancelar quandojá feito o pedido. Quando incluir-se uma nova requisição local, as requisições e oscertificados locais serão apagados. Da mesma forma, ao importar novo Certificadolocal com par de chaves (.pfx), serão apagados as requisições e os certificadoslocais.Desta maneira, a operação deve se dar da seguinte forma (para o certificado local):1. Criar uma requisição local;2. Enviar esta requisição a uma Autoridade Certificadora;3. Esperar até que a Autoridade Certificadora emita o certificadocorrespondente;4. Carregar o certificado correspondente à requisição (clicar na requisição e,depois, em Carregar).© Aker Security Solutions 272

Se o desejado for criar um certificado para um firewall remoto, o procedimentomuda:1. Criar uma requisição remota;2. Enviar esta requisição a uma Autoridade Certificadora;3. Esperar até que a Autoridade Certificadora emita o certificadocorrespondente;4. Carregar o certificado correspondente à requisição (clicar na requisição e,depois, em Carregar);5. Exportar o certificado para um arquivo PKCS#12 (Clicar no certificado remotocorrespondente e, em seguida, em exportar);6. Importar este certificado no firewall remoto, selecionando Deste Firewall e,em seguida com o botão direito do mouse, Importar.Na janela de requisições, há dois campos que podem causar confusão:Dominio (CN): É o identificador principal do dono da requisição. Este campodeve ser preenchido com common name.Tamanho da chave: Se o certificado for local com criação de nova chave ouremoto, este campo conterá o comprimento da chave em bits. Caso contrário(certificado local adicional) ele não poderá ser modificado, uma vez que a chaveque já existe será utilizada.Configurando canais Firewall-FirewallPara ter acesso a janela de configuração de canais Firewall-Firewall basta:© Aker Security Solutions 273

Figura 174. Dispositivos remotos (Acesso a janela de Firewall/Firewall).Clicar no menu Criptografia da janela principal.Escolher o item Firewall-Firewall.A janela de criptografia firewall-firewallFigura 175. Janela de Criptografia Firewall/Firewall.© Aker Security Solutions 274

A janela de criptografia contém a definição de todos os fluxos de criptografia do AkerFirewall. Cada fluxo será mostrado em uma linha separada, composta de diversascélulas. Caso um fluxo esteja selecionado, ele será mostrado em uma cor diferente.Esta janela é composta por quatro abas, onde cada uma delas permite aconfiguração de fluxos de criptografia usando diferentes métodos de troca dechaves.O botão OK fará com que o conjunto de fluxos seja atualizado e passe afuncionar imediatamente.O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas ea janela seja fechada.O botão Aplicar enviará para o firewall todas as alterações feitas porém manteráa janela abertaA barra de rolagem do lado direito serve para visualizar os fluxos que nãocouberem na janela.Ao clicar sobre um fluxo e selecioná-lo, se ele possuir um comentário, esteaparecerá na parte inferior da janela.Dica: A posição de cada regra pode ser alterada, bastando-se clicar e arrastar amesma para a nova posição desejada, soltando em seguida. Observe que o cursorde indicação do mouse irá mudar para uma mão segurando um bastão.Para executar qualquer operação sobre um determinado fluxo, basta clicar com obotão direito do mouse sobre ele. Aparecerá o seguinte menu: (este menu seráacionado sempre que pressionar o botão direito, mesmo que não exista nenhumfluxo selecionado. Neste caso, somente as opções Inserir e Copiar estarãohabilitadas).Figura 176. Menu de inserção, copia ou exclusão para definição dos fluxos de criptografia.Inserir: Esta opção permite incluir um novo fluxo na lista. Se algum fluxo estiverselecionado, o novo será inserido na posição do fluxo selecionado. Casocontrário, o novo fluxo será incluído no final da lista.Copiar: Esta opção copia o fluxo selecionado para uma área temporária.Colar: Esta opção copia o fluxo da área temporária para a lista. Se um fluxoestiver selecionado, o novo será copiado para a posição do fluxo selecionado.Caso contrário ele será copiado para o final da lista.Excluir: Esta opção apaga o fluxo selecionado.Habilitar/Desabilitar: Esta opção permite desabilitar o fluxo selecionado.© Aker Security Solutions 275

Dica: Todas estas opções podem ser executadas a partir da barra de ferramentaslocalizada na parte superior da janela. Neste caso, primeiro seleciona-se o fluxo,clicando-o com o botão esquerdo, e em seguida clica-se na opção desejada.Caso queira incluir ou editar fluxos, pode-se fazer de duas formas: As entidadesenvolvidas podem ser arrastadas para o fluxo que vão participar ou clicando com obotão direito do mouse sobre o campo desejado, neste caso será dada a opção deinserir, apagar ou editar entidades como mostrado a seguir:Configurando túneis IPSECFigura 177. Menu de inclusão ou ateração de fluxos.Túneis IPSEC servem para criar uma VPN entre duas redes. A palavra túnel éutilizada para diferenciar das VPNs comuns, pois efetivamente cria um canal virtualentre os firewalls envolvidos, possibilitando, por exemplo, que redes com endereçosinválidos se comuniquem de maneira segura através da Internet.Para configurar canais IPSEC, deve-se selecionar a opção IPSEC, na janelaFirewall-Firewall. Isto provocará a alteração da janela de forma a mostrar os camposnecessários para esta configuração.© Aker Security Solutions 276

Figura 178. Configuração de canais IPSEC.Os campos de configuração têm os seguintes significados:Origem: Definir as entidades cujos endereços serão comparados com oendereço origem dos pacotes IP que formarão o fluxo.Destino: Definir as entidades cujos endereços serão comparados com oendereço destino dos pacotes IP que formarão o fluxo.Direção: Define em que sentido o fluxo será aplicado. Só existem duasopções possíveis: ou o pacote está sendo criptografado (encriptação) ou opacote esta sendo decriptado (decriptação). (para maiores detalhes, veja otópico intitulado Planejando a instalação).Gateway Remoto: Define a entidade do tipo máquina que será o gatewayremoto, ou seja, a outra ponta do túnel IPSEC.Agora é possível adicionar até três gateways remotos na mesma regra.Cada um dos dois firewalls envolvidos no túnel precisa ter certeza da identidade dooutro, de forma a evitar ataques de falsificação. Para isso, há dois modosselecionáveis:Autenticação: Definir qual algoritmo será utilizado na autenticação. Osvalores possíveis são: MD5 ou SHA.Segredo Compartilhado: Uma seqüência de caracteres que funciona comouma senha e deve ser igual de cada um dos lados do túnel.© Aker Security Solutions 277

Certificado: Utiliza certificados padrão X.509 com um esquema de chavespúblicas para a identificação dos firewalls. Este é o mesmo esquema utilizadopor sites seguros na Internet, por exemplo.Deverão ser especificados:certificado local a apresentar para a outra ponta do túnel (Remote Gateway)e dado de identificação exigido do firewall remoto. Este dado será umendereço de email para certificados criados com a opção USER- FQDN enome de uma máquina (Fully Qualified Domain Dame), se a opção for FQDN.AvançadoA janela avançado permite definir quais são os algoritmos de criptografia eautenticação preferidos e permitidos pelo firewall durante a negociação de chavesIKE. Os campos já vêm preenchidos com algoritmos padrão que podem seralterados. Mais informações nas RFC 2401 a RFC 2412.A janela de avançado agora inclui uma escolha da ponta local do túnel, para oscasos da rede de passagem entre o firewall e o roteador ser inválida.Figura 179. Definição dos algoritmos de criptografia e autenticação permitidos pelo firewall durantenegociação das chaves IKE.Visualizando o tráfego IPSECClicando no item Túneis IPSEC, dentro de Informações, a janela abaixo aparecerá.© Aker Security Solutions 278

Figura 180. Visualização do tráfego IPSEC.Na janela acima, é possível visualizar quais SPIs IPSEC foram negociadas paracada um dos túneis configurados, bastando para isso clicar sobre a regracorrespondente. Se houver mais de uma SPI, é porque o firewall negocia uma novasempre antes da anterior acabar, de forma a nunca interromper o tráfego dentro daVPN. Descrição de cada coluna:SPI: Número de identificação da política de segurança.Algoritmo de criptografia: Mostra que algoritmo de criptografia foi negociado.Algoritmo de Hash: Mostra que algoritmo deve ser utilizado para fazer o hashdas informações.Tamanho da chave de criptografia: Informa o tamanho da chave decriptografia que ambos os lados do canal devem utilizar.Tamanho da chave de autenticação: Informa o tamanho da chave deautenticação negociado.Protocolo: Conjunto de protocolos negociados para a SP.Bytes negociados: Quantidade de bytes que devem ser transmitidos para queuma nova politica de segurança seja negociada.Bytes transferidos: Quantidade de bytes trafegados pela SP.Tempo total: Tempo de validade da SP.Ocioso: Tempo de inatividade do SP.Expiração: Data no qual a SP deixará de ser utilizada.© Aker Security Solutions 279

Ao clicar em "gráfico", pode-se ver um gráfico de uso dos túneis, que é atualizado acada cinco segundos. Ele mostra o tráfego agregado de todas as SPIs de cadaregra, permitindo verificar, em tempo real, o uso efetivo de banda criptografada.Figura 181. Gráfico de acompanhamento (Bytes de logs transferidos).Para utilizar troca de chaves manual, deve-se selecionar a opção Manual, na janelaFirewall/Firewall. Isto provocará a alteração da janela de forma a mostrar os camposnecessários para esta configuração.9.2. Utilizando a interface textoAtravés da interface texto é possível realizar todas as configurações mostradasacima. A descrição de cada configuração distinta se encontra em um tópicoseparado.Carregando certificados IPSECA interface texto de configuração dos certificados IPSEC é de uso simples e possuias mesmas capacidades da interface gráfica.Localização do programa: /aker/bin/firewall/fwipseccert© Aker Security Solutions 280

Sintaxe:Uso: fwipseccert ajudafwipseccert mostra [requisicao | certificado]fwipseccert remove [requisicao | certificado] fwipseccert requisita [use_email] [imprime]fwipseccert instala fwipseccert exporta fwipseccert importa Ajuda do programa:Firewall Aker - Versão 6.5fwipseccert - Criacao e manejamento de requisicoes e certificados x.509Uso: fwipseccert ajudafwipseccert mostra [requisicao | certificado]fwipseccert remove [requisicao | certificado] fwipseccert requisita [use_email] [imprime]fwipseccert instala fwipseccert exporta fwipseccert importa ajuda = mostra esta mensagemmostra = mostra uma lista contendo as requisicoes pendentes ou oscertificados instaladosremove = remove uma requisicao ou certificado de acordo com seu numerorequisita = cria um par de chaves publicas e privadas juntamente com umarequisicao de um certificado x.509instala = instala um certificado x.509 cujo o par de chaves deve tersido criado anteriormente pelo sistema atraves do comandorequisitaexporta = exporta o certificado e seu par de chaves correspondente parapara um arquivo de formato pkcs12importa = obtem do arquivo pkcs12 um certificado e seu par de chaves e oinstala como certificado local(ver abaixo)Para requisita temos:local = o certificado local e' usado na indentificacao do proprio© Aker Security Solutions 281

firewall; pode-se criar varios certificados locais porem,todos eles usarao o mesmo par de chaves que e' gerado naprimeira vez que uma requisicao local e' geradaremoto = certificados remotos sao utilizados para identificacao deoutras entidades da rede.1024/2048 = sao os possiveis tamanhos das chaves que serao geradasuse_email = o certificado contera o valor de como seu subjectalternative name; como default ele usara o valor de imprime = apos a criacao da requizicao, ela sera impressa na telaemail, pais, estado, cidade, organizacao, unid org e dominio sao camposqueserao usados para indentificar do usuario do certificao. O campo deve conter 2 caracteres no maximo. O campo e'abreviatura de unidade organizacional e se refere ao departamentoou divisao da organizacao ao qual pertence o usuario do certificadoCarregando certificadosA interface texto de configuração dos certificados de criptografia é de uso simples epossui as mesmas capacidades da interface gráfica.Localização do programa:/aker/bin/firewall/fwcertSintaxe:fwcert ajudafwcert mostra [local | ca | negociacao | revogacao]fwcert carrega [local | ca] [-f]fwcert carrega revogacao fwcert remove [-f]Ajuda do programa:Firewall Aker - Versão 6.5fwcert - Configura os certificados para criptografiaUso: fwcert ajudafwcert mostra [local | ca | negociacao | revogacao]fwcert carrega [local | ca] [-f]fwcert carrega revogacao fwcert remove [-f]ajuda = mostra esta mensagemmostra = mostra os certificados especificadoscarrega = carrega um novo certificado no firewallremove = remove o certificado de uma entidade certificadora© Aker Security Solutions 282

Para mostra temos:local = mostra o certificado de negociacao localnegociacao = mostra os certificados de negociacao de outros firewallsque foram recebidos pela rederevogacao = mostra os certificados de revogacao que foram carregadoslocalmente ou recebidos pela redePara carrega temos:local = carrega o certificado de negociacao local (se ja existir umcertificado carregado ele sera substituido)ca = carrega um certificado de uma Entidade Certificadora que serausado para validar os certificados de negociacao recebidos(se ja existir um outro certificado com o mesmo codigo elesera substituido)revogacao = carrega um certificado de revogacao, que sera usado parainvalidar um certificado de negociacao comprometidoarquivo = nome do arquivo do qual o certificado sera carregado-f = se estiver presente, faz com que o programa nao confirme aosubstituir um certificadoPara remove temos:codigo = codigo da entidade certificadora a ser removida-f = se estiver presente, faz com que o programa nao confirme aoremover um certificadoExemplo 1: (carregando o certificado local)#/aker/bin/firewall/fwcert carrega local /tmp/firewall.crtCarregando certificado...OKExemplo 2: (mostrando os certificados de entidades certificadoras)#/aker/bin/firewall/fwcert mostra caNome: Aker Security SolutionsCodigo: 1Nome: Entidade certificadora autorizadaCodigo: 2Exemplo 3: (carregando um novo certificado de entidade certificadora)© Aker Security Solutions 283

#/aker/bin/firewall/fwcert carrega ca /tmp/novo_ca.caCertificado incluidoExemplo 4: (removendo um certificado de entidade certificadora, sem confirmação)#/aker/bin/firewall/fwcert remove 2 -fEntidade certificadora removidaConfigurando canais Firewall-FirewallA utilização da interface texto na configuração das regras de criptografia e deautenticação firewall-firewall traz uma dificuldade gerada pela grande quantidade deparâmetros que devem ser passados na linha de comando.Esta interface texto possui as mesmas capacidades da interface gráfica com aexceção de que através dela não é possível atribuir comentários. Além disso, nãoserá possível configurar os algoritmos a serem usados pelo IPSEC-IKE (janelaavançado), eles terão sempre os valores padrão.Localização do programa: /aker/bin/firewall/fwcriptoSintaxe:Uso: fwcripto [mostra | ajuda]fwcripto [habilita | desabilita | remove] fwcripto inclui ipsec

Uso: fwcripto [mostra | ajuda]fwcripto [habilita | desabilita | remove] fwcripto inclui ipsec fwcripto inclui manual NENHUMfwcripto inclui manual fwcripto inclui manual 3DES fwcripto inclui enviaskip fwcripto inclui recebeskip fwcripto inclui aker-cdpmostra = mostra todas as entradas da tabela de criptografiainclui = inclui uma entrada na tabelahabilita = habilita uma entrada previamente desabilitadadesabilita = desabilita uma entrada existenteremove = remove uma entrada existente da tabelaajuda = mostra esta mensagemPara inclui temos:pos = posicao onde a nova entrada sera incluida na tabela(Podera ser um inteiro positivo ou a palavra FIMpara incluir no final da tabela)envia = esta entrada sera usada na hora de enviar pacotesrecebe = esta entrada sera usada na hora de receber pacotesipsec = usa troca de chave e protocolo IPSECgateway = a entidade que representa a ponta remota do tunel IPSECss = usa segredo compartilhado como forma de autenticacaosegredp = a "string" que sera usada como segredo compartilhadocert = usa certificados X.509 para autenticacaolocal = o nome de dominio (FQDN) no certificado a apresentarremoto = o nome de dominio (FQDN) no certificado esperadomanual = utiliza troca de chaves manualskip = utiliza troca de chaves automatica via o protocolo SKIP© Aker Security Solutions 285

aker-cdp = utiliza troca de chaves automatica via o protocolo Aker-CDPspi = indice de parametro de seguranca(E' um inteiro que identifica unicamente a associacao deseguranca entre a maquina de origem e de destino. Estenumero deve ser maior que 255)MD5 = usa como algoritmo de autenticacao o MD5SHA = usa como algoritmo de autenticacao o SHA-1DES = usa como algoritmo de criptografia o DES3DES = usa como algoritmo de criptografia o triplo DESBFISH128 = usa como algoritmo de criptografia o Blowfish com chaves de128 bitsBFISH256 = usa como algoritmo de criptografia o Blowfish com chaves de256 bitsNENHUM = nao usa criptografia, somente autenticacao(No caso do skip, o primeiro algoritmo selecionadocorreponde ao algoritmo de criptografia da chave eo segundo corresponde ao de criptografia do pacote)tamanho_iv = tamanho do vetor de inicializacao, em bits, para o algoritmode criptografia. Deve ter o valor 32 ou 64.As chaves de autenticacao, criptografia e o segredo skipdevem ser entradas como numeros hexadecimais.No caso do 3DES devem ser digitadas 3 chaves separadas por brancosPara habilita / desabilita / remove temos:pos = posicao a ser habilitada, desabilitada ou removida da tabela(a posicao e' o valor mostrado na esquerda da entrada aose usar a opcao mostra)© Aker Security Solutions 286

Configurando criptografiaCliente-Firewall© Aker Security Solutions 287

10. Configurando criptografia Cliente-FirewallEste capítulo mostrará como configurar o firewall e o Aker Client de modo apropiciar a criação de canais seguros entre máquinas clientes e um Aker Firewall.10.1. Planejando a instalação.O que é um canal seguro Cliente-Firewall?Conforme já explicado no capítulo anterior, um canal seguro cliente-firewall é aqueleestabelecido diretamente entre uma máquina cliente e um Aker Firewall. Isto épossível com a instalação de um programa, chamado de Aker Client, nas máquinasclientes.Um canal de criptografia Cliente-Firewall utiliza as mesmas tecnologias decriptografia, autenticação e troca de chaves já mostradas para os canais segurosFirewall-Firewall, com a diferença de que tudo é negociado automaticamente pelaspartes comunicantes. Ao administrador é possível apenas desabilitar determinadosalgoritmos, de forma a assegurar que eles não serão utilizados.Outra diferença fundamental entre os canais seguros firewall-firewall e clientefirewall,da forma com que são implementados no Aker Firewall, é que os primeirossão sempre realizados ao nível de pacotes IP, onde cada pacote é encriptadoindividualmente, enquanto que os segundos são feitos ao nível de fluxo de dados,onde está encriptado somente as informações contidas na comunicação (e não osdemais dados do pacote IP).Exigências para a criação de canais seguros Cliente-FirewallPara que seja possível o estabelecimento de canais seguros entre clientes e umfirewall, é necessário que a seguinte lista de condições seja atendida:1. O Aker Client esteja instalado em todas as máquinas que estabelecerão canaisseguros com o firewall, no caso de utilizarem o Secure Roaming;ou2. Clientes que suportem os protocolos L2TP ou PPTP.© Aker Security Solutions 288

Definindo um canal seguro cliente-firewallA definição de um canal seguro cliente-firewall é bem mais simples do que a de umcanal firewall-firewall. É necessário apenas configurar no firewall quais máquinaspoderão estabelecer canais seguros de clientes e se ocorrerá ou não autenticaçãode usuários. Todo o restante da configuração é feito automaticamente, no momentoem que o cliente inicia a abertura do canal seguro.10.2. Aker Secure RoamingPara ter acesso à janela de configurações do Secure Roaming basta:Figura 182. Dispositivos remoto (Acesso as configurações do Security Roaming).Clicar no menu Criptografia da janela principal;Escolher o item Clientes VPN.© Aker Security Solutions 289

A janela de configurações do Secure RoamingFigura 183. Configuração geral do Security Roaming.O botão OK fará com que a janela de configurações do Secure Roaming sejafechada e as alterações efetuadas aplicadas;O botão Cancelar fará com que a janela seja fechada porém as alteraçõesefetuadas não sejam aplicadas;O botão Aplicar enviará para o firewall todas as alterações feitas porém manteráa janela aberta.Aba GeralNúmero máximo de conexões simultâneas: Aqui você pode configurar onúmero máximo de clientes conectados simultaneamente no Secure Roaming,L2TP ou PPTP em um determinado tempo. Use esta opção para evitar com queo servidor tenha uma sobrecarga por excesso de clientes, o que pode diminuir aperfomance.O número não pode ser superior ao de sua licença. Se estiver em 0, nenhum clienteserá permitido.Limite de conexões simultâneas: Indica o limite máximo de conexões permitidopor sua licença.© Aker Security Solutions 290

Aba Secure RoamingFigura 184. Configuração do Security Roaming.Métodos de Autenticação: As opções disponíveis, que podem ser marcadasindependentemente, são:1. Usuário/senha: O usuário deverá ser autenticado por meio de umacombinação de nome e uma senha. Esses dados serão repassados a um oumais servidores de autenticação que deverão validá-los. Esta opção é a maisinsegura porém não depende de nenhum hardware adicional;2. Token (SecurID): O usuário deverá ser autenticado mediante o fornecimentode um nome, um PIN e um código presente em um Token SecurID que émodificado a cada minuto. Esses dados serão repassados para oautenticador Token cadastrado no firewall para serem validados. Essa opçãoé bem mais segura que a anterior, porém exige que cada usuário possua umToken;3. Smartcard/X.509: O usuário deverá ser autenticado por meio do uso decertificados X.509 (por exemplo, gravados em smart cards) e emitidos poruma das autoridades certificadoras cadastradas no firewall. Essa forma deautenticação é a mais segura das três, por exigir a senha de desbloqueio dachave privada e a posse da mesma;© Aker Security Solutions 291

Versões antigas do cliente Secure Roaming são permitidas: Permite queversões antigas do cliente Secure Roaming se conectem.Habilita IPSEC: Utiliza protocolo IPSEC na comunicação com o SecureRoaming.Permitir compressão de dados: A compressão de dados é importante paraconexões lentas, como as discadas. Quando esta opção está marcada, é feita acompressão das informações antes de serem enviadas pela rede. Isso permiteum ganho de performance na velocidade de comunicação, porém, exige ummaior processamento local. Para redes mais rápidas, é melhor não se utilizar acompressão.Porta TCP/UDP: Este controle permite configurar a porta usada pelo servidorpara escutar conexões e dados de clientes, respectivamente. Por exemplo, vocêpode configurar o servidor para usar as portas TCP/443 e UDP/53, em ordempara burlar firewalls e/ou outros dispositivos de filtragem entre servidores eclientes. Esses dispositivos recusariam uma conexão VPN, mas não umaconexão HTTP segura e uma requisição DNS, respectivamente.A porta padrão é 1011 tanto para TCP e UDP.Aba AcessoFigura 185. Lista de controle de acesso do Security Roaming.© Aker Security Solutions 292

Tipo da lista de controle de acesso: Aqui você escolhe qual é o tipo da Listade controle de acesso:1. Nenhum: Sem controle de acesso. Todo cliente tem permissão paraconectar ao servidor.2. Permitir entidades listadas: Somente os endereços IP listados, ouendereços que pertençam às entidades rede e/ou conjunto listadas,poderão estabelecer conexão.3. Proibir entidades listadas: As entidades listadas, ou que pertençam aentidades rede e/ou conjunto listadas, não serão capazes de estabelecerconexões. As demais entidades serão.Lista de controle de acesso:Para adicionar uma entidade à lista, deve-se proceder da seguinte forma:Clicar com o botão direito do mouse na lista, ouArrastar a entidade do campo entidades, localizado no lado inferioresquerdo, para a lista.Para remover uma entidade, deve-se proceder da seguinte forma: Clicar com o botão direito do mouse sobre a entidade que será removida,ou Selecionar a entidade desejada e pressione a tecla Delete.A figura a seguir mostra o menu pop-up com todas as opções listadas acima. Eleé mostrado ao clicar com o botão direito do mouse em alguma entidade listada.No exemplo da figura, a entidade clicada foi Host4:Figura 186. Menu com escolha das entidades a ser adicionadas.© Aker Security Solutions 293

Aba EndereçosFigura 187. Conjuto de endereços do Security Roming.Conjunto de endereços: Lista de endereços que podem ser atribuídos aclientes remotamente conectados ao firewall. Os endereços de máquinaslistados e todos os endereços que compõem as redes e conjuntos incluídossomam-se para definir o conjunto de endereços atribuíveis a clientes.Notar que as entidades listadas devem estar conectadas a algum adaptador derede configurado no firewall. Caso contrário, não será possível estabelecerconexão com tal entidade.Para adicionar ou remover uma entidade do Conjunto de endereços, basta procedercomo na Lista de controle de acesso.As redes nesse campo definem um conjunto de endereços, não uma sub-rede nosentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface dofirewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 forincluída no Pool de endereços, o primeiro endereço atribuível seria 10.0.0.1 e oúltimo 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a10.1.0.255, incluindo-se ambos os extremos.© Aker Security Solutions 294

10.3. L2TPL2TP é uma extensão do PPP (Point-to-Point Protocol), unindo características deoutros dois protocolos proprietários: o L2F (Layer 2 Forwarding) da Cisco e o PPTP(Point-to-Point Tunneling Protocol) da Microsoft. É um padrão da IETF (InternetEngineering Task Force), que conta com a participação da Cisco e do PPTP fórum,entre outros líderes de mercado.O L2TPv3, analisado neste trabalho é uma atualização da RFC2661 (L2TPv2), e foioriginalmente definido como um método para tunelamento para quadros PPPatravés de uma rede de comutação de pacotes. Surgiu então a necessidade deatualizar o método, para que ele incluísse todos os encapsulamentos da camada 2que necessitassem de tunelamento através de redes de comutação de pacotes.Entre as mudanças para a versão 3, temos: retirada de todas as partes específicasao PPP do cabeçalho L2TP, garantindo assim a generalização para outrasaplicações, e a mudança para um formato que possibilitasse o desencapsulamentode forma mais rápida.O L2TP fornece a flexibilidade e escalabilidade do IP com a privacidade do FrameRelay ou ATM (Asynchronous Transfer Mode), permitindo que serviços de redesejam enviados em redes roteadas IP. As decisões são tomadas nas terminaçõesdos túneis ou VPNs, e comutadas sem a necessidade de processamento nos nósintermediários.As seguintes vantagens são oferecidas pelo L2TP:permite o transporte de protocolos que não o IP, como o IPX (InternetworkPacket Exchange, da Novell/Xerox) e o SNA, assim como outros protocolosdos terminais;mecanismo simples de tunelamento para implementar funcionalidades deLAN e IP de forma transparente, possibilitando serviços de VPN IP de formabastante simples;simplifica a interação entre as redes do cliente e do provedor;fácil configuração para o cliente.Referências: Steven Brown, Implementing Virtual Private Networks, McGrawHill,1999.© Aker Security Solutions 295

Configurando a VPN L2TPFigura 188. Configuração da VPN L2TP.Figura 189. Lista de endereços que podem ser fornecidos a clientes conectados remotamente aofirewall.© Aker Security Solutions 296

Habilitar L2TP: Este campo habilita o servidor de L2TP no Aker Firewall e permiteconfigurar outros campos como:Servidor de DNS Primário e secundário: Configura dois servidores DNSa serem usados durante a sessão criptográfica. Usado para o caso dehaver um servidor de DNS interno na corporação;Usar autenticação IPSEC: Habilita os modos de autenticação eencapsulamento dos dados L2TP em pacotes IPSEC, os modos deautenticação são através de “Segredo compartilhado ou certificado X.509.Conjunto de Endereços: Lista de endereços que podem ser atribuídos aclientes remotamente conectados ao firewall. Os endereços de máquinaslistados e todos os endereços que compõem as redes e conjuntos incluídossomam-se para definir o conjunto de endereços atribuíveis a clientes.Notar que as entidades listadas devem estar conectadas a algum adaptador derede configurado no firewall. Caso contrário, não será possível estabelecerconexão com tal entidade.Para adicionar uma entidade à lista, deve-se proceder da seguinte forma:Clicar com o botão direito do mouse na lista, ouArrastar a entidade do campo entidades, localizado no lado inferioresquerdo, para a lista.Para remover uma entidade, deve-se proceder da seguinte forma: Clicar com o botão direito do mouse sobre a entidade que será removida,ou Selecionar a entidade desejada e pressione a tecla Delete.A figura a seguir mostra o menu pop-up com todas as opções listadas acima. Eleé mostrado ao clicar com o botão direito do mouse em alguma entidade listada.No exemplo da figura, a entidade clicada foi Host4:© Aker Security Solutions 297

Figura 190. Menu com escolhas da entidade para adicionar.As redes nesse campo definem um conjunto de endereços, não uma sub-rede nosentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface dofirewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 forincluída no Pool de endereços, o primeiro endereço atribuível seria 10.0.0.1 e oúltimo 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a10.1.0.255, incluindo-se ambos os extremos.Configurando usando interface texto# fwl2tp ajudaFirewall Aker - Versao 6.5Uso: fwl2tp helpfwl2tp mostrafwl2tp < habilita | desabilita >fwl2tp ipsec ss < segredo >fwl2tp ipsec cert < fqdn >fwl2tp ipsec nenhumfwl2tp dns_1 < dns_server >fwl2tp dns_2 < dns_server >fwl2tp inclui < rede >fwl2tp remove < rede >os parametros sao:segredo : O segredo compartilhado IPSECfqdn : O nome dominio presente no certificado X.509 para autenticacao IPSECdns_server : Um servidor DNS (entidade) para os clientes de VPNrede : Entidade rede ou maquina para o conjunto de endercos IP dos clientes deVPNConfigurando o Cliente L2TPWindows Vista / XPNo Windows Vista, crie uma nova conexão de VPN, no Network and Sharing Center.No Windows XP, isso deve ser feito na janela Network Connections. Um assistentepara a criação desta conexão aparecerá, e deve ser preenchido de acordo com asimagens abaixo:© Aker Security Solutions 298

Figura 191. Configurando o cliente L2TP (Windows Vista/XP).Figura 192. Configurando o cliente L2TP (utilizando VPN).© Aker Security Solutions 299

Figura 193. Configurando o cliente L2TP (escolha do IP e nome da conexão).Na imagem acima, 192.168.0.100 é o endereço do Aker Fireewall com servidorL2TP visível pelo Cliente de VPN. Este endereço pode ser um nome, comofirewall.empresa.com.br.© Aker Security Solutions 300

Figura 194. Configurando o cliente L2TP (nome do usuário e senha utilizados para autenticar ocliente de VPN no Aker Firewall).Na imagem acima, devem ser preenchidos o nome de usuário e senha que serãoutilizados para autenticar o cliente de VPN no AKER FIREWALL.Figura 195. Configuração da VPN L2TP concluída.Após clicar em Close, será criada uma nova conexão, que precisa ser editada, nopasso seguinte. Não clique em Connect now.Abra a janela Network Connections, e edite as propriedades da conexão recémcriada de acordo com as janelas abaixo:© Aker Security Solutions 301

Figura 196. Network conections (edição das propriedades de conexão).Clique no botão Settings, após escolher Advanced (custom settings), e configure ajanela de configurações avançadas de acordo com a imagem abaixo:© Aker Security Solutions 302

Figura 197. Network conections (janela de configurações avançadas).Após clicar OK, volte ao diálogo de propriedades e continue a configuração:© Aker Security Solutions 303

Figura 198. Dialogo de propriedades (configuração).Por fim, basta utilizar a conexão recém criada.10.4. PPTPO Point-to-Point Tunneling Protocol (PPTP) é um método para execução deredes virtuais privadas. PPTP usa o TCP (porta 1723) e o GRE (Outros 47). PPTPusa um canal de controle sobre TCP e GRE túnel operacional para encapsular PPPpacotes.© Aker Security Solutions 304

Configurando a VPN PPTPFigura 199. Configurando a VPN PP TP.Habilitar PPTP: Este campo habilita o servidor de PPTP no Aker Firewall e permiteconfigurar outros campos como: Servidor de DNS Primário e secundário: Configura dois servidores DNSa serem usados durante a sessão criptográfica. Usado para o caso dehaver um servidor de DNS interno na corporação; Segurança: Permite especificar os métodos de encriptação daauteticação e dos dados trafegados, as opções são: PAP: Autenticação não cifrada e dados não cifrados. Funciona comqualquer tipo de autenticador que possa ser cadastro no Firewall; CHAP: Autenticação cifrada, dados não cifrados. Funcionasomente com o autenticador RADIUS; MS-CHAPv2: Autenticação cifrada, dados não cifrados. Funcionasomente com o autenticador RADIUS; MPPE (MS-CHAPv2 + MPPE): Autenticação cifrada, dadoscifrados com RC4 e chave de 40 a 128 bits. Funciona somente como autenticador RADIUS; MPPE-128(MS-CHAPv2 + MPPE-128): Autenticação cifrada, dadoscifrados com RC4 e chave de 128 bits. Funciona somente com oautenticador RADIUS.© Aker Security Solutions 305

Conjunto de Endereços: Lista de endereços que podem ser atribuídos aclientes remotamente conectados ao firewall. Os endereços de máquinaslistados e todos os endereços que compõem as redes e conjuntosincluídos somam-se para definir o conjunto de endereços atribuíveis aclientes.Notar que as entidades listadas devem estar conectadas a algumadaptador de rede configurado no firewall. Caso contrário, não serápossível estabelecer conexão com tal entidade.Para adicionar uma entidade à lista, deve-se proceder da seguinte forma:Clicar com o botão direito do mouse na lista, ouArrastar a entidade do campo entidades, localizado no lado inferioresquerdo, para a lista.Para remover uma entidade, deve-se proceder da seguinte forma: Clicar com o botão direito do mouse sobre a entidade que será removida,ou Selecionar a entidade desejada e pressione a tecla Delete.A figura a seguir mostra o menu pop-up com todas as opções listadas acima. Eleé mostrado ao clicar com o botão direito do mouse em alguma entidade listada.No exemplo da figura, a entidade clicada foi Host4:Figura 200. Menu com escolhas da entidades para adicionar.As redes nesse campo definem um conjunto de endereços, não uma sub-rede nosentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface dofirewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 forincluída no Pool de endereços, o primeiro endereço atribuível seria 10.0.0.1 e oúltimo 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a10.1.0.255, incluindo-se ambos os extremos.© Aker Security Solutions 306

Configurando usando interface texto/aker/bin/firewall # fwpptpsrv ajudaAker Firewall - Versao 6.5 (HW)Uso: fwpptpsrv ajudafwpptpsrv mostrafwpptpsrv < habilita | desabilita >fwpptpsrv limpafwpptpsrv dns_1 < dns_server >fwpptpsrv dns_2 < dns_server >fwpptpsrv inclui < rede >fwpptpsrv remove < rede >fwpptpsrv seguranca < PAP | CHAP | MS-CHAPv2 | MPPE | MPPE-128 >os parametros sao:dns_server : Um servidor DNS (entidade) para os clientes de VPNrede: Entidade rede ou maquina para o conjunto de enderecos IP dosclientes de VPNConfigurando o Cliente PPTP para autenticação com PAPWindows Vista / XPNo Windows Vista, crie uma nova conexão de VPN, no Network and Sharing Center.No Windows XP, isso deve ser feito na janela Network Connections. Um assistentepara a criação desta conexão aparecerá, e deve ser preenchido de acordo com asimagens abaixo:© Aker Security Solutions 307

Figura 201. Configurando o Cliente PPTP para autenticação com PAP (Windows Vista/XP).© Aker Security Solutions 308

Figura 202. Janela de configuração da VPN no Microsoft Windows®.© Aker Security Solutions 309

Figura 203. Janela de configuração de rede da VPN no Microsoft Windows®.Na imagem acima, 192.168.0.100 é o endereço do AKER FIREWALL com servidorPPTP visível pelo cliente de VPN. Este endereço pode ser um nome, comofirewall.empresa.com.br.© Aker Security Solutions 310

Figura 204. Janela de configuração de usuário e senha da VPN no Microsoft Windows®.Na imagem acima, devem ser preenchidos o nome de usuário e senha que serãoutilizados para autenticar o cliente de VPN no AKER FIREWALL.© Aker Security Solutions 311

Figura 205. Configuração da VPN no Microsoft Windows® concluída.Após clicar em Close, será criada uma nova conexão, que precisa ser editada, nopasso seguinte. Não clique em Connect now.Abra a janela Network Connections, e edite as propriedades da conexão recémcriada de acordo com as janelas abaixo:© Aker Security Solutions 312

Figura 206. Janela de configurações avançadas da VPN no Microsoft Windows®.Clique no botão Settings, após escolher Advanced (custom settings), e configure ajanela de configurações avançadas de acordo com a imagem abaixo:© Aker Security Solutions 313

Figura 207. Janela de configurações dos parâmentros de autenticação da VPN no MicrosoftWindows®.Após clicar OK, volte ao diálogo de propriedades e continue a configuração. Nestajanela que definimos as configurações de Segurança conforme configuraçãorealizada pelo administrador do firewall.© Aker Security Solutions 314

Figura 208. Janela de configurações dos parâmentros de rede da VPN no Microsoft Windows®.Por fim, basta utilizar a conexão recém criada.Configurando o servidor Radius Microsoft – IASA seguinte configuração aceita todos os tipos de criptografia. Para iniciar aconfiguração precisamso cadastrar o endereço IP do firewall e sua senha NAS:© Aker Security Solutions 315

Figura 209. Configurações do Servidor de autenticação Radius do Microosft Windows Server®.© Aker Security Solutions 316

Figura 210. Configurações do Shared secret do servidor de autenticação Radius do MicroosftWindows Server®.Após cadastrar o(s) firewall(s), define-se as regras de acesso remoto (RemoteAccess Policies), efetue suas configurações iguais as exibidas abaixo:© Aker Security Solutions 317

Figura 211. Definição das regras de acesso remoto do servidor de autenticação Radius do MicroosftWindows Server®.© Aker Security Solutions 318

Figura 212. Especificação das condições de conexão do servidor de autenticação Radius doMicroosft Windows Server®.© Aker Security Solutions 319

Clique em Edit Profile.Figura 213. Especificação das condiçõs de conexão - Edição.© Aker Security Solutions 320

Figura 214. Especificação das condiçõs de conexão – IP.© Aker Security Solutions 321

Figura 215. Especificação das condiçõs de conexão – Multilink.© Aker Security Solutions 322

Figura 216. Especificação das condiçõs de conexão – Authentication.© Aker Security Solutions 323

Figura 217. Especificação das condiçõs de conexão – Encryption.© Aker Security Solutions 324

Figura 218. Especificação das condiçõs de conexão – Advanced.Devido as políticas de segurança do Windows Server tm , será necessário informarquais usuários podem efetuar estas autenticações, para realizar esta etapa umaPolicy em “Connection Request Policies”.© Aker Security Solutions 325

Figura 219. Informações dos usuários podem efetuar autenticações.Tembém é necessário que no Microsoft Active Directory tm , selecione os usuáriosque podem efetuar estas autenticações e permitam que VPN e Dial-in, vejam najanela abaixo:© Aker Security Solutions 326

Figura 220. Propriedades dos usuários podem efetuar autenticações.Para suporte CHAP, é necessário alterar as políticas de segurança do Windows, deforma que o mesmo salve as senhas com criptografia reversível e, após este passo,alterar as senhas dos usuários. Mais informações neste link:http://technet.microsoft.com/en-us/library/cc782191(WS.10).asp10.5. IPSEC ClientO conjunto de protocolos IPSEC (em especial IKE e ESP) não foi projetado para ouso em modo cliente-servidor. Por isso, diversas extensões na sua implementaçãooriginal (RFC 2401 e família) são necessárias para que o mesmo possa ser utilizadocom esta finalidade.Diferentemente do que ocorre com as VPNs L2TP/IPSEC e PPTP, não existe umpadrão devidamente normatizado para essas extensões necessárias aofuncionamento de VPNs IPSEC modo túnel para clientes remotos. O que existe sãouma série de propostas de RFCs (Internet Drafts) que nunca foram aceitas pelo© Aker Security Solutions 327

IETF, mas mesmo assim, são utilizadas largamente por diversos fabricantes deequipamentos e clientes de VPN.A seguir, explicamos os diversos problemas encontrados para estabelecer esse tipode VPN e indicamos as soluções encontradas, indicando as RFCs e draftscorrespondentes, quando for o caso.Autenticação com usuário e senhaOriginalmente, o protocolo IKE somente suporta autenticação simétrica, em especialutilizando segredos compartilhados ou certificados digitais. Quando se trata deVPNs para clientes remotos, o mais prático é utilizar autenticação por meio deusuário e senha.A proposta mais aceita para extensão do IKE nesse sentido chama-se 1XAUTH,uma proposta da Cisco cujo draft mais recente é o 2draft-beaulieu-ike-xauth-02, deoutubro de 2001. Essa proposta é largamente utilizada por diversos fabricantes epropõe estender o protocolo IKE incluindo uma segunda etapa de autenticação entreas fases 1 e 2 tradicionais. Com isso, após o estabelecimento de uma SA ISAKMPdurante a fase 1, antes de estabelecer SAs de fase 2 (ESP), uma nova troca cifradaverifica as credenciais do usuário.Configuração de rede do clienteUm problema importante a ser resolvido nas VPNs IPSEC para clientes é aconfiguração de rede do mesmo. Geralmente, uma interface virtual é criada nocomputador onde executa o cliente de VPN e esta interface recebe endereços erotas da rede interna protegida pelo gateway de VPNs. Para não precisar configurarcada um dos clientes com endereços IPs estáticos e diferentes, é necessário umasolução que permita ao servidor de VPN informar ao cliente quais configuraçõesutilizar.A proposta mais aceita para solucionar essa questão chama-se Mode Config3,também produzida pela Cisco em outubro de 2001 e que tem como draft maisrecente o draftdukes-ike-mode-cfg-024. Essa proposta é também largamenteutilizada por diversos fabricantes de equipamento de VPN e propõe, do mesmomodo que o XAUTH, entre as fases 1 e 2, executar uma série de perguntas erespostas entre o cliente e o servidor de criptografia, com o propósito de configuraraquele a partir desse.Detecção de cliente desconectadoClientes remotos têm grande probabilidade de serem desconectados do servidor decriptografia sem aviso prévio. Um exemplo simples é um dispositivo conectado porWIFI afastar-se demais de seu access point. O protocolo IPSEC originalmenteproposto não tem nenhuma outra forma de detectar que a conectividade foi perdidaque não seja pela falha da troca de chaves, o que se dá em intervalos relativamentelongos, devido a seu custo computacional. Se a desconexão de clientes não for© Aker Security Solutions 328

apidamente detectada, recursos escassos como os endereços IP do conjuntodisponível para os mesmos podem ser rapidamente exauridos no servidor de VPN.A proposta padronizada para este fim está descrita na RFC 3706 e consiste empermitir a ambos endpoints IPSEC enviar pacotes de ping protegidos pela SA defase 1 (ISAKMP) de acordo com sua necessidade. Esses pacotes geralmente sãoenviados em intervalos bem mais curtos que a troca de chave, uma vez que toda atransação de enviá-los, respondê-los e recebê-los tem um custo muito baixo.IPSECFigura 221. Clientes VPN - IPSEC.Habilitar Cliente IPSEC: Este campo habilita o servidor de IPSEC Client no AkerFirewall e permite configurar outros campos como:Servidor de DNS Primário, secundário e terciário: Configura até trêsservidores DNS a serem usados durante a sessão criptográfica. Usadopara o caso de haver um servidor de DNS interno na corporação;Servidor WINS Primário, secundário e terciário: Configura até trêsservidores WINS a serem usados durante a sessão criptográfica. Usadopara o caso de haver um servidor de WINS interno na corporação;Mensagem de autenticação: Mensagem de apresentação (banner) a sermostrada para os clientes.© Aker Security Solutions 329

Lista de endereços que podem ser atribuídos a clientes - Conjunto deEndereços: Lista de endereços que podem ser atribuídos a clientesremotamente conectados ao firewall. Os endereços de máquinas listados e todosos endereços que compõem as redes e conjuntos incluídos somam-se paradefinir o conjunto de endereços atribuíveis a clientes.Notar que as entidades listadas devem estar conectadas a algum adaptador derede configurado no firewall. Caso contrário, não será possível estabelecerconexão com tal entidade.Para adicionar uma entidade à lista, deve-se proceder da seguinte forma:Clicar com o botão direito do mouse na lista, ouArrastar a entidade do campo entidades, localizado no lado inferioresquerdo, para a lista.Para remover uma entidade, deve-se proceder da seguinte forma: Clicar com o botão direito do mouse sobre a entidade que será removida,ou Selecionar a entidade desejada e pressione a tecla Delete.A figura a seguir mostra o menu pop-up com todas as opções listadas acima. Eleé mostrado ao clicar com o botão direito do mouse em alguma entidade listada.No exemplo da figura, a entidade clicada foi Host4:Figura 222. Lista de endereços que podem ser atribuídos aos clientes.As redes nesse campo definem um conjunto de endereços, não uma sub-rede nosentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface dofirewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 forincluída no Pool de endereços, o primeiro endereço atribuível seria 10.0.0.1 e oúltimo 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a10.1.0.255, incluindo-se ambos os extremos.© Aker Security Solutions 330

Lista de endereços que são redes protegidas – Redes Protegidas: Lista deendereços de hosts ou redes protegidas pela VPN IPSEC, quando utilizado osclientes da VPN IPSEC Client recebem rotas para alcançarem estes endereçossem alterar o default gateway da sua estação. Quando deixar este campo embranco os clientes da VPN IPSEC Client recebem o endereço IP do Aker Firewallcomo default gateway.Para adicionar uma entidade à lista, deve-se proceder da seguinte forma:Clicar com o botão direito do mouse na lista, ouArrastar a entidade do campo entidades, localizado no lado inferioresquerdo, para a lista.Para remover uma entidade, deve-se proceder da seguinte forma: Clicar com o botão direito do mouse sobre a entidade que será removida,ou Selecionar a entidade desejada e pressione a tecla Delete.A figura a seguir mostra o menu pop-up com todas as opções listadas acima. Eleé mostrado ao clicar com o botão direito do mouse em alguma entidade listada.No exemplo da figura, a entidade clicada foi Host4:Figura 223. Lista de endereços que são redes protegidas.As redes nesse campo definem um conjunto de endereços, não uma sub-rede nosentido de roteamento IP. Isso quer dizer que, por exemplo, se a interface dofirewall estiver na sub-rede 10.0.0.0/255.0.0.0 e a rede 10.0.0.0/255.255.255.0 forincluída no Pool de endereços, o primeiro endereço atribuível seria 10.0.0.1 e oúltimo 10.0.0.255. Se fosse a rede 10.1.0.0/255.255.255.0, a faixa iria de 10.1.0.0 a10.1.0.255, incluindo-se ambos os extremos.© Aker Security Solutions 331

Grupos: Este campo permite definir as opções de autenticação do IPSEC para osclientes:Nome do grupo: Identidade dos grupos, os clientes especificam o grupoe assim qual o método de autenticação será utilizado.Autenticação: Segredo Compartilhado: Uma seqüência de caracteres quefunciona como uma senha e deve ser igual de cada um dos ladosdo túnel. Certificado: Utiliza certificados padrão X.509 com um esquema dechaves públicas para a identificação dos firewalls. Este é o mesmoesquema utilizado por sites seguros na Internet, por exemplo.Configurando usando interface texto/aker/bin/firewall # fwipseccli ajudaAker Firewall - Versao 6.5 (HW)Uso: fwipseccli ajudafwipseccli mostrafwipseccli < habilita | desabilita > [ grupo ]fwipseccli dns_1 < dns_server >fwipseccli dns_2 < dns_server >fwipseccli dns_3 < dns_server >fwipseccli wins_1 < wins_server >fwipseccli wins_2 < wins_server >fwipseccli wins_3 < wins_server >fwipseccli mensagem < mensagem >fwipseccli inclui < conjunto | protegida > < rede >fwipseccli remove < conjunto | protegida > < rede >fwipseccli grupo < inclui | remove > < grupo >© Aker Security Solutions 332

fwipseccli ss < grupo > < segredo >fwipseccli cert < grupo > < fqdn >os parametros sao:segredo: O segredo compartilhado IPSECfqdn : O nome dominio presente no certificado X.509para autenticacao IPSECdns_server : Um servidor DNS (entidade) para os clientes de VPNwins_server: Um servidor WINS (entidade) para os clientes de VPNrede: Entidade rede ou maquina para o conjunto de endercos IP dosclientes de VPN ou a lista de redes protegidasgrupo: O nome do grupo de clientesmensagem : A mensagem de autenticacao dos usuariosConfigurando os ClientesDe modo genérico, as configurações recomendadas para clientes de criptografiasão as seguintes:Shared SecretFase Configuração Valor1 Forma de autenticação secret + XAUTH1 Forma de identificação KEY_ID. Use o mesmo nome do grupocriado no fwipseccli. Alguns clientes chamamessa configuração de grupo mesmo.1 Credenciais de usuário(XAUTH)Use usuário e senha que possam serverificados pelo subsistema de autenticaçãodo Aker Firewall, os mesmos que, porexemplo, o Filtro Web aceita paraautenticação.1 Algoritmos de criptografiae hash3DES / SHA-1 (pode ser modificado pelaControle Center)1 Grupo diffie-hellman 2 - MODP-1024 (pode ser modificado pelaControl Center)1 Tempo de vida de SA 3600 segundos (pode ser modificado pela© Aker Security Solutions 333

Control Center)2 Algortimos AES-256 / SHA-1 HMAC-962 PFS / Grupo diffie Não / 0hellman2 Tempo de vida de SA 3600 segundosFigura 224. Configurações recomendadas para clientes de criptografia – Shared Secret.X.509A configuração X.509 é muito parecida:Fase Configuração Valor1 Forma de autenticação X.509 (RSA SIG) + XAUTH.1 Forma de identificação FQDN. Use o nome do Subject AlternativeName do certificado. Alguns clientes exigemque esse nome seja o mesmo do endereço IPou domínio de conexão.1 Credenciais de usuário(XAUTH)Use usuário e senha que possam serverificados pelo subsistema de autenticaçãodo Aker Firewall, os mesmos que, porexemplo, o Filtro Web aceita paraautenticação.1 Algoritmos de criptografiae hash3DES / SHA-1 (pode ser modificado pelaControle Center)1 Grupo diffie-hellman 2 - MODP-1024 (pode ser modificado pelaControl Center)1 Tempo de vida de SA 3600 segundos (pode ser modificado pelaControl Center)2 Algortimos AES-256 / SHA-1 HMAC-962 PFS / Grupo diffie Não / 0hellman2 Tempo de vida de SA 3600 segundosExemplos:Figura 225. Configurações recomendadas para clientes de criptografia – X.509.ShrewSoft VPN Client com com segredo compartilhadoPara a configuração deve ser preenchido os campos de acordo com as imagensabaixo:© Aker Security Solutions 334

Figura 226. Configuração da VPN – General.Figura 227. Configuração da VPN – Authentication.© Aker Security Solutions 335

Figura 228. Configuração da VPN – Phase 1.Figura 229. Configuração da VPN – Phase 2.© Aker Security Solutions 336

iPhone com certificadoFigura 230. Configuração da VPN – Connect.Nesse caso, é necessário usar a feramenta de configuração para empresas doiPhone, que pode ser obtida gratuitamente no site da Apple. Atenção ao fato queé necessário incluir o certificado da CA (.CER) e o certificado com chaves do docliente (.PFX) no perfil de configuração. Para fazer isso, primeiro é necessárioincluir esses certificados nas configurações do Windows.Além disso, atenção ao fato que o iPhone exige que o "Hostname or IP Addressfor Server" seja igual ao Subject Alternative Name do firewall, sob pena derecusar o certificado e impedir a conexão.© Aker Security Solutions 337

Figura 231. Configuração I-Phone – certificado.© Aker Security Solutions 338

Figura 232. Configuração I-Phone – estabelecendo VPN.© Aker Security Solutions 339

ShrewSoft VPN Client com certificadoFigura 233. Configuração VPN com certificado.Figura 234. Configuração VPN - Authentication – Local Identity.© Aker Security Solutions 340

Figura 235. Configuração VPN - Authentication – Remote Identily.Figura 236. Configuração VPN - Authentication – Authentication Method.© Aker Security Solutions 341

10.6. VPN – SSLA configuração do Portal VPN SSL e do Applet é bastante simples, uma vez quetodos os detalhes de funcionamento do portal e do applet são responsabilidade dofirewall. Ao administrador cabe definir nome do portal, qual o certificado seráutilizado pelo firewall e etc.Todas estas configurações são feitas na janela VPN SSL. Para acessá-la, basta:Figura 237. Janela de acesso – VPN SSL.Clicar no menu Criptografia da janela principal.Escolher o item VPN SSL.Ao selecionar a opção Enable VPN SSL, os campos de edição das configurações doportal e do applet são habilitados.Portal© Aker Security Solutions 342

Figura 238. VPN SSL - Portais.No portal web, o cliente se autentica no firewall e como resultado recebe o appletque implementa o túnel SSL.Título do Portal: Este campo informa o nome do portal. Possui um limite máximo de64 caracteres e somente aceita texto simples.Certificado CN do Firewall: Este campo informa o nome do certificado aplicado aoFW.Ao clicar no íconeo certificado. O íconecarrega-se um arquivo com extensão *.p12/*.pfx que contémmostra um resumo das informações do certificado e oícone permite exportar um arquivo com extensão *.p12/*.pfx contendo umcertificado.© Aker Security Solutions 343

Autenticação: Este campo informa o tempo de expiração de autenticação no portal,sendo o tempo máximo que pode levar para estabelecer a sessão, variando de 0 a30 seg.Mostrar campo Domínio: Ao selecionar essa opção permite mostrar o campodomínio no formulário de login do portal. A seleção desse campo é opcional.Usar o protocolo SSLv2: Ao selecionar essa opção, opta por utilizar a versão 2 doprotocolo SSL. Ele não é utilizado por padrão devido a existência de um bug desegurança.Forçar autenticação x.509: Esta opção permite forçar uma autenticação x.509, poisimpede que o usuário se autentique sem ser por meio do certificado digital.Permitir que um usuário tenha acesso por diferentes IPs ao mesmo tempo:Esta opção permite ao usuário se logar no portal a partir de um ou mais IPsdiferentes simultâneamente.Informação de logon: Esse campo permite incluir o texto que será apresentado noportal com informações básicas sobre o seu funcionamento. Não possui tamanhodefinido e pode ser escrito usando o formato HTML.Popup não aberto: Esse campo é informativo. Caso o applet apresente erro aocarregar, este texto será mostrado ao usuário como resposta ao erro ocorrido.© Aker Security Solutions 344

AppletFigura 239. VPN SSL - Applet.Usar o logo customizado: Ao habilitar essa opção, permite ao usuário apresentaro seu logotipo no applet.Alterar arquivo: Este botão permite trocar o logotipo apresentado.Porta: Esta opção permite definir a porta na qual o applet vai se conectar no firewallpara fazer o túnel SSL.Timeout da Conexão: Este campo informa o tempo em segundos que pode ficarsem trafegar nenhum dado no túnel SSL. Ao expirar esse tempo o túnel seráfechado.© Aker Security Solutions 345

Usando a applet: Este campo mostra informações gerais de utilização do applet. Otexto não pode ser em formato HTML e não possui tamanho definido.Visualização: Nesta área podem ser visualizadas todas as configurações visuaisaplicadas ao applet, sendo incluso o título e os logotipos da Aker e do Cliente.ClienteO cliente necessita de um browser e do Java virtual Machine instalado para teracesso, que é realizado através da seguinte url:https://O usuário após aceitar os certificados aparecerá uma tela de autenticação, onde ousuário e senha definirá qual o perfil de acesso e quais portas de comunicação terápermissão na VPN.Figura 240. Perfil de acesso – Permissão VPN.Após a auteticação ser realizada com sucesso teremos o Applet rodando com asinformações que foram configuradas na sessão Applet que vimos a pouco:© Aker Security Solutions 346

Figura 241. VPN SSL – Instruções gerais..O acesso aos serviços atravé da VPN são realizados através do IP:127.0.0.1:Esta porta de comunicação é configurada em Configuração do Firewall, Perfis naaba VPN-SSL (Proxy SSL).© Aker Security Solutions 347

Configurando o Proxy SSL© Aker Security Solutions 348

11. Configurando criptografia Cliente-FirewallEste capítulo mostrará para que servem e como configurar a Proxy SSL no AkerFirewall.O que é um Proxy SSL?Um Proxy SSL é uma VPN cliente-firewall, feita através do protocolo SSL, e que temcomo principal característica a utilização do suporte nativo a este protocolo que estápresente em várias aplicações: navegadores, leitores de e-mail, emuladores determinal, etc. Devido ao suporte nativo destas aplicações, não é necessária ainstalação de nenhum cliente para o estabelecimento da VPN.O seu funcionamento é simples: de um lado o cliente se conecta ao firewall atravésdo protocolo SSL, autenticando-se através de certificados X.509 (caso seja o desejodo administrador que a autenticação seja demandada) e o firewall então se conectaem claro ao servidor interno. Dessa forma, o cliente enxerga uma conexão SSL como servidor e, este, enxerga uma conexão em claro (transparente) com o cliente.Utilizando um Proxy SSLPara utilizar um Proxy SSL em uma comunicação, é necessário executar umaseqüência de 2 passos:Criar um serviço que será interceptado pelo proxy SSL e edita-se osparâmetros do contexto a ser usado por este serviço (para maioresinformações, veja o capítulo intitulado Cadastrando Entidades).Acrescentar regras de filtragem de perfis SSL, permitindo o uso do serviçocriado no passo 1, para as redes ou máquinas desejadas (para maioresinformações, veja o item Configurando regras de Proxy SSL).© Aker Security Solutions 349

Figura 242. Utilização do Proxy SSL.11.1. Editando os parâmetros de um contexto SSLA janela de propriedades de um contexto SSL será mostrada quando a opção ProxySSL for selecionada. Através dela é possível definir o comportamento do proxy SSLquando este for lidar com o serviço em questão.A janela de propriedades de um contexto SSL© Aker Security Solutions 350

Figura 243. Edição dos paramentros de um contexto SSL.Na janela de propriedades são configurados todos os parâmetros de um contextoassociado a um determinado serviço. Ela consiste de duas abas distintas: a primeirapermite a configuração dos parâmetros e a segunda a definição do certificado queserá apresentado ao cliente no estabelecimento da VPN.Aba GeralPorta do servidor: Este campo indica a porta que o servidor estará esperandoreceber a conexão, em claro, para o serviço em questão.Permitir autenticação de usuário: Este campo, se estiver marcado, indica que osusuários podem se autenticar no estabelecimento dos Proxies SSL. Caso ele estejadesmarcado, somente sessões anônimas serão autorizadas, o que implica nautilização do perfil de acesso padrão sempre.Forçar autenticação de usuário: Se este campo estiver marcado, não serão aceitassessões de Proxy SSL nas quais o usuário não tenha apresentado um certificadoX.509 válido.© Aker Security Solutions 351

Inatividade do cliente: Este campo indica o tempo máximo em segundos que ofirewall manterá a sessão de Proxy SSL ativa (desde que a sessão já tenha sidoestabelecida) sem o recebimento de dados por parte do cliente.Conexão: Este campo indica o tempo máximo em segundos que o firewallaguardará pelo estabelecimento da conexão com o servidor.Autenticação SSL: Este campo indica o tempo máximo em segundos que o firewallaguardará para que o cliente realize, com sucesso, uma autenticação SSL.Avançado: Este botão permite o acesso a parâmetros de configuração que não sãonormalmenteutilizados.São eles:Permitir um usuário acessar de IPs diferentes ao mesmo tempo: Este campo, seestiver marcado, permite que um mesmo usuário estabeleça sessões simultâneas apartir de máquinas diferentes. Caso esteja desmarcado, se um usuário já possuiruma sessão em uma máquina, tentativas de abertura a partir de outras máquinasserão recusadas.Tempo de manutenção de sessão: Como não existe o conceito de sessão em umaProxy SSL, é necessário que o proxy simule uma sessão, mantendo um usuáriologado por algum tempo após o fechamento da última conexão, caso sejanecessário impedir que um mesmo usuário acesse simultaneamente de máquinasdiferentes. O que este campo especifica é por quanto tempo, em segundos, ofirewall deve considerar um usuário como logado após o fechamento da últimaconexão.Permitir o uso de SSL v2: Este campo indica se o firewall deve ou não aceitar umaconexão SSL usando a versão 2 deste protocolo.A versão 2 do protocolo SSL possui sérios problemas de segurança erecomenda-se que ela não seja utilizada, a não ser que isso seja estritamentenecessário.© Aker Security Solutions 352

Aba CertificadoFigura 244. Exibição do certificado do proprietário – X.509.Esta aba é utilizada para especificar o certificado X.509 que será apresentado aocliente quando ele tentar estabelecer uma Proxy SSL. É possível criar umarequisição que posteriormente será enviada para ser assinada por uma CA ouimportar um certificado X.509 já assinado, em formato PKCS#12.Criar requisição:Este botão permite que seja criada uma requisição que posteriormente será enviadaa uma CA para ser assinada. Ao ser clicado, serão mostrados os campos do novocertificado a ser gerado e que devem ser preenchidos.Após o preenchimento deve-se clicar no botão OK, que fará com que a janela sejaalterada para mostrar os dados da requisição recém criada, bem como dois botõespara manipulá-la: O botão Salvar em arquivo permite salvar a requisição em umarquivo para que ela seja então enviada a uma CA que irá assiná-la. O botãoInstalar esta requisição permite importar o certificado já assinado pela CA.Importar certificado PKCS#12:© Aker Security Solutions 353

Este botão provocará o aparecimento de um diálogo onde pode especificar o nomedo arquivo com o certificado X.509 que será importado.11.2. Configurando regras de Proxy SSLApós a definição de um ou mais contextos SSL, mostrados no tópico anterior, énecessário configurar os perfis de acesso dos usuários de modo a definir queserviços eles podem acessar através de sessões de VPN SSL. Esta configuraçãofica na aba SSL, dentro de cada perfil de acesso.Para maiores informações de como realizar o cadastramento das regras, consultar otópico Cadastrando perfis de acesso.© Aker Security Solutions 354

Integração dos Módulos doFirewall© Aker Security Solutions 355

12. Integração dos Módulos do FirewallNeste capítulo será mostrada a relação entre os três grandes módulos do AkerFirewall: o filtro de pacotes, o conversor de endereços e o módulo de criptografia eautenticação. Será mostrado também o fluxo pelo qual os pacotes atravessamdesde sua chegada no Firewall até o momento de serem aceitos ou rejeitados.12.1. O fluxo de pacotes no Aker FirewallNos capítulos anteriores deste manual foram mostrados separadamente os trêsgrandes módulos do Aker Firewall e todos os detalhes pertinentes à configuração decada um. Será mostrado agora como um pacote os atravessam e quais alteraçõesele pode sofrer em cada um deles.Basicamente, existem dois fluxos distintos: um para pacotes que são emitidos pelarede interna e tem como destino alguma máquina da rede externa (fluxo de dentropara fora) ou pacotes que são gerados na rede externa e tem como destino algumamáquina da rede interna (fluxo de fora para dentro).O fluxo de dentro para foraTodo o pacote da rede interna ao atingir o firewall passa pelos módulos na seguinteordem: módulo de montagem, filtro de pacotes, conversor de endereços e módulode encriptação.O módulo de montagemFigura 245. Fluxo do pacote da rede interna ao atingir o firewall.O módulo de montagem é o responsável por armazenar todos os fragmentos depacotes IP recebidos até que estes possam ser montados e convertidos em umpacote completo. Este pacote será então entregue para os demais módulos.O filtro de pacotesO filtro de pacotes possui a função básica de validar um pacote de acordo com asregras definidas pelo administrador, e a sua tabela de estados, e decidir se este© Aker Security Solutions 356

deve ou não ser autorizado a trafegar pelo firewall. Se ele decidir que o pacote podetrafegar, este será repassado para os demais módulos, caso contrário serádescartado e o fluxo terminado.O conversor de endereçosO conversor de endereços recebe um pacote já autorizado a trafegar e verifica, deacordo com sua configuração, se este deve ter o endereço de origem convertido.Em caso positivo, ele o converte do contrário o pacote não sofre quaisqueralterações.Independente de ter sido convertido ou não, o pacote será repassado para o módulode criptografia.O módulo de encriptaçãoO módulo de encriptação recebe um pacote validado e com os endereçosconvertidos e decide baseado em sua configuração, se este pacote deve serencriptado ou autenticado antes de ser enviado ao destino. Em caso positivo, opacote será autenticado, encriptado, e sofrerá o acréscimo de cabeçalhosespecíficos destas operações.Independentemente de ter sido encriptado/autenticado ou não, o pacote seráenviado pela rede.O fluxo de fora para dentroTodo o pacote proveniente da rede externa, em direção à rede interna, ao atingir ofirewall passa pelos módulos na seguinte ordem: módulo de montagem, módulo dedecriptação, conversor de endereços e filtro de pacotes.O módulo de montagemFigura 246. Fluxo do pacote da rede externa em direção a rede interna.O módulo de montagem é o responsável por armazenar todos os fragmentos depacotes IP recebidos até que estes possam ser montados e convertidos em umpacote completo. Este pacote será então entregue para os demais módulos.O módulo de decriptação© Aker Security Solutions 357

O módulo de decriptação tem a função de remover os cabeçalhos adicionados pelomódulo de encriptação, verificar a assinatura de autenticação do pacote e decriptálo.Caso a autenticação ou a criptografia apresentem erro, o pacote serádescartado.A outra função deste módulo é assegurar que todos os pacotes que cheguem deuma rede para a qual existe um canal seguro estejam vindo criptografados. Casoum pacote venha de uma rede para a qual existe um canal de criptografia ouautenticação e se este pacote não estiver autenticado ou criptografado, ele serádescartado.Caso o pacote tenha sido validado com sucesso, este será repassado para oconversor de endereços.O conversor de endereçosO conversor de endereços recebe um pacote e verifica se o endereço destino destepacote é um dos IP's virtuais. Em caso positivo, este endereço é convertido para umendereço real.Independente de ter sido convertido ou não, o pacote será repassado para o filtro depacotes.O filtro de pacotesO filtro de pacotes é o último módulo do fluxo de fora para dentro. Ele possui afunção básica de validar os pacotes recebidos de acordo com as regras definidaspelo administrador, e a sua tabela de estados, e decidir se este deve ou não serautorizado a trafegar pelo firewall. Se ele decidir que o pacote pode trafegar, esteserá repassado para a máquina destino, caso contrário ele será descartado.12.2. Integração do filtro com a conversão de endereçosQuando vai configurar as regras de filtragem para serem usadas com máquinascujos endereços serão convertidos surge a seguinte dúvida: Deve-se usar osendereços reais das máquinas ou os endereços virtuais?Esta dúvida é facilmente respondida ao analisar o fluxo dos pacotes:No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro e depoispossuem seus endereços convertidos (se for o caso), ou seja, o filtro recebe osendereços reais das máquinas.No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo conversorde endereços que converte os endereços destino dos IPs virtuais para os endereços© Aker Security Solutions 358

eais. Após isso os pacotes são enviados para o filtro de pacotes, ou seja,novamente o filtro de pacotes recebe os pacotes com os endereços reais.Em ambos os casos, o filtro não sabe da existência dos endereços virtuais, o quenos leva a fazer a seguinte afirmação:Ao criar regras de filtragem deve-se ignorar a conversão de endereços. Asregras devem ser configuradas como se as máquinas origem e destino estivessemconversando diretamente entre si, sem o uso de qualquer tipo de conversão deendereços12.3. Integração do filtro com a conversão e a criptografiaNo tópico anterior, mostramos como configurar as regras de filtragem paramáquinas cujos endereços serão convertidos. A conclusão foi de que deveriatrabalhar apenas com os endereços reais, ignorando a conversão de endereços.Agora, pode-se acrescentar mais uma pergunta: ao configurar os fluxos decriptografia para máquinas que sofrerão conversão de endereços, deve-se usar osendereços reais destas máquinas ou os endereços virtuais?Para responder esta pergunta, novamente deve-se analisar o fluxo dos pacotes:No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro, depoispossuem seus endereços convertidos (se for o caso) e por fim são repassados parao módulo de encriptação. Devido a isso, o módulo de encriptação recebe os pacotescomo se eles fossem originados dos endereços virtuais.No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo módulo dedecriptação e são decriptados (se for o caso). A seguir são enviados para oconversor de endereços, que converte os IP's virtuais para reais, e por fim sãoenviados para o filtro de pacotes. O módulo de decriptação recebe os pacotes antesde eles terem seu endereço convertido e, portanto, com os endereços virtuais.Em ambos os casos, o módulo de criptografia recebe os pacotes como se elestivessem origem ou destino nos IP's virtuais, o que nos leva à seguinte afirmação:Ao se criar fluxos de criptografia, deve-se prestar atenção à conversão deendereços. Os endereços de origem e destino devem ser colocados como se o fluxose originasse ou tivesse como destino IP's virtuais.© Aker Security Solutions 359

Configurando a Segurança© Aker Security Solutions 360

13. Configurando a SegurançaEste capítulo mostrará como configurar a proteção contra ataques no módulo desegurança do Aker Firewall.13.1. Proteção contra SYN FloodO que é um ataque de SYN flood?SYN Flood é um dos mais populares ataques de negação de serviço (denial ofservice). Esses ataques visam impedir o funcionamento de uma máquina ou de umserviço específico. No caso do SYN Flood, é possível inutilizar quaisquer serviçosbaseados no protocolo TCP.Para entender este ataque, é necessário primeiro entender o funcionamento doprotocolo TCP, no que diz respeito ao estabelecimento de conexões:O protocolo TCP utiliza um esquema de 3 pacotes para estabelecer uma conexão:1. A máquina cliente envia um pacote para a máquina servidora com um flagespecial, chamado de flag de SYN. Este flag indica que a máquina cliente desejaestabelecer uma conexão.2. A máquina servidora responde com um pacote contendo os flags de SYN e ACK.Isto significa que ela aceitou o pedido de conexão e está aguardando umaconfirmação da máquina cliente para marcar a conexão como estabelecida.3. A máquina cliente, ao receber o pacote com SYN e ACK, responde com umpacote contendo apenas o flag de ACK. Isto indica para a máquina servidora quea conexão foi estabelecida com sucesso.Todos os pedidos de abertura de conexões recebidas por um servidor ficamarmazenadas em uma fila especial, que tem um tamanho pré-determinado edependente do sistema operacional, até que o servidor receba a comunicação damáquina cliente de que a conexão está estabelecida. Caso o servidor receba umpacote de pedido de conexão e a fila de conexões em andamento estiver cheia, estepacote é descartado.O ataque consiste basicamente em enviar um grande número de pacotes deabertura de conexão, com um endereço de origem forjado, para um determinadoservidor. Este endereço de origem é forjado para o de uma máquina inexistente(muitas vezes usa um dos endereços reservados descritos no capítulo sobreconversão de endereços). O servidor, ao receber estes pacotes, coloca uma entradana fila de conexões em andamento, envia um pacote de resposta e fica aguardandouma confirmação da máquina cliente. Como o endereço de origem dos pacotes éfalso, esta confirmação nunca chega ao servidor.© Aker Security Solutions 361

O que acontece é que em um determinado momento, a fila de conexões emandamento do servidor fica lotada. A partir daí, todos os pedidos de abertura deconexão são descartados e o serviço inutilizado. Esta inutilização persiste durantealguns segundos, pois o servidor ao descobrir que a confirmação está demorandodemais, remove a conexão em andamento da lista. Entretanto, se o atacantepersistir em mandar pacotes seguidamente, o serviço ficará inutilizado enquanto eleassim o fizer.Nem todas as máquinas são passíveis de serem atingidas por ataques de SYNFlood. Implementações mais modernas do protocolo TCP possuem mecanismospróprios para inutilizarem ataques deste tipo.Como funciona a proteção contra SYN flood do Aker Firewall?O Aker Firewall possui um mecanismo que visa impedir que um ataque de SYNflood seja bem sucedido. Seu funcionamento baseia-se nos seguintes passos:1. Ao chegar um pacote de abertura de conexão (pacote com flag de SYN,mostrado no tópico acima) para uma máquina servidora a ser protegida, ofirewall registra isso em uma tabela e deixa o pacote passar (evidentemente, elesó deixará o pacote passar se este comportamento for autorizado pelas regrasde filtragem configuradas pelo administrador. Para maiores detalhes veja ocapítulo intitulado O filtro de estados);2. Quando chegar a resposta do servidor dizendo que a conexão foi aceita (pacotecom os flags SYN e ACK), o firewall imediatamente enviará um pacote para oservidor em questão confirmando a conexão e deixará o pacote de respostapassar em direção à máquina cliente. A partir deste momento, será acionado umrelógio interno no firewall que marcará o intervalo de tempo máximo em que opacote de confirmação do cliente deverá chegar;3. Se a abertura de conexão for uma abertura normal, dentro de um intervalo detempo menor que o máximo permitido, a máquina cliente responderá com umpacote confirmando o estabelecimento da conexão. Este pacote fará o firewallconsiderar válido o pedido de abertura de conexão e desligar o relógio interno;4. Caso a máquina cliente não responda dentro do tempo máximo permitido, ofirewall mandará um pacote especial para a máquina servidora que fará com quea conexão seja derrubada.Com estes procedimentos, o firewall consegue impedir que a fila de conexões emandamento na máquina servidora fique cheia, já que todas as conexões pendentesserão estabelecidas tão logo os pacotes de reposta atinjam o firewall. O ataque deSYN flood, portando, não será efetivado.Cabe enfatizar que todo o funcionamento desta proteção baseia-se no intervalode tempo máximo de espera pelos pacotes de confirmação dos clientes. Se ointervalo de tempo for muito pequeno, conexões válidas podem ser recusadas. Se ointervalo for muito grande, a máquina servidora, no caso de um ataque, ficará com© Aker Security Solutions 362

um grande número de conexões abertas o que poderá provocar problemas aindamaiores.13.2. Utilizando a interface gráfica para Proteção contra SYN FloodPara ter acesso a janela de configuração dos parâmetros de proteção contra SYNFlood, basta:Figura 247. Janela de acesso ao SYN Flood.Clicar no menu Segurança na janela do Firewall que deseja administrar.Escolher o item SYN Flood.© Aker Security Solutions 363

A janela de configuração da proteção contra SYN floodFigura 248. SYN Flood – Ativação de proteção SYN Flood.O botão OK fará com que os parâmetros de configuração sejam atualizados e ajanela fechada.O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas ea janela fechada.O botão Aplicar enviará para o firewall todas as alterações feitas porém manteráa janela aberta.Significado dos campos da janela:Ativar proteção SYN flood: Esta opção deve estar marcada para ativar aproteção contra SYN flood e desmarcada para desativá-la. (ao desabilitar aproteção contra SYN flood, as configurações antigas continuamarmazenadas, mas não podem ser alteradas).Duração máxima do handshake do TCP: Esta opção define o tempomáximo, em unidades de 500 ms, que o firewall espera por uma confirmaçãodo fechamento das conexões por parte do cliente. Se este intervalo de tempofor atingido, será enviado um pacote para as máquinas servidoras derrubandoa conexão.© Aker Security Solutions 364

O valor ideal deste campo pode variar para cada instalação, mas sugere-sevalores entre 3 e 10, que correspondem a intervalos de tempo entre 1,5 e 5segundos.A lista de máquinas e redes a protegerEsta lista define as máquinas ou redes que serão protegidos pelo firewall.Para incluir uma nova entidade na lista de proteção, deve-se proceder de um dosseguintes modos:Executar uma operação de drag-n-drop (arrastar e soltar) da janela de entidadesdiretamente para a lista de hosts e redes a protegerAbrir o menu de contexto na janela na lista de hosts e redes a proteger com obotão direito do mouse ou com a tecla correspondente no teclado e seleciona-seAdicionar entidades, para então escolher aquelas que serão efetivamenteincluídas na lista.Para remover uma entidade da lista de proteção, deve-se marcá-la e pressionar atecla delete, ou escolher a opção correspondente no menu de contexto, acionadocom o botão direito do mouse ou com a tecla correspondente:Deve-se colocar na lista de entidades a serem protegidas todas as máquinasservidoras de algum serviço TCP passível de ser utilizado por máquinas externas.Não se deve colocar o endereço do próprio firewall nesta lista, uma vez que osistema operacional Linux não é suscetível a ataques de SYN flood.13.3. Proteção de FloodO que é um ataque de Flood?Os ataques de Flood se caracterizam por existir um elevado número de conexõesabertas e estabelecidas contra servidores web, ftp, smtp e etc, a partir de outrasmáquinas existentes na Internet que foram invadidas e controladas para perpetrarataques de negação de serviço (DoS).A proteção também é útil para evitar abuso do uso de determinados serviços (sitesde download, por exemplo) e evitar estragos maiores causados por vírus, como oNIMDA, que fazia com que cada máquina infectada abrisse centenas de conexõessimultaneamente.Como funciona a proteção contra Flood do Aker Firewall?O Aker Firewall possui um mecanismo que visa impedir que um ataque de Floodseja bem sucedido. Seu funcionamento baseia na limitação de conexões que© Aker Security Solutions 365

possam ser abertas simultaneamente a partir de uma mesma máquina para umaentidade que está sendo protegida.O administrador do firewall deve estimar este limite dentro do funcionamentocotidiano de cada servidor ou rede a ser protegida.13.4. Utilizando a interface gráfica para Proteção de FloodFigura 249. Janela de acesso: Proteção de Flood.Clicar no menu Segurança na janela do Firewall.Escolher o item Proteção de Flood.© Aker Security Solutions 366

A janela de configuração da proteção de FloodFigura 250. Proteção de Flood - Configuração.O botão OK fará com que os parâmetros de configuração sejam atualizados e ajanela fechada.O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas ea janela fechada.O botão Aplicar enviará para o firewall todas as alterações feitas porém manteráa janela aberta.Significado dos campos da janela:Número: Corresponde ao número da regra de Proteção de Flood.Origem: Neste campo pode ser uma rede ou máquina de onde poderá seroriginado um ataque de DDoS.Destino: Incluir neste campo máquinas ou redes que deseja proteger.Serviços: Portas de serviços que desejam-se proteger. Poderá ser incluídono campo mais de uma entidade.Conexões Máximas: Campo numérico onde deve informar o númeromáximo de conexões que a entidade pode receber a partir de uma mesmaorigem.A quantidade máxima de conexões nas regras de proteção de flood não é aquantidade agregada de conexões a partir da origem especificada, mas sim aquantidade, por endereço IP único que encaixa na origem informada, de conexõessimultâneas. Desta forma, por exemplo, havendo a necessidade de limitar o númerode downloads simultâneos por usuário em 2, esse número dever ser 2,independentemente do número de usuários que façam os downloads.© Aker Security Solutions 367

13.5. Proteção Anti SpoofingO que é um Spoofing?O spoofing do IP envolve o fornecimento de informações falsas sobre uma pessoaou sobre a identidade de um host para obter acesso não-autorizado a sistemas e/ouaos sistemas que eles fornecem. O spoofing interfere na forma como um cliente eum servidor estabelecem uma conexão. Apesar do spoofing poder ocorrer comdiversos protocolos específicos, o spoofing do IP é o mais conhecido dentre todosos ataques de spoofing.A primeira etapa de um ataque de spoofing é identificar duas máquinas de destino,que chamaremos de A e B. Na maioria dos casos, uma máquina terá umrelacionamento confiável com a outra. É esse relacionamento que o ataque despoofing tentará explorar. Uma vez que os sistemas de destino tenham sidoidentificados, o violador tentará estabelecer uma conexão com a máquina B deforma que B acredite que tem uma conexão com A, quando na realidade a conexãoé com a máquina do violador, que chamaremos de X. Isso é feito através da criaçãode uma mensagem falsa (uma mensagem criada na máquina X, mas que contém oendereço de origem de A) solicitando uma conexão com B. Mediante o recebimentodessa mensagem, B responderá com uma mensagem semelhante que reconhece asolicitação e estabelece números de seqüência.Em circunstâncias normais, essa mensagem de B seria combinada a uma terceiramensagem reconhecendo o número de seqüência de B. Com isso, o "handshake"seria concluído, e a conexão poderia prosseguir. No entanto, como acredita queestá se comunicando com A, B envia sua resposta a A, e não para X. Com isso, Xterá de responder a B sem conhecer os números de seqüência gerados por B.Portanto, X deverá adivinhar com precisão números de seqüência que B utilizará.Em determinadas situações, isso é mais fácil do que possa imaginar.No entanto, além de adivinhar o número de seqüência, o violador deverá impedirque a mensagem de B chegue até A. Se a mensagem tivesse de chegar a A, Anegaria ter solicitado uma conexão, e o ataque de spoofing falharia. Para alcançaresse objetivo, normalmente o intruso enviaria diversos pacotes à máquina A paraesgotar sua capacidade e impedir que ela respondesse à mensagem de B. Essatécnica é conhecida como "violação de portas". Uma vez que essa operação tenhachegado ao fim, o violador poderá concluir a falsa conexão.O spoofing do IP, como foi descrito, é uma estratégia desajeitada e entediante. Noentanto, uma análise recente revelou a existência de ferramentas capazes deexecutar um ataque de spoofing em menos de 20 segundos. O spoofing de IP éuma ameaça perigosa, cada vez maior, mas, por sorte, é relativamente fácil criarmecanismos de proteção contra ela. A melhor defesa contra o spoofing é configurarroteadores de modo a rejeitar qualquer pacote recebido cuja origem alegada sejaum host da rede interna. Essa simples precaução impedirá que qualquer máquinaexterna tire vantagem de relacionamentos confiáveis dentro da rede interna.© Aker Security Solutions 368

Como funciona a proteção contra Spoofing do Aker Firewall?O Aker Firewall possui um mecanismo que visa impedir que um ataque de Spoofingseja bem sucedido. Seu funcionamento baseia-se no cadastramento das redes queestão sendo protegidas pelo firewall ou seja, atrás de cada interface de rede dofirewall.Nas redes internas, só serão aceitos pacotes das entidades cadastradas e, dasexternas, somente pacotes cujo IP origem não se encaixe em nenhuma entidadecadastrada nas redes internas (todas).O administrador do firewall deve então fazer o levantamento destas redes, criar asentidades correspondentes e utilizar a interface gráfica para montar a proteção.13.6. Utilizando a interface gráfica para Anti SpoofingFigura 251. Janela de acesso: Anti Spoofing.© Aker Security Solutions 369

Clicar no menu Segurança na janela do Firewall.Escolher o item Anti Spoofing.A janela de configuração de Anti SpoofingFigura 252. Anti Spoofing – Ativação do controle.O botão OK fará com que os parâmetros de configuração sejam atualizados e ajanela fechada.O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas ea janela fechada.O botão Aplicar enviará para o firewall todas as alterações feitas porém manteráa janela aberta.Significado dos campos da janela: Ativação do controle anti-spoofing: A marcação da caixa ativa a proteçãoAnti Spoofing. Interface: Corresponde a interface cadastrada no firewall pelo administrador.Status: Neste campo é mostrado o estado da interface, ou seja, se está ativaou não. Este campo não pode ser editado.Tipo: Por padrão este campo é marcado como Externa. Ao clicar com obotão direito do mouse poderá ser trocado o tipo para Protegida, passando ocampo Entidades para a condição de editável.© Aker Security Solutions 370

Protegida significa que a interface está conectada a uma rede interna e somenteserão aceitos pacotes com endereços IP originados em alguma das entidadesespecificadas na regra. Externa significa que é uma interface conectada a Internetda qual serão aceitos pacotes provenientes de quaisquer endereços origem, excetoos pertencentes a entidades listadas nas regras de interfaces marcadas comoProtegidas.Entidades: Ao definir uma interface Protegida, deve-se incluir neste campo a listade todas as redes e/ou máquinas que encontram-se conectadas a esta interface.13.7. Utilizando a interface texto - Syn FloodA interface texto de configuração da proteção contra SYN flood é bastante simplesde ser usada e tem as mesmas capacidades da interface gráfica.Localização do programa:/aker/bin/firewall/fwfloodSintaxe:Firewall Aker - Versão 6.5fwflood - Configura parametros de protecao contra SYN FloodUso: fwflood [ativa | desativa | mostra | ajuda]fwflood [inclui | remove] fwflood tempo Ajuda do programa:Firewall Aker - Versão 6.5fwflood - Configura parametros de protecao contra SYN FloodUso: fwflood [ativa | desativa | mostra | ajuda]fwflood [inclui | remove] fwflood tempo ativa = ativa protecao contra SYN Flooddesativa = desativa protecao contra SYN Floodmostra = mostra a configuracao atualinclui = inclui uma entidade a ser protegidaremove = remove uma das entidades a serem protegidastempo = configura o tempo maximo de espera para fechar conexaoajuda = mostra esta mensagemPara inclui / remove temos:nome = nome da entidade a ser protegida ou removida da protecaoParatempo temos:valor = tempo maximo de espera em unidades de 500ms© Aker Security Solutions 371

Exemplo 1: (visualizando a configuração)#/aker/bin/firewall/fwflood mostraParametros de configuracao:-------------------------------------Protecao contra SYN Flood: ativadaTempo limite de espera : 6 (x 500 ms)Lista de entidades a serem protegidas:-------------------------------------NT1(Maquina)NT3(Maquina)13.8. Utilizando a interface texto - Proteção de FloodLocalização do programa:/aker/bin/firewall/fwmaxconnSintaxe:Firewall Aker - Versao 6.5Uso: fwmaxconn ajudafwmaxconn mostrafwmaxconn inclui fwmaxconn remove fwmaxconn < habilita | desabilita > os parametros sao:pos: posicao da regra na tabelaorigem: maquina/rede de onde se origina as conexoesdestino: maquina/rede a que se destinam as conexoesservico: servico de rede para o qual existe a conexaon_conns: numero maximo de conexoes simultaneas de mesma origemExemplo 1: (visualizando a configuração)#/aker/bin/firewall/fwmaxconn mostraRegra 01--------Origem: Rede_InternetDestino: NT1Servicos: HTTPConexoes: 5000Regra 02--------Origem: Rede_InternetDestino: NT3Servicos: FTPConexoes : 10000© Aker Security Solutions 372

Regra 03--------Origem: Rede_InternetDestino: Rede_InternaServicos: GopherConexoes: 10013.9. Utilizando a interface texto - Anti SpoofingLocalização do programa:/aker/bin/firewall/fwifnetFirewall Aker - Versão 6.5Uso: fwifnet [ajuda | mostra]fwifnet inclui interface [externa]fwifnet inclui rede [rede1] [rede2] ...fwifnet remove [-f] interface fwifnet remove rede fwifnet Ajuda do programa:Uso: fwifnet [ajuda | mostra]fwifnet inclui interface [externa]fwifnet inclui rede [rede1] [rede2] ...fwifnet remove [-f] interface fwifnet remove rede para inclui/remove temos:interface: o nome da interface de rede a ser controladaexterna: se esta palavra estiver presente, a interface será considerada externapelo firewallrede: uma rede permitida em uma interface nao externaExemplo 1: (visualizando a configuração)#/aker/bin/firewall/fwifnet mostraFirewall Aker - Versao 6.5Status do modulo anti-spoofing: habilitadoInterface cadastrada: Interf_DMZRede permitida: Rede_DMZInterfacecadastrada: Interf_externa (externa)Interface cadastrada: Interf_internaRede permitida: Rede_Interna© Aker Security Solutions 373

13.10. Bloqueio por excesso de tentativas de login inválidasFigura 253. Bloqueio de excesso de tentativas de login inválidas - Eventos.O firewall, por padrão, vem com bloqueio de excesso de tentativas de login inválidasvia control center. Caso um IP realize três tentativas de conexões com usários e/ousenhas inválidos, o firewall não permite mais conexões por um período de tempo.São criados eventos de log que podem ser vistos na janela de log, eles contêminformações sobre o horário do bloqueio e o IP que realizou a tentativa.© Aker Security Solutions 374

Configurando as Ações doSistema© Aker Security Solutions 375

14. Configurando Ações de SistemaEste capítulo mostrará como configurar as respostas automáticas do sistema parasituações pré-determinadas.O que são as ações do sistema?O Aker Firewall possui um mecanismo que possibilita a criação de respostasautomáticas para determinadas situações. Estas respostas automáticas sãoconfiguradas pelo administrador em uma série de possíveis ações independentesque serão executadas quando uma situação pré-determinada ocorrer.Para que servem as ações do sistema?O objetivo das ações é possibilitar um alto grau de interação do Firewall com oadministrador. Com o uso delas, é possível, por exemplo, que seja executado umprograma capaz de chamá-lo através de um pager quando a máquina detectar queum ataque está em andamento. Desta forma, o administrador poderá tomar umaação imediata, mesmo que ele não esteja no momento monitorando ofuncionamento do Firewall.14.1. Utilizando a interface gráficaPara ter acesso a janela de configuração das ações deve-se:© Aker Security Solutions 376

Figura 254. Janela de acesso - Ações.Expandir o item Configurações do Sistema;Selecionar o item Ações.A janela de configuração das açõesAo selecionar esta opção será mostrada a janela de configuração das ações aserem executadas pelo sistema. Para cada mensagem de log e de eventos e paraos pacotes que não se enquadrarem em nenhuma regra é possível determinarações independentes. A janela mostrada terá a seguinte forma:© Aker Security Solutions 377

Figura 255. Ações – Mensagens de logs.Para selecionar as ações a serem executadas para as mensagens mostradas najanela, deve-se clicar com o botão direito do mouse sobre as mensagens. A cadaopção selecionada aparecerá um ícone correspondente.Figura 256. Ações a serem executadas para mensagens exibidas.Se a opção estiver marcada com o ícone aparente, a ação correspondente seráexecutada pelo Firewall quando a mensagem ocorrer. São permitidas as seguintesações:Logar: Ao selecionar essa opção, todas as vezes que a mensagemcorrespondente ocorrer, ela será registrada pelo firewall;Enviar email: Ao selecionar essa opção, será enviado um e-mail todas as vezesque a mensagem correspondente ocorrer (a configuração do endereço de e-mailserá mostrada no próximo tópico);Executar programa: Ao marcar essa opção, será executado um programadefinido pelo administrador todas as vezes que a mensagem correspondente© Aker Security Solutions 378

ocorrer (a configuração do nome do programa a ser executado será mostrada nopróximo tópico);Disparar mensagens de alarme: Ao selecionar essa opção, o firewall mostraráuma janela de alerta todas as vezes que a mensagem correspondente ocorrer.Esta janela de alerta será mostrada na máquina onde a interface gráfica remotaestiver aberta e, se a máquina permitir, será emitido também um aviso sonoro.Caso a interface gráfica não esteja aberta, não será mostrada nenhumamensagem e esta opção será ignorada (esta ação é particularmente útil parachamar a atenção do administrador quando ocorrer uma mensagem importante);Enviar trap SNMP: Ao selecionar essa opção, será enviada uma Trap SNMPpara o gerente SNMP todas as vezes que a mensagem correspondente ocorrer(a configuração dos parâmetros de configuração para o envio das traps serámostrada no próximo tópico).Não é possível alterar as ações para a mensagem de inicialização do firewall(mensagem número 43). Esta mensagem sempre terá como ações configuradasapenas a opção Loga.Significado dos botões da janela de açõesO botão OK fará com que a janela de ações seja fechada e as alteraçõesefetuadas aplicadas;O botão Cancelar fará com que a janela seja fechada porém as alteraçõesefetuadas não serão aplicadas;O botão Aplicar fará com que as alterações sejam aplicadas sem que a janelafeche.A janela de configuração dos parâmetrosPara que o sistema consiga executar as ações deve-se configurar certosparâmetros (por exemplo, para o Firewall enviar um e-mail, o endereço tem que serconfigurado). Estes parâmetros são configurados através da janela de configuraçãode parâmetros para as ações.Esta janela é mostrada ao selecionar Parâmetros na janela de Ações. Ela tem oseguinte formato:© Aker Security Solutions 379

Figura 257. Ações: Parametros.Significado dos parâmetros:Parâmetros para executar um programaArquivo de Programa: Este parâmetro configura o nome do programa que seráexecutado pelo sistema quando ocorrer uma ação marcada com a opçãoPrograma. Deve ser colocado o nome completo do programa, incluindo ocaminho. Deve-se atentar para o fato de que o programa e todos os diretórios docaminho devem ter permissão de execução pelo usuário que irá executá-lo (queé configurado na próxima opção).O programa receberá os seguintes parâmetros pela linha de comando (na ordemem que serão passados):1. Nome do próprio programa sendo executado (isto é um padrão do sistemaoperacional Unix);2. Tipo de mensagem (1 - para log ou 2- para evento);3. Prioridade (7 - depuração, 6 - informação, 5 - notícia, 4 - advertência ou 3- erro);4. Número da mensagem que provocou a execução do programa ou 0 paraindicar a causa não foi uma mensagem. (neste caso, a execução doprograma foi motivada por uma regra);5. Cadeia de caracteres ASCII com o texto completo da mensagem (estacadeia de caracteres pode conter o caractere de avanço de linha no meiodela).© Aker Security Solutions 380

No sistema operacional UNIX, usa-se a barra "/" para especificar o caminho deum programa. Isto pode causar confusão para quem estiver acostumado com oambiente DOS/Windows, que usa a barra invertida "\".Nome efetivo do usuário: Este parâmetro indica a identidade com a qual oprograma externo será executado. O programa terá os mesmos privilégios desteusuário.Este usuário deve ser um usuário válido, cadastrado no Linux. Não se deveconfundir com os usuários do Aker Firewall, que servem apenas para aadministração do Firewall.Parâmetros para enviar traps SNMPEndereço IP do servidor SNMP: Este parâmetro configura o endereço IP damáquina gerente SNMP para a qual o firewall deve enviar as traps.Comunidade SNMP: Este parâmetro configura o nome da comunidade SNMPque deve ser enviada nas traps.As traps SNMP enviadas terão o tipo genérico 6 (enterprise specific) e o tipoespecífico 1 para log ou 2 para eventos. Elas serão enviadas com o número deempresa (enterprise number) 2549, que é o número designado pela IANA para aAker Consultoria e Informática.Parâmetros para enviar e-mailEndereço de e-mail: Este parâmetro configura o endereço de e-mail do usuáriopara o qual devem ser enviados os e-mails. Este usuário pode ser um usuário daprópria máquina ou não (neste caso deve-se colocar o endereço completo, porexemplo user@aker.com.br).Caso queira enviar e-mails para vários usuários, pode-se criar uma lista ecolocar o nome da lista neste campo.É importante notar que caso algum destes parâmetros esteja em branco, a açãocorrespondente não será executada, mesmo que ela esteja marcada para tal.© Aker Security Solutions 381

14.2. Utilizando a interface textoA interface texto para a configuração das ações possui as mesmas capacidades dainterface gráfica, porém, é de fácil uso.Localização do programa: /aker/bin/firewall/fwactionSintaxe:fwaction ajudafwaction mostrafwaction atribui [loga] [mail] [trap] [programa] [alerta]fwaction [nome]fwaction ip [endereco IP]fwaction e-mail [endereco]Ajuda do programa:fwaction - Interface texto para a configuracao das acoes do sistemaUso: fwaction ajudafwaction mostrafwaction atribui [loga] [mail] [trap] [programa] [alerta]fwaction [nome]fwaction ip [endereco IP]fwaction e-mail [endereco]ajuda = mostra esta mensagemmostra = lista as mensagens e as acoes configuradas para cada umaatribui = configura as acoes para uma determinada mensagemprograma = define o nome do programa a ser executadousuario = define o nome do usuario que executara o programacomunidade = define o nome da comunidade SNMP para o envio das trapsip = define o endereco IP do servidor SNMP que recebera as trapse-mail = define o nome do usuario que recebera os e-mailsPara atribui temos:numero = numero da mensagem a atribuir as acoes(o numero de cada mensagem aparece na esquerda ao seselecionar a opcao mostra)loga = Loga cada mensagem que for geradamail = Manda um e-mail para cada mensagem que for geradatrap = Gera trap SNMP para cada mensagem que for gerada© Aker Security Solutions 382

programa = Executa programa para cada mensagem que for geradaalerta = Abre janela de alerta para cada mensagem que for geradaExemplo 1: (configurando os parâmetros para envio de e-mail e execução deprograma)#fwaction e-mail root#fwaction programa /aker/bin/pager#fwaction usuario nobodyExemplo 2: (mostrando a configuração completa das ações do sistema)#fwaction mostraCondicoes Gerais:00 - Pacote fora das regras>>>> LogaMensagens do log:01 - Possivel ataque de fragmentacao>>>> Loga02 - Pacote IP direcionado>>>> Loga03 - Ataque de land>>>> Loga04 - Conexao nao consta na tabela dinamica>>>> Loga05 - Pacote proveniente de interface invalida>>>> Loga06 - Pacote proveniente de interface nao determinada>>>> Loga07 - Conexao de controle nao esta aberta>>>> Loga(...)237 - O Secure Roaming encontrou um erro>>>> Loga238 - O Secure Roaming encontrou um erro fatal>>>> Loga239 - Usuarios responsaveis do Configuration Manager>>>> Loga© Aker Security Solutions 383

Parametros de configuracao:programa: /aker/bin/pagerusuario: nobodye-mail: rootcomunidade:ip:Devido ao grande número de mensagens, só estão sendo mostradas asprimeiras e as últimas. O programa real mostrará todas ao ser executado.Exemplo 3: (atribuindo as ações para os Pacotes fora das regras e mostrando asmensagens)#fwaction atribui 0 loga mail alerta#fwaction mostraCondicoes Gerais:00 - Pacote fora das regras>>>> Loga Mail AlertaMensagens do log:01 - Possivel ataque de fragmentacao>>>> Loga02 - Pacote IP direcionado>>>> Loga03 - Ataque de land>>>> Loga04 - Conexao nao consta na tabela dinamica>>>> Loga05 - Pacote proveniente de interface invalida>>>> Loga06 - Pacote proveniente de interface nao determinada>>>> Loga07 - Conexao de controle nao esta aberta>>>> Loga(...)237 - O Secure Roaming encontrou um erro>>>> Loga238 - O Secure Roaming encontrou um erro fatal© Aker Security Solutions 384

Loga239 - Usuarios responsaveis do Configuration Manager>>>> LogaParametros de configuracao:programa : /aker/bin/pagerusuario : nobodye-mail : rootcomunidade:ip :Devido ao grande número de mensagens, só estão sendo mostradas asprimeiras e as últimas. O programa real mostrará todas as mensagens, ao serexecutado.Exemplo 4: (cancelando todas as ações para a mensagem de Pacote IPdirecionado e mostrando as mensagens)#fwaction atribui 2#fwaction mostraCondicoes Gerais:00 - Pacote fora das regras>>>> Loga Mail AlertaMensagens do log:01 - Possivel ataque de fragmentacao>>>> Loga Mail02 - Pacote IP direcionado>>>>03 - Ataque de land>>>> Loga04 - Conexao nao consta na tabela dinamica>>>> Loga05 - Pacote proveniente de interface invalida>>>> Loga06 - Pacote proveniente de interface nao determinada>>>> Loga07 - Conexao de controle nao esta aberta>>>> Loga© Aker Security Solutions 385

(...)237 - O Secure Roaming encontrou um erro>>>> Loga238 - O Secure Roaming encontrou um erro fatal>>>> Loga239 - Usuarios responsaveis do Configuration Manager>>>> LogaParametros de configuracao:programa: /aker/bin/pagerusuario: nobodye-mail: rootcomunidade:ip:Devido ao grande número de mensagens, só estão sendo mostradas asprimeiras e as últimas. O programa real mostrará todas ao ser executado.© Aker Security Solutions 386

Visualizando o Log do Sistema© Aker Security Solutions 387

15. Visualizando o log do SistemaEste capítulo mostrará como visualizar o log do sistema, um recurso imprescindívelna detecção de ataques, no acompanhamento e monitoramento do firewall e na fasede configuração do sistema.O que é o log do sistema?O log é o local onde o firewall guarda todas as informações relativas aos pacotesrecebidos. Nele podem aparecer registros gerados por qualquer um dos trêsgrandes módulos: filtro de pacotes, conversor de endereços ecriptografia/autenticação. O tipo de informação guardada no log depende daconfiguração realizada no firewall, mas basicamente ele inclui informações sobre ospacotes que foram aceitos, descartados e rejeitados, os erros apresentados porcertos pacotes e as informações sobre a conversão de endereços.De todos estes dados, as informações sobre os pacotes descartados e rejeitadossão possivelmente as de maior importância, já que são através delas que se podedeterminar possíveis tentativas de invasão, tentativa de uso de serviços nãoautorizados, erros de configuração, etc.O que é um filtro de log?Mesmo que o sistema tenha sido configurado para registrar todo o tipo deinformação, muitas vezes está interessado em alguma informação específica (porexemplo, suponha que queira ver as tentativas de uso do serviço POP3 de umadeterminada máquina que foram rejeitadas em um determinado dia, ou ainda, quaisforam aceitas). O filtro de log é um mecanismo oferecido pelo Aker Firewall para secriar visões do conjunto total de registros, possibilitando que se obtenham asinformações desejadas facilmente.O filtro só permite a visualização de informações que tiverem sido registradas nolog. Caso queira obter uma determinada informação, é necessário inicialmenteconfigurar o sistema para registrá-la e então utilizar um filtro para visualizá-la.© Aker Security Solutions 388

15.1. Utilizando a interface gráficaPara ter acesso a janela de visualização do log basta:Figura 258. Janela de acesso: log.Clicar no menu Auditoria do firewall que se deseja ver o log;Selecionar a opção Log.A barra de ferramentas do LogTodas as vezes que a opção Log for selecionada é mostrada automaticamente abarra de ferramentas de Log. Esta barra, que estará ao lado das outras barras,poderá ser arrastada e ficar flutuando acima das informações do Log. Ela tem oseguinte formato:Figura 259. Barra de ferramentas de log.© Aker Security Solutions 389

Significado dos Ícones:Abre a janela de filtragem do firewall;Este ícone somente irá aparecer quando o firewall estiver fazendo umaprocura no Log. Ele permite interromper a busca do firewall;Exporta o log para diversos formatos de arquivos;Apaga o Log do firewall;Realiza uma resolução reversa dos IP que estão sendo mostrados peloLog;Permite fazer uma atualização da tela de logs dentro de umdeterminado período definido no campo seguinte;Define o tempo que o firewall irá atualizar a janela com informações delog;Percorre o Log para frente e para trás;Expande as mensagens de Log, mostrando as mesmas com o máximode informação;Ao clicar no ícone de filtro a janela abaixo irá aparecer:© Aker Security Solutions 390

A Janela de Filtragem de LogFigura 260. Filtro de log.Na parte superior da janela, encontram-se os botões Salvar, Remover e Novo.Permite gravar um perfil de pesquisa que poderá ser usado posteriormente peloadministrador.Para salvar um filtro de log, deve-se proceder da seguinte forma:1. Preencher todos os seus campos da forma desejada.2. Definir, no campo Filtros, o nome pelo qual ele será referenciado.3. Clicar no botão Salvar.Para aplicar um filtro salvo, basta selecionar seu nome no campo Filtros e todos oscampos serão automaticamente preenchidos com os dados salvos.© Aker Security Solutions 391

Para excluir um filtro, deve-se proceder da seguinte forma:1. Selecionar o filtro a ser removido, no campo Filtros.2. Clicar no botão Remover.O filtro padrão é configurado para mostrar todos os registros do dia atual. Paraalterar a visualização para outros dias, na janela Data/Hora, pode-se configurar oscampos De e Até para os dias desejados (a faixa de visualização compreende osregistros da data inicial à data final, inclusive).Caso queira ver os registros cujos endereços origem e/ou destino do pacotepertençam a um determinado conjunto de máquinas, pode-se utilizar os campos IP /Máscara ou Entidade para especificá-lo.O botão permite a escolha do modo de filtragem a ser realizado: caso o botãoesteja selecionado, serão mostrados na janela os campos, chamados de IP,Máscara (para origem do pacote) e IP, Máscara (para Destino do pacote). Estescampos poderão ser utilizados para especificar o conjunto origem e/ou o conjuntodestino. Neste caso, pode-se selecionar uma entidade em cada um destes campose estas serão utilizadas para especificar os conjuntos origem e destino. O botãopode ser usado independente um do outro, ou seja pode-se optar que sejaselecionado pela entidade na origem e por IP e Máscara para o destino.© Aker Security Solutions 392

Figura 261. Filtro de log.Para monitorar um serviço específico deve-se colocar seu número no campo Porta.A partir deste momento só serão mostradas entradas cujo serviço especificado forutilizado. É importante também que seja selecionado o protocolo correspondente aoserviço desejado no campo protocolo, mostrado abaixo.No caso dos protocolos TCP e UDP, para especificar um serviço, deve-secolocar o número da porta destino, associada ao serviço, neste campo. No caso doICMP deve-se colocar o tipo de serviço. Para outros protocolos, coloca-se o númerodo protocolo desejado.Além destes campos, existem outras opções que podem ser combinadas pararestringir ainda mais o tipo de informação mostrada:Ação:Representa qual ação o sistema tomou ao lidar com o pacote em questão. Existemas seguintes opções possíveis, que podem ser selecionadas independentemente:Aceito: Mostra os pacotes que foram aceitos pelo firewall.© Aker Security Solutions 393

Rejeitado: Mostra os pacotes que foram rejeitados pelo firewall.Descartado: Mostra os pacotes que foram descartados pelo firewall.Convertido: Mostra as mensagens relacionadas à conversão de endereços.Prioridade:Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for aprioridade associada a um determinado registro, mais importância deve-se dar a ele.Abaixo está a lista com todas as prioridades possíveis, ordenada da mais importantepara a menos (caso tenha configurado o firewall para mandar uma cópia do log parao syslogd, as prioridades com as quais as mensagens serão geradas no syslog sãoas mesmas apresentadas abaixo):AvisoOs registros que se enquadram nesta prioridade normalmente indicam quealgum tipo de ataque ou situação bastante séria (como por exemplo, um erro naconfiguração dos fluxos de criptografia) está ocorrendo. Este tipo de registrosempre vem precedido de uma mensagem que fornece maiores explicaçõessobre ele.NotaNormalmente se enquadram nesta prioridade os pacotes que foram rejeitados oudescartados pelo sistema, em virtude destes terem se encaixado em uma regraconfigurada para rejeitá-los ou descartá-los ou por não terem se encaixado emnenhuma regra. Em algumas situações eles podem ser precedidos pormensagens explicativas.InformaçãoOs registros desta prioridade acrescentam informações úteis mas não tãoimportantes para a administração do Firewall. Estes registros nunca sãoprecedidos por mensagens explicativas. Normalmente se enquadram nestaprioridade os pacotes aceitos pelo firewall.DepuraçãoOs registros desta prioridade não trazem nenhuma informação realmente útil,exceto quando se está configurando o sistema. Se enquadram nesta prioridadeas mensagens de conversão de endereços.Módulo:© Aker Security Solutions 394

Esta opção permite visualizar independentemente os registros gerados por cadaum dos três grandes módulos do sistema: filtro de pacotes, conversor deendereços, módulo de criptografia, IPSEC e Clustering.Protocolo:Este campo permite especificar o protocolo dos registros a serem mostrados. Asseguintes opções são permitidas:TCPSerão mostrados os registros gerados a partir de pacotes TCP. Se estaopção for marcada, a opção TCP/SYN será automaticamente desmarcada.TCP/SYNSerão mostrados os registros gerados a partir de pacotes TCP de abertura deconexão (pacotes com o flag de SYN ativo). Se esta opção for marcada, aopção TCP será automaticamente desmarcada.UDPSerão mostrados os registros gerados a partir de pacotes UDP.ICMPSerão mostrados os registros gerados a partir de pacotes ICMP.OutroSerão mostrados registros gerados a partir de pacotes com protocolo diferente deTCP, UDP e ICMP. Pode-se restringir mais o protocolo a ser mostrado,especificando seu número através do campo Porta destino ou Tipo de Serviço.O botão OK aplicará o filtro escolhido e mostrará a janela de log, com asinformações selecionadas.O botão Cancelar fará com que a operação de filtragem seja cancelada e ajanela de log mostrada com as informações anteriores.A janela de log© Aker Security Solutions 395

Figura 262. Lista com várias entradas de log.A janela de log será mostrada após a aplicação de um filtro novo. Ela consiste deuma lista com várias entradas. Todas as entradas possuem o mesmo formato,entretanto, dependendo do protocolo do pacote que as gerou, alguns campospodem estar ausentes. Além disso, algumas entradas serão precedidas por umamensagem especial, em formato de texto, que trará informações adicionais sobre oregistro (o significado de cada tipo de registro será mostrado no próximo tópico).Observações importantes: Os registros serão mostrados de 100 em 100. Só serão mostrados os primeiros 10.000 registros que se enquadrem no filtroescolhido. Os demais podem ser vistos exportando o log para um arquivo ouutilizando um filtro que produza um número menor de registros. No lado esquerdo de cada mensagem, será mostrado um ícone coloridosimbolizando sua prioridade. As cores têm o seguinte significado:AzulVerdeAmareloDepuraçãoInformaçãoNota© Aker Security Solutions 396

VermelhoAvisoAo clicar com o botão esquerdo sobre uma mensagem, aparecerá na parteinferior da tela uma linha com informações adicionais sobre o registro.Ao se apagar todo o log, não existe nenhuma maneira de recuperar asinformações anteriores. A única possibilidade de recuperação é a restauração deuma cópia de segurança.Se a opção Expande mensagens estiver marcada e se tiver escolhido a opçãode exportação em formato texto, o log será exportado com as mensagenscomplementares; caso contrário, o log será exportado sem elas.Esta opção é bastante útil para enviar uma cópia do log para alguma outra pessoa,para guardar uma cópia em formato texto de informações importantes ou paraimportar o log por um analisador de log citados acima. Ao ser clicado, será mostradaa seguinte janela:Figura 263. Exportador de log.Figura 264. Barra de exportação de log – porcentagem realizada.© Aker Security Solutions 397

Para exportar o conteúdo do log, basta fornecer o nome do arquivo a ser criado,escolher seu formato e clicar no botão Salvar. Para cancelar a operação, clique emCancelar.Se já existir um arquivo com o nome informado ele será apagado.O botão Próximos, representado como uma seta para a direita na barra deferramentas, mostrará os próximos 100 registros selecionados pelo filtro. Se nãoexistirem mais registros, esta opção estará desabilitada.O botão Últimos, representado como uma seta para a esquerda na barra deferramentas, mostrará os 100 registros anteriores. Se não existirem registrosanteriores, esta opção estará desabilitada.O botão Ajuda mostrará a janela de ajuda específica para a janela de log.15.2. Formato e significado dos campos dos registros do logAbaixo segue a descrição do formato de cada registro, seguido de uma descrição decada um dos campos. O formato dos registros é o mesmo para a interface gráfica epara a interface texto.Registros gerados pelo filtro de pacotes ou pelo módulo de criptografiaQualquer um destes registros pode vir precedido de uma mensagem especial. Alistagem completa de todas as possíveis mensagens especiais e seus significadosse encontra no apêndice A.Protocolo TCPFormato do registro: - TCP © Aker Security Solutions 398

Descrição dos campos:Data: Data em que o registro foi gerado.Hora: Hora em que o registro foi gerado.Repetição: Número de vezes em que o registro se repetiu seguidamente. Estecampo é mostrado entre parênteses na interface texto.Status: Este campo, que aparece entre parênteses na interface texto, consiste deuma a três letras, independentes, que possuem o significado abaixo:A: Pacote autenticadoE: Pacote encriptadoS: Pacote usando troca de chaves via SKIP ou AKER-CDPAção: Este campo indica qual foi a ação tomada pelo firewall com relação aopacote. Ele pode assumir os seguintes valores:A: Indica que o pacote foi aceito pelo firewallD: Indica que o pacote foi descardadoR: Indica que o pacote foi rejeitadoIP origem: Endereço IP de origem do pacote que gerou o registro.Porta origem: Porta de origem do pacote que gerou o registro.IP destino: Endereço IP destino do pacote que gerou o registro.Porta destino: Porta destino do pacote que gerou o registro.Flags: Flags do protocolo TCP presentes no pacote que gerou o registro. Estecampo consiste de uma a seis letras independentes. A presença de uma letra,indica que o flag correspondente a ela estava presente no pacote. O significado dasletras é o seguinte:S: SYNF: FINA: ACKP: PUSHR: RST (Reset)U: URG (Urgent Pointer)Interface: Interface de rede do firewall por onde o pacote foi recebido.Protocolo UDPFormato do registro: - UDP Descrição dos campos:Data: Data em que o registro foi gerado.Hora: Hora em que o registro foi gerado.© Aker Security Solutions 399

Repetição: Número de vezes em que o registro se repetiu seguidamente. Estecampo é mostrado entre parênteses na interface texto.Status: Este campo, que aparece entre parênteses na interface texto, consiste deuma a três letras, independentes, que possuem o significado abaixo:A: Pacote autenticadoE: Pacote encriptadoS: Pacote usando troca de chaves via SKIP ou AKER-CDPAção: Este campo indica qual foi a ação tomada pelo firewall com relação aopacote. Ele pode assumir os seguintes valores:A: Indica que o pacote foi aceito pelo firewallD: Indica que o pacote foi descartadoR: Indica que o pacote foi rejeitadoIP origem: Endereço IP de origem do pacote que gerou o registro.Porta origem: Porta de origem do pacote que gerou o registro.IP destino: Endereço IP destino do pacote que gerou o registro.Porta destino: Porta destino do pacote que gerou o registro.Interface: Interface de rede do firewall por onde o pacote foi recebido.Protocolo ICMPFormato do registro: - ICMP Descrição dos campos:Data: Data em que o registro foi gerado.Hora: Hora em que o registro foi gerado.Repetição: Número de vezes em que o registro se repetiu seguidamente. Estecampo é mostrado entre parênteses na interface texto.Status: Este campo, que aparece entre parênteses na interface texto, consiste deuma a três letras, independentes, que possuem o significado abaixo:A: Pacote autenticadoE: Pacote encriptadoS: Pacote usando troca de chaves via SKIP ou AKER-CDPAção: Este campo indica qual foi a ação tomada pelo firewall com relação aopacote. Ele pode assumir os seguintes valores:A: Indica que o pacote foi aceito pelo firewallD: Indica que o pacote foi descartadoR: Indica que o pacote foi rejeitado© Aker Security Solutions 400

IP origem: Endereço IP de origem do pacote que gerou o registro.IP destino: Endereço IP destino do pacote que gerou o registro.Tipo de serviço: Tipo de serviço ICMP do pacote que gerou o registro.Interface: Interface de rede do firewall por onde o pacote foi recebido.Outros procotolosFormato do registro: - Descrição dos campos:Data: Data em que o registro foi gerado.Hora: Hora em que o registro foi gerado.Repetição: Número de vezes em que o registro se repetiu seguidamente. Estecampo é mostrado entre parênteses na interface texto.Status: Este campo, que aparece entre parênteses na interface texto, consiste deuma a três letras, independentes, que possuem o significado abaixo:A: Pacote autenticadoE: Pacote encriptadoS: Pacote usando troca de chaves via SKIP ou AKER-CDPAção: Este campo indica qual foi a ação tomada pelo firewall com relação aopacote. Ele pode assumir os seguintes valores:A: Indica que o pacote foi aceito pelo firewallD: Indica que o pacote foi descardadoR: Indica que o pacote foi rejeitadoProtocolo: Nome do protocolo do pacote que gerou o registro (caso o firewall nãoconsiga resolver o nome do protocolo, será mostrado o seu número).IP origem: Endereço IP de origem do pacote que gerou o registro.IP destino: Endereço IP destino do pacote que gerou o registro.Interface: Interface de rede do firewall por onde o pacote foi recebido.Registros gerados pelo conversor de endereçosFormato do registro: - C Descrição dos campos dos registrosData: Data em que o registro foi gerado.Hora: Hora em que o registro foi gerado.© Aker Security Solutions 401

Repetição: Número de vezes que o registro se repetiu seguidamente. Este campo émostrado entre parênteses na interface texto.Protocolo: É o protocolo do pacote que gerou o registro. Pode ser TCP ou UDP.IP origem: Endereço IP de origem do pacote que gerou o registro.Porta origem: Porta de origem do pacote que gerou o registro.IP convertido: Endereço IP para o qual o endereço de origem do pacote foiconvertido.Porta convertida: Porta para qual a porta de origem do pacote foi convertida.15.3. Utilizando a interface textoA interface texto para o acesso ao log tem funcionalidade similar à da interfacegráfica, porém possui opções de filtragem bem mais limitadas. Além disso, atravésda interface texto, não se tem acesso às informações complementares que sãomostradas quando se seleciona uma entrada do log na interface gráfica ou quandose ativa a opção Expande mensagens.Localização do programa: /aker/bin/firewall/fwlogSintaxe:Firewall Aker - Versão 6.5fwlog apaga [log | log6 | eventos] [ ]fwlog mostra [log | log6 | eventos] [local | cluster] [ ][prioridade]Ajuda do programa:Uso: fwlog ajudafwlog apaga [log | log6 | eventos] [ ]fwlog mostra [log | log6 | eventos] [local | cluster] [ ][prioridade]fwlog - Interface texto para visualizar log e eventosmostra = lista o conteudo do log ou dos eventos. Ele pode mostraapenas o log local ou todo o log do clusterapaga = apaga todos os registro do log ou dos eventosajuda = mostra esta mensagemPara "mostra" temos: data_inicio = data a partir da qual os registros serãomostradosdata_fim = data ate onde mostrar os registros(As datas devem estar no formato dd/mm/aaaa© Aker Security Solutions 402

(Se nao forem informadas as datas, mostra os registros dehoje) prioridade = campo opcional. Se for informado deve ter um dos seguintesvalores: ERRO, ADVERTENCIA, NOTICIA, INFORMACAO ou DEPURACAO(Ao selecionar uma prioridade, somente serão listadosregistros cuja prioridade for igual a informada)Exemplo 1: (mostrando o log do dia 07/07/2003)#fwlog mostra log 07/07/2003 07/07/200307/07/2003 19:06:54 (01) D UDP 10.4.1.126 137 10.4.1.255 137 de007/07/2003 19:06:47 (01) D UDP 10.4.1.120 138 10.4.1.255 138 de007/07/2003 19:06:35 (01) D UDP 10.4.1.210 138 10.4.1.255 138 de007/07/2003 19:06:22 (01) A TCP 10.4.1.24 1027 10.5.1.1 23 de007/07/2003 19:06:21 (02) R TCP 10.4.1.2 1028 10.7.1.14 79 de007/07/2003 19:06:21 (01) A ICMP 10.5.1.134 10.4.1.12 8 de107/07/2003 19:06:20 (01) A ICMP 10.4.1.12 137 10.5.1.134 0 de007/07/2003 19:06:02 (01) A UDP 10.4.1.59 1050 10.7.1.25 53 de0Exemplo 2: (mostrando o log do dia 07/07/2003, apenas prioridade notícia)#fwlog mostra log 07/07/2003 07/07/2003 noticia07/07/2003 19:06:54 (01) D UDP 10.4.1.126 137 10.4.1.255 137 de007/07/2003 19:06:47 (01) D UDP 10.4.1.120 138 10.4.1.255 138 de007/07/2003 19:06:35 (01) D UDP 10.4.1.210 138 10.4.1.255 138 de007/07/2003 19:06:21 (02) R TCP 10.4.1.2 1028 10.7.1.14 79 de0Exemplo 3: (apagando o arquivo de log)#fwlog apaga log 21/10/2003 23/10/2003 Remocao dos registros foi solicitada aoservidor de log© Aker Security Solutions 403

Visualizando Eventos doSistema© Aker Security Solutions 404

16. Visualizando Eventos do SistemaEste capítulo mostrará como visualizar os eventos do sistema, um recurso muito útilpara acompanhar o funcionamento do firewall e detectar possíveis ataques e errosde configuração.O que são os eventos do sistema?Eventos são as mensagens do firewall de nível mais alto, ou seja, não relacionadasdiretamente a pacotes (como é o caso do log). Nos eventos, podem aparecermensagens geradas por qualquer um dos três grandes módulos (filtro de pacotes,conversor de endereços e autenticação/criptografia) e por qualquer outrocomponente do firewall, como por exemplo, os proxies e os processos servidoresencarregados de tarefas específicas.Basicamente, o tipo de informação mostrada varia desde mensagens úteis paraacompanhar o funcionamento do sistema (uma mensagem gerada todas as vezesque a máquina é reiniciada, todas as vezes que alguém estabelece uma sessãocom o firewall, etc) até mensagens provocadas por erros de configuração ou deexecução.O que é um filtro de eventos?Mesmo que o sistema tenha sido configurado para registrar todos os possíveiseventos, muitas vezes está interessado em alguma informação específica (porexemplo, suponha que queira ver todas as mensagens do dia de ontem). O filtro deeventos é um mecanismo oferecido pelo Aker Firewall para criar visões do conjuntototal de mensagens, possibilitando que obtenha as informações desejadasfacilmente.O filtro só permite a visualização de informações que tiverem sido registradas noseventos. Caso queira obter uma determinada informação deve-se inicialmenteconfigurar o sistema para registrá-la e então utilizar um filtro para visualizá-la.16.1. Utilizando a interface gráficaPara ter acesso a janela de eventos deve-se:© Aker Security Solutions 405

Figura 265. Janela de acesso: Eventos.Clicar no menu Auditoria do firewall que se deseja visualizar os eventos;Selecionar a opção Eventos.A barra de ferramentas de EventosTodas as vezes que a opção Eventos é selecionada, é mostrada automaticamente abarra de ferramentas de Eventos. Esta barra, que estará ao lado das outras barras,poderá ser arrastada e ficar flutuando acima das informações dos Eventos. Ela temo seguinte formato:Significado dos Ícones:Figura 266. Barra de ferramentas: Eventos.Abre a janela de filtragem dos Eventos;Este ícone somente irá aparecer quando o firewall estiver fazendo umaprocura no Evento. Ele permite interromper a busca do firewall;© Aker Security Solutions 406

Exporta os Eventos para diversos formatos de arquivos;Apaga os Eventos do firewall;Permite fazer uma atualização da tela de eventos dentro de umdeterminado período definido no campo seguinte;Define o tempo que o firewall irá atualizar a janela com informações deeventos;Percorre os Eventos para frente e para trás;Expande as mensagens de Evento, mostrando as mesmas com omáximo de informação;Ao clicar no ícone de filtragem a seguinte janela será mostrada:A janela de filtro de eventosFigura 267. Filtro de eventos.© Aker Security Solutions 407

Na parte superior da janela, encontram-se os botões Salvar, Remover e Novo. Obotão Salvar permite que seja salvo os campos de um filtro de forma a facilitar suaaplicação posterior e o botão excluir permite que seja excluído um filtro salvo nãomais desejado.Para salvar um filtro de eventos, deve-se proceder da seguinte forma:1. Preencher todos os seus campos da forma desejada.2. Definir, no campo Filtros, o nome pelo qual ele será referenciado.3. Clicar no botão Salvar.Para aplicar um filtro salvo, deve-se selecionar seu nome no campo Filtros e todosos campos serão automaticamente preenchidos com os dados salvos.Para excluir um filtro que não mais seja desejado, deve-se proceder da seguinteforma:1. Selecionar o filtro a ser removido, no campo Filtros.2. Clicar no botão Excluir.O filtro padrão é configurado para mostrar todos as mensagens do dia atual. Paraalterar a visualização para outros dias, pode-se configurar a Data Inicial e a DataFinal para os dias desejados (a faixa de visualização compreende os registros dadata inicial à data final, inclusive).Além de especificar as datas, é possível também determinar quais mensagensdevem ser mostradas. A opção Filtrar por permite escolher entre a listagem demensagens ou de prioridades.Filtragem por mensagensAo selecionar filtragem por mensagens, seram mostrados na lista do ladoesquerdo da janela os nomes de todos os módulos que compõem o firewall. Aoclicar em um destes módulos, seram mostradas na lista à direita as diferentesmensagens que podem ser geradas por ele.Dica: Para selecionar todas as mensagens de um módulo, deve-se clicar sobre acaixa à esquerda do nome do módulo.Filtragem por prioridadeDiferentes tipos de mensagens possuem prioridades diferentes. Quanto maior fora prioridade associada a um determinado registro, mais importância deve-se dara ele.Ao selecionar filtragem por prioridade, será mostrado na lista do lado esquerdoda janela o nome de todos os módulos que compõem o firewall. Ao clicar em umdestes módulos, seram mostradas na lista à direita as diferentes prioridades dasmensagens que podem ser geradas por ele.© Aker Security Solutions 408

Abaixo, está a lista com todas as prioridades possíveis, ordenadas das maisimportantes para as menos importantes (caso tenha configurado o firewall paramandar uma cópia dos eventos para o syslog, as prioridades com as quais asmensagens serão geradas no syslog são as mesmas apresentadas abaixo):ErroOs registros que se enquadrem nesta prioridade indicam algum tipo de erro deconfiguração ou de operação do sistema (por exemplo, falta de memória).Mensagens desta prioridade são raras e devem ser tratadas imediatamente.AlertaOs registros que se enquadrarem nesta prioridade indicam que algum tipo desituação séria e não considerada normal ocorreu (por exemplo, uma falha navalidação de um usuário ao estabelecer uma sessão de administração remota).AvisoEnquadram-se nesta prioridade os registros que trazem informações que sãoconsideradas importantes para o administrador do sistema, mas estãoassociadas a uma situação normal (por exemplo, um administrador iniciou umasessão remota de administração).InformaçãoOs registros desta prioridade acrescentam informações úteis mas não tãoimportantes para a administração do Firewall (por exemplo, uma sessão deadministração remota foi finalizada).DepuraçãoOs registros desta prioridade não trazem nenhuma informação realmenteimportante, exceto no caso de uma auditoria. Nesta prioridade se encaixam asmensagens geradas pelo módulo de administração remota todas as vezes que éfeita uma alteração na configuração do firewall e uma mensagem gerada todasas vezes que o firewall é reinicializado.Como última opção de filtragem, existe o campo Filtrar no complemento por.Este campo permite que seja especificado um texto que deve existir noscomplementos de todas as mensagens para que elas sejam mostradas. Destaforma, é possível, por exemplo, visualizar todas as páginas WWW acessadas porum determinado usuário, bastando para isso colocar seu nome neste campo.O botão OK aplicará o filtro escolhido e mostrará a janela de eventos, com asinformações selecionadas.O botão Cancelar fará com que a operação de filtragem seja cancelada e ajanela de eventos será mostrada com as informações anteriores.© Aker Security Solutions 409

A janela de eentosFigura 268. Descrição dos Eventos.A janela de eventos será mostrada após a aplicação de um novo filtro. Ela consistede uma lista com várias mensagens. Normalmente, cada linha corresponde a umamensagem distinta, porém existem mensagens que podem ocupar 2 ou 3 linhas. Oformato das mensagens será mostrado na próxima seção.Observações importantes: As mensagens serão mostradas de 100 em 100. Só serão mostradas as primeiras 10.000 mensagens que são enquadradas nofiltro escolhido. As demais podem ser vistas exportando os eventos para umarquivo ou utilizando um filtro que produza um número menor de mensagens. No lado esquerdo de cada mensagem, será mostrado um ícone coloridosimbolizando sua prioridade. As cores têm o seguinte significado:© Aker Security Solutions 410

AzulVerdeAmareloVermelhoPretoDepuraçãoInformaçãoNotíciaAdvertênciaErroAo clicar com o botão esquerdo sobre uma mensagem, aparecerá na parteinferior da tela uma linha com informações adicionais sobre ela.Ao apagar todos os eventos, não existe nenhuma maneira de recuperar asinformações anteriores. A única possibilidade de recuperação é a restauração deuma cópia de segurança.O botão Salvar, localizado na barra de ferramentas, gravará todas asinformações selecionadas pelo filtro atual em um arquivo em formato texto ou emformatos que permitem sua importação pelos analisadores de log da Aker e daWebTrends (R) . Os arquivos consistirão de várias linhas de conteúdo igual aomostrado na janela.Se a opção Expande mensagens estiver marcada e se tiver escolhido a opçãode exportação em formato texto, os eventos serão exportados com as mensagenscomplementares; caso contrário, os eventos serão exportados sem elas.Esta opção é bastante útil para enviar uma cópia do log para alguma outra pessoa,para guardar uma cópia em formato texto de informações importantes ou paraimportar os eventos por um analisador de log citado acima. Ao ser clicado, serámostrada a seguinte janela:Figura 269. Exportar log de eventos.© Aker Security Solutions 411

Para exportar o conteúdo dos eventos, basta fornecer o nome do arquivo a sercriado, escolher seu formato e clicar no botão Salvar. Para cancelar a operação,clique em Cancelar.Se já existir um arquivo com o nome informado ele será apagado.O botão Próximos 100, representado como uma seta para a direita na barra deferramentas mostrará as últimas 100 mensagens selecionadas pelo filtro. Se nãoexistirem mais mensagens, esta opção estará desabilitada.O botão Últimos 100, representado como uma seta para a esquerda na barra deferramentas mostrará as 100 mensagens anteriores. Se não existiremmensagens anteriores, esta opção estará desabilitada.O botão Ajuda mostrará a janela de ajuda específica para a janela de eventos.16.2. Formato e significado dos campos das mensagens de eventosAbaixo segue a descrição do formato das mensagens, seguido de uma descrição decada um de seus campos. A listagem completa de todas as possíveis mensagens eseus significados se encontra no apêndice A.Formato do registro: [Complemento][Mensagem complementar 1][Mensagem complementar 2]Descrição dos campos:Data: Data em que o registro foi gerado.Hora: Hora em que o registro foi gerado.Mensagem: Mensagem textual que relata o acontecimento.Complemento: Este campo traz informações complementares e pode ou nãoaparecer, dependendo da mensagem. Na interface texto, caso ele apareça, viráentre parênteses.Mensagem complementar 1 e 2: Estes complementos só existem no caso demensagens relacionadas às conexões tratadas pelos proxies transparentes e nãotransparentese são mostrados sempre na linha abaixo da mensagem a que sereferem. Nestas mensagens complementares, se encontram o endereço origem daconexão e, no caso dos proxies transparentes, o endereço destino.16.3. Utilizando a interface textoA interface texto para o acesso aos eventos tem funcionalidade similar à dainterface gráfica. Todas as funções da interface gráfica estão disponíveis, exceto aopção de filtragem de mensagens e o fato de que através da interface texto não temacesso às informações complementares que são mostradas quando selecionadauma mensagem de eventos na interface gráfica ou quando se ativa a opçãoExpande mensagens.© Aker Security Solutions 412

O programa que faz a interface texto com os eventos é o mesmo usado para ainterface com o log e foi mostrado também no capítulo anterior.Localização do programa: /aker/bin/firewall/fwlogSintaxe:Firewall Aker - Versão 6.5fwlog apaga [log | eventos] [ ]fwlog mostra [log | eventos] [local | cluster] [ ] [prioridade]Ajuda do programa:Uso: fwlog ajudafwlog apaga [log | eventos] [ ]fwlog mostra [log | eventos] [local | cluster] [ ] [prioridade]fwlog - Interface texto para visualizar log e eventosmostra = lista o conteudo do log ou dos eventos. Ele pode mostraapenas o log local ou todo o log do clusterapaga = apaga todos os registro do log ou dos eventosajuda = mostra esta mensagemPara mostra temos: data_inicio = data a partir da qual os registros serao mostradosdata_fim = data ate onde mostrar os registros(As datas devem estar no formato dd/mm/aaaa(Se nao forem informadas as datas, mostra os registros dehoje) prioridade = campo opcional. Se for informado deve ter um dos seguintesvalores: ERRO, ADVERTENCIA, NOTICIA, INFORMACAO ou DEPURACAO(Ao selecionar uma prioridade, somente serão listadosregistros cuja prioridade for igual a informada)Exemplo 1: (mostrando os eventos do dia 05/01/2006 ao dia 06/01/2006)#fwlog mostra eventos 05/01/2006 06/01/200606/01/2006 11:39:35 Sessao de administracao finalizada06/01/2006 09:13:09 Sessao de administracao estabelecida (administrador, CF CLGU)06/01/2006 09:13:09 Pedido de conexao de administracao (10.4.1.14)06/01/2006 09:09:49 Operacao sobre o arquivo de log (Compactar)05/01/2006 10:27:11 Aker Firewall v6.0 - Inicializacao completa05/01/2006 08:57:11 Tabela de conversão UDP cheia© Aker Security Solutions 413

Exemplo 2: (mostrando os eventos do dia 05/01/2006 ao dia 06/01/2006, apenasprioridade depuração)#fwlog mostra eventos 05/01/2006 06/01/2006 depuracao06/01/2006 09:09:49 Operacao sobre o arquivo de log (Compactar)05/01/2006 10:27:11 Aker Firewall v6.0 - Inicializacao completaExemplo 3: (removendo todo o conteúdo do arquivo de eventos)#fwlog apaga eventos 21/01/2006 23/01/2006Remocao dos registros foi solicitada ao servidor de log© Aker Security Solutions 414

Visualizando Estatísticas© Aker Security Solutions 415

17. Visualizando EstatísticasEste capítulo mostrará sobre o que é a janela de estatística e suas características.O que é a janela de estatísticas do Aker Firewall?No Firewall, a estatística é um método de medir o tráfego de dados através de suasinterfaces. Este tráfego é traduzido em números que mostram a quantidade depacotes enviados ou recebidos, além do tamanho total de bytes trafegados.Utilizando-se destas informações, o administrador consegue verificar o fluxo dedados de seus serviços podendo, assim saber se o ambiente físico da rede precisaser melhorado ou expandido.Outra utilização para este tipo de informação é a realização de bilhetagem da rede.Tendo-se conhecimento da quantidade de bytes que cada máquina transferiu narede, calcula-se o quanto que cada uma deve ser taxada.Para realizar bilhetagem de rede, deve ser criado uma regra de filtragem com umacumulador diferente para cada máquina a ser taxada. Todos os acumuladoresdevem ter regras de estatísticas associados a eles. Estas regras são configuradasna janela de visualização de estatística.Como funcionam as estatísticas do Aker Firewall?O funcionamento das estatísticas do Aker Firewall é baseado em três etapasdistintas:Criação de Acumuladores:Nesta etapa, cadastramos os acumuladores que serão associados a regras defiltragem. Eles servem apenas como totalizadores de uma ou mais regras defiltragem. Para maiores informações sobre a criação de acumuladores e suaassociação com regras de filtragem, vejam os capítulos Cadastrando Entidadese O Filtro de Estados.Criação de regras de estatística:Após a criação dos acumuladores e sua associação com as regras de filtragemdesejadas, devemos criar regras de estatística que definem os intervalos decoleta e quais acumuladores serão somados para gerar o valor da estatística emum dado momento. Esta etapa será explicada neste capítulo.Visualização das estatísticas:© Aker Security Solutions 416

Após a criação das regras de estatísticas, podemos ver os valores associados acada uma delas, exportá-los ou traçar gráficos. Esta etapa também serámostrada neste capítulo.17.1. Utilizando a interface gráficaPara ter acesso a janela de configuração de estatística deve-se:Figura 270. Janelas de eventos - Estatística.Clicar no menu Auditoria da janela do firewall que queira administrar.Selecionar o item Estatísticas.© Aker Security Solutions 417

A janela de regras de estatísticaFigura 271. Regras de estatística.A janela de estatísticas contém todas as regras de estatística definidas no AkerFirewall. Cada regra será mostrada em uma linha separada, composta de diversascélulas. Caso uma regra esteja selecionada, ela será mostrada em uma cordiferente:O botão OK fará com que o conjunto de estatísticas seja atualizado e passe afuncionar imediatamente.O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas ea janela seja fechada.O botão Aplicar enviará para o firewall todas as alterações feitas porém manteráa janela aberta.© Aker Security Solutions 418

A barra de rolagem do lado direito serve para visualizar as regras que nãocouberem na janela.Cada regra de estatística é composta dos seguintes campos:Nome: Nome da estatística, utilizada para facilitar a sua referência. Deve possuirum nome único entre o conjunto de regras;Intervalo: Corresponde ao intervalo de tempo que fará a totalização da regra, ouseja, a soma dos valores de todos os acumuladores presentes na regra;Acumulador: Este campo define quais os acumuladores farão parte da regra;Hora: Esta tabela define as horas e dias da semana em que a regra é aplicável.As linhas representam os dias da semana e as colunas as horas. Caso queiraque a regra seja aplicável em determinada hora o quadrado deve serpreenchido, caso contrário o quadrado deve ser deixado em branco.Para interagir com a janela de regras, utilize a barra de ferramentas localizada naparte superior da janela ou clicar com o botão direito sobre ela.Figura 272. Barra de ferramentas - Regras de estatística.Inserir: Permite a inclusão de uma nova regra na lista.Copiar: Copiar a regra selecionada para uma área temporária.Colar: Copiar a regra da área temporária para a lista. Se uma regra estiverselecionada, a nova será copiada para a posição da regra selecionada. Casocontrário ela será copiada para o final da lista.Excluir: Remover da lista a regra selecionada.Habilitar/Desabilitar: Ativar ou desativar a regra selecionada da lista.Visualização: Exibe a janela de visualização de estatísticas relativa a regraselecionada.Visualizando estatísticasAo clicar no botão Visualização ou clicar duas vezes sobre uma regra deestatística, a seguinte janela será mostrada:© Aker Security Solutions 419

Figura 273. Visualizar Estatisticas.Nesta janela, os dados computados para a estatística selecionada serão mostradosem formato gráfico ou texto . Estas informações são relativas a data deinício e fim especificadas na parte superior da janela. Para alterar esta data deve-seescolher os campos de Data, colocando as datas de início e de finalização dapesquisa.Leitura: Mostra um conjunto de 100 registros de cada vez. Cada registro refere acontabilização dos acumuladores da estatística em um determinado tempo.O botão Removerespecificado.desta pasta irá remover o conjunto de registros com o tempo© Aker Security Solutions 420

Gráfico: Representa os dados contidos na pasta Leitura em formato gráfico. Ográfico é gerado ao ser pressionado o botão na barra de ferramentas.Este gráfico também permite que o usuário selecione qual linha deve sermostrada pressionando-se os rótulos dos mesmos.Figura 274. Visualizar Estatisticas – Gráfico.Ao pressionar o botão de salvar estatísticas a janela abaixo irá aparecer demodo a escolher o nome do arquivo. Este arquivo é gravado no formato CSV quepermite sua manipulação através de planilhas de cálculo.© Aker Security Solutions 421

Figura 275. Exportar Estatistica.A barra de ferramentas da visualização das estatísticasA barra de ferramentas da visualização das estatísticas terá as seguintes funções:Figura 276. Barra de ferramentas: visualização das estatísticas.O botão salvar registros permite a exportação dos dados geradospelos contadores;Este botão irá excluir os registros selecionados gerados peloscontadores;Este é o botão de navegação dos dados registrados peloscontadores e que estão sendo exibidos pelas estatísticas.17.2. Utilizando a interface textoA interface texto para o acesso às estatísticas tem funcionalidade similar à dainterface gráfica. Todas as funções da interface gráfica estão disponíveis, exceto aopção de verificar os dados através de gráfico e de se verificar em quais regras osacumuladores de uma determinada estatística estão presentes.© Aker Security Solutions 422

A tabela de horário é visualizada da seguinte forma:O símbolo “:” (dois pontos) informa que a regra é valida para os dois dias dasemana que aparecem separados por / .Ex: Dom/SegO símbolo “.” (ponto) informa que a regra so é válida para o dia da semana quesegue o caractere / .Ex: Dom/Seg - SegO símbolo “ ' ” (acento) informa que a regra so é válida para o dia da semana queantecede o caractere / .Ex: Dom/Seg - DomLocalização do programa: /aker/bin/firewall/fwstatSintaxe:fwstat ajudamostra [[-c] [ ]]inclui [ [acumulador2] ...]remove desabilita [ ]habilita [ ]Ajuda do programa:Firewall Aker - Versão 6.5Uso: fwstat ajuda mostra [[-c] [ ]]inclui [ [acumulador2] ...]remove desabilita [ ]habilita [ ]ajuda = mostra esta mensagemmostra = sem parametros, mostra as estatisticas cadastradas com, mostra os dadoscoletados para estatistica = nome da estatistica-c = resultado no formato CSV (comma separated value) (util para importar dadosem planilhas eletronicas) datas = dadas limite para mostrar dadosinclui = adiciona uma estatistica de nome "estatistica"remove = remove uma estatistica de nome "estatistica"periodo = periodo de captura dos dados (segundos)acumulador_ = nome das entidades acumulador para lerdesabilita = desabilita uma estatisticahabilita = habilita uma estatistica diahora = se especificado (sempre ambos), habilita ou desabilita apenas para a horaespecificada. 'dia' pertence a {dom, seg, ter, ...} e 'hora' a {0..23}© Aker Security Solutions 423

Exemplo 1: (mostrando as estatísticas)#fwstat mostraNome : estatistica1 (habilitada)----Periodo : 17400 segundo(s)Acumuladores: a1Horario :Dia\Hora|0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23-------------------------------------------------------------------------------Dom/Seg |: : : : : : : : : : : : : : : :Ter/Qua |: : : : : : : : : : : : : : : :Qui/Sex |: : : : : : : : : : : : : : : :Sab |' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' 'Nome : estatistica2(habilitada)----Periodo : 100 segundo(s)Acumuladores: a1 a11Horario :Dia\Hora|0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23-------------------------------------------------------------------------------Dom/Seg |: : : : : : : : : : : : : : : : : : : : : : : :Ter/Qua |: : : : : : : : : : : : : : : : : : : : : : : :Qui/Sex |: : : : : : : : : : : : : : : : : : : : : : : :Sab |' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' ' 'Exemplo 2: (mostrando a estatística do dia 28/10/2001 ao dia 29/10/2001)#fwstat mostra estatistica 28/10/2001 29/10/2001Dia Hora Enviados (bytes/pacotes) Recebidos (bytes/pacotes)-----------------------------------------------------------------------29/10/2001 17:24:54 320/1 321/129/10/2001 17:23:14 652/6 654/629/10/2001 17:21:34 234/2 980/929/10/2001 17:19:54 324/3 650/629/10/2001 17:18:14 325/3 150/129/10/2001 17:16:34 985/9 240/229/10/2001 17:14:54 842/8 840/829/10/2001 17:13:14 357/3 289/229/10/2001 16:58:14 786/7 261/2© Aker Security Solutions 424

Visualizando e RemovendoConexões© Aker Security Solutions 425

18. Visualizando e Removendo conexõesNeste capítulo mostrará como visualizar e remover conexões TCP e sessões UDPem tempo real.O que são conexões ativas?Conexões ativas são conexões TCP ou sessões UDP que estão ativas através dofirewall. Cada uma destas conexões foi validada através de uma regra do filtro deestados, acrescentada pelo administrador do sistema, ou por uma entrada na tabelade estados, acrescentada automaticamente pelo Aker Firewall.Para cada uma destas conexões, o firewall mantém diversas informações em suastabelas de estado. Algumas destas informações são especialmente úteis para oadministrador e podem ser visualizadas a qualquer momento através da janela deconexões ativas. Dentre estas informações, pode-se citar a hora exata doestabelecimento da conexão e o tempo em que ela se encontra parada, isto é, semque nenhum pacote trafegue por ela.18.1. Utilizando a interface gráficaPara ter acesso a janela de conexões ativas deve-se:© Aker Security Solutions 426

Figura 277. Janela de acesso: Conexões TCP.Clicar no menu Informação do firewall que queira visualizar.Selecionar Conexões TCP ou Conexões UDP.A janela de conexões ativasA janela de conexões ativas é onde são mostradas todas as conexões IPv4 e IPv6,que estão passando pelo firewall em um determinado instante. As janelas para osprotocolos TCP e UDP são exatamente iguais, com a exceção do campo chamadoStatus que somente existe na janela de conexões TCP.Para simplificar o entendimento, fala-se de conexões TCP e UDP, entretanto, istonão é totalmente verdadeiro devido ao protocolo UDP ser um protocolo nãoorientado à conexão. Na verdade, quando se fala em conexões UDP refere-se àssessões onde existe tráfego nos dois sentidos. Cada sessão pode ser vista comoum conjunto dos pacotes de requisição e de resposta que fluem através do firewallpara um determinado serviço provido por uma determinada máquina e acessado poroutra.Essa janela é composta de quatro pastas: nas duas primeiras são mostradasuma lista com as conexões ativas tanto IPv4 como IPv6 e as duas últimas permitem© Aker Security Solutions 427

visualizar gráficos em tempo real das máquinas e serviços mais acessados, dasconexões IPv4e IPv6.Pasta de conexões IPv4Figura 278. Conexões TCP – Conexões IPv4.© Aker Security Solutions 428

Pasta de conexões IPV6Figura 279. Conexões TCP – Conexões IPv6.As pastas, conexão IPv4 e conexão IPv6, consistem de uma lista com uma entradapara cada conexão ativa. Na parte inferior da janela é mostrada uma mensageminformando o número total de conexões ativas em um determinado instante. Asvelocidades, total e média, são exibidas na parte inferior da janela.O botão OK faz com que a janela de conexões ativas seja fechada.Caixa Filtro exibe as opções de filtragem sendo possível selecionar osendereços origem ou destino e/ou portas para serem exibidos na janela.A opção Mostrar itens selecionados no topo coloca as conexões selecionadasno topo da janela para melhor visualização.A opção Remover, que aparece ao clicar com o botão direito sobre umaconexão, permite remover uma conexão.© Aker Security Solutions 429

Ao remover uma conexão TCP, o firewall envia pacotes de reset para asmáquinas participantes da conexão, efetivamente derrubando-a, e remove a entradade sua tabela de estados. No caso de conexões UDP, o firewall simplesmenteremove a entrada de sua tabela de estados, fazendo com que não sejam maisaceitos pacotes para a conexão removida.Figura 280. Barra de ferramentas: conexões TCP.Todas as alterações efetuadas na barra de ferramentas, quando a opção conexãoipv4 ou a opção gráfico ipv4, estiverem selecionadas, também serão realizados nasopções, conexão ipv6 ou gráfico ipv6, e assim respectivamente.O botão Atualizar, localizado na barra de ferramentas faz com que asinformações mostradas sejam atualizadas periodicamente de forma automáticaou não. Ao clicar sobre ele permite alternar entre os dois modos de operação. Ointervalo de atualização pode ser configurado mudando o valor logo à direitadeste campo.O botão DNS, localizado na barra de ferramentas, acionará o serviço de nomes(DNS) para resolver os nomes das máquinas cujos endereços IP's aparecemlistados. Cabe ser observado, os seguintes pontos:1. A resolução de nomes muitas vezes é um serviço lento e, devido a isso, atradução dos nomes é feita em segundo plano.2. Muitas vezes, devido aos problemas de configuração do DNS reverso(que é o utilizado para resolver nomes a partir de endereços IP), não serápossível a resolução de certos endereços. Neste caso, os endereços nãoresolvidos serão mantidos na forma original e será indicado ao seu ladoque eles não possuem DNS reverso configurado.A opção Desabilitar gráficos desabilita o desenho do gráfico de conexões,sendo indicada para máquinas especialmente lentas.A opção Mostrar velocidade das conexões, se ativa, faz com que a interfacecalcule e mostre a velocidade de cada conexão em bits/s.É possível ordenar a lista das conexões por qualquer um de seus campos,bastanto para isso clicar no título do campo. O primeiro click produzirá umaordenação ascendente e o segundo uma ordenação descendente.Pasta Gráfico de Conexões IPv4 e IPv6As pastas, gráfico IPv4 e gráfico IPv6, consistem de dois gráficos: o gráfico superiormostram os serviços mais utilizados e o gráfico inferior mostram as máquinas que© Aker Security Solutions 430

mais acessam serviços ou que mais são acessadas. No lado direito existe umalegenda mostrando qual máquina ou serviço correspondem a qual cor do gráfico.Figura 281. Conexões TCP – Gráfico de conexões IPv4.O intervalo de tempo no qual o gráfico é atualizado é o mesmo configurado napasta de conexões.Significado dos campos de uma conexão ativa IPv6 e IPv4Cada linha presente na lista de conexões ativas representa uma conexão. Osignificado de seus campos é mostrado a seguir:IP origem: Endereço IP da máquina que iniciou a conexão.Porta origem: Porta usada pela máquina de origem para estabelecer a conexão.© Aker Security Solutions 431

IP destino: Endereço IP da máquina para a qual a conexão foi efetuada.Porta destino: Porta para qual a conexão foi estabelecida. Esta porta normalmenteestá associada a um serviço específico.Início: Hora de abertura da conexão.Inativo: Número de minutos e segundos de inatividade da conexão.Estado Atual: Este campo só aparece no caso de conexões TCP. Ele representa oestado da conexão no instante mostrado e pode assumir um dos seguintes valores:SYN Enviado: Indica que o pacote de abertura de conexão (pacote com flag deSYN) foi enviado, porém a máquina servidora ainda não respondeu.SYN Trocados: Indica que o pacote de abertura de conexão foi enviado e amáquina servidora respondeu com a confirmação de conexão em andamento.Estabelecida: Indica que a conexão está estabelecida.Escutando Porta: Indica que a máquina servidora está escutando na portaindicada, aguardando uma conexão a partir da máquina cliente. Isto só ocorre nocaso de conexões de dados FTP.Bytes Enviados/Recebidos: Estes campos só aparecem no caso de conexõesTCP, e indicam o número de bytes trafegados por esta conexão em cada um dosdois sentidos.Pacotes Enviados/Recebidos: Estes campos só aparecem no caso de conexõesTCP, e indicam o número de pacotes IP trafegados por esta conexão em cada umdos dois sentidos.18.2. Utilizando a interface textoA interface texto para acesso à lista de conexões ativas possui as mesmascapacidades da interface gráfica. O mesmo programa trata as conexões TCP eUDP.Localização do programa: /aker/bin/firewall/fwlistSintaxe:Uso: fwlist ajudafwlist mostra [[-w] [TCP]] | [UDP] | [sessoes]fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destinofwlist remove sessao IP_origem© Aker Security Solutions 432

Ajuda do programa:fwlist - Lista e remove conexoes TCP/UDP e sessoes ativasUso: fwlist ajudafwlist mostra [[-w] [TCP]] | [UDP] | [sessoes]fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destinofwlist remove sessao IP_origemajuda = mostra esta mensagemmostra = lista as conexoes ou sessoes ativasremove = remove uma conexao ou sessao ativaExemplo 1: (listando as conexões ativas TCP)#fwlist mostra TCPOrigem (IP:porta) Destino (IP:porta) Inicio Inativo Estado-------------------------------------------------------------------------------10.4.1.196:1067 10.4.1.11:23 15:35:19 00:00 Estabelecida10.4.1.212:1078 10.5.2.1:25 15:36:20 00:10 EstabelecidaExemplo 2: (listando as conexões ativas UDP)#fwlist mostra UDPOrigem (IP:porta) Destino (IP:porta) Inicio Inativo-----------------------------------------------------------10.4.1.1:1099 10.4.1.11:53 15:35:19 00:0010.4.1.18:1182 10.5.2.1:111 15:36:20 00:10Exemplo 3: (removendo uma conexão TCP e listando as conexões)#fwlist remove tcp 10.4.1.196 1067 10.4.1.11 23#fwlist mostra TCPOrigem (IP:porta) Destino (IP:porta) Inicio Inativo Estado-------------------------------------------------------------------------------10.4.1.212:1078 10.5.2.1:25 15:36:20 00:10 Estabelecida© Aker Security Solutions 433

Utilizando o Gerador deRelatórios© Aker Security Solutions 434

19. Utilizando o Gerador de RelatóriosEste capítulo mostrará para que serve e como configurar os Relatórios no AkerFirewall.Visando disponibilizar informações a partir de dados presentes nos registros de loge eventos, bem como apresentar uma visão sumarizada dos acontecimentos para agerência do Firewall, foi desenvolvida mais esta ferramenta. Neste contextotrataremos dos relatórios que nutrirão as informações gerenciais.Os relatórios são gerados nos formatos HTML, TXT ou PDF, publicados via FTP ematé três sites distintos ou enviados através de e-mail para até três destinatáriosdistintos. Podem ser agendados das seguintes formas: "Diário", "Semanal","Quinzenal", "Mensal", "Específico" e também em tempo real de execução.19.1. Acessando RelatóriosPara ter acesso à janela de Relatórios deve-se:Figura 282. Janela de acesso: Relatório.© Aker Security Solutions 435

Clicar no menu Auditoria da janela de administração do firewall.Selecionar o item Relatório.19.2. Configurando os RelatóriosFigura 283. Configurando relatório - Diário.Esta janela é composta pelos tipos de agendamentos: "Diário", "Semanal", "Mensal","Quinzenal", "Específico" e em tempo real. Em todos será necessário escolher quaissub-relatórios serão incluídos.Para executar qualquer relatório, deve-se clicar com o botão direito do mouse sobreele. Aparecerá o seguinte menu: (este menu será acionado sempre que forpressionado o botão direito, mesmo que não exista nenhum relatório selecionado.Neste caso, somente as opção Inserir estará habilitada); inclusive podendo serexecutada a partir da barra de ferramentas.Inserir: Esta opção permite incluir um novo relatório.Ao tentar inserir um novo relatório constará três abas:Aba geral© Aker Security Solutions 436

Nesta aba serão configurados os seguintes campos:Figura 284. Configuração do relatório - geral.Título do Relatório: Atribuir nome ao relatório.Agendamento: Definir hora que será gerado o relatório.Formato do Relatório: Define em qual formato será gerado o relatório. Asopções de formato são:TXT: Ao selecionar esta opção é gerado um arquivo chamado report.txtque contém o relatório.HTML: Ao selecionar esta opção é gerado um arquivo chamadoindex.html que contém o relatório.PDF: Ao selecionar esta opção é gerado um arquivo chamado report.pdfque contém o relatório.Em ambos os casos, o navegador será aberto automaticamente, exibindo oconteúdo do arquivo correspondente ao relatório.© Aker Security Solutions 437

Aba Sub-relatórioUm sub-relatório é oferecido para que os níveis de detalhamento possam serevidenciados e a informação que compõe o relatório seja mais objetiva.Figura 285. Configuração do relatório – sub-relatório.Esta aba é composta por duas colunas, onde será necessário indicar filtros paraambas.Na coluna de "Sub-relatório" deverá ser incluído qual tipo de sub-relatório e comoserá agrupado, por exemplo: "Não agrupar", "Quota", "Usuário". Esta opção variaconforme o tipo de sub-relatório selecionado. É possível definir relacionamentoscom lógica "E" ou "OU" e um limite para TOP.Na coluna de "Filtros" haverá mais uma possibilidade de filtro de acordo com o tipode dado.© Aker Security Solutions 438

Métodos de PublicaçãoMétodo FTPNesta aba, o usuário poderá indicar até três servidores para onde serão enviados osrelatórios via ftp.Como utilizar:Selecione o(s) servidor (es);Digite o usuário;Digite a senha de acesso;Digite o caminho de destino do relatório.Figura 286. Configuração do relatório – método de publicação.© Aker Security Solutions 439

Método SMTPNesta aba o usuário poderá indicar até três destinatários, para onde serão enviadosos relatórios através de e-mail.Como utilizar:Digite o endereço do remetente ("De");Digite o endereço do destinatário ("Para");Digite o "Assunto";Caso deseje é possível incluir uma mensagem, no campo "Mensagem".Figura 287. Configuração do relatório – método de SMTP.© Aker Security Solutions 440

Método Tempo RealEsta opção permite a geração de relatório em tempo real, ou seja, o administradordo firewall pode gerar relatórios no momento em que desejar. O produto continuaráfuncionando normalmente. Quando o relatório estiver pronto, salve-o em umdiretório conforme desejado, logo em seguida será exibido uma janela mostrando orelatório.19.3. Lista dos Relatórios disponíveisAbaixo segue os tipos de relatórios possíveis de serem gerados:1. Quantidade de acessos web por usuários do autenticador;2. Quantidade de acessos web por grupos do autenticador;3. Quantidade de acessos web por perfis de acesso;4. Quantidade de acessos web por endereço IP origem;5. Quantidade de acessos web por endereço IP destino;6. Quantidade de acessos TCP e UDP (cada serviço) por grupos doautenticador;7. Quantidade de acesso por páginas Web (domínio), com possibilidade deseleção das N páginas mais acessadas;8. Quantidade de acesso por páginas Web (domínio), com possibilidade deseleção das N páginas mais acessadas por grupos do autenticador;9. Quantidade de acesso, relacionando conjunto de usuários e respectivaspáginas web mais acessadas;10. Quantidade de acessos bloqueados por usuários, com possibilidade deseleção dos N usuários com maior número de requisições a páginasproibidas;11. Quantidade de downloads realizados (HTTP e FTP), com possibilidade deseleção dos N arquivos mais baixados;12. Volume de tráfego (kbps ou Mbps) processado pelo Firewall, em médias deperíodos de cinco minutos;13. Categoria dos sites;14. Downloads;15. Sites bloqueados;16. Categorias bloqueadas;17. Downloads bloqueados;18. IPs web;19. IPs web bloqueados;20. IPs destino;21. IPs destino bloqueados;22. IPs e Serviços;23. IPs e Serviços bloqueados;24. Serviços;25. Serviços bloqueados;26. Tráfego que entrou;27. Tráfego que saiu;© Aker Security Solutions 441

28. Destinatários de e-mails entregues;29. Destinatários de e-mails rejeitados;30. Endereço IP de e-mails entregues;31. Endereço IP de e-mails rejeitados;32. Domínios dos destinatários de e-mails entregues;33. Domínios dos destinatários de e-mails bloqueados;34. Quota - consumo de bytes;35. Quota - consumo de tempo;36. MSN - duração do chat;37. MSN – chat log;38. Contabilidade de tráfego web - upload consumido;39. Contabilidade de tráfego web - download consumido;40. Contabilidade de tráfego web - tempo consumido;41. Contabilidade de tráfego de downloads - upload consumido;42. Contabilidade de tráfego de downloads - download consumido;43. Contabilidade de tráfego de downloads - tempo consumido;44. Contabilidade de tráfego de FTP - upload consumido;45. Contabilidade de tráfego de FTP - download consumido;46. Usuários que acessaram um site;47. Usuários que foram bloqueados tentando acessar um site.© Aker Security Solutions 442

Exportação Agendada de Logse Eventos© Aker Security Solutions 443

20. Exportação Agendada de Logs e EventosEste capítulo mostrará como configurar a Exportação Agendada de Logs e Eventos.Os registros de Logs e/ou Eventos são exportados nos formatos TXT ou CSV,publicados via FTP em até três sites distintos ou localmente em uma pasta dopróprio Firewall. Podem ser agendados das seguintes formas: "Diário", "Semanal"e/ou “Mensal”.20.1. Acessando a Exportação Agendada de Logs e EventosPara ter acesso à janela de Exportação Agendada de Logs e Eventos deve-se:Figura 288. Janela de acesso: Exportação Agendada de Logs e Eventos..Clicar no menu Auditoria da janela de administração do Aker Firewall;Selecionar o item Exportação Agendada de Logs e Eventos.© Aker Security Solutions 444

20.2. Configurando a Exportação Agendada de Logs e EventosFigura 289. Exportação Agendada de Logs e Eventos - diário.Esta janela é composta pelos tipos de agendamentos: "Diário", "Semanal" e"Mensal".Para executar qualquer exportação, deve-se clicar com o botão direito do mousesobre ele. Aparecerá o seguinte menu: (este menu será acionado sempre que forpressionado o botão direito, mesmo que não exista nenhum relatório selecionado.Neste caso, somente as opção Inserir estará habilitada); inclusive podendo serexecutada a partir da barra de ferramentas.Inserir: Esta opção permite incluir um novo relatório.Ao tentar inserir um novo relatório constará duas abas:Aba GeralNesta aba serão configurados os seguintes campos:© Aker Security Solutions 445

Figura 290. Configuração da Exportação Agendada de Logs e Eventos - geral.Título: Atribuir nome a exportação.Formato do Relatório: Define em qual formato será gerado o relatório. Asopções de formato são: TXT; CSV.Tipo: Define qual informação será exportada: Logs; Eventos.Agendamento: Definir hora que será realizada a exportação.© Aker Security Solutions 446

Aba Método de PublicaçãoFTP:Nesta aba, o usuário poderá indicar até três servidores para onde serão enviados osdados via ftp.Como utilizar:Selecione o(s) servidor (es);Digite o usuário;Digite a senha de acesso;Digite o caminho de destino do relatórioFigura 291. Configuração da Exportação Agendada de Logs e Eventos – método de publicação.© Aker Security Solutions 447

Local:Nesta aba, o usuário poderá indicar em qual pasta local do Aker Firewall desejasalvar os dados exportados.Figura 292. Configuração da Exportação Agendada de Logs e Eventos – tipo de publicação.© Aker Security Solutions 448

Trabalhando com proxies© Aker Security Solutions 449

21. Trabalhando com ProxiesNeste capítulo mostrará toda a base de conhecimento necessária, para entender ofuncionamento dos proxies do Aker Firewall. Os detalhes específicos de cada proxyserão mostrados nos próximos capítulos.21.1. Planejando a instalaçãoO que são proxies?Proxies são programas especializados que geralmente rodam em firewalls e queservem como ponte entre a rede interna de uma organização e os servidoresexternos. Seu funcionamento é simples: eles ficam esperando por uma requisiçãoda rede interna, repassam esta requisição para o servidor remoto na rede externa, edevolvem sua resposta de volta para o cliente interno.Na maioria das vezes os proxies são utilizados por todos os clientes de uma subredee devido a sua posição estratégica, normalmente eles implementam umsistema de cache para alguns serviços. Além disso, como os proxies trabalham comdados das aplicações, para cada serviço é necessário um proxy diferente.Proxies tradicionaisPara que uma máquina cliente possa utilizar os serviços de um proxy é necessárioque a mesma saiba de sua existência, isto é, que ela saiba que ao invés deestabelecer uma conexão com o servidor remoto, ela deve estabelecer a conexãocom o proxy e repassar sua solicitação ao mesmo.Existem alguns clientes que já possuem suporte para proxies embutidos nelespróprios (como exemplo de clientes deste tipo, pode-se citar a maioria dos browsersexistentes atualmente). Neste caso, para utilizar as funções de proxy, bastaconfigurá-los para tal. A grande maioria dos clientes, entretanto, não está preparadapara trabalhar desta forma. A única solução possível neste caso, é alterar a pilhaTCP/IP em todas as máquinas clientes de modo a fazer com que transparentementeas conexões sejam repassadas para os proxies.Esta abordagem traz inúmeras dificuldades, já que além de ser extremamentetrabalhoso alterar todas as máquinas clientes, muitas vezes não existe forma dealterar a implementação TCP/IP de determinadas plataformas, fazendo com queclientes nestas plataformas não possam utilizar os proxies.Um outro problema dos proxies tradicionais, é que eles só podem ser utilizados paraacessos de dentro para fora (não pode solicitar para que clientes externos repassemsuas solicitações para o seu proxy para que este repasse para seu servidor interno).© Aker Security Solutions 450

A figura abaixo ilustra o funcionamento básico de um proxy tradicional:Proxies transparentesFigura 293. Funcionamento básico de um Proxy tradicional.O Aker Firewall introduz um novo conceito de firewall com a utilização de proxiestransparentes. Estes proxies transparentes são capazes de serem utilizados semnenhuma alteração nas máquinas clientes e nas máquinas servidoras,simplesmente porque nenhuma delas sabe de sua existência.Seu funcionamento é simples, todas as vezes que o firewall decide que umadeterminada conexão deve ser tratada por um proxy transparente, esta conexão édesviada para o proxy em questão. Ao receber a conexão, o proxy abre uma novaconexão para o servidor remoto e repassa as requisições do cliente para esteservidor.A grande vantagem desta forma de trabalho, é que torna possível oferecer umasegurança adicional para certos serviços sem perda da flexibilidade e sem anecessidade de alteração de nenhuma máquina cliente ou servidora. Além disso, épossível utilizar proxies transparentes em requisições de dentro para fora e de forapara dentro, indiferentemente.© Aker Security Solutions 451

Proxies transparentes e contextosFigura 294. Funcionamento básico de um Proxy trasparênte.O Aker Firewall introduz uma novidade com relação aos proxies transparentes: oscontextos. Para entendê-los, vamos inicialmente analisar uma topologia de redeonde sua existência é necessária.Suponha que exista um Aker Firewall conectado a três redes distintas, chamadas deredes A, B e C, e que as redes A e B sejam redes de dois departamentos de umamesma empresa e a rede C a Internet. Suponha ainda que na rede A exista umservidor SMTP que seja utilizado também pela rede B para enviar e receber correioeletrônico. Isto está ilustrado no desenho abaixo:© Aker Security Solutions 452

Figura 295. Proxie transparentes e contextos.Suponha agora que queira configurar o firewall para desviar todas as conexõesSMTP para o proxy SMTP, de modo a assegurar uma maior proteção e um maiorcontrole sobre este tráfego.É importante que exista um meio de tratar diferentemente as conexões para A comorigem em B e C: a rede B utilizará o servidor SMTP de A como relay ao enviar seuse-mails, entretanto este mesmo comportamento não deve ser permitido a partir darede C. Pode-se também querer limitar o tamanho máximo das mensagensoriginadas na rede C, para evitar ataques de negação de serviço baseados em faltade espaço em disco, sem ao mesmo tempo querer limitar também o tamanho dasmensagens originadas na rede B.Para possibilitar este tratamento diferenciado, foi criado o conceito de contextos.Contextos nada mais são que configurações diferenciadas para os proxiestransparentes de modo a possibilitar comportamentos diferentes para conexõesdistintas.No exemplo acima, poderia criar dois contextos: um para ser usado em conexões deB para A e outro de C para A.Os proxies do Aker FirewallO Aker Firewall implementa proxies transparentes para os serviços FTP, Telnet,SMTP, POP3, HTTP, HTTPS, RPC, DCE-RPC, SIP, H323, MSN e proxies nãotransparentes para os serviços acessados através de um browser WWW (FTP,Gopher, HTTP e HTTPS) e para clientes que suportem o protocolo SOCKS. Parautilizar os proxies não transparentes é necessário um cliente que possa serconfigurado para tal. Dentre os clientes que suportam este tipo de configuração,pode-se citar o Mozilla Firefox (Tm) e o Internet Explorer (Tm) .Os proxies transparentes podem ser utilizados tanto para controlar acessosexternos às redes internas quanto acessos de dentro para fora. Os proxies nãotransparentes somente podem ser usados de dentro para fora.O Aker Firewall permite ainda implementar Proxies criados pelo usuário que sãoproxies criados por terceiros utilizando a API de desenvolvimento que a AkerSecurity Solutions provê. O objetivo é possibilitar que instituições que possuamprotocolos específicos possam criar suporte no firewall para estes protocolos.Os autenticadores do Aker FirewallOs proxies SOCKS, Telnet e WWW do Aker Firewall suportam autenticação deusuários, isto é, podem ser configurados para só permitir que uma determinadasessão seja estabelecida caso o usuário se identifique para o firewall, através de umnome e uma senha, e este tenha permissão para iniciar a sessão desejada.© Aker Security Solutions 453

O grande problema que surge neste tipo de autenticação é como o firewall irávalidar os nomes e as senhas recebidas. Alguns produtos exigem que todos osusuários sejam cadastrados em uma base de dados do próprio firewall ou quesejam usuários válidos da máquina que o firewall estiver rodando. Ambos osmétodos possuem o grande inconveniente de não aproveitar a base de usuáriosnormalmente presente em uma rede local.No Aker Firewall, optou-se por uma solução mais versátil e simples de serimplantada: ao invés de exigir um cadastramento de usuários no firewall, estes sãovalidados nos próprios servidores da rede local, sejam estes Unix ou WindowsServer tm .Para que seja possível ao firewall saber em quais máquinas ele deve autenticar osusuários, e também para possibilitar uma comunicação segura com estas máquinas,foi criado o conceito de autenticadores. Autenticadoras são máquinas Unix ouWindows Server tm , que rodam um pequeno programa chamado de Agente deautenticação. Este programa é distribuído como parte do Firewall Aker e tem comofunção básica servir de interface entre o firewall e a base de dados remota.Para que o Aker Firewall utilize uma base de dados em um servidor remoto, deve-seefetuar os seguintes procedimentos:1. Instalar e configurar o agente de autenticação na máquina onde reside abase de dados de usuários (este procedimento será descrito nos tópicosintitulados Instalando o agente de autenticação no Unix e Instalando oagente de autenticação no Windows Server tm ).2. Cadastrar uma entidade do tipo autenticador com o endereço da máquinaonde o agente foi instalado e com a senha de acesso correta (para maioresinformações de como cadastrar entidades, veja o capítulo intituladoCadastrando Entidades).3. Indicar para o firewall que ele deve utilizar o autenticador cadastrado nopasso 2 para realizar a autenticação de usuários (este procedimento serádescrito no capítulo intitulado Configurando parâmetros de autenticação).O Aker Firewall 6.1 é incompatível com versões anteriores à 4.0 dos agentes deautenticação. Caso tenha feito upgrade de uma versão anterior e esteja utilizandoautenticação, é necessário reinstalar os autenticadores.É possível também realizar autententicações através dos protocolos LDAP eRADIUS. Neste caso, não existe a necessidade de instalação dos autenticadoresnas máquinas servidoras, bastando-se criar os autenticadores dos tiposcorrespondentes e indicar ao firewall que eles devem ser utilizados, de acordo comos passos 2 e 3 listados acima.© Aker Security Solutions 454

21.2. Instalando o agente de autenticação em plataformas UnixPara instalar o agente de autenticação é necessário efetuar o download do Agentede autenticação adequado ao seu sistema no site da Aker (http://www.aker.com.br),após o download descompacte o arquivo e execute o seguinte comando:#/ ./aginstO símbolo # representa o prompt do shell quando executado como root, ele nãodeve ser digitado como parte do comando.O programa de instalação copiará o executável do agente (fwagaut) para o diretório/usr/local/bin e copiará um modelo do arquivo de configuração (fwagaut.cfg) para odiretório /etc/. Após a instalação, é necessário personalizar este arquivo, comodescrito na próxima seção.Caso tenha respondido "Sim" quando o programa de instalação perguntou se oagente deveria ser iniciado automaticamente, uma chamada será criada em umarquivo de inicialização da máquina de modo a carregar automaticamente o agente.O nome deste arquivo de inicialização é dependente da versão de Unix utilizada.A sintaxe do arquivo de configuração do agente de autenticaçãoApós instalar o agente de autenticação é necessário criar um arquivo deconfiguração com o endereço dos firewalls que poderão utilizá-lo e a senha deacesso de cada um. Este arquivo é em formato texto e pode ser criado por qualquereditor.O arquivo de configuração do agente de autenticação deve ter seus direitosconfigurados de forma que só o usuário root possa ler ou alterar seu conteúdo. Parafazer isso, pode-se usar o comando chmod, com a seguinte sintaxe: # chmod 600nome_do_arquivo.A sua sintaxe é a seguinte:Cada linha deve conter o endereço IP de um Aker Firewall que irá utilizar oagente, um ou mais espaços em branco ou caracteres tab e a senha de acessoque o firewall irá utilizar para a comunicação.Linhas começadas pelo caractere #, bem como linhas em branco, são ignoradas.Um exemplo de um possível arquivo de configuração é mostrado a seguir:# Arquivo de configuracao do agente de autenticacao do Firewall Aker 6.1## Sintaxe: Endereco IP do Firewall e senha de acesso (em cada linha)#© Aker Security Solutions 455

# Obs: A senha não pode conter espaços e deve ter até 31 caracteres## Linhas começadas pelo caractere '#' sao consideradas comentários# Linhas em branco são permitidas10.0.0.1 teste_de_senha10.2.2.2 123senha321O local padrão para o arquivo de configuração do agente é /etc/fwagaut.cfg,entretanto é possível criá-lo com qualquer outro nome ou em outro diretório, desdeque seja informado isso ao agente no momento de sua execução. Isto serámostrado no tópico abaixo.Sintaxe de execução do agente de autenticaçãoO agente de autenticação para Unix possui a seguinte sintaxe de execução:fwagaut [-?] [-c NOME_ARQUIVO] [-s ] [-q]Onde:-? Mostra esta mensagem retorna ao prompt do shell-c Especifica o nome de um arquivo de configuracao alternativo-s Especifica a fila do syslog para onde devem ser enviadas asmensagens do autenticador. 0 = local0, 1 = local1, ...-r Aceita validacao do usuario root-e Aceita usuarios com senhas em branco-q Nao mostra mensagem na hora da entradaSuponha que o agente esteja localizado no diretório /usr/local/bin e que se tenhacriado o arquivo de configuração com o nome /usr/local/etc/fwagaut.cfg. Neste caso,para executar o agente, a linha de comando seria:/usr/local/bin/fwagaut -c /usr/local/etc/fwagaut.cfgCaso queira executar o agente com o arquivo de configuração no local padrão, nãoé necessário a utilização da opção -c , bastando simplesmente executá-lo com ocomando:/usr/local/bin/fwagautO agente de autenticação deve ser executado pelo o usuário rootQuando for feito alguma alteração no arquivo de configuração é necessário informarisso ao agente, se ele estiver rodando. Para tal, deve-se executar o seguintecomando:#kill -1 pid© Aker Security Solutions 456

Onde pid é o número do processo do agente de autenticação. Para ser obtido estenúmero, pode-se executar o comando.#ps -ax | grep fwagaut , em máquinas baseadas em Unix BSD, ou#ps -ef | grep fwagaut, em máquinas baseadas em Unix System V.O agente de autenticação escuta requisições na porta 1021/TCP. Não podeexistir nenhuma outra aplicação utilizando esta porta enquanto o agente estiverativo.21.3. Instalando o agente de autenticação em Windows Server tmA instalação do agente de autenticação para Windows Server tm é bastante simples.Efetue o download do Agente de Autenticação adequado ao seu sistema no site daAker (http://www.aker.com.br), Para instalá-lo, clique duas vezes no arquivo salvo.O programa inicialmente mostrará uma janela pedindo uma confirmação paraprosseguir com a instalação. Deve-se responder Sim para continuar com ainstalação. A seguir será mostrada uma janela com a licença e por fim a janela ondepode especificar o diretório de instalação. Essa janela possui o formato mostradoabaixo:Figura 296. Istalação do agente de autenticação do em Windows Server – pasta de destino.© Aker Security Solutions 457

Após selecionar o diretório de instalação, deve-se pressionar o botão Copiararquivos, que realizará toda a instalação do agente. Esta instalação consiste nacriação de um diretório chamado de fwntaa, dentro do diretório Arquivos deProgramas, com os arquivos do agente, a criação de um grupo chamado deFirewall Aker com as opções de configuração e remoção do agente e a criação deum serviço chamado de Agente de autenticação do Aker Firewall. Este serviço éum serviço normal do Windows Server tm e pode ser interrompido ou iniciado atravésdo Painel de Controle, no ícone serviços.O agente de autenticação escuta requisições nas portas 1016/TCP e 1021/TCP.Não pode existir nenhuma outra aplicação utilizando estas portas enquanto o agenteestiver ativo.21.4. Configuração do agente de autenticação para Windows Server tmApós realizada a instalação do agente, é necessário proceder com a suaconfiguração. Esta configuração permite fazer o cadastramento de todos osfirewalls que irão utilizá-lo, bem como a definição de quais mensagens serãoproduzidas pelo agente, durante seu funcionamento. Ao contrário do agente deautenticação para Unix, esta configuração é feita através de um programa separado.Para ter acesso ao programa de configuração, deve-se clicar no menu Iniciar,selecionar o grupo Firewall Aker e dentro deste grupo a opção Configurar agente deautenticação. Ao ser feito isso, será mostrada a janela de configuração do agente,que está distribuída em três pastas:Pasta de configuração dos firewalls© Aker Security Solutions 458

Figura 297. Agente de autenticação - Aker.Esta pasta consiste em todas as opções de configuração do agente. Na partesuperior existem dois botões que permitem testar a autenticação de um determinadousuário, a fim de verificar se o agente está funcionando corretamente. Na parteinferior da pasta existe uma lista com os firewalls autorizados a se conectarem aoagente de autenticação.Para incluir um novo firewall na lista, basta clicar no botão Incluir, localizado nabarra de ferramentas. Para remover ou editar um firewall, basta selecionar o firewalla ser removido ou editado e clicar na opção correspondente da barra deferramentas.No caso das opções Incluir ou Editar será mostrada a seguinte janela:© Aker Security Solutions 459

Figura 298. Agente de autenticação – Firewall Aker.IP: É o endereço IP do firewall que se conectará ao agente.Descrição: É um campo livre, utilizado apenas para fins de documentação.Senha: É a senha utilizada para gerar as chaves de autenticação e criptografiausadas na comunicação com o firewall. Esta senha deve ser igual à configuradana entidade do firewall. Para maiores informações, veja o capítulo intituladoCadastrando Entidades.Confirmação: Este campo é utilizado apenas para verificar se a senha foidigitada corretamente. Deve-se digitá-la exatamente como no campo Senha.Autenticação de usuários suportada: Esse campo indica quais formas deautenticação de usuários serão permitidas. Ela consiste de duas opções quepodem ser selecionadas independentemente:Domínio Windows NT/2000: Se essa opção estiver marcada, o agente realizaráautenticação de usuários utilizando a base de usuários do Windows NT/2000.SecurID ACE/Server: Se essa opção estiver marcada, o agente realizaráautenticação de usuários consultando o servidor SecurID.Pasta de log© Aker Security Solutions 460

Figura 299. Agente de autenticação - Log.Esta pasta é muito útil para acompanhar o funcionamento do agente deautenticação. Ela consiste de uma lista com diversas mensagens ordenadas pelahora. Ao lado de cada mensagem existe um ícone colorido, simbolizando suaprioridade. As cores têm o seguinte significado:VerdeAzulAmareloVermelhoPretoDepuraçãoInformaçãoNotíciaAdvertênciaErroCaso não queira que uma determinada prioridade de mensagens seja gerada, bastadesmarcar a opção a sua esquerda.A opção Usar visualizador de eventos, se estiver marcada, faz com que asmensagens sejam enviadas para o visualizador de eventos do Windows.© Aker Security Solutions 461

Pasta de sobreFigura 300. Agente de autenticação - Sobre.Esta é uma pasta meramente informativa e serve para obter algumas informaçõesdo cliente. Dentre as informações úteis se encontram sua versão e release.Remoção do agente de autenticação para Windows Server tmPara facilitar a remoção do agente de autenticação para NT, existe um utilitário quea realiza automaticamente. Para iniciá-lo, deve-se clicar no menu Iniciar, selecionaro grupo Firewall Aker e dentro deste grupo a opção Remover agente deautenticação. Ao ser feito isso, será mostrada uma janela de confirmação.Caso deseje desinstalar o agente, deve-se clicar no botão Sim, caso contrário,deve-se clicar no botão Não, que cancelará o processo de remoção.© Aker Security Solutions 462

Configurando parâmetros deautenticação© Aker Security Solutions 463

22. Configurando parâmetros de autenticaçãoEste capítulo mostrará quais são e como devem ser configurados os parâmetros deautenticação, essenciais para que seja possível a autenticação de usuários pelofirewall.O que são os parâmetros de autenticação?Os parâmetros de autenticação servem para informar ao firewall quais as formas deautenticação que são permitidas, quais autenticadores devem ser pesquisados nahora de autenticar um determinado usuário e em qual ordem. Além disso, elescontrolam a forma com que a pesquisa é feita, permitindo uma maior ou menorflexibilidade para as autenticações.22.1. Utilizando a interface gráficaPara ter acesso a janela de parâmetros de autenticação deve-se:Figura 301. Jnaela de acesso: Autenticação.© Aker Security Solutions 464

Clicar no menu Configuração do Firewall da janela Firewalls.Selecionar o item Autenticação.Essa janela consiste de cinco partes distintas: a primeira aba corresponde aoControle de Acesso onde os usuários e grupos de autenticadores são associadoscom perfis de acesso. A configuração desta aba será vista em detalhes em Perfisde Acesso de Usuários, na segunda aba escolhe-se os Métodos de autenticaçãoonde se determina os parâmetros relativos à autenticação de usuários por meio denomes/senhas e se configuram os parâmetros de autenticação por token (SecurID)e Autoridade Certificadora (PKI), a terceira aba configura-se a Autenticação paraProxies. Na quarta aba "Autenticação local", na quinta e última aba sãoconfiguradas o Controle de Acesso por IP que também será visto com mais detalhesem Perfis de Acesso de Usuários.O botão OK fará com que a janela de configuração de parâmetros seja fechada eas alterações efetuadas aplicadas.O botão Aplicar enviará para o firewall todas as alterações feitas porém manteráa janela abertaO botão Cancelar fará com que a janela seja fechada porém as alteraçõesefetuadas não sejam aplicadas.Aba de Controle de AcessoFigura 302. Autenticação de acesso: Controle de acesso.© Aker Security Solutions 465

A janela de controle de acesso permite que seja criada a associação deusuários/grupos com um perfil de acesso.Na parte inferior da janela existe um campo chamado Perfil Padrão onde é possívelselecionar o perfil que será associado aos usuários, que não se enquadrem emnenhuma regra de associação.A última coluna, quando preenchida, especifica redes e máquinas onde aassociação é válida. Se o usuário se encaixar na regra, mas estiver em umendereço IP fora das redes e máquinas cadastradas, então a regra será pulada,permitindo a atribuição de outro perfil ao usuário. Esse tipo de restrição é muito útilpara permitir acesso à áreas sensíveis da rede apenas de alguns locais físicos comsegurança aumentada.Para associar um usuário ou grupo com um determinado perfil de acesso, deve-seproceder da seguinte maneira:1. Clicar com o botão direito do mouse na lista de regras e selecionar a opçãoInserir;2. Selecionar o autenticador do qual se deseja obter a lista de usuários ou grupos,clicando-se com o botão direito no campo Autenticador;3. Clicar com o botão direito sobre o campo Usuário/Grupo e selecionar entrelistagem de usuários ou grupos e sua lista será montada automaticamente apartir do autenticador selecionado. A partir da lista selecionar o usuário ou grupodesejado.© Aker Security Solutions 466

Figura 303. Autenticação de acesso: Listagem de grupos ou usuários.4. Clicar com o botão direito sobre o campo Perfil para selecionar o perfil desejado,conforme o menu abaixo:Figura 304. Autenticação de acesso: Escolha do perfil desejado.5. Caso queira, arraste algumas entidades máquina, rede ou conjuntos para ocampo entidades. Se o usuário estiver fora dessas entidades, a regra serápulada.Para remover uma regra entre um usuário/grupo e um perfil, deve-se proceder daseguinte maneira:1. Clicar na regra a ser removida, na lista da janela;2. Clicar no botão Apagar.© Aker Security Solutions 467

Para alterar a posição de uma regra dentro da lista, deve-se proceder da seguinteforma:1. Clicar na regra a ser movida de posição;2. Arrastar para a posição desejada.A ordem das associações na lista é de fundamental importância. Quando umusuário se autenticar, o Aker Firewall pesquisará a lista a partir do início procurandopelo nome desse usuário ou por um grupo de que ele faça parte. Tão logo umdesses seja encontrado, o perfil associado ao mesmo será utilizado.Aba MétodosFigura 305. Autenticação de acesso: Métodos.Habilita autenticação usuário/senha: Essa opção indica se o firewall aceitará ounão autenticação de usuários por meio de nomes/senhas. Caso ela esteja ativa,deve-se configurar os demais parâmetros relativos a esse tipo de autenticação:Pesquisar todos autenticadores: Este parâmetro indica se o firewall deve tentarvalidar um usuário nos próximos autenticadores da lista no caso de um autenticadorretornar uma mensagem de senha inválida.Se esta opção estiver marcada, o firewall percorre todos os autenticadores da lista,um a um, até receber uma resposta de autenticação correta ou até a lista terminar.© Aker Security Solutions 468

Caso ela não esteja marcada, a pesquisa será encerrada no primeiro autenticadorque retornar uma mensagem de autenticação correta ou de senha inválida.Esta opção só é usada para respostas de senha inválida. Caso um autenticadorretorne uma resposta indicando que o usuário a ser validado não está cadastradona base de dados de sua máquina, o firewall continuará a pesquisa no próximoautenticador da lista, independentemente do valor desta opção.Pesquisar autenticador interno: Este parâmetro indica se a base de usuárioslocais do firewall - definida na pasta Autenticação Local - deve ser consultada paravalidar a senha dos usuários. Se sim, também deve escolher no combo box ao ladose essa base deve ser consultada antes ou depois dos demais autenticadores.Permitir domínios especificados pelo usuário: Este parâmetro indica se ousuário na hora de se autenticar pode informar ao firewall em qual autenticador eledeseja ser validado.Se esta opção estiver marcada, o usuário pode acrescentar juntamente ao seunome, um sufixo formado pelo símbolo / e um nome de autenticador, fazendo comque a requisição de autenticação seja enviada diretamente para o autenticadorinformado. Caso ela não esteja marcada, a autenticação será feita na ordem dosautenticadores configurada pelo administrador.O uso desta opção não obriga que o usuário informe o nome do autenticador,apenas permite que ele o faça, se desejar. Caso o usuário não informe, aautenticação seguirá na ordem normal.Para ilustrar a especificação de domínio, pode-se tomar como base um sistema noqual existam dois autenticadores configurados, chamados de Unix e WindowsServer. Neste sistema, se um usuário chamado administrador desejar se autenticarna máquina Windows Server, então ele deverá entrar com o seguinte texto, quandolhe for solicitado seu login ou username: administrador/Windows Server. Caso elenão informe o sufixo, o Aker Firewall tentará autenticá-lo inicialmente pela máquinaUnix e caso não exista nenhum usuário cadastrado com este nome ou a opçãoPesquisa em todos os autenticadores estiver marcada, ele então tentará autenticarpela máquina Windows Server.O nome do autenticador informado pelo usuário deve estar obrigatoriamente nalista de autenticadores a serem pesquisados.Autenticadores a pesquisarPara incluir um autenticador na lista de autenticadores a serem consultados, deveseproceder da seguinte forma:© Aker Security Solutions 469

1. Clicar com o botão direito do mouse onde aparecerá um menu suspenso(figura abaixo) ou arrastando a entidade autenticador para o localindicado;Figura 306. Autenticação de acesso: Adiconar entidades.2. Seleciona-se o a opção Adicionar entidades e o autenticador a serincluído, na lista mostrada à direita.Para remover um autenticador da lista de pesquisa, deve-se proceder da seguinteforma:1. Selecionar o autenticador a ser removido e apertar a tecla delete ou;2. Clicar no botão direito do mouse e selecionar no menu suspenso o itemApagarFigura 307. Autenticação de acesso: Remover entidades.Para mudar a ordem de pesquisa dos autenticadores, deve-se proceder da seguinteforma:1. Selecionar o autenticador a ser mudado de posição na ordem depesquisa;© Aker Security Solutions 470

2. Clicar em um dos botões à direita da lista: o botão com o desenho da setapara cima fará com que o autenticador selecionado suba uma posição nalista. O botão com a seta para baixo fará com que ele seja movido umaposição para baixo na lista.Dica: A adição ou remoção dos autenticadores pode ser feita diretamente com omouse, bastando clicar e arrastar os mesmos para a janela correspondente,soltando em seguida.Os autenticadores serão pesquisados na ordem que se encontram na lista, decima para baixo.Habilitar autenticação PKI: Essa opção indica se o firewall aceitará ou não aautenticação de usuários por meio de smart cards. Caso ela esteja ativa, deve-seconfigurar as autoridades certificadoras nas quais o firewall confia.Autoridades Certificadoras ConfiáveisFigura 308. Autenticação de acesso: Métodos.Para incluir uma autoridade certificadora na lista de autoridades certificadorasconfiáveis, deve-se proceder da seguinte forma:1. Clicar com o botão direito do mouse e escolher a opção Incluir Entidades;2. Selecionar a autoridade a ser incluída;© Aker Security Solutions 471

3. Clique em Incluir;4. Pode-se também clicar em uma autoridade certificadora e arrastá-la paraposição desejadaPara remover uma autoridade certificadora da lista de autoridades confiáveis, deveseproceder da seguinte forma:1. Selecionar a autoridade a ser removida e apertar a tecla delete ou2. Clicar no botão direito do mouse sobre a entidade a ser removida e escolhera opção ApagarHabilitar autenticação por token: Essa opção indica se o firewall aceitará ou não aautenticação de usuários por meio de tokens. Caso ela esteja ativa, deve-se configurar onome do autenticador token a ser consultado para validar os dados recebidos.Figura 309. Autenticação de acesso: Métodos (habilitar autenticação do Token).Autenticador token a pesquisar: Este campo indica o autenticador token para oqual os dados a serem validados serão repassados.© Aker Security Solutions 472

Aba Autenticação para ProxiesFigura 310. Autenticação de acesso: Autenticação para proxies.Estes parâmetros indicam que tipos de autenticação serão aceitas nos proxies e emque ordem serão validadas. Isso é importante pois quando um usuário é autenticadoatravés de um browser, por exemplo, não é possível que ele especifique se estáutilizando token ou usuário/senha. As opções possíveis de configuração são:Autenticação Token antes da autenticação usuário/senha;Autenticação usuário/senha antes da autenticação Token;Autenticação Token somente;Autenticação usuário/senha somente;© Aker Security Solutions 473

Aba Autenticação LocalFigura 311. Autenticação de acesso: Autenticação local.Nessa pasta, pode cadastrar uma série de usuários e associar um grupo a cada umdeles. Se a opção de usar a base local de usuários estiver habilitada, então essesusuários também serão verificados como se estivessem em um autenticadorremoto. Eles compõem o autenticador local.Para incluir um usuário, clique com o botão da direita e escolha inserir, ou então useo toolbar e clique no botão inserir. Pode-se usar o botão Inserir no seu teclado.Figura 312. Aba para inclusão de usuário.Para alterar o nome do usuário e seu nome completo, basta dar um duplo clique nocampo correspondente:© Aker Security Solutions 474

Figura 313. Autenticação – Autenticação local.Para alterar a senha ou o grupo a que está associado o usuário, use o menu decontexto sobre o item, clicando com o botão direito do mouse.Figura 314. Autenticação – alteração de senha ou grupo.© Aker Security Solutions 475

Para criar ou remover grupos, o procedimento é o mesmo, mas na lista lateraldireita.Figura 315. Autenticação local – criar ou remover grupos.Grupos vazios não serão mantidos pelo firewall, apenas aqueles que contiveremao menos um usuário.© Aker Security Solutions 476

Aba Controle de acesso por IPFigura 316. Controle de acesso por IP.O Aker Firewall pode controlar os acessos por intermédio de endereços IPconhecidos juntamente com perfis criados para este fim. Esta aba permite a habilitare a desabilitar individual das regras que configuram a autenticação por Ip, nãosendo mais necessário ter que removê-las para desabilitá-las, podendo serhabilitada ou desabilitada por meio da opção no menu suspenso ou por meio dobotãolocalizado na barra de tarefas.É preciso escolher uma entidade rede ou uma entidade máquina, que definirão aorigem do tráfego e associá-las ao perfil, de forma que o tráfego originário dessasentidades não precisará de autenticação por usuário.O Acesso por IP estará habilitado sempre que houver pelo menos uma regrahabilitada nesta aba.© Aker Security Solutions 477

Aba NTLMFigura 317. Configuração NTLM.A janela acima tem a função de configurar a integração do Aker Firewall aoMicrosoft Active Directory (AD) e utilizar o login automaticamente, sem que sejasolicitada a digitação no browser.Esta integração é realizada através do Kerberos, Winbind e Samba e ocomportamento deste autenticador será idêntico aos outros tipos de autenticaçõessuportadas pelo Aker Firewall podendo listar os usuários e grupos para a vinculaçãocom os perfis de acesso.Habilitar NTLM: ativando esta opção, uma entidade com o nome NTLM_Auth,estará disponível para a configuração na Aba Métodos da janela de Autenticação.Active directory:Endereço IPv4: endereço IP do servidor com o Microsoft Active Directory;Hostname: nome netbius do servidor com o Microsoft Active Directory, obtidoa partir do comando hostname executado neste servidor.© Aker Security Solutions 478

AutenticaçãoUsuário: usuário com privilégios de administração do domínio paraintegração.Senha: senha do usuário citado acima.Status/Atualizar status: Informa o status da integração e logs em caso de falhas.Para o bom funcionamento da integração o Aker Firewall e o servidor com oMicrosoft Active Directory devem estar com a data e horas sincronizados através deum servidor NTP.Para que a integração funcione o domínio configurado no Aker Firewall na janelaConfiguração do Sistema, TCP/IP, aba DNS, deve ser o mesmo domínio doMicrosoft Active Directory.Esta integração está disponível somente para o Filtro Web, em próximas versõesa integração se estenderá para todas as funcionalidades do Aker Firewall.Os usuários que não estiverem cadastrados no domínio do Microsoft ActiveDirectory a autenticação será realizada através de um POP-UP no browser dousuário que será solicitada a cada 15 minutos. A janela que será apresentada aestes usuários:Figura 318. Segurança do Window – solicitação de usuário e senha.© Aker Security Solutions 479

A autenticação transparente está disponível somente para o Filtro Web e ModoPROXY ATIVO, em próximas versões a integração se estenderá para todas asfuncionalidades do Aker Firewall.22.2. Utilizando a interface textoA interface texto permite configurar qual o tipo de autenticação será realizada e aordem de pesquisa dos autenticadores.Localização do programa: /aker/bin/firewall/fwauthSintaxe:Uso: fwauth [mostra | ajuda]fwauth [inclui | remove] [ca | token | autenticador] fwauth [dominio | pesquisa_todos] [sim | nao]fwauth proxy [token | senha] [sim | nao]fwauth proxy primeiro [token | senha]Ajuda do programa:Firewall Aker - Versão 6.5fwauth - Configura parametros autenticacaoUso: fwauth [mostra | ajuda]fwauth [inclui | remove] [ca | token | autenticador] fwauth [dominio | pesquisa_todos] [sim | nao]fwauth proxy [token | senha] [sim | nao]fwauth proxy primeiro [token | senha]mostra = mostra a configuracao atualajuda = mostra esta mensageminclui = inclui entidade na lista de autenticadores ativosremove = remove entidade da lista de autenticadores ativosdominio = configura se o usuario pode ou nao especificar dominiopesquisa_todos = configura se deve pesquisar em todos os autenticadoresproxy senha = habilita autenticacao por proxies do tipo usuario/senhaproxy token = habilita autenticacao por proxies do tipo Tokenproxy primeiro = configura qual o primeiro tipo de autenticacao a ser usadoExemplo 1: (mostrando os parâmetros de autenticação)#fwauth mostraAUTENTICACAO USUARIO/SENHA:---------------------------Pesquisa em todos autenticadores: sim© Aker Security Solutions 480

Usuario pode especificar dominio: naoAutenticadores cadastrados:aut_localAUTENTICACAO PKI:-----------------Nao ha autenticadores cadastradosAUTENTICACAO SECURY ID:-----------------------Nao ha autenticadores cadastradosExemplo 2: (incluindo um autenticador na lista de autenticadores ativos)#fwauth inclui autenticador "agente 10.0.0.12"Autenticador incluído© Aker Security Solutions 481

Perfis de acesso de Usuários© Aker Security Solutions 482

23. Perfis de acesso de UsuáriosNeste capítulo mostrará para que servem e como configurar perfis de acesso noAker Firewall.23.1. Planejando a instalaçãoO que são perfis de acesso?Firewalls tradicionais baseiam suas regras de proteção e controle de acesso a partirde máquinas, através de seus endereços IP. Além do Aker Firewall permitir este tipode controle, ele também permite definir o controle de acesso por usuários. Destaforma, é possível que determinados usuários tenham seus privilégios e restriçõesgarantidos, independentemente de qual máquina estejam utilizando em umdeterminado momento. Isso oferece o máximo em flexibilidade e segurança.Para possibilitar este controle de acesso em nível de usuários, o Aker Firewallintroduziu o conceito de perfis de acesso. Perfis de acesso representam os direitosa serem atribuídos a um determinado usuário no firewall. Estes direitos de acessoenglobam todos os serviços suportados pelo firewall, o controle de páginas WWW eo controle de acesso através do proxy SOCKS. Desta forma, a partir de um únicolocal, consegue definir exatamente o que pode e não pode ser acessado.Como funciona o controle com perfis de acesso?Para utilizar os perfis de acesso, inicialmente cadastra-se os perfis desejados eposteriormente associa-se estes perfis com usuários e grupos de um ou maisautenticadores. A partir deste momento, todas as vezes que um usuário se logar nofirewall com o Aker Client ou outro produto que ofereça funcionalidade equivalente,o firewall identificará o perfil de acesso correspondente a este usuário e configuraráas permissões de acesso de acordo com este perfil. Tudo é feito de formacompletamente transparente para o usuário final.Para que seja possível o uso de perfis de acesso é necessário que o Aker Clientestejam instalado em todas as máquinas clientes ou que se use a opção deautenticação por Java no Filtro Web. Caso contrário, só será possível a utilização decontrole de acesso a páginas WWW ou a serviços através do proxy SOCKS. Aautenticação de usuários através do Filtro Web (sem Java) e SOCKS são possíveisna medida em que eles solicitarão um nome de usuário e uma senha e pesquisarãoo perfil correspondente quando não identificarem uma sessão ativa para umadeterminada máquina.23.2. Cadastrando perfis de acessoOs perfis de acesso do Aker Firewall definem quais páginas WWW podem servisualizadas e quais tipos de serviço podem ser acessados. Para cada página© Aker Security Solutions 483

WWW ou serviço, existe uma tabela de horários associada, através da qual épossível definir os horários nos quais o serviço ou página podem ser acessados.Para ter acesso à janela de perfis de acesso deve-se:Figura 319. Janela de acesso: Perfis.Clicar no menu Configuração do Firewall da janela de administração do firewall.Selecionar o item Perfis.© Aker Security Solutions 484

A janela de PerfisFigura 320. Perfis – Aker Firewall.A janela de perfis contém todos os perfis de acesso definidos no Firewall. Elaconsiste de uma lista onde cada perfil é mostrado em uma linha separada.O botão OK fará com que a janela de perfis seja fechada;O botão Aplicar enviará para o firewall todas as alterações feitas, porémmanterá a janela aberta;Para executar qualquer operação sobre um determinado perfil, deve-se clicar sobreele e a seguir clicar na opção correspondente na barra de ferramentas. As seguintesopções estão disponíveis:Figura 321. Janela de configuração de perfil (inserir e excluir).© Aker Security Solutions 485

Inserir perfil filho: Incluir um novo perfil que é filho do perfil atual, i.e.,estabelece uma hierarquia de perfis.Inserir: Permitir a inclusão de um novo perfil na lista.Copiar: Copiar o perfil selecionado para uma área temporária.Colar: Copiar o perfil da área temporária para a lista.Excluir: Remover da lista o perfil selecionado.Dica: Todas as opções mostradas acima podem ser executadas a partir da barra deferramentas, bem como a opção de relatório dos Perfis, todos localizados logoacima da lista. Neste caso, primeiro selecionam-se os itens para relatório, e emseguida indica o caminho e clique no botão Gerar.Relatório dos perfis: Gera relatório da lista de perfis em um documento HTML.Recomenda-se a não utilização de caracteres especiais (espaços, traços, sinais,acentos, aspas e etc..) na criação ou edição dos "perfis de acesso" do Firewall,exemplo: "Perfil Administração", a forma correta é "Perfil_Administracao”.Para excluir um perfil de acesso, ele não poderá estar associado a nenhumusuário (para maiores informações veja o tópico Associando Usuários com Perfisde Acesso)O perfil filho, criado com a opção Inserir perfil filho herdará automaticamente asconfigurações do perfil pai.Na parte superior de ambas as pastas se encontram o campo Nome, que servepara especificar o nome que identificará unicamente o perfil de acesso. Este nomeserá mostrado na lista de perfis e na janela de controle de acesso. Não podemexistir dois perfis com o mesmo nome.Cada perfil de acesso é composto de sete tópicos diferentes. Dependendo do tópicoselecionado em um momento, a parte direita da janela mudará de modo a mostraras diferentes opções. Os tópicos de configuração são:© Aker Security Solutions 486

23.3. RegrasFigura 322. Regras: regras de filtragem para o perfil de acesso.A pasta de regras permite especificar regras de filtragem para o perfil de acesso.Seu formato é exatamente igual à janela de regras de filtragem com a únicaexceção de que não se devem especificar entidades origem para a regra. Aquitambém é possível trabalhar com Políticas de Regras de Filtragem. (para maioresinformações, consulte o capítulo intitulado O Filtro de Estados).As regras de filtragem para os perfis de acesso consideram como origem amáquina na qual a sessão foi estabelecida. Devido a isso, é necessário apenasespecificar as entidades destino e serviços que podem ser acessados.© Aker Security Solutions 487

23.4. Regras SOCKSFigura 323. Perfis: Socks.A pasta de regras SOCKS permite especificar regras de filtragem para o acessoatravés do proxy SOCKS. Seu formato é exatamente igual à janela de regras defiltragem com a única exceção de que não se deve especificar entidades origempara a regra (para maiores informações, consulte o capítulo intitulado Filtro deEstados).As regras de filtragem para o proxy SOCKS consideram como origem a máquinana qual a sessão foi estabelecida. Devido a isso é necessário apenas especificar asentidades destino e serviços que podem ser acessados.© Aker Security Solutions 488

23.5. GeralFigura 324. Perfis: Geral.As opções gerais de filtragem são definidas pelos seguintes campos:Prioridade das Regras: Permite definir a prioridade entre as regras do perfil e asregras de seus perfis filhos.Configura a prioridade para as regras dos perfis filhos: Se esta opçãoestiver marcada, as regras dos perfis filhos irão aparecer acima das regrasdos perfis pais, isto é, elas terão prioridade sobre as regras do pai. Casocontrário, as regras do perfil pai terão prioridade sobre as regras dos seusperfis filhos. Ou seja, nos perfis filhos, as regras herdadas do pai irãoaparecer acima de suas regras.Horário padrão: Esta tabela define o horário padrão para as regras de filtragemWWW. Posteriormente, ao se incluir regras de filtragem WWW, existe a opção de seutilizar este horário padrão ou especificar um horário diferente.As linhas representam os dias da semana e as colunas as horas. Caso queria que aregra seja aplicável em determinada hora então o quadrado deve ser preenchido,caso contrário o quadrado deve ser deixado em branco. Para facilitar suaconfiguração, pode-se clicar com o botão esquerdo do mouse sobre um quadrado ea seguir arrastá-lo, mantendo o botão pressionado. Isto faz com que o a tabela sejaalterada na medida em que o mouse se move.© Aker Security Solutions 489

23.6. FTP e GOPHERFigura 325. Perfis: FTP e Gopher.A pasta de filtragem FTP e GOPHER permitem a definição de regras de filtragem deURLs para os protocolos FTP e Gopher. Ela consiste de uma lista onde cada regraé mostrada em uma linha separada.Na parte inferior da pasta existe um grupo que define a ação a ser executado caso oendereço que o cliente desejou acessar não se encaixe em nenhuma regra defiltragem. Este grupo é chamado de Ação padrão para o protocolo e consiste detrês opções.Permitir: Se esta opção for a selecionada, então o firewall aceitará as URLs quenão se enquadrarem em nenhuma regra.Bloquear: Se esta opção for a selecionada, então o firewall rejeitará as URLs quenão se enquadrarem em nenhuma regra.Para executar qualquer operação sobre uma determinada regra, basta clicar sobreela e a seguir clicar na opção correspondente na barra de ferramentas. As seguintesopções estão disponíveis:© Aker Security Solutions 490

Figura 326. Janela de acesso Perfis (inseir e desabilitar).Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiverselecionada, a nova será inserida na posição da regra selecionada. Casocontrário, a nova regra será incluída no final da lista.Excluir: Remover da lista a regra selecionada.Copiar: Copiar a regra selecionada para uma área temporária.Colar: Copiar a regra da área temporária para a lista. Se uma regra estiverselecionada, a nova será copiada para a posição da regra selecionada. Casocontrário ela será copiada para o final da lista.Desabilitar: Ativar ou desativar a regra selecionada na lista.Dica: A posição de cada regra pode ser alterada, bastando clicar e arrastar amesma para a nova posição desejada, soltando em seguida. Observe que o cursorde indicação do mouse irá mudar para uma mão segurando um bastão.A ordem das regras na lista de regras de filtragem é de fundamental importância.Ao receber uma solicitação de acesso a um endereço, o firewall pesquisará a lista apartir do início, procurando por uma regra na qual o endereço se encaixe. Tão logouma seja encontrada, a ação associada a ela será executada.Cada regra de filtragem consiste de uma operação, que indica que tipo de pesquisaserá feita e, o texto a ser pesquisado. As seguintes opções operação estãodisponíveis:CONTÉM: A URL deve conter o texto informado em qualquer posição.NÃO CONTÉM: A URL não pode conter o texto informado.É: O conteúdo da URL deve ser exatamente igual ao texto informado.NÃO É: O conteúdo da URL deve ser diferente do texto informado.COMEÇA COM: O conteúdo da URL deve começar com o texto informado.NÃO COMEÇA COM: O conteúdo da URL não pode começar com o textoinformado.TERMINA COM: O conteúdo da URL deve terminar com o texto informado.NÃO TERMINA COM: O conteúdo da URL não pode terminar com o textoinformado.EXPRESSÃO REGULAR: O campo a ser pesquisado deverá ser uma expressãoregular.Seguem as definições dos campos da janela:N: Número da regra de filtragem.© Aker Security Solutions 491

Limite de busca: Esse campo permite escolher em qual parte da URL será feito abusca, sendo que os parâmetros a serem pesquisados foram definidos no campoText Patterns.Padrões de texto: Ao clicar com o botão direito do mouse nesse campo, permiteselecionar uma entidade lista de padrões criada anteriormente. Com isso, serápossível associar a regra à uma entidade padrão de pesquisa, permitindo definirqual será a string ou os parâmetros que serão pesquisados na URL acessada equal operação a ser efetuada.Ação: Define a ação a ser executado caso o endereço que o usuário desejouacessar não se encaixe em nenhuma regra de filtragem. Consiste emduas opções.Permitir: Se esta opção for a selecionada, então o firewall aceitará as URLs quenão se enquadrarem em nenhuma regra.Bloquear: Se esta opção for a selecionada, então o firewall rejeitará as URLs quenão se enquadrarem em nenhuma regra.Categorias: Nesse campo, permite associar alguma entidade categoria à regra queestá sendo criada.Canal: Usado nas regras de filtragem com o objetivo de limitar a banda dedeterminados serviços, máquinas, redes e/ou usuários.Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gastos pelosfuncionários, com acesso à sites da WEB. Assim as quotas são os limites emtermos de tempo de acesso e volume de dados, por usuário. Nessa opção permiteassociar ao usuário alguma entidade quota criada.Time: Período em que a regra é aplicada. Dia da semana e horário. Exemplo:Permite definir que nas segundas-feiras e nas quartas-feiras o usuário terá acesso ainternet somente das 12:00 às 14:00.Período de Validade: Período de validade e aplicação da regra. É definido em mêse ano.© Aker Security Solutions 492

23.7. HTTP/HTTPSAba GeralFigura 327. Geral: HTTP e HTTPS.Bloquear: Este campo define as opções de bloqueio em sites WWW. São elas:URLs com endereço IP: Se esta opção estiver marcada, não será permitido oacesso a URLs com endereços IP ao invés de nome (por exemplo,http://10.0.1.6), ou seja, somente será possível se acessar URLs por nomes.Caso tenha configurado o Filtro Web para fazer filtragem de URLs, deve-seconfigurar esta opção de modo que o usuário não possa acessar através deendereços IP, caso contrário, mesmo com o nome bloqueado, o usuário continuarápodendo acessar a URL através de seu endereço IP. É possível acrescentarendereços IP nas regras de filtragem WWW do perfil (caso queria realizar filtragemcom esta opção ativa), entretanto, devido a estes sofrerem mudanças e ao fato demuitos servidores terem mais de um endereço IP, isto se torna extremamente difícil.Por outro lado, muitos administradores percebem que sites mal configurados(especialmente os de webmail) utilizam redirecionamento para servidores pelo seuendereço IP, de forma que, com esta opção desmarcada, tais sites ficaminacessíveis.Java, Javascript e Activex: Este campo permite definir uma filtragem especialpara páginas WWW, bloqueando, ou não, tecnologias consideradas perigosas ou© Aker Security Solutions 493

incômodas para alguns ambientes. Ela possui quatro opções que podem serselecionadas independentemente: Javascript, Java e ActiveX.A filtragem de Javascript, Java e ActiveX é feita de forma com que a páginafiltrada seja visualizada como se o browser da máquina cliente não tivesse suportepara a(s) linguagem(ns) filtrada(s). Em alguns casos, isto pode fazer com que aspáginas percam sua funcionalidade.Bloqueio de Banners: Esta opção realiza o bloqueio de banners publicitáriosem páginas Web. Caso ela esteja marcada, o firewall substituirá os banners porespaços vazios na página, diminuindo o seu tempo de carga.Uma vez configurado que se deve realizar o bloqueio, o mesmo será feito atravésde regras globais, iguais para todos os perfis. Para configurar estas regras debloqueio de banners, basta:Figura 328. Janela de acesso: Bloqueio de Banners.Clicar no menu Aplicação da janela principal.Selecionar o item Bloqueio de banners.© Aker Security Solutions 494

A janela abaixo irá ser mostrada:Figura 329. Bloquei de Banners (URL de banners).Esta janela é formada por uma série de regras no formado de expressão regular.Caso uma URL se encaixe em qualquer regra, a mesma será considerada umbanner e será bloqueada.A pasta de filtragem HTTP/HTTPS permite a definição de regras de filtragem deURLs para os protocolos HTTP/HTTPS. Ela consiste de uma lista onde cada regra émostrada em uma linha separada.O protocolo HTTPS, para a URL inicial é filtrado como se fosse o protocolo HTTP.Além disso, uma vez estabelecida à comunicação não é mais possível para ofirewall filtrar qualquer parte de seu conteúdo, já que a criptografia é realizadadiretamente entre o cliente e o servidor.© Aker Security Solutions 495

Aba Filtro de URLFigura 330. Perfis: bloqueio de URL.Na parte inferior da pasta existe um grupo que define a ação a ser executado caso oendereço que o cliente desejou acessar não se encaixe em nenhuma regra defiltragem. Este grupo é chamado de Ação padrão para o protocolo e consiste detrês opções.Permitir: Se esta opção for a selecionada, então o firewall aceitará as URLs quenão se enquadrarem em nenhuma regra.Bloquear: Se esta opção for a selecionada, então o firewall rejeitará as URLs quenão se enquadrarem em nenhuma regra.Para executar qualquer operação sobre uma determinada regra, basta clicar sobreela e a seguir clicar na opção correspondente na barra de ferramentas. As seguintesopções estão disponíveis:Figura 331. Barra de ferramentas (inserir ou desabilitar).© Aker Security Solutions 496

Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiverselecionada, a nova será inserida na posição da regra selecionada. Casocontrário, a nova regra será incluída no final da lista.Excluir: Remover da lista a regra selecionada.Copiar: Copiar a regra selecionada para uma área temporária.Colar: Copiar a regra da área temporária para a lista. Se uma regra estiverselecionada, a nova será copiada para a posição da regra selecionada. Casocontrário ela será copiada para o final da lista.Desabilitar: Ativar ou desativar a regra selecionada na lista.Dica: A posição de cada regra pode ser alterada, bastando clicar e arrastar amesma para a nova posição desejada, soltando em seguida. Observe que o cursorde indicação do mouse irá mudar para uma mão segurando um bastão.A ordem das regras na lista de regras de filtragem WWW é de fundamentalimportância. Ao receber uma solicitação de acesso a um endereço, o firewallpesquisará a lista a partir do início, procurando por uma regra na qual o endereço seencaixe. Tão logo uma seja encontrada, a ação associada a ela será executada.Cada regra de filtragem consiste de uma operação, que indica que tipo de pesquisaserá feita e, o texto a ser pesquisado. As seguintes opções operação estãodisponíveis:CONTÉM: A URL deve conter o texto informado em qualquer posição.NÃO CONTÉM: A URL não pode conter o texto informado.É: O conteúdo da URL deve ser exatamente igual ao texto informado.NÃO É: O conteúdo da URL deve ser diferente do texto informado.COMEÇA COM: O conteúdo da URL deve começar com o texto informado.NÃO COMEÇA COM: O conteúdo da URL não pode começar com o textoinformado.TERMINA COM: O conteúdo da URL deve terminar com o texto informado.NÃO TERMINA COM: O conteúdo da URL não pode terminar com o textoinformado.EXPRESSÃO REGULAR: O campo a ser pesquisado deverá ser uma expressãoregular.Seguem as definições dos campos da janela:N: Número da regra de filtragem.Limite de busca: Esse campo permite escolher em qual parte da URL será feitoa busca, sendo que os parâmetros a serem pesquisados foram definidosno campo Text Patterns.Padrões de texto: Ao clicar com o botão direito do mouse nesse campo, permiteselecionar uma entidade lista de padrões criada anteriormente. Com isso, serápossível associar a regra à uma entidade padrão de pesquisa, permitindo definirqual será a string ou os parâmetros que serão pesquisados na URL acessadae qual operação a ser efetuada.Ação: Define a ação a ser executado caso o endereço que o usuário desejouacessar não se encaixe em nenhuma regra de filtragem. Consiste emduas opções.© Aker Security Solutions 497

Permitir: Se esta opção for a selecionada, então o firewall aceitará as URLs quenão se enquadrarem em nenhuma regra.Bloquear: Se esta opção for a selecionada, então o firewall rejeitará as URLsque não se enquadrarem em nenhuma regra.Categorias: Nesse campo, permite associar alguma entidade categoria à regraque está sendo criada.Canal: Usado nas regras de filtragem com o objetivo de limitar a banda dedeterminados serviços, máquinas, redes e/ou usuários.Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gastospelos funcionários, com acesso à sites da WEB. Assim as quotas são oslimites em termos de tempo de acesso e volume de dados, por usuário. Nessaopção permite associar ao usuário alguma entidade quota criada.Time:Período em que a regra é aplicada. Dia da semana e horário. Exemplo:Permite definir que nas segundas-feiras e nas quartas- feiras o usuárioterá acesso a internet somente das 12:00 às 14:00.Período de Validade: Período de validade e aplicação da regra. É definido emmês e ano.Aba Arquivos BloqueadosFigura 332. Perfis: Arquivos bloqueados.© Aker Security Solutions 498

Especificar os arquivos que serão bloqueados pelo perfil juntamente com o FiltroWeb.É possível utilizar dois critérios complementares para decidir se um arquivotransferido deve ser bloqueado: a extensão do arquivo ou seu tipo MIME. Se umdestes critérios for atendido, em outras palavras, se a extensão do arquivo estiverentre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entreaqueles a serem bloqueados, então o arquivo deverá ser bloqueado pelo firewall.O tipo MIME é usado para indicar o tipo de dado que está no corpo de uma respostaem um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipoe o segundo indica o subtipo. O navegador usa esta informação para decidir comomostrar a informação que ele recebeu do mesmo modo como o sistema operacionalusa a extensão do nome do arquivo.Sites Excluídos:Deve-se escolher a operação e o texto a ser incluído para análise. Sites que seenquadrarem na lista de excluídos não serão analisados.As escolhas dos operadores podem ser vistas abaixo:Figura 333. Escolhas de operadores.© Aker Security Solutions 499

URL Bloqueada:Permitir a configuração de qual ação deve ser executada pelo firewall quando umusuário tentar acessar uma URL não permitida. Ela consiste das seguintes: opções:Mostra mensagem padrão ao bloquear URL: Ao selecionar essa opção, ofirewall mostrará uma mensagem de erro informando que a URL que setentou acessar se encontra bloqueada.Redireciona URL bloqueada: Ao selecionar essa opção, o firewallredirecionará todas as tentativas de acesso a URLs bloqueadas para umaURL especificada pelo administrador. Nesse caso, deve-se especificar a URLpara quais os acessos bloqueados serão redirecionados (sem o prefixohttp://) no campo abaixo.Mostrar: Essa opção permite definir a página que será mostrada ao usuário,quando a tentativa de acesso a uma URL for bloqueada. Então pode-se optarem mostrar a página padrão ou redirecionar para a página escolhida, queserá personalizada de acordo com os chekboxs selecionados. Segue abaixoa descrição de cada opção e o detalhamento das variáveis criadas.Cada um desses checkbox selecionado, é um parâmetro. Isso é utilizado paraidentificar aonde e porque a página foi bloqueada, por exemplo, se a páginafoi bloqueada porque caiu em alguma categoria, passar por parâmetro qual acategoria que causou o bloqueio da página.Domínio: Ao selecionar essa opção será mostrada o domínio da URL.Exemplo: Na url www.aker.com.br, o seu domínio seria aker.com.br.Ao selecionar o domínio, é criada a variável domain.Método: Informa qual o método utilizado pelo protocolo HTTP. Ex: GET, PUT,POST. Ao selecionar o Método é criada a variável method.Nome do Perfil: Nome dado, pelo usuário, ao perfil escolhido. Ao selecionaressa opção é criada a variável perfil.Ip do usuário: Endereço IP do usuário que tentou acessar a URL que foibloqueada. Ao selecionar o Método é criada a variável ip.Razões: Ao selecionar a Razão é criada a variável reason. Ao habilitar essaopção será mostrada a razão do bloqueio do site. Por exemplo, temos asseguintes razões:"categoria da URL","regra de bloqueio","quota bytes excedidos","quota bytes insuficientes","quota tempo excedido",© Aker Security Solutions 500

"tipo de objeto nao permitido","tipo de arquivo nao permitido globalmente","tipo de arquivo nao permitido no perfil","connect para a porta especificada nao permitido"Nome da Categoria: Nome da Categoria que a URL foi associada. Aoselecionar a Categoria é criada a variável cats.Nome do Usuário: Nome do usuário que tentou acessar a URL. Aoselecionar o nome do usuário é criada a variável user.Número da regra: Número da Regra de Filtragem que a URL se enquadrou.Ao selecionar o número da regra é criada a variável rule.Site da URL bloqueado: Mostra a URL que o usuário tentou acessar e foibloqueada. Ao selecionar o Site da URL bloqueado é criada a variável url.No preview, aparece como será a URL e o que será enviado via método GET.© Aker Security Solutions 501

23.8. Secure RoamingAba ConfiguraçãoFigura 334. Perfis: Security Roaming.Essa pasta permite que sejam configuradas as opções de acesso do SecureRoaming que variam de acordo com as permissões do cliente que está conectado.Para as demais configurações, veja o capítulo Configurações do SecureRoaming.Permite Secure Roaming: Habilita a fazer uso do secure roaming doFirewall.Permite o envio de pacotes broadcast aos clientes: Pacotes broadcastsão utilizados por protocolos que precisam, em algum ponto de seufuncionamento, uma comunicação entre um hosts e todos os outros deuma sub-rede de modo eficiente. Esse é o caso do protocolo Netbiossobre IP. Infelizmente, o abuso no uso desse tipo de pacote pode causar ocongestionamento de um link lento, como uma conexão dial-up.Alterar o gateway padrão durante a sessão VPN: Ao alterar a rotapadrão dos hosts que se conectam via Secure Roaming, eles passam a© Aker Security Solutions 502

não conseguir acessar outros destinos na Internet sem passar por dentroda rede com os endereços virtuais do Secure Roaming. Isso significa que,para conexões bidirecionais, eles ficam protegidos pelo firewallcoorporativo e também sujeitos às políticas nele definidas.Servidores DNS: Configura até três servidores DNS a serem usadosdurante a sessão criptográfica. Usado para o caso de haver um servidorde DNS interno na corporação.Servidores WINS: Configura até três servidores WINS a serem usadosdurante a sessão criptográfica. Da mesma forma, essa configuração seráútil no caso de a corporação usar servidores WINS internos. É ignoradapelos clientes que não sejam Windows.Domínio: Acrescenta um domínio às configurações de nomes da máquinacliente durante a sessão criptográfica. Geralmente usado em conjuntocom a alteração dos servidores DNS.Rotas: Durante a sessão do cliente, algumas rotas podem sernecessárias para acessar diversos serviços da rede interna. Elas secadastram uma a uma nesse campo.© Aker Security Solutions 503

Aba Conjunto de EndereçosFigura 335. Perfis: Security Roaming (conjunto de endereços).Permite definir um IP ou um range de IPs aos clientes que se conectarem aoFirewall e estiverem vinculados a este perfil. Caso não tenha uma configuraçãonesta “Aba”, será utilizado as configurações padrões do Secure Roaming.© Aker Security Solutions 504

23.9. VPN SSL (Proxy SSL)Figura 336. Perfis: VPN-SSL (Proxy SSL).Esta pasta permite configurar os serviços para que possam ser acessados atravésde Proxy SSL e/ou VPN SSL pelos usuários que se enquadrarem neste perfil deacesso. Seu formato é exatamente igual à janela de regras de filtragem com asexceções de que não se deve especificar entidades origem para a regra e de quenem todas as opções estão disponíveis (acumulador, canal, etc). Aqui também épossível trabalhar com Políticas de Regras de Filtragem. (para maiores informações,consulte o capítulo intitulado O Filtro de Estados).N.: Número da regra de filtragem.Destino: Nesta coluna pode-se controlar o destino da conexão.Serviços: Permite indicar a porta de comunicação do protocolo.Tipo: Indica o tipo de conexão SSL. Pode ser direta ou por meio do applet.A conexão direta é denominada Proxy Reverso SSL, que possibilita a utilização decertificados X.509 com tamanhos de chaves 1024, 2048 ou 4096 bits. O Cliente abreuma conexão SSL com o Firewall e o Firewall abre uma conexão normal com oservidor.© Aker Security Solutions 505

Figura 337. Conexão Direta: Proxy Reverso SSL.Na conexão via applet o cliente abre uma conexão via SSL com o Firewall por meiode uma página WEB. O Firewall disponibiliza um applet de redirecionamento que ocliente irá baixá-lo em sua máquina. Esse applet inicia uma conexão com o Firewallvia SSL e o Firewall inicia uma conexão com o servidor.Figura 338. Conexão Via Apllet.Figura 339. Conexão Cliente Applet / SSL / Normal.© Aker Security Solutions 506

Serviço de Bind: Permite indicar a porta de comunicação onde o applet (dará umbind) iniciará o serviço. Para isso deve-se inserir uma ou mais entidades do tiposerviço.Ação: Este campo define qual a ação a ser tomada para todos os pacotes que seencaixem nesta regra. Ela consiste nas seguintes opções:Aceita: Autorizar os pacotes, que encaixaram na regra, a passarematravés do firewall;Rejeita: Impedir a passagem pelo firewall, dos pacotes que se encaixaramnesta regra. Assim será enviado um pacote ICMP para a máquina deorigem do pacote dizendo que o destino é inatingível. Esta opção nãofunciona para alguns tipos de serviço ICMP, devido a uma característicainerente a este protocolo.Log: Definir quais tipos de ações serão executadas pelo sistema quando um pacotese encaixar na regra. Ele consiste em várias opções que podem ser selecionadasindependentemente uma das outras.Hora: Definir as horas e dias da semana em que a regra será aplicável. As linhasrepresentam os dias da semana e as colunas representam as horas. Caso queiraque a regra seja aplicável em determinada hora o quadrado deve ser preenchido,caso contrário o quadrado deve ser deixado em branco.As regras de filtragem para os perfis de acesso consideram como origem amáquina na qual a sessão foi estabelecida. Devido a isso é necessário apenasespecificar as entidades destino e serviços que podem ser acessados.© Aker Security Solutions 507

23.10. MSN MessengerFigura 340. Perfis – MSN Messenger.Essa pasta permite configurar as opções de uso do MSN Messenger e seusserviços. Para mais informações, veja o capítulo Configurando o Proxy MSN. Asseguintes opções estão disponíveis:Permite Messenger: Se esta opção estiver desmarcada, os usuários quepertencerem a este perfil não poderão acessar o Messenger, mesmo que existauma regra de filtragem permitindo este acesso.É fundamental que o tipo mime do Messenger esteja bloqueado no proxy HTTP,caso contrário poderá ser possível acessar o Messenger através deste serviço. Estaopção de bloqueio já vem configurada como padrão, mas é importante atentar a issocaso se realize configurações no proxy HTTP.Não Filtrado: Esta opção só estará disponível caso a caixa Permite Messengeresteja ativa. Ela indica que o usuário poderá usar MSN Messenger, sem nenhumtipo de filtragem (ex: tempo de conversação, etc.).Filtrado: Esta opção só estará disponível caso a caixa Permite Messenger estejaativa. Ela indica que o usuário poderá usar o MSN Messenger, porém de formacontrolada, ou seja, definida através das regras de filtragem para este serviço.© Aker Security Solutions 508

Permite notificações do Hotmail: Esta opção (que só estará ativa caso o acessofiltrado ao MSN Messenger tenha sido selecionado) permite que o usuário recebanotificações de mensagens disponíveis no Hotmail.Incluir conversas nos registros de log: Esta opção registrará todas as conversasentre os usuários.Bloquear versão: Estas opções permitem que sejam bloqueadas as versõesespecíficas do cliente MSN Messenger.Caso tenha selecionado a opção de acesso controlado ao Messenger, é necessáriocriar uma ou mais regras para definir que tipo de acesso será permitido. Paraexecutar qualquer operação sobre uma regra, basta clicar sobre ela com o botãodireito e a seguir escolher a opção desejada no menu que irá aparecer. Asseguintes opções estão disponíveis:Figura 341. Menu (inserir/desabilitar) para executar qualquer operação sobre a regra.Inserir: Permitir a inclusão de uma nova regra na lista.Excluir: Remover da lista a regra selecionada.Copiar: Copiar a regra selecionada para uma área temporária.Colar: Copiar a regra da área temporária para a lista.Desabilitar: Ativar ou desativar a regra selecionada na lista.Cada regra MSN consiste das seguintes opções:Origem: Endereço de e-mail do usuário que enviou a mensagem, ou seja queiniciou a conversa.Destino: Nesta coluna pode-se controlar com quem os usuários internos irãoconversar, para isso deve-se inserir uma ou mais entidades do tipo Lista de e-mails(para maiores informações veja o capítulo (Cadastrando entidades), contendo alista de e-mails ou domínios liberados.Tipos de Arquivos Permitidos: Nesta coluna pode-se definir que tipos de arquivospodem ser enviados/recebidos através do Messenger. Para isso deve-se inserir umaou mais entidades do tipo Lista de Tipo de Arquivo (para maiores informações veja ocapítulo Cadastrando entidades), contendo a lista de tipos de arquivos permitidos.Serviços Permitidos: Nesta coluna pode-se especificar quais serviços adicionaispodem ser utilizados através do Messenger. A definição dos tipos de serviços© Aker Security Solutions 509

possíveis é feita dentro da configuração do proxy MSN. Para maiores informaçõesveja o capítulo Configurando o proxy MSN.Log: Se estiver marcado, informação sobre as conversas de todos os usuáriosserão registradas. Os seguintes dados estarão disponíveis no log: logon/logoff deusuário, transferência de arquivos, utilização de serviço adicional e início e fim deconversa.Pastas compartilhadas: Nesta opção opta por permitir ou não que o usuáriocompartilhe pastas no MSN.Tabela de Horários: Horário em que o usuário poderá utilizar o serviço Messenger,dividido nas 24 horas do dia. Caso seja desejado é possível copiar o horário padrãodo perfil de acesso, clicando-se com o botão direito sobre a tabela de horários eselecionando-se a opção Usar tabela de horário padrão do perfil.Ação: Define a ação a ser executado caso o endereço que o usuário desejouacessar não se encaixe em nenhuma regra de filtragem. Consiste em duas opções.Permitir: Se esta opção for a selecionada, então o firewall aceitará as URLs quenão se enquadrarem em nenhuma regra.Bloquear: Se esta opção for a selecionada, então o firewall rejeitará as URLs quenão se enquadrarem em nenhuma regra.Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gasto pelosfuncionários, com acesso à sites da WEB. Assim as quotas são os limites emtermos de tempo de acesso e volume de dados, por usuário. Nessa opção permiteassociar ao usuário alguma entidade quota criada.© Aker Security Solutions 510

23.11. Filtros de AplicaçãoFigura 342. Perfis: Filtragem de aplicação.Essa pasta permite configurar as regras para filtros de aplicação. Estas regraspermitem, por exemplo, que determinados tipos de arquivos sejam bloqueados deacordo com seu tipo real, independentemente de sua extensão ou protocolo queesteja sendo utilizado para enviá-los. É possível também ao invés de bloquear,simplesmente mudar a prioridade de um serviço ou tipo de arquivo sendotransmitido.Uma das grandes utilizações destes filtros é para otimizar o acesso à Internet. Épossível, por exemplo, que todos os usuários tenham um acesso rápido a Internet,porém quando estes tentarem baixar arquivos cujos tipos não sejam consideradosimportantes, i.e, mp3, vídeos, etc, a conexão sendo utilizada para transferir estesarquivos automaticamente fique com uma largura de banda bastante reduzida.Para executar qualquer operação sobre uma regra, basta clicar sobre ela com obotão direito e a seguir escolher a opção desejada no menu que irá aparecer. Asseguintes opções estão disponíveis:Figura 343. Menu (inserir/desabilitar) para executar qualquer operação sobre a regra.© Aker Security Solutions 511

Inserir: Permitir a inclusão de uma nova regra na lista.Excluir: Remover da lista a regra selecionada.Copiar: Copiar a regra selecionada para uma área temporária.Colar: Copiar a regra da área temporária para a lista.Desabilitar: Ativar ou desativar a regra selecionada na lista.Cada regra consiste dos seguintes campos:Destino: Especificar os destinos da comunicação que o filtro estará inspecionando,para isso deve-se inserir uma ou mais entidades do tipo máquinas, redes ouconjuntos (para maiores informações veja o capítulo Cadastrando entidades).Serviço: Especificar os serviços da comunicação que o filtro estará inspecionando,para isso deve-se inserir uma ou mais entidades do tipo serviço (para maioresinformações veja o capítulo Cadastrando entidades).Filtros de Aplicação: Indicar quais os filtros que estarão ativos para as conexõesque forem em direção a um dos destinos especificados na regra e utilizando um dosserviços também especificados. A definição dos filtros é feita na janela de Filtragemde Aplicações. Para maiores informações veja o capítulo Configurando Filtragemde Aplicações.Ação: Esta coluna indica a ação que será tomada pelo firewall caso um dos filtrosespecificados seja aplicado. Ela consiste das seguintes opções:Aceita: Significa que a conexão será autorizada a passar através do firewall.Rejeita: Significa que a conexão não passará pelo firewall e será enviado umpacote de reset para a máquina originária da comunicação.Descarta: Significa que a conexão não passará pelo firewall, mas não será enviadonenhum pacote para a máquina de origem.Mudar prioridade: Indica que a conexão será aceita, porém com uma prioridadediferente, que deverá ser especificada na coluna Canal.Bloqueia origem: Indica que a máquina que originou a conexão deverá serbloqueada por algum tempo (isso significa que todas as conexões originadas nelaserão recusadas). A coluna Tempo de Bloqueio serve para especificar por quantotempo a máquina permanecerá bloqueada.Canal: Esta coluna só estará habilitada caso a ação Mudar prioridade tenha sidoselecionada. Ela indica qual a nova prioridade que será atribuída à conexão. Deveseinserir uma entidade do tipo canal (para maiores informações veja o capítuloCadastrando entidades).Tempo de bloqueio: Esta coluna só estará habilitada caso a ação Bloqueiaorigem tenha sido selecionada. Ela indica por quanto tempo a máquina origem serábloqueada.© Aker Security Solutions 512

23.12. Associando Usuários com Perfis de AcessoUma vez que os perfis de acesso estão criados, torna-se necessário associá-loscom usuários e grupos de um ou mais autenticadores ou autoridades certificadorasdo firewall. Isto é feito através da janela de controle de acesso.Para ter acesso a janela de controle de acesso deve-se:Figura 344. Janela de acesso: Autentição.Clicar no menu Configurações do Firewall da janela principal.Selecionar o item Autenticação.Selecionar a pasta Controle de Acesso.© Aker Security Solutions 513

A pasta de Controle de AcessoFigura 345. Autenticação: Controle de acesso.A janela de controle de acesso permite que seja criada a associação deusuários/grupos com um perfil de acesso.Na parte inferior da janela existe um campo chamado Perfil Padrão onde se podeselecionar o perfil que será associado aos usuários que não se enquadrem emnenhuma regra de associação.A última coluna, quando preenchida, especifica redes e máquinas onde aassociação é válida. Se o usuário se encaixar na regra, mas estiver em umendereço IP fora das redes e máquinas cadastradas, então a regra será pulada,permitindo a atribuição de outro perfil ao usuário. Esse tipo de restrição é muito útilpara permitir acesso à áreas sensíveis da rede apenas de alguns locais físicos comsegurança aumentada.Para associar um usuário ou grupo com um determinado perfil de acesso, deve-seproceder da seguinte maneira:1. Clicar com o botão direito do mouse na lista de regras e selecionar a opçãoInserir;© Aker Security Solutions 514

2. Selecionar o autenticador do qual se deseja obter a lista de usuários ou grupos,clicando-se com o botão direito no campo Autenticador. Para maioresinformações sobre os autenticadores, veja o capítulo intitulado Configurandoparâmetros de autenticação.3. Clicar com o botão direito sobre o campo Usuário/Grupo e selecionar entrelistagem de usuários ou grupos e sua lista será montada automaticamente apartir do autenticador selecionado. A partir da lista selecionar o usuário ou grupodesejado.Figura 346. Menu de escolha do usuário.4. Clicar com o botão direito sobre o campo Perfil para selecionar o perfil desejado,conforme o menu abaixo:Figura 347. Menu de escolha do perfil.5. Caso deseje, arraste algumas entidades máquina, rede ou conjuntos para ocampo entidades. Se o usuário estiver fora dessas entidades, a regra serápulada.© Aker Security Solutions 515

Para remover uma regra entre um usuário/grupo e um perfil, deve-se proceder daseguinte maneira:1. Clicar na regra a ser removida, na lista da janela.2. Clicar no botão Apagar.Para alterar a posição de uma regra dentro da lista, deve-se proceder da seguinteforma:1. Clicar na regra a ser movida de posição.2. Arrastar para a posição desejada.A ordem das associações na lista é de fundamental importância. Quando umusuário se autenticar, o firewall pesquisará a lista a partir do início procurando pelonome desse usuário ou por um grupo de que ele faça parte. Tão logo um dessesseja encontrado, o perfil associado ao mesmo será utilizado.A aba Controle de Acesso por IPFigura 348. Controle de acesso por IP.© Aker Security Solutions 516

O firewall pode controlar os acessos por intermédio de endereços IP conhecidosjuntamente com perfis criados para este fim. Basta o administrador cadastrar a redeconhecida e arrastar para a posição Entidades de Origem, em seguida incluir nacoluna Perfil o perfil ou perfis necessários na regra.A caixa Ativar controle de acesso por endereço IP origem deverá estarmarcada para que o firewall use esta facilidade.© Aker Security Solutions 517

Autenticação de Usuários© Aker Security Solutions 518

24. Autenticação de UsuáriosEste capítulo mostrará o que é o Cliente de Autenticação Aker e para que serveessa ferramenta que propicia grande nível de segurança.24.1. Visualizando e Removendo Usuários Conectados no FirewallÉ possível visualizar a qualquer momento os usuários que possuem sessãoestabelecida com o firewall, através do cliente de autenticação, e remover umadestas sessões. Isto é feito através da janela de usuários logados.Para ter acesso a janela de usuários logados deve-se:Figura 349. Janela de acesso: usuários conectados.Clicar no menu Informação da janela de administração do firewall.Selecionar Usuários Conectados.© Aker Security Solutions 519

A janela de Usuários ConectadosFigura 350. Usuários conectados (máquina, nome, domínio, perfil, inicio, TPC e nº de usuáriosconectados.)Esta janela consiste de uma lista com uma entrada para cada usuário. Na parteinferior da janela é mostrada uma mensagem informando o número total de usuárioscom sessões estabelecidas um determinado instante. Para os usuários logados viaSecure Roaming, serão mostrados também os dados da conexão (endereço IP eportas) junto com o estado de estabelecimento da mesma.O botão OK faz com que a janela de usuários seja fechada.O botão Cancelar fecha a janela.A caixa Itens selecionados no topo coloca os itens que foram selecionadospara o topo da janela de usuários conectados.Barra de Ferramentas de Usuários Conectados:Figura 351. Barra de ferramentas: usuários conectados.© Aker Security Solutions 520

O botão Atualiza faz com que as informações mostradas sejam atualizadasperiodicamente de forma automática ou não. Clicando-se sobre ele, alterna-seentre os dois modos de operação. O intervalo de atualização pode serconfigurado mudando-se o valor logo a direita deste campo.O botão Buscar, localizado na barra de ferramentas, permite remover umasessão de usuário. Para tal deve-se primeiro clicar sobre a sessão que desejaremover e a seguir clicar neste botão (ele estará desabilitado enquanto nãoexistir nenhuma sessão selecionada).O botão DNS, localizado na barra de ferramentas, acionará o serviço de nomes(DNS) para resolver os nomes das máquinas cujos endereços IPs aparecemlistados. Cabem ser observados os seguintes pontos:1. A resolução de nomes muitas vezes é um serviço lento e, devido a isso, atradução dos nomes é feita em segundo plano.2. Muitas vezes, devido a problemas de configuração do DNS reverso (que éo utilizado para resolver nomes a partir de endereços IP), não serápossível a resolução de certos endereços. Neste caso, os endereços nãoresolvidos serão mantidos na forma original e será indicado ao seu ladoque eles não possuem DNS reverso configurado.É possível ordenar a lista das sessões por qualquer um de seus campos,bastanto para isso clicar no título do campo. O primeiro click produzirá umaordenação ascendente e o segundo uma ordenação descendente.Significado dos campos de uma sessão de usuário ativaCada linha presente na lista de sessões de usuários representa uma sessão. Osignificado de seus campos é mostrado a seguir:Ícone: É mostrado a esquerda do nome de cada usuário e pode assumir três formasdistintas:Cadeado: Este ícone indica que o usuário se logou através do cliente de criptografiaapenas.Usuário: Este ícone indica que o usuário se logou através do cliente deautenticação apenas.Usuário dentro do cadeado: Este ícone indica que o usuário se logou através docliente de autenticação e de criptografia.Máquina: Endereço IP ou nome (caso o DNS esteja ativo) da máquina na qual asessão foi estabelecida.Nome: Nome do usuário que estabeleceu a sessão.Domínio: Nome do domínio, i.e. autenticador, no qual o usuário se autenticou. Casoo usuário não tenha especificado domínio ao se logar, este campo aparecerá embranco.© Aker Security Solutions 521

Perfil: Qual o perfil de acesso correspondente a esta sessão. Se este campo estáem branco, o usuário se autenticou antes de a tabela de perfis ser alterada, deforma que ele está utilizando um perfil que não existe mais.Início: Hora de abertura da sessão.24.2. Utilizando a Interface TextoA interface texto para acesso à lista de usuários logados possui as mesmascapacidades da interface gráfica e é simples de ser utilizado. Ele é o mesmoprograma que produz a lista de conexões ativas TCP e UDP, mostradoanteriormente.Localização do programa: /aker/bin/firewall/fwlistSintaxe:Uso: fwlist ajudafwlist mostra [[-w] [TCP]] | [UDP] | [sessoes]fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destinofwlist remove sessao IP_origemAjuda do programa:Firewall Aker - Versão 6.5fwlist - Lista e remove conexoes TCP/UDP e sessoes ativasUso: fwlist ajudafwlist mostra [[-w] [TCP]] | [UDP] | [sessoes]fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destinofwlist remove sessao IP_origemajuda = mostra esta mensagemmostra = lista as conexoes ou sessoes ativasremove = remove uma conexao ou sessao ativaExemplo 1: (listando as sessões de usuários logados no firewall)#fwlist mostra sessoesNome/Dominio Perfil IP origem Inicio-------------------------------------------------------------------------------administrador/BSB Admin 10.20.1.1 08:11:27jose.silva/GOA Padrao5 10.45.1.1 07:39:54joao.souza/POA Padrao3 10.57.1.1 07:58:10josemaria/GRU Padrao3 10.78.1.1 08:01:02angelam/BSB 1 Restrito 10.22.1.1 08:48:31marciam/POA Restrito 10.235.1.1 10:49:44© Aker Security Solutions 522

antonioj/POA Especial 10.42.2.1 06:02:19operador/BSB Padrao 10.151.2.1 20:44:34Exemplo 2: (removendo a sessão do usuário logado a partir da máquina 10.19.1.1)#fwlist remove sessao 10.19.1.1A remoção da sessão foi solicitada ao servidor de usuários.© Aker Security Solutions 523

Configurando o Proxy SMTP© Aker Security Solutions 524

25. Configurando o Proxy SMTPEste capítulo mostrará quais as funções oferecidas pelo proxy SMTP e comorealizar sua configuração.O que é o proxy SMTP?O proxy SMTP é um programa especializado do Aker Firewall feito para trabalharcom correio eletrônico (SMTP é um anagrama para Simple Mail Transfer Protocol,que é o nome completo do serviço de transferência de correio eletrônico naInternet). Este proxy possibilita que sejam realizadas filtragens de e-mails baseadasem seu conteúdo ou em qualquer campo de seu cabeçalho. Ele também atua comouma barreira protegendo o servidor SMTP contra diversos tipos de ataques.Ele é um proxy transparente (para maiores informações veja o capítulo intituladoTrabalhando com proxies), desta forma, nem o servidor nem o cliente sabem desua existência.Descrição de uma mensagem SMTPPara entender o funcionamento da filtragem de campos do proxy SMTP, énecessário algumas informações sobre as mensagens de correio eletrônico.Uma mensagem de e-mail é formada por três partes distintas: envelope, cabeçalhoe corpo. Cada uma destas partes possui um papel específico:EnvelopeO envelope é chamado desta forma por ser análogo a um envelope de uma cartacomum. Nele se encontram as informações do emissor e dos destinatários deuma mensagem. Para cada recipiente de um domínio diferente é gerado umnovo envelope. Desta forma, um servidor SMTP recebe no envelope de umamensagem o nome de todos os recipientes da mensagem que se encontram noseu domínio.O envelope não é visto pelos destinatários de uma mensagem. Ele somente éusado entre os servidores SMTP.CabeçalhoNo cabeçalho da mensagem se encontram informações sobre a mensagem,como o assunto, data de emissão, nome do emissor, etc. O cabeçalhonormalmente é mostrado ao destinatário da mensagem.Corpo© Aker Security Solutions 525

O corpo é composto pela mensagem propriamente dita, da forma com que foiproduzida pelo emissor.Ataques contra um servidor SMTPExistem diversos ataques passíveis de serem realizados contra um servidor SMTP.São eles:Ataques explorando bugs de um servidorNeste caso, o atacante procura utilizar um comando ou parâmetros de umcomando que conhecidamente provocam falhas de segurança.O proxy SMTP do Aker Firewall impede estes ataques na medida em que sópermite a utilização de comandos considerados seguros e validando osparâmetros de todos os comandos.Ataques explorando estouro de áreas de memória (buffer overflows)Estes ataques consistem em enviar linhas de comando muito grandes, fazendocom que um servidor que não tenha sido corretamente desenvolvido apresentefalhas de segurança.O proxy SMTP do Aker Firewall impede estes ataques na medida em que limitamo tamanho máximo das linhas de comando que podem ser enviadas para oservidor.Ataques de relayEstes ataques consistem em utilizar o servidor SMTP de terceiros para enviarsuas mensagens de correio eletrônico. Desta forma, utiliza-se os recursoscomputacionais que deveriam estar disponíveis para requisições válidas.O proxy SMTP do AkerFirewall impede ataques de relay desde que corretamenteconfigurado.Utilizando o proxy SMTPPara se utilizar o proxy SMTP em uma comunicação, é necessário executar umaseqüência de 2 passos:1. Criar um serviço que será desviado para o proxy SMTP e editar osparâmetros do contexto a ser usado por este serviço (para maioresinformações, veja o capítulo intitulado Cadastrando Entidades).2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado nopasso 1, para as redes ou máquinas desejadas (para maiores informações,veja o capítulo intitulado O Filtro de Estados).© Aker Security Solutions 526

25.1. Editando os parâmetros de um contexto SMTPA janela de propriedades de um contexto SMTP será mostrada quando a opçãoProxy SMTP for selecionada. Através dela é possível definir o comportamento doproxy SMTP quando este for lidar com o serviço em questão.A janela de propriedades de um contexto SMTP.Figura 352. Serviços: relay.Na janela de propriedades são configurados todos os parâmetros de um contextoassociado a um determinado serviço. Ela consiste de diversas pastas, cada umaresponsável por uma das diferentes características de proteção.© Aker Security Solutions 527

Aba GeralFigura 353. Serviços: geral.Tamanho máximo da mensagem: Este campo indica o tamanho máximo, embytes ou kbytes, de uma mensagem para que ela possa ser aceita pelo proxy. Casonão queira definir um tamanho máximo, basta marcar a opção Sem Limite,localizada à direita deste campo.Registrar na lista de eventos: Este campo indica se as mensagens que não seenquadrarem em nenhuma regra SMTP deste contexto devem ser registradas nalista de eventos.Envia cópia de todas as mensagens: Independente de uma mensagem ter sidoaceita ou rejeitada, é possível enviar uma cópia completa dela para um endereço dee-mail qualquer. Este campo indica se deve ou não ser enviada esta cópia.Checagem de DNS reverso habilitada: O firewall fará a checagem para determinara existência do DNS reverso cadastrado para o servidor SMTP para aceitar amensagem baseado nas regras da pasta DNS.© Aker Security Solutions 528

E-mail padrão: Indica o endereço de e-mail padrão, para o qual serão enviadas ascópias das mensagens que não se enquadrarem em nenhuma regra SMTP destecontexto (se a opção Envia Cópia de todas as mensagens estiver marcada). Este e-mail também pode ser referenciado em qualquer regra de filtragem do contexto.Aba de RelayFigura 354. Serviços: relay.Esta pasta serve para especificar uma lista de domínios válidos para recebimentode e-mails. E-mails destinados a quaisquer domínios não listados serão rejeitadosantes mesmo que se comece sua transmissão.Caso a lista de domínios esteja em branco o firewall não fará controle de relay,ou seja, aceitará e-mails destinados a quaisquer domínios.Diferentemente do controle de relay de servidores SMTP, o firewall apenas podebasear seu controle no destinatário dos e-mails, e não no remetente, uma vez quenão possui a lista de usuários válidos do servidor SMTP protegido.© Aker Security Solutions 529

Aba de RegrasFigura 355. Serviço: regras.Nesta pasta são mostradas todas as regras de filtragem para o contexto. Estasregras possibilitam que o administrador configure filtros de e-mails baseados em seuconteúdo.Para executar qualquer operação sobre uma determinada regra, basta clicar com obotão direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu seráacionado sempre que pressionar o botão direito, mesmo que não exista nenhumaregra selecionada. Neste caso, somente as opções Incluir e Colar estarãohabilitadas).Figura 356. Menu (inserir, copiar, editar, excluir ou renomear).© Aker Security Solutions 530

Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiverselecionada, a nova será inserida na posição da regra selecionada. Casocontrário, a nova regra será incluída no final da lista.Copiar: Copiar a regra selecionada para uma área temporária.Colar: Copiar a regra da área temporária para a lista. Se uma regra estiverselecionada, a nova será copiada para a posição da regra selecionada. Casocontrário ela será copiada para o final da lista.Editar: Abrir a janela de edição para a regra selecionada.Excluir: Remover da lista a regra selecionada.Renomear: Renomear a regra selecionada da lista.Dica: Todas as opções mostradas acima podem ser executadas a partir da barra deferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se aregra, clicando-o com o botão esquerdo, e em seguida clica-se na opção desejada.A ordem das regras na lista de regras de filtragem SMTP é de fundamentalimportância. Ao receber uma mensagem, o firewall pesquisará a lista a partir doinício procurando uma regra na qual a mensagem se enquadre. Tão logo uma sejaencontrada, a ação associada a ela será executada.No caso de inclusão ou edição de regras, será mostrada a janela de edição,mostrada abaixo:© Aker Security Solutions 531

A janela de edição de regras SMTPFigura 357. Edição de regra: SMTP.Nesta janela são configurados todos os parâmetros relativos a uma regra defiltragem para um contexto SMTP. Cada regra consiste basicamente de 3 condiçõesindependentes que podem ou não estar preenchidas (ou seja, é possível criarregras com apenas uma ou duas condições).Para criar uma regra, é necessário preencher os seguintes campos:Nome: Nome que define unicamente a regra dentro do contexto. Este nome serámostrado na lista de regras do contexto SMTP. Não podem existir duas regras como mesmo nome.© Aker Security Solutions 532

Campo: Definir o nome do campo dentro da mensagem SMTP onde será feita apesquisa. Ele pode assumir um dos seguintes valores (alguns valores sãomostrados em inglês devido ao fato de serem nomes de campos fixos de umamensagem):NENHUM: Não será feita pesquisa.PARA (Todos): A pesquisa é feita no endereço de destino da mensagem (todosos recipientes devem se encaixar na regra).PARA (Qualquer): A pesquisa é feita no endereço de destino da mensagem(pelo menos um recipiente deve se encaixar na regra).DE: A pesquisa é feita no endereço de origem da mensagem.CC: A pesquisa é realizada sobre a lista de endereços que irão receber umacópia da mensagem.REPLY-TO: A pesquisa é feita no campo REPLY-TO, que indica o endereçopara o qual a mensagem deve ser respondida.ASSUNTO: A pesquisa é feita no campo que define o assunto da mensagem.CABEÇALHO: A pesquisa é realizada sobre todos os campos que compõem ocabeçalho da mensagem.CORPO: A pesquisa é feita no corpo da mensagem (onde existe efetivamente amensagem).Os campos TO e CC são tratados de forma diferente pelo proxy SMTP: o campoTO é tratado com uma lista dos vários recipientes da mensagem, retirados doenvelope da mensagem. O campo CC é tratado como um texto simples, retirado docabeçalho da mensagem, e sua utilidade é bastante limitada.Pesquisa: Tipo de pesquisa a ser executada no campo definido acima. São elas:CONTÉM: O campo a ser pesquisado deve conter o texto informado emqualquer posição.NÃO CONTÉM: O campo a ser pesquisado não pode conter o texto informado.É: O conteúdo do campo a ser pesquisado deve ser exatamente igual ao textoinformado.NÃO É: O conteúdo do campo a ser pesquisado deve ser diferente do textoinformado.COMEÇA COM: O conteúdo do campo a ser pesquisado deve começar com otexto informado.NÃO COMEÇA COM: O conteúdo do campo a ser pesquisado não podecomeçar com o texto informado.TERMINA COM: O conteúdo do campo a ser pesquisado deve terminar com otexto informadoNÃO TERMINA COM: O conteúdo do campo a ser pesquisado não podeterminar com o texto informado.CONTÉM PALAVRAS: Neste tipo de pesquisa, o texto informado é consideradocomo formado por palavras individuais (separadas por espaços), ao invés de umtexto contínuo. Para se enquadrar na pesquisa, o campo em questão deveconter todas as palavras informadas, independente de sua posição.© Aker Security Solutions 533

Texto: Texto a ser pesquisado. Este campo é tratado como um texto contínuo queserá comparado com o campo especificado, exceto no caso da pesquisa CONTÉMPALAVRAS, quando ele é tratado como diversas palavras separadas por espaços.Em ambos os casos, letras maiúsculas e minúsculas são consideradas comosendo iguais.Os campos Campo, Pesquisa e Texto aparecem 3 vezes. Desta forma, épossível definir até 3 condições distintas que uma mensagem deve cumprir para queseja enquadrada pela regra. Caso não queira especificar três condições, bastadeixar as demais com o valor NENHUM no parâmetro campo.Ativação dos filtros: Este campo só tem sentido quando especifica mais de umacondição. Ele indica que tipo de operação será usada para relacioná-las:Somente se todos são verdadeiros: Para que uma mensagem enquadre naregra, é necessário que ela satisfaça todas as condições.Se qualquer um for verdadeiro: Para que uma mensagem enquadre na regra,basta ela satisfazer uma das condições.Ação: Este campo indica se as mensagens que se enquadrarem na regra devemser aceitas ou rejeitadas pelo proxy SMTP.Registrar na lista de eventos: Este campo indica se as mensagens que seenquadrarem na regra devem ou não ser registradas na lista de eventos.Enviar cópia: Para toda mensagem que se enquadrar na regra,independentemente de ter sido aceita ou rejeitada, é possível enviar uma cópiacompleta dela para um endereço de e-mail qualquer. Este campo indica se deve ounão ser enviada esta cópia. Caso ele esteja marcado, deve-se escolher uma dasseguintes opções de envio:Padrão: A cópia da mensagem é enviada para o e-mail padrão.e-mail: A cópia da mensagem é enviada para o endereço especificado no campoà direita.© Aker Security Solutions 534

Aba de DNSFigura 358. Serviço: DNS.Nesta pasta são mostradas todas as regras de filtragem de DNS para o contexto.Estas regras possibilitam que o administrador configure filtros de e-mails baseadosno nome retornado pelo DNS reverso do servidor SMTP que estiver enviando amensagem.Para executar qualquer operação sobre uma determinada regra, basta clicar com obotão direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu seráacionado sempre que se pressionar o botão direito, mesmo que não exista nenhumaregra selecionada. Neste caso, somente as opções Incluir e Colar estarãohabilitadas).© Aker Security Solutions 535

Figura 359. Menu (inserir, copiar, editar, excluir ou renomear)..Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiverselecionada, a nova será inserida na posição da regra selecionada. Casocontrário, a nova regra será incluída no final da lista.Copiar: Copiar a regra selecionada para uma área temporária.Colar: Copiar a regra da área temporária para a lista. Se uma regra estiverselecionada, a nova será copiada para a posição da regra selecionada. Casocontrário ela será copiada para o final da lista.Editar: Abrir a janela de edição para a regra selecionada.Excluir: Remover da lista a regra selecionada.Renomear: Renomear a regra selecionada da lista.Dica: Todas as opções mostradas acima podem ser executadas a partir da barra deferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se aregra, clicando-o com o botão esquerdo, e em seguida clica-se na opção desejada.No caso de inclusão ou edição de regras, será mostrada a janela de edição,mostrada abaixo:A janela de edição de regras DNS reverso© Aker Security Solutions 536

Figura 360. Serviço: DNS.Para criar uma regra deve-se preencher os seguintes campos:Nome: Nome que define unicamente a regra dentro do contexto. Este nome serámostrado na lista de regras do contexto SMTP. Não podem existir duas regras como mesmo nome.Operador de pesquisa: Os mesmos operadores utilizados nas regras de filtragemSMTP podem ser utilizados para a filtragem do DNS reverso.Texto: Definir o texto a ser pesquisado.Registrar na lista de eventos: Registrar no log de eventos do firewall caso a regratenha sido executada.Verificar alias: Se esta opção estiver marcada, o firewall comparará todos osnomes retornados pelo DNS para verificar se algum deles se encaixa na regra.Ação: Ação a ser executada pelo firewall caso a regra seja atendida. Ela pode serAceita ou Rejeitada.Aba de Anexos© Aker Security Solutions 537

Figura 361. Serviço: anexos.Nessa pasta são especificadas as regras de tratamento de arquivos anexados.Essas regras permitem que, caso uma mensagem tenha sido aceita, ela tenha seusarquivos anexados removidos ou checados contra vírus. Elas permitem também quese rejeite uma mensagem por completo, caso ela contenha um arquivo anexoinaceitável (com vírus, por exemplo).Agente de antivírus para checagem dos arquivos: Esse campo indica o agenteantivírus que será utilizado para checar vírus dos arquivos anexados a mensagensde e-mail. Esse agente deve ter sido previamente cadastrado no firewall. Paramaiores informações veja o capítulo intitulado Cadastrando entidades.Permitir a passagem de anexos mal codificados: Se esta opção estiver marcada,anexos que apresentem erros de codificação serão aceitos pelo firewall, casocontrário a mensagem será recusada.Para executar qualquer operação sobre uma determinada regra, basta clicar com obotão direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu seráacionado sempre que se pressionar o botão direito, mesmo que não exista nenhuma© Aker Security Solutions 538

egra selecionada. Neste caso, somente as opções Incluir e Colar estarãohabilitadas).Figura 362. Menu (inserir, copiar, editar, excluir ou renomear)..Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiverselecionada, a nova será inserida na posição da regra selecionada. Casocontrário, a nova regra será incluída no final da lista.Copiar: Copiar a regra selecionada para uma área temporária.Colar: Copiar a regra da área temporária para a lista. Se uma regra estiverselecionada, a nova será copiada para a posição da regra selecionada. Casocontrário ela será copiada para o final da lista.Editar: Abrir a janela de edição para a regra selecionada.Excluir: Remover da lista a regra selecionada.Renomear: Renomear a regra selecionada da lista.Dica: Todas as opções mostradas acima podem ser executadas a partir da barra deferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se aregra, clicando-o com o botão esquerdo, e em seguida clica-se na opção desejada.A ordem das regras na lista de regras de filtragem de arquivos anexados é defundamental importância. Para cada arquivo anexado de uma mensagem, o firewallpesquisará a lista a partir do início procurando uma regra na qual ele se enquadre.Tão logo uma seja encontrada, a ação associada a ela será executada.No caso de inclusão ou edição de regras, será mostrada a janela de edição,mostrada abaixo:© Aker Security Solutions 539

A janela de edição de regras de anexosFigura 363. Regra: edição de regras e anexos.Nesta janela são configurados todos os parâmetros relativos a uma regra defiltragem de arquivos para um contexto SMTP. Ela consiste dos seguintes campos:Nome: Definir unicamente a regra dentro do contexto. Este nome será mostrado nalista de regras de arquivos. Não podem existir duas regras com o mesmo nome.Filtrar por tipo MIME: Permitir a definição de uma regra de filtragem de arquivosbaseando-se em seu tipo MIME. Ao ser marcada, deve-se especificar seu tipo e seusubtipo.© Aker Security Solutions 540

Filtrar por nome: Permitir a realização de filtragens a partir (de parte) do nome, doarquivo anexado. Ao ser marcado, deve-se especificar o tipo de pesquisa a serefetuada e o texto a ser pesquisado. Estes campos são análogos aos campos demesmo nome da regra de filtragem SMTP, descrita acima.Operador de pesquisa: Este campo é análogo ao campo de mesmo nome da regrade filtragem SMTP, descrita acima.Ação: Indica qual a ação a ser tomada pelo firewall quando um arquivo seenquadrar na regra. Ela consiste de três opções:Aceita o anexo: Se essa opção for selecionada o firewall irá manter o arquivoanexado na mensagem.Remove o anexo: Se essa opção for selecionada o firewall irá remover o arquivoanexado da mensagem.Descarta mensagem: Se essa opção for selecionada o firewall recusará amensagem completa.Remove anexo infectado: Se essa opção for selecionada o firewall irá verificaro arquivo anexado da mensagem contra vírus. Caso exista vírus o firewalltomará uma das seguintes ações: se o arquivo puder ser desinfectado, o vírusserá removido e o arquivo re-anexado à mensagem. Caso o arquivo não possaser desinfectado, o firewall o removerá e acrescentará uma mensageminformando ao destinatário desse fato.Descarta mensagem infectada: Se essa opção for selecionada o firewall iráverificar o arquivo anexado da mensagem contra vírus. Caso exista vírus ofirewall tomará uma das seguintes ações: se o arquivo puder ser desinfectado, ovírus será removido e o arquivo re-anexado à mensagem. Caso o arquivo nãopossa ser desinfectado, o firewall recusará a mensagem.Recomenda-se utilizar as ações que removem os arquivos anexados nos emailsrecebidos pela companhia e as que bloqueiam a mensagem por completo nasregras aplicadas aos emails que saem.Remove arquivos encriptados: Se essa opção estiver marcada, o firewallremoverá os arquivos anexados que estejam cifrados, de forma que não possam serchecados quanto a presença de vírus.Remove arquivos corrompidos: Se essa opção estiver marcada, o firewallremoverá os arquivos anexados que estejam corrompidos.Notifica emissor no caso de remoção do arquivo anexado: Se essa opçãoestiver marcada, o firewall enviará uma mensagem para o emissor de um e-mailtodas as vezes que um ou mais de seus arquivos anexados for removido.Envia cópia para o administrador do arquivo anexado for removido: Se essaopção estiver marcada, o firewall enviará uma cópia de todos os arquivos removidos© Aker Security Solutions 541

para o administrador. Caso ela esteja marcada, deve-se escolher uma dasseguintes opções de envio:Padrão: A cópia da mensagem é enviada para o e-mail padrão.E-mail: A cópia da mensagem é enviada para o endereço especificado nocampo à direita.Aba RBL (Real-time Black List)Figura 364. Regra: edição de regras e anexos.Esta pasta contém opções de bloqueio de sites considerados fontes de SPAM. Obloqueio é feito em tempo real, mediante consulta a uma ou mais listas de bloqueiodinâmicas, mantidas por terceiros. Ela consiste das seguintes opções:Black list padrão: São cinco listas negras que contém vários relays acusados defazer SPAM (envio de mensagem não desejada). Elas são gerenciadas pororganizações e o firewall simplesmente consultam-nas, antes de aceitar os e-mails.Marque as opções correspondentes se desejar utilizar esta facilidade.SBL: Para saber mais acesse o endereço http://www.mail-abuse.org/rbl/© Aker Security Solutions 542

CBL: Para saber mais acesse o endereço http://www.orbs.org/ORBL Brasil: Para saber mais acesse o endereço http://www.orbl.org/DSBL: Para saber mais acesse o endereço http://www.ordb.org/Black list do usuário: São listas negras configuráveis pelo administrador dofirewall. Ela consiste de uma lista de listas negras, cada uma com os seguintescampos:Nome: Nome pelo qual deseja chamar a blacklist.URL: URL explicativa para ser mostrada para o usuário que tiver seus e-mailsrecusados.Zona de DNS: É a zona completa de DNS que deverá ser consultada pelo firewall.Caso um endereço IP esteja presente nessa zona, e-mails vindos dele serãorecusados.Alguns serviços de black list costumam ter seu funcionamento interrompidotemporariamente devido aos problemas de natureza judicial. Quando isto acontece, oueles se tornam inefetivos ou bloqueiam mais e-mails do que deveriam. Por favorverifique o funcionamento correto da black-list desejada antes de colocá-la em uso.© Aker Security Solutions 543

Aba de Spam MeterFigura 365. Serviço: Spam Meter.Esta aba contém as opções de configuração da comunicação do firewall com oSpam Meter, um produto criado pela Aker Security Solutions com o objetivo deatribuir notas a mensagens de e-mail, de acordo com a probabilidade destas seremou não SPAM. Ela consiste das seguintes opções:Habilitar Spam Meter: Habilita o uso do Spam Meter pelo firewall.Agente de Spam Meter a usar: Esse campo indica o Spam Meter que seráutilizado para se atribuir notas a mensagens de e-mail. Esse agente deve ter sidopreviamente cadastrado no firewall. Para maiores informações veja o capítulointitulado Cadastrando entidades.Base a usar: O Spam Meter permite a utilização de diversas bases para realizar aclassificação de mensagens. A idéia por trás disso é permitir que cada pessoa ougrupo de pessoas com características semelhantes possam ter suas mensagensclassificadas por uma base que melhor reflita sua definição de SPAM. O AkerFirewall não permite a utilização de bases distintas por pessoas ou grupos, porém épossível utilizar uma base distinta para cada contexto SMTP. Este campo servepara especificar o nome da base que será utilizada por este contexto.© Aker Security Solutions 544

Níveis de Spam: Este controle permite a definição de dois limites de notas (entre 0e 100) para a filtragem de mensagens: Limite 1 e Limite 2.Limite 1: Define o limite, faixa verde, até o qual as mensagens são consideradascomo não SPAM.Limite 2: Define, junto com o Limite 1, as faixas amarelas e vermelhas. A faixaamarela indica e-mails que potencialmente são SPAM mas que o SPAM Meter nãotem certeza suficiente. A faixa vermelha indica mensagens que foram consideradasSPAM.Detecção de SPAM aprimorada: Se esta opção estiver selecionada o Spam Metertentará detectar a maior quantidade possível de mensagens SPAM, com oinconveniente de eventualmente poder gerar mais falsos positivos, ou seja,mensagens que seriam válidas classificadas como potenciais SPAM.Redução de Falso-positivo: Se esta opção estiver selecionada, o Spam Metertentará reduzir ao máximo os falsos positivos, com o inconveniente deeventualmente classificar como inofensiva uma mensagem que seria SPAM.Ação: Este campo indica as ações que devem ser executadas pelas mensagensque se enquadrarem em cada uma das áreas definidas pelos limites 1 e 2. Asseguintes opções estão disponíveis:Aceitar: As mensagens que se enquadrarem nesta faixa serão aceitas semqualquer modificação. Normalmente esta ação é associada à faixa verde.Descartar: As mensagens que se enquadrarem nesta faixa serão descartadas pelofirewall, isto é, elas serão recebidas por ele e o servidor que as enviou seráinformado do sucesso no envio, no entanto elas nunca serão reenviadas aosusuários que as deveriam receber. Esta ação deve ser utilizada apenas na faixavermelha e seu objetivo é impedir que potenciais emissores de SPAM saibam seconseguiram ou não enviar suas mensagens.Rejeitar: As mensagens que se enquadrarem nesta faixa serão rejeitadas pelofirewall, isto é, o servidor que as enviou será informado que elas foram recusadas eque ele não deve tentar enviá-las novamente. Esta ação deve ser utilizada apenasna faixa vermelha.Adicionar assunto: As mensagens que se enquadrarem nesta faixa serão aceitasporém terão seu assunto precedido de um texto qualquer definido peloadministrador. O campo à direita serve para o administrador definir o texto que seráadicionado ao assunto. Esta ação normalmente é utilizada na faixa amarela, maspode também ser utilizada na vermelha. A idéia é configurar um filtro, para o texto aser adicionado, nos leitores de e-mail de modo a fazer com que as mensagenssuspeitas ou consideradas SPAM sejam automaticamente separadas em uma outracaixa postal.© Aker Security Solutions 545

Enviar cópia: Para toda mensagem, independentemente de ter sido aceita ourejeitada, é possível enviar uma cópia completa dela para um endereço de e-mailqualquer. Este campo indica se deve ou não ser enviada esta cópia. Caso ele estejamarcado, deve-se escolher uma das seguintes opções de envio:Padrão: A cópia da mensagem é enviada para o e-mail padrão.E-mail: A cópia da mensagem é enviada para o endereço especificado nocampo à direita.Modificar mensagem para treinamento: Uma das características fundamentais doSpam Meter é sua possibilidade de aprender novas características de SPAM, demodo a sempre oferecer um ótimo nível de acerto. Os campos contidos nesta opçãoindicam quais usuários podem realizar treinamento da base de dados do contexto ede que forma as mensagens devem ser modificadas para possibilitar estetreinamento. As seguintes opções estão disponíveis:Usar plugin: Esse campo indica os destinatários que treinarão mensagens atravésdo plugin de treinamento disponibilizado pela Aker (disponível inicialmente paraOutlook e Thunderbird). Neste caso, as mensagens não serão modificadas emnenhuma forma, apenas alguns campos novos serão acrescentados no cabeçalho.Ele especifica uma entidade do tipo de e-mails que deve ter sido previamentecadastrada no firewall (para maiores informações veja o capítulo intituladoCadastrando entidades).Usar sub-mensagens (.eml): Os destinatários que estiverem neste camporeceberão suas mensagens originais encapsuladas em outra, que conterá botõesque os possibilitará de realizar o treinamento (a mensagem inicial virá sem nenhumamodificação, porém em alguns leitores de e-mail será necessário clicar sobre elapara pode visualizá-la). Ele especifica uma entidade do tipo de e-mail que deve tersido previamente cadastrada no firewall (para maiores informações veja o capítulointitulado Cadastrando entidades).Usar layout HTML: Os destinatários que estiverem neste campo receberão suasmensagens originais acrescidas de um novo layout HTML, que conterá botões queos possibilitará de realizar o treinamento. Ele especifica uma entidade do tipo de e-mails que deve ter sido previamente cadastrada no firewall (para maioresinformações veja o capítulo intitulado Cadastrando entidades).Ajustar mensagens: Se umas das opções Usar sub-mensagens ou Usar LayoutHTML for selecionada, este botão será habilitado e permitirá a definição dasmensagens que serão mostradas aos usuários para que eles possam realizar otreinamento.Endereço para treinamento: Este campo deve ser preenchido com o nome ouendereço IP da máquina na qual o firewall está rodando, de modo a que os leitoresde e-mails dos clientes saibam para onde enviar o resultado do treinamento.© Aker Security Solutions 546

As listas serão pesquisadas pelo firewall na ordem em que aparecem, isto é, seum destinatário estiver em duas ou mais listas, a mensagem será modificada deacordo com a lista superior.Caso um usuário não apareça em nenhuma lista ele não poderá realizartreinamento da base.© Aker Security Solutions 547

Aba AvançadoFigura 366. Serviço: Avançado.Esta pasta permite o acesso às opções de configuração avançadas do proxy SMTP.Elas permitem um ajuste fino do funcionamento do proxy. As opções são:Permite cabeçalho incompleto: Se esta opção estiver marcada como NÃO, nãoserão aceitas mensagens cujos cabeçalhos não contenham todos os camposobrigatórios de uma mensagem SMTP.Número de processos: Este campo indica o número máximo de cópias do proxyque poderão estar ativas em um determinado momento. Como cada processo tratauma conexão, este número também representa o número máximo de mensagensque podem ser enviadas simultaneamente para o contexto em questão. Caso onúmero de conexões ativas atinja este limite, os clientes que tentarem enviar novasmensagens serão informados que o servidor se encontra temporariamenteimpossibilitado de aceitar novas conexões e que devem tentar novamente maistarde.© Aker Security Solutions 548

É possível utilizar este número de processos como uma ferramenta paracontrolar o número máximo de mensagens simultâneas passando pelo link, deforma a não saturá-lo.Tempo limite de resposta do cliente: Este parâmetro indica o tempo máximo, emsegundos, que o proxy espera entre cada comando do cliente que está enviando amensagem SMTP. Caso este tempo seja atingido, sem receber nenhum comandodo cliente, o proxy assume que este caiu e derruba a conexão.Tempo limite de resposta para servidor: Para cada um dos possíveis comandosválidos do protocolo SMTP, existe um tempo máximo de espera por uma respostado servidor. Caso não receba nenhuma resposta dentro deste período, o proxyassume que o servidor caiu e derruba a conexão. Neste grupo é possível configuraro tempo máximo de espera, em segundos, para cada um destes comandos.Todos os demais parâmetros se referem aos tempos limites de resposta para cadacomando SMTP e não devem ser modificados a não ser que haja uma razãoespecífica para fazê-lo.© Aker Security Solutions 549

Configurando o Proxy Telnet© Aker Security Solutions 550

26. Configurando o Proxy TelnetEste capítulo mostrará como configurar o proxy telnet para realizar autenticação deusuários.O que é o proxy Telnet?O proxy Telnet é um programa especializado do Aker Firewall feito para trabalharcom o protocolo Telnet, que é o protocolo utilizado para emulação de terminaisremotos. A sua função básica é possibilitar a realização de uma autenticação a nívelde usuário para as sessões telnet a serem estabelecidas. Este tipo de autenticaçãopermite uma grande flexibilidade e um elevado nível de segurança.Ele é um proxy transparente (para maiores informações veja o capítulo intituladoTrabalhando com proxies), desta forma, nem o servidor nem o cliente sabem desua existência.Utilizando o proxy TelnetPara utilizar o proxy Telnet para realizar autenticações em uma comunicação, énecessário executar uma seqüência de 2 passos:1. Criar um serviço que será desviado para o proxy Telnet e editar os parâmetrosdo contexto a ser usado por este serviço (para maiores informações, veja ocapítulo intitulado Cadastrando Entidades).2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo1, para as redes ou máquinas desejadas (para maiores informações, veja ocapítulo intitulado O Filtro de Estados).A partir deste momento, todas as vezes que uma sessão telnet enquadrar na regracriada que foi estabelecida, o firewall solicitará uma identificação do usuário e umasenha. Se a identificação e a senha forem válidas e o usuário em questão tiverpermissão, a sessão será estabelecida. Caso contrário o usuário será informado doerro e a sessão cancelada.26.1. Editando os parâmetros de um contexto TelnetA janela de propriedades de um contexto Telnet será mostrada quando a opçãoProxy Telnet for selecionada. Através dela é possível definir o comportamento doproxy Telnet quando este for lidar com o serviço em questão.© Aker Security Solutions 551

A janela de propriedades de um contexto TelnetFigura 367. Serviço: propriedade de um contexto Telnet.Na janela de propriedades são configurados todos os parâmetros de um contextoassociado a um determinado serviço. Ela consiste dos seguintes campos:Somente aceita conexões de máquinas com DNS reverso válido: Ao selecionaressa opção, somente serão aceitas conexões de máquinas cujo DNS reverso estejaconfigurado e aponte para um nome válido.Permissão Padrão: Indicar a permissão que será aplicada a todos os usuários quenão estiverem presentes e que não façam parte de nenhum grupo presente na listade permissões. O valor aceita permite que a sessão de telnet seja estabelecida e ovalor rejeita impede sua realização.Número máximo de sessões simultâneas: Definir o número máximo de sessõestelnet que podem estar ativas simultaneamente neste contexto. Caso o número desessões abertas atinja este limite, os usuários que tentarem estabelecer novasconexões serão informados que o limite foi atingido e que devem tentar novamentemais tarde.© Aker Security Solutions 552

Tempo limite de inatividade: Definir o tempo máximo, em segundos, que o proxypode ficar sem receber dados da sessão Telnet e ainda considerá-la ativa.O valor deste campo deve ser menor ou igual ao valor configurado no campoTempo limite TCP, nos parâmetros de configuração globais. (para maioresinformações, veja o capítulo intitulado Configurando os parâmetros do sistema)Lista de permissões: Definir de forma individual, as permissões de acesso parausuários ou grupos.Para executar qualquer operação sobre um usuário ou grupo na lista de permissões,basta clicar com o botão direito do mouse sobre ele. Aparecerá o seguinte menu:(este menu será acionado sempre que se pressionar o botão direito, mesmo quenão exista nenhum usuário/grupo selecionado. Neste caso, somente as opçõesIncluir e Colar estarão habilitadas).Figura 368. Menu (inserir).Inserir: Permitir a inclusão de um novo usuário/grupo na lista. Se algumusuário/grupo estiver selecionado, o novo será inserido na posição selecionada.Caso contrário, o novo usuário/grupo será incluído no final da lista.Editar: Permite alterar a permissão de acesso do usuário/grupo selecionado.Excluir: Remover da lista o usuário/grupo selecionado.Dica: Todas as opções mostradas acima podem ser executadas a partir da barra deferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se ousuário/grupo, clicando-o com o botão esquerdo, e em seguida clica-se na opçãodesejada.A ordem dos usuários e grupos na lista de permissões é de fundamentalimportância. Quando um usuário se autenticar, o firewall pesquisará a lista a partirdo início procurando pelo nome desse usuário ou por um grupo de que ele façaparte. Tão logo um desses seja encontrado, a permissão associada ao mesmo seráutilizada.Para alterar a posição de um usuário ou grupo dentro da lista, deve-se proceder daseguinte forma:1. Selecionar o usuário ou grupo a ser movido de posição.© Aker Security Solutions 553

2. Clicar em um dos botões em formato de seta, localizados a direita da lista. Obotão com o desenho da seta para cima fará com que o usuário/gruposelecionado seja movido uma posição para cima. O botão com a seta para baixofará com que este seja movido uma posição para baixo.No caso de inclusão de usuários/grupos, será mostrada a seguinte janela:A janela de inclusão de usuários/gruposFigura 369. Janela de inclusão de usuários ou grupos.A janela de inclusão permite definir a permissão de acesso para um usuário ou umgrupo de um determinado autenticador. Para fazê-lo, deve-se proceder da seguinteforma:Selecionar o autenticador do qual se deseja obter a lista de usuários ou grupos,clicando-se com o botão esquerdo sobre seu nome na lista superior da janela (se oautenticador desejado não aparecer na lista, é necessário acrescentá-lo na lista deautenticadores a serem pesquisados. Para maiores informações, veja o capítulointitulado Configurando parâmetros de autenticação).1. Selecionar entre listagem de usuários ou grupos, clicando-se nos botõescorrespondentes localizados entre as duas listas.2. Clicar com o botão esquerdo sobre o nome do usuário ou grupo que queiraincluir, na lista inferior da janela.3. Definir a permissão de acesso para o usuário ou grupo, escolhendo entre osvalores aceita (que possibilitará o estabelecimento da sessão) ou rejeita (queimpedirá seu estabelecimento).© Aker Security Solutions 554

4. Clicar no botão OK, o que provocará o fechamento da janela e a inclusão dousuário ou grupo na lista de permissões da janela de propriedades do contexto.© Aker Security Solutions 555

Configurando o Proxy FTP© Aker Security Solutions 556

27. Configurando o Proxy FTPEste capítulo mostrará como configurar o proxy FTP, de forma a bloqueardeterminados comandos da transferência de arquivos.O que é o proxy FTP?O proxy FTP é um programa especializado do Aker Firewall feito para trabalhar como protocolo FTP, que é o protocolo utilizado para a transferência de arquivos pelaInternet. A sua função básica é possibilitar que o administrador defina os comandosque podem ser aceitos e impedir, por exemplo, a criação de novos arquivos ou dediretórios.Ele é um proxy transparente (para maiores informações veja o capítulo intituladoTrabalhando com proxies), desta forma, nem o servidor nem o cliente sabem desua existência.Utilizando o proxy FTPPara utilizar o proxy FTP para realizar o controle de uma transferência de arquivos énecessário executar uma seqüência de 2 passos:1. Criar um serviço que será desviado para o proxy FTP e editar os parâmetros docontexto a ser usado por este serviço (para maiores informações, veja o capítulointitulado Cadastrando Entidades).2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1,para as redes ou máquinas desejadas (para maiores informações, veja o capítulointitulado O Filtro de Estados).O proxy FTP não realiza autenticação de usuários. Para possibilitar que certosusuários tenham privilégios diferentes é necessário criar serviços do proxy FTP comcontextos distintos e associar cada um destes serviços com um perfil de acesso. Paramaiores informações sobre perfis de acesso, verifique o capítulo chamado Perfis deacesso de usuários.27.1. Editando os parâmetros de um contexto FTPA janela de propriedades de um contexto FTP será mostrada quando selecionar aopção Proxy FTP, na janela de edição de serviços. Através dela é possível definir ocomportamento do proxy FTP quando este for lidar com o serviço em questão.© Aker Security Solutions 557

A janela de propriedades de um contexto FTPFigura 370. Serviços: propriedades de um contexto SMTP.Na janela de propriedades são configurados todos os parâmetros de um contextoassociado a um determinado serviço. Ela consiste dos seguintes campos:Somente aceita conexões de máquinas com DNS reverso válido: Ao selecionaressa opção, somente serão aceitas conexões de máquinas cujo DNS reverso estejaconfigurado e aponte para um nome válido.Permitir que o servidor abra conexões em qualquer porta com o cliente: Estaopção permite que o servidor FTP comunique-se com o cliente por uma portadiferente da padrão que é TCP 20.Habilitar logs de downloads e uploads: Esta opção fará com que seja gerado umevento informando dados sobre os downloads e uploads realizados passando peloproxy.Número máximo de conexões simultâneas: Definir o número máximo de sessõesFTP que podem estar ativas simultaneamente neste contexto. Caso o número desessões abertas atinja este limite, os usuários que tentarem estabelecer novas© Aker Security Solutions 558

conexões serão informados que o limite foi atingido e que devem tentar novamentemais tarde.Tempo limite de inatividade: Definir o tempo máximo, em segundos, que o proxypode ficar sem receber dados da sessão FTP e ainda considerá-la ativa.O valor deste campo deve ser menor ou igual ao valor configurado no campoTempo limite TCP, nos parâmetros de configuração globais. (para maioresinformações, veja o capítulo intitulado Configurando os parâmetros do sistema.Esta janela permite a criação de uma lista de regras que poderão ser aceitas ounão, de acordo com ícone na coluna Ação que terão as opções Aceita ou Rejeita.Para poder inserir um comando na coluna FTP é necessário clicar com o botãodireito dentro do componente e selecionar a opção inserir, assim depois de inseridaa regra, deve-se clicar na coluna FTP e selecionar a opção desejada ou digitar outrocomando.Figura 371. Janela de lista de regras (aceitas ou não)..Abaixo segue a descrição de todas as opções:mkd - Criar diretório: Ao selecionar essa opção, será possível a criação dediretórios através das conexões FTP que se encaixarem neste contexto.xmkd - Criar diretório Estendido: Ao selecionar essa opção, será possível acriação de diretórios estendidos por meio das conexões FTP que se encaixaremneste contexto.&rmd - Apagar diretório: Ao selecionar essa opção, será possível a remoção dediretórios através das conexões FTP que se encaixarem neste contexto.xrmd - Apaga um diretório estendido: Ao selecionar essa opção, será possívelremover diretórios através das conexões FTP que se encaixarem neste contexto.© Aker Security Solutions 559

list - Listar diretório: Ao selecionar essa opção será possível a visualização doconteúdo de diretórios (comandos DIR ou LS) através das conexões FTP que seencaixarem neste contexto.nlst - Listar nomes dos diretórios: Ao selecionar essa opção será possível avisualização dos nomes dos diretórios, através das conexões FTP que seencaixarem neste contexto.retr - Download de arquivos: Ao selecionar essa opção, será possível fazerdownload de arquivos através das conexões FTP que se encaixarem nestecontexto.stor - Upload de arquivos: Ao selecionar essa opção, será possível fazer uploadde arquivos através das conexões FTP que se encaixarem neste contexto.stou - Upload de arquivos: Ao selecionar essa opção, será possível fazer uploadde um arquivo com o nome único no diretório corrente.appe - Concatenar Dados: Ao selecionar essa opção, será possível concatenar osdados no fim de um arquivo. Caso o arquivo não exista ele será criado.rest - Recomeçar download/upload: Ao selecionar essa opção, será possívelrecomeçar o download ou upload do ponto de onde foi interrompido.dele - Apagar arquivos: Ao desmarcar essa opção, não será possível removerarquivos através das conexões FTP que se encaixarem neste contexto.rnfr - Renomear arquivos: Se esta opção estiver desmarcada, não será possívelrenomear arquivos através das conexões FTP que se encaixarem neste contexto.As regras que não forem listadas obedecerão a "ação padrão".© Aker Security Solutions 560

Configurando o Proxy POP3© Aker Security Solutions 561

28. Configurando o Proxy POP3Este capítulo mostrará quais as funções oferecidas pelo proxy POP3 e comorealizar a sua configuração.O que é o proxy POP3?O proxy POP3 é um programa especializado do Aker Firewall feito para trabalharcom correio eletrônico. Este proxy possibilita realizar filtragens de e-mails baseadasem seus arquivos anexos. Ele também atua como uma barreira protegendo oservidor POP3 contra diversos tipos de ataques.Ele é um proxy transparente (para maiores informações veja o capítulo intituladoTrabalhando com proxies), desta forma, nem o servidor nem o cliente sabem desua existência.POP3 é um anagrama para Post Office Protocol, que é o nome completo doserviço de download de mensagens de correio eletrônico na Internet.Ataques contra um servidor POP3Existem diversos ataques passíveis de serem realizados contra um servidor POP3.São eles:Ataques explorando bugs de um servidorNeste caso, o atacante procura utilizar um comando ou parâmetros de umcomando que conhecidamente provocam falhas de segurança.O proxy POP3 do Aker Firewall impede estes ataques na medida em que sópermitem a utilização de comandos considerados seguros e validando osparâmetros de todos os comandos.Ataques explorando estouro de áreas de memória (buffer overflows)Estes ataques consistem em enviar linhas de comando muito grandes, fazendocom que um servidor que não tenha sido corretamente desenvolvido apresentefalhas de segurança.O proxy POP3 do Aker Firewall impede estes ataques na medida em que limita otamanho máximo das linhas de comando que podem ser enviadas para oservidor.© Aker Security Solutions 562

Utilizando o proxy POP3Para utilizar o proxy POP3 em uma comunicação, é necessário executar umaseqüência de 2 passos:1. Criar um serviço que será desviado para o proxy POP3 e editar os parâmetrosdo contexto a ser usado por este serviço (para maiores informações, veja ocapítulo intitulado Cadastrando Entidades).2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo1, para as redes ou máquinas desejadas (para maiores informações, veja ocapítulo intitulado O Filtro de Estados).28.1. Editando os parâmetros de um contexto POP3A janela de propriedades de um contexto POP3 será mostrada quando a opçãoProxy POP3 for selecionada. Através dela é possível definir o comportamento doproxy POP3 quando este for lidar com o serviço em questão.A janela de propriedades de um contexto POP3Figura 372. Propriedades de um contexto POP3.© Aker Security Solutions 563

Na janela de propriedades são configurados todos os parâmetros de um contextoassociado a um determinado serviço. São eles:Configurações: É formado por diversos campos que indicam as ações a seremexecutadas pelo proxy POP3:Agente de antivírus: Indicar o agente antivírus que será utilizado parachecar vírus dos arquivos anexados a mensagens de e-mail. Esse agentedeve ter sido previamente cadastrado no firewall. Para maiores informaçõesveja o capítulo intitulado Cadastrando entidades.E-mail padrão: Indicar o endereço de e-mail padrão, para o qual serãoenviadas as cópias das mensagens que não se enquadrarem em nenhumaregra deste contexto (se a opção Envia Cópia estiver marcada). Este e-mailtambém pode ser referenciado em qualquer regra de filtragem do contexto.Número máximo de processos: Indicar o número máximo de cópias doproxy que poderão estar ativas em um determinado momento. Como cadaprocesso trata uma conexão, este número também representa o númeromáximo de mensagens que podem ser transmitidas simultaneamente para ocontexto em questão. Caso o número de conexões ativas atinja este limite, osclientes que tentarem enviar novas mensagens deverão repetir a tentativaposteriormente.Tempo limite de resposta: Indicar o tempo máximo, em segundos, que oproxy espera a conexão em inatividade. Caso este tempo seja atingido oproxy encerra a conexão.Permitir a passagem de anexos mal codificados: Permitir que anexos queestejam mal codificados passem pelo firewall e sejam entregues aos clientesde email.Lista de regras: Nessa lista são especificadas as regras de tratamento de arquivosanexados que permitem que uma mensagem tenha seus arquivos anexadosremovidos ou checados contra vírus.Para executar qualquer operação sobre uma determinada regra, deve-se clicar como botão direito do mouse sobre ela. Aparecerá o seguinte menu: (este menu seráacionado sempre que pressionar o botão direito, mesmo que não exista nenhumaregra selecionada. Neste caso, somente as opções Incluir e Colar estarãohabilitadas).Figura 373. Operações sobre determinada regra.© Aker Security Solutions 564

Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regraestiver selecionada, a nova será inserida na posição da regra selecionada.Caso contrário, a nova regra será incluída no final da lista.Editar: Abrir a janela de edição para a regra selecionada.Excluir: Remover da lista a regra selecionada.Renomear: Renomear a regra selecionada.Dica: Todas as opções mostradas acima podem ser executadas a partir da barra deferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se aregra, clicando-o com o botão esquerdo, e em seguida clica-se na opção desejada.A ordem das regras na lista de regras de filtragem de arquivos anexados é defundamental importância. Para cada arquivo anexado de uma mensagem, o firewallpesquisará a lista a partir do início procurando uma regra na qual ele se enquadre.Tão logo uma seja encontrada, a ação associada a ela será executada.No caso de inclusão ou edição de regras, será mostrada a janela de edição,mostrada abaixo:© Aker Security Solutions 565

A janela de edição de regras de arquivosFigura 374. Edição de regras de arquivos.Nesta janela são configurados todos os parâmetros relativos a uma regra defiltragem de arquivos para um contexto POP3. Ela consiste dos seguintes campos:Nome: Definir unicamente a regra dentro do contexto. Este nome será mostrado nalista de regras de arquivos. Não podem existir duas regras com o mesmo nome.Filtrar por tipo MIME: Permitir definir uma regra de filtragem de arquivos baseandoseem seu tipo MIME. Ao ser marcada, deve-se especificar seu tipo e seu subtipo.© Aker Security Solutions 566

Filtrar por nome: Permitir realizar filtragens a partir (de parte) do nome, do arquivoanexado. Ao ser marcado, deve-se especificar o tipo de pesquisa a ser efetuada e otexto a ser pesquisado. As seguintes opções de pesquisa estão disponíveis:CONTÉM: O nome deve conter o texto informado em qualquer posição.NÃO CONTÉM: O nome não pode conter o texto informado.É: O conteúdo do nome deve ser exatamente igual ao texto informado.NÃO É: O conteúdo do nome deve ser diferente do texto informado.COMEÇA COM: O conteúdo do nome deve começar com o texto informado.NÃO COMEÇA COM: O conteúdo do nome não pode começar com o textoinformado.TERMINA COM: O conteúdo do nome deve terminar com o texto informado.NÃO TERMINA COM: O conteúdo do nome não pode terminar com o textoinformado.CONTÉM PALAVRAS: Neste tipo de pesquisa, o texto informado é consideradocomo formado por palavras individuais (separadas por espaços), ao invés de umtexto contínuo. Para enquadrar na pesquisa, o nome deve conter todas aspalavras informadas, independente de sua posição.Ativação do filtro: Caso tenha especificado filtragem por tipo MIME e por nome,esse campo permite especificar se a regra deve ser aplicada Somente se ambossão verdadeiros (valor E) ou Se qualquer um for verdadeiro (valor OU).Ação: Indica qual a ação a ser tomada pelo firewall quando um arquivo seenquadrar na regra. Ela consiste em três opções:Aceita o anexo: Ao selecionar essa opção o firewall irá manter o arquivoanexado na mensagem.Remove o anexo: Ao selecionar essa opção o firewall irá remover o arquivoanexado da mensagem.Remove anexo infectado: Ao selecionar essa opção o firewall irá verificar oarquivo anexado da mensagem contra vírus. Caso exista vírus o firewall tomaráuma das seguintes ações: se o arquivo puder ser desinfectado, o vírus seráremovido e o arquivo re-anexado à mensagem. Caso o arquivo não possa serdesinfectado, o firewall o removerá e acrescentará uma mensagem informando odestinatário desse fato.Caso a caixa Registrar na lista de eventos estiver marcado, quando a regra foratendida a mesma será registrada no log de eventos.Remover arquivos encriptados: Ao selecionar essa opção, o firewall removerá osarquivos anexados que estejam compactados e cifrados, porque não poderáexaminá-los para testar a presença de vírus.Remover arquivos corrompidos: Ao selecionar essa opção, o firewall removerá osarquivos anexados que estejam compactados, porém corrompidos, porque nãopoderá examiná-los para testar a presença de vírus.© Aker Security Solutions 567

Notifica emissor no caso de remoção do arquivo anexado: Ao selecionar essaopção, o firewall enviará uma mensagem para o emissor de um e-mail todas asvezes que um ou mais de seus arquivos anexados for removido.Envia cópia para o administrador se o arquivo anexado for removido: Aomarcar essa opção, o firewall enviará uma cópia de todos os arquivos removidospara o administrador. Caso ela esteja marcada, deve-se escolher uma dasseguintes opções de envio:E-mail Padrão: A cópia da mensagem é enviada para o e-mail padrão, definidona janela de propriedades do contexto.outro: A cópia da mensagem é enviada para o endereço especificado no campoà direita.© Aker Security Solutions 568

Utilizando as Quotas© Aker Security Solutions 569

29. Utilizando as QuotasEste capítulo mostrará como são utilizadas as quotas.O que são quotas?A produtividade dos funcionários é de fundamental importância para odesenvolvimento e o crescimento de uma empresa. Portanto, os seus recursos derede devem ser utilizados de forma racional. A partir dessa necessidade, o AkerFirewall tornou-se uma ferramenta indispensável para o controle de acesso àspáginas web, que são visitadas pelos empregados de uma corporação. Com o usodesse produto, os usuários só terão acesso à sites dentro dos limites estabelecidospelas quotas de acesso. As Quotas são utilizadas para controlar e racionalizar otempo gasto pelos funcionários, com acesso à sites da WEB. Assim as quotas sãoos limites em termos de tempo de acesso e volume de dados, por usuário. Esteslimites são definidos na seguinte forma:Quanto à periodicidade de acesso, pode ser definido diariamente, semanalmentee mensalmente;Quanto à quantidade de horas e de dias disponíveis;Quanto ao volume de dados de bytes trafegados.Observação 1: A contagem do tempo funciona da seguinte forma: quando o usuárioacessa uma página, conta um relógio de 31 segundos, se o usuário acessar umaoutra página, começa a contar do zero, mas não deixar de contar, por exemplo, os10 segundos que o usuário gastou ao acessar a página anterior.Observação 2: Para o consumo de quota, funciona da seguinte forma: no MSN,para cada janela de conversação, o tempo é contato separadamente, já na WEB sertiver acessando 10 sites, será contato somente o tempo de um.© Aker Security Solutions 570

29.1. Editando os parâmetros do Uso de QuotaFigura 375. Janela de acesso: Uso de quotas.Clicar no menu Informação da janela do firewall.Selecionar o item Uso de Quotas.© Aker Security Solutions 571

Visualização do UsuárioFigura 376. Uso de quotas: viasualização do usuário.Esta janela permite mostrar todas as informações de quota de acesso, especificadaspor usuário.Reiniciar o tempo do usuário: Ao clicar com o botão direito do mouse em cima dousuário e ao selecionar essa opção zera toda a quota de tempo de acesso paratodas as quotas desse usuário. Caso clique em cima da quota, só será zeradoaquela quota específica referente a esse usuário.Reiniciar o tráfego do usuário: Ao clicar com o botão direito do mouse em cima dousuário e ao selecionar essa opção opta em zerar todas as quotas de volume dedados desse usuário. Caso clique em cima da quota, só será zerado aquela quotaespecífica referente a esse usuário.Reiniciar hora e tráfego do usuário: Ao clicar com o botão direito do mouse emcima do usuário e ao selecionar essa opção opta em zerar toda quota de tempo deacesso e a quota de volume, para esse usuário.Caso clique em cima da quota, sóserá zerado aquela quota específica referente a esse usuário.Usuário: Usuário para qual foi aplicado a quota.© Aker Security Solutions 572

Quota: Nome da quota criada.Time: Tempo gasto da quota.Volume: Quantidade de bytes trafegados.Regularidade: Período que a quota vai ser aplicada se é diariamente,semanalmente ou mensalmente.Mostra valores relativos: Mostra os valores das quotas gastas em forma deporcentagem.Visualização da QuotaFigura 377. Uso de quotas: viasualização da quota.Esta janela permite mostrar todas as informações de quota de acesso, especificadospor quota.Reinicia o tempo do usuário: Ao clicar com o botão direito do mouse em cima dousuário e ao selecionar essa opção zera toda a quota de tempo de acesso paratodas as quotas desse usuário. Caso clique em cima da quota, só será zeradoaquela quota específica referente a esse usuário.© Aker Security Solutions 573

Reinicia o tráfego do usuário: Ao clicar com o botão direito do mouse em cima dousuário e ao selecionar essa opção opta em zerar todas as quotas de volume dedados desse usuário. Caso clique em cima da quota, só será zerado aquela quotaespecífica referente a esse usuário.Reinicia hora e tráfego do usuário: Ao clicar com o botão direito do mouse emcima do usuário e ao selecionar essa opção opta em zerar toda quota de tempo deacesso e a quota de volume, para esse usuário. Caso clique em cima da quota, sóserá zerado aquela quota específica referente a esse usuário.Mostra valores relativos: Mostra os valores das quotas em forma de porcentagem.Quota: Nome da quota criada.Usuário: Usuário para qual foi aplicado à quota.Tempo: Tempo gasto da quota.Volume: Quantidade de bytes trafegados.Regularidade: Período que a quota vai ser aplicada se é diariamente,semanalmente ou mensalmente.© Aker Security Solutions 574

Configurando o Filtro Web© Aker Security Solutions 575

30. Configurando o Filtro WebEste capítulo mostrará para que serve e como configurar o Filtro Web.30.1. Planejando a instalaçãoO que é o Filtro Web do Aker Firewall?O filtro web é um programa especializado do Aker Firewall feito para trabalhar comos protocolos que compõem a chamada WWW (World Wide Web). Dentre entreestes protocolos, estão o HTTP, HTTPS, FTP e Gopher.Este produto possui como principal função controlar o acesso dos usuários internosà Internet, definindo quais páginas os usuários poderão acessar e se podem ou nãotransferir arquivos, por exemplo. Além disso, ele pode bloquear tecnologiasconsideradas perigosas para algumas instalações como o Active-X TM , scripts(JavaScript) e até applets Java TM . Mais ainda, ele possibilita a remoção dos bannersdas páginas, de forma a aumentar a sua velocidade de carga e reduzir a utilizaçãodo link.Ele é um proxy simultaneamente transparente (apenas para HTTP) e nãotransparente (para maiores informações, veja o capítulo intitulado Trabalhandocom proxies), facilitando a instalação do sistema.Quando utilizado da forma transparente, o proxy é normalmente mais rápido doque quando utilizado como um proxy normal, além de não necessitar configuraçãoextra nos clientes. Por outro lado, a capacidade de filtrar URLs para os protocolosHTTPS, FTP e GOPHER só existe no proxy normal.Para que o proxy não transparente tenha a mesma performance do transparente,é necessário que os browsers suportem o envio de requisições HTTP 1.1 viaproxies.O que é um servidor de cache WWW?Um servidor de cache é um programa que visa aumentar a velocidade de acesso àspáginas da Internet. Para conseguir isso, ele armazena internamente as páginasmais utilizadas pelas diversas máquinas clientes e todas as vezes que recebe umanova solicitação, ele verifica se a página desejada já se encontra armazenada. Casoa página esteja disponível, ela é retornada imediatamente, sem a necessidade deconsultar o servidor externo, caso contrário a página é carregada normalmente doservidor desejado e armazenada, fazendo com que as próximas requisições a estapágina sejam atendidas rapidamente.© Aker Security Solutions 576

O filtro web do Aker Firewall trabalhando com um servidor de cacheO Aker Firewall implementa por si só um servidor de cache no seu Filtro Web,entretanto ele pode ser configurado para trabalhar com qualquer um que siga ospadrões de mercado. Este servidor de cache pode estar rodando na própriamáquina onde o firewall se encontra ou em uma máquina separada.Caso utilize-se de um servidor de cache em uma máquina separada (modo deinstalação recomendado), esta máquina deve ficar em uma sub-rede diferente deonde estão as máquinas clientes, caso contrário, todo o controle de segurança podeser facilmente ultrapassado. Este tipo de configuração pode ser visualizado naseguinte figura:Figura 378. Conexão (internet, rede interna, firewall e DMZ.Neste tipo de instalação, para assegurar uma total proteção, basta configurar o filtrode estados (para maiores informações, veja o capítulo intitulado O Filtro deEstados) de forma a permitir que a máquina com o cache seja a única que possaacessar os serviços ligados ao WWW, e que as máquinas clientes não possam abrirnenhuma conexão em direção à máquina onde se encontra o cache. Feito isso,configura-se todas as máquinas clientes para utilizarem o Filtro Web do firewall econfigura-se o firewall para utilizar o cache na máquina desejada.© Aker Security Solutions 577

Utilizando o Filtro WebPara se utilizar o filtro web do Aker Firewall no modo não transparente (normal), énecessária a seguinte seqüência de passos:1. Criar os perfis de acesso desejados e os associar com os usuários e gruposdesejados. (Isso foi descrito no capítulo chamado Perfis de acesso deusuários);2. Editar os parâmetros de configuração do Filtro Web (isso será mostrado notópico chamado Editando os parâmetros do filtro web);3. Criar uma regra de filtragem possibilitando que as máquinas clientes tenhamacesso ao proxy (para maiores informações, veja o capítulo intitulado O Filtrode Estados).O filtro web não transparente escuta conexões na porta 80, utilizando o protocoloTCP. Caso seja necessário, pode-se alterar este valor para qualquer porta,bastando para isso acrescentar o parâmetro -p porta, onde porta é o número daporta que queira que ele escute, na hora de iniciá-lo. Esta chamada se encontra noarquivo /aker/bin/firewall/rc.aker, e deve ser alterada de /aker/bin/firewall/fwhttppd para /aker/bin/firewall/fwhttppd -p 8080, por exemplo.Para utilizar o filtro web no modo transparente é necessário executar uma seqüênciade 2 passos:1. Criar um serviço que será desviado para o Filtro Web transparente (HTTPe/ou HTTPS) e editar os parâmetros do contexto a ser usado por este serviço(para maiores informações, veja o capítulo intitulado CadastrandoEntidades).2. Acrescentar uma regra de filtragem permitindo o uso do serviço criado nopasso 1, para as redes ou máquinas desejadas (para maiores informações,veja o capítulo intitulado O Filtro de Estados).30.2. Editando os parâmetros de Filtro WebPara utilizar o filtro web, é necessária a definição de alguns parâmetros quedeterminarão características básicas de seu funcionamento. Esta definição é feitana janela de configuração do Filtro Web. Para acessá-la, deve-se:© Aker Security Solutions 578

Figura 379. Janela de acesso: filtro web.Clicar no menu Aplicação da janela do firewall.Selecionar o item Filtro Web.© Aker Security Solutions 579

A janela de configuração de parâmetros do Filtro WebAba geralFigura 380. Configuração dos parâmetros do filtro web (geral).O botão OK fará com que a janela de configuração do Filtro Web seja fechada eas alterações salvas.O botão Aplicar enviará para o firewall todas as alterações feitas, porémmanterá a janela aberta.O botão Cancelar fará com que todas as alterações feitas sejam desprezadas ea janela seja fechada.© Aker Security Solutions 580

O botão Retornar à Configuração Inicial - Desconsidera as configuraçõespersonalizadas e retorna ao padrão; é aplicável em todas as abas e encontra-se nabarra de ferramentas do Firewall, bem como o botão Assistente.CacheHabilitar cache: Esta opção permite definir se o Filtro Web irá redirecionar suasrequisições para um servidor de cache. Caso esta opção esteja habilitada, todasas requisições recebidas serão repassadas para o servidor de cache, noendereço IP e porta especificada. Caso contrário, o Filtro Web atenderá todas asrequisições.IP: Este campo especifica o endereço IP do servidor de cache para onde asrequisições serão redirecionadas, caso a opção habilita cache estiver ativa.Porta: Este campo especifica a porta na qual o servidor de cache espera receberconexões, caso a opção habilita cache estiver ativa.ParâmetrosEsta pasta possibilita ajustar o funcionamento do Filtro Web para situaçõesespeciais. Ela consiste dos seguintes campos:Autentica usuários WWW: Este campo ativa ou não a autenticação de usuáriosdo Filtro Web. Caso ele esteja marcado, será solicitada ao usuário umaidentificação e uma senha todas as vezes que ele tentar iniciar uma sessão eesta somente será iniciado caso ele seja autenticado por algum dosautenticadores.Utiliza cliente de autenticação em Java: Esta opção instrui o proxy a utilizar ocliente de autenticação em Java, mesmo quando operando de modo nãotransparente. A vantagem deste cliente é permitir que a autenticação do usuárioseja completa (como quando se usa o cliente de autenticação para Windows, enão apenas para o Filtro Web).Caso o usuário esteja utilizando o Cliente de Autenticação Aker para Windowse esteja com uma sessão estabelecida com o Firewall, então não será solicitadonome nem senha, ou seja, o proxy se comportará como se não estivesserealizando autenticação de usuários, mas ele está de fato fazendo-o. Se asessão do Cliente de Autenticação for finalizada, então o proxy solicitará umnome de usuário e senha no próximo acesso. Para maiores informações sobre oCliente de Autenticação Aker, leia o capítulo (Autenticação de usuários).Para o cliente de autenticação em Java funcionar em seu browser, ele deveter o suporte o Java instalado e habilitado, além de permitir o uso do protocoloUDP para applets Java.© Aker Security Solutions 581

Forçar autenticação: Se esta opção estiver marcada o proxy obrigará aautenticação do usuário, ou seja, somente permitirá acesso para usuáriosautenticados. Se ela estiver desmarcada e um usuário desejar se autenticar, elepoderá fazê-lo (para ganhar um perfil diferente do padrão), mas acessos nãoidentificados serão permitidos.Tempos LimitesLeitura: Definir o tempo máximo, em segundos, que o proxy aguarda por umarequisição do cliente, a partir do momento que uma nova conexão forestabelecida. Caso este tempo seja atingido sem que o cliente faça umarequisição, a conexão será cancelada.Resposta: Definir o tempo máximo, em segundos, que o proxy aguarda por umaresposta de uma requisição enviado para o servidor WWW remoto ou para oservidor de cache, caso a opção habilita cache esteja ativa. Caso este temposeja atingido sem que o servidor comece a transmitir uma resposta, a conexãocom o servidor será cancelada e o cliente receberá uma mensagem de erro.HTTPS: Definir o tempo máximo, em segundos, que o proxy pode ficar semreceber dados do cliente ou do servidor em uma conexão HTTPS, sem que eleconsidere a conexão inativa e a cancele.Manter ativo: Definir quanto tempo um usuário pode manter uma conexão keepalive(HTTP 1.1) com o proxy inativa, antes que o proxy a encerre, liberando oprocesso para outro usuário. Recomenda-se manter este tempo bastante baixo,para evitar o uso desnecessário de todos os processos do sistema.Timeout das sessões web: Indica quanto tempo uma sessão web vai ficarsendo monitorada, permitindo ao administrador do firewall saber quais são assessões web ativas do seu firewall.Exemplo: Se for marcado 30 segundos nesse campo, a janela de sessões web(Informação -> Sessões Web) só vai mostrar as sessões ativas dos últimos 30segundos.PerformanceNúmero de processos: Definir o número de processos do Filtro Web que vãopermanecer ativos aguardando conexões. Como cada processo atende umaúnica conexão, este campo também define o número máximo de requisições quepodem ser atendidas simultaneamente.Não permitir a transferência de arquivos comprimidos: Permite que oFirewall não aceite transferências do filtro Web que tenham dados compactados.Em uma requisição HTTP e ou HTTPS, pode ser especificado que os dadosvenham compactados. Caso os dados venham comprimidos e caso existaactivex, java ou javascript compactados, o firewall precisa descompactá-los para© Aker Security Solutions 582

fazer a análise dos dados, por isso que nesses casos, essa opção é bastanteimportante. O mais aconselhado é deixar esta opção desmarcada, pois é opadrão da janela.Logar toda URL aceita: Permite que o Firewall logue todas as URL que sãorealizadas um método (GET, POST e etc), sendo assim teremos um volume delogs muito maior para geração de relatórios e contabilização de Quotas.Exemplo: com esta opção desmarcado o acesso ao endereçohttp://www.terra.com.br será gerado apenas um log informando o acesso aoportal, já com a opção marcada será gerado logs para cada GET que o browserfaz para receber todo o site.Por razões de performance, os processos do Filtro Web ficarão ativos sempre,independente de estarem ou não atendendo requisições. Isto é feito com oobjetivo de aumentar a performance.Normalmente, deve-se trabalhar com valores entre 5 e 60 neste campo,dependendo do número de máquinas clientes que utilizarão o proxy (caberessaltar que uma única máquina costuma abrir até 4 conexões simultâneas aoacessar uma única página WWW). O valor 0 inviabiliza a utilização do proxy.QuotasInterromper a transferência quando a quota for excedida: Essa opçãopermite interromper a transferência dos arquivos caso a quota tenha excedido.Caso essa opção não esteja marcada o firewall vai verificar a quota do usuárioantes dele começar a fazer o download.Exemplo: Se o usuário tiver 50 MB de quota, e quer fazer um download de umarquivo de 100 MB, com certeza ele não irá conseguir finalizaressa transferência. Todas às vezes que essa opção estiver marcada, e for maisde um download simultâneo ou um download que não foi informado o seutamanho, o firewall permite o download, mas irá interromper antes do término.Contabilizar duração do download: Permite que o tempo da quota seja "gasto"enquanto durar o tempo do download, por exemplo, se o usuário quiser fazer odownload de um arquivo de 100 MB e esse download levar 30 minutos, vão sergastos 100 MB de volume e 30 minutos de tempo da quota, caso essa opçãonão esteja marcada, só vão ser gastos 100 MB, e não os 30 minutos.© Aker Security Solutions 583

Normalmente o tempo de quota só é utilizado quando o usuário fica navegando,mandando mensagens pelo MSN e etc. Quando ele está fazendo o download deum arquivo grande, não é gasto o tempo de sua quota, somente o volume debytes.ArquivosPermitir retomada de transferência: Está opção deverá ser selecionada caso ousuário queira permitir, que um download continue de onde havia parado.Aba Cliente de AutenticaçãoFigura 381. Filtro Web: cliente de autenticação.© Aker Security Solutions 584

Esta aba serve para compor o Layout da janela de autenticação do Aker Firewall.Crie um título para a janela de autenticação.Autenticação - Este campo é composto por duas opções que serão disponibilizadaspara o usuário quando do logon no Firewall; e poderá se conectar habilitando:Mostrar botão S/Key - Esta opção permite que os usuários se autentiquemusando S/Key.Mostrar campo domínio - O usuário informará o domínio para logar-se no FiltroWeb.LogotipoUsar logo personalizada. Neste caso ao marcar esta opção, será preciso indicaro caminho que se encontra a logotipo.E é possível acompanhar as mudanças na Visualização.Mostrar tela de splash antes da janela de autenticação: Esta opção exibe umajanela com a URL especificada antes de solicitar a autenticação do usuário atravésdo cliente de autenticação em Java.© Aker Security Solutions 585

Aba controle de conteúdoFigura 382. Filtro Web: controle de conteúdo.Analisador de URL: Especificar o agente analisador de URLs que será utilizadopara categorizar as páginas da Internet. Esse agente deve ter sido previamentecadastrado no firewall. Para maiores informações veja o capítulo intituladoCadastrando entidades.URL Bloqueada: Permitir a configuração de qual ação deve ser executado pelofirewall quando um usuário tentar acessar uma URL não permitida. Ela consiste dasseguintes: opções:Mostra mensagem padrão ao bloquear URL: Ao selecionar essa opção, ofirewall mostrará uma mensagem de erro informando que a URL que setentou acessar se encontra bloqueada.Redireciona URL bloqueada: Ao selecionar essa opção, o firewallredirecionará todas as tentativas de acesso a URLs bloqueadas para umaURL especificada pelo administrador. Nesse caso, deve-se especificar a URLpara quais os acessos bloqueados serão redirecionados (sem o prefixohttp://) no campo abaixo.© Aker Security Solutions 586

Mostrar: Essa opção permite definir a página que será mostrada ao usuário,quando a tentativa de acesso a uma URL for bloqueada. Então pode optar emmostrar a página padrão ou redirecionar para a página escolhida, queserá personalizada de acordo com os chekboxs selecionados. Segue abaixo adescrição de cada opção e o detalhamento das variáveis criadas.Cada um desses checkbox selecionado é um parâmetro. Isso é utilizado paraidentificar aonde e porque a página foi bloqueada, por exemplo, se a página foibloqueada porque caiu em alguma categoria, passar por parâmetro qual a categoriaque causou o bloqueio da página.Domínio: Ao selecionar essa opção será mostrado o domínio da URL.Exemplo: Na url www.aker.com.br, o seu domínio seria aker.com.br.Ao selecionar o domínio, é criada a variável domain.Método: Informa qual o método utilizado pelo protocolo HTTP. Ex: GET,PUT, POST. Ao selecionar o Método é criada a variável method.Nome do Perfil: Nome dado, pelo usuário, ao perfil escolhido. Ao selecionaressa opção é criada a variável perfil.IP do usuário: Endereço IP do usuário que tentou acessar a URL que foibloqueada. Ao selecionar o Método é criada a variável IP.Razões: Ao selecionar a Razão é criada a variável reason. Ao habilitar essaopção será mostrada a razão do bloqueio do site. Por exemplo, temos asseguintes razões:"categoria da URL","regra de bloqueio","quota bytes excedidos","quota bytes insuficientes","quota tempo excedido","tipo de objeto não permitido","tipo de arquivo não permitido globalmente","tipo de arquivo não permitido no perfil","connect para a porta especificada não permitida”Nome da Categoria: Nome da Categoria que a URL foi associada. Aoselecionar a Categoria é criada a variável cats.Nome do Usuário: Nome do usuário que tentou acessar a URL. Aoselecionar o nome do usuário é criada a variável user.Número da regra: Número da Regra de Filtragem que a URL se enquadrou.Ao selecionar o número da regra é criada a variável rule.Site da URL bloqueado: Mostra a URL que o usuário tentou acessar e foibloqueada. Ao selecionar o Site da URL bloqueado é criada a variável url.No preview, aparece como será a URL e o que será enviado via método GET.© Aker Security Solutions 587

Aba tipos de arquivosFigura 383. Filtro Web: tipo de arquivo.Arquivos BloqueadosEspecificar os arquivos que serão bloqueados pelo Filtro Web.É possível utilizar dois critérios complementares para decidir se um arquivotransferido deve ser bloqueado: a extensão do arquivo ou seu tipo MIME. Se umdestes critérios for atendido, em outras palavras, se a extensão do arquivo estiverentre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entreaqueles a serem bloqueados, então o arquivo deverá ser bloqueado pelo firewall.O tipo MIME é usado para indicar o tipo de dado que está no corpo de uma respostaem um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipoe o segundo indica o subtipo. O navegador usa esta informação para decidir comomostrar a informação que ele recebeu do mesmo modo como o sistema operacionalusa a extensão do nome do arquivo.© Aker Security Solutions 588

URL Bloqueada: Permitir a configuração de qual ação deve ser executado pelofirewall quando um usuário tentar acessar uma URL não permitida. Ela consiste dasseguintes: opções:Mostra mensagem padrão ao bloquear URL: Ao selecionar essa opção,o firewall mostrará uma mensagem de erro informando que a URL que setentou acessar se encontra bloqueada.Redireciona URL bloqueada: Ao selecionar essa opção, o firewallredirecionará todas as tentativas de acesso a URLs bloqueadas para umaURL especificada pelo administrador. Nesse caso, deve-se especificar aURL para quais os acessos bloqueados serão redirecionados (sem oprefixo http://) no campo abaixo.Mostrar: Essa opção permite definir a página que será mostrada ao usuário,quando a tentativa de acesso a uma URL for bloqueada. Então pode optar emmostrar a página padrão ou redirecionar para a página escolhida, queserá personalizada de acordo com os chekboxs selecionados. Segue abaixo adescrição de cada opção e o detalhamento das variáveis criadas.Cada um desses checkbox selecionado é um parâmetro. Isso é utilizado paraidentificar aonde e porque a página foi bloqueada, por exemplo, se a página foibloqueada porque caiu em alguma categoria, passar por parâmetro qual a categoriaque causou o bloqueio da página.Domínio: Ao selecionar essa opção será mostrado o domínio da URL.Exemplo: Na url www.aker.com.br, o seu domínio seria aker.com.br.Ao selecionar o domínio, é criada a variável domain.Método: Informa qual o método utilizado pelo protocolo HTTP. Ex: GET,PUT, POST. Ao selecionar o Método é criada a variável method.Nome do Perfil: Nome dado, pelo usuário, ao perfil escolhido. Aoselecionar essa opção é criada a variável perfil.IP do usuário: Endereço IP do usuário que tentou acessar a URL que foibloqueada. Ao selecionar o Método é criada a variável IP.Razões: Ao selecionar a Razão é criada a variável reason. Ao habilitaressa opção será mostrada a razão do bloqueio do site. Por exemplo,temos as seguintes razões:"categoria da URL","regra de bloqueio","quota bytes excedidos","quota bytes insuficientes","quota tempo excedido","tipo de objeto não permitido","tipo de arquivo não permitido globalmente","tipo de arquivo não permitido no perfil","connect para a porta especificada não permitido"© Aker Security Solutions 589

Nome da Categoria: Nome da Categoria que a URL foi associada. Aoselecionar a Categoria é criada a variável cats.Nome do Usuário: Nome do usuário que tentou acessar a URL. Aoselecionar o nome do usuário é criada a variável user.Número da regra: Número da Regra de Filtragem que a URL seenquadrou. Ao selecionar o número da regra é criada a variável rule.Site da URL bloqueado: Mostra a URL que o usuário tentou acessar e foibloqueada. Ao selecionar o Site da URL bloqueado é criada a variável url.GET.No preview, aparece como será a URL e o que será enviado via métodoDownloadsEspecificar os arquivos que serão analisados contra vírus pelo Download managerdo Aker Firewall, ou seja, para os quais o firewall mostrará ao usuário uma páginaweb com o status do download do arquivo e realizará seu download em background.Esta opção é interessante para arquivos potencialmente grandes (arquivoscompactados, por exemplo) ou para arquivos que normalmente não sãovisualizáveis de forma on-line pelo navegador.É possível utilizar dois critérios complementares para decidir se um arquivotransferido deve ser analisado: a extensão do arquivo ou seu tipo MIME. Se umdestes critérios for atendido, em outras palavras, se a extensão do arquivo estiverentre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entreaqueles a serem analisados, então o arquivo deverá ser analisado pelo firewall.O tipo MIME é usado para indicar o tipo de dado que está no corpo de uma respostaem um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipoe o segundo indica o subtipo. O navegador usa esta informação para decidir comomostrar a informação que ele recebeu do mesmo modo como o sistema operacionalusa a extensão do nome do arquivo.Sites Excluídos:Deve-se escolher a operação e o texto a ser incluído para análise. Sites que seenquadrarem na lista de excluídos não serão analisados.As escolhas dos operadores podem ser vistas abaixo:© Aker Security Solutions 590

Figura 384. Escolhas dos operadores.Configurações:Anexos Encriptados: Deve-se escolher entre aceitar ou rejeitar um anexoencriptado.Anexos Corrompidos: Deve-se escolher entre aceitar ou rejeitar um anexocorrompido.OnlineDa mesma maneira que em downloads o administrador do firewall deve escolher ostipos MIME e as extensões.© Aker Security Solutions 591

Aba AntivírusFigura 385. Filtro Web: antivírus.Habilitar antivírus: Ao selecionar essa caixa, permitirá que o firewall faça averificação antivírus dos conteúdos que tiverem sendo baixados.O botão Retornar à configuração padrão restaura a configuração original dofirewall para esta pasta.Agente antivírus utilizado: Permitir a escolha de um agente antivíruspreviamente cadastrado para realizar a verificação de vírus. Esse agentedeve ter sido previamente cadastrado no firewall. Para maioresinformações veja o capítulo intitulado Cadastrando entidades.Ignorar erros online do antivírus (podem permitir a passagem deanexos contaminados): Quando este campo estiver selecionado, sehouver um erro de análise do antivírus no tráfego on-line, o mesmo não© Aker Security Solutions 592

loqueará o conteúdo, permitindo a transferência dos dados. Caso ocampo não esteja marcado, a transferência de dados será bloqueada.Ignorar erros de download do antivírus (pode permitir a passagem deanexos contaminados): Quando este campo estiver selecionado, sehouver erro de análise do antivírus no tráfego on-line, o mesmo nãobloqueará o download, permitindo a transferência dos dados. Caso ocampo não esteja marcado, o download será bloqueado.Habilitar janela de progresso do antivírus: Esta opção permitedesabilitar o Download manager do Aker Firewall.Intervalo de atualização do status: Esta opção determina o tempo em apágina de download exibida pelo firewall deve ser atualizada.Número de tentativas: Número máximo de tentativas de download paracada arquivo, caso seja necessário tentar mais de uma vez.Número máximo de downloads simultâneos: Configura o númeromáximo de downloads simultâneos que o firewall irá permitir.Analise de Vírus: Opção para mostrar uma página caso seja encontrado um vírusdurante a análise do antivírus. A página poderá ser a do próprio firewall oupersonalizada pelo usuário. É possível personalizar a mensagem para cada tipo devírus encontrado, bastando utilizar a string {VIR} que será substituída pelo nome dovírus.Mostra mensagem padrão ao bloquear URL: Ao selecionar essa opção,o firewall mostrará uma mensagem de erro informando que a URL que setentou acessar se encontra bloqueada.Redireciona URL bloqueada: Ao selecionar essa opção, o firewallredirecionará todas as tentativas de acesso a URLs bloqueadas para umaURL especificada pelo administrador. Nesse caso, deve-se especificar aURL para quais os acessos bloqueados serão redirecionados (sem oprefixo http://) no campo abaixo.© Aker Security Solutions 593

O Aker Antivirus Module suporta diversas opções de varredura de vírus, worms,dialers, hoax, cavalo de troia e analise heurísticas, abaixo segue uma lista deopções suportadas:Opções de análise: Utilizado para selecionar quais os tipos de bloqueio que devemser realizados (Spywares, Jokes, Dialers, Ferramentas Hacker) e se será ou nãoutilizado um método de detecção heurístico (caso seja marcado, poderá ser utilizadoàs opções baixo, médio ou alto);Habilitar análise heurística: A Heurística é um conjunto de regras emétodos que podem levar o parceiro instalado a detectar um vírus sem anecessidade de uma base de assinaturas de vírus, ou seja, é um algoritmocapaz de detectar programas maliciosos baseando-se em seucomportamento;Detectar Malware: Habilita a analise de programas maliciosos e ferramentashackers.Varredura de Arquivos: Habilitado: Permite habilitar a análise do conteúdo de arquivoscompactados; Nível Máximo de profundidade: Define o nível máximo de recursão aoanalisar um arquivo compactado; Tamanho máximo do Arquivo: Define o tamanho máximo permitido de umarquivo a ser analisado dentro de um arquivo compactado; Número Máximo de Arquivos: Define a quantidade máxima de arquivos aserem analisados dentro de um arquivo compactado.O Aker Antivirus Module suporta a analise de arquivos compactados dasseguintes extensões: ZIP, ARJ, LHA, Microsoft CAB, ZOO, ARC, LZOP, RAR,BZIP2, UPX, AsPack, PEPack, Petite, Telock, FSG, Crunch, WWWPack32, DOC,PDF, TAR, QUAKE, RTF, CHM, 7Zip, CPIO, Gzip, MS OLE2, MS Cabinet Files (+SFX), MS SZDD compression format, BinHex, SIS (SymbianOS packages), AutoIt,NSIS, InstallShield.Aba SSLO proxy HTTPS é a parte do Filtro Web que trata as conexões TCP pela porta 443.O princípio de funcionamento é o de um ataque man-in-the-middle: as máquinasclientes que fazem o acesso através do Aker Firewall, e este com o servidor remoto,de forma transparente.© Aker Security Solutions 594

Entendendo um pouco de certificadosO que é um certificado digital?Certificado digital é um documento fornecido pela Entidade Certificadora para cadauma das entidades que irá realizar uma comunicação, de forma a garantir suaautenticidade.Para os certificados utilizados na comunicação HTTPS o padrão utilizado é o X.509.Este comumente utiliza-se das extensões “pem”, “cer” e “crt”.Formato PKCS#12O formato PKCS#12 foi criado pela “RSA Laboratories” para armazenamento docertificado X.509 acompanhado da chave privada. Esse arquivo geralmente tem aextensão “pfx” e “p12”.Comunicação HTTPSA comunicação HTTPS utiliza-se do sistema de certificação digital.Quando o cliente acessa um site com HTTPS o servidor envia ao cliente ocertificado X.509 (que contém sua chave pública).De posse deste certificado o navegador (cliente) faz algumas validações:Validade do certificado;Se o CN (Common Name) do certificado é o host da url;Se a autoridade certificadora que assinou o certificado é uma autoridadeconfiável.Após a validação ocorrer com sucesso o cliente efetua o processo de comunicaçãode requisições e respostas HTTP.Vejam o diagrama abaixo:© Aker Security Solutions 595

Figura 386. Diagrama de certificados envolvidos no acesso.O diagrama mostra os certificados envolvidos no acesso:Certificado do servidor remoto: certificado original de onde algunsdados como data de expiração e common name são copiados para oscertificados gerados no firewall.Certificado do proxy: certificado criado a cada requisição, que contémcópia daqueles dados do certificado original que identificam o site.Assinado pela CA inserida pelo administrador.Os clientes precisam confiar nessa CA inserida no Aker Firewall para que seubrowser não detecte o ataque. Logo, dois certificados são necessários, um para osclientes e outro para o Aker Firewall.Outros certificados que aparecem são os utilizados pelo Aker Firewall para validaros sites remotos.Gerando certificado para utilização do FirewallPara o firewall poder gerar certificados ele atua como uma Autoridade certificadora(CA), ou seja, ele gera os certificados para os sites no qual é acessado através doProxy. Para poder realizar este processo alguns pré-requisitos são necessários:O firewall necessita de um certificado digital no formato PKCS#12, pois somenteeste tem a chave privada;© Aker Security Solutions 596

O Certificado X.509 contido no PKCS#12 necessita ser um certificado comprerrogativas específicas para que este certificado possa assinar novoscertificados, ou seja, atuar como uma CA.Para o processo de geração do certificado há várias possibilidades, neste FAQserão explicadas duas delas. Para o correto funcionamento do firewall não énecessário realizar estas duas formas, portanto escolha uma delas e realizesomente ela.1. Gerando um certificado auto-assinado com o OpenSSL;2. Utilizando um certificado de uma autoridade certificadora raiz (root) do Windows.Ao final de qualquer um dos dois processos escolhidos haverá dois arquivos queserão utilizados no processo do Proxy HTTPS:1. Arquivo no formato X.509, com extensão .cer;2. Arquivo no formato PKCS#12, com extensão .pfx.O Arquivo PKCS#12 será utilizado na configuração do Proxy HTTPS. O arquivoX.509 precisa ser importado na seção de autoridades certificadoras raizconfiáveis dos navegadores conforme demonstrado posteriormente.© Aker Security Solutions 597

ConfiguraçãoFigura 387. Filtro web: configuração.O proxy HTTPS ativo é habilitado por padrão e tem como opção a filtragem doserviço para determinadas portas e entidades.Controle SSL (proxy Ativo): Permitir a definição das portas de conexão segura(HTTPS) que serão aceitas pelo firewall. Caso um cliente tente abrir uma conexãopara uma porta não permitida, o firewall mostrará uma mensagem de erro e nãopossibilitará o acesso.Permite HTTPS apenas para a porta padrão (443): caso queira utilizarapenas a porta padrão (443), deve-se selecionar a primeira opção. Essa éa configuração a ser utilizada na grande maioria dos firewalls.Permite HTTPS para todas as portas: indica ao firewall que ele deveaceitar conexões HTTPS para quaisquer portas. Essa configuração não érecomendada para nenhum ambiente que necessite de um nível desegurança razoável, já que é possível para um usuário utilizar o proxypara acessar serviços não permitidos simulando uma conexão HTTPS.Permite HTTPS para as entidades abaixo: que possibilita aoadministrador definir exatamente quais portas será permitido. Nesse caso© Aker Security Solutions 598

devem ser cadastradas as entidades correspondentes aos serviçosdesejados. Para maiores informações, veja o capítulo intituladoCadastrando Entidades.Para habilitar o proxy HTTPS transparente, crie uma regra de filtragem para oserviço HTTPS e habilite o proxy no combobox da entidade de serviço (da mesmaforma como se faz para o proxy HTTP). Nesta janela, marque a caixa “Certificadolocal – proxy transparente”.Lista de exceção HTTPS: aqui vão entidades do novo tipo “Listas deCommon Name SSL”, que ficam na aba listas no widget de entidades.Devem ser cadastrados os Common Names dos sites que não devempassar pelo proxy.A lista de Common Names não é tão simples. Por exemplo, “www.gmail.com” e“mail.google.com”, precisam estar na lista pra liberar o Gmail do proxy. Uma lista com“www.bb.com.br” também não é suficiente para proteger o Banco do Brasil, visto que jáao logar um novo certificado é apresentado, para “www2.bancobrasil.com.br”.Certificados utilizados para validação remota: como o proxy faz manin-the-middle,ele também precisa validar os certificados remotos como fazo browser, para detectar ataques de phishing, certificados expirados, etc.Neste campo devem ser inseridos certificados de CA (que não sãoentidades, por enquanto, para evitar lentidão).Utilizar um certificado customizado em caso de erro: caso o proxydetecte que o certificado da outra ponta não é válido, deve avisar ousuário, como faz o browser. Caso esta checkbox esteja marcada o FiltroWeb assina o certificado da comunicação com uma CA de erro importadapelo administrador, para que seja possível adicionar exceções ao proxyem nível de usuário. Com a checkbox desmarcada o acesso é bloqueado,um evento é gerado e uma página de erro vai para o usuário.© Aker Security Solutions 599

Figura 388. Certificado de errro do Firefox.Erro do Firefox ao detectar certificado assinado pela CA de erro.© Aker Security Solutions 600

Certificado assinado pela CA de erro.Figura 389. Certificado assinado pela CA de erro.Figura 390. Erro de acesso.© Aker Security Solutions 601

Sem a CA de erro o acesso é bloqueado.Certificado da CA do proxy: aqui é possível importar/exportar a CA utilizada paraassinar os certificados gerados. Siga os passos abaixo para gerar este certificadocorretamente:Utilizando Open SSL1. Efetue a instalação do OpenSSL;2. Crie um diretório para utilizações durante este processo;3. Crie um arquivo, dentro deste diretório, vazio, com o nome “database.txt”;4. Crie um arquivo, dentro deste diretório, vazio, com o nome “serial.txt”;5. Crie um arquivo nomeado “autoassinado.conf” e adicione o seguinteconteúdo:RANDFILE= .rnd[ ca ]default_ca = CA_default[ CA_default ]certs = certscrl_dir= crldatabase = database.txtnew_certs_dir = certscertificate = cacert.pemserial= serial.txtcrl= crl.pemprivate_key = private\cakey.pemRANDFILE = private\private.rnddefault_days = 365default_crl_days= 3default_md = sha1preserve = nopolicy= policy_match[ policy_match ]commonName = suppliedemailAddress= optionalcountryName = optionalstateOrProvinceName = optionallocalityName= optionalorganizationName = optionalorganizationalUnitName = optional[ req ]default_bits = 1024default_keyfile = privkey.pemdistinguished_name = req_distinguished_name[ req_distinguished_name ]© Aker Security Solutions 602

commonName= Common Name (eg, your website's domainname)commonName_max = 64emailAddress= Email AddressemailAddress_max = 40countryName= Country Name (2 letter code)countryName_min = 2countryName_max = 2countryName_default= BRstateOrProvinceName= State or Province Name (full name)localityName= Locality Name (eg, city)0.organizationName= Organization Name (eg, company)organizationalUnitName = Organizational Unit Name (eg,section)countryName_default= BR[ v3_ca ]certificatePolicies=2.5.29.32.0subjectKeyIdentifier=hashauthorityKeyIdentifier=keyid:always,issuerbasicConstraints=critical,CA:TRUEkeyUsage = critical,cRLSign, keyCertSign, digitalSignature6. Crie a chave privada que será utilizada:openssl genrsa -des3 -out ca.key 1024Neste momento será solicitada a senha para armazenamento da chave, estásenha será utilizada posteriormente para abertura da chave privada.Loading 'screen' into random state - doneGenerating RSA private key, 1024 bit long modulus..............++++++...............++++++e is 65537 (0x10001)Enter pass phrase for ca.key:7. Crie o certificado X.509. Este é o arquivo que será utilizado futuramente parainstalação nos clientes:openssl req -extensions v3_ca -config autoassinado.conf -new -x509 -days 3650 -key ca.key -out firewall.cerNeste momento algumas informações serão solicitadas, a primeira delas é asenha da chave privada criada no passo anterior.Enter pass phrase for ca.key:© Aker Security Solutions 603

Agora serão solicitados os dados do certificado, o único item obrigatório é oCommon Name (CN), nele adicione o nome como deseja que a sua CA sejaidentificada.Após a finalização deste processo temos o nosso certificado conformeimagem abaixo:Figura 391. Certificado de informação.Porém temos dois arquivos, um para a chave privada e outro para o certificado,desta forma será necessário colocá-los em um único arquivo no formato PKCS#12,que é o formato reconhecido pelo firewall.8. Crie o arquivo PKCS#12 com a chave privada e o certificadoopenssl pkcs12 -export -out firewall.pfx -in firewall.cer -inkeyca.key© Aker Security Solutions 604

Neste processo serão solicitadas duas senhas, a primeira para abertura dachave privada e a segunda para a exportação do arquivo PKCS#12. Estasegunda senha será utilizada no momento da importação do arquivoPKCS#12 no firewall.Enter pass phrase for ca.key:Enter Export Password:Verifying - Enter Export Password:Utilizando CA Microsoft:Este item não demonstra como efetuar a instalação de uma autoridade certificadora(CA) no Windows, e sim como utilizar uma já instalada, sendo a instalação desta umpré-requisito para continuidade deste processo.1. Abra a console de gerenciamento de autoridade certificadora em Start >Administrative Tools > Certification Authority (Iniciar > FerramentasAdministrativas > Autoridade de certificação)Figura 392. Certificado de informação.© Aker Security Solutions 605

2. Selecione a sua CAFigura 393. Certificado CA – tela de acesso.3. Nestes próximos passos iremos exportar o certificado X.509 da CA.Clique com o botão direito do mouse e clique em Properties (Propriedades)Figura 394. Certificado CA – properties.4. Selecione o último certificado da CA e clique em View Certificate (Exibircertificado)© Aker Security Solutions 606

Figura 395. Certificado CA – General.5. Na tela de visualização do certificado clique em Details (detalhes) e depoisem Copy to file (Copiar para arquivo)© Aker Security Solutions 607

Figura 396. Certificado CA – Details..6. Selecione um local para salvar o arquivo. Este é o arquivo que será utilizadofuturamente para instalação nos clientes.7. Nestes próximos passos iremos Exportar o arquivo no formato PKCS#12para a utilização no firewall.8. Volte para a tela principal da autoridade certificadora. Clique com o botãodireito do mouse no nome da CA e clique em All Tasks (Todas as tarefas) eclique em Back up CA (Fazer Backup da autoridade de cert...)© Aker Security Solutions 608

Figura 397. Certificado CA – All tasks / Back up Ca.9. Na próxima tela clique em Avançar. Na tela subseqüente selecione somenteo item Private key and CA certificate (Chave particular e certificado deautoridade de certificação), indique o diretório onde será salvo o arquivo,clique em avançar.Figura 398. Certificado Authority Backup Wizard.© Aker Security Solutions 609

10. Nesta tela (baixo) indique a senha de proteção do arquivo PKCS#12. Estasenha será utilizada no momento da importação do arquivo PKCS#12 nofirewall.Figura 399. Certificado Authority Backup Wizard – senha e confirmação.Após este processo será gerado o arquivo PKCS#12 com a chave privada e ocertificado desta CA.Usar um certificado de CA personalizado em caso de erro no proxy: aqui épossível importar/exportar CA utilizada quando há erro na validação do certificadoremoto. Quando a opção de utilizar CA de erro é desmarcada, a opção de visualizara CA de erro fica desabilitada.Importando certificado X.509 no WindowsA importação deste certificado na base do Windows tem efeito em todos osaplicativos que consultam esta base como base dos certificados confiáveis destaforma os certificados gerados pelo Filtro Web serão validados nas estações detrabalho filtradas, sem apresentar as mensagens de segurança mostradas acima.Na lista destes aplicativos estão:Internet Explorer;Google Chrome;Windows live messager (MSN).© Aker Security Solutions 610

1. Abra a Microsoft Managment Console. Acesse: Iniciar > Executar e digitemmc e clique em OK.Figura 400. Microsoft Management Console.2. Na tela do MMC clique em File (Arquivo) depois clique em Add/Removesnap-in... (Adicionar/remover snap-in...).3. Selecione a opção Certificates (Certificados) e clique em Add (Adicionar)© Aker Security Solutions 611

Figura 401. Adicionar ou remover Snap-is.4. Selecione a opção Computer account (Conta de computador), selecione aopção Local Computer (Computador local).© Aker Security Solutions 612

5. Na opção Certificates > Trusted Root Certification Authorities >Certificates (Certificados > Autoridade de certificação raiz confiáveis >Certificados) clique com o botão direito e clique em All tasks > Import(Todas as tarefas > Importar).Figura 402. Microsoft Management Console – certificates, all taks, import).© Aker Security Solutions 613

6. Selecione o arquivo X.509, ou seja, o arquivo com a extensão .cer.Figura 403. Escolha do diretório onde deseja importar o relatório.Importando certificado X.509 no Mozilla Firefox1. Clique em Ferramentas > OpçõesFigura 404. Mozila Firefox (importar certificado).© Aker Security Solutions 614

2. Selecione a opção Avançado > CriptografiaFigura 405. Mozila Firefox (criptografia).© Aker Security Solutions 615

3. Selecione a opção Certificados, na tela de certificados selecione a abaAutoridades e clique no botão Importar.Figura 406. Gerenciador de certificados – autoridades.© Aker Security Solutions 616

Aba Avançado4. Selecione o arquivo X.509, ou seja, o arquivo com a extensão .cer.Figura 407. Filtro Web: avançado.© Aker Security Solutions 617

30.3. Editando os parâmetros de Sessões WebSessões WebFigura 408. Sessões Web.Esta janela permite ao administrador do Firewall, visualizar as sessões ativas,verificando o que foi acessado e por quem, no tempo definido na janela de FiltroWeb, opção “Timeout das sessões web”.As informações serão visualizadas e distribuídas nos seguintes campos:Tempo: Indica o dia e horário e a URL que foi acessada.Host: Indica a máquina de onde foi acessada a URL.Usuário: Indica o usuário que acessou a URL.Perfil: Indica qual o perfil de acesso que o usuário caiu quando tentou acessar aURL.© Aker Security Solutions 618

Regra: Indica qual a regra de acesso que a URL se enquadrou.Categoria: Indica qual a categoria que a URL se enquadrou.Ação: Indica se as sessões web que passaram pelo firewall foram aceitas ourejeitadas.© Aker Security Solutions 619

Configurando o Proxy Socks© Aker Security Solutions 620

31. Configurando o Proxy SocksEste capítulo mostrará para que serve e como configurar o Proxy Socks.31.1. Planejando a instalaçãoO que é o proxy SOCKS do Aker Firewall?O proxy SOCKS é um programa especializado do Aker Firewall feito para trabalharcom programas que suportem o protocolo SOCKS nas versões 4 ou 5.Este proxy possui como função principal prover uma melhor segurança paraprotocolos passarem através do firewall, principalmente protocolos complexos queutilizam mais de uma conexão. É possível através do uso do SOCKS 5 realizarautenticação de usuários para quaisquer serviços que passem pelo firewall, mesmosem o uso do cliente de autenticação.Ele é um proxy não transparente (para maiores informações, veja o capítulointitulado Trabalhando com proxies), desta forma, os clientes que forem utilizá-lodevem ter suporte para trabalhar com proxies e devem ser configurados para usá-lo.Utilizando o proxy SOCKSPara utilizar o proxy SOCKS do Aker Firewall, é necessário a seguinte seqüência depassos:1. Criar os perfis de acesso desejados e associá-los aos usuários e gruposdesejados. (isso foi descrito no capítulo chamado Perfis de acesso deusuários);2. Editar os parâmetros de configuração do proxy SOCKS (isso será mostrado notópico chamado Editando os parâmetros do proxy SOCKS);3. Criar uma regra de filtragem possibilitando que as máquinas clientes tenhamacesso ao proxy (para maiores informações, veja o capítulo intitulado O Filtro deEstados).O proxy SOCKS do Aker Firewall escuta conexões na porta 1080, utilizando oprotocolo TCP. Caso seja necessário, pode-se alterar este valor para qualquerporta, bastando para isso acrescentar o parâmetro -p porta, onde porta é o númeroda porta que queira que ele escute, na hora de iniciá-lo. Esta chamada se encontrano arquivo /aker/bin/firewall/rc.aker, e deve ser alterada de/aker/bin/firewall/fwsocksd para /aker/bin/firewall/fwsocksd -p 8080, porexemplo.© Aker Security Solutions 621

31.2. Editando os parâmetros do Proxy SOCKSPara utilizar o Proxy SOCKS, é necessário a definição de alguns parâmetros quedeterminarão características básicas de seu funcionamento. Esta definição é feitana janela de configuração do proxy SOCKS. Para acessá-la, deve-se:Figura 409. Janela de acesso: Proxy SocksClicar no menu Aplicação da janela de administração.Selecionar o item Proxy Socks.© Aker Security Solutions 622

A janela de configuração de parâmetros do proxy SOCKSFigura 410. Autenticação dos usuários Socks.O botão OK fará com que a janela de configuração do proxy SOCKS sejafechada e as alterações salvas.O botão Aplicar enviará para o firewall todas as alterações feitas porém manteráa janela aberta.O botão Cancelar fará com que todas as alterações feitas sejam desprezadas ea janela seja fechada.Significado dos parâmetros:Autentica usuários SOCKS: Este campo ativa ou não a autenticação de usuáriosdo proxy SOCKS. Caso ele esteja marcado, será solicitada ao usuário umaidentificação e uma senha todas as vezes que ele tentar iniciar uma sessão e estasomente será iniciado caso ele seja autenticado por algum dos autenticadores.Caso o usuário esteja utilizando o Cliente de Autenticação Aker e esteja com umasessão estabelecida com o Firewall, então não será solicitado nome nem senha, ouseja, o proxy se comportará como se não estivesse realizando autenticação deusuários, mas ele está de fato fazendo-o. Se a sessão do Cliente de Autenticaçãofor finalizada, então o proxy solicitará um nome de usuário e senha no próximoacesso. Para maiores informações sobre o Cliente de Autenticação Aker, leia ocapítulo Autenticação de Usuários).A versão 4 do protocolo SOCKS não permite realizar autenticação de usuários,dessa forma, a única maneira de autenticar clientes utilizando essa versão doprotocolo é com o uso do cliente de autenticação. Caso essa opção esteja marcada,a versão suportada pelo cliente for a 4 e não existir uma sessão de perfil de acessoativa, então o firewall não permitirá acessos para o cliente.Tempo limite de resposta: Este parâmetro define o tempo máximo, em segundos,que o proxy aguarda por dados do cliente, a partir do momento que uma novaconexão for estabelecida. Caso este tempo seja atingido sem que o cliente envie osdados necessários, a conexão será cancelada.© Aker Security Solutions 623

Número máximo de processos: Este campo define o número máximo deprocessos do proxy SOCKS que poderão estar ativos simultaneamente. Como cadaprocesso atende uma única conexão, este campo também define o número máximode requisições que podem ser atendidas simultaneamente.© Aker Security Solutions 624

Configurando o Proxy RPC e oProxy DCE-RPC© Aker Security Solutions 625

32. Configurando o Proxy RPC e o proxy DCE-RPCEste capítulo mostrará como configurar o proxy RPC e o proxy DCE-RPC.O que é o proxy RPC?O proxy RPC é um programa especializado do Aker Firewall feito para trabalhar como protocolo RPC, mais especificamente, o SUN RPC, descrito na RFC1050. A suafunção básica é fazer chamadas a funções remotas (Remote Procedure Call), ouseja, funções disponibilizadas por outras máquinas acessíveis através do firewall.Exemplos de protocolos que usam o RPC são os portmapper e o NFS.Quando um cliente deseja realizar uma chamada RPC para um determinadonúmero de processo, o firewall verifica a ação relacionada àquele processo. Sepermitir, o proxy insere as regras de liberação de portas direta e automaticamenteno kernel. Caso contrário, o firewall bloqueia o processo como se ele estivesseindisponível.Ele é um proxy transparente (para maiores informações veja o capítulo intituladoTrabalhando com proxies), desta forma, nem o servidor nem o cliente sabem dasua existência.Utilizando o proxy RPCPara utilizar o proxy RPC, é necessário executar uma seqüência de 2 passos:Criar um serviço que será desviado para o proxy RPC e editar os parâmetrosdo contexto a ser usado por este serviço (para maiores informações, veja ocapítulo intitulado Cadastrando Entidades);Acrescentar uma regra de filtragem permitindo o uso do serviço criado nopasso 1, para as redes ou máquinas desejadas (para maiores informações,veja o capítulo intitulado Filtro de Estados).O que é o proxy DCE-RPC?O proxy DCE-RPC é um programa especializado do Aker Firewall feito paratrabalhar com o protocolo RPC, mais especificamente, o DCE- RPC. A sua funçãobásica é fazer chamada às funções remotas (Remote Procedure Call), ou seja,funções disponibilizadas por outras máquinas acessíveis através do firewall.Exemplos de protocolos que usam o DCE- RPC são os Transmission ControlProtocol (TCP) e o HTTP.Quando um cliente deseja realizar uma chamada DCE-RPC para um determinadonúmero de processo, o firewall verifica a ação relacionada àquele processo. Sepermitir, o proxy insere as regras de liberação de portas direta e automaticamente© Aker Security Solutions 626

no kernel. Caso contrário, o firewall bloqueia o processo como se ele estivesseindisponível.Ele é um proxy transparente (para maiores informações veja o capítulo intituladoTrabalhando com proxies), desta forma, nem o servidor nem o cliente sabem dasua existência.Utilizando o proxy DCE-RPCPara utilizar o Proxy RPC, é necessário executar uma seqüência de 2 passos:Criar um serviço que será desviado para o proxy DCE-RPC e editar os parâmetrosdo contexto a ser usado por este serviço (para maiores informações, veja o capítulointitulado Cadastrando Entidades).Acrescentar uma regra de filtragem permitindo o uso do serviço criado no passo 1,para as redes ou máquinas desejadas (para maiores informações, veja o capítulointitulado O Filtro de Estados).32.1. Editando os parâmetros de um contexto RPCA janela de propriedades de um contexto DCE-RPC será mostrada quando forselecionado o protocolo UDP e a opção Proxy RPC na janela de edição deserviços. Através dela é possível definir o comportamento do proxy RPC quandoeste for lidar com o serviço em questão.© Aker Security Solutions 627

A janela de propriedades de um contexto RPCFigura 411. Propriedades de um contexto RCP.Na janela de propriedades são configurados todos os parâmetros de um contextoassociado a um determinado serviço. Ela consiste dos seguintes campos:Ação padrão: Indicar a ação que será aplicada a todos os serviços remotos quenão estiverem presentes na lista de permissões. O valor aceita permite que oserviço seja utilizado e o valor rejeita impede sua utilização.Lista de permissões: Definir, de forma individual, as permissões de acesso aosserviços remotos.Para executar qualquer operação sobre um serviço na lista de permissões, bastaclicar com o botão direito do mouse sobre ele na coluna RPC. Aparecerá o seguintemenu (Caso não exista nenhum serviço selecionado, somente as opções Inserir eApagar estarão presentes):© Aker Security Solutions 628

Figura 412. Menu de execução da janela RPC.Inserir: Permitir a inclusão de um novo serviço na lista. Se algum serviço estiverselecionado, o novo será inserido na posição selecionada. Caso contrário, o novoserviço será incluído no final da lista.Excluir: Remover da lista o serviço selecionado.Lista de serviços: Contém uma lista pré-definida de serviços e seus respectivosnúmeros. É possível acrescentar serviços que não estejam presentes nessa lista.Para isso, basta clicar no campo logo abaixo da opção Apagar e digitar o código donovo serviço.Para alterar a ação aplicada a um serviço, deve-se clicar com o botão direito domouse sobre ele na coluna Ação e escolher uma das opções, Aceita ou Rejeita,que aparecerão no menu seguinte:Figura 413. Menu de execução da janela RPC (inseir, apagar, rejeitar ou aceitar).Editando os parâmetros de um contexto DCE-RPCA janela de propriedades de um contexto RPC será mostrada quando for selecionado oprotocolo TCP e a opção Proxy DCE-RPC na janela de edição de serviços. Atravésdela é possível definir o comportamento do proxy DCE-RPC quando este for lidar com oserviço em questão.© Aker Security Solutions 629

A janela de propriedades de um contexto DCE-RPCFigura 414. Propriedades de um contexto DCE-RPC.Na janela de propriedades são configurados todos os parâmetros de um contextoassociado a um determinado serviço. Ela consiste dos seguintes campos:Ação padrão: Indicar a ação que será aplicada a todos os serviços remotos quenão estiverem presentes na lista de permissões. O valor aceita permite que oserviço seja utilizado e o valor rejeita impede sua utilização.Lista de permissões: Definir, de forma individual, as permissões de acesso aosserviços remotos.Para executar qualquer operação sobre um serviço na lista de permissões, bastaclicar com o botão direito do mouse sobre ele na coluna RPC. Aparecerá o seguintemenu (Caso não exista nenhum serviço selecionado, somente as opções Inserir eApagar estarão presentes):© Aker Security Solutions 630

Figura 415. Menu de execução da janela DCE-RPC.Inserir: Permitir a inclusão de um novo serviço na lista. Se algum serviço estiverselecionado, o novo será inserido na posição selecionada. Caso contrário, o novoserviço será incluído no final da lista.Excluir: Remover da lista o serviço selecionado.Lista de serviços: Contém uma lista pré-definida de serviços e seus respectivosnúmeros. É possível acrescentar serviços que não estejam presentes nessa lista.Para isso, basta clicar no campo logo abaixo da opção Apagar e digitar o código donovo serviço.Para alterar a ação aplicada a um serviço, deve-se clicar com o botão direito domouse sobre ele na coluna Ação e escolher uma das opções, Aceita ou Rejeita,que aparecerão no menu seguinte:Figura 416. Menu de execução da janela DCE-RPC (inseir, apagar, rejeitar ou aceitar).© Aker Security Solutions 631

Configurando o Proxy MSN© Aker Security Solutions 632

33. Configurando o Proxy MSNEste capítulo mostrará para que serve e como configurar o proxy MSN.33.1. Planejando a instalaçãoO que é o MSN Messenger?MSN Messenger, ou apenas MSN, é um programa de mensagens instantâneascriado pela Microsoft Corporation. O programa permite que um usuário da Internetconverse com outro que tenha o mesmo programa em tempo real por meio deconversas de texto, voz ou até com vídeo. Ele é uma ferramenta gratuita com umgrande número de funcionalidades, algumas potencialmente prejudiciais aoambiente coorporativo como a transferência de arquivos on-line, fazendo com queas empresas busquem soluções para melhor trabalhar com este serviço.O que é o proxy MSN - Messenger do Aker Firewall?Este proxy possui como função principal controlar um importante canal de trânsitode informações que é o MSN Messenger, possibilitando que não se abra mão deseu uso, ao mesmo tempo em que se evita a perda de produtividade. Integrado aosistema de perfis de acesso, esse sistema se adaptará à realidade das corporações,onde cada usuário terá privilégios distintos.As funcionalidades do produto baseiam-se em:Estar integrado ao sistema de perfil de acesso (permitindo controle por usuáriose grupos).Definir white-lists e black-lists, por perfil.Controlar o horário de uso.Controlar o tempo de uso por dia (configurado no perfil) para cada usuário.Controlar o envio/recebimento de arquivo (inclusive por tipo).Controlar convites para outros serviços (vídeo, áudio, games, etc..).Realizar um log de sessões.Utilizando o proxy MSNO MSN Messenger por padrão trabalha na porta TCP 1863, porém também pode seconectar aos servidores através do protocolo HTTP e SOCKS. O Proxy MSN daAker controla os dados que trafegarão através de um proxy transparente (ver maisdetalhes em Trabalhando com proxies).Para utilizar o proxy MSN do Aker Firewall é necessário a seguinte seqüência depassos:© Aker Security Solutions 633

1. Definir os parâmetros genéricos do proxy MSN.2. Criar os perfis de acesso desejados e associá-los aos usuários e gruposdesejados. (Isso foi descrito no capítulo chamado Perfis de acesso deusuários).3. Associar a uma regra de filtragem possibilitando que os usuários possam utilizaro serviço MSN (para maiores informações, veja o capítulo intitulado O Filtro deEstados).33.2. Editando os parâmetros do Proxy MSNPara utilizar o proxy MSN é necessário a definição de alguns parâmetros quedeterminarão características básicas de seu funcionamento. Esta definição é feitana janela de configuração do proxy MSN. Para acessá-la, deve-se:Figura 417. Janela de acesso: Proxy Messenger.Clicar no menu Aplicação da janela de administração do FirewallSelecionar o item Proxy Messenger© Aker Security Solutions 634

A janela de configuração de parâmetros do proxy MSNO botão OK fará com que a janela de configuração do proxy MSN seja fechada eas alterações salvas.O botão Aplicar enviará para o firewall todas as alterações feitas, porémmanterá a janela aberta.O botão Cancelar fará com que todas as alterações feitas sejam desprezadas ea janela seja fechada.Esta janela é composta por quatro abas:Aba Tipos de ServiçosFigura 418. Proxy Messenger – Aba Tipo Serviço.Esta aba define os serviços adicionais que poderão ser utilizados através de umaconexão MSN. Estes serviços poderão posteriormente ser controlados a partir dasregras dos perfis de cada usuário.Para inserir um novo tipo de serviço, deve-se clicar com o botão direito e selecionara opção Novo.Para remover um tipo de serviço, deve-se clicar com o botão direito sobre o serviçoa ser removido e escolher a opção Remover.© Aker Security Solutions 635

Para editar qualquer um dos campos de um serviço, basta clicar com o botão direitosobre a coluna cujo valor se deseja alterar e modificar o dado diretamente no menuque irá aparecer.É possível adicionar automaticamente vários serviços pré-configurados, bastandopara isso clicar no botão Adicionar Serviços Padrão, localizado na barra detarefas.Aba MensagensFigura 419. Proxy Messenger – Aba Mensagens.Esta aba permite configurar as mensagens que serão mostradas aos usuáriosinternos e externos quando eles não tiverem permissão de executar umadeterminada ação através do proxy messenger.© Aker Security Solutions 636

Aba Controle de AcessoFigura 420. Proxy Messenger – Controle de acesso.Essa aba controla o acesso dos usuários, por meio da vinculação de um passport aum perfil.No campo Passport, seleciona-se uma entidade do tipo lista de e-mails, essaentidade será associada a algum perfil definido no Firewall.Por exemplo: *@aker.com.br --> perfil "Teste", isso significa que todos os usuáriosque tiverem o login no MSN terminando por @aker.com.br irá automaticamente cairno perfil teste.© Aker Security Solutions 637

Aba ConfiguraçõesFigura 421. Proxy Messenger – Configurações.Essa aba permite configurar a quantidade máxima de descritores (socket) e/ouarquivos que o processo do proxy MSN pode abrir. O valor padrão é de 1024, maspode chegar a até 8192 no máximo.O Aker Firewall 6.1 conta com a análise de vírus para arquivos transferidos. Paraativar essa verificação marque a opção “Habilitar Antivírus no MSN” caso desejeque o firewall analise os arquivos.A opção “Permitir a passagem de arquivos se ocorrer erro no Antivírus” permitetransferência de arquivos infectados, caso o servidor de antivírus estiverindisponível.Marque "Usar Antivírus Local" para que o firewall utilize o antivírus já incluído nele,caso contrário, inclua a autenticação e o endereço de IP do seu servidor Antivírus.© Aker Security Solutions 638

Configurando a Filtragem deAplicações© Aker Security Solutions 639

34. Configurando a Filtragem de AplicaçõesEste capítulo mostrará para que serve e como configurar a Filtragem de Aplicações.34.1. Planejando a instalaçãoO que é a Filtragem de Aplicações?Esta filtragem baseia-se no controle dos dados que estão passando através do AkerFirewall. É possível analisar o conteúdo de protocolos e tipos reais de arquivos queestão trafegando, independentemente de que porta de comunicação estejautilizando e automaticamente bloqueá-los ou colocá-los em uma prioridade detráfego mais baixa, evitando o consumo de banda com recursos desnecessários.Esta filtragem pode ser realizada de forma global, tratando qualquer pacote quepasse pelo firewall ou por perfis de acesso. Em especial, os seguintes tipos detráfego podem ser identificados:Download de tipos de arquivos específicos via FTP, HTTP e aplicativos peer-topeer.Conexões de controle de aplicativos peer-to-peer (GNUTELLA, Napster, Kazaa,etc) e de comunicação (Messenger, ICQ, etc.) sobre qualquer mídia (TCP ouUDP direto e proxy HTTP).Utilizando as regras de Filtragem de AplicaçãoPara utilizar a Filtragem de Aplicação do Aker Firewall deve-se seguir a seguinteseqüência de passos:1. Criar os filtros desejados, o que está descrito no tópico Criando Filtros deAplicações.2. Criar regras de filtragem de aplicações globais ou para os perfis de acessodesejados.34.2. Criando Regras de Filtragem de AplicaçõesPara acessar a janela de filtragem de aplicações deve-se:© Aker Security Solutions 640

Figura 422. Janela de acesso: Filtragem de aplicações.Clicar no menu Aplicação da janela de administração do Firewall.Selecionar o item Filtragem de Aplicações.© Aker Security Solutions 641

A janela de regras de Filtragem de AplicaçõesFigura 423. Filtragem de aplicações – Regras de filtragem de aplicações.Esta janela é composta por duas abas, uma com a definição das regras globais dafiltragem de aplicações e outra que permite a criação dos filtros que serão utilizadosnestas regras e nas regras de filtragem dos perfis de acesso.O botão OK fará com que a janela seja fechada e as alterações salvas.O botão Aplicar enviará para o firewall todas as alterações feitas, porémmanterá a janela aberta.O botão Cancelar fará com que todas as alterações feitas sejam desprezadas ea janela seja fechada.Regras de Filtragem de AplicaçãoEsta aba disponibiliza as regras de aplicação que serão utilizadas pelo firewall deforma global. É possível também criar regras específicas para os perfis de acesso(para maiores informações veja Cadastrando perfis de acesso).Estas regras permitem, por exemplo, que determinados tipos de arquivos sejambloqueados de acordo com seu tipo real, independentemente de sua extensão ouprotocolo que esteja sendo utilizado para enviá-los. É possível também ao invés debloqueá-lo, simplesmente mudar a prioridade de um serviço ou tipo de arquivosendo transmitido.© Aker Security Solutions 642

Uma das grandes utilizações destes filtros é para otimização do acesso à Internet. Épossível, por exemplo, que todos os usuários tenham um acesso rápido a Internet,porém quando estes tentarem baixar arquivos cujos tipos não sejam consideradosimportantes, i.e, mp3, vídeos, etc, a conexão sendo utilizada para transferir estesarquivos automaticamente fique com uma largura de banda bastante reduzida.Para executar qualquer operação sobre uma regra, basta clicar sobre ela com obotão direito e a seguir escolher a opção desejada no menu que irá aparecer. Asseguintes opções estão disponíveis:Figura 424. Menu de operação sobre uma regra.Inserir: Permitir a inclusão de uma nova regra na lista.Copiar: Copiar a regra selecionada para uma área temporária.Colar: Copiar a regra da área temporária para a lista.Excluir: Remover da lista a regra selecionada.Habilitar/Desabilitar: Habilitar ou desabilitar a regra selecionada, de acordocom seu estado atual.Cada regra consiste dos seguintes campos:Origem: Especificar as origens da comunicação que o filtro estará inspecionando,para isso deve-se inserir uma ou mais entidades do tipo máquinas, redes ouconjuntos (para maiores informações veja o capítulo Cadastrando entidades).Destino: Especificar os destinos da comunicação que o filtro estará inspecionando,para isso deve-se inserir uma ou mais entidades do tipo máquinas, redes ouconjuntos (para maiores informações veja o capítulo Cadastrando entidades).Serviço: Especificar os serviços da comunicação que o filtro estará inspecionando,para isso deve-se inserir uma ou mais entidades do tipo serviço (para maioresinformações veja o capítulo Cadastrando entidades).© Aker Security Solutions 643

Filtros de Aplicação: Indicar quais os filtros que estarão ativos para as conexõesque forem em direção a um dos destinos especificados na regra e utilizando um dosserviços também especificados. A definição dos filtros é feita na janela de Filtragemde Aplicações. Para maiores informações veja o capítulo Configurando Filtragemde Aplicações.Ação: Indicar a ação que será tomada pelo firewall caso um dos filtros especificadosseja aplicado. Ela consiste das seguintes opções:Aceita: Significa que a conexão será autorizada a passar através do firewall.Rejeita: Significa que a conexão não passará pelo firewall e será enviado umpacote de reset para a máquina originária da comunicação.Descarta: Significa que a conexão não passará pelo firewall, mas não será enviadonenhum pacote para a máquina de origem.Mudar prioridade: Indica que a conexão será aceita, porém com uma prioridadediferente, que deverá ser especificada na coluna Canal.Bloqueia origem: Indica que a máquina que originou a conexão deverá serbloqueada por algum tempo (isso significa que todas as conexões originadas nelaserão recusadas). A coluna Tempo de Bloqueio serve para especificar por quantotempo a máquina permanecerá bloqueada.Canal: Esta coluna só estará habilitada caso a ação Mudar prioridade tenha sidoselecionada. Ela indica qual a nova prioridade que será atribuída à conexão. Deveseinserir uma entidade do tipo canal (para maiores informações veja o capítuloCadastrando entidades).Tempo de bloqueio: Esta coluna só estará habilitada caso a ação Bloqueiaorigem tenha sido selecionada. Ela indica por quanto tempo a máquina origem serábloqueada.34.3. Criando Filtros de AplicaçõesOs filtros de aplicações informam ao firewall o que deve ser buscado em umacomunicação para possibilitar a identificação de um determinado protocolo ou tipode arquivo. O produto já vem com vários filtros pré-configurados, porém é possívelque o administrador configure novos filtros para atender às suas necessidades.Para acessar a janela de criação dos Filtros de Aplicações deve-se:© Aker Security Solutions 644

Figura 425. Janela de acesso: Filtragem de aplicações.Clicar no menu Aplicação da janela de administração do Firewall.Selecionar o item Filtragem de Aplicações.Clicar na aba Filtros de Aplicações.© Aker Security Solutions 645

A janela de criação de Filtros de AplicaçõesFigura 426. Filtragem de aplicações – Filtros de Aplicações.Esta janela está dividida em duas partes. Na parte superior aparece uma lista dosfiltros atualmente criados. Ao selecionar um filtro, serão mostrados na parte inferiorda janela as operações de pesquisa relacionadas a ele.Para executar qualquer operação sobre um filtro, basta clicar sobre ele com o botãodireito e a seguir escolher a opção desejada no menu que irá aparecer. Asseguintes opções estão disponíveis:Figura 427. Menu de operação sobre um filtro.Inserir: Permite a inclusão de um novo filtro na lista.Copiar: Copiar o filtro selecionado para uma área temporária.Colar: Copiar o filtro da área temporária para a lista.Excluir: Remover da lista o filtro selecionada.© Aker Security Solutions 646

Para alterar o nome do filtro ou a forma de concatenação das operações do mesmo,basta clicar com o botão direito sobre a coluna correspondente. Para incluir, editarou excluir operações de um determinado filtro, deve-se selecioná-lo na partesuperior da janela e a seguir clicar com o botão direito sobre qualquer uma dasoperações. O seguinte menu aparecerá:Figura 428. Menu de operação para acessar o nome do filtro ou forma de concatenação.Inserir: Permite a inclusão de uma nova operação para o filtro selecionado.Editar: Abrir a janela de edição para modificar a operação selecionada.Remover: Remover da lista a operação selecionada.Ao editar uma operação, a seguinte janela será mostrada:Figura 429. Operações de filtragem.O que filtrar: Neste campo deve-se colocar a seqüência de bytes que deve serpesquisada na conexão.Seqüência de bytes: Especificar se a procura deve ser a partir do início do arquivoou da comunicação ou em um ponto qualquer do mesmo.Iniciar em: Caso se tenha escolhido que a pesquisa deve ser feita a partir do meiodo arquivo ou comunicação, este campo serve para especificar em que posiçãodeve-se começar a pesquisa.© Aker Security Solutions 647

Profundidade da procura (bytes): Indicar a quantidade de bytes que seráanalisada a partir da posição de início de pesquisa.Direção: Direção em que os dados serão analisados para verificar a existência daseqüência definida em O que filtrar.Onde pesquisar: Definir a seqüência de dados que será pesquisada nos dados doarquivo/protocolo ou nos metadados (cabeçalho).© Aker Security Solutions 648

Configurando IDS/IPS© Aker Security Solutions 649

35. Configurando IDS/IPSEste capítulo mostrará as funções oferecidas pelo conjunto IPS/IDS e como realizarsua configuração.Sobre o módulo de IPS/IDSO módulo de IPS/IDS do Aker Firewall reúne diversas funções para identificação ebloqueio de ataques em tempo real. Este módulo trabalha de forma integrada com ofirewall e consegue, com isso, oferecer um alto grau de proteção. O módulo internovem com vários ataques pré-configurados, sendo possível sua atualização atravésda Internet. Além do módulo interno, é possível também utilizar um IDS externo, deforma a complementar ainda mais o nível de segurança da solução.35.1. Acessando IPS/IDSPara ter acesso a janela de configuração dos parâmetros de IPS/IDS, deve-se:Figura 430. Janela de acesso: IPS/IDS.© Aker Security Solutions 650

Clicar no menu Segurança na janela do Firewall que queira administrar.Escolher o item IPS/IDS.A janela de configuração do IDS/IPSEsta janela é composta por quatro abas, cada uma responsável por um aspectodistinto da configuração do módulo de IDS.O botão OK fará com que a janela seja fechada e as alterações salvas.O botão Aplicar enviará para o firewall todas as alterações feitas porém manteráa janela aberta.O botão Cancelar fará com que todas as alterações feitas sejam desprezadas ea janela seja fechada.Regras IDSFigura 431. IPS/IDS – Regras IDS.© Aker Security Solutions 651

Esta aba contém todas as regras de IDS definidas no Aker Firewall. Cada regra serámostrada em uma linha separada, composta de diversas células. Caso uma dasregras esteja selecionada, ela será mostrada em uma cor diferente.Para executar qualquer operação sobre uma regra, basta clicar sobre ela com obotão direito e a seguir escolher a opção desejada no menu que irá aparecer. Asseguintes opções estão disponíveis:Figura 432. Menu para execução de operação de regras..Inserir: Permitir a inclusão de uma nova regra na lista.Copiar: Copiar a regra selecionada para uma área temporária.Colar: Copiar a regra da área temporária para a lista.Excluir : Remover da lista a regra selecionada.Habilitar/Desabilitar: Habilitar ou desabilitar a regra selecionada, de acordo comseu estado atual.Cada regra consiste dos seguintes campos:Origem: Especificar as origens da comunicação que o filtro estará inspecionando,para isso deve-se inserir uma ou mais entidades do tipo máquinas, redes ouconjuntos (para maiores informações veja o capítulo Cadastrando entidades).Destino: Especificar os destinos da comunicação que o filtro estará inspecionando,para isso deve-se inserir uma ou mais entidades do tipo máquinas, redes ouconjuntos (para maiores informações veja o capítulo Cadastrando entidades).Serviço: Especificar os serviços da comunicação que o filtro estará inspecionando,para isso deve-se inserir uma ou mais entidades do tipo serviço (para maioresinformações veja o capítulo Cadastrando entidades).Filtros IDS: Nesta coluna deve-se inserir os filtros IDS que estarão ativos para estacomunicação. Deve-se escolher um dos grupos de filtros disponíveis e© Aker Security Solutions 652

posteriormente, caso seja desejado, habilitar individualmente os filtros dentro decada grupo. Os seguintes grupos estão disponíveis: FTP: É composto de filtros contra ataques que visam servidores FTP. HTTP: É composto de filtros contra ataques que visam servidores WEB. HTTP Client: É composto de filtros contra ataques que visamnavegadores. POP3: É composto de filtros contra ataques que visam leitores de e-mail. IMAP: É composto de filtros contra ataques que visam leitores de e-mail. SMTP: É composto de filtros contra ataques que visam servidores de e-mail. TCP: É composto de filtros contra ataques genéricos utilizando o protocoloTCP. UDP: É composto de filtros contra ataques genéricos utilizando oprotocolo UDP.Uma vez inseridos os filtros, é possível clicar sobre esta mesma coluna com o botãodireito, escolher o nome do grupo de filtros desejado e indicar se os ataquespertencentes a este grupo devem ser selecionados automaticamente, opçãoSelecionar todo o grupo, ou manualmente através da opção Seleção manual.Ação: Esta coluna indica a ação que será tomada pelo firewall caso um dos filtrosespecificados seja aplicado. Ela consiste das seguintes opções:Ignora: Significa que o ataque será ignorado pelo firewall.Bloqueia: Indica que a máquina que originou a conexão deverá ser bloqueada poralgum tempo (isso significa que todas as conexões originadas nela serãorecusadas).Tempo de Bloqueio: Esta coluna indica por quanto tempo uma máquina atacantepermanecerá bloqueada.© Aker Security Solutions 653

Filtros IDSFigura 433. IPD/IDS – Filtros IDS.Esta janela serve para se ver os filtros de IDS que estão disponíveis no firewall bemcomo criar novos filtros. Ela consiste de uma lista com os filtros atualmente criados.É possível ver esta lista de três maneiras distintas: por grupo de filtros (conformemostrado no tópico anterior), por classe de ameaça ou uma lista linear com todos osfiltros. O campo Organizar por, localizado na parte superior da janela permite aescolha da forma de visualização mais adequada.Classes de ameaça:Ataque: ataques diretos que exploram bugs ou vulnerabilidades deaplicativos ou sistemas operacionais.Malware: ataques originados de vírus e cavalos-de-tróia.Sondagem: varredura de portas ou identificação de vulnerabilidades.© Aker Security Solutions 654

Grupos dos filtros:FTP: É composto de filtros contra ataques que visam servidores FTP.HTTP: É composto de filtros contra ataques que visam servidores WEB.HTTP Client: É composto de filtros contra ataques que visam navegadores.POP3: É composto de filtros contra ataques que visam leitores de e-mail.SMTP: É composto de filtros contra ataques que visam servidores de e-mail.TCP: É composto de filtros contra ataques genéricos utilizando o protocoloTCP.UDP: É composto de filtros contra ataques genéricos utilizando o protocoloUDP.Ao selecionar um filtro é mostrada na parte inferior da janela uma URL dereferência, que permite ao administrador obter maiores informações sobre o ataque.Para inserir um novo filtro, deve-se clicar com o botão direito sobre a lista de filtros eselecionar a opção Novo filtro. A seguinte janela será mostrada:A janela de criação/edição de filtrosFigura 434. Filtros IDS – Configuração do filtro.O botão OK fará com que a janela seja fechada e as alterações salvas.O botão OK e novo fará com que a janela seja fechada, as alterações salvasporém a janela permaneça aberta. Isso é particularmente útil quando se desejacadastrar vários ataques seguidamente.O botão Cancelar, fará com que todas as alterações feitas sejam desprezadas ea janela seja fechada.© Aker Security Solutions 655

Esta janela permite criar um novo filtro ou alterar os parâmetros de um filtro jáexistente. Ela consiste dos seguintes parâmetros:Nome do filtro: Nome pelo qual o filtro será referenciado no restante do firewall.Url de referência: URL que permite obter maiores informações sobre o ataque (estecampo é puramente informativo).O que filtrar: Neste campo deve-se colocar a seqüência de bytes que identifica oataque.Iniciar em: Este campo serve para especificar em que posição do fluxo de dadosdeve-se começar a pesquisa.Profundidade da procura (bytes): Este campo indica a quantidade de bytes queserá analisada a partir da posição de início de pesquisa.Direção: Direção em que os dados serão analisados para verificar a existência daseqüência definida em O que filtrar.Protocolo: Indica em que protocolo o ataque será pesquisado. As seguintes opçõesestão disponíveis:UDP: Procura dados diretamente no protocolo UDP.TCP: Procura dados diretamente no protocolo TCP.Cabeçalho HTTP: Procura dados no cabeçalho do protocolo HTTP.URL HTTP: Procura dados em URLs do protocolo HTTP.Corpo do HTTP: Procura dados no corpo do protocolo HTTP.Comando SMTP: Procura dados em comandos do protocolo SMTP.Dados do SMTP: Procura dados no corpo do protocolo SMTP.Comando FTP: Procura dados em comandos do protocolo FTP.Dados do FTP: Procura dados no corpo do protocolo FTP.Comando POP3: Procura dados em comandos do protocolo POP3.Dados do POP3: Procura dados no corpo do protocolo POP3.Grupo: Este campo informa ao firewall em que grupo este ataque deve sercolocado.Classe de ameaça: Este campo informa ao firewall em que classe de ameaça esteataque deve ser colocada.© Aker Security Solutions 656

PortscanFigura 435. IPD/IDS - Portscan.Esta aba serve para configurar a proteção contra ataques de varreduras de portas.Estes ataques consistem em tentar acessar todas ou várias portas de comunicaçãoem uma ou mais máquinas de uma rede. Ele é normalmente o primeiro ataque feitopor um hacker, já que objetiva determinar quais os serviços e máquinas que estãoativos em uma rede.Para configurar a proteção contra varredura de portas, os seguintes parâmetrosdevem ser preenchidos:Detecção de portscan ativada: Esta opção deve estar marcada para ativar osuporte detecção de varreduras de portas e desmarcada para desativá-lo.Número permitido de portas varridas: Este campo indica o número máximo deportas que podem ser acessadas em uma mesma máquina. Tentativas de acessode um número maior de portas farão que a máquina origem seja bloqueada.© Aker Security Solutions 657

Número permitido de máquinas x portas: Este campo indica o número máximo deportas que podem ser acessadas em uma ou mais máquinas. Para este parâmetro éa mesma coisa se um potencial atacante acessa duas portas em uma máquina ouuma porta em duas máquinas. Tentativas de acesso de um número maior de portasfarão que a máquina origem seja bloqueada.Exemplo: Se o valor deste parâmetro for 12, uma pessoa qualquer poderia acessaras seguintes combinações sem ser considerado um ataque:12 portas por máquina em uma máquina6 portas por máquina em 2 máquinas4 portas por máquina em 3 máquinas3 portas por máquina em 4 máquinas1 porta por máquina em 12 máquinasTempo limite de detecção: Este campo indica o tempo em que as informações deacesso serão mantidas pelo firewall. Valores muito baixos possibilitarão varredurasde portas muito lentas (por exemplo, 1 porta por hora). Valores muito altos ocuparãomemória desnecessariamente.Bloquear a máquina do ataque por: No caso de detecção de um ataque devarredura de portas, esta coluna indica por quanto tempo a máquina atacantepermanecerá bloqueado, sem poder iniciar nenhuma conexão através do firewall.Entidades protegidas: Esta lista indica as entidades (máquinas, redes ouconjuntos) que estarão protegidas contra ataques de varreduras de portas.Para incluir uma nova entidade nesta lista, deve-se proceder de um dos seguintesmodos:Executar uma operação de drag-n-drop (arrastar e soltar) da janela deentidades diretamente para a lista.Abrir o menu de contexto na lista entidades protegidas com o botão direito domouse ou com a tecla correspondente no teclado e selecionar Adicionarentidades , para então escolher aquelas que serão efetivamente incluídas nalista.Para remover uma entidade da lista, deve-se marcá-la e pressionar a tecla delete ,ou escolher a opção correspondente no menu de contexto, acionado com o botãodireito do mouse ou com a tecla correspondente:Entidades que podem fazer portscan: Esta lista indica as entidades (máquinas,redes ou conjuntos) que poderão executar ataques de varreduras de portas. Estalista serve basicamente para liberar acesso a ferramentas de detecção devulnerabilidades ou de monitoração.Para incluir uma nova entidade nesta lista, deve-se proceder de um dos seguintesmodos:© Aker Security Solutions 658

Executar uma operação de drag-n-drop (arrastar e soltar) da janela deentidades diretamente para a lista.Abrir o menu de contexto na lista entidades que podem fazer portscan com obotão direito do mouse ou com a tecla correspondente no teclado eselecionar Adicionar entidades , para então escolher aquelas que serãoefetivamente incluídas na lista.Para remover uma entidade da lista, deve-se marcá-la e pressionar a tecla delete ,ou escolher a opção correspondente no menu de contexto, acionado com o botãodireito do mouse ou com a tecla correspondente:IDS ExternoFigura 436. IPD/IDS – IDS Externo.Nessa aba são configurados todos os parâmetros que propiciam que agentes deIDS Externo acrescentem regras de bloqueio no Firewall. Os seguintes parâmetrosestão disponíveis:© Aker Security Solutions 659

Habilitar agente de IDS: Esta opção deve estar marcada para ativar o suporte aagentes IDS externos e desmarcada para desativá-lo. (ao se desabilitar o suporte aagentes IDS, as configurações antigas continuam armazenadas, mas não podemser alteradas).Agente IDS a ser usado: Esse campo indica o agente IDS que estará habilitado aincluir regras de bloqueio no firewall. Esse agente deve ter sido previamentecadastrado no firewall. Para maiores informações veja o capítulo intituladoCadastrando entidades.Status permite ao administrador verificar o status da conexão com o agente IDS.Um valor verde, com a palavra Conectados, indica que o firewall conseguiuautenticar-se e estabelecer com sucesso a comunicação com o agente.O botão Atualizar fará com que o status da conexão seja renovado.O botão Remover fará com que todas as regras cadastradas pelo agente IDS sejamexcluídas do firewall.35.2. Visualizando os IPs bloqueadosÉ possível a qualquer momento visualizar a lista de IPs que estão bloqueados nofirewall, devido à inclusão de uma regra de bloqueio temporária do módulo deIDS/IPS.Para ter acesso a janela de IPs bloqueados, deve-se:© Aker Security Solutions 660

Figura 437. Janela de acesso: IPs bloquados.Clicar no menu Informação na janela do Firewall que queira administrar.Escolher o item IPs bloqueados.© Aker Security Solutions 661

A janela de IPs bloqueadosFigura 438. IPs bloquados.Esta janela consiste de uma lista onde cada IP bloqueado é mostrado em uma linha,com as seguintes informações:IP Bloqueado: Endereço IP de uma máquina que foi bloqueada;Inserido por: Módulo que inseriu a regra de bloqueio temporária;Data de expiração: Até quando este IP permanecerá bloqueado;Para remover um IP da lista, basta selecioná-lo e então clicar com o botão direito.Ao ser mostrado o menu pop-up , basta selecionar a opção Remover IP;Para atualizar a lista de IPs, basta clicar com o botão direito e selecionar a opçãoAtualizar no menu pop-up.35.3. Configurando a atualização de assinaturasÉ fundamental que qualquer IDS esteja sempre atualizado com as assinaturas dosataques mais recentes, caso contrário, em pouco tempo ele se torna obsoleto. OAker Firewall permite que configurar o seu IDS interno para automaticamente baixar© Aker Security Solutions 662

as novas assinaturas que forem disponibilizadas pela Aker, diretamente de nossosite web.Para ter acesso a janela de atualização de assinaturas deve-se:Figura 439. Janela de Acesso – atualização de assinaturas.Clicar no menu Configurações do sistema na janela do Firewall que queiraadministrar.Escolher o item Atualização de assinaturas.A janela de configuração de atualização de assinaturas:© Aker Security Solutions 663

Figura 440. Atualização de assinaturas.Esta janela consiste de duas partes: no lado esquerdo pode configurar os dias dasemana em que o download de assinaturas será realizado e em que horário. Nolado direito, pode visualizar informações sobre a última atualização de assinaturasrealizada: seu horário, se foi bem sucedida ou não, entre outras informações.O botão OK fará com que a janela seja fechada e as alterações salvas.O botão Aplicar enviará para o firewall todas as alterações feitas porém manteráa janela aberta.O botão Cancelar fará com que todas as alterações feitas sejam desprezadas ea janela seja fechada.35.4. Instalando o Plugin para IDS Externo no WindowsNo caso de se desejar utilizar um IDS externo, além da configuração mostrada emIDS Externo, faz-se necessário a instalação do plugin para possibilitar acomunicação deste IDS externo com o firewall. A instalação do plugin para IDS ébastante simples. Efetue o download no site da Aker (http://www.aker.com.br), inicieo programa que acabou de efetuar o download.O programa inicialmente mostrará uma janela pedindo uma confirmação paraprosseguir com a instalação. Deve-se clicar no botão Continuar para prosseguircom a instalação. A seguir será mostrada uma janela com a licença de uso doproduto e pedindo uma confirmação para continuar. Deve-se clicar no botão EuConcordo para continuar com a instalação.© Aker Security Solutions 664

Configuração do plugin do Aker Firewall para IDS ExternoApós realizada a instalação do plugin é necessário proceder com a suaconfiguração. Esta configuração permite fazer o cadastramento de todos os firewallsque serão notificados, bem como a definição de que regras serão acrescentadas.Para ter acesso ao programa de configuração deve-se clicar no menu Iniciar, eselecionar o grupo Aker Firewall. Dentro deste selecionar o grupo Detecção deIntrusão e então a opção Detecção de Intrusão. A seguinte janela será mostrada:Figura 441. Configuração IDS – configuração.Esta janela consiste de 4 pastas. Na primeira, que está sendo mostrada acima, éonde é feita a configuração do plugin. Ela consiste de uma lista com o nome dasdiversas configurações criadas pelo administrador e que depois serão mostradascomo opção de ação no console de administração do Real Secure. Pode-se© Aker Security Solutions 665

especificar o nome de uma das configurações quando na execução de um eventoou utilizar o botão Default para especificar uma configuração que será executadapor padrão, isto é, quando não for especificada o nome de nenhuma configuração.Para criar uma nova configuração, basta clicar no botão Inserir , localizado na parteesquerda superior da janela. Fazendo isso, uma configuração em branco serácriada. Para editar os parâmetros desta ou de qualquer outra configuração bastaclicar sobre seu nome e a seguir modificar os parâmetros desejados.Significado dos parâmetrosNome da configuração: Este é o nome que será mostrado no console deadministração do Real Secure, NFR, Dragon Enterasys e Snort. Quandoselecionado, executará as ações definidas pelo administrador.Notificação: Este campo permite definir que ações serão executadas pelo firewallquando uma regra de bloqueio for acrescentada pela execução da configuração.Caso a opção Padrão seja selecionada, então as ações associadas à mensagemRegra de bloqueio IDS acrescentada serão executadas. Caso contrário pode-seespecificar exatamente que ações devem ser tomadas. Para maiores informaçõessobre a configuração das ações, veja o capítulo Configurando as ações dosistema.Bloqueio: Este campo permite definir que tipo de bloqueio será realizado quando aconfiguração for executada. Existem três opções possíveis que podem serselecionadas independentemente (quando mais de uma opção for selecionada, aregra bloqueará pacotes que se enquadrem em todas as opções marcadas e nãoem apenas algumas):Origem: Os pacotes que tiverem endereço origem igual ao da regra serãobloqueados.Destino: Os pacotes que tiverem endereço destino igual ao da regra serãobloqueados.Serviço: Os pacotes que utilizarem serviço igual ao da regra serão bloqueados. Seesta opção for marcada, deve-se selecionar quais protocolos estarão associados aoserviço através do campo Protocolo. Isto é necessário devido a uma limitação doReal Secure na medida em que não fornece o protocolo de um determinado serviço,apenas seu número. Como o NFR inspeciona apenas tráfego TCP, esse protocolodeve ser selecionado no caso desse IDS.Tempo de ativação da regra: Este campo permite definir por quanto tempo asregras acrescentadas por esta configuração ficarão ativas. Caso a opção Tempo deativação esteja marcada, deve-se especificar o tempo, em segundos, que a regraficará ativa. Caso esta opção não esteja marcada, a regra será mantida até apróxima reinicialização do firewall.© Aker Security Solutions 666

Firewalls Usados: Este campo serve para definir em quais firewalls as regrastemporárias serão acrescentadas. Para cada firewall deve-se configurar uma senhade acesso e seu endereço IP. A senha de acesso deve ser a mesma configurada nadefinição da entidade do agente IDS (para maiores informações veja o capítuloCadastrando Entidades). Ao clicar no botão incluir ou editar, a seguinte janela serámostrada:Figura 442. Firewalls usados.Os firewalls definidos acima devem ser adicionados às configurações fazendo-se osseguintes passos: Selecione os firewalls requeridos; Pressione o botão de seta ->para que os firewall selecionados apareçam na lista da direita da janela.O botão de Flush é utilizado para apagar as regras dinâmicas adicionadas pelosIDS nos firewalls selecionados.Após realizar todas as modificações deve-se clicar no botão Aplicar. Caso estejautilizando o Real Secure será então mostrada uma janela informando que os GlobalResponses do Real Secure serão alterados e pedindo uma confirmação paracontinuar. Deve-se clicar no botão Sim para salvar a nova configuração.© Aker Security Solutions 667

LogFigura 443. Configuração de IDS – log.Todos os bloqueios enviados pelo IDS serão registrados nesta janela.© Aker Security Solutions 668

EventosFigura 444. Configuração de IDS – eventos.Esta pasta é muito útil para acompanhar o funcionamento do agente. Ela consistede uma lista com diversas mensagens ordenadas pela hora. Ao lado de cadamensagem existe um ícone colorido, simbolizando sua prioridade.35.5. Utilizando a interface texto - PortscanA utilização da interface texto na configuração do suporte ao Portscan é bastantesimples e possui todos os recursos da interface gráfica.Localização do programa: /aker/bin/firewall/fwportscan© Aker Security Solutions 669

Sintaxe:fwportscan [ajuda | mostra | ativa | desativa]fwportscan [max_portas | max_acessos] fwportscan [tempo_deteccao | tempo_bloqueio] fwportscan [inclui | remove] protegida fwportscan [inclui | remove] autorizada Ajuda do programa:fwportscan - Configura parametros da portscanUso: fwportscan [ajuda | mostra | ativa | desativa]mostra = mostra a configuracao atual.ativa = ativa protecao contra portscan.desativa = desativa protecao contra portscan.max_portas = define o numero maximo de portas que podem ser acessadas poruma maquina em um mesmo servidor sem que isso seja considerado portscan.max_acessos = define o numero maximo de acessos distintos.(portas X No. de servidores) que podem ser acessadas por uma maquina, sem serconsiderado portscan.tempo_deteccao = define o tempo, em segundos, que um acesso feito por umamaquina nao mais sera contabilizado em futuras deteccoes contra portscantempo_bloqueio = define o tempo, em segundos, que uma maquina sera bloqueadaapos se detectar um portscan.inclui = inclui uma nova entidade na lista especificada.remove = remove uma entidade da lista especificada.ajuda = mostra esta mensagem.Para inclui/remove temos:protegida = inclui/remove entidade da lista de entidades protegidas contra portscan.autorizada = inclui/remove entidade da lista de entidades que podem realizarportscan.Exemplo 1: (Ativando o suporte a detecção de portscan)#/aker/bin/firewall/fwportscan ativa© Aker Security Solutions 670

Exemplo 2: (Mostrando a configuração atual da proteção contra portscan)#/aker/bin/firewall/fwportscan mostra35.6. Utilizando a interface texto - IDS ExternoA utilização da interface texto na configuração do suporte ao IDS Externo é bastantesimples e possui todos os recursos da interface gráfica.Localização do programa: /aker/bin/firewall/fwidsSintaxe:fwids [habilita | desabilita | mostra | limpa | ajuda]fwids agente fwids bloqueia [origem ] [destino ][servico ] [tempo]Ajuda do programa :fwids - Configura parametros do agente IDS externoUso: fwids [habilita | desabilita | mostra | limpa | ajuda]fwids agente fwids bloqueia [origem ] [destino ][servico ] [tempo]habilita = habilita o funcionamento de agentes IDS externosdesabilita = desabilita o funcionamento de agentes IDS externosmostra = mostra a configuracao atualbloqueia = inclui uma regra de bloqueio temporarialimpa = remove todas as regras de bloqueio temporariasagente = especifica nome da entidade com dados do agenteajuda = mostra esta mensagemPara bloqueia temos:origem = Especifica que deve-se bloquear conexoes originadas noendereco IP especificadodestino = Especifica que deve-se bloquear conexoes destinadas aoendereco IP especificadoservicotempo= Especifica que deve-se bloquear conexoes que utilizem oservico especificado. Neste caso, deve-se especificar oservico como a porta, para os protocolos TCP e UDP, otipo de servico, para ICMP, ou o numero do protocolo, nocaso de outros protocolos (ex: 23/tcp, 53/udp, 57/outro)= tempo, em segundos, no qual a regra permanecera ativa. Nocaso de nao ser especificado, a regra ficara ativa ate aproxima inicializacao do firewall© Aker Security Solutions 671

Exemplo 1: (Habilitando o suporte a detecção de intrusão)#/aker/bin/firewall/fwids habilitaExemplo 2: (Definindo o agente IDS)#/aker/bin/firewall/fwids agente Agente_IDSA entidade Agente_IDS deve ter sido previamente cadastrada no sistema. Paramaiores informações sobre como cadastrar entidades no Aker Firewall , veja ocapítulo entitulado Cadastrando Entidades.Exemplo 3: (Mostrando a configuração atual)#/aker/bin /firewall/ fwids mostraParametros de configuracao:---------------------------Agente IDS externo: habilitadoAgente: Agente_IDSExemplo 4: (Acrescentando uma regra de bloqueio da máquina 192.168.0.25 paraa máquina 10.0.0.38, no serviço WWW, porta 80 do protocolo TCP, por uma hora)#/aker/bin/firewall/ fwids bloqueia origem 192.168.0.25 destino 10.0.0.38 servico 80/tcp 3600.© Aker Security Solutions 672

Configurações TCP/IP© Aker Security Solutions 673

36. Configurações TCP/IPEste capitulo mostrará para que serve e como configurar a rede no Aker Firewall.36.1. Configuração TCP/IPEsta opção permite configurar todos os parâmetros de TCP/IP do firewall através dainterface gráfica. É possível configurar os endereços de interfaces de rede, DNS eroteamento básico e avançado, bem como as opções de PPPoE, 3G eServidor/Relay DHCP.Para ter acesso à janela de configuração TCP/IP deve-se:Figura 445. Janela de acesso: TCP/IP.Clicar no menu Configurações do Sistema da janela de administração do firewall.Selecionar o item TCP/IP.© Aker Security Solutions 674

36.2. DHCPFigura 446. Servidor DHCP.Nesta pasta são definidas as opções do firewall em relação ao serviço DHCP. Elaconsiste das seguintes opções:Não usar DHCP: Ao selecionar essa opção, o firewall não atuará como servidorDHCP nem efetuará relay entre redes conectadas a ele.Relay DHCP entre redes: Permitir que se defina que o firewall realizará o relay depacotes DHCP entre as redes selecionadas. Ela é utilizada quando se possuiapenas um servidor DHCP e se deseja que ele forneça endereços para máquinaslocalizadas em sub-redes distintas, conectadas diretamente ao firewall.© Aker Security Solutions 675

Figura 447. Relay DHCP entre redes.Ao selecioná-la, deve-se especificar em Interfaces de Escuta as interfaces nasquais o firewall escutará broadcasts DHCP e os encaminhará para os servidores,especificados em Servidores DHCP. No caso de haver mais de um servidor, ofirewall encaminhará as requisições para todos e retornará ao cliente a primeiraresposta recebida.Servidor DHCP Interno: Esta opção é designada para redes pequenas que nãopossuem um servidor DHCP ou que possuíam em um modem ADSL. Ela permiteque o firewall atue como um servidor DHCP.© Aker Security Solutions 676

Figura 448. Servidor DHCP interno.Ao selecioná-la, deve-se especificar um ou mais Escopos de endereços, i.e. a faixade endereços, configurações DNS, Wins/NBT e WINS/NBT Node Type, exceções,Gateway padrão e reservas de endereços IP que serão atribuídos aos clientes.O firewall enviará aos clientes seu endereço como o servidor de DNS e seudomínio como nome do domínio para estes clientes.© Aker Security Solutions 677

36.3. DNSFigura 449. TCP/IP - DNSNesta pasta são configuradas todas as opções relacionadas com a resolução de nomes ouDNS. Ela consiste dos seguintes campos:Máquina: Nome da máquina na qual o firewall está rodando.Domínio: Nome do domínio no qual o firewall está rodando.DNS Ativo: Esta opção deve ser marcada para ativar a resolução de nomes viaDNS e desmarcada para desativá-la.Servidor primário: Definir o servidor DNS primário que será consultado para seresolver um nome. Ele é obrigatório se a opção DNS ativo estiver marcada.Servidor secundário: Definir o servidor DNS secundário que será consultado se oprimário estiver fora do ar. Ele é opcional.Servidor terciário: Definir o servidor DNS terciário que será consultado se oprimário e o secundários estiverem fora do ar. Ele é opcional.© Aker Security Solutions 678

36.3.1. Interfaces de RedeFigura 450. Janela de acesso: Interfaces de redes.Nesta pasta podem ser configurados os endereços IP atribuídos a todas asinterfaces de rede reconhecidas pelo firewall. Ela consiste de uma lista onde sãomostrados os nomes de todas as interfaces e os endereços IP e máscaras de cadauma (é possível configurar até 31 endereços distintos para cada interface). Casouma interface não tenha um endereço IP configurado, os campos correspondentesao endereço e à máscara serão mostrados em branco. Possui os seguintes campos:IPV 4IP: Endereço da rede. Não pode ser informado um endereço auto-configurado.Máscara de rede: Informa o endereço da máscara de rede.Ponto a ponto: Configuração ponto a pontoIPV6IP: Endereço da rede. Não pode ser informado um endereço auto-configurado.Prefixo: Informam quantos bits a rede é composta.AliasPara configurar ou modificar o endereço IP ou máscara de uma interface e atémesmo atribuir um alias para a interface, deve-se clicar sobre a entrada dodispositivo correspondente e usar o menu suspenso que irá surgir:© Aker Security Solutions 679

Figura 451. Menu: configuração ou modificação de endereço IP.VLANPara criar uma VLAN associada a uma interface, deve-se clicar na interfacedesejada no lado esquerdo da janela. Aparecerá o seguinte menu suspenso:Figura 452. Menu de criação: VLAN.Uma VLAN usa o sistema de VLAN tagging (802.1q) para permitir que, com umaconexão somente o switch tenha acesso a todas as suas VLANs, inclusivecontrolando o acesso entre elas. Para cada uma, uma interface virtual será criadadentro do Firewall.Nesse menu também permite habilitar o monitoramento e escolher a opção Habiltarmonitoramento, possibilita monitorar todas as interfaces de rede do cluster edetalhes de replicação de sessão, identificando possíveis falhas, caso uma interfacede algum nodo cluster falhe "falta de conectividade ou falha de rota, ou etc" o nododo cluster irá desativar todas as outras interfaces e fazer com que outro nó assuma,permitindo assim uma maior disponibilidade dos links.PPPoEA opção Usar PPPoE permite definir que esta interface trabalhe com PPPoE (usadobasicamente para a conexão com modems ADSL). Ao ser selecionada, a seguintejanela será mostrada:© Aker Security Solutions 680

Figura 453. Configuração PPPoE.Nome do dispositivo: Este campo indica o nome do dispositivo interno que seráutilizado na comunicação PPPoE. É importante que no caso de que haja mais deuma interface trabalhando em PPPoE, que eles sejam distintos.Usar a configuração de DNS do servidor: Se esta opção estiver marcada, ofirewall utilizará como servidor de DNS o valor recebido através do PPPoE.Usar a rota padrão do servidor: Se esta opção estiver marcada, o firewall utilizarácomo rota padrão o valor recebido através do PPPoE.Serviço PPPoE ativado sob demanda: Se esta opção estiver marcada, o firewallativará o serviço PPPoE apenas quando houver tráfico de rede direcionado atravésdesta interface de rede.Nome do Usuário: Nome do usuário que será utilizado na autenticação durante oestabelecimento da sessão PPPoE.Senha: Senha que será utilizada na autenticação durante o estabelecimento dasessão PPPoE.Confirmação: Confirmação da senha que será utilizada na autenticação durante oestabelecimento da sessão PPPoE.Provedor: É o provedor do serviço de PPPoE.Só é possível configurar endereços IP de interfaces de rede reconhecidas pelosistema operacional no qual o firewall está rodando. Caso tenha acrescentado uma© Aker Security Solutions 681

nova interface de rede e seu nome não apareça na lista de interfaces, é necessárioconfigurar o sistema operacional de forma a reconhecer esta nova interface antesde tentar configurá-la nesta pasta.O IP e o prefixo têm que ser informados juntos.Não deverá ser possível ao usuário remover ou editar os endereços autoconfigurados(que são derivados dos endereços MAC).As interfaces que estiverem em vermelho, indicam que não estão presentes emtodos os nodos do cluster.Nesta pasta podem ser configurados os endereços IP atribuídos a todas asinterfaces de rede reconhecidas pelo firewall. Ela consiste de uma lista onde sãomostrados os nomes de todas as interfaces e os endereços IP e máscaras de cadauma (é possível configurar até 31 endereços distintos para cada interface). Casouma interface não tenha um endereço IP configurado, os campos correspondentesao endereço e à máscara serão mostrados em branco.© Aker Security Solutions 682

36.4. RoteamentoFigura 454. Janela de Roteamento.© Aker Security Solutions 683

36.4.1. GeralFigura 455. Roteamento - Geral.Esta janela possibilita configurar rotas IPv4 e Ipv6 no firewall. Se divide em duaspartes:A primeira parte se refere à configuração do endereçamento IPv4 e consiste dosseguintes campos:Rede: Configuração dos endereços IPMáscara de rede: Informa o endereço da máscara de redeGateway: Nesse campo deve ser informado o endereço IP do roteador.Métrica: É o valor de distância da rede. A distância pode ser medida, por número dedispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou porum valor associado a velocidade do link.Rota Padrão: Pode-se especificar o roteador padrão e de uma lista com as diversasrotas configuradas no firewall.© Aker Security Solutions 684

Para a inclusão de uma nova rota, basta clicar no botão direito do mouse e iráaparecer o menu .Para remover ou editar uma rota, basta clicar com o botão direito sobre ela.A segunda parte se refere à configuração do endereçamento IPv6 e consiste dosseguintes campos:Habilita Roteamento IPV6: Essa opção permite ativar ou desativar o roteamento depacotes IPv6Dispositivos: Considera-se também a interface na criação da rotaRede: Configuração dos endereços IPPrefixo: Informa quantos bits a rede é composta. Valor entre 0 e 128 que definequantos bits do endereço serão usados no roteamentoGateway: Nesse campo deve ser informado o endereço IP do roteador.Métrica: É o valor de distância da rede. A distância pode ser medida, por número dedispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou porum valor associado a velocidade do link.Gateway padrão: Nesse campo deve ser informado o endereço IP da rota padrão.A validação normal dos endereços IPv6 se aplica também a este campo.Dispositivos de Gateway Padrão: Pode deixar em branco, não será opcional se odefault gateway for auto-configurado. Placa relacionada, interface de redes.Rotas com escopo de link são as que começam pelo prefixo fe80:: definido namacro FWTCPIP_IPV6_AUTOCONF_PREFIX.Devido a uma limitação do Linux, não é possível remover o módulo de IPv6 umavez que ele tenha sido instalado. Também, se o módulo não estava instalado nokernel, os daemons todos do firewall estavam escutando um socket IPv4. Sendoassim, ao modificar o valor desta opção, a GUI deverá mostrar um aviso aoadministrador dizendo: “This setting will be fully functional only after the next firewallreboot”.© Aker Security Solutions 685

36.4.2. DinâmicoFigura 456. Roteamento dinâmico.O Roteamento Estático é normalmente configurado manualmente, a tabela deroteamento é estática, as rotas não se alteram dinamicamente de acordo com asalterações da topologia da rede, o custo de manutenção cresce de acordo com acomplexidade e tamanho da rede e está sujeito à falhas de configuração.O Roteamento Dinâmico é a divulgação e alteração das tabelas de roteamento deforma dinâmica, não tem a intervenção constante do administrador, as tabelas sãoalteradas dinamicamente de acordo com as mudanças na topologia da rede, ouseja, o processo é adaptativo e melhora o tempo de manutenção em redes grandes,estando também sujeito à falhas.Nesta pasta são definidas as configurações de Roteamento Dinâmico. Ela consistenas seguintes opções:Interface: O enlace utilizado para alcançar o próximo roteador da rota de destino.Protocolos: Pode-se optar entre o protocolo RIP e o OSPF.© Aker Security Solutions 686

RIP: O protocolo RIP (Routing Information Protocol) foi o primeiro protocolo deroteamento padrão desenvolvido para ambientes TCP/IP. O RIP é um protocolo deroteamento dinâmico que implementa o algoritmo vetor de distância e se caracterizapela simplicidade e facilidade de solução de problemas. Em seu método, osequipamentos são classificados em ativos e passivos. Roteadores ativos informamsuas rotas para outros e passivos apenas escutam e atualizam suas rotas baseadasnas informações recebidas, mas não informam. Normalmente, os roteadores usamRIP em modo ativo e as estações (hosts) em modo passivo. O RIP transmite suatabela de roteamento a cada 30 segundos. O RIP permite 15 rotas por pacote;assim, em redes grandes, são exigidos vários pacotes para enviar a tabela deroteamento inteira. A distância ao destino é medido pelos roteadores que se passaaté chegar ao destino.Vantagens: Em redes pequenas não despende muita largura de banda e tempo deconfiguração e gerenciamento e de fácil implementação;Desvantagens: Convergência lenta para redes de tamanho médio ou maior;Existência de loops e contagem ao infinito; Limitações do número saltos porcaminho (15) e Limitação de métrica.OSPF: O protocolo OSPF - Open Shortest Path First é a alternativa para redes degrande porte, onde o protocolo RIP não pode ser utilizado, devido às suascaracterísticas e limitações.O OSPF permite a divisão de uma rede em áreas e torna possível o roteamentodentro de cada área e através das áreas, usando os chamados roteadores de borda.Com isso, usando o OSPF, é possível criar redes hierárquicas de grande porte, semque seja necessário que cada roteador tenha uma tabela de roteamento gigantesca,com rotas para todas as redes, como seria necessário no caso do RIP. O OSPF éprojetado para intercambiar informações de roteamento em uma interconexão derede de tamanho grande ou muito grande, como por exemplo, a Internet.O OSPF é eficiente em vários pontos, requer pouquíssima sobrecarga de redemesmo em interconexões de redes muito grandes, pois os roteadores que usamOSPF trocam informações somente sobre as rotas que sofreram alterações e nãotoda a tabela de roteamento, como é feito com o uso do RIP. Sua maiordesvantagem é a complexidade, pois, requer planejamento adequado e é mais difícilde configurar e administrar do que o protocolo RIP.A suas vantagens são: Maior velocidade de convergência suporte a váriasmétricas, caminhos múltiplos, sem loop nem contagem ao infinito e sincronismoentre os bancos.As suas desvantagens são: Complexidade no gerenciamento e implementação.Custo OSPF: O custo OSPF também é chamado de métrica, ou seja, a métrica éexpressa como um valor de “custo”. O melhor caminho possui o custo mais baixo,sendo tipicamente o de maior largura de banda. É o custo da rota para se chegarem um determinado lugar.© Aker Security Solutions 687

Velocidade OSPF: É a velocidade do link, ou seja, é a velocidade da conexão entredois roteadores que é informada em kbits/seg.Área OSPF: Área é a designação atribuída a um subconjunto dos roteadores eredes que constituem o sistema autônomo e que participam numa instância doprotocolo OSPF, isto é, as rotas de uma área não se propagam para as demais evice versa. Verifica cada área e rota de modo a privilegiar as rotas de menor custo ecom o mesmo destino.Logar rotas adicionadas e removidas: Ao selecionar essa opção as rotasadicionadas e removidas serão exibidas na lista de eventos.Redistribuir: nessa opção são escolhidas as rotas que serão informadas para osoutrosroteadores.Rotas Locais: São Rotas localmente conectadas, correspondem às sub redesconfiguradas nas interfaces de redes.Rotas de Outros Protocolos: Ao selecionar essa opção as rotas redistribuídasserão aquelas determinadas pelos protocolos RIP e o OSPF. Haverá uma troca deinformações na comunicação entre eles, ou seja, o que foi aprendido por umprotocolo será informado pelo outro e vice versa.Rotas Estáticas: As rotas estáticas são explicitamente configuradas peloadministrador, ou seja, rotas fixas pelos quais os dados serão transmitidos na abaRotas dessa mesma janela.Filtrar redes distribuídas e recebidasAtivando esta opção devem-se selecionar quais as redes e hosts deseja-se recebere distribuir novas rotas através dos protocolos RIP e/ou OSPF. Através deste filtrodesconsideram-se as informações que não são necessárias para nosso ambiente etambém assim não é informado aos outros roteadores rotas de redes que não sãoutilizadas pela Aker.© Aker Security Solutions 688

RIPAutenticação e versão RIPFigura 457. Roteamentoavançado (RIP).Essa opção permite escolher a forma de autenticação do protocolo. Recomenda-sea escolha do RIPv2 com MD5, pois é a forma mais segura de autenticação. Oprotocolo enviará todo o seu tráfego com segurança após a autenticação.Caso essa opção não seja escolhida existe, um grande risco do canal decomunicação ser interceptado ou violado, ou seja, não é garantido que aautenticidade ou a integridade sejam mantidas.RIPv1: Sem autenticação. São enviados apenas os dados.RIPv2: Sem autenticação. São enviados apenas os dados.RIPv2 com senha: Tem autenticação com senha. São enviados os dados e osegredo.© Aker Security Solutions 689

RIPv2 com MD5: Autenticação com MD5. São enviados os dados juntamente comuma assinatura digital que contêm dados mais o segredo.Senha RIP: Nesse campo será informada a senha relacionada com a autenticaçãodo protocolo.Confirmação: Deve ser informada a senha, para que seja confirmada a senha rip.Na opção Vizinhos RIPNesta opção são definidos quais roteadores e quais os protocolos que irãocomunicar-se entre si. É apenas necessário preencher esse campo em caso deoperação em modo passivo.Desabilitar Separação Horizontal: Ao selecionar essa opção, desativa a omissãodo envio de rotas que passam pelo nó que receberá a mensagem, ou seja, não vaievitar que um roteador RIP propague rotas para a mesma interface que ele"aprendeu" e nem o loop entre estes nós.Métrica RIP: É o valor de distância da rede. A distância pode ser medida, pornúmero de dispositivos que o pacote deve cruzar, tempo que leva da origem aodestino ou por um valor associado a velocidade do link. Normalmente RIPDincrementa a métrica quando a informação da rede é recebida. A métrica das rotasdistribuídas é configurada em 1.Atualizar o temporizador: O tempo de atualização padrão é de 30 segundos. Cadavez que ele expira, o processo RIP é acordado para enviar uma mensagem nãosolicitada, contendo a tabela de roteamento completa para todos os roteadores RIPvizinhos.Temporizador de timeout: Após a expiração do timeout, o roteador é consideradofora de funcionamento; entretanto, é mantida por um breve período a informaçãodesse roteador na tabela de roteamento, para que os vizinhos possam sernotificados que ele foi removido. O tempo de timeout padrão é de 180 segundos.Temporizador do coletor de lixo: É o tempo que o firewall leva para consideraruma rota expirada. Se passar esse tempo sem que o outro roteador informenovamente a rota, ela é removida automaticamente.© Aker Security Solutions 690

OSPFMétodos de autenticação OSPFFigura 458. Roteamento avançado (OSPF).Essa opção permite selecionar uma forma de autenticação mais segura na troca deinformações entre roteadores, evitando ataques a esses roteadores. Recomenda-sea escolha do MD5, pois é a forma mais segura de autenticação. O protocolo enviarátodo o seu tráfego com segurança após a autenticação.Caso essa opção não seja escolhida existe, um grande risco do canal decomunicação ser interceptado ou violado, ou seja, não é garantido que aautenticidade ou a integridade sejam mantidas.Nenhum: Não tem autenticação.Simples: Chave em claro.MD5: Hash da chave e dos dados.Chave: É o segredo que será utilizada na autenticação OSPF.Id da chave: Identifica qual a chave que está usando.© Aker Security Solutions 691

Definição ABRAo selecionar alguma das opções abaixo, opta-se em definir como o protocoloOSPF distribuirá as rotas entre os roteadores.PadrãoCISCOIBMAtivar compatibilidade com RFC 1583: Ao selecionar essa opção opta em seutilizar um padrão mais antigo.A RFC2328 é a sucessora da RFC1583, e sugere que, de acordo com a seçãoG.2 na seção 16.4 mudanças no caminho no algoritmo de preferência que previnempossíveis loops de roteamento que poderiam acontecer ao utilizar a versão antigade OSPFv2. Mais especificamente ela demanda que as rotas da inter-área e os daintra-área são de iguais preferências, embora ambos prefiram rotas externas.ID da Roteador: Endereço ID que identifica o roteador no processo OSPF, ou seja,contém a identificação numérica do roteador que originou o pacote.Intervalo morto: Período máximo em segundos desde o último recebimento de umpacote hello, antes de o roteador considerar o seu "vizinho" como não acessível. Ovalor padrão é de 40 segundos.Intervalo do "Hello": O intervalo em segundos entre as transmissões do pacotehello. Configurando este valor, os pacotes hello serão enviados periodicamente deacordo com o tempo especificado na interface. Este valor deve ser o mesmo paratodos os roteadores existentes na rede. O valor padrão é dez segundos.Intervalo de retransmissão: Este valor é usado quando, a base de dados dedescrição e os pacotes de requisição de estado de link são retransmitidos. O valorpadrão é de 5 segundos.Prioridade: Ao configurar um valor de prioridade mais alto, o roteador terá maioreschances de se tornar o roteador designado, ou seja, é o roteador que seráconsiderado vizinho de todos os demais roteadores da rede. Configurando o valorpara 0, o roteador não será mais a rota preferível. O valor padrão é 1.© Aker Security Solutions 692

36.4.3. AvançadoFigura 459. Roteamento avançado.Esta configuração permite a utilização de rotas por origem e o balancemanto de linkpor rotas, onde é possível direcionar o tráfego de rede para um determinadogateway a partir de sua origem e ainda balancear este tráfego em até 3 linksdiferentes. Não é possível configurar rotas por origem pela tabela de roteamentoGeral, por esse motivo as regras criadas aqui têm maior prioridade.Para realizar com sucesso esta configuração, é necessário cadastrar as entidadesde origem, destino e serviço antes do início do processo. Este cadastramento podeser feito tanto na interface gráfica do Aker Control Center como no modo textoutilizando o comando “fwent” no console do Aker Firewall.Abaixo segue alguns exemplos de configurações:Teste da funcionalidade balanceamento de link por rota:© Aker Security Solutions 693

LaboratórioFigura 460. Exemplo de laboratório de teste – balaceamento de rotas.Testes e configuraçõesConfigurações do FW A:Figura 461. Teste e configurações – NAT – exemplo A.© Aker Security Solutions 694

Via linha de comando:Figura 462. Teste e configurações – Balanceamento de link – exemplo B.fwadvroute inclui 1 -src 192.168.0.0/255.255.255.0 -dst 172.16.21.0/255.255.255.0 -bal 1 2 3Configurações do FW B:Figura 463. Teste e configurações – NAT exemplo B.Figura 464. Teste e configurações – Balanceamento de link – exemplo B.© Aker Security Solutions 695

Figura 465. Roteamento.Via linha de comando:fwadvroute inclui 1 -src 172.16.21.0/255.255.255.0 -dst 192.168.0.0/255.255.255.0 -bal 1 2 3Esta configuração faz com que todo o tráfego entre as redes 192.168.0.0/24 e172.16.21.0/24 seja balanceado pelos 3 links.Utilizando a interface Shell:Localização do programa: /aker/bin/firewall # fwadvroute ajudaAker Firewall - Versao 6.5 (HW)Uso: fwadvroute ajudafwadvroute mostrafwadvroute inclui -src -dst [-svc ]{ -gw | [-P] -bal ... }fwadvroute remove fwadvroute < habilita | desabilita > fwadvroute refreshOs parâmetros são:pos: posição da regra na tabela (a partir de 1);src_ents : Entidades origem (rede/maquina/conjunto);dst_ents : Entidades destino (rede/maquina/conjunto);svc_ents : Entidades serviço (servico);gw_ent : Entidade gateway (maquina);linkN : Nomes dos links para balanceamento (veja 'fwblink mostra');© Aker Security Solutions 696

-P : Persistência de conexão.A seguir, serão demonstrados alguns exemplos práticos das sintaxes utilizadasnesta configuração:Obs: Os nomes das entidades utilizadas nos exemplos são apenas nomes dedemonstração para facilitar a compreensão.Sintaxe: fwadvroute inclui -src -dst [-svc] -gw Cria e/ou define uma rota especificando a posição, origem, serviço (caso haja),destino e o gateway desejado.Exemplo: fwadvroute inclui 1 -src "rede interna" -dst host1 -gw server1Note que para indicar a entidade "rede interna" foi utilizada aspas, pois, nomesde entidades que contenham mais de uma palavra devem estar sempre entreaspas.Caso o espaço para indicar o serviço a ser utilizado estiver vazio, serãoconsiderados todos os serviços para esse roteamento.Sintaxe: fwadvroute remove Remove uma rota já criada indicando a posição da mesma.Exemplo: fwadvroute remove 1Sintaxe: fwadvroute < habilita | desabilita > Habilita ou desabilita uma rota indicando a posição da mesma.Exemplo: fwadvroute habilita 1Não é possível configurar as rotas por origem pelo Control Center, estaconfiguração é feita apenas pelo console do Aker Firewall.36.5. Utilizando a interface texto nas Chaves de AtivaçãoÉ possível configurar as Chaves de Ativação pela interface texto.Localização do programa: /aker/bin/firewall/fwkey pathPath: Caminho completo do arquivo com a chave de ativação a ser substituída.© Aker Security Solutions 697

36.6. Utilizando a interface texto na Configuração TCP/IPÉ possível configurar os parâmetros do TCP/IP pela interface texto.Localização do programa:/aker/bin/firewall/fwinterfaceO programa é interativo e as opções de configuração são as descritas abaixo:Figura 466. Modo de configuração para interfaces de rede.Analogamente a configuração da interface gráfica, a interface texto possui 6 opçõesconforme visualizado na figura acima.Na janela abaixo é possível visualizar, configurar e desconfigurar uma interface derede© Aker Security Solutions 698

Figura 467. Configuração de Interfaces.Na tela abaixo é apresentada a opção de listar interfaces© Aker Security Solutions 699

Figura 468. Lista da interfaces de rede.Para configurar uma interface deve-se digitar o nome da mesma. A tecla retorna ao menu anterior© Aker Security Solutions 700

Figura 469. Módulo de configuração para interfaces de rede.Nesta tela é apresentada a opção de cadastrar VLANFigura 470. Cadastro de Vlan.© Aker Security Solutions 701

Após a digitação dos valores de configuração é perguntado se deseja configurarálias para a interface.Figura 471. Configuração de interfaces.Após a digitação da Opção 2 da tela principal, é possível realizar a configuração derotas estáticas.© Aker Security Solutions 702

Figura 472. Configuração de rotas estáticas.Após as informações terem sido digitadas é perguntado se deseja gravar as novasconfigurações.Figura 473. Configuração de rotas estáticas – entrada de dados.© Aker Security Solutions 703

Após a digitação da Opção 3 da tela principal, é possível realizar a configuração dosServidores DNS.Figura 474. Configuração de DNS.Após a digitação da Opção 4 da tela principal, é possível realizar a configuração darota padrão.A opção 5 da tela principal salva as novas configurações.© Aker Security Solutions 704

Figura 475. Módulo de configuração para interfaces de rede.36.7. Utilizando a interface texto na Configuração de WirelessEsta opção é configurada apenas pelo console do Aker Firewall e está disponívelsomente no Aker Firewall Box com suporte para conexão Wireless.A seguir, serão demonstrados seus comandos e alguns exemplos de configuração:Localização do programa: /aker/bin/firewall/akwirelessFigura 476. Interface de texto na configuração Wireless.Logo após um comando, é obrigatório inserir os dados necessários quando oespaço para inserí-los estiver entre os sinais "< e >" (menor que, e maior que). Caso© Aker Security Solutions 705

este espaço estiver entre os sinais "[ e ]" (colchetes), será facultativo a inserção dosmesmos.Vários desses comandos são auto-explicativos, por este motivo será enfatizada àsparticularidades dos comandos mais importantes:akwireless cria_interface = cria uma interface.Sintaxe: wireless cria_interface ath0 ap gDentre os modos existentes, o mais utilizado é o "AP" (Modo Master), que permiteoutras máquinas se conectarem nele.Existem vários protocolos como A, B, G, N, porém, apenas os protocolos B e G sãosuportados pela Aker.As interfaces wireless são definidas por "ath", logo, caso existam 3 interfaceslistadas,estas serão definidas por: ath0, ath1 e ath2.akwireless destroi_interface = destroi uma interface.Sintaxe: wireless destroi_interface ath0akwireless muda_protocolo = altera o protocolo a ser utilizado.Sintaxe: wireless muda_protocolo ath0 gCabe ressaltar que a placa wireless suporta apenas um protocolo para todas asinterfaces.akwireless lista_interface [interface] = mostra todas as interfaces listadas.Sintaxe: wireless lista_interfaceCaso queira listar uma determinada interface, basta definí-la na frente do comando.akwireless muda_modo =altera o modo a ser utilizado.Sintaxe: wireless muda_modo ath0 apakwireless muda_SSID = criar/alterar nome da rede wireless.Sintaxe: wireless muda_SSID ath0 rede1© Aker Security Solutions 706

akwireless wep_chave = habilitar autenticação WEPcom índice e chave indicados.Sintaxe: wireless wep_chave ath0 1 12345akwireless wep_chave_indice = altera o indice corrente.Sintaxe: wireless wep_chave_indice ath0 1Pode-se criar até 4 chaves em índices diferentes.akwireless wpa1_chave = habilita autenticação WPA1com a chave e o arquivo de configuração indicados.Sintaxe: wireless wpa1_chave ath0 123456789 wpa1.confPode-se obter configurações avançadas modificando o arquivo de configuraçãocitado acima.akwireless wpa2_chave = habilita autenticação WPA2com a chave e o arquivo de configuração indicados.Sintaxe: wireless wpa2_chave ath0 123456789 wpa2.confPode-se obter configurações avançadas modificando o arquivo de configuraçãocitado acima.akwireless sem_chave = desabilitar autenticação.Sintaxe: wireless sem_chave ath0akwireless escolhe_lista_mac black : white = habilitar afiltragem de Mac.Sintaxe: wireless escolhe_lista_mac ath0 white white.confBlack: lista de macs que não poderão se conectar no Firewall.White: lista dos únicos macs que poderão se conectar ao Firewall.akwireless add_mac = adicionar um Mac na lista.Sintaxe: wireless add_mac ath0 00:13:20:3A:11:5Bakwireless del_mac = deletar um Mac da lista.Sintaxe: wireless del_mac ath0 00:13:20:3A:11:5B© Aker Security Solutions 707

akwireless lista_mac = listar os Mac adicionados.Sintaxe: wireless lista_mac ath0akwireless limpa_lista = deleta todos os Macs listados.Sintaxe: wireless limpa_lista ath0akwireless lista_autenticacao |interface| = listar os tipos de autenticação de cadainterface.Sintaxe: wireless lista_autenticacao ath0akwireless muda_canal |channel| = alterar o canal da interface.Sintaxe: wireless muda_canal ath0 3Para mostrar os canais disponíveis, basta utilizar este comando sem indicar o canal.akwireless lista_usuarios_conectados = Mostra os usuários queestão conectados.Sintaxe: wireless lista_usuarios_conectados ath0Esta configuração é feita apenas pelo modo texto, no console do Aker Firewall eestá disponível somente no Aker Firewall Box com suporte para conexão wireless.36.8. Utilizando a interface texto na Configuração de DDNSEsta opção é configurada apenas pelo console do Aker Firewall e está disponívelsomente no Aker Firewall Box com suporte para conexão Wireless.A seguir, serão demonstrados seus comandos e alguns exemplos de configuração:Localização do programa: /aker/bin/firewall/akddns© Aker Security Solutions 708

Figura 477. Exemplo de interface de texto na configuração DNS.Logo após um comando, é obrigatório inserir os dados necessários quando oespaço para inserí-los estiver entre os sinais “< e >” (menor que, e maior que). Casoesse espaço estiver entre os sinais “[ e ]” (colchetes), será facultativo a inserção dosmesmos.Vários desses comandos são auto-explicativos, por este motivo será enfatizada àsparticularidades dos comandos mais importantes:ddns server [login_server] [pwd_server]= configura o servidor DDNS a ser utilizado pelo produto.Sintaxe: ddns server members.dyndns.org dyndns2 meuhost.dyndns.org usuáriosenha no comando, especifica-se o hostname do servidor onde se fará aatualização, o protocolo a ser utilizado para isso (ex. dyndns2), o hostname a seratualizado, o login e a senha de atualização.ddns interface = monitora o IP de uma interface.Sintaxe: ddns interface eth0Com esse comando, o IP dinâmico a ser atualizado noservidor será o existente na interface fornecida (ex. eth0).ddns gateway [login_gateway][pwd_gateway] = monitora o IP de um gateway da redeSintaxe: ddns gateway linksys 10.0.0.1 80 usuario senha com esse comando, o IPdinâmico a ser atualizado no servidor será o de um gateway (ex. modem) da rede.Normalmente, seria o IP externo da rede. Para uma lista com os tipos de gatewaysuportados, execute o comando “ddns lista”.© Aker Security Solutions 709

ddns web [token] = monitora o IP fornecido em uma URL.Sintaxe: ddns web meuip.meudominio.com.br "IP:"Com esse comando, o IP dinâmico a ser atualizado no servidor será obtido a partirde uma página web localizada na URL fornecida, após o token configurado.ddns ip = especifica um IP fixo a ser fornecido ao servidor DDNSSintaxe: ddns ip 200.140.230.137Define um IP fixo para o seu hostname cadastrado no servidor DDNS.36.9. Configuração do Link 3GO Aker Firewall traz para seus usuários duas novas funcionalidades no acesso àInternet. A partir de agora, a solução UTM da Aker suporta conexão pelos modems3G e redes wireless.Essas funcionalidades foram desenvolvidas com o objetivo de possibilitar uma maiormobilidade e facilidade no acesso à Internet.Conexão via modem 3GO Aker Firewall permite que você conecte um modem 3G em sua porta USB e essaconexão passa a ser utilizada como um link de dados para acesso à Internet. O 3Gpode ser de qualquer.E possível assim, proporcionar maior economia, alto desempenho e facilidade nainstalação para os usuários do Aker Firewall, pois os links 3G, além de mais baratose rápidos, são fácies de se instalar, não necessitando de nenhum equipamento nemcabos de rede.Configurando o modem 3GO procedimento de configuração é dividido em duas partes:1. Configuração dos drivers do modem;2. Configuração do modem 3G no Aker Firewall.Configuração dos drivers do modem:Procedimento manual:Execute o comando "config3g.sh". Serão listados todos os dispositivos USBconectados ao firewall. Ao identificar o modem na lista de dispositivos USB que lhe© Aker Security Solutions 710

foi listado, os campos "product id" e "vendor id" devem ser preenchidos. Após essepreenchimento, o script irá configurar os drivers do modem corretamente.Procedimento automático:Figura 478. Configuração de link 3G.Execute o comando "config3gauto.sh". Automaticamente será identificado o modemda lista de dispositivos USB conectados.Configuração do modem 3G no Aker FirewallNeste passo, a configuração ocorre através da interface gráfica na janela"Configurações do Sistema → TCP/IP".Na janela irá aparecer uma nova interface chamada 3G. Essa é apenas umainterface virtual que significa que existe um modem 3G configurado. Para configuraruma interface real, clique com o botão direito na interface virtual 3G e opte pelaopção "Usar 3G".© Aker Security Solutions 711

Figura 479. Confiugaração 3G no Aker Firewall.Ao realizar o procedimento acima irá abrir uma janela de configuração com osseguintes campos:"Nome do dispositivo";"Ativar no boot": Efetuar a conexão automaticamente, após ligar o Aker FirewallBOX;"Usar configuração DNS do servidor": Utilizar as configurações de DNS,fornecidas pela operadora do 3G;"Usar rota Padrão do Servidor": Utilizar como rota padrão o link 3G (apenas nocaso da rota padrão não ter sido configurada previamente);"Serviço 3G ativado sob demanda": Utilizar o link 3G apenas quando a redetiver necessidade de conexão com à Internet. Quando não houver dados paraserem transmitidos ou recebidos a conexão do link 3G será desativada;"ID do produto:" Já estará preenchido, deve mudar apenas se mudou omodem;"ID do vendedor:" Já estará preenchido, deve mudar apenas se mudou omodem;"Caminho do arquivo de configuração do modem":Existem três opções já criadas:TIM;CLARO;VIVO.© Aker Security Solutions 712

"Usar outro caminho:"É possível usar um arquivo de configuração, criado pelo administrador do AkerFirewall. Para utilizá-lo, basta especificar o caminho onde este arquivo está salvo.Essa opção é utilizada para o Aker Firewall suportar outros modelos de modemse/ou outras operadoras, dando assim maior flexibilidade à solução.Testando a conexãoApós configurar a interface 3G, o Aker Firewall vai tentar discar para a operadora.Esse procedimento pode não funcionar por problemas na operadora.Para verificar se conexão foi efetuada com sucesso, observe a cor da interfacecriada. Se tiver com uma cor clara quer dizer que o modem conectou normalmente,se a cor for escura significa que houve algum problema. Repita o procedimento e,se o problema continuar, contate o departamento de suporte da Aker SecuritySolutions.© Aker Security Solutions 713

Configurando o Firewall emCluster© Aker Security Solutions 714

37. Configurando o firewall em ClusterEste capítulo mostrará como configurar a tolerância a falhas e o cluster cooperativo doAker Firewall.37.1. Planejando a InstalaçãoO que é um sistema de tolerância às falhas?Quanto mais os computadores ganham espaço nas empresas, nos escritórios e navida das pessoas em geral, mais se ouve falar em "alta disponibilidade". Por umsimples e bom motivo: nenhum usuário quer que a sua máquina pare de funcionarou que os recursos de rede não possam mais ser acessados. É justamente a altadisponibilidade que vai garantir a continuidade de operação do sistema na prestaçãode serviços de rede, armazenamento ou processamento, mesmo se houver falhasem um ou mais de seus elementos.Assim, alta disponibilidade é hoje um assunto que interessa a um número cada vezmaior de usuários. Tornou-se um requisito fundamental para os sistemas que ficamno ar 24 horas por dia, sete dias por semana, ou que não possam ficar fora do arpor até mesmo alguns minutos. Afinal, paradas não planejadas podemcomprometer, no mínimo, a qualidade do serviço, sem contar os prejuízosfinanceiros.Tolerância às falhas nada mais é que um agrupamento de recursos que fornece aosistema a ilusão de um recurso único. A maioria dos seus componentes, encontramseduplicados, desta forma, mesmo que um componente individual apresente falhaso serviço não é comprometido. Para possibilitar a redundância de recursos énecessário um mecanismo de gerência, de forma a tornar seu funcionamentotransparente.O que é um sistema Cooperativo?No sistema de tolerância às falhas foi falado a respeito de alta disponibilidade e deagrupamento de recursos, mas no sistema cooperativo além da alta disponibilidadeocorre o balanceamento de carga entre os sistemas. No sistema cooperativo todosos sistemas ficam ativos e se o peso entre eles for igual tratarão de formabalanceada as conexões e todos os processos entre eles.Como trabalha a Tolerância às Falhas do Aker Firewall?A tolerância às falhas do Aker Firewall é composta por dois sistemas idênticos, ouseja, duas máquinas com o mesmo Sistema Operacional, mesmas placas de rede ecom a mesma versão do Firewall, conectadas entre si. A exigência de se usar o© Aker Security Solutions 715

mesmo sistema operacional se dá pelo fato de poder aplicar correções através dainterface gráfica e essas correções serem replicadas automaticamente de umamáquina para a outra.Além de estarem conectadas entre si, o que deve ser feito por uma interface derede, é necessário que todas as placas de rede correspondentes das duasmáquinas estejam conectadas em um mesmo hub ou switch, de forma que ambosos firewalls tenham acesso às mesmas máquinas e roteadores.Como trabalha o sistema Cooperativo do Aker Firewall?Antes de tudo a diferença básica da configuração do cluster cooperativo e dofailover está vinculada à licença. A licença do cluster cooperativo faz com que aconvergência de dois firewalls com pesos iguais seja de 50% para cada um, já alicença do failover faz com que ocorra convergência em apenas um dos firewalls.O que são modos UNICAST e MULTICAST do sistema Cooperativo do AkerFirewall?No Aker Firewall em modo cooperativo, mais de um host - os nodos do cluster -precisam receber os mesmos pacotes, para posteriormente cada um deles decidirse é de sua responsabilidade ou não. Como os switches não estão preparadosnativamente para isso, uma de duas técnicas precisa ser empregada.A primeira, chamada do modo unicast, implica em reconfigurar o switch para que elesaiba que um determinado endereço ethernet (MAC) está em duas ou mais portassimultaneamente, significando que ele deve copiar o pacote com esse endereçodestino em todas elas, e jamais aprendê-lo como estando em uma porta apenas.Nesse modo, todos os firewalls do cluster usam o mesmo endereço MAC. O únicoinconveniente desse modo é que são raros os switches que o suportam.A segunda, modo multicast, faz com que os firewalls de um cluster registrem umendereço ethernet multicast em suas interfaces e respondam as chamadas de ARPpara o IP virtual com esse endereço. Se o switch não for configurado para limitar oespalhamento de pacotes multicast, todos os pacotes destinados ao firewall serãoredistribuídos em todas as portas, como se fossem pacotes broadcast. Para fazeressa configuração, existem duas opções: ou o faz manualmente no switch, ou entãoutiliza o protocolo IGMP, onde cada firewall anuncia ao switch que é membro dogrupo multicast correspondente ao endereço escolhido. Seu switch deve suportaruma dessas duas opções. Além disso, existem alguns roteadores que nãoaprendem o endereço multicast ethernet da resposta ARP enviada pelo firewall.Nesses casos, as entradas para o firewall devem ser adicionadas manualmente emsuas tabelas.Existem implicações sérias de performance (flooding, por exemplo) e segurança(requisição de associação IGMP por qualquer host da rede) no caso de cluster nomodo multicast. Todos os problemas podem ser evitados com corretas© Aker Security Solutions 716

configurações nos switches. Tenha certeza que você entende o funcionamentodesse modo antes de colocá-lo em funcionamento.Quando o cluster estiver no ar, qualquer alteração feita nas configurações de umfirewall através da interface gráfica será replicada automaticamente para o outrofirewall.37.2. Configuração do ClusterPara que possa ser iniciada a configuração do Cluster, é necessário quepreviamente exista uma licença de cluster e que já tenha sido aplicada no Firewall.Para se ter acesso a janela de Configuração do Cluster deve-se:Figura 480. Janela de acesso – configuração do cluster.© Aker Security Solutions 717

Clicar no menu Configuração do Sistema na janela de Administração do Firewall.Clicar no item Configuração do Cluster.Caso o usuário opte em configurar, deverá clicar no botão "sim", e automaticamenteaparecerá a seguinte tela:Figura 481. Criar cluster.Essa janela permite a criação de um novo cluster. O usuário deverá preencher osseguintes campos:Nome: Nesse campo deve ser informado o nome do Firewall no cluster.Peso: Esse campo indica o balanceamento do tráfego. O administrador poderáescolher o valor mais apropriado.Interface: Esse campo permite a escolha de uma entidade que representa umainterface de controle do firewall. Essa entidade será usada pelo firewall paracontrole do cluster.Botão Ok: Ao término da escolha das opções, deve-se clicar no botão Ok. Se alicença tiver sido aplicada anteriormente, o cluster será habilitado, caso tenha algumproblema, aparecerá uma mensagem informando que não foi possível habilitá-lo.Se a criação do cluster tiver sido feita com sucesso a interface gráfica serádesconectada para garantir que toda a configuração do firewall seja recarregada,assim o usuário deverá conectar novamente.© Aker Security Solutions 718

Caso o usuário deseje fazer alguma alteração nas configurações do cluster criado,deverá acessar a Janela de Configuração de Cluster. Abaixo seguem as descriçõesdos campos:Informações GeraisFigura 482. Configuração do cluster – configurações gerais.Nessa parte da janela são mostradas informações gerais do cluster criado.Tipo de Cluster: Esta opção permite selecionar o tipo de cluster desejado oudesabilitá-lo.Interface de Controle: Essa informação é definida na hora da habilitação docluster, não podendo ser alterada posteriormente. Todos os seus outros membrosutilizarão essa mesma entidade.Informações dos MembrosNessa parte da Janela mostra todas as informações sobre os membros do cluster.© Aker Security Solutions 719

Identificação: Esse campo informa o ID do Cluster. É gerado aleatoriamente, nãopodendo ser alterado.Nome: Indica o nome do firewall do cluster.Peso: Esse campo indica o balanceamento do tráfego. O administrador poderáescolher o valor mais apropriado.Estado: Permite visualizar o status do cluster, se está ativado ou desativadoInterfacesNessa parte da janela permite a visualização das características de configuraçãodas interfaces de rede dos membros do cluster. Essas características pertencem atodos os membros, incluindo os ativados, desativados e os que vierem a serincluídos.Interface: Nesse componente permite adicionar uma nova interface.Virtual IP: É o IP virtual que representa as máquinas do cluster para a rede atual.Deverá ser definido apenas nos casos de cluster cooperativos.Modo: Esse campo informa o modo como os pacotes são redistribuídos dentro deum grupo de máquinas. O modo UNICAST é o padrão, mas pode ser alterado parao modo Multicast ou Multicast com IGMP.IP Multicast : As informações contidas nesse campo, são alteradas de acordo como modo indicado/escolhido, mas só poderá ser editado quando for escolhido o modomulticast IGMP.Mac: Esse campo indica o endereço físico da placa de rede. Pode ser informadoquando o modo escolhido for o Multicast. Caso não seja especificado o cluster,vai ser utilizado o endereço que consta na placa, se for escolhido o modo MulticastIGMP o MAC não será configurado, ou seja, não poderá ser editado.A opção de adicionar um IP virtual só é válida quando se tratar de clustercooperativo.Observação: Deve haver no mínimo um membro ativo.Nessa janela pode-se incluir um novo membro do cluster. Para incluí-lo, clique como botão direito do mouse no componente que mostra as informações dos membros.Clique no, aparecerá a seguinte janela:© Aker Security Solutions 720

Figura 483. Configuração do cluster – adicionar membro.Nessa janela preenche todas as informação do firewall que será adicionado aocluster. Abaixo segue a descrição dos campos:Informação da conexãoIP: É o endereço IP do firewall a ser adicionado ao cluster.Usuário: Usuário de administração do firewall.Senha: Senha do usuário administrador do firewall.Informação do FirewallNome: Nome do Firewall no clusterPeso: Esse campo indica o balanceamento do tráfego. O administrador poderáescolher o valor mais apropriado.Hierarquia: Permite definir o status do cluster em mestre, escravo e nenhum.Podendo ser definido previamente qual status funcione (mestre ou escavo) ouselelcionado a opção nenhum (para ser escolhido automaticamente).© Aker Security Solutions 721

O membro do cluster, também pode ser incluído por meio do íconena barra de ferramentas.presente37.3. Estatística do ClusterA janela de estatística do Cluster permite a visualização das informações de cadanó do cluster.Para se ter acesso a janela de Estatística do Cluster deve-se:Figura 484. Janela de acesso – Estatísticas do cluster.Clicar no menu Informação na janela de Administração do Firewall.Clicar no item Estatística do Cluster.Aba Firewall 1A janela possui dois tipos de informações: as informações estáticas se referem aonome do nodo, o identificador e o peso. As outras informações que constam na© Aker Security Solutions 722

janela são estatísticas do tráfego de redes que permite, por exemplo, a visualizaçãoda quantidade de pacotes trafegados na rede.Os valores são acumulativos, a cada segundo os dados são somados ao valoranterior.Aba GráficoFigura 485. Estatísticas do cluster – Firewall 1.Esta janela permite a visualização gráfica das informações referentes ao tratamentodado, aos pacotes dos nodos, pelo Firewall. Esse gráfico permite a visualização deaté 8 nodos.As informações do tráfego de cada nodo são mostradas em porcentagem. Esta abapossui vários tipos de filtros, permitindo ao usuário, para uma eventual comparaçãode dados, filtrar informações em percentual, das atividades de cada firewall.© Aker Security Solutions 723

Figura 486. Estatísticas do cluster – Gráfico.37.4. Utilizando a interface textoA utilização da interface texto na configuração da tolerância às falhas é bastantesimples.Localização do programa: /aker/bin/firewall/fwclusterSintaxe:fwcluster [ajuda | mostra]fwcluster interface_controle fwcluster peso fwcluster fwcluster [maquina | -f]fwcluster [multicast [igmp ] [mac ] | unicast]© Aker Security Solutions 724

Ajuda do programa:Firewall Aker - Versão 6.5Uso: fwcluster [ajuda | mostra]fwcluster interface_controle fwcluster peso fwcluster fwcluster [maquina | -f]fwcluster [multicast [igmp ] [mac ] | unicast] (!) onde:if : entidade interfacepeso : peso deste firewall no clustermaquina : endereco IP virtual a remover ou incluir (entidade maquina)Exemplo 1: (mostrando a configuração)Como efeito didático será explanada a topologia de uma rede com três firewalls emcluster e duas redes (rede 192 e rede 10).Figura 487. Interface texto – exemplo 1: mostrando a configuração da interface.Antes que se inicie a montagem do cluster, primeiramente devem ser cadastradastodas as interfaces, lembrando que diferente do cluster no firewall 4.5, aqui todos osfirewalls possuem endereços ip diferentes.© Aker Security Solutions 725

Exemplos: Firewall A - rl0 - if_externa - 10.0.0.1 Firewall B - rl0 - if_externa - 10.0.0.2rl1 - if_interna - 192.168.1.1 rl1 - if_interna - 192.168.1.2rl2 - if_controle - 172.16.0.1 rl2 - if_controle - 172.16.0.2Firewall C – rl0 - if_externa - 10.0.0.3rl1 - if_interna - 192.168.1.3rl2 - if_controle - 172.16.0.3Em seguida crie uma entidade vitual para cada uma das placas, exceto para ainterface de controle, essas entidades terão valor igual para todos os firewalls docluster.Exemplos: Firewall A - externa_firewall (ip 10.0.0.4) Firewall B - externa_firewall (ip10.0.0.4)interna_firewall (ip 192.168.1.4) interna_firewall (ip 192.168.1.4)Firewall C - externa_firewall (ip 10.0.0.4)interna_firewall (ip 192.168.1.4)Para iniciar a configuração do cluster, crie primeiro a interface de controle:/aker/bin/firewall/fwcluster interface_controle interface_cadastradaDepois inicie o cadastro de cada uma das interfaces participantes do firewall:/aker/bin/firewall/fwcluster inclui interface_cadastrada maquina_virtual_cadastradaDefina o peso de cada Firewall, se não for definido, por padrão será aplicado peso 1para todos:/aker/bin/firewall/fwcluster peso numero_do_pesoApós aplicar todas essas configurações em todos os firewalls participantes, habiliteo cluster em cada um deles:/aker/bin/firewall/fwcluster habilitaAs máquinas do cluster não precisam ser iguais, mas as placas de rede sim.Para o cluster failover utilize apenas 2 firewalls, já que apenas um responderá portodo o tráfego.© Aker Security Solutions 726

Arquivos do Sistema© Aker Security Solutions 727

38. Arquivos do SistemaEste capítulo mostrará onde estão localizados e para que são usados os arquivosque fazem parte da versão 6.1 do Aker Firewall.38.1. Arquivos do SistemaNeste tópico serão mostrados quais são e onde se localizam os arquivos dosistema. Isto é muito importante na hora de fazer os backups ou para diagnosticarpossíveis problemas de funcionamento.Árvore de diretórios/aker/bin/firewall - contém programas executáveis e sub-diretórios/aker/bin/firewall/x509 - contém os arquivos correspondentes aos certificadosX.509/aker/bin/firewall/httppd - contém a raiz do sistema de arquivos do servidorlocal HTTP do Filtro Web. Não remova os arquivos já presentes neste diretório./aker/config/firewall - contém os arquivos de configuração do firewall/aker/bin/firewall/snmpd - contém o agente SNMP/var/log - contém os arquivos de log e eventos do Aker Firewall/var/spool/firewall - usado pelos proxies SMTP e POP3 para armazenar asmensagens a serem enviadasProgramas executáveisProgramas que podem ser executados pelos administradores do Aker Firewall/aker/bin/firewall/fwadmin - Interface texto para administração de usuários/aker/bin/firewall/fwaction - Interface texto para configuração das ações dosistema/aker/bin/firewall/fwblink - Interface texto para configuração do balanceamentode links/aker/bin/firewall/fwkey - Interface texto para configurar chave de ativação dosistema/aker/bin/firewall/fwclient - Interface texto para a configuração do acesso dosclientes de criptografia/aker/bin/firewall/fwcluster - Interface texto para a configuração da tolerância afalhas/aker/bin/firewall/fwcripto - Interface texto para configuração da criptografia eautenticação /aker/bin/firewall/fwedpwd - Interface texto para configuração das bases dedados para autenticação local/aker/bin/firewall/fwent - Interface texto para a criação de entidades© Aker Security Solutions 728

aker/bin/firewall/fwflood - Interface texto para configuração da proteção contraSYN flood /aker/bin/firewall/fwids - Interface texto para a configuração do suporte aagentes de detecção de intrusão /aker/bin/firewall/fwaccess - Interface texto para a configuração dasassociações de perfis de acesso /aker/bin/firewall/fwlist - Interface texto para acesso às conexões e sessões deusuários ativas /aker/bin/firewall/fwlog - Interface texto para acesso ao log e aos eventos dofirewall /aker/bin/firewall/fwmaxconn - Interface texto para configuração do controle deflood /aker/bin/firewall/fwnat - Interface texto para a configuração da conversão deendereços (NAT) /aker/bin/firewall/fwpar - Interface texto para configuração dos parâmetrosgerais /aker/bin/firewall/fwrule - Interface texto para configuração do filtro de pacotesinteligente /aker/bin/firewall/fwipseccert - Interface texto para a gerência dos certificadosX.509 necessários à criptografia IPSEC. /aker/bin/firewall/fwstat - Interface texto para a configuração e visualização dasestatísticas do Firewall. /aker/bin/common/akinterface - Interface texto para a configuração dasinterfaces de rede do Firewall. /aker/bin/firewall/fwauth - Interface texto para a configuração dos parâmetrosglobais de autenticação do Firewall. /aker/bin/firewall/akddns – Interface texto para configuração do cliente DDNS. /aker/bin/firewall/fwadvroute – Interface texto para configuração de roteamentoavançado. /aker/bin/firewall/fwedpwd - Interface texto para configura usuarios doautenticador local do firewall. /aker/bin/firewall/akhwsig – Imprime na tela a chave de hardware do BOX. /aker/bin/firewall/fwl2tp – Interface texto para configurar a vpn L2TP; /aker/bin/firewall/fwpptpsrv - Interface texto para configurar a vpn PPTP; /aker/bin/firewall/fwlic – Imprime na tela informações sobre a utilização delicença limitada por ip. /aker/bin/firewall/fwpacket – Interface texto para coleta de dumps no Akerfirewall. /aker/bin/firewall/fwportscan – Interface texto para configurar o filtro dedetecção de portscan. /aker/bin/firewall/fwver – Imprime a versão e a data de compilação dos arquivosdo Firewall.Programas que NÃO devem ser executados diretamente pelo administrador/aker/bin/firewall/2.6.x/aker_firewall_mod-xxxx.o - Módulo carregável dokernel com o firewall (apenas no Linux)/aker/bin/firewall/fwauthd - Servidor de autenticação de usuários© Aker Security Solutions 729

aker/bin/firewall/fwcardd - Módulo de validação de certificados X509 parasmart cards/aker/bin/firewall/fwconfd - Servidor de comunicação para a interface remota/aker/bin/firewall/fwcrld - Módulo de download de CRLs das autoridadescertificadoras ativas/aker/bin/firewall/fwcryptd - Servidor de criptografia para clientes/aker/bin/firewall/fwdnsd - Servidor de resolução de nomes (DNS) para ainterface remota/aker/bin/firewall/fwidsd - Programa de comunicação com agentes de detecçãode intrusão/aker/bin/firewall/fwinit - Programa de inicialização do Aker Firewall/aker/bin/firewall/fwftppd - Proxy FTP transparente/aker/bin/firewall/fwgkeyd - Servidor de geração de chaves de criptografia/aker/bin/firewall/fwhttppd - Proxy HTTP transparente e Filtro Web nãotransparente/aker/bin/firewall/fwheartd - Serviço de controle do cluster/aker/bin/firewall/fwhconfd - Serviço de configuração distribuída do cluster/aker/bin/firewall/fwgenericstd - Serviço de coleta de informação distribuída docluster/aker/bin/firewall/fwstconnd - Serviço de replicação de conexões do cluster/aker/bin/firewall/fwlinkmond - Serviço de monitoramento de links/aker/bin/firewall/fwdlavd - Serviço de anti-vírus web/aker/bin/firewall/fwmachined - Serviço de coleta de informações deperformance/aker/bin/firewall/fwpmapd - Proxy RPC transparente/aker/bin/firewall/fwlkeyd - Servidor de certificados de criptografia/aker/bin/firewall/fwmond - Módulo de monitoramento e reinicialização dosprocessos do firewall/aker/bin/firewall/fwnatmond - Módulo de monitoramento de máquinas para obalanceamento de carga/aker/bin/firewall/fwprofd - Servidor de login de usuários/aker/bin/firewall/fwrapd - Proxy Real Player transparente/aker/bin/firewall/fwrtspd - Real Time Streaming Protocol proxy/aker/bin/firewall/fwsocksd - Proxy SOCKS não transparente/aker/bin/firewall/fwsmtppd - Proxy SMTP transparente/aker/bin/firewall/fwpop3pd - Proxy POP3 transparente/aker/bin/firewall/fwlogd - Servidor de log, eventos e estatísticas/aker/bin/firewall/fwscanlogd - Servidor de pesquisa de log, eventos eestatísticas/aker/bin/firewall/fwsyncd - Processo de geração de sementes de criptografia esincronia/aker/bin/firewall/fwtelnetd - Proxy telnet transparente/aker/bin/firewall/fwtrap - Módulo de envio de traps SNMP/aker/bin/firewall/fwurld - Módulo de análise e checagem de permissão deacesso a URLs/aker/bin/firewall/fwiked - Módulo de negociação de chaves para criptografiaIPSEC (protocolo IKE)/aker/bin/firewall/fwtunneld - Secure Roaming Server para Firewall/aker/bin/firewall/libaker.so - Biblioteca genérica do firewall© Aker Security Solutions 730

aker/bin/firewall/libconfd.so - Biblioteca de configuração do firewall/aker/bin/firewall/snmpd/snmpd - Agente SNMP/aker/bin/firewall/corr.fw - Contém o nível de correção aplicado/aker/bin/firewall/fwadmkeys - Gerador de chaves RSA./aker/bin/firewall/fwapply - Auxila aplicação de patches./aker/bin/firewall/fwarpd - Resposta de solicitações arp./aker/bin/firewall/fwdcerpcd – Proxy DCE-RPC./aker/bin/firewall/fwdeepd – Módulo de IPS/IDS e filtro de aplicativos;/aker/bin/firewall/fwh2250pd - Proxy H.323./aker/bin/firewall/fwh245pd - Proxy H.323./aker/bin/firewall/fwhwid - Processo que cria o identificador unico da maquina./aker/bin/firewall/fwmsnd – Proxy MSN./aker/bin/firewall/fwpptpd – Módulo que permite as conexões PPTP passempor conversãod e endereço./aker/bin/firewall/fwpptpradiusd – Módulo de autenticação da VPn LPPTP/aker/bin/firewall/fwpscand – Módulo de detecção de portscan./aker/bin/firewall/fwquotad – Módulo de controle das Quotas./aker/bin/firewall/fwreportd – Módulo gerador de relatórios./aker/bin/firewall/fwrollback – Auxilia no rollback de patches./aker/bin/firewall/fwsipd – Proxy SIP./aker/bin/firewall/fwsslpd – Módulo da VPN SSL e Proxy SSL./aker/bin/firewall/fwtraind – Módulo para treinamento de e-mails do Aker SpamMeter./aker/bin/firewall/fwtunneldpt.qm - Arquivo de tradução/aker/bin/firewall/fwupdatepatchhis - Auxila gestão de patches./aker/bin/firewall/fwzebrad – Módulo de roteamento avançado, OSPF e RIP./aker/bin/firewall/fwvlan – Módulo de criação de VLAN 802.1q./aker/bin/firewall/hostapd_run.sh - Inicia o comando hostapd./aker/bin/firewall/l2tpns – Módulo da VPN L2TP;/aker/bin/firewall/libh323.so.1.0.0 - Biblioteca de suporte ao proxy H.323./aker/bin/firewall/nsctl - auxilia o l2tpns./aker/bin/firewall/rc.aker - Iniciador padrão do Firewall./aker/bin/firewall/rpt_files - Arquivos de relatorio/aker/bin/firewall/squid - Arquivos de cache/aker/bin/firewall/strings - Auxilia fwver.Arquivos de Log, Eventos e Estatísticas/var/log/fw-650-AAAAMMDD.fwlg - Armazena os logs do firewall do diaDD/MM/YYYY/var/log/fw-650-AAAAMMDD.fwev - Armazena os eventos do firewall do diaDD/MM/YYYY/var/log/stat-650-AAAAMMDD.fws - Armazena as estatísticas do firewall do diaDD/MM/YYYY© Aker Security Solutions 731

Aker Firewall BOX© Aker Security Solutions 732

39. Aker Firewall BoxEste capítulo mostrará os comandos que podem ser utilizados no shell do AkerFirewall Box.O Aker Firewall BoxO Aker Firewall Box é composto por um sistema integrado de hardware e software.A grande vantagem dessa plataforma é que ela dispensa maiores conhecimentos desistemas operacionais. Além disso, por não possuir disco rígido e por ser formadapor um hardware industrial, a plataforma apresenta potencialmente maior resistênciacontra danos, especialmente picos de energia, o que acaba por possibilitar umfuncionamento ainda mais estável.O Firewall BOX está disponível em diversos modelos, que visam atender asnecessidades de pequenas, médias e grandes empresas.A lista completa dos modelos disponíveis é freqüentemente atualizada e estádisponível em:http://www.aker.com.brComo funciona o shell do Aker Firewall Box?Ao conectar-se um terminal serial comum configurado a 9600 bps à porta serialcorrespondente no Aker Firewall Box, será possível utilizar a interface de linha decomando do mesmo, isto é, seu shell.Ao se realizar esse procedimento, primeiro será necessário apertar a tecla Enter atéque apareça o pedido de senha, que inicialmente é '123456'. Entrando-secorretamente a senha, o prompt seguinte aparecerá:Aker >Caso tenha perdido a senha de acesso local ao Aker Firewall Box, deve-seentrar em contato com o suporte técnico, para realizar o procedimento de reset damesma.No prompt do shell, podem ser digitados todos os comandos normais do AkerFirewall, conforme documentados nos tópicos relativos à interface texto de cadacapítulo. Além desses, existem comandos específicos ao firewall box que estãodocumentados abaixo.É possível digitar os comandos do firewall no shell sem o prefixo fw, isto é, entao invés de fwent.© Aker Security Solutions 733

Para sair do shell, pode-se ou digitar os comandos exit ou quit ou simplesmenteapertar as teclas Ctrl + D.Comandos específicos do Aker Firewall BoxComandoDescriçãoquitexitEncerram a sessão de administração no shellComandoDescriçãohelp?Mostram uma tela com a lista de comandos válidosComandoDescriçãoshutdownParalisa o firewall, para que ele possa ser desligadoComandoDescriçãorebootReinicia o firewallComandoDescriçãoping [-c n_pkt] [-i interv] ip_destinoEnvia pacotes ping para e espera a resposta do hostsip_destinoA opção -c especifica o número de pacotes a serem enviadosA opção -i especifica o intervalo de transmissão entre ospacotes em milisegundos (ms)ComandoDescriçãopasswordTroca a senha de acesso ao console do firewall© Aker Security Solutions 734

ComandoDescriçãodate | Com o parâmetro mostra , informa a data do sistema.Senão, acerta a data para a informada.ComandoDescriçãotime | Com o parâmetro mostra , informa a hora do sistema.Senão, acerta o relógio para o horário informado.© Aker Security Solutions 735

Apêndice A – Mensagens doSistema© Aker Security Solutions 736

40. Apêndice A – Mensagens do sistemaNeste apêndice estão listadas as mensagens do sistema.40.1. Mensagens do log do FirewallTodas as mensagens abaixo podem aparecer no log do firewall. Sempre queocorrerem, elas estarão precedendo um registro que contém as informações sobre opacote que as produziu. Na coluna "N." que fica ao lado esquerdo da tela estásendo mostrado o número correspondente a cada uma das mensagens.000 - Pacote fora das regrasNão possui mensagem associada.001 - Possível ataque de fragmentaçãoEsta mensagem indica que o filtro de pacotes recebeu um pacote TCP fragmentadono header TCP, possivelmente originado de uma tentativa de um ataque defragmentação como Teardrop ou Ping da Morte (PoD). Para maiores informaçõesveja RFC 1858.002 - Pacote IP direcionadoEsta mensagem indica que filtro de pacotes recebeu um pacote IP com uma dasseguintes opções: Record Route, Loose Routing ou Strict Routing e ele foiconfigurado de modo a não aceitar pacotes IP direcionados. Para maioresinformações veja RFC 791.003 - Ataque de landUm ataque de land consiste em simular uma conexão de uma porta com elamesma. Isto provoca o travamento da máquina atacada em boa parte dasimplementações TCP/IP.Esta mensagem indica que o filtro de pacotes recebeu um pacote cujo endereço deorigem é igual ao endereço destino e cuja porta de origem é igual à porta destino,caracterizando um ataque deste tipo.004 - Conexão não consta na tabela dinâmicaEsta mensagem indica que o firewall recebeu um pacote TCP que não era deabertura de conexão e estava endereçado para uma conexão não aberta. Isto podeser causado por um ataque ou simplesmente por uma conexão que ficou inativa porum tempo superior ao tempo limite para conexões TCP.© Aker Security Solutions 737

005 - Pacote proveniente de interface inválidaEsta mensagem indica que o filtro de pacotes recebeu um pacote IP proveniente deuma interface diferente da especificada na regra de filtragem na qual ele seencaixou. Isto pode ser causado por um ataque de falsificação de endereços IP (IPspoofing) ou por uma configuração errada de uma regra de filtragem.006 - Pacote proveniente de interface não determinadaEsta mensagem indica que o filtro de pacotes recebeu um pacote, mas nãoconseguiu determinar a interface de origem do mesmo. Como na regra de filtragemcorrespondente, está especificada uma interface, o pacote foi rejeitado. Estamensagem provavelmente nunca será mostrada.007 - Conexão de controle não está abertaEsta mensagem indica que o firewall recebeu um pacote de uma conexão de dados(de algum protocolo que utilize mais de uma conexão, como por exemplo, o FTP e oReal Áudio/Real Vídeo) e a conexão de controle correspondente não estava aberta.008 - Flags TCP do pacote são inválidosEsta mensagem indica que o Firewall recebeu um pacote TCP cujos flags estavaminválidos ou contraditórios (por exemplo, SYN e FIN no mesmo pacote). Isto podecaracterizar um ataque ou uma implementação de TCP/IP defeituosa.009 - Número de seqüência do pacote TCP inválidoEsta mensagem indica que o Firewall recebeu um pacote TCP cujo número deseqüência estava fora dos valores esperados. Isto pode caracterizar um ataque.010 - Possível ataque de SYN FloodEsta mensagem é gerada pelo Firewall todas as vezes que uma conexão é iniciadapara um dos endereços protegidos contra SYN flood e a conexão não foi realizadadentro do prazo máximo estabelecido pelo administrador. Se esta mensagemocorrer isoladamente, ou com pouca incidência, então provavelmente o intervalo detempo configurado na proteção contra SYN flood (ver o capítulo de Proteção contraSYN Flood) está muito pequeno. Caso ela apareça várias vezes seguidamente,provavelmente um ataque de SYN flood foi repelido pelo Firewall.011 - Pacote sem informação de autenticaçãoEsta mensagem indica que o pacote em questão veio sem header de autenticação ea configuração do fluxo seguro correspondente indica que ele só deveria ser aceitoautenticado (ver o capítulo intitulado Criando Canais de Criptografia). Isto podeser causado por uma configuração errada nos fluxos de autenticação(possivelmente só configurando em um dos lados da comunicação) ou por uma© Aker Security Solutions 738

tentativa de ataque de falsificação de endereços IP (IP spoofing). Para maioresinformações consultar às RFC's 1825 e 1827.012 - Pacote não passou pela autenticaçãoEsta mensagem indica que o pacote em questão não foi validado com sucesso pelomódulo de autenticação do Firewall. Isto pode ser causado por uma configuração dechaves de autenticação inválida, por uma alteração indevida no conteúdo do pacotedurante o seu trânsito ou por uma tentativa de ataque de falsificação de endereçosIP (IP spoofing). Para maiores informações veja as RFCs 1825 e 1827.013 - Pacote sem informação de criptografiaEsta mensagem indica que pacote em questão não veio criptografado e aconfiguração do fluxo seguro correspondente indica que ele deveria vir (ver ocapítulo intitulado Criando Canais de Criptografia). Isto pode ser causado por umaconfiguração errada nos fluxos de criptografia (possivelmente só configurando emum dos lados da comunicação) ou por uma tentativa de ataque de falsificação deendereços IP (IP spoofing). Para maiores informações consultar às RFC's 1825 e1827.014 - Tamanho do pacote a ser decriptado inválidoEsta mensagem indica que o módulo de criptografia detectou um tamanho dopacote a ser decriptado incompatível com o algoritmo de criptografiacorrespondente. Isto provavelmente é causado por uma configuração errada nosfluxos de criptografia.015 - Decriptação do pacote apresentou erroEsta mensagem indica que o módulo de criptografia, após decriptar o pacote erealizar os testes de consistência no mesmo, detectou que o mesmo é inválido. Istoprovavelmente é causado por uma configuração errada da tabela de criptografia oupor um possível ataque de falsificação de endereços IP (IP spoofing).016 - Tipo de encapsulamento do pacote inválidoEsta mensagem indica que o módulo de criptografia não reconheceu o tipo deencapsulamento usado neste pacote. Isto pode ser causado por uma falha nadecriptação do pacote (devido a senhas erradas) ou por ter sido usado um tipo deencapsulamento não suportado. O Aker Firewall trabalha exclusivamente comencapsulamento em modo de túnel, não aceitando outros modos, por exemplo,modo de transporte.017 - Pacote sem informações de SKIPEsta mensagem indica que o pacote em questão não veio com um header SKIP e aconfiguração do fluxo seguro correspondente indica que ele deveria vir. Istoprovavelmente é causado por uma configuração errada na tabela de criptografia© Aker Security Solutions 739

onde um dos lados está configurado para usar SKIP ou Aker-CDP e o outro não (vero capítulo intitulado Criando Canais de Criptografia).018 - SA para o pacote não contém informações SKIPEsta mensagem indica que o módulo de criptografia recebeu um pacote com umheader SKIP e a associação de segurança (SA) correspondente não possuiinformações sobre SKIP (ver o capítulo intitulado Criando Canais de Criptografia).Isto provavelmente é causado por uma configuração errada na tabela de criptografiaonde possivelmente um dos lados está configurado para usar SKIP ou Aker-CDP eo outro não.019 - Versão do protocolo SKIP inválidaEsta mensagem indica que a versão do protocolo SKIP indicada no pacote emquestão é diferente da versão suportada. O Aker Firewall implementa a versão 1 doprotocolo SKIP.020 - Valor do contador do protocolo SKIP inválidoO protocolo SKIP envia em cada pacote um contador, que é incrementado de horaem hora, com o objetivo de evitar ataques de repetição de seqüência. Estamensagem indica que o contador recebido no pacote em questão é inválido. Istopode ter duas causas distintas: ou relógio interno dos dois firewalls se comunicandoestá defasado em mais de uma hora ou ocorreu uma tentativa de ataque derepetição de seqüência.021 - SPI inválido para autenticação com SKIPEsta mensagem indica que foi recebido um pacote SKIP cujo número de SPIespecificado no cabeçalho de autenticação era inválido (o protocolo SKIP exige queo número do SPI utilizado seja 1).022 - Próximo protocolo do cabeçalho SKIP inválidoEsta mensagem indica que o protocolo seguinte ao cabeçalho SKIP do pacote emquestão não é suportado (o Aker Firewall exige que após o cabeçalho SKIP venha ocabeçalho de autenticação).023 - Algoritmo de autenticação do SKIP inválidoEsta mensagem indica que o algoritmo de autenticação especificado no cabeçalhoSKIP não é suportado (o Aker Firewall somente suporta os algoritmos deautenticação MD5 e SHA-1).024 - Algoritmo de criptografia do SKIP inválido© Aker Security Solutions 740

Esta mensagem indica que o algoritmo de criptografia especificado no cabeçalhoSKIP não é suportado (o Aker Firewall somente suporta os algoritmos de criptografiaDES, Triplo DES e Blowfish, com 128 e 256 bits de chaves).025 - Algoritmo de criptografia de chave SKIP inválidoEsta mensagem indica que o algoritmo de criptografia e separação de chavesespecificado no cabeçalho SKIP não é suportado (o Aker Firewall somente suportaos algoritmos DES, com MD5 como separador de chaves, Triplo DES, com MD5como separador de chaves e Blowfish, com MD5 como separador de chaves).026 - Algoritmo de compressão de dados não suportadoEsta mensagem indica que o algoritmo de compressão de dados especificado nocabeçalho SKIP não é suportado (o Aker Firewall não suporta nenhum algoritmo decompressão de dados, uma vez que estes ainda não estão padronizados).027 - Identificador de espaço de nome de origem inválidoO protocolo SKIP permite que sejam utilizados outros espaços de nomes, que nãoendereços IP, para selecionar a associação de segurança correspondente (SA). Oespaço de nome pode ser especificado para a origem e/ou para o destino. Estamensagem indica que o espaço de nome de origem não é suportado (o AkerFirewall somente suporta endereços IP como espaço de nome).028 - Identificador de espaço de nome de destino inválidoO protocolo SKIP permite que sejam utilizados outros espaços de nomes, que nãoendereços IP, para selecionar a associação de segurança correspondente (SA). Oespaço de nome pode ser especificado para a origem e/ou para o destino. Estamensagem indica que o espaço de nome de destino não é suportado (o AkerFirewall somente suporta endereços IP como espaço de nome).029 - Versão do protocolo Aker-CDP inválidaEsta mensagem indica que o Firewall recebeu um pacote do protocolo Aker-CDPcom versão inválida.030 - Tamanho do pacote para protocolo Aker-CDP inválidoEsta mensagem indica que o Firewall recebeu um pacote do protocolo Aker-CDPcom tamanho inválido.031 - Autenticação de pacote de controle Aker-CDP inválidaEsta mensagem indica que o Firewall recebeu um pacote de controle do protocoloAker-CDP com autenticação inválida. A causa provável é uma modificação dopacote durante o trânsito ou uma possível tentativa de ataque.© Aker Security Solutions 741

032 - Número de licenças do firewall atingidoO Aker Firewall é vendido em diferentes faixas de licenças, de acordo com onúmero de máquinas da(s) rede(s) interna(s) a serem protegidas. Esta mensagemindica que o firewall detectou um número de máquinas internas maior que o númerode licenças adquiridas e devido a isso impediu que as máquinas excedentesabrissem conexões através dele.Solução: Contate a Aker Security Solutions ou seu representante autorizado esolicite a aquisição de um maior número de licenças.033 - Pacote descartado por uma regra de bloqueio IDSEsta mensagem indica que o Firewall recebeu um pacote que se enquadrou emuma regra temporária acrescentada pelo agente de detecção de intrusão e devido aisso, foi descartado (para maiores informações veja o capítulo intituladoConfigurando o IPS/IDS).034 - Header AH com formato incorreto (campo: length)Esta mensagem indica que o Firewall recebeu um pacote cifrado com criptografiaIPSEC que tem informações de autenticação no protocolo AH com tamanhoincorreto. Veja a RFC 2402.035 - Tunelamento AH e ESP simultâneos não permitidoEsta mensagem indica que o Firewall recebeu um pacote cifrado com criptografiaIPSEC duplamente tunelado (via ESP e AH). Isto não é permitido.036 - SA para este pacote não foi negociadaEsta mensagem indica que o Firewall recebeu um pacote cifrado com criptografiaIPSEC para um canal não negociado.037 - Padding exigido muito grandeEsta mensagem indica que o Firewall calculou um tamanho de preenchimento parao protocolo ESP maior que o permitido. Provavelmente o tamanho de bloco doalgoritmo de criptografia é demasiado grande.038 - Tamanho de padding decifrado incorretoEsta mensagem indica que o firewall decifrou um pacote que dizia ser maior do queefetivamente é, via criptografia IPSEC. Provavelmente o pacote está corrompido ouhouve erros na troca de chaves.039 - Erro iniciando autenticação para o algoritmo especificado© Aker Security Solutions 742

Esta mensagem indica que o Firewall não conseguiu autenticar o pacote com oalgoritmo HMAC. Provavelmente o algoritmo de autenticação está com defeito.040 - Erro finalizando autenticação com o algoritmo escolhidoEsta mensagem indica que o Firewall não conseguiu autenticar o pacote com oalgoritmo HMAC. Provavelmente o algoritmo de autenticação está com defeito.041 - Final de conexãoEsta mensagem é apenas um registro de final de conexão e não deve aparecernormalmente no log do firewall.042 - Limite configurado de conexões a partir do endereço IP excedidoEsta mensagem ocorre quando o limite máximo de conexões configurado pelomódulo de proteção contra flood tiver sido atingido. Para verificar a configuraçãodeste módulo consulte a Proteção de Flood.043 - Tempo limite de conexão atingidoEsta mensagem ocorre durante a filtragem dos pacotes, informa que uma conexãofoi retirada da tabela de conexões, pois o seu tempo limite de ociosidade foiatingido.40.2. Mensagens dos eventos do Firewall055 - Firewall Aker v6.1 - Inicialização completaEsta mensagem tem caráter puramente informativo, servindo para determinar oshorários que o Firewall entrou em funcionamento. Ela será produzida a cadareinicialização da máquina.056 - Erro de alocação de memóriaEsta mensagem indica que algum módulo do Firewall tentou alocar memória e nãoconseguiu. Esta mensagem pode ocorrer em sistemas com pouca memória RAMutilizando conversão de endereços com um grande número de conexõessimultâneas ou com um grande número de conexões ativas passando pelos proxiesdo firewall.Solução: Adquira mais memória RAM ou aumente as partições de swap.057- Tabela de conversão TCP cheia© Aker Security Solutions 743

A tabela de conversão de endereços TCP encheu. A única solução para esseproblema é diminuir o Tempo limite TCP nos parâmetros de configuração. Paramaiores informações veja o capítulo Configurando os parâmetros do sistema.058 - Tabela de conversão UDP cheiaA tabela de conversão de endereços UDP encheu. A única solução para esseproblema é diminuir o Tempo limite UDP nos parâmetros de configuração. Paramaiores informações veja o capítulo Configurando os parâmetros do sistema.059 - Tabela de conexões de TCP cheiaO módulo de criptografia detectou um algoritmo de autenticação inválido naassociação de segurança quando realizava a criptografia de um pacote.060- Algoritmo de autenticação inválidoO módulo de criptografia detectou um algoritmo de autenticação inválido naassociação de segurança quando realizava a criptografia de um pacote.Solução: Contate o suporte técnico061 - Algoritmo de criptografia inválidoO módulo de criptografia detectou um algoritmo de criptografia inválido naassociação de segurança quando realizava a criptografia de um pacote.Solução: Contate o suporte técnico062 - Dados inválidos recebidos pela carga do FirewallEsta mensagem indica que foram enviados dados inválidos para os módulos doFirewall que rodam dentro do kernel do Linux. Os dados inválidos devemnecessariamente ter sido produzidos por um programa rodando na máquina dofirewall.Solução: Procure verificar qual programa produz esta mensagem ao ser executadoe não execute-o mais.063- Erro ao ler o arquivo de parâmetrosEsta mensagem é produzida por qualquer um dos módulos externos ao tentar ler oarquivo de parâmetros do sistema e constatar que este não existe ou não pode serlido.Solução: Reinicialize a máquina, que o programa de inicialização irá recriar oarquivo de parâmetros. Se isso não funcionar, contate o suporte técnico.064- Erro ao carregar perfis de acesso© Aker Security Solutions 744

Esta mensagem indica que o servidor de autenticação ou o servidor de login deusuários não conseguiu carregar a lista de perfis de acesso cadastrados no sistema.Solução: Contate o suporte técnico.065 - Erro ao carregar entidadesEsta mensagem indica que algum processo servidor do firewall não conseguiucarregar a lista de entidades cadastradas no sistema.Solução: Contate o suporte técnico.066- Nome de perfil de acesso inválidoEsta mensagem indica que o servidor de autenticação ao procurar o perfil de acessode um usuário constatou que o mesmo não se encontra cadastrado no sistema.Solução: Contate o suporte técnico.067 - Erro ao criar socket de conexãoEsta mensagem indica que algum dos módulos externos tentou criar um socket enão conseguiu.Solução: Verifique o número de arquivos que podem ser abertos por um processo eo número total para o sistema. Se necessário aumente estes valores. Para maioresinformações de como fazer isso, contate o suporte técnico.068 - Tamanho da linha excessivoEsta mensagem indica que algum proxy do Aker Firewall recebeu uma linha com umnúmero excessivo de caracteres e devido a isso, derrubou a conexão. A informaçãocomplementar entre parênteses indica o endereço IP da máquina que causou oproblema.Solução: Esta mensagem é causada por um servidor ou cliente fora dos padrõesdas RFCs. A única solução possível para o problema é contatar o administrador damáquina causadora da mensagem.069 - Erro ao carregar contextoEsta mensagem indica que um dos proxies transparentes não conseguiu carregar ocontexto especificado.Solução: Contate o suporte técnico.070 - Erro ao carregar tabela de criptografia© Aker Security Solutions 745

Esta mensagem indica que um dos servidores do firewall não conseguiu carregar atabela de criptografia.Solução: Contate o suporte técnico.071 - DNS reverso não configuradoEsta mensagem é produzida por algum dos proxies se ele tiver sido configuradopara somente receber conexões a partir de máquinas com DNS reverso válido e nãotiver conseguido resolver o nome para o endereço IP de origem de uma conexão. Amensagem complementar indica o endereço IP de origem da conexão.072 - DNS direto e reverso conflitantesQuando um proxy do Firewall é configurado para somente aceitar conexões a partirde máquinas com DNS reverso válido, ele utiliza uma técnica que consiste em tentarresolver o nome para o endereço IP de origem da conexão. Caso ele não consiga,ele indica erro mostrando a mensagem anterior e não permite a realização daconexão. Caso resolva o nome, ele faz uma outra pesquisa de DNS a partir donome retornado, buscando seu endereço IP. Se ele não conseguir realizar estasegunda pesquisa ou se o endereço IP retornado for diferente do endereço deorigem, a conexão é abortada e esta mensagem é produzida.073 - Possível ataque de simulação de protocoloEsta mensagem indica que o firewall durante o monitoramento de uma sessão dealgum protocolo com várias conexões (por exemplo, FTP e Real Áudio / Real Vídeo)detectou uma tentativa de abertura de conexão para uma porta menor que 1024 oupara um endereço diferente do esperado. Isso provavelmente é causado por umataque ou por uma implementação defeituosa do protocolo.A mensagem complementar indica os endereços de origem e destino da conexão.074 - Comando inválidoEsta mensagem indica que um dos proxies recebeu um comando consideradoinválido da máquina cliente e devido a isso não o repassou para o servidor. Asmensagens complementares indicam qual o comando que tentou ser executado equais as máquinas de origem e destino (no caso de proxy transparente) da conexão.075 - Mensagem SMTP aceitaEsta mensagem indica que o proxy SMTP transparente aceitou uma mensagem e aenviou para o servidor. A mensagem complementar indica quais as máquinas deorigem e destino da conexão e quem são o remetente e o destinatário, damensagem.Formato do evento para exportação:© Aker Security Solutions 746

DD/MM/AAAA HH:MM:SS Mensagem SMTPaceita 076 - Mensagem SMTP rejeitadaEsta mensagem indica que o proxy SMTP transparente rejeitou uma mensagemrecebida. Isto foi causado por ter a mensagem, se encaixado em algum filtro queindicava que ela deveria ser rejeitada ou por ter um tamanho maior que o tamanhomáximo permitido.Formato do evento para exportação:DD/MM/AAAA HH:MM:SS Mensagem SMTPrejeitada 077 - Conexão SMTP bloqueada por regra de DNSEsta mensagem indica que o proxy SMTP bloqueou uma conexão devido a umaregra do DNS. Para mais informações leia o capitulo intitulado Configurando oproxy SMTP.078 - Conexão SMTP bloqueada por RBLEsta mensagem indica que o proxy SMTP bloqueou uma conexão devido aoservidor SMTP de origem estar inscrito em uma lista negra de spammers.079 - Conexão SMTP recusada pelo servidor ou servidor fora do arEsta mensagem indica que o proxy SMTP tentou uma conexão com o servidorSMTP de destino, porém o mesmo pode ter recusado ou esta fora do ar. Verifiquese o servidor destino esta no ar realizando um telnet na porta 25 do mesmo.080 - Cliente SMTP enviou linha de tamanho excessivoO cliente SMTP enviou uma linha de tamanho muito grande que não pode sertratada pelo proxy SMTP. Verifique se o cliente segue a padronização da RFC ouajuste o mesmo para tal.081 - Cliente SMTP fechou conexãoO cliente SMTP fechou inesperadamente a conexão. Isto pode ter acontecido porintervenção do próprio usuário ou por problemas do cliente. Normalmente asconexões são restabelecidas automaticamente.082 - Servidor SMTP enviou linha de tamanho excessivo© Aker Security Solutions 747

O servidor SMTP enviou uma linha de tamanho muito grande que não pode sertratada pelo proxy SMTP. Verifique se o servidor segue a padronização da RFC ouajuste o mesmo para tal.083 - Servidor SMTP fechou conexãoO servidor SMTP fechou inesperadamente a conexão. Isto pode ter acontecido porproblemas de trafego excessivo ou erro no próprio servidor. Normalmente asconexões são restabelecidas automaticamente. Se o problema esta ocorrendo comfreqüência tente aumentar os tempos de negociação do protocolo SMTP no proxy.084 - Servidor SMTP acusou erroEsta mensagem indica que o servidor SMTP considerou uma das transações SMTPerrada.085 - Endereço de e-mail inválido enviado pelo cliente SMTPEsta mensagem indica que o cliente SMTP não forneceu um endereço de e-mail emformato válido.086 - Tentativa de relay não permitido bloqueadaEsta mensagem indica que uma tentativa de relay foi bloqueada pelo firewall.Verifique o capítulo Editando os parâmetros de um contexto SMTP para liberardomínios permitidos para relay.087 - Falta de espaço (disco cheio) para analisar mensagemEsta mensagem indica que o disco rígido do firewall está cheio. Tente esvaziar osarquivos de logs ou aumentar a capacidade do disco para o firewall poder analisar amensagem.088 - Mensagem estourou tamanho máximo permitidoEsta mensagem indica que a mensagem SMTP ultrapassou o tamanho máximopermitido. Verifique o capítulo Editando os parâmetros de um contexto SMTPpara aumentar o tamanho de recebimento da mensagem.089 - Mensagem com erro de sintaxeEsta mensagem indica que a mensagem SMTP estava com erro de sintaxe doscomandos SMTP. Geralmente programas de spammers fazem com que este erroaconteça.090 - Anexo com vírus removido© Aker Security Solutions 748

Esta mensagem indica que um anexo da mensagem continha vírus e foi removido.O complemento da mensagem indica quem é o remetente e o destinatário damensagem, assim como o nome do vírus encontrado.091 - Anexo removidoEsta mensagem indica que um anexo da mensagem foi removido. O complementoda mensagem indica quem são o remetente e o destinatário da mensagem.092 - Mensagem descartada por causa de seu anexoEsta mensagem indica que uma mensagem tinha um anexo inaceitável (veja suasregras) e foi bloqueada pelo proxy SMTP do Firewall. O complemento da mensagemindica quem são o remetente e o destinatário da mensagem.093 - Anexo continha vírus e foi desinfectadoEsta mensagem indica que um anexo da mensagem continha vírus e foidesinfectado. O complemento da mensagem indica quem são o remetente e odestinatário da mensagem, assim como o nome do vírus encontrado.094 - Anexo incorretamente codificado (mensagem defeituosa)Esta mensagem indica que um anexo de mensagem está incorretamente codificado,ou seja, apresenta erro na codificação do tipo MIME. Normalmente este arquivopode ser descartado pelo firewall caso o administrador configure a opção desejada.Para mais informações leia o capítulo intitulado Configurando o proxy SMTP.095 - URL aceitaEsta mensagem indica que o Filtro Web aceitou um pedido de uma URL feito porum usuário. A mensagem complementar entre parênteses indica o nome do usuárioque fez a requisição. A linha de mensagem seguinte indica o endereço IP damáquina da qual a requisição se originou e a terceira linha indica qual URL foiacessada.Esta mensagem somente será produzida para URLs do protocolo HTTP quandoelas resultarem em código HTML. Para os protocolos FTP e Gopher, ela serágerada para cada requisição aceita, independente do seu tipo.Formato do evento para exportação:DD/MM/AAAA HH:MM:SS URL Aceita 096 - Download de arquivo local aceitoEsta mensagem indica que o Filtro Web aceitou um pedido de uma URL feito porum usuário. A mensagem complementar entre parênteses indica o nome do usuário© Aker Security Solutions 749

que fez a requisição. A linha de mensagem seguinte indica o endereço IP damáquina da qual a requisição se originou e a terceira linha indica qual URL foiacessada.Esta mensagem se refere a um arquivo armazenado localmente no firewall, que foirequisitado utilizando-se o Filtro Web como um servidor WEB.097 - URL rejeitadaEsta mensagem indica que o Filtro Web rejeitou um pedido de uma URL feito porum usuário. A mensagem complementar entre parênteses indica o nome do usuárioque fez a requisição. A linha de mensagem seguinte indica o endereço IP damáquina da qual a requisição se originou e a terceira linha indica qual URL que ousuário tentou acessar.Formato do evento para exportação:DD/MM/AAAA HH:MM:SS URL Aceita 098 - Banner removidoEsta mensagem indica que o Filtro Web substitui uma requisição por uma imagemem branco, visto que a URL se encaixou nas regras de filtragem de banners. Amensagem complementar entre parênteses indica o nome do usuário que fez arequisição. A linha de mensagem seguinte indica o endereço IP da máquina da quala requisição se originou e a terceira linha indica qual URL que o usuário tentouacessar.099 - Java RemovidoO Proxy HTTP encontrou uma linha de código Java e foi removida.100 - Javascritp RemovidoO Proxy HTTP encontrou uma linha de código Javascript e foi removida.101 - ActiveX RemovidoO Proxy HTTP encontrou um objeto ActiveX que foi removido.102 - Pacote fora das regras do proxy SOCKSEssa mensagem indica que o proxy SOCKS recebeu uma solicitação de abertura deconexão TCP ou de envio de pacote UDP e a mesma não se encaixou em nenhumaregra de filtragem do perfil de acesso correspondente. Devido a isso a solicitação foirecusada.© Aker Security Solutions 750

As mensagens complementares indicam o nome do usuário que enviou a requisição(se a autenticação de usuários estiver habilitada), o endereço do cliente, o endereçodestino da requisição e seu protocolo.103 - Pacote UDP aceito pelo proxy SOCKSEssa mensagem indica que o proxy SOCKS recebeu uma solicitação de envio deum pacote UDP e o mesmo foi enviado, devido a existência de uma regra no perfilde acesso correspondente indicando que o proxy poderia fazê-lo.As mensagens complementares indicam o nome do usuário que enviou o pacote (sea autenticação de usuários estiver habilitada), o endereço do cliente e o endereçodestino.104 - Pacote UDP recusado pelo proxy SOCKSEssa mensagem indica que o proxy SOCKS recebeu uma solicitação de envio deum pacote UDP e o mesmo foi recusado, devido a existência de uma regra no perfilde acesso correspondente indicando que o proxy não deveria aceitar tal requisição.As mensagens complementares indicam o nome do usuário que tentou enviar opacote (se a autenticação de usuários estiver habilitada), o endereço do cliente e oendereço destino.105 - Conexão TCP estabelecida através do proxy SOCKSEssa mensagem indica que o proxy SOCKS recebeu uma solicitação deestabelecimento de uma conexão TCP e a mesmo foi estabelecida, devido aexistência de uma regra no perfil de acesso correspondente indicando que o proxypoderia fazê-lo.As mensagens complementares indicam o nome do usuário que estabeleceu aconexão (se a autenticação de usuários estiver habilitada), o endereço do cliente e oendereço para o qual a conexão foi estabelecida.106 - Conexão TCP finalizada através do proxy SOCKSEssa mensagem é gerada todas as vezes que uma conexão TCP é finalizadaatravés do proxy SOCKS.As mensagens complementares indicam o nome do usuário que havia estabelecidoa conexão (se a autenticação de usuários estiver habilitada), o endereço do cliente eo endereço para o qual a conexão foi estabelecida.107 - Conexão TCP recusada pelo proxy SOCKSEssa mensagem indica que o proxy SOCKS recebeu uma solicitação deestabelecimento de uma conexão TCP e a mesmo foi recusada, devido a existência© Aker Security Solutions 751

de uma regra no perfil de acesso correspondente indicando que o proxy não deveriaaceitar tal conexão.As mensagens complementares indicam o nome do usuário que solicitou a conexão(se a autenticação de usuários estiver habilitada), o endereço do cliente e oendereço de destino.108 - Dados incorretos recebidos pelo proxy SOCKSEssa mensagem é gerada quando o proxy SOCKS recebe dados do cliente emdesacordo com a especificação do protocolo SOCKS. Exemplos de dados inválidospodem ser uma versão do protocolo diferente de 4 ou 5, um endereço destino embranco, entre outros.109 - Erro ao comunicar com servidor de autenticaçãoEsta mensagem indica que um dos proxies não conseguiu se comunicar com oservidor de autenticação quando tentou realizar a autenticação de um usuário.Devido a isso, o usuário não foi autorizado a continuar e a sua conexão foirecusada.Solução: Verifique se o processo do servidor de autenticação está ativo no firewall.Para fazer isso, execute o comando#ps -ax | grep fwauthd | grep -v grep. Caso o processo não apareça, execute-ocom o comando /etc/firewall/fwauthd. Se o processo estiver ativo ou se esteproblema voltar a ocorrer, contate o suporte técnico.110 - Erro ao conectar com agente de autenticaçãoEsta mensagem indica que o servidor de autenticação não conseguiu se conectarao agente de autenticação que estaria rodando em uma determinada máquina. Amensagem complementar indica o nome do agente de autenticação que não podeser conectado e o endereço IP que ele supostamente estaria rodando.Solução: Verifique se o endereço IP da máquina onde o agente estaria rodando estácorreto na definição do autenticador (para maiores informações, veja o capítulointitulado Cadastrando Entidades) e que o agente está realmente sendo executadona máquina em questão.111 - Erro de comunicação com agente de autenticaçãoEsta mensagem indica que o servidor de autenticação conseguiu se conectar aoagente de autenticação, porém não conseguiu estabelecer uma comunicação. Amensagem complementar indica o nome do agente de autenticação que provocou oproblema.© Aker Security Solutions 752

Solução: Verifique se a senha de acesso na definição do autenticador está igual àsenha colocada na configuração do agente de autenticação. Para maioresinformações, veja o capítulo intitulado Cadastrando Entidades.112 - Erro ao conectar com agente IDSEsta mensagem indica que o firewall não conseguiu se conectar ao agente IDS queestaria rodando em uma determinada máquina. A mensagem complementar indica onome do agente IDS que não pode ser conectado e o endereço IP que elesupostamente estaria rodando.Solução: Verifique se o endereço IP da máquina onde o agente estaria rodando estácorreto na definição da entidade (para maiores informações, veja o capítulointitulado Cadastrando Entidades) e que o agente está realmente sendo executadona máquina em questão.113 - Erro de comunicação com agente IDSEsta mensagem indica que o firewall conseguiu se conectar ao agente IDS, porémnão conseguiu estabelecer uma comunicação. A mensagem complementar indica onome do agente IDS que provocou o problema e o endereço IP da máquina ondeele está rodando.Solução: Verifique se a senha de acesso na definição da entidade está igual àsenha colocada na configuração do agente IDS. Para maiores informações, veja ocapítulo intitulado Cadastrando Entidades.114 - Regra de bloqueio temporária acrescentadaEsta mensagem indica que uma regra de bloqueio temporária foi inserida no firewall.Como dados complementares são mostrados o módulo que inseriu a regratemporária (IDS, Portscan, etc) e no caso do IDS interno, a razão pela qual amáquina foi bloqueada.115 - Erro de conexão com o servidor Spam MeterEsta mensagem indica que o firewall não conseguiu se conectar ao Spam Meter queestaria rodando em uma determinada máquina. A mensagem complementar indica onome do servidor que não pode ser conectado e o endereço IP que elesupostamente estaria rodando.Solução: Verifique se o endereço IP da máquina onde o agente estaria rodando estácorreto na definição da entidade (para maiores informações, veja o capítulointitulado Cadastrando Entidades) e que o Spam Meter está realmente sendoexecutado na máquina em questão.116 - Erro de comunicação com o servidor Spam Meter© Aker Security Solutions 753

Esta mensagem indica que o firewall conseguiu se conectar ao Spam Meter, porémnão conseguiu estabelecer uma comunicação. A mensagem complementar indica onome do agente Spam Meter que provocou o problema e o endereço IP da máquinaonde ele está rodando.Solução: Verifique se a senha de acesso na definição da entidade está igual asenha colocada na configuração do agente Spam Meter. Para maiores informações,veja o capítulo intitulado Cadastrando Entidades.117 - Erro ao conectar com servidor de antivírusEsta mensagem indica que o firewall não conseguiu se conectar ao servidor deantivírus que estaria rodando em uma determinada máquina. A mensagemcomplementar indica o nome do servidor que não pode ser conectado e o endereçoIP que ele supostamente estaria rodando.Solução: Verifique se o endereço IP da máquina onde o agente estaria rodando estácorreto na definição da entidade (para maiores informações, veja o capítulointitulado Cadastrando Entidades) e que o agente está realmente sendo executadona máquina em questão.118 - Erro de comunicação com servidor de antivírusEsta mensagem indica que o firewall conseguiu se conectar ao servidor de antivírus,porém não conseguiu estabelecer uma comunicação. A mensagem complementarindica o nome do agente antivírus que provocou o problema e o endereço IP damáquina onde ele está rodando.Solução: Verifique se a senha de acesso na definição da entidade está igual àsenha colocada na configuração do agente antivírus. Para maiores informações,veja o capítulo intitulado Cadastrando Entidades.119 - Erro ao conectar com Web Content AnalyzerEsta mensagem indica que o firewall não conseguiu se conectar ao Web ContentAnalyzer que estaria rodando em uma determinada máquina. A mensagemcomplementar indica o nome do analisador que não pode ser conectado e oendereço IP que ele supostamente estaria rodando.Solução: Verifique se o endereço IP da máquina onde o analisador estaria rodandoestá correto na definição da entidade (para maiores informações, veja o capítulointitulado Cadastrando Entidades) e que ele está realmente sendo executado namáquina em questão.120 - Erro de comunicação com Web Content AnalyzerEsta mensagem indica que o firewall conseguiu se conectar ao Web ContentAnalyzer, porém não conseguiu estabelecer uma comunicação. A mensagem© Aker Security Solutions 754

complementar indica o nome do analisador que provocou o problema e o endereçoIP da máquina onde ele está rodando.Solução: Verifique se a senha de acesso na definição da entidade está igual àsenha colocada na configuração do Web Content Analyzer. Para maioresinformações, veja o capítulo intitulado Cadastrando Entidades.121 - Nova máquina detectada no clusterEsta mensagem indica que uma nova máquina foi anexada ao sistema de cluster dofirewall.122 - Máquina participante do cluster fora do arEsta mensagem indica que uma das máquinas participantes do cluster esta fora doar. Verifique a situação da máquina de modo a solucionar o problema da mesma.123 - Pacote de heartbeat inválidoEsta mensagem indica que um pacote de verificação do cluster foi recebidoincorretamente. Verifique se o segmento de comunicação dos firewall estafuncionando corretamente.124 - Convergência do cluster completada com sucessoEsta mensagem indica que todos os firewalls do cluster estão funcionandocorretamente.125 - Chave de ativação do firewall repetidaEsta mensagem indica que dois firewalls possuem a mesma licença instalada. Parao trabalho dos firewalls cooperativos e necessário que cada um dos firewalls possuaa sua própria licença126 - Falha de autenticação para proxyEsta mensagem indica que um usuário informou uma senha inválida ao tentarautenticar-se em um determinado proxy. As mensagens complementares indicam onome do usuário e as máquinas de origem e destino (no caso de proxytransparente) da conexão.127 - Usuário não cadastrado para proxyEsta mensagem indica que um usuário não cadastrado tentou se autenticar em umdeterminado proxy. A mensagem complementar indica as máquinas de origem edestino (no caso de proxy transparente) da conexão.128 - Usuário sem permissão para telnet© Aker Security Solutions 755

Esta mensagem indica que um usuário se autenticou corretamente no proxy telnetporém não tinha permissão de efetuar a conexão desejada. As mensagenscomplementares indicam o nome do usuário e as máquinas de origem e destino daconexão.129 - Sessão telnet estabelecidaEsta mensagem indica que um usuário se autenticou corretamente no proxy telnet etinha permissão para efetuar a conexão desejada. Devido a isso, a conexão foiestabelecida. As mensagens complementares indicam o nome do usuário e asmáquinas de origem e destino da conexão.130 - Sessão telnet finalizadaEsta mensagem indica que um usuário se desconectou de uma sessão telnet. Asmensagens complementares indicam o nome do usuário e as máquinas de origem edestino da conexão.131 - Erro ao enviar dados para o kernel do FirewallEsta mensagem indica que algum dos módulos externos tentou enviar informaçõespara os módulos do firewall que rodam dentro do kernel e não conseguiu. Se existiruma mensagem complementar entre parênteses, esta indicará quais informaçõesestavam sendo enviadas.Solução: No Linux o comando é lsmod. Deverá aparecer um módulo com o nomeaker_firewall_mod.132 - Erro ao salvar certificadosEsta mensagem indica que o firewall não conseguiu salvar alguma lista decertificados de criptografia no disco.Solução: Verifique se o existe espaço disponível no diretório '/' do firewall. Isto podeser feito através do comando "$df -k". Se este comando mostrar o diretório '/' com100% de espaço utilizado, então é isto a causa do problema. Caso exista espaçodisponível e ainda assim este erro apareça, consulte o suporte técnico.133 - Erro ao carregar certificadosEsta mensagem indica que o firewall não conseguiu carregar alguma lista decertificados de criptografia.Solução: Contate o suporte técnico134 - Certificado inválido recebidoEsta mensagem indica que o servidor de certificados do firewall recebeu umcertificado inválido. Isso pode ter uma das seguintes causas:© Aker Security Solutions 756

Assinatura do certificado inválidaEntidade certificadora desconhecidaCertificado expiradoAs mensagens complementares indicam qual destes possíveis erros ocorreu e qual firewallemitiu o certificado inválido.135 - Certificado recebido e validado corretamenteEsta mensagem indica que o servidor de certificados do firewall recebeu umcertificado de negociação ou revogação válido. As mensagens complementaresindicam que tipo de certificado foi recebido e qual firewall o emitiu.136 - Requisição de cliente de criptografia inválidaEsta mensagem indica que o servidor de certificados recebeu uma requisição de umcliente de criptografia e esta requisição foi considerada inválida. Isso pode ter umadas seguintes causas:O certificado do firewall foi atualizado e o cliente continua utilizando o certificadoantigo.A requisição partiu de uma máquina não autorizada a estabelecer sessão decriptografia com o firewall.As mensagens complementares indicam qual a causa do problema e os endereçosda máquina de origem e destino (o destino é o endereço da máquina atrás dofirewall com a qual o cliente tentou se comunicar).137 - Falha de autenticação para criptografiaEsta mensagem só é mostrada quando a autenticação de usuários para clientes decriptografia está ativa e indica que um usuário cadastrado em algum autenticadortentou estabelecer uma sessão de criptografia com o firewall, porém sua senhaestava incorreta. As mensagens complementares mostram o nome do usuário emquestão e os endereços da máquina de origem e destino (o destino é o endereço damáquina atrás do firewall com a qual o cliente tentou se comunicar).138 - Usuário não cadastrado para criptografiaEsta mensagem só é mostrada quando a autenticação de usuários para clientes decriptografia está ativa e indica que um usuário não cadastrado em nenhumautenticador tentou estabelecer uma sessão de criptografia com o firewall. Amensagem complementar mostra os endereços da máquina de origem e destino (odestino é o endereço da máquina atrás do firewall com a qual o cliente tentou secomunicar).139 - Sessão de criptografia com cliente estabelecida© Aker Security Solutions 757

Esta mensagem é gerada pelo servidor de certificados quando um usuárioconsegue se autenticar corretamente em um cliente de criptografia e iniciar umasessão. Nas mensagens complementares é mostrado o login do usuário queestabeleceu a sessão e os endereços da máquina de origem e destino (o destino éo endereço da máquina atrás do firewall com a qual o cliente se comunicouinicialmente).140 - Sessão de criptografia com cliente finalizadaEsta mensagem indica que um cliente finalizou uma sessão criptografada. Amensagem complementar indica a máquina de origem da conexão.141 - Erro de comunicação com cliente de criptografiaEsta mensagem, que pode ter várias causas, indica que o servidor de criptografiapara clientes recebeu um pacote criptografado inválido de um Cliente de CriptografiaAker.As mensagens complementares indicam qual a causa do problema e os endereçosda máquina de origem e destino (o destino é o endereço da máquina atrás dofirewall com a qual o cliente tentou se comunicar).142- Erro ao carregar algoritmo de criptografiaO Aker Firewall pode trabalhar com algoritmos de criptografia desenvolvidos porterceiros, chamados de algoritmos externos. Esta mensagem indica que o servidorde criptografia para clientes não conseguiu carregar um destes algoritmos decriptografia externos. Isto é causado por uma falha de implementação do algoritmo.As mensagens complementares mostram o nome da biblioteca a partir da qual ofirewall tentou carregar o algoritmo e o erro que causou o problema.Solução: Contate o desenvolvedor do algoritmo e repasse a mensagem completapara ele.143 - Falha de autenticação para perfil de acessoEsta mensagem indica que um usuário informou uma senha inválida ao tentar selogar no firewall utilizando o Cliente de Autenticação Aker. As mensagenscomplementares indicam o nome do usuário e a máquina de origem da requisição.144 - Usuário não cadastrado para perfil de acessoEsta mensagem indica que um usuário não cadastrado tentou se logar no firewallutilizando o Cliente de Autenticação Aker. A mensagem complementar indica amáquina de origem da requisição.145 - Sessão de perfil de acesso estabelecida© Aker Security Solutions 758

Esta mensagem indica que um usuário se logou corretamente no firewall utilizandoo Cliente de Autenticação Aker. As mensagens complementares indicam o nome dousuário que estabeleceu a sessão e a máquina a partir da qual a sessão foiestabelecida.146 - Sessão de perfil de acesso finalizadaEsta mensagem indica que um usuário finalizou uma sessão no firewall estabelecidaatravés do Cliente de Autenticação Aker. As mensagens complementares indicam onome do usuário que finalizou a sessão e a máquina a partir da qual a sessão foifinalizada.147 - Requisição de perfil de acesso inválidaEsta mensagem, que pode ter várias causas, indica que o servidor de login deusuários recebeu uma requisição inválida de um Cliente de Autenticação Aker.As mensagens complementares indicam qual a causa do problema e o endereço damáquina de origem da requisição.148 - Conflito de versão de cliente de autenticaçãoDurante a autenticação, foi encontrada uma versão de um cliente de autenticaçãoque não permite que outros usuários se autentiquem.149 - Erro ao carregar pseudo-gruposEsta mensagem indica que o firewall não conseguiu carregar a lista de pseudogruposdas autoridades certificadoras.Solução: Contate o suporte técnico150 - Erro ao baixar CRLEssa mensagem indica que o firewall não conseguiu baixar a lista de certificadosrevogados (CRL) de uma autoridade certificadora. As mensagens complementaresmostram a razão pela qual não foi possível baixar a lista e a URL da qual se tentoubaixá-la.Solução: Verifique que a URL informada na definição da entidade do tipo autoridadecertificadora está correta e que o serviço está no ar. É possível fazer isso digitandosea URL em um browser e verificando se é possível se receber o arquivo.151 - Número de processos excessivo no sistemaEsta mensagem indica que algum dos módulos externos do firewall, ao tentar criaruma nova instância de si próprio para tratar uma conexão, detectou que o númerode processos executando no sistema está próximo do limite máximo permitido.© Aker Security Solutions 759

Diante disso, a criação do novo processo foi cancelada e a conexão que deveria sertratada pelo novo processo foi abortada.Solução: Aumente o número máximo de processos no sistema. Para maioresinformações, consulte o Apêndice B - Perguntas e respostas.152 - Máquina de conversão 1-N fora do arEssa mensagem indica que uma das máquinas participantes de uma conversão 1-N(balanceamento de canal) se encontra fora do ar. A mensagem complementarmostra o endereço IP da máquina em questão.153 - Máquina de conversão 1-N operacionalEssa mensagem indica que uma das máquinas participantes de uma conversão 1-N(balanceamento de canal) que se encontrava fora do ar voltou a funcionarnormalmente. A mensagem complementar mostra o endereço IP da máquina emquestão.154 - Pedido de conexão de administraçãoEsta mensagem é gerada pelo módulo de administração remota do Aker Firewalltodas as vezes que este recebe um pedido de abertura de conexão. Na mensagemcomplementar é mostrado o endereço IP da máquina que solicitou a abertura deconexão.155 - Sessão de administração estabelecidaEsta mensagem é gerada pelo módulo de administração remota do Aker Firewallquando um usuário consegue se autenticar corretamente e iniciar uma sessão deadministração. Na mensagem complementar é mostrado o login do usuário queestabeleceu a sessão e os seus direitos.Os direitos do usuário são representados através de três siglas independentes.Caso o usuário possua um determinado direito será mostrada a siglacorrespondente a ele, caso contrário será mostrado o valor "--". As siglas e seussignificados são os seguintes:CF - Configura FirewallCL - Configura LogGU - Gerencia usuários156 - Sessão de administração finalizadaEsta mensagem indica que a sessão de administração estabelecida anteriormentefoi terminada a pedido do cliente.157 - Usuário não cadastrado para administração© Aker Security Solutions 760

Esta mensagem indica que um usuário não cadastrado no sistema tentouestabelecer uma sessão de administração.158 - Erro de confirmação de sessão de administraçãoEsta mensagem indica que um usuário cadastrado no sistema tentou estabeleceruma sessão de administração remota, porém sua senha estava incorreta. Amensagem complementar mostra o nome do usuário em questão.159 - Firewall sendo administrado por outro usuárioEsta mensagem indica que um usuário conseguiu se autenticar corretamente paraestabelecer uma sessão de administração remota, porém já existia um outro usuáriocom uma sessão aberta para a mesma máquina e por isso a conexão foi recusada.A mensagem complementar indica qual o usuário que teve sua sessão recusada.160 - Alteração de parâmetroEsta mensagem indica que o administrador que estava com a sessão deadministração aberta alterou algum parâmetro de configuração do sistema. Amensagem complementar indica o nome do parâmetro que foi alterado.161 - Alteração das regras de filtragemEsta mensagem indica que o administrador que estava com a sessão deadministração aberta alterou a tabela de regras de filtragem do firewall.162 - Alteração da conversãoEsta mensagem indica que o administrador que estava com a sessão deadministração aberta alterou algum parâmetro da conversão de endereços ou atabela de conversão de servidores. A mensagem complementar indica exatamente oque foi alterado.163 - Alteração da tabela de criptografiaEsta mensagem indica que o administrador que estava com a sessão deadministração aberta alterou a tabela de criptografia do firewall.164 - Alteração na configuração de SYN FloodEsta mensagem indica que o administrador que estava com a sessão deadministração aberta alterou algum parâmetro da proteção contra SYN Flood. Amensagem complementar indica exatamente o que foi alterado.165 - Alteração de contextosEsta mensagem indica que o administrador que estava com a sessão deadministração aberta alterou contextos de um dos proxies transparentes do Firewall.© Aker Security Solutions 761

A mensagem complementar indica qual o proxy que teve seus contextosmodificados.166 - Alteração da configuração de SNMPEsta mensagem indica que o administrador que estava com a sessão deadministração aberta alterou os parâmetros de configuração do agente SNMP.167 - Alteração dos perfis de acessoEsta mensagem indica que o administrador que estava com a sessão deadministração aberta alterou a lista de perfis de acesso.168 - Alteração da lista de controle de acessoEsta mensagem indica que o administrador que estava com a sessão deadministração aberta alterou a lista de controles de acesso.169 - Alteração de parâmetros de autenticaçãoEsta mensagem indica que o administrador que estava com a sessão deadministração aberta alterou os parâmetros globais de autenticação.170 - Alteração de entidadesEsta mensagem indica que o administrador que estava com a sessão deadministração aberta alterou a lista de entidades do sistema.171 - Alteração de parâmetros WWWEsta mensagem indica que o administrador que estava com a sessão deadministração aberta alterou os parâmetros WWW.172 - Alteração da configuração do proxy SOCKSEsta mensagem indica que o administrador que estava com a sessão deadministração aberta alterou algum dos parâmetros de configuração do proxySOCKS.173 - Remoção de conexão ativaEsta mensagem indica que o administrador que estava com a sessão deadministração aberta removeu uma das conexões ativas. A mensagemcomplementar indica se a conexão removida era TCP ou UDP.174 - Remoção de sessão de usuário ativa© Aker Security Solutions 762

Esta mensagem indica que o administrador que estava com a sessão deadministração aberta removeu uma das sessões de usuários que estavam logadosno firewall através do Cliente de Autenticação Aker.175 - Operação sobre o arquivo de logEsta mensagem indica que o administrador que estava com a sessão deadministração aberta realizou uma operação sobre o arquivo de log. As operaçõespossíveis são Compactar e Apagar. A mensagem complementar indica qual destasoperações foi executada.176 - Operação sobre o arquivo de eventosEsta mensagem indica que o administrador que estava com a sessão deadministração aberta realizou uma operação sobre o arquivo de eventos. Asoperações possíveis são Compactar e Apagar. A mensagem complementar indicaqual destas operações foi executada.177 - Operação sobre o arquivo de usuáriosEsta mensagem indica que o administrador que estava com a sessão deadministração aberta realizou uma operação sobre o arquivo de usuários. Asoperações possíveis são Incluir, Excluir e Alterar. A mensagem complementar indicaqual destas operações foi executada e sobre qual usuário.178 - Alteração na data/hora do firewallEsta mensagem indica que o administrador que estava com a sessão deadministração aberta alterou a data e/ou à hora do firewall.179 - Carga do certificado de negociação localEsta mensagem indica que o administrador que estava com a sessão deadministração aberta carregou ou alterou o certificado de negociação local dofirewall.180 - Alteração nos certificadosEsta mensagem indica que o administrador que estava com a sessão deadministração aberta alterou a lista de certificados das entidades certificadoras oude revogação do firewall.181 - Alteração da configuração de TCP/IPEsta mensagem indica que o administrador que estava com a sessão deadministração aberta alterou a configuração de TCP/IP do firewall (hostname,configuração de DNS, configuração de interfaces ou rotas).182 - Alteração nas licenças de ativação© Aker Security Solutions 763

Um novo arquivo de licenças foi adicionado no Firewall.183 - Alteração na configuração do clusterNovas configurações de cluster foram adicionadas no Firewall.184 - Queda de sessão de administração por erroEsta mensagem indica que a sessão de administração que estava ativa foiinterrompida devido a um erro de protocolo de comunicação.Solução: Experimente estabelecer a conexão novamente. Se o problema voltar aocorrer, consulte o suporte técnico.185 - Queda de sessão de administração por inatividadeQuando uma interface remota estabelece uma conexão de administração, ela passaa enviar periodicamente pacotes para o firewall indicando que ela continua ativa.Estes pacotes são enviados mesmo que usuário não execute nenhuma operação.Esta mensagem indica que a sessão de administração que estava ativa foiinterrompida devido a um tempo limite ter sido atingido, sem o servidor ter recebidonenhum pacote da interface remota. A sua causa mais provável é uma queda namáquina que rodava a interface gráfica ou uma queda na rede.186 - Erro na operação anteriorEsta mensagem indica que a última operação executada pelo servidor decomunicação remota não foi executada com sucesso.Solução: Verifique se o existe espaço disponível no diretório '/' do firewall. Isto podeser feito através do comando "$df -k". Se este comando mostrar o diretório '/' com100% de espaço utilizado, então é isto a causa do problema. Caso exista espaçodisponível e ainda assim este erro apareça, consulte o suporte técnico.187 - Usuário sem direito de acessoEsta mensagem indica que o usuário tentou realizar uma operação que não lhe erapermitida.Solução: Esta mensagem não deve ser mostrada em condições normais defuncionamento do Aker Firewall. Se ela aparecer, contate o suporte técnico.188 - Pacote não reconhecidoEsta mensagem indica que o servidor de comunicação do firewall recebeu umarequisição de serviço desconhecida.Solução: Contate o suporte técnico.© Aker Security Solutions 764

189 - Muitas negociações pendentesEsta mensagem indica que o kernel não está conseguindo pedir que o daemon denegociações de chave estabeleça um canal. Esta situação é anômala e não deveacontecer. Contate o suporte técnico se o Firewall gerar esta mensagem.190 - SA não tem tipo IPSECEsta mensagem indica que foi tentada a configuração de um canal não IPSEC pelomódulo IPSEC. Esta situação é anômala e não deve acontecer. Por favor contate osuporte técnico se o Firewall gerar esta mensagem.191 - Algoritmo de criptografia especificado não implementadoEsta mensagem indica que foi negociado um canal de criptografia com um algoritmonão implementado. Escolha outros algoritmos (veja seção Configurando canaisFirewall-Firewall).192 - Falhou a expansão da chave criptográficaEsta mensagem indica que o módulo IPSEC teve dificuldades em tratar a chavenegociada para um canal criptográfico. Esta situação é anômala e não deveacontecer. Por favor contate o suporte técnico se o Firewall gerar esta mensagem.193 - Kernel repassou pacote inválidoEsta mensagem indica que o sistema operacional passou um pacote incorreto parao Firewall. Ela ocorre apenas no sistema operacional Linux.194 - Falhou ao inserir SA no kernelEsta mensagem indica que foi negociado um canal que já não existe mais. Parasolucionar o problema, recrie o canal, ou aguarde até que todos os módulos doFirewall saibam da não existência deste canal.195 - Estabelecendo VPN IPSEC para o tráfegoEsta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked)iniciou o estabelecimento de um canal, por necessidade imediata de seu uso.196 - fwiked falhou ao iniciarEsta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked) nãoconseguiu ler suas configurações. Recrie as configurações de criptografia parasolucionar o problema (veja seção Configurando canais Firewall-Firewall).197 - Erro processando configuração© Aker Security Solutions 765

Esta mensagem indica que ocorreu um erro interno grave no daemon denegociação de chaves IPSEC (fwiked). Esta situação é anômala e não deveacontecer. Por favor contate o suporte técnico se o Firewall gerar esta mensagem.198 - Erro comunicando com o kernelEsta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked) nãoestá conseguindo se comunicar com os módulos do Firewall que executam dentrodo kernel do sistema operacional.199 - Kernel enviou requisição incorretaEsta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked)recebeu uma solicitação para negociar um canal de criptografia que não mais existena configuração do Firewall. Espere alguns instantes até que todos os módulos doFirewall se sincronizem.200 - Tentou instalar uma SA não negociadaEsta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked)encontrou um erro grave de consistência interna. Esta situação é anômala e nãodeve acontecer. Por favor contate o suporte técnico se o Firewall gerar estamensagem.201 - Algoritmo criptográfico não suportadoEsta mensagem indica que um outro Firewall (ou qualquer equipamento que suporteIPSEC) tentou estabelecer um canal criptográfico com um algoritmo de cifração nãosuportado pelo Aker Firewall. Escolha outros algoritmos (veja seção Configurandocanais Firewall-Firewall).202 - Erro enviando regra de ike ao filtro de pacotesEsta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked) nãoestá conseguindo se comunicar com os módulos do Firewall que executam dentrodo kernel do sistema operacional para inserir uma regra de liberação dacomunicação com seus pares.203 - Sucesso ativando a SA negociadaEsta mensagem indica que o daemon de negociação de chaves IPSEC (fwiked)estabeleceu e instalou nos demais módulos do Firewall um canal de criptografiaIPSEC corretamente.204 - Negociação de IKE falhou (olhar mensagens complementares)Esta mensagem indica que houve um problema durante a negociação de chavesIPSEC. Verifique as mensagens complementares para obter mais detalhes.© Aker Security Solutions 766

Geralmente uma pequena mudança de configuração resolve rapidamente oproblema.205 - Erro lendo mudança de estado do clusterEsta mensagem indica que houve um erro quando da leitura do estado do clusterdentro do trabalho cooperativo. Verifique o segmento de rede onde estão instaladosos firewalls.206 - Erro enviando mudança de estado ao clusterEsta mensagem indica que houve um erro quando enviando mudança do estado docluster dentro do trabalho cooperativo. Verifique o segmento de rede onde estãoinstalados os firewalls.207- Notificação do fwiked (olhar mensagens complementares)Esta mensagem é genérica de notificação do daemon de negociação de chavesIPSEC. Verifique as mensagens complementares para obter mais detalhes.208 - Aviso do fwiked (olhar mensagens complementares)Esta mensagem é uma mensagem genérica de aviso do daemon de negociação dechaves IPSEC. Verifique as mensagens complementares para obter mais detalhes.209 - Recebendo número do pipe do kernelEsta mensagem indica que um proxy não conseguiu descobrir quais eram o pipe e oacumulador para uma conexão, visto que tiveram problemas de comunicação com oKernel.210 - Erro lendo arquivo de configuração de estatísticasEsta mensagem indica que houve um problema ao ler o arquivo de configuração deestatísticas. A solução é restaurá-lo ou removê-lo e criar as configuraçõesnovamente. Veja a seção Arquivos do Sistema.211 - Erro lendo tabela de entidadesEsta mensagem indica que o módulo gerador de estatísticas do Firewall nãoconseguiu ler a tabela de entidades do sistema.212 - Não encontrou entidade acumuladorEsta mensagem indica que o módulo gerador de estatísticas do Firewall encontrouuma inconsistência em sua configuração, isto é, uma estatística que referencia umacumulador inexistente. A mensagem complementar entre parênteses indica qual aentidade em questão.© Aker Security Solutions 767

213 - Daemon suspenso por configuração incorretaEsta mensagem indica que o módulo gerador de estatísticas do Firewall encontrouuma inconsistência em sua configuração e ficará com suas atividades suspensasaté que ela esteja correta.214 - Erro recebendo estatísticas do kernelEsta mensagem indica que o módulo gerador de estatísticas do Firewall teveproblemas ao ler os dados necessários ao seu cálculo dos módulos que executamdentro do kernel do sistema operacional.215 - Erro salvando estatísticasEsta mensagem indica que o módulo gerador de estatísticas do Firewall teveproblemas ao armazenar os dados coletados (ou enviá-los ao servidor de logremoto). Se o log for local, verifique a possibilidade de o disco estar cheio. Se forremoto, verifique a correta conexão com o servidor de log remoto.216 - Erro recebendo período máximo de permanência das estatísticasEsta mensagem indica que o módulo gerador de estatísticas do Firewall nãoconseguiu ler o período máximo pelo qual deve manter as estatísticas no Firewall(apenas para log local).217 - Pedido de fluxo inexistenteEsta mensagem indica que uma inconsistência interna ocorreu, de forma que umfluxo de dados para controle de banda (QoS), não foi encontrado.218 - Pedido de pipe inexistenteEsta mensagem indica que uma inconsistência interna ocorreu, de forma que umpipe para controle de banda (QoS), não foi encontrado.219 - Apagando registros do sistema de logEsta mensagem indica que os registros do sistema de log foram apagados. Amensagem complementar entre parênteses informa se foram apagados logs,estatísticas ou eventos.220 - Erro executando shellEsta mensagem informa que um erro grave de configuração foi encontrado queimpede o login no console do Firewall Box. Contate o suporte técnico de seurevendedor.221 - Erro lendo licença© Aker Security Solutions 768

Esta mensagem indica que as informações de licença do Firewall estão com algumproblema sério que impedem sua leitura. Reinsira a chave de ativação no Firewall.222 - Tentativa de login (console) frustrada por senha incorretaEsta mensagem indica que alguém tentou efetuar login no console do Firewall Box,mas não tinha a senha correta.223 - Sistema com defeito irremediável. Contate o revendedorEsta mensagem informa que um erro grave de configuração foi encontrado queimpede o login no console do Firewall Box. Contate o suporte técnico de seurevendedor.224 - Login no console efetuadoEsta mensagem registra o fato de algum operador ter efetuado login no console doFirewall Box.225 - Linha de resposta muito grandeEsta mensagem indica que o proxy POP3 transparente recebeu uma linha deresposta demasiado grande. Veja a RFC 1939 para maiores informações.226 - Erro recebendo dados do servidor POP3Esta mensagem indica que o proxy POP3 transparente encontrou um erro deconexão ao receber dados do servidor. As mensagens complementares informamqual a conexão em questão.227 - Erro recebendo dados do cliente POP3Esta mensagem indica que o proxy POP3 transparente encontrou um erro deconexão ao receber dados do cliente. As mensagens complementares informamqual a conexão em questão.228 - Erro enviando dados ao cliente POP3Esta mensagem indica que o proxy POP3 transparente encontrou um erro deconexão ao enviar dados para o cliente. As mensagens complementares informamqual a conexão em questão.229 - Erro enviando dados ao servidor POP3Esta mensagem indica que o proxy POP3 transparente encontrou um erro deconexão ao enviar dados ao servidor. As mensagens complementares informamqual a conexão em questão.230 - Resposta inválida do servidor POP3© Aker Security Solutions 769

Esta mensagem indica que o proxy POP3 transparente recebeu uma respostaincorreta do servidor. As mensagens complementares informam que resposta foiesta231 - Erro conectando-se ao servidor POP3Esta mensagem indica que o proxy POP3 transparente não consegui estabelecer aconexão com o servidor. Provavelmente o endereço está errado ou o servidor estáfora do ar.232 - Servidor POP3 recusou a conexãoEsta mensagem indica que o proxy POP3 transparente conectou-se ao servidor eeste informou estar fora do ar.233 - Comando POP3 inválido ou erro de sintaxeEsta mensagem indica que o proxy POP3 transparente leu um comando incorretodo cliente e fechou a conexão sem repassá-lo ao servidor. O comando em questãoencontra-se nas mensagens complementares.234 - Erro abrindo arquivo para spoolEsta mensagem indica que o proxy POP3 transparente não conseguiu abrir oarquivo temporário para salvar a mensagem.235 - Erro gravando dados no arquivoEsta mensagem indica que o proxy POP3 transparente encontrou um erro ao gravara mensagem em espaço de armazenamento temporário.236 - Falta de espaço gravando arquivoEsta mensagem indica que faltou espaço em disco para o proxy POP3 transparentegravar as mensagens recebidas.237 - Erro de sintaxe no email POP3 (erro de parser)Esta mensagem indica que o proxy POP3 transparente recebeu uma mensagemincorretamente formatada e a descartou por não poder analisá-la.238 - Entrando em modo STLS - nenhuma análise possívelEsta mensagem indica que o firewall entrou em modo STLS. Entre em contato como suporte técnico para a solução.239 - Erro recebendo dados do firewall servidor© Aker Security Solutions 770

Esta mensagem indica que o firewall servidor do cluster não esta recebendo osdados corretamente. Verifique o segmento de rede de troca informação dos firewallscooperativos.240 - Erro enviando dados do firewall servidorEsta mensagem indica que o firewall servidor do cluster não está enviando os dadoscorretamente. Verifique o segmento de rede de troca informação dos firewallscooperativos.241 - Erro de processamento no firewall servidorEsta mensagem indica que o firewall servidor do cluster não esta processando osdados corretamente. Verifique o firewall servidor quanto a espaço em disco eprocessador.242 - Erro alterando a configuração do firewallEsta mensagem indica que o firewall servidor do cluster não esta conseguindoalterar as configurações dos outros firewalls. Verifique o segmento de rede de trocainformação dos firewalls cooperativos.243 - Erro ao replicar estado do clusterEsta mensagem indica que o firewall servidor do cluster não esta conseguindoreplicar o estado do cluster para os outros firewalls. Verifique o segmento de redede troca informação dos firewalls cooperativos.244 - Erro ao enviar arquivo ao clusterEsta mensagem indica que o firewall servidor do cluster não esta conseguindoenviar arquivo ao cluster. Verifique o segmento de rede de troca informação dosfirewalls cooperativos.245 - Erro ao agrupar dados do clusterEsta mensagem indica que o firewall servidor do cluster não está conseguindoagrupar os dados do cluster. Verifique o segmento de rede de troca informação dosfirewalls cooperativos.246 - Arquivo com vírus desinfectadoEsta mensagem indica que um arquivo analisado pelo firewall estava com vírus masfoi desinfectado.247 - Arquivo com vírus bloqueadoEsta mensagem indica que um arquivo estava com vírus e não pode ser removido,por isso o arquivo foi bloqueado.© Aker Security Solutions 771

248 - Arquivo não pode ser analisado pois estava corrompidoEsta mensagem indica que o antivírus do firewall não pode analisar o arquivo pois omesmo estava corrompido.249 - Arquivo não pode ser analisado pois estava cifradoEsta mensagem indica que o antivírus do firewall não pode analisar o arquivo pois omesmo estava cifrado.250 - Host respondeu e foi marcado como ativoEsta mensagem indica que a máquina de teste do balanceamento de link está no ar.Para maiores informações consulte o capitulo intitulado Configurando aConversão de Endereços.251 - Host não respondeu e foi marcado como inativoEsta mensagem indica que a máquina de teste do balanceamento de link está foraar ou não foi possível a sua verificação. Para maiores informações consulte ocapítulo intitulado Configurando a Conversão de Endereços.252 - Link foi marcado como ativoEsta mensagem indica que o balanceamento de link esta no ar. Para maioresinformações consulte o capitulo intitulado Configurando a Conversão deEndereços.253 - Link foi marcado como inativoEsta mensagem indica que o balanceamento de link esta fora do ar. Para maioresinformações consulte o capitulo intitulado Configurando a Conversão deEndereços.254 - Mensagem de debug do Secure RoamingEsta é uma mensagem com prioridade depuração gerada pelo Secure Roaming.Verifique os complementos para maiores informações.255 - Informação do Secure RoamingEsta é uma mensagem com prioridade informação gerada pelo Secure Roaming.Verifique os complementos para maiores informações.256 - Aviso importante do Secure RoamingEsta é uma mensagem com prioridade aviso gerada pelo Secure Roaming. Verifiqueos complementos para maiores informações.© Aker Security Solutions 772

257 - O Secure Roaming encontrou um erroEsta é uma mensagem com prioridade erro gerada pelo Secure Roaming. Verifiqueos complementos para maiores informações.258 - O Secure Roaming encontrou um erro fatalEsta é uma mensagem com prioridade erro fatal gerada pelo Secure Roaming.Verifique os complementos para maiores informações.259 - Usuários responsáveis do Configuration ManagerEsta mensagem é gerada quando o Configuration Manager efetua uma modificaçãoda configuração de um determinado firewall e serve para informar qual o usuárioresponsável por tais modificações (o usuário que estava utilizando o ConfigurationManager).260 - Mensagem do sistema operacionalEsta mensagem é utilizada para reportar mensagens produzidas pelo kernel dosistema operacional, que normalmente seriam mostradas no console.261 - Erro ao criar processoEsta mensagem indica que o firewall tentou criar um novo processo para cuidar deuma determinada tarefa e não conseguiu. Possíveis causas de erro são memóriainsuficiente no firewall ou número de processos ativos excessivamente alto.262 - Processo recriadoEsta mensagem indica que o processo de monitoramento do firewall recriou umprocesso crítico do sistema que não estava mais rodando. Se esta mensagemaparecer frequentemente, é necessário contatar o suporte técnico para determinar acausa do problema.263 - Processo foi interrompidoEsta mensagem indica que o processo de monitoramento do firewall detectou queum processo crítico do sistema não estava mais rodando. Se esta mensagemaparecer frequentemente, é necessário contatar o suporte técnico para determinar acausa do problema.264 - Conexão teve canal alteradoEsta mensagem indica que uma conexão teve à sua definição de canal alteradadevido a aplicação de uma regra de filtragem de aplicativos.265 - Conexão encerrada pela filtragem de aplicativos© Aker Security Solutions 773

Esta mensagem indica que uma conexão foi encerrada devido à aplicação de umaregra de filtragem de aplicativos.266 - Erro recebendo pacote do kernelEsta mensagem é gerada quando o módulo de filtragem de aplicativos nãoconseguir ler os pacotes enviados pelo kernel do firewall. Ela não deve ocorrernunca em condições normais. Caso ocorra, deve-se contatar o suporte técnico.267 - Pacotes perdidos na análise - sistema possivelmente lentoEsta mensagem indica que o módulo de análise de aplicativos não conseguiu tratarem tempo hábil todos os pacotes que deveria a fim de verificar todas as regras defiltragem de aplicativos configuradas no firewall. Possíveis ações que podem serrealizadas pelo administrador são:Verificar se algum dos filtros está com profundidade de pesquisa muito grande. Setiver, tentar diminuir ao máximo este valor;Não usar regras do tipo: procurar MP3 em todos os serviços. Utilizar somente nosserviços nos quais este tipo de arquivo possa trafegar nos protocólos: FTP, HTTP,SMTP, etc.Não colocar regras Internet - Internet. Sempre que possível utilizar regras do tipoorigem Rede Interna, destino Internet ou vice-versa.Não verificar arquivos e protocolos da Rede Interna para a DMZ.268 - Pacote truncado recebido do kernelEsta mensagem é gerada quando o módulo de filtragem de aplicativos leu umpacote de tamanho inválido enviado pelo kernel do firewall. Ela não deve ocorrernunca em condições normais. Caso ocorra, deve-se contatar o suporte técnico.269 - Erro expandindo regras de filtragem de aplicativosEsta mensagem indica que o firewall detectou um erro ao expandir as regras defiltragem de aplicativos. Ela não deve ocorrer nunca em condições normais. Casoocorra, deve-se contatar o suporte técnico.270 - Erro carregando regras globais de filtragem de aplicativosEsta mensagem indica que o firewall detectou um erro ao carregar as regras globaisde filtragem de aplicativos. Ela não deve ocorrer nunca em condições normais. Casoocorra, deve-se contatar o suporte técnico.271 - Erro expandindo regras de IDS/IPSEsta mensagem indica que o firewall detectou um erro ao expandir as regras deIDS/IPS. Ela não deve ocorrer nunca em condições normais. Caso ocorra, deve-secontatar o suporte técnico.© Aker Security Solutions 774

272 - Erro carregando regras de IDS/IPSEsta mensagem indica que o firewall detectou um erro ao carregar as regras deIDS/IPS. Ela não deve ocorrer nunca em condições normais. Caso ocorra, deve-secontatar o suporte técnico.273 - Erro de redeEsta é uma mensagem genérica para erros de rede. Favor verificar oscomplementos para maiores informações sobre sua causa.274 - Conexão fora das regras de perfil do proxy SSLEsta mensagem indica que um usuário tentou acessar o proxy SSL mas não havianenhuma regra autorizando seu acesso.275 - Conexão TCP aceita pelo proxy SSLEsta mensagem indica que o firewall recebeu uma conexão de Proxy SSL e aaceitou.276 - Conexão TCP recusada pelo proxy SSLEsta mensagem indica que o firewall recebeu uma conexão de Proxy SSL e arecusou.277 - Conversação do MSN Messenger iniciadaEsta mensagem é gerada quando um usuário abre a janela de conversação no MSNMessenger, passando através do firewall.278 - Conversação do MSN Messenger bloqueadaConversa entre dois usuários foi bloqueada pelas configurações no proxy MSN.279 - Conversação do MSN Messenger finalizadaEsta mensagem é gerada quando um usuário fecha a janela de conversação noMSN Messenger, passando através do firewall.280 - Tempo diário de uso de MSN Messenger excedidoEsta mensagem indica que o tempo diário de conversa através do MSN Messengerpara o usuário em questão foi exercido. Este usuário não mais poderá acessar oMessenger no dia corrente.281 - Notificação do Hotmail bloqueadaProxy MSN não permitiu a notificação do Hotmail.© Aker Security Solutions 775

282 - Convite para transferência de arquivo via MSN Messenger permitidoEsta mensagem é gerada quando um pedido de transferência de arquivo através doMessenger foi recebido e aceito pelo firewall.283 - Transferência de arquivo via MSN Messenger bloqueadaEsta mensagem é gerada quando um pedido de transferência de arquivo através doMessenger foi recebido e rejeitado pelo firewall.284 - Convite para uso de aplicativo via MSN Messenger permitidoEsta mensagem é gerada quando um pedido de uso de aplicativo (jogos, vídeo, etc)através do Messenger foi recebido e aceito pelo firewall.285 - Uso de aplicativo via MSN Messenger não permitidoEsta mensagem é gerada quando um pedido de uso de aplicativo (jogos, video, etc)através do Messenger foi recebido e rejeitado pelo firewall.286 - Conexão encerrada por timeoutEsta mensagem indica que uma conexão com um servidor do serviço MSNMessenger foi encerrada por timeout. Verifique se o acesso à Internet estáfuncionando corretamente.287 - Erro analisando a mensagemEsta mensagem indica que o firewall detectou um erro de parser em umamensagem do MSN Messenger. Caso esta mensagem apareça, favor contatar osuporte técnico.288 - Servidor MSN Messenger não respondeEsta mensagem indica que os servidores do serviço MSN Messenger não estãorespondendo. Verifique se a conexão com a Internet está funcionando corretamente.289 - Usuário entrou no MSN MessengerEsta mensagem é gerada todas as vezes que um usuário se autentica no serviçoMSN Messenger através do Firewall290 - Usuário saiu do MSN MessengerEsta mensagem é gerada todas as vezes que um usuário sai do serviço MSNMessenger, passando através do Firewall291 - Usuário sem permissão tentou entrar no MSN Messenger© Aker Security Solutions 776

Esta mensagem é gerada todas as vezes que um usuário sem permissão tentaacessar o serviço MSN Messenger passando através do Firewall.292 - Ligação IniciadaProxy SIP detectou o inicio de uma ligação.293 - Ligação FinalizadaProxy SIP detectou o fim de uma ligação.294 - Erro obtendo data de expiração do IDSNão foi possível ler a data de expiração de uma base IDS em disco. Provável basecorrompida.295 - Erro fazendo download das atualizações dos filtrosEsta mensagem indica que ocorreu um erro quando o firewall tentou fazer odownload das novas assinaturas de IDS e/ou da Filtragem de aplicativos.Verifique ocomplemento para maiores informações.296 - Download das atualizações dos filtros completoEsta mensagem indica que o firewall conseguiu baixar uma nova atualização dasassinaturas de IDS ou da Filtragem de Aplicativos.297 - Mensagem descartada por configuração do Spam MeterEsta mensagem é gerada quando uma mensagem de e-mail é descartada peloproxy SMTP devido a ter recebido uma nota do Spam Meter cuja configuração doproxy indicou ao firewall para descartá-la.298 - Mensagem rejeitada por configuração do Spam MeterEsta mensagem é gerada quando uma mensagem de e-mail é rejeitada pelo proxySMTP devido a ter recebido uma nota do Spam Meter cuja configuração do proxyindicou ao firewall para rejeitá-la.299 - Mensagem aceita pela configuração do Spam MeterEsta mensagem é gerada quando uma mensagem de e-mail é aceita pelo proxySMTP devido ter recebido uma nota do Spam Meter cuja configuração do proxyindicou ao firewall para aceitá-la.300 - Mensagem modificada para treinamento pelo Spam Meter© Aker Security Solutions 777

Esta mensagem é gerada quando uma mensagem de e-mail é modificada peloproxy SMTP para possibilitar seu treinamento pelo destinatário a fim de melhorar aclassificação de futuras mensagens do Spam Meter.301 - Mensagem de debug do AntivírusEsta é uma mensagem com prioridade de depuração gerada pelo antivírus.Verifique os complementos para maiores informações.302 - Informação do AntivírusEsta é uma mensagem com prioridade de informação gerada pelo antivírus.Verifique os complementos para maiores informações.303 - Aviso importante do AntivírusEsta é uma mensagem com prioridade de aviso gerada pelo antivírus. Verifique oscomplementos para maiores informações.304 - Mensagem de alerta do AntivírusEsta é uma mensagem com prioridade de alerta gerada pelo antivírus. Verifique oscomplementos para maiores informações.305 - O Antivírus encontrou um erroEsta é uma mensagem com prioridade de erro gerada pelo antivírus. Verifique oscomplementos para maiores informações.306 - Mensagem de debug do Spam MeterEsta é uma mensagem com prioridade de depuração gerada pelo Spam Meter.Verifique os complementos para maiores informações.307 - Informação do Spam MeterEsta é uma mensagem com prioridade de informação gerada pelo Spam Meter.Verifique os complementos para maiores informações.308 - Aviso importante do Spam MeterEsta é uma mensagem com prioridade de aviso gerada pelo Spam Meter. Verifiqueos complementos para maiores informações.309 - Mensagem de alerta do Spam MeterEsta é uma mensagem com prioridade de alerta gerada pelo Spam Meter. Verifiqueos complementos para maiores informações.© Aker Security Solutions 778

310 - O Spam Meter encontrou um erroEsta é uma mensagem com prioridade de erro gerada pelo Spam Meter. Verifiqueos complementos para maiores informações.311 - Mensagem de debug do Web Content AnalyzerEsta é uma mensagem com prioridade de depuração gerada pelo Aker Web ContentAnalyzer. Verifique os complementos para maiores informações.312 - Informação do Web Content AnalyzerEsta é uma mensagem com prioridade de informação gerada pelo Aker WebContent Analyzer. Verifique os complementos para maiores informações.313 - Aviso importante do Web Content AnalyzerEsta é uma mensagem com prioridade de aviso gerada pelo Aker Web ContentAnalyzer. Verifique os complementos para maiores informações.314 - Mensagem de alerta do Web Content AnalyzerEsta é uma mensagem com prioridade de alerta gerada pelo Aker Web ContentAnalyzer. Verifique os complementos para maiores informações.315 - O Web Content Analyzer encontrou um erroEsta é uma mensagem com prioridade de erro gerada pelo Aker Web ContentAnalyzer. Verifique os complementos para maiores informações.316 - Conexão TCP em segundo endereço IP recusada pelo proxy SSLEsta mensagem indica que um mesmo usuário tentou se conectar ao mesmo tempona Proxy SSL a partir de duas máquinas distintas e o firewall estava configuradopara não permitir tal acesso.317 - Relatório gerado e publicado com sucessoEsta mensagem indica que um relatório que estava agendado foi gerado epublicado com sucesso pelo firewall.318 - Erro conectando ao serviço de quotasAlgum proxy não conseguiu comunicar-se com o processo responsável pelasquotas. Verifique se o fwquotad está executando e/ou reinicie o seu equipamento.319 - Erro de parse do corpo SDP© Aker Security Solutions 779

Mensagem inválida no proxy SIP, os complementos dessa mensagem informam oerro específico.320 - Finalização de treinamento de mensagemTreinamento de mensagem SMTP finalizada com sucesso. O complemento damensagem mostra o tipo classificado e a nota obtida.321 - Erro ao conectar no servidor Spam MeterErro ao se comunicar com o processo responsável por treinar mensagens SMTP.Verifique suas configurações de Spam Meter e tente novamente.322 - Erro ao carregar contextos SMTPNão é mais utilizado.323 - Erro carregando listas de categoriasNão foi possível carregar a lista de categorias. Verifique suas configurações deanalisador de contexto e tente novamente.324 - Erro de comunicação com o servidor de quotasErro ao se comunicar com o servidor de quotas. O complemento da mensagemmostra detalhes sobre o erro.325 -Quota de bytes expiradaQuota de bytes foi consumida pelo usuário.326 -Quota de bytes insuficiente para a operaçãoNão existem bytes suficientes para finalizar uma requisição ainda não iniciada. Oinício da transferência não foi permitido.327 -Quota de tempo expiradaInformação sobre uma quota de tempo que foi expirada.328 -Resposta para request nunca visto ou já expiradoO proxy SIP encontrou uma resposta inesperada.329 -Interface de rede desconectadaInterface do heart beat ficou inativa. O complemento é a interface.330 -Interface de rede conectada© Aker Security Solutions 780

Interface do heart beat ficou ativa. O complemento é a interface.331 -Rota adicionadaO Zebrad adicionou uma rota no firewall.332 -Rota removidaO Zebrad removeu uma rota no firewall.333 -Erro de comunicação com o servidor de rotasOcorreu um erro de comunicação do firewall com o processo Zebrad. Verifique ostatus do processo e tente novamente.334 -Erro de comunicação DCE-RPCOcorreu uma falha irrecuperável durante a conexão do proxy DCE-RPC. Oscomplementos da mensagem mostram detalhes do erro de conexão.335 -Servidor DCE-RPC aceitoConexão do proxy DCE-RPC foi aceita pelas regras do proxy, o complementomostra os IPs conectados e o a UUID aceita.336 -Servidor DCE-RPC bloqueadoConexão do proxy DCE-RPC foi rejeitada pelas configurações. O complementomostra os IPs conectados e as UUID rejeitada.337 -Erro conectando ao servidorO Proxy transparente DCE-RPC não conseguiu se conectar ao servidor. Ocomplemento mostra o erro ocorrido.338 -Erro na conexão SIP sobre TCPProxy SIP encontrou um erro durante a conexão. O primeiro complemento detalhaos erros que ocorreram.339 -Consumo de quotaQuota consumida por um usuário. O primeiro complemento é o usuário queconsumiu, o segundo é o tempo ou bytes consumidos.340 -Contabilidade de tráfego HTTP (WWW)Evento de contabilização HTTP, utilizado normalmente para a geração de relatórios,por padrão vem desabilitado.© Aker Security Solutions 781

341 -Contabilidade de tráfego HTTP (downloads)Evento de contabilização de downloads HTTP, utilizado normalmente para ageração de relatórios, por padrão vem desabilitado.342 -Contabilidade de tráfego FTP (downloads)Dados de download foram enviados através do proxy FTP.343 -Contabilidade de tráfego FTP (uploads)Dados de uploads foram enviados através do proxy FTP.344 -Versão não suportada do Web Content AnalyzerNão é mais utilizado.345 - Pacote de transferência de arquivos não consta na lista de transferênciaativasUm cliente tentou transferir um arquivo, mas os dados relativos à informação detransferência de arquivos não foram enviados. Por favor, utilize um clienteMessenger válido.346 - Erro interno no Proxy messengerErro grave envolvendo o proxy MSN ocorreu, por favor contate o suporte Aker.347 - Proxy messenger não pode salvar o arquivo em discoNão foi possível salvar o arquivo temporariamente em disco. Verifique se o firewallpossui espaço em disco suficiente para operar e tente novamente.348 - Arquivo infectado foi bloqueadoArquivo transferido através do proxy MSN foi analisado e possui vírus. Arquivobloqueado. O complemento dessa mensagem é o nome do arquivo.349 - Arquivo não tem vírusArquivo transferido através do proxy MSN foi analisado, não possui vírus e o arquivoaceito. O complemento dessa mensagem descreve o nome do arquivo.350 - Erro no AntivírusO módulo de integração antivírus e proxy MSN apresentou um erro durante acomunicação com o servidor de antivírus. Verifique as configurações do servidor,regras de filtragem do firewall e tente novamente. O complemento da mensagemdescreve a etapa de comunicação que falhou.© Aker Security Solutions 782

351 - Excesso de tentativas inválidas, IP bloqueadoPor padrão, o firewall bloqueia durante cinco minutos todas tentativas de conexãode um determinado IP caso ele possua três tentativas consecutivas inválidas. Ocomplemento dessa mensagem é o IP que foi bloqueado.352 - Exportação de log realizada com sucessoGerado ao final da exportação de log e nenhum erro foi detectado. O título dorelatório e o ip da máquina/diretório estão no complemento.353 - Exportação de evento realizada com sucessoGerado ao final da exportação de eventos e nenhum erro foi detectado. O título dorelatório e o ip da máquina/diretório estão no complemento.354 - Falha ao conectar no servidor FTP para exportar logs ou eventosNão foi possível conectar-se no servidor FTP para exportar logs ou ventos. O título eo motivo da falha estão no complemento.355 - Falha para copiar log ou evento para pasta localNão foi possível copiar os relatórios na máquina local. Verifique a permissão dodiretório de destino e espaço em disco. O título do relatório está no complemento.356 - Erro criando arquivo local para ser exportadoNão foi possível criar arquivos para exportá-los. Verifique a permissão do diretóriotemporário e o espaço em disco. O título do relatório está no complemento.357 - Limite configurado de conexões a partir do endereço IP excedidoPor padrão, o firewall bloqueia durante cinco minutos todas tentativas de conexãode um determinado IP caso ele possua três tentativas consecutivas inválidas. Ocomplemento dessa mensagem é o IP que foi bloqueado.358 – Versão do MSN Bloqueada para utilizaçãoEvento informa que uma versão não permitida do cliente MSN foi bloqueada.359 – Logando a conversação do MSN MessengerEvento loga dados do chat entre os usuários do Proxy MSN.360 – Autenticação para conexão PPTP AceitaEvento gerado quando uma conexão PPTP foi realizada com sucesso.© Aker Security Solutions 783

361 - Autenticação para conexão PPTP rejeitadaEvento gerado quando uma conexão PPTP foi rejeitada por falha no logon.362 – Conexão PPTP estabelecida.Evento gerado quando uma conexão PPTP foi realizada com sucesso.363 - Conexão PPTP encerradaEvento gerado quando uma conexão PPTP foi finalizada.364 – Excesso de tentativas de logon incorretoEvento é gerado quando um usuário através do Aker Client ou Cliente Java erra ousuário ou a senha 5 vezes. Seu Ip é bloqueado por 49 minutos.40.3. Formato de exportação de logs e eventosO formato dos dados exportados segue esta sequência: Exemplo de um evento gerado pelo Filtro Web:URL_ACEITA Usuario/Autenticado, Perfil ip Origem,host19/01/2010,13:45:31,Info,095,Proxy HTTP,URL aceita,thiago.chaves/AD,Suporte Técnico,10.2.0.243,http://189.22.237.40/40.4. Eventos gerados pelo Aker Firewall40.4.1. Eventos gerados pelo Filtro WebTAG MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTODA MENSAGEM, MSG1, MSG2© Aker Security Solutions 784

ERRO_AUTH_PROXY Usuario/Autenticado ip Origem16/01/2010,15:28:51,Info,340, Proxy HTTP, Falha de autenticacao para proxy,rodrigo.aranha/AD,source: 10.4.0.186NAO_CADASTRADO_PROXY NULL ORIGEM 16/01/2010,15:28:51,Info,340,Proxy HTTP, Usuario nao cadastrado para proxy, , source: 10.4.0.186HTTP_VIRUS_CLEANED NOME DO VIRUS URL do virus20/01/2010,10:43:17,Warning,246,Proxy HTTP,Arquivo com virusdesinfectado,EICAR_Test,http://www.eicar.org/download/eicarcom2.zipHTTP_VIRUS_BLOCKED NOME DO VIRUS URL do virus20/01/2010,10:43:17,Warning,247,Proxy HTTP,Arquivo com virusbloqueado,EICAR_Test,http://www.eicar.org/download/eicarcom2.zipHTTP_VIRUS_NS_CORRUPT NULL URL do Virus20/01/2010,10:43:17,Warning,248,Proxy HTTP,Arquivo nao pode seranalisado pois estava corrompido,,http://www.eicar.org/download/eicarcom2.zipHTTP_VIRUS_NS_CRYPT NULL URL do Virus20/01/2010,10:43:17,Warning,249,Proxy HTTP,Arquivo nao pode seranalisado pois estava cifrado,,http://www.eicar.org/download/eicarcom2.zipHTTP_DOWNLOAD_ACCOUNTING Usuario/Autenticado - Perfil Origem IP -Destino IP e URL 19/01/2010,08:41:05,Info,341, Proxy HTTP,Contabilidade detrafego HTTP (downloads),recepcao/AD - 0.102 s,Up 175 B - Dw 285 B URL:http://www.google.com/HTTP_WWW_ACCOUNTING Usuario/Autenticado - Perfil Origem IP -Destino IP e URL 16/01/2010,15:28:51,Info,340, Proxy HTTP, Contabilidade detrafego HTTP (WWW),rodrigo.aranha/AD - 0.933 s,Up 424 B - Dw 562 B URL:http://www.google.com/© Aker Security Solutions 785

QUOTA_EXPIRED_BYTES Usuario/Autenticado - Perfil Origem IP -Destino IP e URL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de bytesexpirado,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229 Destino: 74.125.45.86URL: http://www.google.comQUOTA_EXPIRED_TIME Usuario/Autenticado - Perfil Origem IP - Destino IP eURL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de tempoexpirada,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229 Destino: 74.125.45.86URL: http://www.google.comQUOTA_INSUFFICIENT_BYTES Usuario/Autenticado - Perfil Origem IP -Destino IP e URL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de bytesinsuficiente para a operacao,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229Destino: 74.125.45.86 URL: http://www.google.comURL_ACEITA Usuario/Autenticado, Perfil ip Origem,host19/01/2010,13:45:31,Info,095,Proxy HTTP,URL aceita,thiago.chaves/AD,Suporte Técnico,10.2.0.243,http://189.22.237.40/URL_REJEITADA Usuario/Autenticado, Perfil ip Origem,host19/01/2010,13:43:34,Notice,097 Proxy HTTP,URL rejeitada,lidia.silva/AD,Adminsitrativo,10.0.0.229,http://www.google.comURL_BANNER Usuário/Autenticaçao - Perfil Origem: IP Destino: IP URL:URL 19/01/2010,08:49:19,Notice,098, Proxy HTTP,Bannerremovido,apoio.administrativo/AD - Adminsitrativo,Origem: 10.0.0.234 Destino:64.233.163.149 URL:http://ad.doubleclick.net/adi/gna.br/homepage;tile=4;sz=234x100;ord=196681?areaERRO_CON_ANALISADOR IP do analizador NULL27/01/2010,19:38:24,Error,119, Proxy HTTP,Erro ao conectar com WebContent Analyzer,127.0.0.1,© Aker Security Solutions 786

QUOTA_COMM_ERR quota read: retorno e erro NULL19/01/2010,18:42:01,Warning,324,Proxy HTTP,Erro de comunicacao com oservico de quotas,quota read: -3 25,NAO_LEU_ACL NULL NULL 19/01/2010,18:42:01,Error,64,Proxy HTTP,Erro aocarregar perfis de acesso,,NAO_LEU_CATLIST Retorno da função e errno NULL19/01/2010,18:16:01,Error,323,Erro carregando lista de categorias, -2 34QUOTA_INIT_ERR socket, errno NULL 20/01/2010,11:28:56,Error,318,Proxy MSNMessenger,Erro conectando ao servico de quotas, 7 13,ERRO_SERV_AUTH connect (errno) NULL20/01/2010,11:28:56,Error,109,Proxy MSN Messenger,Erro ao comunicarcom servidor de autenticacao,connect(10),v_auth NULL 20/01/2010,11:28:56,Error,109,Proxy MSNMessenger,Erro ao comunicar com servidor de autenticacao,v_auth,40.4.2. Eventos gerados pelo Proxy MSNMSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DAMENSAGEM, MSG1, MSG2IP – Profiçao Passaportes Usuario->com quem [Tempo de conversa ]\nNome doUsuario\Autenticação 27/01/2010,19:03:34,Info,279, Proxy MSNMessenger,Conversacao do MSN Messenger finalizada,IP: 192.168.222.254 - Prof:Suporte Técnico,Passports: diogo.falcomer@gmail.com ->pablo_viana@hotmail.com [ 00:01:15 ] Username: diogo.falcomer/ADIP – Profiçao Passaporte [Tempo de conversa] \nNome do Usuario\Autenticação27/01/2010,19:23:24,Info,290, Proxy MSN Messenger,Usuario saiu do MSN© Aker Security Solutions 787

Messenger,IP: 10.3.0.6 - Prof: Suporte Técnico,Passport:edilson.moura@aker.com.br [ 00:07:53 ] Username: edilson.moura/ADCant connect Server : IP 27/01/2010,19:23:30,Warning,350,Proxy MSNMessenger,Erro no antivirus,Cant Connect, Server:xxx.xxx.xxx.xxxav_auth Unable to auth 27/01/2010,19:23:30,Warning,350,Proxy MSNMessenger,Erro no antivirus,av_auth,Unable to authav_greeting_h Can't receive server greeting header27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro noantivirus,av_greeting_h,Can't receive server greeting headertav_greeting_b Can't receive server greeting body27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro noantivirus,av_greeting_b,Can't receive server greeting bodyav_send_file Can't send file to AV 27/01/2010,19:23:30,Warning,350,ProxyMSN Messenger,Erro no antivirus,av_send_file,Can't send file to AVav_get_answer Can't get answer from AV27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro noantivirus,av_get_answer, Can't get answer from AVav_get_answer Error on answer received27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro no antivirus,Error on answer receivedIP: - TimeOut: Passaporte: \nNome do Usuario\Autenticação27/01/2010,18:18:30,Notice,286, Proxy MSN Messenger,Conexao encerradapor timeout,IP: 10.2.0.217 - Timeout: 600 s,Passport: edilson.moura@aker.com.brUsername: edilson.moura/ADsendto Error: inteiro Errno: inteiro 20/01/2010,12:38:49,Warning,109, ProxyMSN Messenger,Erro ao comunicar com servidor de autenticacao,sendto,error: -3errno: 11find Prof: nome da profiçao 20/01/2010,12:38:49,Warning,109, Proxy MSNMessenger,Erro ao comunicar com servidor de autenticacao,find,Suporte Técnico© Aker Security Solutions 788

IP – Profiçao Passaporte: \nNome do Usuario\Autenticação20/01/2010,12:36:44,Info,289,Proxy MSN Messenger,Usuario entrou no MSNMessenger,IP: 10.0.0.232 - Prof: Adminsitrativo,Passport:diego.fernandes@aker.com.br Username: recepcao/ADFrom Cliente ou Servidor , Ret: erro Mensagem15/01/2010,17:39:57,Error,287,Proxy MSN Messenger,Erro analisando amensagem,from server, ret = -43,MSG madanovavida2009@hotmail.com[i][b]Mada..."HOJE%20tudo%20SERÃÂ%20para%20SEMPRE..."[/b][/i]248^MFile infected FILENAME 20/01/2010,12:36:44,Warning,348,ProxyMessenger,Arquivo infectado foi bloqueado,File Infected,trojan.exeMSNFile clean FILENAME 20/01/2010,16:16:58,Info,349,Proxy MSNMessenger,Arquivo nao tem virus,File clean,chines.TXTsession id: SESSION ID 25/01/2010,19:34:35,Warning,345,Proxy MSNMessenger,Pacote de transferencia de arquivo nao consta na lista de transferenciasativas,session id:,2628610983nome da função Empty File! Sess_d: ID 20/01/2010,16:16:59,Error,346,ProxyMSN Messenger,Erro interno no proxy messenger,msn_get_msnp2p_data,Emptyfile! Sess_id: 26192345nome da função Out of order packet! Current: pkg, Expected: pkg20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxymessenger,msn_get_msnp2p_data,Out of order packet! Current:current_pkgExpected: Expected_nome da função "Error on fork! Numero da Linha20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxymessenger,msn_get_msnp2p_data,Error on fork! Line: 2736© Aker Security Solutions 789

unable to write on disk! errno: INTEIRO 20/01/2010,16:16:59,Error,347,ProxyMSN Messenger,Proxy messenger nao pode salvar o arquivo em disco,unable towrite on disk, errno: 34Nome do arquivo (tamanho) – Prof: profissao. Passaportes Usuario->com quem\nNome do Usuario\Autenticação 20/01/2010,11:43:39,Info,282,Proxy MSNMessenger,Convite para transferencia de arquivo via MSN Messengerpermitido,'messages_20jan10.RAR' (87976 bytes) - Prof: Suporte Té,Passports:victor.aker@hotmail.com -> thiago.divino@gmail.com Username: victor.rossi/ADNome do arquivo (tamanho) – Prof: profissao. Passaportes Usuario->com quem\nNome do Usuario\Autenticação 20/01/2010,15:45:42,Notice,283,Proxy MSNMessenger,Transferencia de arquivo via MSN Messenger bloqueada,'VPNs.DOC'(569856 bytes) - Prof: Suporte Técnico,Passports: edilson.moura@aker.com.br ->lucas.pereira@aker.com.br Username: edilson.moura/ADid de um serviço do msn – Prof: Profição Passaportes Usuario->com quem\nNome do Usuario\Autenticação 20/01/2010,15:45:42,Info,283,Convite para uso deaplicativo via MSN Messenger permitido,transferencia de arquivo - Prof: SuporteTécnico,Passports: edilson.moura@aker.com.br -> lucas.pereira@aker.com.brUsername: edilson.moura/ADid de um serviço do msn – Prof: Profição Passaportes Usuario->com quem\nNome do Usuario\Autenticação 20/01/2010,15:45:42,Notice,284,Uso de aplicativovia MSN Messenger nao permitido, jogo - Prof: Suporte Técnico,Passports:edilson.moura@aker.com.br -> lucas.pereira@aker.com.br Username:edilson.moura/ADseIP – Profiçao Passaportes Usuario->com quem \nNome do Usuario\Autenticação20/01/2010,11:28:56,Notice,278,Proxy MSN Messenger,Conversacao doMSN Messenger bloqueada,IP: 10.0.0.234 - Prof: Adminsitrativo,Passports:josimar_hip@yahoo.com -> recepcao@aker.com.br Username:apoio.administrativo/AD© Aker Security Solutions 790

IP – Profiçao Passaportes Usuario->com quem \nNome do Usuario\Autenticação20/01/2010,11:27:44,Info,277,Proxy MSN Messenger,Conversacao do MSNMessenger iniciada,IP: 10.2.0.204 - Prof: Suporte Técnico,Passports:victor.aker@hotmail.com -> vlandemir@msn.com Username: victor.rossi/ADIP – Profiçao Passaporte do Usuario \nNome do Usuario\Autenticação20/01/2010,11:27:44,Notice,291,Proxy MSN Messenger,Usuario sempermissao tentou entrar no MSN Messenger,10.4.0.19 – Prof: Estagiário,bruno.lobo@aker.com.br bruno.lobo/ADIP – Profiçao Passaporte do Usuario \nNome do Usuario\Autenticação20/01/2010,11:27:44,Notice,281,Proxy MSN Messenger,Notificacao doHotmail bloqueada,10.4.0.19 – Prof: Estagiário, bruno.lobo@aker.com.brbruno.lobo/ADNULL IP do servidor : porta do servidor 19/01/2010,18:42:01,Warning,288,ProxyMSN Messenger,Servidor MSN Messenger nao responde, ,65.54.52.254:1863clfwquota_test_and_consume(): retorno e erro NULL19/01/2010,18:42:01,Warning,324,Proxy MSN Messenger,Erro decomunicacao com o servico de quotas,clfwquota_test_and_consume(): -3 25,clfwquota_read(): NULL 19/01/2010,18:42:01,Warning,324,Proxy MSNMessenger,Erro de comunicacao com o servico de quotas,clfwquota_read(): -3 25,NULL NULL 20/01/2010,11:28:56,Notice,314,Proxy MSN Messenger,Quota debytes expirada,,NULL NULL 20/01/2010,11:28:56,Notice,316,Proxy MSN Messenger,Quota detempo expirada,,socket, errno NULL 20/01/2010,11:28:56,Error,318,Proxy MSN Messenger,Erroconectando ao servico de quotas, 7 13,© Aker Security Solutions 791

40.4.3. Eventos gerados pelo Proxy POP3TAG MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTODA MENSAGEM, MSG1, MSG2POP3_SRV_RCV Sourec (IP) -> Destino(IP:Porta) CMD:recv27/01/2010,19:23:30,Warning,226,Proxy POP3,Erro recebendo dados doservidor POP3,10.4.0.19 -> 10.4.0.186:1080,CMD: recvCMD: fcntlPOP3_LINE_TOO_LONG Sourec (IP) -> Destino(IP:Porta) Texto digitado pelocliente de POP3POP3_CLI_RCVSourec (IP) -> Destino(IP:Porta) CMD: fcntlCMD: recvPOP3_CLI_SNDSourec (IP) -> Destino(IP:Porta) NULLPOP3_SRV_SND Sourec (IP) -> Destino(IP:Porta) Texto digitado pelo cliente dePOP3POP3_SRV_INVALID_ANSWER Sourec (IP) -> Destino(IP:Porta) Textopelo cliente de POP3digitadoPOP3_SRV_CONNECT Sourec (IP) -> Destino(IP:Porta) NULLPOP3_SRV_NOT_AVAIL Sourec (IP) -> Destino(IP:Porta) Texto digitado pelocliente de POP3© Aker Security Solutions 792

POP3_INVALID_CMD Sourec (IP) -> Destino(IP:Porta) Texto digitado pelocliente de POP3POP3_OPEN_FILE Sourec (IP) -> Destino(IP:Porta) (erro) nome do arquivoPOP3_WRITE_FILESourec (IP) -> Destino(IP:Porta) nome do arquivoPOP3_OUT_OF_SPACE Sourec (IP) -> Destino(IP:Porta) nome do arquivoPOP3_MIME_ERRORSourec (IP) -> Destino(IP:Porta) errnoPOP3_STLS_MODESourec (IP) -> Destino(IP:Porta) NULL40.4.4. Eventos gerados pelo Proxy SMTPMSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DAMENSAGEM, MSG1, MSG2Source: IP – Destination:IP \nFrom: EMAIL – To: EMAIL27/01/2010,19:23:30,Warning,226,Proxy SMTP,Mensagem SMTPaceita,Mensagem enviada,Source 10.4.0.19 – Destination: 10.4.0.18\nFrom bruno.lbruno.lobo2@aker.com.brobo@aker.com.br - To:Source: IP – Destination:IP \nFrom: EMAIL – To: EMAILSource: IP – Destination:IPSource: IP – Destination:IP \nFrom: EMAIL – To: EMAILSource: IP – Destination:IP© Aker Security Solutions 793

Source: IP - Destination:IPSource: IP - Destination:IPSource: IP - Destination:IPSource: IP - Destination:IPSource: IP - Destination:IPSource: IP - Destination:IPSource: IP - Destination:IPSource: IP - Destination:IPSource: IP - Destination:IPSource: IP - Destination:IPSource: IP - Destination:IPRegra: Nome da regraRegra: Nome da regra© Aker Security Solutions 794

Source: IP – Destination:IP \nFrom: EMAIL – To: EMAILSource: IP – Destination:IP- Size: Tamanho\nFrom: EMAIL – To: EMAILSource: IP – Destination:IP- Size: Tamanho\nFrom: EMAIL – To: EMAIL40.4.5. Eventos gerados pelo Módulo de IDS/IPS e filtro de aplicativosMSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DAMENSAGEM, MSG1, MSG2op = INT, errno = INT NULL 27/01/2010,19:23:30,Warning,Analise profunda eIDS interno,Erro ao enviar dados para o kernel do Firewall,op = 1, errno = 34,“IDS rule”NULL“Commit”st: INT num: INT errno: INTorigem:IP ORIGEM, temp: EM HORA“Modulo de IDS/IPS”\nRaso(STRING)origem:IP ORIGEM, temp: EM HORA “Modulo de filtragem deaplicativos”\nRaso(STRING)Pipe Name(STRING), PESO(STRING) (IP:PORTA) -> (IP:PORTA)(IP:PORTA) -> (IP:PORTA)NULLRetorno da função(INT), ERRNO(INT) NULLNULL (INT) Pacotes perdidos em (INT) segundos© Aker Security Solutions 795

NULL (INT)TAMANHO DO PACOTE < (INT) TAMANHO DO PACOTE IPNULL NULLErr: Retorno(INT) Errno(INT)NULLAonde ocorreu o erro(STRING) Motivo (STRING)Aonde ocorreu o erro(STRING) Motivo (STRING)“Filters applied successfully”NULL"avisando"NULL“not start slave”NULL“Download started (master)”NULL"Filters applied successfully (slave)"NULLNome do arquivo (STRING)“updates"“updates"sk: (INT), st: (INT), err: (INT), errno: (INT)"“errno: ” (INT)NULL"expiration" sk: (INT), st: (INT), err: (INT), errno: (INT)"Err: Retorno(INT) Errno(INT)© Aker Security Solutions 796

Regras do perfil: Nome(STRING)Err: Retorno(INT)NULL Motivo (STRING)Err: Retorno(INT) Errno(INT)40.4.6. Eventos gerados pelo Aker Antivirus ModuleTipo de mensagem Complemento 1 Complemento 2InformationLicense expiration date updated successfully NULL02/04/2010,17:24:03,Informação do Antivírus,License expiration date updatedsuccessfully,Engine successfully loaded Engine(PANDA OU AVG)02/04/2010,17:24:03,Informação do Antivírus,Engine successfullyloaded,AVGUpdate installed successfully Nome do arquivo02/04/2010,17:24:03,Informação do Antivírus,Update installedsuccessfully,update.tarLicense applied successfully NULL02/04/2010,17:24:03,Informação do Antivírus,License applied successfully,Configuration applied NULL 02/04/2010,17:24:03,Informação doAntivírus,Configuration,appliedPatch/hotfix applied successfully Hora de aplicação02/04/2010,17:24:03,Informação do Antivírus,Patch/hotfix appliedsuccessfully,Wed Feb 3 14:24:04 2010Patch/hotfix rollback applied successfully Hora de aplicação02/04/2010,17:24:03,Informação do Antivírus,Patch/hotfix rollback appliedsuccessfully,Wed Feb 3 14:24:04 2010User authenticated PID do processo que esta logando02/04/2010,17:24:03,Informação do Antivírus,User authenticated,1964© Aker Security Solutions 797

Signatures database backup loaded NULL02/04/2010,17:24:03,Informação do Antivírus,Signatures database backuploaded,Manual update started Hora de aplicação02/04/2010,17:24:03,Informação do Antivírus,Manual update started,Wed Feb3 14:24:04 2010Signatures database already updated Hora de aplicação02/04/2010,17:24:03,Informação do Antivírus,Signatures database alreadyupdated,Wed Feb 3 14:24:04 2010Automatic update started Hora de aplicação02/04/2010,17:24:03,Informação do Antivírus,Automatic update started,WedFeb 3 14:24:04 2010Update file downloaded successfully Download file Name(STRING)02/04/2010,17:24:03,Informação do Antivírus,Update file downloadedsuccessfully,Download.tar.bz2NoticeLicense not found NULL 02/03/2010,15:34:19,Aviso importante doAntivírus,License not found,File is corrupted PID do processo que esta logando02/03/2010,15:34:19,Aviso importante do Antivírus,File is corrupted,123456File is encrypted PID do processo que esta logando02/03/2010,15:34:19,Aviso importante do Antivírus,File is encrypted,123456Virus found Nome do virus(STRING) PID do processo que esta logando02/03/2010,15:34:19,Aviso importante do Antivírus,Virus found,virus.txt123465Configuration file not found, default loaded NULL02/03/2010,15:34:19,Aviso importante do Antivírus,Configuration file notfound, default loaded,Update already in progress NULL 02/03/2010,15:34:19,Avisoimportante do Antivírus,Update already in progress,Update canceled NULL 02/03/2010,15:34:19,Aviso importante doAntivírus,Update canceled,© Aker Security Solutions 798

ErrorScan error PID do processo que esta logando02/03/2010,15:34:19,O Antivírus encontrou um erro,Scan error,123465Error changing license expiration date NULL 02/03/2010,15:34:19,OAntivírus encontrou um erro,Error changing license expiration date,No engine loaded NULLum erro,No engine loaded,02/03/2010,15:34:19,O Antivírus encontrouError applying license NULL 02/03/2010,15:34:19,O Antivírusencontrou um erro,Error applying license,Connection lost with daemon “Engined” 02/03/2010,15:34:19,OAntivírus encontrou um erro,Connection lost with daemon,EnginedConnection lost with daemon “Service” 02/03/2010,15:34:19,OAntivírus encontrou um erro,Connection lost with daemon, ServiceWarningError loading engine Engine(PANDA OU AVG)02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error loadingengine,PandaError installing update Nome do arquivo02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error installingupdate,update.dbError applying configuration NULL02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error applyingconfiguration,Error applying patch/hotfix Hora de aplicação02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error applyingpatch/hotfix,Wed Feb 3 14:24:04 2010Error trying patch/hotfix rollback Hora de aplicação02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error tryingpatch/hotfix rollback,Wed Feb 3 14:24:04 2010© Aker Security Solutions 799

Error getting system information NULL02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error getting systeminformation,Error getting patch/hotfix history NULL02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error gettingpatch/hotfix history,Error authenticating user PID do processo que esta logando02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error authenticatinguser,123456Signatures database corrupted NULL02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Signatures databasecorrupted,Error loading signatures database backup NULL02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error loadingsignatures database backup,Error communicating with client IP02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error communicatingwith client,10.4.0.19Error loading signatures database backup NULL02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Error loadingsignatures database backup,Update not allowed: Invalid license NULL02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Update not allowed:Invalid license,Update error: error writing to disk NULL02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Update error: errorwriting to disk,Update error: memory allocation error NULL02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Update error: memoryallocation error,Update file download failed Host do download02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Update filedownload,failedavg.download.atualizacao/atualizacao.atzUpdate error: no file downloaded NULL02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Update error: no filedownloaded,© Aker Security Solutions 800

Update error: corrupted file Download file Name(STRING)02/02/2010,09:24:04,Mensagem de alerta do Antivírus,Update error:corrupted file,FileCorrupt.tar40.4.7. Eventos gerados pelo Aker Web Content AnalizerMensagem Complemento Date, Time, Tipo do evento, Message,Complementnome da categoria URLs database replacement failed02/05/2010,20:03:49,Informação do Web Content Analyzer,Informática URLCategory found,http://www1.aker.com.br/sites/icones/sis-pixel1.gifupload: errnobe sentupload: errnoupload: errnoupload: errnosentError when mapping the compressed file containing the urls toError when mapping the undefined urls filesError when opening the undefined urls filesError when opening the compressed file containing the urls to beNULL Error when opening the undefined urls filesNULL Error when saving the file containing the urls to be uploadedNULL Error when compressing file to uploadNULL There is no urls to be sentUrls: NUMERO DE URLS URLs successfully uploaded to Akerupload: errnoSocket creation errorNULL Server returned error message after uploadingCommunication errorError when sending message to daemon(INT) Socket creation errorerro(INT)CF: erroError when reopening the undefined urls filesError when reopening the undefined urls files© Aker Security Solutions 801

Upload: (URL do servidor de download) NULLURL do servidor de Proxy NULLIPNULLUpload: (URL do servidor de download) Invalid URLURL do servidor de downloadInvalid URLFileNameFile not avaialable for downloadAKER header: Size File not avaialable for downloadno 'Content-length' nor 'chunked' nor 'close'File not avaialable for downloadcat_list.xml - no 'Last-Modified'Header do arquivo(STRING)File not avaialable for downloadFile not avaialable for downloadFileNameError while opening update filemakeindex Error while opening update filerecv==0 headerError while downloading URLs update fileFileNameError while downloading URLs update fileAKER header chuncked: ChunckedDatafilecomp_regs_len chuncked ChunckedDatafileError while downloading URLs updateError while downloading URLs updateuncompress buffer Error while downloading URLs update fileMd5 bufferError while downloading URLs update fileregs num: numero de regrasError while downloading URLs update fileNo modified file of categories signature found! NULLError code retuned from web server is not 200(OK)! NULLNome do arquivoError while writing URLs update file"Erro de comunicacao com processo pai Data send error© Aker Security Solutions 802

decompress_file: erroURLs database replacement failedErro de comunicacao com processo pai URLs database replacement failedmmap: erro URLs database replacement failed“decompress_buffer: NULL”URLs database replacement failedDATA CORRENTE Updating daily URLs databasepdating daily URLs databaseCreateFile: erroError when reopening the undefined urls filesErro de comunicacao com processo pai NULLFileNameInvalid URL update file“Replication of undefined URL failed erro = errno”NULL/usr/local/akerurl/db/base.udxURLs database corrupt"cluster_read_st = AKERURL_REPL_URL_BASE" NULLErro ao replicar URL indefinidaNULLcluster_read_st = AKERURL_REPL_UNDEFS_URLSNULLURLs file replication failedURLs file replication failed (time index snd=erro)NULLURLs file replication failed (commit_st index = erro) NULLURLs file replication failed (send_file index = erro)NULLNULL URLs database replacement failedFazendo o merge ou replace da baseNULLnome do arquivoError while opening update file/usr/local/akerurl/db/base.udx/usr/local/akerurl/db/base.udxError while creating URLs update fileError while writing URLs update fileNULL URls database replacement successfullx URLs Inseridas, x URLs, removidas, x URLs modificadas URlsreplacement successfulldatabaseFileNameError while reading URLs update fileErro de parser no arquivo xml de configuracao /usr/local/akerurl/aker_users.cfg© Aker Security Solutions 803

Erro de parser no arquivo xml de configuracao nome do arquivoErro de parser no arquivo xml de configuracao file = Nome do arquivo - lang = Idiomaempacota_user_cat_list failNULLxmlNewDoc failNULLCategories list was successfully updated!NULLErro ao replicar o time index da baseNULLUpload: (URL do servidor de download) NULL(URL do servidor de Proxy) connect: errnoNULL(URL do servidor de Proxy) send: errno NULLUpload: (URL do servidor de download) NULL(URL do servidor de Proxy) connect: errno(URL do servidor de Proxy) send: errnoNULLNULLUploadNULLNULL NULLHeader len: NULLIpNULLUploadData receive errorHeader len: Data receive errorselect: erro Data receive errorpkt: errnoData receive errorIpFirewall closed the connection© Aker Security Solutions 804

NULL Error while opening categories listenvia_pacote: errnoData send errorsendto client: erro Data send errorNULL NULLFileMapping: erro(INT)MappingView: erro(INT)NULLNULLdecompress_buffer: NULL NULLIpNULLNULL URLNULL Activation key not foundNULL Activation key expired. It will be no longer possible to update database.NULL Update license expired. It will be no longer possible to update database.lic_resp.erro = errnoNULLActivation key will expire in few daysUpdate key will expire in few daysX remaining daysX remaining daysIpNULLNULL NULL40.4.8. Eventos gerados pelo Aker Spam Meter© Aker Security Solutions 805

Mensagem Texto da Mensagem Complemento DATA, HORA, TIPO,COMPLEMENTO, TEXTO DA MENSAGEMLOG_BAYES_RECALC_START Iniciando recalculo de base NOME DA BASE02/06/2010,02:12:12 AM,Informação do Spam Mete,Base dosistema,Iniciando recálculo da base (Inactive Node)LOG_BAYES_AUTH_ERRErro de autenticacaoHeaderDataLOG_BAYES_SEND_ERR Erro ao enviar dados NULLLOG_BAYES_RECV_ERR Erro ao receber dados NULLLOG_BAYES_NEW_CONNECTION Nova conexao recebida NULLLOG_BAYES_TIMEOUT Timeout na conexaoNULLLOG_BAYES_INVALID_DATA Dados invalidos recebidosPacket SizeInvalid Greeting Operation OPGreeting SizeContext NumberNew classification data lengthNew classification base nameMessage end lengthNew training data length© Aker Security Solutions 806

New training base nameID training data lengthID training base nameDatabase recalculation data lengthDatabase recalculation base nameDatabase deletion base nameLOG_BAYES_CONNECTION_OKConexao autenticada OKConnection at port PORTAConnection protocl PROTOCOLOLOG_BAYES_MEM_ERR Erro de alocacao de memoriaNew contextNULLMessage listAdding recalculation - Base NOME_DA_BASELOG_BAYES_ENGINE_ERRErro retornado pelo engineErasing system database – ERROChanging database cache timeout – ERROErasing system database – ERROErasing database DATABASE NAME – ERRONew context - ERROClassification new – training into the system database is not allowedClassification new - ERRO: NOME DA BASE"Op: OPERAÇÂO – ERRO© Aker Security Solutions 807

Classification end – ERROTraining new – ERROTraining end – ERROID training – ERROBase delete – ERROErasing system database – ERROGetting system update time – ERRODatabase merging – ERROGetting system update time – ERROLOG_BAYES_CONN_REFUSED Conexao recusada ao cliente OpOPERATION - State ESTADOLOG_BAYES_INVALID_STATE Estado invalido Op OPERATION - StateESTADOLOG_BAYES_INVALID_OP Operacao invalida Operation code OP_CODEunrecognizedLOG_BAYES_CREATE_FILE_ERRERRNOHAM and SPAM info file - ErrorHAM index file – Error ERRNOSPAM index file - Error ERRNOUsers trainings file – Error ERRNOTemporary download file - Error ERRNOLOG_BAYES_DOWNLOAD_ERR Erro ao baixar nova base Error convertingproxy data to base64© Aker Security Solutions 808

Error receiving headerBad header errorWrite file errorInvalid data size errorUncompress error – ERRNOBad hash errorERRNOServer replied HTTP status code ERRNOLOG_BAYES_PROXY_AUTH_ERR Erro ao autenticar no proxy Errorconverting proxy data to base64NOME DO PROXYLOG_BAYES_DOWNLOAD_START Iniciando download da base Base ofDATAComplete baseLOG_BAYES_DOWNLOAD_SUCCESSFULL Download completado OKNULLLOG_BAYES_RECALC_OK Recalculo completo OK NOME DA BASEBase: NOME DA BASE - %ERRNOLOG_BAYES_RECALC_ERR Erro ao recalcular base Base: NOME DA BASE -%ERRNO© Aker Security Solutions 809

LOG_BAYES_UPLOAD_START iniciando upload da base NULLLOG_BAYES_UPLOAD_SUCCESSFULL upload completado OK NULLLOG_BAYES_UPLOAD_ERR Erro ao enviar base Error resolving hostEND_PROXYError creating connection socketError ERRNO when opening update file FILENAMEErro converting string containing an Ipv4 into a proper addressError converting proxy data to base64Error %1 while connecting to proxyError while sending HTTP request to proxyError while sending HTTP request to serverError when reading header from file FILENAMEError while sending header to proxyError while sending header to serverDisk error when reading training file FILENAMECompress error – ERRNOError sending compressed registers to proxyError sending compressed registers to serverError sending trailer to proxyError sending trailer to serverError receiving response headerTransference was cancelledProxy authentication requiredServer replied an error messageError opening Index Database© Aker Security Solutions 810

Error opening Index DatabaseUsers trainings file - Error ERRNOEmpty Index DatabaseCorrupted Index DatabaseLOG_BAYES_LICENSE_EXPIRED Licenca expirou License expired DATALOG_BAYES_ACCUMULATE_ERR erro ao acumular base NULLLOG_BAYES_PATCH_ERRError validating the patch: ERRNOError getting id in patch:- ERRNOError getting history dir:- ERRNOError applying the patch:- ERRNOError getting history dir for get patch history:- ERRNOError getting patch history:- ERRNOError getting id for System info:- ERRNOError getting history dir for System info:- ERRNOError packing Cluster info:- ERRNOLOG_BAYES_PATCH_SUCCESSFULL aplicacao do patch ok NULLLOG_BAYES_BASE_BACKUP_ERR erro ao tentar fazer backup de bases detreinamentos de usuarios receiving database listgenerating backup fileOpening FileReading File© Aker Security Solutions 811

error mapping fileLOG_BAYES_BASE_BACKUP_SUCCESSFULLusuario completado com sucesso NULLbackup de treinamentos deLOG_BAYES_BASE_RESTORE_ERR erro ao tentar restaurar backup das basesde treinamentos dos usuarios opening filetemporary file is closedwriting restore dataerror mapping filetransfer errorlocal user ID is different from the restore file IDtransfer errorunpacking dataLOG_BAYES_BASE_RESTORE_SUCCESSFULL restauracao do backup dasbases de treinamentos dos usuarios completado com sucesso NULLLOG_BAYES_MSG_CLASSIFY_SUCCESSFUL sucesso na classificacao deuma mensagem da interface Score: SCORE Id: IDScore: SCORE Base: NOME DA BASEDelta: (DELTA, DELTA_INTERNO)Cache rate: RATELOG_BAYES_LOG_CONFIG_ERROR erro no processo de configuracao doservidor de log Error starting communication with Aker Log ServerError releasing log configuration© Aker Security Solutions 812

LOG_BAYES_SMALL_CACHE performance degradada por cache ser muitopequeno Erasing system databaseDatabase listingErasing database DATABASE NAMEClassification newTraining newID trainingBase deleteErasing system databaseRecalc base – BASENAMEGetting system update timeMerging system baseGetting system update timeGerenate probability base – BASENAMELOG_BAYES_MSG_TRAIN_SUCCESSFULL sucesso na classificacao de umamensagem da interface Trained as TIPO - Base: BASENAMELOG_BAYES_CONNECTION_CLOSEDconexao fechada MOTIVOLOG_BAYES_HOST_DL_ERRerro no download do arquivo de hostsERROError creating fileError requesting data: ERROHost list is emptyError packing datadownload already in progress© Aker Security Solutions 813

LOG_BAYES_WRITE_FILE_ERR Erro ao escrever em arquivo FileFILENAME – Error ERRNOLOG_BAYES_HOST_DL_START iniciando download do arquivo de hostsNULL 02/02/2010,11:24:14,Informação do Spam Meter,,Iniciando downloadda lista de hosts (Active Node)LOG_BAYES_HOST_DL_SUCCESSFULL download do arquivo de hostsfinalizado NULL 02/02/2010,11:24:14,Informação do Spam Meter,,Download dalista de hosts realizado com sucesso (Active Node)LOG_BAYES_BASE_DELETED base apagada BayesLog System databaseLOG_BAYES_DOWNLOAD_INFO informacao sobre download InvalidLicenseDownload already in progressDatabase already updatedLOG_BAYES_ROLLBACK_ERR erro ao aplicar o rollback de um patch Errorgetting rollback info – ERRNOError getting history dir for rollback – ERRNOError rollbacking patch – ERRNOLOG_BAYES_ROLLBACK_SUCCESSFULLNULLaplicacao do rollback de um patch ok© Aker Security Solutions 814

Apêndice B - Copyrights eDisclaimers© Aker Security Solutions 815

41. Apêndice B - Copyrights e DisclaimersNeste apêndice estão listados os disclaimers das bibliotecas e códigos fontes deterceiros utilizadas no Aker Firewall. Estes disclaimers se aplicam apenas às partesexplicitamente citadas e não ao Aker Firewall como um todo. Eles estão citados aquidevido a exigências das entidades desenvolvedoras:Biblioteca DESCopyright (C) 1995 Eric Young (eay@mincom.oz.au)All rights reserved.This library and applications areFREE FOR COMMERCIAL AND NON-COMMERCIAL USEas long as the following conditions are aheared to.Copyright remains Eric Young's, and as such any Copyright notices inthe code are not to be removed. If this code is used in a product,Eric Young should be given attribution as the author of the parts used.This can be in the form of a textual message at program startup orin documentation (online or textual) provided with the package.Redistribution and use in source and binary forms, with or withoutmodification, are permitted provided that the following conditionsare met:1. Redistributions of source code must retain the copyrightnotice, this list of conditions and the following disclaimer.2. Redistributions in binary form must reproduce the above copyrightnotice, this list of conditions and the following disclaimer in thedocumentation and/or other materials provided with the distribution.3. All advertising materials mentioning features or use of this softwaremust display the following acknowledgement:This product includes software developed by Eric Young (eay@mincom.oz.au)THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND ANY EXPRESSORIMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIEDWARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULARPURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR ORCONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,SPECIAL,EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITEDTO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,DATA,OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ONANYTHEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF© Aker Security Solutions 816

THEUSE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCHDAMAGE.The licence and distribution terms for any publically available version orderivative of this code cannot be changed. i.e. this code cannot simply becopied and put under another distribution licence[including the GNU Public Licence.]Biblioteca de criptografia libcryptoCopyright (C) 1995-1998 Eric Young (eay@cryptsoft.com)All rights reserved.This package is an SSL implementation writtenby Eric Young (eay@cryptsoft.com).The implementation was written so as to conform with Netscapes SSL.This library is free for commercial and non-commercial use as long asthe following conditions are aheared to. The following conditionsapply to all code found in this distribution, be it the RC4, RSA,lhash, DES, etc., code; not just the SSL code. The SSL documentationincluded with this distribution is covered by the same copyright termsexcept that the holder is Tim Hudson (tjh@cryptsoft.com).Copyright remains Eric Young's, and as such any Copyright notices inthe code are not to be removed.If this package is used in a product, Eric Young should be given attributionas the author of the parts of the library used.This can be in the form of a textual message at program startup orin documentation (online or textual) provided with the package.Redistribution and use in source and binary forms, with or withoutmodification, are permitted provided that the following conditionsare met:1. Redistributions of source code must retain the copyrightnotice, this list of conditions and the following disclaimer.2. Redistributions in binary form must reproduce the above copyrightnotice, this list of conditions and the following disclaimer in thedocumentation and/or other materials provided with the distribution.3. All advertising materials mentioning features or use of this softwaremust display the following acknowledgement:"This product includes cryptographic software written byEric Young (eay@cryptsoft.com)"The word 'cryptographic' can be left out if the rouines from the librarybeing used are not cryptographic related :-).4. If you include any Windows specific code (or a derivative thereof) fromthe apps directory (application code) you must include an acknowledgement:"This product includes software written by Tim Hudson (tjh@cryptsoft.com)"© Aker Security Solutions 817

THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' ANDANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO,THEIMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR APARTICULAR PURPOSEARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BELIABLEFOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, ORCONSEQUENTIALDAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OFSUBSTITUTE GOODSOR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESSINTERRUPTION)HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER INCONTRACT, STRICTLIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING INANY WAYOUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THEPOSSIBILITY OFSUCH DAMAGE.The licence and distribution terms for any publically available version orderivative of this code cannot be changed. i.e. this code cannot simply becopied and put under another distribution licence[including the GNU Public Licence.]Biblioteca SNMPCopyright 1997 by Carnegie Mellon UniversityAll Rights ReservedPermission to use, copy, modify, and distribute this software and itsdocumentation for any purpose and without fee is hereby granted,provided that the above copyright notice appear in all copies and thatboth that copyright notice and this permission notice appear insupporting documentation, and that the name of CMU not beused in advertising or publicity pertaining to distribution of thesoftware without specific, written prior permission.CMU DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE,INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS,IN NO EVENT SHALL CMU BE LIABLE FOR ANY SPECIAL, INDIRECT ORCONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTINGFROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OFCONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OFOR INCONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.© Aker Security Solutions 818

Códigos do FreeBSDCopyright (c) 1982, 1986, 1993The Regents of the University of California. All rights reserved.Redistribution and use in source and binary forms, with or withoutmodification, are permitted provided that the following conditions are met:1. Redistributions of source code must retain the above copyright notice, this list ofconditionsand the following disclaimer.2. Redistributions in binary form must reproduce the above copyright notice, this listof conditionsand the following disclaimer in the documentation and/or other materials providedwith thedistribution.3. All advertising materials mentioning features or use of this software must displaythe followingacknowledgement: This product includes software developed by the University ofCalifornia, Berkeley and its contributors.4. Neither the name of the University nor the names of its contributors may be usedto endorse orpromote products derived from this software without specific prior written permission.THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS ``ASIS''AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOTLIMITEDTO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR APARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THEREGENTS ORCONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,SPECIAL,EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITEDTO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,DATA,OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ONANYTHEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OFTHEUSE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCHDAMAGE.Algoritmo MD5Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. All rights reserved.License to copy and use this software is granted provided that it is identified as the"RSA Data© Aker Security Solutions 819

Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning orreferencing thissoftware or this function.License is also granted to make and use derivative works provided that such worksare identifiedas "derived from the RSA Data Security, Inc. MD5 Message-Digest Algorithm" in allmaterialmentioning or referencing the derived work.RSA Data Security, Inc. makes no representations concerning either themerchantability of thissoftware or the suitability of this software for any particular purpose. It is provided "asis" withoutexpress or implied warranty of any kind.These notices must be retained in any copies of any part of this documentationand/or software.Agente SNMPCopyright (c) 1996,1997 Wes Hardaker and the University of California at DavisCOPYRIGHTMany portions of the code in this package were distributed by Carnegie MellonUniversity.All other code and changes to the original code written by Wes Hardaker at theUniversity ofCalifornia at Davis is copyrighted under the following copyright:Permission is granted to use, copy, modify and distribute this software anddocumentation. Thissoftware is distributed freely and usage of it is not subject to fees of any kind. It maybe included ina software compact disk set provided that the author is contacted and made awareof itsdistribution.Biblioteca de números extendidos LIntegerLInteger Version 0.2 Source Code and DocumentationCopyright (C) 1996 by Leonard JankeThis source code and documentation may be used without charge for bothcommercial and non-commercial use. Modification of the source code ordocumentation is allowed provided any derivate work is clearly indentified as suchand all copyright notices are retained unmodified. Redistribution of the source code© Aker Security Solutions 820

or documentation is unlimited, except by the limits already mentioned, provided thatthe redistribution is not for profit. Those wishing to redistribute this source code ordocumentation or any work derived from either for profit must contact Leonard Janke(janke@unixg.ubc.ca) to work out an acceptable arrangement.Anyone who wishes to distribute a program statically linked against the functionsprovided may do so providing that he or she includes a copy of this note with theprogram.Distribution of libraries compiled from this source code is unlimited if the distributionis not for profit and this copyright notice is included. Those wishing to distributelibraries compiled from this source code or any work derived from it for profit mustcontact Leonard Janke (janke@unixg.ubc.ca) to work out an acceptablearrangement.Anyone using this source code or documentation or any work derived from it,including, but not limited to, libraries and statically linked executables, must do so athis or her own risk, and with understanding that Leonard Janke will not be heldresponsible for any damages or losses that may result.© Aker Security Solutions 821