Professional Documents
Culture Documents
Manual de Configurao da Verso 5.0 Introduo pg. 05 1-0 Instalando o Firewall Aker pg. 06 1-1 Requisitos de hardware software - pg. 06 1-2 Instalando o firewall - pg. 10 1-3 Instalando a interface remota em plataformas Windows, Linux e FreeBSD - pg. 21 2-0 Utilizando a interface remota - pg. 22 2-1 Iniciando a interface remota - pg. 25 2-2 Finalizando a administrao remota - pg. 30 2-3 Mudando sua senha de usurio - pg. 31 2-4 Visualizando informaes da sesso - pg. 32 2-5 Utilizando a ajuda on-line pg. 33 3-0 Administrando usurios do firewall - pg. 34 3-1 Utilizando a interface grfica pg. 35 3-2 Utilizando a interface texto pg. 39 4-0 Configurando os parmetros do sistema pg. 43 4-1 Utilizando a interface grfica pg. 43 4-2 Utilizando a interface texto pg. 52 5-0 Cadastrando Entidades - pg. 54 5-1 Planejando a instalao - pg. 54 5-2 Cadastrando entidades utilizando a interface grfica - pg. 58 5-3 Utilizando a interface texto - pg. 80 5-4 Assistente de Entidades - pg. 84 6-0 O Filtro de Estados - pg. 90 6-1 Planejando a instalao - pg. 90 6-2 Editando uma lista de regras usando a interface grfica - pg. 95 6-3 Trabalhando com Polticas de Filtragem - pg. 100 6-4 Utilizando a interface texto - pg. 104 6-5 Utilizando o assistente de regras - pg. 107 7-0 Configurando a Converso de Endereos - pg. 115 7-1 Planejando a instalao - pg. 115 7-2 Utilizando a interface grfica - pg. 123 7-3 Utilizando a interface texto - pg. 136 7-4 Utilizando o Assistente de NAT - pg. 139 8-0 Criando canais de criptografia - pg. 147 8-1 Planejando a instalao - pg. 147 8-2 Carregando certificados Aker-CDP - pg. 159 8-3 Carregando certificados IPSEC - pg. 162 8-4 Configurando canais Firewall-Firewall - pg. 165 8-5 Utilizando a interface texto - pg. 173 9-0 Configurando criptografia Cliente-Firewall - pg. 180 9-1 Planejando a Instalao - pg. 180 9-2 Configurando o firewall utilizando a interface grfica - pg. 182 9-3 Configurando o firewall utilizando a interface texto - pg. 185 9-4 Instalando o cliente de criptografia Aker - pg. 188 9-5 Configurando o cliente de criptografia - pg. 190 2
10-0 Integrao dos mdulos do Firewall - pg. 197 10-1 O fluxo de pacotes no Firewall Aker - pg. 197 10-2 Integrao do filtro com a converso de endereos - pg. 200 10-3 Integrao do filtro com a converso e a criptografia - pg. 201 11-0 Configurando a Segurana - pg. 202 11-1 Proteo contra SYN Flood - pg. 203 11-2 Utilizando a interface grfica para Proteo contra SYN Flood - pg. 204 11-3 Proteo de Flood - pg. 206 11-4 Utilizando a interface grfica para Proteo de Flood - pg. 207 11-5 Proteo Anti Spoofing - pg. 209 11-6 Utilizando a interface grfica para Anti Spoofing - pg. 211 11-7 Sistema de Deteco de Intruso (IDS) - pg. 213 11-8 Configurando o suporte para o agente de deteco de intruso - pg. 214 11-9 Instalando o Plugin para agentes IDS no Windows NT - pg. 216 11-10 Utilizando a interface texto - Syn Flood - pg. 222 11-11 Utilizando a interface texto - Proteo de Flood - pg. 223 11-12 Utilizando a interface texto - Anti Spoofing - pg. 224 11-13 Utilizando a interface texto - IDS - pg. 225 12-0 Configurando as aes do sistema - pg. 227 12-1 Utilizando a interface grfica - pg. 228 12-2 Utilizando a interface texto - pg. 232 13-0 Visualizando o log do sistema - pg. 235 13-1 Utilizando a interface grfica - pg. 237 13-2 Formato e significado dos campos dos registros do log - pg. 246 13-3 Utilizando a interface texto - pg. 250 14-0 Visualizando os eventos do sistema - pg. 252 14-1 Utilizando a interface grfica - pg. 253 14-2 Formato e significado dos campos das mensagens de eventos - pg. 259 14-3 Utilizando a interface texto - pg. 260 15-0 Visualizando estatsticas - pg. 262 15-1 Utilizando a interface grfica - pg. 263 15-2 Utilizando a interface texto - pg. 268 16-0 Visualizando e removendo conexes - pg. 270 16-1 Utilizando a interface grfica - pg. 270 16-2 Utilizando a interface texto - pg. 275 17-0 Trabalhando com proxies - pg. 277 17-1 Planejando a instalao - pg. 277 17-2 Instalando o agente de autenticao em plataformas Unix - pg. 282 17-3 Instalando o agente de autenticao em Windows NT/2000 - pg. 285 18-0 Configurando parmetros de autenticao - pg. 290 18-1 Utilizando a interface grfica - pg. 290 18-2 Utilizando a interface texto - pg. 298 19-0 Perfis de acesso de usurios - pg. 300 19-1 Planejando a instalao - pg. 301 19-2 Cadastrando perfis de acesso - pg. 302 19-3 Associando usurios com perfis de acesso - pg. 310 20-0 O cliente de autenticao Aker - pg. 314
20-1 Planejando a instalao - pg. 314 20-2 Instalando o cliente de autenticao Aker - pg. 315 20-3 Configurando o cliente de autenticao - pg. 317 20-4 Visualizando e removendo usurios logados no firewall - pg. 324 20-5 Utilizando a interface texto - pg. 327 21-0 Configurando o proxy SMTP - pg. 329 21-1 Editando os parmetros de um contexto SMTP - pg. 331 22-0 Configurando o proxy Telnet - pg. 346 22-1 Editando os parmetros de um contexto Telnet - pg. 347 23-0 Configurando o proxy FTP - pg. 350 23-1 Editando os parmetros de um contexto FTP - pg. 351 24-0 Configurando o proxy POP3 - pg. 353 24-1 Editando os parmetros de um contexto POP3 - pg. 355 25-0 Configurando o proxy WWW - pg. 360 25-1 Planejando a instalao - pg. 360 25-2 Editando os parmetros do proxy WWW - pg. 363 26-0 Configurando o proxy SOCKS - pg. 372 26-1 Planejando a instalao - pg. 372 26-2 Editando os parmetros do proxy SOCKS - pg. 373 27-0 Utilizando as ferramentas da interface grfica - pg. 375 27-1 Chaves de ativao - pg. 375 27-2 Salvar cpia de segurana - pg. 377 27-3 Carregar cpia de segurana - pg. 379 27-4 DNS Reverso - pg. 381 27-5 Data e Hora - pg. 383 27-6 Varredura de regras - pg. 385 27-7 Relatrios - pg. 388 27-8 Atualizaes - pg. 390 27-9 Configurao TCP/IP - pg. 392 27-10 Reinicializar firewall - pg. 396 27-11 Localizar entidades - pg. 397 27-12 Janela de Alarmes - pg. 399 27-13 Utilizando a interface texto na Configurao TCP/IP - pg. 401 27-14 Utilizando a interface texto nas Chaves de Ativao - pg. 407 28-0 Configurando o Firewall em Cluster - pg. 409 28-1 Planejando a Instalao - pg. 409 28-2 Utilizando a interface texto - pg. 411 29-0 Arquivos do sistema e backup - pg. 413 29-1 Arquivos do sistema - pg. 413 29-2 Backup do Firewall - pg. 418 30-0 Firewall Aker Box - pg. 420 Apndice A - Mensagens do sistema - pg. 423 Mensagens do log do Firewall - pg. 423 Mensagens dos eventos do Firewall - pg. 429 Apndice B - Perguntas e respostas - pg. 456 Apndice C - Copyrights e Disclaimers - pg. 467 Apndice D - Novidades da verso 5.0 - pg. 472
Introduo
Este o manual do usurio da verso 5.0 do Firewall Aker. Nos prximos captulos voc aprender como configurar esta poderosa ferramenta de proteo redes. Esta introduo tem como objetivo descrever a organizao deste manual e tentar tornar sua leitura o mais simples e agradvel possvel.
A interface grfica A interface grfica chamada de remota porque atravs dela possvel se administrar remotamente, via Internet, um Firewall Aker localizado em qualquer parte do mundo. Esta administrao feita atravs de um canal seguro entre a interface e o firewall, com um forte esquema de autenticao e criptografia, de modo a torn-la totalmente segura. A interface grfica de uso bastante intuitivo e esta disponvel para plataformas Windows 95TM, Windows 98TM, Windows NTTM, Windows 2000TM , Windows XPTM , Linux , FreeBSD e sob demanda em outros sabores de Unixes. 5
A interface texto
A interface texto uma interface totalmente orientada linha de comando que roda na mquina onde o firewall est instalado. O seu objetivo bsico possibilitar a automao de tarefas da administrao do Firewall Aker (atravs da criao de scripts) e possibilitar uma interao de qualquer script escrito pelo administrador com o Firewall. Praticamente todas as variveis que podem ser configuradas pela interface grfica podero ser configuradas tambm pela interface texto. Como as duas interfaces tratam das mesmas variveis, a funcionalidade, os valores e os comentrios destas tm validade tanto para interface grfica quanto para a interface texto. Devido a isso, os tpicos referentes interface texto normalmente sero curtos e se limitaro a mostrar seu funcionamento. Caso se tenha dvida sobre algum parmetro, deve-se recorrer explicao do mesmo no tpico relativo interface grfica. No possvel o uso simultneo de vrias interfaces grficas para um mesmo Firewall, nem o uso da interface texto enquanto existir uma interface grfica aberta.
Copyrights do Sistema
Copyright (c) 1997-2003 Aker Security Solutions. utiliza a biblioteca SSL escrita por Eric Young (cay@mincon.oz.au). Copyright 1995 Eric Young. utiliza o algoritmo AES implementao do Dr. B. R. Gladman (brg@gladman.uk.net). utiliza o algoritmo MD5 retirado da RFC 1321. Copyright 1991-2 RSA Data Security, Inc. utiliza a biblioteca CMU SNMP. Copyright 1997 Carnegie Mellon University. utiliza a biblioteca de compresso Zlib. Copyright 1995-1998 Jean-loup Gailly and Mark Adler. utiliza a biblioteca QWT escrita por Josef Wilgen. Copyright 1997. inclui software desenvolvido pela Universidade da California, Berkeley e seus colaboradores. inclui software desenvolvido por Luigi Rizzo, Universita` di Pisa Portions Copyright 2000 Akamba Corp. inclui software desenvolvido por Niklas Hallqvist, Angelos D. Keromytis and Haan Olsson. inclui software desenvolvido por Ericsson Radio Systems.
Caso se utilize um link com alta taxa de transferncia ou caso se pretenda utilizar criptografia em um link com velocidade relativamente alta necessrio o uso de um computador mais potente.
Caso se pretenda fazer um grande uso dos servios de proxy e de criptografia, provavelmente ser necessrio 256 Mbytes ou mais.
Pode ser necessrio o uso de um disco maior caso se pretenda armazenar os logs do sistema por um grande espao de tempo.
Isso s necessrio durante a instalao ou caso se pretenda utilizar a interface texto a partir do console, entretanto altamente recomendado em todos os casos.
Placa(s) de rede
No existe um nmero mximo de placas de rede que podem ser colocadas no Firewall. A nica limitao existente a limitao do prprio hardware. Caso se necessite de um grande nmero de interfaces de rede, pode-se optar por placas com mais de uma sada na mesma interface.
importante frisar que todos os dispositivos de hardware devem ser suportados pelo FreeBSD ou pelo Linux. Antes de adquirir qualquer componente, necessrio primeiro se verificar se um destes sistemas operacionais, nas verses suportadas pelo Firewall Aker, aceita este componente. Para maiores informaes sobre os sistemas operacionais Linux ou FreeBSD ou para se verificar se um componente ou no suportado por eles, sugerimos um dos seguintes endereos:
WWW
http://www.br.freebsd.org (FreeBSD - portugus) http://www.freebsd.org (FreeBSD - ingls) http://www.linux.org (Linux - ingls) http://www.kernel.org (Linux - ingls) http://www.redhat.com (Linux - ingls) http://www.conectiva.com.br (Linux - portugus)
freebsd@sbq.org.br (lista de discusso de FreeBSD em portugus) questions@freebsd.org (lista de discusso de FreeBSD em ingls) linux-br-subscribe@bazar.conectiva.com.br (lista de discusso do Linux) A Aker Security Solutions no se responsabiliza por nenhum problema de configurao, operao, compatibilidade ou informao relativa aos sistemas operacionais Linux ou FreeBSD.
Computador Pentium II ou compatvel 450 Mhz ou superior 128 Mbytes de memria RAM 4 Gbytes de espao em disco Monitor Mouse Teclado Placa de rede
Computador Pentium III ou compatvel 1 Ghz ou superior Sistema de armazenagem com velocidade igual ou superior a um Ultra-ATA 66 64 Mbytes de memria RAM (recomenda-se 128 Mbytes) 40 Gbytes de espao em disco Monitor Mouse Teclado Placa(s) de rede
Onde diretrio_de_instalao o diretrio onde se encontram os arquivos de instalao e plataforma a plataforma na qual o firewall ser instalado, por exemplo, se o CDROM estivesse montando no diretrio /cdrom e a instalao fosse feita no FreeBSD, ento o comando a ser digitado seria: /cdrom/br/firewall/freebsd/fwinst O smbolo # representa o prompt do shell quando executado como root, ele no deve ser digitado como parte do comando.
Firewall Aker v5 - Programa de Instalacao Este programa realiza a instalacao do Firewall Aker 5 e da interface texto de configuracao local. A instalacao pode ser feita a partir de um kernel pre-compilado fornecido junto com o firewall, pode-se compilar um kernel especifico para esta maquina ou se utilizar o kernel atual (contanto que a versao 5 ou superior ja
10
tenha sido instalada anteriormente). O kernel pre-compilado possui suporte para 3 placas de rede isa e um numero ilimitado de placas de rede PCI. Para maiores informacoes, sobre quais placas sao suportadas, quais suas configuracoes de endereco de E/S e IRQ e como alterar estes valores, veja a documentacao que acompanha o produto. Caso se resolva compilar um kernel especifico, antes de executar este programa e' necessario a criacao de um arquivo de configuracao do kernel chamado de FIREWALL. Este arquivo deve estar localizado no diretorio /usr/src/sys/i386/conf. Deseja prosseguir com a instalacao do firewall (S/N) ?
Caso j se tenha criado o arquivo de configurao do kernel chamado de FIREWALL ou se deseje utilizar o kernel pr-compilado ou o atual , deve-se responder S, seguido de Enter, para continuar com a instalao. Caso se queira compilar um novo kernel e este arquivo ainda no tenha sido criado, deve-se digitar N e cri-lo, antes de se continuar. Em caso de compilao de um novo kernel, existe um arquivo chamado de FIREWALL, no diretrio de instalao, que pode ser utilizado como base para se gerar o arquivo customizado, apenas copiando-o para o diretrio /usr/src/sys/i386/conf e removendo ou adicionando os componentes desejados. Para maiores informaes sobre este arquivo, consulte a documentao do FreeBSD. Caso se tenha feito a instalao do Firewall Aker com o kernel pr-compilado, ele estar configurado com suporte para at 10 (dez) VLANs, atravs do protocolo 802.1q . A configurao das VLANs pode ser feita posteriormente utilizando-se a interface grfica. Para mais informaes leia a seo intitulada Configurao TCP/IP Aps se responder Sim, o programa de instalao mostrar a licena de uso do Firewall Aker. Para se prosseguir, necessrio aceitar todos os termos e condies contidas na licena. Caso sejam aceitos, o programa prosseguir com a instalao mostrando a seguinte tela:
Firewall Aker v5 - Programa de Instalacao Iniciando a instalacao: Voce deseja utilizar o kernel (P)re-compilado, (C)ompilar um novo kernel ou usar o kernel (A)tual para a instalacao do firewall ? (P/C/A)
11
Caso se deseje utilizar o kernel pr-compilado, basta se digitar P, seguido de Enter. Caso se deseje utilizar o kernel atual, digita-se A. Caso contrrio, digita-se C. Recomenda-se a utilizao do kernel pr-compilado, principalmente caso no se possua experincia prvia com o FreeBSD. A nica necessidade de se compilar um novo kernel para se utilizar uma verso mais otimizada do mesmo. S possvel se utilizar o kernel atual caso j se tenha instalado o Firewall Aker verso 5.0 na mquina anterioremente. Caso contrrio deve-se escolher uma das duas outras opes. Independente da opo escolhida, o programa iniciar a instalao propriamente dita. Ele mostrar o seu progresso atravs de uma srie de mensagens auto-explicativas. Deve-se atentar para o fato do programa de instalao substituir o arquivo
/etc/rc. Caso se tenha feito alguma alterao neste arquivo necessrio faz-la
novamente aps a instalao. Aps terminar de copiar os arquivos, o programa de instalao far algumas perguntas de modo a realizar a configurao especfica para cada sistema. A primeira destas configuraes ser a da chave de ativao do produto. Esta chave o que habilita o produto para seu funcionamento. Sem ela nenhum mdulo do firewall funcionar. Ser mostrada a seguinte tela:
Firewall Aker v5 - Programa de Instalacao Configuracao do sistema completada. E' necessario agora ativar a copia Instalada atraves da digitacao da chave de ativacao que foi entregue ao se adquirir o produto. A chave de ativacao, o nome da empresa e o endereco IP da interface externa deverao ser digitados exatamente como constam no documento entregue pela Aker Consultoria e Informatica ou seu representante. Pressione enter para continuar
Aps digitar enter, o programa mostrar uma tela solicitando que se digite as informaes contidas no documento fornecido pela Aker Security Solutions ou pelo seu representante autorizado de vendas. Deve-se atentar para digitar todos os campos exatamente como constam no documento. A chave deve ser digitada com os hfens '-' que aparecem no documento original. No nome da empresa, letras maisculas e minsculas so consideradas diferentes e devem ser digitadas exatamente como se encontram no documento original. 12
Firewall Aker versao 5 Modulo de configuracao da chave de ativacao Nome da empresa: Aker Security Solutions IP da interface externa: 10.0.0.1 Chave de ativacao: 2DBDC612-FA4519AA-BBCD0FF1-129768D3-89BCA59C
Caso a chave seja vlida, o programa prosseguir com a instalao. Caso a chave ou o nome da empresa tenham sido digitados com erro, o programa pedir que sejam novamente digitados. O endereo IP digitado deve ter sido previamente configurado em alguma interface do sistema, caso contrrio o programa no prosseguir com a instalao. Caso a chave tenha sido aceita, a instalao prosseguir. Neste ponto, o programa de instalao procurar por arquivos de configurao da verso 4.50 do Firewall Aker. Caso seja encontrado algum destes arquivos, a seguinte tela ser mostrada:
Firewall Aker v5 - Programa de Instalacao Atualizando arquivos da versao 4.50 do Firewall Aker... Atualizando Atualizando Atualizando Atualizando Atualizando Atualizando Atualizando Atualizando Atualizando Atualizando Atualizando mensagens e parametros... OK entidades... OK regras de filtragem... OK regras de criptografia... OK conversao de enderecos... OK contextos SMTP... OK perfis de acesso... OK parametros de autenticacao parametros HTTP... OK protecao contra SYN Flood... OK criptografia de clientes... OK
Atualizacao completa. Os arquivos de configuracao da versao 4.50 foram removidos do sistema. Pressione enter para continuar
A atualizao dos arquivos feita automaticamente e de forma a manter toda a configurao existente inalterada. Aps realizada, os arquivos de configurao originais sero removidos do sistema e a seguinte tela ser mostrada:
13
Firewall Aker v5 - Programa de Instalacao Criando servicos e regras padrao... OK Voce deseja permitir que o firewall envie e receba 'pings', assim como permitir que esses pacotes o atravessem para executar testes iniciais de conectividade (S/N)?
Caso se responda no esta pergunta, o firewall ser instalado atravs de uma poltica deny-all, ou seja, bloqueia todo o trfego de rede, exceto o necessrio para a administrao remota. Aps respondida esta pergunta, uma nova tela ser mostrada:
Firewall Aker v5 - Programa de Instalacao E' necessario se definir o nome da interface de rede externa do firewall Os enderecos IP que se originarem desta interface nao serao contabilizados no numero maximo de licencas do produto. A interface externa deve assumir um dos seguintes valores: fxp0 fxp1 de0 Entre a interface externa:
A configurao da interface externa usada apenas para o controle de licenas do firewall. Deve-se informar o nome da interface que estar conectada Internet. A especificao da interface externa no possui nenhuma implicao de segurana. Nenhum controle de acesso feito levando-se em conta esta interface.
Firewall Aker v5 - Programa de Instalacao Ativacao do sistema completada. Vamos agora para a configuracao de alguns parametros do Firewall Aker: Eu posso cadastrar automaticamente um administrador capaz de gerenciar remotamente o firewall. Este administrador tera plenos poderes em relacao firewall e a partir dele novos usuarios poderao ser cadastrados.
14
Obs: Se voce nao cadastrar um administrador nao podera administrar o firewall a partir da interface grafica, apenas atraves da interface texto local. Voce deseja criar este administrador (S/N) ?
Para que seja possvel se administrar o firewall a partir da interface grfica, necessrio se cadastrar um administrador, devendo-se responder S a esta pergunta. De qualquer forma, possvel se cadastrar posteriormente outros administradores atravs das interfaces locais de administrao. A explicao de como fazer isso, se encontra no captulo intitulado Administrando usurios do firewall. Caso se tenha optado por incluir um novo administrador, ser mostrada a tela pedindo os dados do administrador a ser cadastrado. Um exemplo desta tela se encontra abaixo (cabe mencionar que a senha do administrador a ser cadastrado no ser mostrada na tela).
Firewall Aker versao 5 Modulo de administracao de usuarios remotos Inclusao de usuario Entre o login Entre o nome completo Entre a senha Confirme a senha : administrador : Administrador do Firewall Aker : :
Aps se ter ou no includo o administrador e caso se tenha definido que se ir compilar um novo kernel, o programa de instalao mostrar uma ltima tela informando que ele iniciar a compilao de um novo kernel para a mquina, com base no arquivo de configurao do kernel chamado /usr/src/sys/i386/conf/FIREWALL.
Firewall Aker v5 - Programa de Instalacao Irei agora realizar a compilacao do kernel para instalar o Firewall Aker nesta maquina. Esta compilacao pode levar de 5 a 40 minutos, dependendo sua configuracao e da velocidade de sua maquina. Pressione enter para continuar
15
Ao se pressionar enter, o programa iniciar a compilao do novo kernel. Aps compilar e instalar o novo kernel, ele solicitar que a mquina seja reinicializada para ativar o Firewall Aker. Ao se reinicializar a mquina, o firewall j entrar em funcionamento automaticamente e poder ser configurado remotamente.
Firewall Aker v5 - Programa de Instalacao Este programa realiza a instalacao do Firewall Aker 5 e da interface texto de configuracao local. O Firewall Aker 5 pode ser instalado no kernel distribuido junto com o Linux Red Hat 7.3 ou Conectiva 8 e 9. Desta forma, nao e' necessario recompila-lo. Deseja prosseguir com a instalacao do firewall (S/N) ?
Aps se responder Sim, o programa de instalao mostrar a licena de uso do Firewall Aker. Para se prosseguir, necessrio aceitar todos os termos e condies contidas na licena. Caso sejam aceitos, o programa prosseguir com a instalao mostrando seu progresso atravs de uma srie de mensagens auto-explicativas. Aps terminar de copiar os arquivos, o programa de instalao far algumas perguntas de modo a realizar a configurao especfica para cada sistema. A primeira destas configuraes ser a da chave de ativao do produto. Esta chave o que habilita o produto para seu funcionamento. Sem ela nenhum mdulo do firewall funcionar. Ser mostrada a seguinte tela:
Firewall Aker v5 - Programa de Instalacao Configuracao do sistema completada. E' necessario agora ativar a copia Instalada atraves da digitacao da chave de ativacao que foi entregue ao se adquirir o produto. A chave de ativacao, o nome da empresa e o endereco IP da interface externa deverao ser digitados exatamente como constam no documento entregue pela Aker Consultoria e Informatica ou seu representante.
16
Aps digitar enter, o programa mostrar uma tela solicitando que se digite as informaes contidas no documento fornecido pela Aker Security Solutions ou pelo seu representante autorizado de vendas. Deve-se atentar para digitar todos os campos exatamente como constam no documento. A chave deve ser digitada com os hfens '-' que aparecem no documento original. No nome da empresa, letras maisculas e minsculas so consideradas diferentes e devem ser digitadas exatamente como se encontram no documento original. Um exemplo da entrada dos dados se encontra na tela mostrada abaixo:
Firewall Aker versao 5 Modulo de configuracao da chave de ativacao Nome da empresa: Aker Security Solutions IP da interface externa: 10.0.0.1 Chave de ativacao: 2DBDC612-FA4519AA-BBCD0FF1-129768D3-89BCA59C
Caso a chave seja vlida, o programa prosseguir com a instalao. Caso a chave ou o nome da empresa tenham sido digitados com erro, o programa pedir que sejam novamente digitados. O endereo IP digitado deve ter sido previamente configurado em alguma interface do sistema, caso contrrio o programa no prosseguir com a instalao. Caso a chave tenha sido aceita, a instalao prosseguir. Neste ponto, o programa de instalao procurar por arquivos de configurao da verso 4.5 do Firewall Aker. Caso seja encontrado algum destes arquivos, a seguinte tela ser mostrada:
Firewall Aker v5.0 - Programa de Instalacao Atualizando arquivos da versao 4.5 do Firewall Aker... Atualizando Atualizando Atualizando Atualizando Atualizando Atualizando Atualizando Atualizando Atualizando mensagens e parametros... OK entidades... OK regras de filtragem... OK regras de criptografia... OK conversao de enderecos... OK contextos SMTP... OK perfis de acesso... OK parametros de autenticacao... OK parametros HTTP... OK
17
Atualizando protecao contra SYN Flood... OK Atualizando criptografia de clientes... OK Atualizacao completa. Os arquivos de configuracao da versao 4.5 foram removidos do sistema. Pressione enter para continuar
A atualizao dos arquivos feita automaticamente e de forma a manter toda a configurao existente inalterada. Aps realizada, os arquivos de configurao originais sero removidos do sistema e a seguinte tela ser mostrada:
Firewall Aker v5 - Programa de Instalacao Criando servicos e regras padrao... OK Voce deseja permitir que o firewall envie e receba 'pings', assim como permitir que esses pacotes o atravessem para executar testes iniciais de conectividade (S/N)?
Caso se responda no esta pergunta, o firewall ser instalado atravs de uma poltica deny-all, ou seja, bloqueia todo o trfego de rede, exceto o necessrio para a administrao remota. Aps respondida esta pergunta, uma nova tela ser mostrada:
Firewall Aker v5 - Programa de Instalacao E' necessario se definir o nome da interface de rede externa do firewall Os enderecos IP que se originarem desta interface nao serao contabilizados no numero maximo de licencas do produto. A interface externa deve assumir um dos seguintes valores: eth0 eth1 eth2 Entre a interface externa:
A configurao da interface externa usada apenas para o controle de licenas do firewall. Deve-se informar o nome da interface que estar conectada Internet.
18
A especificao da interface externa no possui nenhuma implicao de segurana. Nenhum controle de acesso feito levando-se em conta esta interface.
Firewall Aker v5 - Programa de Instalacao Ativacao do sistema completada. Vamos agora para a configuracao de alguns parametros do Firewall Aker: Eu posso cadastrar automaticamente um administrador capaz de gerenciar remotamente o firewall. Este administrador tera plenos poderes em relacao firewall e a partir dele novos usuarios poderao ser cadastrados. Obs: Se voce nao cadastrar um administrador nao podera administrar o firewall a partir da interface grafica, apenas atraves da interface texto local. Voce deseja criar este administrador (S/N) ?
Para que seja possvel se administrar o firewall a partir da interface grfica, necessrio se cadastrar um administrador, devendo-se responder S a esta pergunta. De qualquer forma, possvel se cadastrar posteriormente outros administradores atravs das interfaces locais de administrao. A explicao de como fazer isso, se encontra no captulo intitulado Administrando usurios do firewall. Caso se tenha optado por incluir um novo administrador, ser mostrada a tela pedindo os dados do administrador a ser cadastrado. Um exemplo desta tela se encontra abaixo (cabe mencionar que a senha do administrador a ser cadastrado no ser mostrada na tela).
Firewall Aker versao 5 Modulo de administracao de usuarios remotos Inclusao de usuario Entre o login Entre o nome completo Entre a senha Confirme a senha : administrador : Administrador do Firewall Aker : :
19
Aps se ter ou no includo o administrador, ser mostrada uma mensagem indicando o trmino da instalao e solicitando que a mquina seja reinicializada para ativar o Firewall Aker. Ao se reinicializar a mquina, o firewall j entrar em funcionamento automaticamente e poder ser configurado remotamente.
20
Em plataformas Linux
Para instalar a interface remota em plataformas Linux necessrio que os pacotes da biblioteca QT estejam previamente instalados. A interface grfica para plataformas Linux distribuda em pacotes RPM. Para installa, proceda da seguinte forma: 1. Coloque o CD-ROM no drive e monte-o, atravs do comando mount
/mnt/cdrom
3. Aps a apresentao de cerquilhas a interface estar instalada. Os nome do pacote a ser instalado pode mudar conforme a verso do Linux no qual a interface ser instalada. Verifique o contedo do diretrio /mnt/cdrom/br/firewall/gui/ para ver os nomes de todos os pacotes e selecionar o mais adequado.
Em plataformas FreeBSD
Para instalar a interface remota em plataformas FreeBSD necessrio que os pacotes da biblioteca QT estejam previamente instalados. A interface grfica para o FreeBSD ser distribuda em pacotes tbz. Para instalar a interface neste sistema operacional proceda da seguinte forma:
21
1. Coloque o CD-ROM no drive e monte-o, atravs do comando mount /cdrom 2. Execute o comando: pkg_add /cdrom/br/firewall/gui/fwgui-brfreebsd49-5.0_1.tbz
3. Aps o retorno do prompt de comando a interface estar instalada. O nome do pacote a ser instalado pode mudar conforme a verso do FreeBSD no qual a interface ser instalada. Verifique o contedo do diretrio /cdrom/br/firewall/gui/ para ver os nomes de todos os pacotes e selecionar o mais adequado.
22
23
administrador. Detalhes de como fazer isso se encontram no captulo intitulado Administrando Usurios do Firewall.
24
Em mquinas Windows, clicar no menu Iniciar, selecionar o grupo Aker, dentro deste grupo selecionar o sub-grupo Firewall 5 GUI e clicar no cone Firewall Aker 5.0. Em FreeBSD ou Linux, deve-se executar o comando 'fwgui' a partir do prompt do shell ou clicar no cone criado na rea de trabalho (apenas para KDE).
A janela mostrada acima a janela principal do Firewall Aker. a partir dela que se tem acesso a todas as opes de configurao. Ela consiste de 4 menus, descritos brevemente abaixo (quando existe um firewall selecionado, um quinto menu mostrado com opes especficas para o firewall selecionado):
Opes
O menu Opes contm as configuraes relacionadas ao layout da interface grfica. Ao se clicar neste menu, aparecero as seguintes opes:
25
- Rtulos de Botes: marcando esta opo ser mostrada juntamente com cada cone a ao correspondente do boto. Desmarcando esta opo, ser mostrado apenas o cone. - Dicas para Entidades: quando esta opo estiver ativada uma pequena caixa com a descrio de cada entidade ir aparecer quando o mouse for passado sobre seu cone, conforme a figura abaixo.
- Ajuda Rpida: esta opo ativa o help contextual automtico para cada janela. - Mostrar cones nos botes: esta opo, se ativada, faz com que sejam mostrados cones nos botes Ok, Cancelar e Aplicar das janelas. - Sair: fecha a janela da interface grfica.
Firewalls
Este menu serve para se cadastrar mais firewalls na interface grfica de modo a possibilitar a administrao de diversos Firewalls Aker simultaneamente. Com a interface conectada a mais de um firewall simultaneamente, possvel se usar a facilidade de arrastar-e-soltar as entidades e regras entre firewalls, de modo a facilitar a replicao de determinadas configuraes entre eles. Este menu ser descrito em detalhes mais abaixo.
Janelas
Este menu possui as funes de configurao das janela abertas e da barra de menu. - Barra de ferramentas: esta opo permite que se defina se a barra de ferramentas na parte superior da janela principal ser mostrada ou no. - Janelas: esta opo permite que se mostre ou no as janelas padro do sistema: ajuda, firewalls e entidades. - Lado a Lado: selecionando esta opo, as janelas abertas do lado direito da interface grfica se ajustam de forma que todas aparecem visveis. - Cascata: esta opo faz com que as janelas abertas no lado direito da interface grfica fiquem posicionadas em forma de cascata, uma na frente da outra. Inicialmente, nem todas as opes dos menus se encontram habilitadas, por funcionarem apenas quando houver uma conexo estabelecida. Para se ter acesso s demais opes necessrio que se estabelea uma sesso de administrao remota com o firewall que se deseja administrar. Para tanto deve-se seguir os seguintes passos:
Cadastrar o firewall selecionando-se o menu Firewalls e a opo Novo Firewall (veja o item Cadastrando Firewalls logo a seguir) 26
Cadastrando Firewalls Nesta seo demonstraremos como podemos cadastrar um (ou mais) firewalls. Quando selecionamos a opo Novo Firewall dentro do menu Firewalls ou no cone "Criar novo Firewall" aparecer a seguinte janela:
- Modo de demonstrao: caso esta opo for marcada, ser criado um firewall de demonstrao, com uma configurao padronizada. Nenhuma conexo real ser feita ao se tentar conectar neste firewall, podendo-se criar quantos firewall de demonstrao for desejado, cada um com sua configurao distinta do outro; - Nome: este campo usado para se cadastrar o nome pelo qual o firewall ser referenciado na interface grfica; - Endereo: campo para cadastrar o endereo IP o qual nos conectaremos no firewall; - Usurio: o usurio que acessar o firewall. Este campo serve para que no precisemos digitar o usurio quando quisermos acessar o firewall, j que ficar gravado. - Senha: a senha do usurio. Caso deixe a caixa Salvar senha marcada, no ser necessrio digitar a senha quando fizer a conexo (a senha aparecer na tela como vrios asteriscos "*"). Caso ela esteja desmarcada, este campo estar desabilitado. No final basta clicar em Ok e o firewall estar cadastrado. No caso de cancelar o cadastro do firewall, basta clicar em Cancelar.
27
Depois de cadastrarmos o firewall, podemos clicar duas vezes no cone do firewall criado, no lado esquerdo da janela, ou clicar uma vez para selecion-lo e, em seguida, no boto Conectar que far com que a interface se conecte ao firewall escolhido, como mostrado na figura abaixo:
Caso no seja possvel estabelecer a sesso de administrao, ser mostrada uma janela com o erro que impossibilitou sua abertura. Neste caso, existem vrias mensagens possveis. Abaixo esto listadas as mensagens de erro mais comuns:
O Firewall Aker s permite a existncia de uma sesso de administrao em um determinado instante. Se esta mensagem for mostrada, significa que j existe uma outra interface remota conectada ou um mdulo de administrao local sendo utilizado.
Este um erro genrico e pode ter uma srie de causas. A sua causa mais comum um erro na digitao do login ou da senha. Se o login do usurio no estiver cadastrado ou sua senha estiver errada, o servidor encerrar a conexo. Verifique primeiramente se seu login e sua senha foram digitados corretamente. Caso o erro continue, siga a seguinte seqncia de passos:
28
1. Verifique se o usurio que est tentando se conectar est cadastrado no sistema e a sua senha est correta (para fazer isso, utilize o mdulo local de administrao de usurios. Veja o captulo intitulado Administrando usurios do firewall). 2. Verifique se a rede est funcionando corretamente. possvel se fazer isso de vrias formas, uma delas utilizando o comando ping. (No se esquea de acrescentar uma regra liberando os servios ICMP echo request e echo reply para a mquina que se est testando em direo ao firewall, caso se v utilizar o ping. Para aprender como fazer isso, veja o captulo intitulado O Filtro de Estados). Se isso no funcionar, ento a rede est com problemas de conectividade e isto deve ser corrigido antes de se tentar a administrao remota. Caso funcione, veja o passo 3. 3. Verifique se existe uma regra cadastrada liberando o acesso a partir da mquina que se deseja conectar para o firewall, utilizando o servio Aker (TCP, porta 1020). Caso no exista, insira esta regra (para aprender como fazer isso, veja o captulo intitulado O Filtro de Estados)
29
- Clicando em Desconectar do firewall na barra de ferramentas ou - Fechando a interface grfica remota. Neste caso voc perder a conexo com todos os firewalls que estiverem conectados. Caso se deseje sair do programa, basta clicar no boto Sair na barra de ferramentas da janela principal ou clicar no "x" no canto superior direito da janela.
30
Selecionar o firewall a ser configurado Clicar em Ferramentas Clicar duas vezes em Mudar senha.
Deve-se digitar a senha anterior no campo Senha antiga e digitar a nova senha nos campos Nova senha e Confirmar a nova senha (as senhas aparecero na tela como vrios asteriscos "*"). Aps preencher os campos, deve-se pressionar o boto OK, para alterar a senha ou o boto Cancelar, caso no se deseje mud-la.
31
Selecionar o firewall a ser configurado Clicar em Informao Clicar duas vezes em Informao de sesso.
32
33
34
Clicar em Configuraes do Sistema da janela do firewall que se quer administrar Selecionar o item Administrao de Usurios
Esta opo s estar habilitada se o usurio que estiver com a sesso aberta na interface remota tiver autoridade para gerenciar usurios. Isto ser comentado em detalhes no prximo tpico.
35
Esta janela consiste de uma lista de todos os usurios atualmente definidos para acesso administrao do firewall. Para cada usurio, mostrado seu login, seu nome completo e suas permisses.
O boto OK far com que a janela de administrao de usurios seja fechada e as modificaes salvas. O boto Aplicar far com que as alteraes realizadas sobre um determinado usurio sejam aplicadas, isto , realizadas permanentemente, sem fechar a janela. O boto Cancelar fechar a janela de administrao de usurios e descartar todas as alteraes efetuadas. Quando um usurio for selecionado, os seus atributos completos sero mostrados nos campos Permisses.
Para se alterar os atributos de um usurio, deve-se proceder da seguintes forma: 1. Seleciona-se o usurio a ser alterado clicando sobre seu nome com o boto esquerdo do mouse. Neste momento sero mostrados os seus atributos nos campos aps a listagem de usurios. 2. Altera-se o valor dos atributos desejados e clica-se no boto Aplicar ou no boto OK. A partir deste momento as alteraes sero efetivadas. Para se incluir um usurio na lista, deve-se proceder da seguinte forma: 1. Clica-se com o boto direito do mouse em qualquer lugar da rea reservada para mostrar a lista (aparecer o boto Inserir) e seleciona-se a opo Incluir no menu pop-up ou clica-se no cone que representa a incluso na barra de ferramentas. 2. Preenche-se os campos do usurio a ser includo e clica-se no boto Aplicar ou no boto OK. Para se remover um usurio da lista, deve-se proceder da seguinte forma: 1. Seleciona-se o usurio a ser removido, clicando sobre seu nome com o boto esquerdo do mouse, e clica-se no cone que representa a remoo na barra de ferramentas. ou 2. Clica-se com o boto direito do mouse sobre o nome do usurio a ser removido e seleciona-se a opo Excluir no menu pop-up. Significado dos atributos de um usurio
Acesso
a identificao do usurio para o firewall. No podem existir dois usurios com o mesmo login. Este login ser pedido ao administrador do firewall quando este for estabelecer uma sesso de administrao remota. O login deve ter entre 1 e 14 caracteres. No h diferenas entre letras maisculas e minsculas neste campo. 36
Nome
Este campo contm o nome completo do usurio associado ao login. Ele tem objetivos puramente informacionais, no sendo usado para qualquer validao. Este nome deve ser um conjunto de caracteres de comprimento entre 0 e 40.
Senha
Este campo ser usado em conjunto com o campo login para identificar um usurio perante o Firewall Aker. Ao se digitar a senha, sero mostrados na tela asteriscos "*" ao invs das letras. O campo senha deve ter no mximo 14 caracteres. Seu tamanho mnimo configurvel atravs da janela de parmetros da interface (para maiores informaes veja o tpico Configurando os parmetros da interface). Neste campo, letras maisculas e minsculas so consideradas diferentes. extremamente importante que as senhas usadas tenham um comprimento grande, o mais prximo possvel do limite de 14 caracteres. Alm disso, deve-se sempre utilizar uma combinao de letras minsculas, maisculas, nmeros e caracteres especiais nas senhas (caracteres especiais so aqueles encontrados no teclado dos computadores e que no so nmeros nem letras: "$", "&", "]", etc). Nunca use como senhas palavras em qualquer idioma ou apenas nmeros.
Confirmao
Este campo serve para que se confirme a senha digitada no campo anterior, uma vez que esta aparece como asteriscos.
Permisses
Este campo define o que um usurio pode fazer dentro do Firewall Aker. Ele consiste de trs opes que podem ser marcadas independentemente. O objetivo destas permisses possibilitar a criao de uma administrao descentralizada para o firewall. possvel por exemplo, numa empresa que possua vrios departamentos e vrios firewalls, deixar um administrador responsvel pela configurao de cada um dos firewalls e um responsvel central com a tarefa de supervisionar a administrao. Este supervisor seria a nica pessoa capaz de apagar e alterar a configurao de log e eventos dos firewalls. Desta forma, apesar de cada departamento ter autonomia de administrao, possvel se ter um controle central do que cada administrador alterou na configurao e quando ele realizou cada alterao. Isto um recurso muito importante para se realizar auditorias internas, alm de aumentar a segurana da administrao. Caso um usurio no possua nenhum atributo de autoridade ento este ter permisso apenas para visualizar a configurao do firewall e compactar os arquivos de log e de eventos. 37
Configurao do Firewall
Se esta permisso estiver marcada, o usurio em questo poder administrar o firewall, isto , alterar a configurao das entidades, regras de filtragem, converso de endereos, criptografia, proxies e parmetros de configurao que no estejam relacionados ao log.
Configurao do Log
Se esta opo estiver marcada, o usurio em questo ter poderes para alterar os parmetros relacionados ao log (como por exemplo, tempo de permanncia do log), alterar a configurao da janela de aes (tanto as mensagens quanto os parmetros) e apagar permanentemente o log e os eventos.
Controle de Usurios
Se esta opo estiver marcada, o usurio em questo ter acesso janela de administrao de usurios, podendo incluir, editar e excluir outros usurios. Um usurio que possuir esta autoridade somente poder criar, editar ou excluir usurios com autoridades iguais ou menores s que ele possuir (por exemplo, se um usurio tiver poderes de gerenciar usurios e configurar log, ento ele poder criar usurios que no possuam nenhuma autoridade, que somente possam configurar o log, que somente possam criar novos usurios ou que possam gerenciar usurios e configurar log. Ele no poder nunca criar, nem editar ou excluir, um usurio que possa configurar o firewall)
38
Para executar qualquer uma das opes mostradas, basta se digitar a letra mostrada em negrito. Cada uma das opes ser mostrada em detalhes abaixo:
Esta opo permite a incluso de um novo usurio que poder administrar o Firewall Aker remotamente. Ao ser selecionada, ser mostrada uma tela pedindo as diversas informaes do usurio. Aps todas as informaes serem preenchidas, ser pedida uma confirmao para a incluso do usurio.
39
Observaes importantes: 1. Nos campos onde aparecem as opes (S/N), deve-se digitar apenas S, para sim e N para no. 2. A senha e a confirmao das senhas no sero mostradas na tela.
Esta opo remove um usurio que esteja cadastrado no sistema. Ser pedido o login do usurio a ser removido. Se o usurio realmente estiver cadastrado, ser pedida a seguir uma confirmao para realizar a operao.
40
Esta opo permite com que se altere a senha de um usurio j cadastrado no sistema. Ser pedido o login do usurio e caso este exista, sero pedidas a nova senha e a confirmao desta nova senha (conforme j comentado anteriormente, a senha e a confirmao no sero mostradas na tela).
Esta opo mostra uma lista com o nome e as permisses de todos os usurios autorizados a administrar remotamente o firewall. Um exemplo de uma possvel listagem de usurios a seguinte:
O campo permisses consiste de 3 possveis valores: CF, CL, e GU, que correspondem s permisses de Configura Firewall, Configura Log e Gerencia Usurios, respectivamente. Se um usurio possuir uma permisso, ela ser mostrada com o cdigo acima, caso contrrio ser mostrado o valor --, indicando que o usurio no a possui.
41
Esta opo no est presente na interface grfica e no possui uso freqente. Ela serve para compactar o arquivo de usurios, removendo entradas no mais usadas. Ele somente deve ser usada quando for removido um grande nmero de usurios do sistema. Ao ser selecionada, o arquivo ser compactado e ao final ser mostrada uma mensagem indicando que a operao foi completada (a compactao do arquivo costuma ser uma operao bastante rpida, durando poucos segundos).
Sai do fwadmin
42
Clicar no menu Configuraes do Sistema da janela do firewall que se quer administrar. Selecionar o item Parmetros de Configurao
43
O boto OK far com que a janela de configurao de parmetros seja fechada e as alteraes efetuadas aplicadas. O boto Cancelar far com que a janela seja fechada porm as alteraes efetuadas no sejam aplicadas. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta
Aba Global
Nesta janela, estes parmetros so utilizados pelo filtro de estados e pelo conversor de endereos. Eles consistem dos seguintes campos: Interface Externa: Define o nome da interface externa do firewall. Conexes que vierem por esta interface no contaro na licena. Valor padro: Configurado durante a instalao do firewall pelo administrador.
44
Tempo limite TCP: Define o tempo mximo, em segundos, que uma conexo TCP pode permanecer sem trfego e ainda ser considerada ativa pelo firewall. Seu valor pode variar de 0 a 30000. Valor padro: 900 segundos. Tempo limite UDP: Define o tempo mximo, em segundos, que uma conexo UDP pode permanecer sem trfego e ainda ser considerada ativa pela firewall. Seu valor pode variar de 0 a 30000. Valor padro: 180 segundos. Estes campos so de vital importncia para o correto funcionamento do firewall: valores muito altos podero causar problemas de segurana para servios baseados no protocolo UDP, faro com que o sistema utilize mais memria e o tornaro mais lento. Valores muito baixos podero causar constantes quedas de sesso e o mau funcionamento de alguns servios. GUI Tempo limite de sesso: Define o tempo mximo, em segundos, que a interface permanecer conectada ao firewall sem receber nenhum comando do administrador. Assim que este tempo limite for atingido, a interface automaticamente se desconectar do firewall, permitindo que uma nova sesso seja estabelecida. Seu valor pode variar entre 30 e 3600. A caixa "Sem limite" quando estiver marcada no desconectar a interface do firewall. Valor padro: 600 segundos. Tamanho mnimo de senha: Define o nmero mnimo de caracteres que as senhas dos administradores devem ter para serem aceitas pelo sistema. Seu valor pode variar entre 4 e 14 caracteres. Valor padro: 6 caracteres. importante que este valor seja o maior possvel, de modo a evitar a utilizao de senhas que possam ser facilmente quebradas. Servidor NTP (Network Time Protocol): Define o servidor de tempo que ser utilizado pelo firewall para sincronizar seu relgio interno. (Este campo s aparece para os Firewall Box) Endereos fixos de configurao remota: So endereos que, independentemente de regras e de extrapolao dos limites de licenas, podem administrar o firewall (isto conectar na porta 1020). Eles servem como medida de preveno anti-bloqueio do firewall, uma vez que s podem ser configurados via interface texto. Aba Log
45
Local: Indica que o log/eventos/estatsticas devem ser salvos em um disco local, na mquina onde o firewall estiver rodando. Tempo de vida no log / eventos / estatstica: Os registros de log, eventos e estatsticas do firewall so mantidos em arquivos dirios. Esta configurao define o nmero mximo de arquivos que sero mantidos pelo sistema, em caso de log local. Os valores possveis vo de 1 a 365 dias. Valor padro: 7 dias No caso de utilizao de log remoto essas opes estaro desabilitadas e devero ser configuradas no prprio servidor remoto Remoto: Esta opo indica que o log/eventos/estatsticas devero ser enviados para um servidor de log remoto ao invs de serem gravados no disco local. Com isso, o controle de diversos firewalls pode ser centralizado, facilitando a auditoria. Servidor de Log Remoto: Esta opo indica o servidor de log remoto para o qual o log/eventos/estatsticas sero enviados. Logar Traduo de Endereo de Rede (NAT): Habilita o registro no log do sistema das converses de endereos feitas pelo firewall. Valor padro: Converses de endereo no devem ser logadas
46
Mesmo com esta opo ativa, somente sero logados os pacotes convertidos atravs das converses 1:N e N:1. As converses por outros tipos de regras no sero registradas. A ativao desta opo no traz nenhuma informao importante e deve ser utilizada apenas para fim de testes ou para se tentar resolver problemas. Logar syslog do Unix: Habilita o envio do log e dos eventos do firewall para o daemon de log do Unix, o syslogd. Valor padro: No envia log para o syslogd Caso se habilite esta opo, os registros de log sero enviados para a fila local0 e os de eventos para a fila local1. Esta opo no altera em nada o registro interno do log e dos eventos realizado pelo prprio firewall. Aba Segurana
Parmetros de Segurana Permitir pacotes de roteamento por origem: Habilita a passagem de pacotes que tenham a opo de registro de rota ou de roteamento dirigido. Se esta opo estiver desmarcada, pacotes com alguma destas opes no podero trafegar. Valor padro: Pacotes IP direcionados no so permitidos.
47
Cabe ressaltar que a aceitao de pacotes com qualquer uma das opes mostradas acima pode causar uma falha sria de segurana. A no ser que se tenha uma razo especfica para deix-los passar, deve-se manter esta opo desmarcada. Suporte FTP: Habilita o suporte especfico para o protocolo FTP. Valor padro: Suporte FTP est habilitado Este parmetro faz com que o firewall trate o protocolo FTP de forma especial, de modo a permitir que ele funcione transparentemente para todas as mquinas clientes e servidoras, internas ou externas. A menos que no se pretenda usar FTP atravs do firewall, esta opo deve estar marcada. Suporte Real Audio: Habilita o suporte para os protocolos Real Audio e Real Video. Valor padro: Suporte Real Audio est habilitado Este parmetro faz com que o firewall trate o protocolo Real Audio / Real Video de forma especial, de modo a permitir que ele funcione transparentemente usando conexes TCP e UDP. A menos que no se pretenda usar o Real Audio ou se pretenda utiliz-lo apenas com conexes TCP, esta opo deve estar marcada. Suporte a RTSP: Habilita o suporte para o protocolo RTSP. Valor padro: Suporte RTSP est habilitado O RTSP (Real Time Streaming Protocol) um protocolo que atua a nvel de aplicao e ajuda a prover um certo arranjo que permite a entrega controlada de dados de tempo real, como udio e vdeo. Fontes de dados podem incluir programas ao vivo (com udio e vdeo) ou algum contedo armazenado (eventos pr-gravados). Ele projetado para trabalhar com protocolos como o RTP, HTTP e/ou outro que de suporte a mdia continuas sobre a Internet. Ele suporta trfego multicast bem como unicast. E tambm suporta interoperabilidade entre clientes e servidores de diferentes fabricantes. Este parmetro faz com que o firewall trate o protocolo de forma especial, de modo a permitir que ele funcione transparentemente usando conexes TCP e UDP.
Aba SNMP
48
Parmetros de SNMP
Comunidade de leitura: Este parmetro indica o nome da comunidade que est autorizada a ler dados do firewall via SNMP. Caso este campo esteja em branco, nenhuma mquina estar autorizada a l-los. Valor padro: campo em branco Comunidade de escrita: Este parmetro indica o nome da comunidade que est autorizada a alterar dados do firewall via SNMP. Caso este campo esteja em branco, nenhuma mquina estar autorizada a alter-los. Valor padro: campo em branco Mesmo com uma comunidade de escrita definida, por razes de segurana, somente podero ser alterados algumas variveis do grupo system. Aba Monitoramento
49
Quando se utiliza converso 1-N, ou seja, balanceamento de canal, possvel se configurar o tipo de monitoramento a ser realizado pelo firewall para verificar se as mquinas participantes do balanceamento esto no ar. Os parmetros de monitoramento permitem que se modifique os intervalos de tempo de monitoramento, de modo a ajustlos melhor a cada ambiente. Monitoramento via ping Esses parmetros configuram os tempos utilizados pelo firewall para realizar o monitoramento via pacotes ICMP Echo Request e Echo Reply. So eles: Intervalo de ping: Esse campo define de quanto em quanto tempo, em segundos, ser enviado um ping para as mquinas sendo monitoradas. Seu valor pode variar entre 1 e 60 segundos. Valor padro: 2 segundos. Tempo limite de resposta: Esse campo define o tempo mximo, em segundos, que uma mquina pode permanecer sem responder aos pacotes de ping enviados pelo firewall e ainda ser considerada ativa. Seu valor pode variar entre 2 e 120 segundos. Valor padro: 8 segundos. Tempo de ativao: Esse campo define o tempo, em segundos, que o firewall ir esperar, aps receber um pacote de resposta de uma mquina anteriormente fora do ar, 50
at consider-la novamente ativa. Esse intervalo de tempo necessrio pois normalmente uma mquina responde a pacotes ping antes de estar com todos os seus servios ativos. Seu valor pode variar entre 1 e 60 segundos. Valor padro: 10 segundos. Monitoramento via http Esses parmetros configuram os tempos utilizados pelo firewall para realizar o monitoramento via requisies HTTP. So eles: Tempo limite de requisio: Esse campo define de quanto em quanto tempo, em segundos, o firewall requisitar a URL especificada pelo administrador para cada mquina sendo monitorada. Seu valor pode variar entre 1 e 300 segundos. Valor padro: 5 segundos. Tempo limite de resposta: Esse campo define o tempo mximo, em segundos, que uma mquina sendo monitorada poder levar para responder requisio do firewall e ainda ser considerada ativa. Seu valor pode variar entre 2 e 300 segundos. Valor padro: 15 segundos.
51
52
-----------------------ip_direcionado : nao suporte_ftp : sim suporte_real_audio: sim suporte_rtsp : sim end_remoto : 1) 10.0.0.1 Parametros de configuracao de log: ---------------------------------loga_conversao : nao loga_syslog : nao permanencia_log : 7 dias permanencia_event : 7 dias permanencia_stat : 7 dias Parametros de configuracao de SNMP: ----------------------------------comunidade_leitura: comunidade_escrita:
2) 10.0.0.2
3)10.0.0.3
53
Definindo entidades
Antes de explicar como cadastrar entidades no Firewall Aker, necessrio uma breve explicao sobre os tipos de entidades possveis e o que caracteriza cada uma delas. Existem 6 tipos diferentes de entidades no Firewall Aker: mquinas, redes, conjuntos, servios, autenticadores e interfaces. As entidades do tipo mquina e rede, como o prprio nome j diz, representam mquinas individuais e redes, respectivamente; entidades do tipo conjunto representam uma coleo de mquinas e redes, em qualquer nmero; entidades do tipo servio representam um servio a ser disponibilizado atravs de um protocolo qualquer que rode em cima do IP; entidades do tipo autenticador representam um tipo especial de mquina que pode ser utilizada para realizar autenticao de usurios; por ltimo, entidades do tipo interface representam uma interface de rede do firewall. Por definio, o protocolo IP, exige que cada mquina possua um endereo diferente. Normalmente, estes endereos so representados da forma byte a byte, como por exemplo 172.16.17.3. Desta forma, pode-se caracterizar unicamente uma mquina em qualquer rede IP, incluindo a Internet, com apenas seu endereo.
54
Para definir uma rede, necessrio uma mscara alm do endereo IP. A mscara serve para definir quais bits do endereo IP sero utilizados para representar a rede (bits com valor 1) e quais sero utilizados para representar as mquinas dentro da rede (bits com valor 0). Assim, para representar a rede cujas mquinas podem assumir os endereos IP de 192.168.0.1 a 192.168.0.254, deve-se colocar como rede o valor 192.168.0.0 e como mscara o valor 255.255.255.0. Esta mscara significa que os 3 primeiros bytes sero usados para representar a rede e o ltimo byte ser usado para representar a mquina. Para se verificar se uma mquina pertence a uma determinada rede, basta fazer um E lgico da mscara da rede, com o endereo desejado e comparar com o E lgico do endereo da rede com sua mscara. Se eles forem iguais, a mquina pertence rede, caso contrrio no. Vejamos dois exemplos: Suponha que desejamos verificar se a mquina 10.1.1.2 pertence rede 10.1.0.0, mscara 255.255.0.0. Temos:
10.1.0.0 E 255.255.0.0 = 10.1.0.0 (para a rede) 10.1.1.2 E 255.255.0.0 = 10.1.0.0 (para o endereo)
Temos ento que os dois endereos so iguais aps a aplicao da mscara, portanto a mquina 10.1.1.2 pertence rede 10.1.0.0. Suponha agora que desejamos saber se a mquina 172.16.17.4 pertence rede 172.17.0.0, mscara 255.255.0.0. Temos:
172.17.0.0 E 255.255.0.0 = 172.17.0.0 (para a rede) 172.16.17.4 E 255.255.0.0 = 172.16.0.0 (para o endereo)
Como os endereos finais so diferentes, temos que a mquina 172.16.17.4 no pertence rede 172.17.0.0 Caso seja necessrio definir uma rede onde qualquer mquina seja considerada como pertencente a ela (ou para especificar qualquer mquina da Internet), basta-se colocar como endereo IP desta rede o valor 0.0.0.0 e como mscara o valor 0.0.0.0. Isto bastante til na hora de se disponibilizar servios pblicos, onde todas as mquinas da Internet tero acesso. Toda a vez que ocorre uma comunicao entre duas mquinas, usando o protocolo IP, esto envolvidos no apenas os endereos de origem e destino, mas tambm um protocolo de nvel mais alto (nvel de transporte) e algum outro dado que identifique a comunicao unicamente. No caso dos protocolos TCP e UDP (que so os dois mais utilizados sobre o IP), uma comunicao identificada por dois nmeros: a Porta Origem e a Porta Destino. A porta destino um nmero fixo que est associada, geralmente, a um servio nico. Assim, temos que o servio Telnet est associado com o protocolo TCP na porta 23, o servio FTP com o protocolo TCP na porta 21 e o servio SNMP com o protocolo UDP na porta 161, por exemplo. A porta origem um nmero sequencial escolhido pelo cliente de modo a possibilitar que exista mais de uma sesso ativa de um mesmo servio em um dado instante. Assim,
55
uma comunicao completa nos protocolos TCP e UDP pode ser representada da seguinte forma:
10.0.0.1 1024 -> 10.4.1.2 23 TCP ---------------------------------------------------------------------Endereo origem Porta origem Endereo destino Porta destino Protocolo
Para um firewall, a porta de origem no importante, uma vez que ela randmica. Devido a isso, quando se define um servio, leva-se em considerao apenas a porta de destino. Alm dos protocolos TCP e UDP, existe um outro protocolo importante, o ICMP. Este protocolo utilizado pelo prprio IP para enviar mensagens de controle, informar sobre erros e testar a conectividade de uma rede. O protocolo ICMP no utiliza o conceito de portas. Ele usa um nmero que varia de 0 a 255 para indicar um Tipo de Servio. Como o tipo de servio caracteriza unicamente um servio entre duas mquinas, ele pode ser usado como se fosse a porta destino dos protocolos TCP e UDP na hora de definir um servio. Por ltimo, existem outros protocolos que podem rodar sobre o protocolo IP e que no so TCP, UDP ou ICMP. Cada um destes protocolos tem formas prprias para definir uma comunicao e nenhum deles utilizado por um grande nmero de mquinas. Ainda assim, o Firewall Aker optou por adicionar suporte para possibilitar ao administrador controle sobre quais destes protocolos podem passar atravs do firewall e quais no. Para entender como isso feito, basta se saber que cada protocolo tem um nmero nico que o identifica para o protocolo IP. Este nmero varia de 0 a 255. Desta forma, podemos definir servios para outros protocolos usando o nmero do protocolo como identificao do servio.
56
aplicaes que tradicionalmente consomem muita banda, podem ter seu uso controlado. As entidades do tipo Canal so utilizadas para este fim e sero explicadas logo abaixo.
57
Clicar no meu Configurao do Firewall da janela do firewall que se quer administrar; Selecionar o item Entidades (a janela ser mostrada abaixo da janela com os menus de configurao dos firewalls).
58
A janela de cadastro de entidades onde so cadastradas todas as entidades do Firewall Aker, independente do seu tipo. Esta janela, por ser constantemente utilizada em praticamente todas as demais configuraes do firewall, normalmente mostrada sempre aberta, abaixo da janela com os menus de configurao de cada firewall. Dica: possvel se posicionar a janela de entidades como se fosse uma janela comum, bastando para isso clicar sobre sua barra de ttulo e arrast-la para a posio desejada. Nesta janela esto desenhados oito cones, em forma de rvore, que representam os oito tipos de entidades possveis de serem criados. Dica: Para visualizar as entidades criadas s clicar no sinal de + e as entidades ficaro listadas logo abaixo do logotipo. Para se cadastrar uma nova entidade, deve-se proceder da seguinte forma: 1. Clica-se uma vez no cone correspondente entidade do tipo que se deseja criar com o boto direito do mouse e seleciona-se a opo Nova no menu pop-up ou 2. Clica-se no cone correspondente entidade do tipo que se deseja criar e pressiona-se a tecla Insert. Para se editar ou excluir uma entidade, deve-se proceder da seguinte forma: 1. Seleciona-se a entidade a ser editada ou excluda (se necessrio, expande-se a lista do tipo de entidade correspondente) 2. Clica-se com o boto direito do mouse e seleciona-se a opo Editar ou Excluir, respectivamente, no menu pop-up que aparecer. ou 3. Clica-se no cone correspondente entidade do tipo que se deseja criar e pressiona-se a tecla Delete. No caso das opes Editar ou Incluir, aparecer a janela de edio de parmetros da entidade a ser editada ou includa. Esta janela ser diferente para cada um dos tipos possveis de entidades.
59
O cone , localizado na parte inferior da janela aciona o assistente de cadastramento de entidades que ser descrito no final deste captulo. A janela de alerta de excluso de entidades
Sempre que uma entidade estiver prestes a ser apagada, o sistema ir checar se existe alguma dependncia da mesma na configurao, de modo a manter a integridade do firewall. Se existir qualquer dependencia, ser mostrada uma lista de aes que sero executadas automaticamente pelo sistema, de modo a possibilitar que o administrador decida se quer proceder ou no com a remoo.
Para se cadastrar uma entidade do tipo mquina, necessrio preencher os seguintes campos: Nome: o nome atravs do qual a mquina ser referenciada daqui em diante pelo firewall. possvel se especificar este nome manualmente ou deixar que o ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois 60
modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so, portanto, consideradas diferentes. cone: o cone que aparecer associado mquina em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento mostrar uma lista com todos os possveis cones para representar mquinas. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no se deseje alter-lo aps ver a lista, basta clicar no boto Cancelar. IP: o endereo IP da mquina a ser criada. Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao da mquina. Para cancelar as alteraes realizadas ou a incluso, deve-se pressionar o boto Cancelar. Para facilitar a incluso de vrias mquinas seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que a mquina cujos dados foram preenchidos seja includa e a janela de incluso de mquinas mantida aberta, pronta para uma nova incluso. Desta forma, possvel se cadastrar rapidamente um grande nmero de mquinas.
Para se cadastrar uma entidade do tipo rede, necessrio preencher os seguintes campos: Nome: o nome atravs do qual a rede ser referenciada daqui em diante pelo firewall. possvel se especificar este nome manualmente ou deixar que o ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual.
61
Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so, portanto, consideradas diferentes. cone: o cone que aparecer associado rede em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento mostrar uma lista com todos os possveis cones para representar redes. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no se deseje alter-lo aps ver a lista, basta clicar no boto Cancelar. IP: o endereo IP da rede a ser criada. Mscara: a mscara da rede a ser definida. Intervalo: Este campo mostra a faixa de endereo IP a que pertence a rede e realiza uma crtica quanto a mscara que est sendo cadastrada, ou seja no permite cadastramento de mscaras erradas. Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao da rede. Para cancelar as alteraes realizadas ou a incluso, devese pressionar o boto Cancelar. Para facilitar a incluso de vrias redes seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que a rede cujos dados foram preenchidos seja includa e a janela de incluso de redes mantida aberta, pronta para uma nova incluso. Desta forma, possvel se cadastrar rapidamente um grande nmero de redes.
62
Para se cadastrar uma entidade do tipo conjunto, necessrio preencher os seguintes campos: Nome: o nome atravs do qual o conjunto ser referenciado daqui em diante pelo firewall. possvel se especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so, portanto, consideradas diferentes. cone: o cone que aparecer associado ao conjunto em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento mostrar uma lista com todos os possveis cones para representar conjuntos. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no se deseje alter-lo aps ver a lista, basta clicar no boto Cancelar. Aps preencher o nome e escolher o cone para o conjunto, necessrio se definir quais mquinas e redes faro parte do mesmo, atravs dos seguintes passos: 1. Clica-se com o boto direito do mouse no campo em branco e seleciona-se a opo Adicionar Entidades (a entidade pode ser adicionada clicando-se duas vezes sobre ela ou clicando uma vez e logo abaixo em Adicionar). ou 2. Clica-se e sobre a entidade que se desejar incluir, arrasta-se e solta-se ela dentro da janela de entidades do conjunto.
63
Para se remover uma rede ou mquina do conjunto, deve-se proceder da seguinte forma: 1. Clica-se com o boto direito do mouse sobre a entidade a ser removida e seleciona-se a opo Remover. ou 2. Clica-se na mquina ou rede a ser removida e pressiona-se a tecla Delete. Aps todos os campos estarem preenchidos e todas as redes e mquinas que devem fazer parte do conjunto selecionadas, deve-se clicar no boto OK para realizar a incluso ou alterao do conjunto. Para cancelar as alteraes realizadas ou a incluso, deve-se pressionar o boto Cancelar. Para facilitar a incluso de vrios conjuntos seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que o conjunto cujos dados foram preenchidos seja includo e a janela de incluso de conjuntos mantida aberta, pronta para uma nova incluso. Desta forma, possvel se cadastrar rapidamente um grande nmero de conjuntos.
64
Existem 8 diferentes tipos de agentes externos, cada um responsvel por um tipo distinto de tarefas:
Agentes Antivrus
Os agentes antivrus so utilizados pelo proxy SMTP, POP3 e Proxy WWW para realizar a checagem e desinfeco de virus de forma transparente em e-mails e nos downloads FTP e HTTP.
Agentes IDS
Os agentes IDS (Intrusion Detection Systems - Sistemas detetores de intruso) so sistemas que ficam monitorando a rede em tempo real procurando por padres conhecidos de ataques ou abusos. Ao detectar uma destas ameaas, ele pode incluir uma regra no firewall que bloquear imediatamente o acesso do atacante.
Analisadores de contexto
Os analisadores de contexto so utilizados pelo proxy WWW para controlar o acesso a URLs baseados em diversas categorias pr-configuradas.
Autenticadores
Os agentes de autenticao so utilizados para se fazer autenticao de usurios no firewall utilizando usuarios/senhas de bases de dados de diversos sistemas operacionais (Windows NT, Linux, etc).
Autenticador Radius
O autenticador Radius so utilizados para se fazer autenticao de usurios no firewall a partir de uma base Radius.
Autenticadores Token
Os autenticadores token so utilizados para se fazer autenticao de usurios no firewall utilizando SecurID(R) , Alladin e outros.
Autoridade certificadora
65
Autoridades certificadoras so utilizadas para se fazer autenticao de usurios atravs de PKI, com o uso de Smart Cards e para autenticao de firewalls com criptografia IPSEC.
Autenticadores LDAP
O autenticador LDAP permite ao firewall autenticar usurio usando uma base LDAP compatvel com o protocolo X500.
Os servidores de log remoto so utilizados pelo firewall para enviar o log para armazenamento em uma mquina remota. possvel a instalao de diversos agentes externos em uma mesma mquina, desde que cada um seja de um tipo distinto. Para se cadastrar um agente externo deve-se inicialmente selecionar seu tipo, abrindo o diretrio de Agentes Externos. Independemente de seu sub-tipo, todos os agentes externos possuem os seguintes campos (os demais campos sero ento modificados de acordo com o tipo do agente a ser cadastrado): Nome: o nome atravs do qual o agente ser referenciado daqui em diante pelo firewall. possvel se especificar este nome manualmente ou deixar que o ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so, portanto, consideradas diferentes. cone: o cone que aparecer associado ao agente em todas as referncias. Para alterlo, basta clicar sobre o desenho do cone atual. O firewall ento mostrar uma lista com todos os possveis cones para representar agentes do sub-tipo selectionado. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no se deseje alter-lo aps ver a lista, basta clicar no boto Cancelar.
Para se cadastrar um agente externo do tipo Autenticador ou Autenticador Token, necessrio preencher os seguintes campos adicionais:
66
IP: o endereo IP da mquina onde o agente est rodando. Backup e Backup 2: Estes campos permitem com que se especifique at dois endereos de outras mquinas que tambm estaro rodando o agente e que serviro como backup no caso de quedas da mquina principal. A mquina principal e as de backup devero compartilhar uma mesma base de usurios, ou seja, elas devero ser controladoras de domnio primrias e de backup (PDCs e BDCs), no caso de redes Windows, ou vrias mquinas Unix utilizando NIS. Senha: a senha utilizada para gerar as chaves de autenticao e criptografia usadas na comunicao com o agente. Esta senha deve ser igual configurada no agente. Para maiores informaes, veja o captulo intitulado Trabalhando com proxies. Confirmao: Este campo utilizado apenas para se verificar se a senha foi digitada corretamente. Deve-se digit-la exatamente como no campo Senha. Tempo limite de uso da cache: Todas as vezes que realiza uma autenticao com sucesso, o firewall mantm em memria os dados recebidos do usurio e do agente. Nas autenticaes seguintes, o firewall possui todos os dados necessrios e no mais precisa consultar o agente. Isso permite um grande ganho de performance. Este parmetro permite definir o tempo, em segundos, que o firewall deve manter as informaes de autenticao em memria. Para maiores informaes, veja o captulo intitulado Trabalhando com proxies.
67
Para se cadastrar um agente externo do tipo Autoridade Certificadora, necessrio preencher os seguintes campos adicionais:
Localizao da publicao da lista de certificados revogados (CRL): a URL da qual ser baixada a lista de certificados revogados da CA (CRL). Esta URL deve ser obrigatoriamente do protocolo HTTP e deve ser especificada sem o http:// na sua frente. O boto Importar certificado raiz permite com que se carregue o certificado root da CA no firewall. Ao ser clicado, a interface abrir uma janela para que se especifique o nome do arquivo com o certificado a ser importado. necessrio se importar um certificado raiz para cada Autoridade Certificadora criada, caso contrrio no ser possvel se autenticar usurios por meio dela. O Campo Pseudo-grupos permite com que se defina grupos para usurios que se autenticarem atravs da autoridade certificadora, da mesma forma como se define grupos em um sistema operacional. Desta maneira, possvel se criar pseudo-grupos que representem todos os usurios de uma determinada empresa, departamento, cidade, etc. Aps serem criados os pseudo-grupos eles podem ser associados a perfis de acesso da mesma forma com que se faz com grupos de autenticadores ou autenticadores token. Clicando com o boto direito podemos selecionar as seguintes opes: Incluir: Esta opo permite se incluir um novo pseudo-grupo. Excluir: Esta opo remove da lista o pseudo-grupo selecionado. Editar: Esta opo abre a janela de edio para o pseudo-grupo selecionado.
68
O nico campo de preechimento obrigatrio o campo Nome, que indicar o nome pelo qual o pseudo-grupo ser referenciado pelo firewall. Os demais campos representam dados que sero comparados com os dados presentes no certificado X509 de cada usurio autenticado. Caso um determinado campo esteja em branco ento qualquer valor ser aceito no campo correspondente do certificado, caso contrrio apenas certificados que possurem o campo igual ao valor informado sero considerados como parte do grupo. Domnio: Representa o nome da pessoa para a qual o certificado foi emitido E-mail: Representa o e-mail da pessoa para a qual o certificado foi emitido Empresa: Representa o nome da empresa onde trabalha a pessoa para a qual o certificado foi emitido Departamento: Representa o departamento dentro da empresa onde trabalha a pessoa para a qual o certificado foi emitido Cidade: Representa a cidade onde se localiza a empresa onde trabalha a pessoa para a qual o certificado foi emitido Estado: Representa o estado onde se localiza a empresa onde trabalha a pessoa para a qual o certificado foi emitido Pas: Representa o pas onde se localiza a empresa onde trabalha a pessoa para a qual o certificado foi emitido Para que um usurio autenticado atravs da autoridade certificadora seja considerado como membro de um pseudo-grupo, todos os campos de seu certificado X509 devem ser iguais aos valores dos campos correspondentes do pseudo-grupo. Campos em branco de um pseudo-grupo so ignorados na comparao e, portanto, quaisquer valores do certificado para estes campos sero aceitos.
69
Para se cadastrar um agente externo do tipo Agente IDS, Analisador de contexto, Anti-vrus ou Servidor de Log Remoto, necessrio preencher os seguintes campos adicionais:
IP: o endereo IP da mquina onde o agente est rodando. Backup 1 e Backup 2: Estes campos permitem com que se especifique at dois endereos de outras mquinas que tambm estaro rodando o agente e que serviro como backup no caso de quedas da mquina principal. Senha: a senha utilizada para gerar as chaves de autenticao e criptografia usadas na comunicao com o agente. Esta senha deve ser igual configurada no agente. Confirmao: Este campo utilizado apenas para se verificar se a senha foi digitada corretamente. Deve-se digit-la exatamente como no campo Senha.
Para se cadastrar um agente externo do tipo Autenticador LDAP, necessrio preencher os seguintes campos:
70
IP: o endereo IP da mquina onde o agente est rodando. Backup 1 e Backup 2: Estes campos permitem com que se especifique at dois endereos de outras mquinas que tambm estaro rodando o servidor LDAP e que serviro como backup no caso de quedas da mquina principal. Tempo limite da cache: Todas as vezes que realiza uma autenticao com sucesso, o firewall mantm em memria os dados recebidos do usurio e do agente. Nas autenticaes seguintes, o firewall possui todos os dados necessrios e no mais precisa consultar o agente. Isso permite um grande ganho de performance. Este parmetro permite definir o tempo, em segundos, que o firewall deve manter as informaes de autenticao em memria. Para maiores informaes, veja o captulo intitulado Trabalhando com proxies. Configuraes LDAP: Neste conjunto de campos deve-se especificar as configuraes do servidor LDAP que ser utilizado para a realizao das autenticaes. A descrio de cada campo pode ser vista a seguir: DN Root de conexo: DN do usurio utilizado pelo firewall para as consultas Senha Root de conexo: a senha deste usurio DN Base: DN para comear a busca ObjectClass da Conta: valor de objectclass que identifica objetos de contas vlidas Atributo nome do usurio: o atributo onde se encontra o nome do usurio Atributo senha: o atributo onde se encontra a senha do usurio Atributo grupo: o atributo onde se encontra o grupo do usurio Permitir senha em branco: permite senhas em branco para o usurio quando marcado Mtodo de Autenticao: Este campo especifica se o firewall deve buscar a senha ou se conectar na base LDAP com as credenciais do usurio para valid-lo. 71
Conexo LDAP segura: Este campo especifica se a conexo ao servidor LDAP ser encriptada ou no. Ele consiste das seguintes opes:
SSL: especifica que o firewall usar conexo encriptada via SSL TLS: especifica que o firewall usar conexo encriptada via TLS Nenhuma: especifica que o firewall no usar criptografia ao se conectar ao servidor LDAP
Para se cadastrar um agente externo do tipo Autenticador Radius, necessrio preencher os seguintes campos adicionais:
IP: o endereo IP da mquina onde o agente est rodando. Porta: Nmero da porta onde o servidor RADIUS estar escutando as requisies de autenticao. 1 Backup: Este campo permite com que se especifique outra mquina que tambm estar rodando o servidor RADIUS e que servir como backup no caso de queda da mquina principal. Segredo: o segredo compartilhado utilizado no servidor RADIUS. Confirmao: Este campo utilizado apenas para se verificar se o segredo foi digitado corretamente. Deve-se digit-lo exatamente como no campo Segredo. Tempo limite de uso da cache: Todas as vezes que realiza uma autenticao com sucesso, o firewall mantm em memria os dados recebidos do usurio e do agente. Nas
72
autenticaes seguintes, o firewall possui todos os dados necessrios e no mais precisa consultar o agente. Isso permite um grande ganho de performance. Este parmetro permite definir o tempo, em segundos, que o firewall deve manter as informaes de autenticao em memria. Para maiores informaes, veja o captulo intitulado Trabalhando com proxies. Usurios: Este campo serve para que se possa cadastrar e posteriormente associar usurios especficos RADIUS com perfis de acesso do firewall, uma vez que com este protocolo no possvel para o firewall conseguir a lista completa de usurios. Somente necessrio se realizar o cadastramento dos usurios que se deseje associar com perfis especficos. Grupos: Este campo serve para que se possa cadastrar e posteriormente associar grupos especficos RADIUS com perfis de acesso do firewall, uma vez que com este protocolo no possvel para o firewall conseguir a lista completa de grupos. Somente necessrio se realizar o cadastramento dos grupos que se deseje associar com perfis especficos. Existe um grupo chamado de RADIUS USERS, gerado automaticamente pelo firewall que pode ser utilizado para a associao de usurios RADIUS com um perfil de acesso especfico. Todos os usurios autenticados em um determinado servidor RADIUS so considerados como pertencentes a este grupo. Desta forma, caso se deseje utilizar um nico perfil de acesso para todos os usurios, no necessrio o cadastramento de nenhum usurio e/ou grupo.
Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao do agente externo. Para cancelar as alteraes realizadas ou a incluso, deve-se pressionar o boto Cancelar. Para facilitar a incluso de vrios agentes seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que o agente cujos dados foram preenchidos seja includo e a janela de incluso de agentes mantida aberta, pronta para uma nova incluso. Desta forma, possvel se cadastrar rapidamente um grande nmero de agentes.
73
Para se cadastrar uma entidade do tipo servio, necessrio preencher os seguintes campos: Nome: o nome atravs do qual o servio ser referenciado daqui em diante pelo firewall. possvel se especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so, portanto, consideradas diferentes. cone: o cone que aparecer associado ao servio em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento mostrar uma lista com todos os possveis cones para representar servios. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no se deseje alter-lo aps ver a lista, basta clicar no boto Cancelar. Protocolo: o protocolo associado ao servio.(TCP, UDP, ICMP ou OUTROS)
74
Servio: o nmero que identifica o servio. No caso dos protocolos TCP e UDP, este nmero a porta destino. No caso de ICMP o tipo de servio e no caso de outros protocolos o nmero do protocolo. Para cada protocolo, o firewall possui uma lista dos valores mais comuns associados a ele, de modo a facilitar a criao do servio. Entretanto, possvel colocar valores que no faam parte da lista, simplesmente digitando-os neste campo. Caso se deseje especificar uma faixa de valores, ao invs de um nico valor, basta-se clicar no boto ao lado dos nomes De e Para e especificar o menor valor da faixa em De e o maior em Para. Todos os valores compreendidos entre estes dois, inclusive, sero considerados como fazendo parte do servio. Proxy: Este campo s se encontra habilitado para o protocolo TCP e permite especificar se a conexo que se enquadrar neste servio ser automaticamente desviada para um dos proxies transparentes do Firewall Aker ou no. O valor padro Sem Proxy, que significa que a conexo no deve ser desviada para nenhum proxy. As outras opes so Proxy SMTP, Proxy Telnet, Proxy FTP, Proxy do usurio, Proxy HTTP e Proxy POP3 que desviam para os proxies SMTP, Telnet, FTP, proxies criados pelo usurio, HTTP e POP3, respectivamente. O servio Telnet est associado porta 23, o SMTP porta 25, o FTP porta 21, o HTTP porta 80 e o POP3 porta 110. possvel se especificar que conexes de quaisquer outras portas sejam desviadas para um destes proxies, entretanto, isto no o comportamento padro e no deve ser feito a no ser que se tenha conhecimento de todas as possveis implicaes. Caso se tenha especificado que a conexo deve ser desviada para um proxy, pode ser necessrio se definir os parmetros do contexto que ser utilizado pelo proxy para este servio. Caso isso seja necessrio, no momento em que o proxy for selecionado, a janela ser expandida para mostrar os parmetros adicionais que devem ser configurados. A explicao dos parmetros de cada um dos contextos dos proxies padro se encontra nos captulos intitulados Configurando o proxy SMTP, Configurando o proxy Telnet, Configurando o proxy FTP e Configurando o proxy POP3. O proxy HTTP no tem parmetros configurveis e suas configuraes so descritas no captulo Configurando o proxy WWW. Para maiores informaes sobre proxies transparentes e contextos, veja o captulo intitulado Trabalhando com proxies. Proxies definidos pelo usurio somente so teis para desenvolvedores e sua descrio no ser abordada aqui. Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao do servio. Para cancelar as alteraes realizadas ou a incluso, deve-se pressionar o boto Cancelar . Para facilitar a incluso de vrios servios seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que o servio cujos dados foram preenchidos seja includo e a janela de incluso de servios mantida aberta, pronta para uma nova incluso. Desta forma, possvel se cadastrar rapidamente um grande nmero de servios.
75
Para se cadastrar uma entidade do tipo interface, necessrio preencher os seguintes campos: Nome: o nome atravs do qual a interface ser referenciada daqui em diante pelo firewall. possvel se especificar este nome manualmente ou deixar que o ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so, portanto, consideradas diferentes. cone: o cone que aparecer associado interface em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento mostrar uma lista com todos os possveis cones para representar interfaces. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no se deseje alter-lo aps ver a lista, basta clicar no boto Cancelar. Interface: o nome do adaptador de rede que ser associado entidade interface. Ser mostrada automaticamente uma lista com todos os adaptadores de rede configurados no firewall e o endereo IP de cada um, se existir. Comentrio: um campo texto livre, usado apenas para fins de documentao. Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao da interface. Para cancelar as alteraes realizadas ou a incluso, deve-se pressionar o boto Cancelar . Para facilitar a incluso de vrias interfaces seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que a interface cujos dados foram preenchidos seja includa e a janela de incluso
76
de interfaces mantida aberta, pronta para uma nova incluso. Desta forma, possvel se cadastrar rapidamente um grande nmero de interfaces.
Para se cadastrar uma entidade do tipo acumulador, necessrio preencher os seguintes campos: Nome: o nome atravs do qual o acumulador ser referenciado daqui em diante pelo firewall. possvel se especificar este nome manualmente ou deixar que o ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so, portanto, consideradas diferentes. cone: o cone que aparecer associado ao acumulador em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento mostrar uma lista com todos os possveis cones para representar interfaces. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no se deseje alter-lo aps ver a lista, basta clicar no boto Cancelar. Comentrio: um campo texto livre, usado apenas para fins de documentao. Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao do acumulador. Para cancelar as alteraes realizadas ou a incluso, deve-se pressionar o boto Cancelar . Para facilitar a incluso de vrios acumuladores seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que o acumulador cujos dados foram preenchidos seja includo e a janela
77
de incluso de acumuladores mantida aberta, pronta para uma nova incluso. Desta forma, possvel se cadastrar rapidamente um grande nmero de acumuladores.
Para se cadastrar uma entidade do tipo Canal, necessrio preencher os seguintes campos: Nome: o nome atravs do qual o Canal ser referenciado daqui em diante pelo firewall. possvel se especificar este nome manualmente ou deixar que o ele seja atribudo automaticamente. A opo Nome automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so, portanto, consideradas diferentes. cone: o cone que aparecer associado ao Canal em todas as referncias. Para alterlo, basta clicar sobre o desenho do cone atual. O firewall ento mostrar uma lista com todos os possveis cones para representar interfaces. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no se deseje alter-lo aps ver a lista, basta clicar no boto Cancelar. Banda: um campo texto usado para designar a largura de banda (velocidade mxima de transmisso em bits por segundo) deste Canal. Esta banda ser compartilhada entre todas as conexes que usarem este Canal. Deve ser escolhida a unidade de medida mais conveniente.
78
Buffer: um campo texto usado para designar o tamanho do buffer (espao temporrio de dados utilizado para armazenar pacotes que sero transmitidos) utilizado por este Canal. Deve ser escolhido a unidade de medida. possvel se especificar este tamanho manualmente ou deixar que o ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao do Canal. Para cancelar as alteraes realizadas ou a incluso, deve-se pressionar o boto Cancelar . Para facilitar a incluso de vrios Canais seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que o Canal cujos dados foram preenchidos seja includo e a janela de incluso de Canais mantida aberta, pronta para uma nova incluso. Desta forma, possvel se cadastrar rapidamente um grande nmero de Canais.
79
<nome> maquina <nome> <IP> rede <nome> <IP> <mascara> conjunto <nome> [<entidade1> [<entidade2>] ...] autenticador <nome> <IP1> [<IP2>] [<IP3>] <senha>
inclui token <nome> <IP1> [<IP2>] [<IP3>] <senha> <t. inclui ldap <nome> <IP1> [<IP2>] [<IP3>] <root_dn> <base_dn> <act_class> <usr_attr> <grp_attr> < <pwd_attr>|<-bind> > < <-ssl>|<-tls>|<-
nenhuma> > < <-no_pwd>|<-pwd> > <t.cache> fwent inclui radius <nome> <IP1> <porta1> [ <IP2> <porta2> ] <senha> <t.cache> fwent inclui ids <nome> <IP1> [<IP2>] [<IP3>] <senha> fwent inclui anti-virus <nome> <IP1> [<IP2>] [<IP3>] <senha> fwent inclui analisador-url <nome> <IP1> [<IP2>] [<IP3>] <senha> fwent inclui ca <nome> <Arquivo com certificado root> <URL com CRLs> fwent inclui servico <nome> [TCP | UDP | ICMP | OUTRO] <valor>[..<valor>] fwent inclui interface <nome> <dispositivo> [<comentario>] fwent inclui pipe <nome> <banda em Kbits/s> [<tamanho da fila> <bytes|pacts>] fwent inclui acumulador <nome> [<comentario>] fwent inclui log_remoto <nome> <IP> [IP] [IP] <senha>
Ajuda do programa :
fwent - Interface Uso: fwent ajuda fwent mostra fwent remove fwent inclui fwent inclui fwent inclui fwent inclui <t. cache> fwent inclui cache> fwent inclui <root_pwd> texto para configuracao das entidades
<nome> maquina <nome> <IP> rede <nome> <IP> <mascara> conjunto <nome> [<entidade1> [<entidade2>] ...] autenticador <nome> <IP1> [<IP2>] [<IP3>] <senha> token <nome> <IP1> [<IP2>] [<IP3>] <senha> <t. ldap <nome> <IP1> [<IP2>] [<IP3>] <root_dn> <base_dn> <act_class> <usr_attr> <grp_attr> < <pwd_attr>|<-bind> > < <-ssl>|<-tls>|<-
80
fwent inclui radius <nome> <IP1> <porta1> [ <IP2> <porta2> ] <senha> <t.cache> fwent inclui ids <nome> <IP1> [<IP2>] [<IP3>] <senha> fwent inclui anti-virus <nome> <IP1> [<IP2>] [<IP3>] <senha> fwent inclui analisador-url <nome> <IP1> [<IP2>] [<IP3>] <senha> fwent inclui ca <nome> <Arquivo com certificado root> <URL com CRLs> fwent inclui servico <nome> [TCP | UDP | ICMP | OUTRO] <valor>[..<valor>] fwent inclui interface <nome> <dispositivo> [<comentario>] fwent inclui pipe <nome> <banda em Kbits/s> [<tamanho da fila> <bytes|pacts>] fwent inclui acumulador <nome> [<comentario>] fwent inclui log_remoto <nome> <IP> [IP] [IP] <senha> mostra = mostra todas as entidades configuradas no sistema inclui = inclui uma nova nova entidade remove = remove uma entidade existente ajuda = mostra esta mensagem Para remove / inclui temos: nome = nome da entidade a ser criada ou removida Para inclui temos: IP = endereco IP da maquina ou da rede mascara = mascara da rede entidade = nome das entidades a serem acrescentadas no conjunto (OBS: Somente podem fazer parte de um conjunto entidades do tipo maquina ou rede) senha = senha de acesso t. cache = tempo em segundos de permanencia de uma entrada no cache de autenticacao TCP = servico utiliza protocolo TCP UDP = servico utiliza protocolo UDP ICMP = servico utiliza protocolo ICMP OUTRO = servico utiliza protocolo diferente dos acima citados valor = Numero que identica o servico. Para os protocolos TCP e UDP, e' o valor da porta associada ao servico. No caso de ICMP, e' o tipo de servico e no caso de outros protocolos o numero do proprio protocolo. Pode-se especificar uma faixa atraves da notacao valor1..valor2, que significa a faixa de valores compreendida entre o valor1 e o valor2 (inclusive). Para inclui ldap temos: root_dn = DN do usuario utilizado pelo firewall para as consultas root_pwd = a senha deste usuario base_dn = DN para comecar a busca act_class= valor de objectclass que identifica objetos de contas validas usr_attr = o atributo onde se encontra o nome do usuario grp_addr = o atributo onde se encontra o grupo do usuario pwd_addr = o atributo onde se encontra a senha do usuario -bind = nao tenta buscar a senha, em vez disso tenta conectar na base LDAP com as credenciais do usuario para valida-lo -ssl = usar conexao encriptada via ssl -tls = usar conexao encriptada via tls
81
-nenhuma = nao usar conexao encriptada -no_pwd = permite senhas em branco para o usuario -pwd = nao permite senhas em branco para o usuario
10.4.1.12 10.4.1.11
10.4.1.0 0.0.0.0
255.255.255.0 0.0.0.0
cache
firewall
192.168.0.2
Autenticadores do tipo token: ----------------------------Autenticador token 10.0.0.1 10.0.0.2 600 Agentes IDS: -----------Agente IDS Anti-Virus: ----------Anti-virus local Servicos: --------echo reply echo request ftp snmp telnet Interfaces: ----------Interface Externa Interface Interna
10.10.0.1
127.0.0.1
8 0 21 161 23
xl0 de0
82
Entidade incluida
O uso de "" ao redor do nome da entidade obrigatrio quando se inclui ou remove entidades cujo nome contm espaos Exemplo 6: (incluindo uma entidade do tipo conjunto, cujos membros so as mquinas cache e firewall, previamente definidas)
#/etc/firewall/fwent inclui conjunto "Conjunto de teste" cache firewall Entidade incluida
Exemplo 8: (incluindo uma entidade do tipo autenticador token, utilizando uma mquina primria e uma secundria, como backup)
#/etc/firewall/fwent inclui token "Autenticador token" 10.0.0.1 10.0.0.2 senha 600 Entidade incluida
83
84
85
3 - No caso do cadastro de uma mquina, nesta janela se deve especificar o endereo IP da mesma. possvel se colocar o nome da mquina e clicar no boto Resolva para obter o endereo IP correspondente.
86
87
5 - Escolha do cone da entidade. Clique em um dos cones que aparecem na janela. Observe que o cone selecionado ir aparecer direita da janela.
88
6 - Finalizao do cadastramento. Ser mostrado um resumo com os dados da entidade. Basta-se clicar no boto Finalizar para cadastrar a entidade.
89
90
porta da mquina cliente. Para que a comunicao seja efetiva, necessrio que o firewall permita a passagem dos pacotes de solicitao do servio e de resposta. O problema que o protocolo UDP um protocolo no orientado conexo, isto significa que se um determinado pacote for observado isoladamente, fora de um contexto, no se pode saber se ele uma requisio ou uma resposta de um servio. Nos filtros de pacotes tradicionais, como o administrador no pode saber de antemo qual porta ser escolhida pela mquina cliente para acessar um determinado servio, ele pode ou bloquear todo o trfego UDP ou permitir a passagem de pacotes para todas as possveis portas. Ambas abordagens possuem problemas bvios. O Firewall Aker possui a capacidade de se adaptar dinamicamente ao trfego de modo a resolver problemas deste tipo: todas as vezes que um pacote UDP aceito por uma das regras configurada pelo administrador, adicionada uma entrada em uma tabela interna, chamada de tabela de estados, de modo a permitir que os pacotes de resposta ao servio correspondente possam voltar para a mquina cliente. Esta entrada s fica ativa durante um curto intervalo de tempo, ao final do qual ela removida (este intervalo de tempo configurado atravs da janela de configurao de parmetros, mostrada no captulo intitulado Configurando os parmetros do sistema). Desta forma, o administrador no precisa se preocupar com a os pacotes UDP de resposta, sendo necessrio apenas configurar as regras para permitir o acesso aos servios. Isto pode ser feito facilmente, j que todos os servios possuem portas fixas. O problema do protocolo FTP: O FTP um dos protocolos mais populares da Internet, porm um dos mais complexos de ser tratado por um firewall. Vamos analisar seu funcionamento: Para acessar o servio FTP, inicialmente a mquina cliente abre uma conexo TCP para a mquina servidora na porta 21. (a porta usada pelo cliente varivel). Esta conexo chamada de conexo de controle. A partir da, para cada arquivo transferido ou para cada listagem de diretrio, uma nova conexo estabelecida, chamada de conexo de dados. Esta conexo de dados pode ser estabelecida de duas maneiras distintas: 1. O servidor pode iniciar a conexo a partir da porta 20 em direo a uma porta varivel, informada pelo cliente pela conexo de controle (este chamado de FTP ativo) 2. O cliente pode abrir a conexo a parir de uma porta varivel para uma porta varivel do servidor, informada para o cliente atravs da conexo de controle (este chamado de FTP passivo). Em ambos os casos o administrador no tem como saber quais portas sero escolhidas para estabelecer as conexes de dados e desta forma, se ele desejar utilizar o protocolo FTP atravs de um filtro de pacotes tradicional, dever liberar o acesso para todas as possveis portas utilizadas pelas mquinas clientes e servidores. Isto tem implicaes srias de segurana. O Firewall Aker tem a capacidade de vasculhar o trfego da conexo de controle FTP e desta forma descobrir qual o tipo de transferncia ser utilizada (ativa ou passiva) e
91
quais portas sero usadas para estabelecer as conexes de dados. Desta forma, todas as vezes que o filtro de pacotes determina que uma transferncia de arquivos ser realizada, ele acrescenta uma entrada na tabela de estados de modo a permitir que a conexo de dados seja estabelecida. Esta entrada s fica ativa enquanto a transferncia estiver se realizando e caso a conexo de controle esteja aberta, propiciando o mximo de flexibilidade e segurana. Neste caso, para se configurar o acesso FTP, basta se acrescentar uma regra liberando o acesso para a porta da conexo de controle (porta 21). Todo o resto ser feito automaticamente. O problema do protocolo Real Audio: O protocolo Real Audio o mais popular protocolo de transferncia de som e vdeo em tempo real atravs da Internet. Para que seja possvel uma transmisso de audio ou vdeo, necessrio que o cliente estabelea uma conexo TCP para o servidor de Real Audio. Alm desta conexo, para conseguir uma melhor qualidade de som, o servidor pode abrir uma conexo UDP para o cliente, para uma porta randmica informada em tempo real pelo cliente e o cliente tambm pode abrir uma outra conexo UDP para o servidor, tambm em uma porta randmica informada pelo servidor no decorrer da conexo. Os filtros de pacotes tradicionais no permitem o estabelecimento das conexes UDP do servidor para o cliente e vice-versa, uma vez que as portas no so conhecidas antecipadamente, fazendo com que a qualidade do audio e vdeo obtidas seja bastante inferior. O filtro de estados do Firewall Aker, acompanha toda a negociao do servidor Real Audio com o cliente de modo a determinar se as conexes UDP sero abertas, e para quais portas, e acrescenta esta informao em uma entrada na sua tabela de estados. Esta entrada na tabela de estados s fica ativa enquanto a conexo de controle TCP estiver aberta, propiciando um mximo de segurana. O problema do protocolo Real Video (RTSP): O protocolo Real Vdeo agora suportado pelo firewall. Da mesma maneira que o Real Audio, as transaes so controladas pelo firewall, permitindo total segurana do uso de aplicaes de Real Vdeo.
92
Trabalharemos com a seguinte regra: Todas as mquinas da rede 10.1.x.x podem se comunicar com as mquinas da rede 10.2.x.x. Escreveremos esta regra utilizando o conceito de mascaramento (para maiores informaes, veja o captulo intitulado Cadastrando Entidades). Assim temos:
10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 ------- Origem ------------ Destino -------
Vamos agora aplicar a regra a um pacote que trafega da mquina 10.1.1.2 para a maquina 10.3.7.7. Aplicaremos a mscara da regra aos dois endereos, o da regra e o do pacote e verificamos se os endereos so iguais, tanto o destino quanto o origem.: Para o endereo origem temos
10.1.0.0 AND 255.255.0.0 = 10.1.0.0 (para a regra) 10.1.1.2 AND 255.255.0.0 = 10.1.0.0 (para o pacote)
Temos ento que os dois endereos origem so iguais aps a aplicao da mscara. Veremos agora para o endereo destino:
10.2.0.0 AND 255.255.0.0 = 10.2.0.0 (para a regra) 10.3.7.7 AND 255.255.0.0 = 10.3.0.0 (para o pacote)
Como o endereo destino do pacote no est igual ao endereo destino da regra aps a aplicao da mscara, por definio, esta regra no se aplicaria a este pacote. Esta operao feita em toda a lista de endereos e mscaras destino e origem at o fim da lista, ou at uma das regras se aplicar para o pacote examinado. Uma lista de regras teria a seguinte forma:
10.1.1.2 10.3.3.2 10.1.1.0 10.1.0.0 & & & & 255.255.255.255 255.255.255.255 255.0.0.0 255.255.0.0 -> -> -> -> 10.2.0.0 10.1.2.1 10.2.3.0 10.2.0.0 & & & & 255.255.0.0 255.255.255.255 255.255.255.0 255.255.0.0
Alm dos endereos origem e destino, cada pacote IP possui um protocolo e um servio associados. Esta combinao servio mais protocolo pode ser utilizado como mais um critrio de filtragem. Os servios no protocolo TCP, por exemplo, esto sempre associados a uma porta (para maiores informaes, veja o captulo intitulado Cadastrando Entidades). Assim, pode-se tambm associar uma lista de portas aos endereos. Pegaremos como exemplo dois servios conhecidos, o POP3 e o HTTP. O POP3 est associado porta 110 do servidor e o HTTP est associado porta 80. Assim, iremos acrescentar estas portas no formato da regra. Teremos ento:
10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 TCP 80 110 ------- Origem ------------ Destino ------- - Protocolo - -Portas--
Esta regra autoriza todo pacote que vai da rede 10.1.x.x para a rede 10.2.x.x e que utiliza os servios HTTP ou POP3 a trafegar pelo firewall. Assim, em uma primeira etapa compara-se os endereos da regra com os do pacote. Caso estes endereos sejam iguais aps a aplicao das mscaras, passa-se a comparar o protocolo e a porta destino no pacote com o protocolo e a lista de portas associados regra. Se o protocolo for o mesmo e se for encontrada uma porta da regra igual porta do pacote, esta regra por definio se aplica ao pacote, caso contrrio a pesquisa continua na prxima regra. Assim um conjunto de regras teria o seguinte formato
10.1.1.2 & 255.255.255.255 -> 10.2.0.0 & 255.255.0.0 UDP 53
93
10.3.3.2 & 255.255.255.255 -> 10.1.2.1 & 255.255.255.255 TCP 80 10.1.1.0 & 255.0.0.0 -> 10.2.3.0 & 255.255.255.0 TCP 21 20 113 10.1.0.0 & 255.255.0.0 -> 10.2.0.0 & 255.255.0.0 ICMP 0 8
94
Clicar no menu Configuraes do firewall da janela principal Selecionar o item Regras de Filtragem
A janela de regras contm todas as regras de filtragem definidas no Firewall Aker. Cada regra ser mostrada em uma linha separada, composta de diversas clulas. Caso uma regras esteja selecionada, ela ser mostrada em uma cor diferente.
O boto OK far com que o conjunto de regras seja atualizado e passe a funcionar imediatamente. O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela seja fechada. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta
Ao se clicar sobre uma regra e selecion-la, se ela possuir um comentrio, este aparecer na parte inferior da janela.
Para se executar qualquer operao sobre uma determinada regra, basta clicar com o boto direito do mouse sobre o campo que se deseja alterar . Aparecer um menu com as opes de entidades referentes ao campo, como na figura abaixo:
95
Inserir: Esta opo permite se incluir uma nova regra na lista. Se alguma regra estiver selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova regra ser includa no final da lista. Apagar: Esta opo remove da lista a regra selecionada. Copiar: Esta opo copia a regra selecionada para uma rea temporria. Colar: Esta opo copia a regra da rea temporria para a lista. Se uma regra estiver selecionada, a nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada para o final da lista. Habilitada: Esta opo permite desabilitar/habilitar a regra selecionada. Adicionar entidades: Adiciona uma entidade cadastrada no firewall. Veja se o ponteiro do mouse est sobre o campo o qual se quer inserir a entidade. Remover entidades: Remove uma entidade que foi inserida na regra.
Dica: A posio de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a nova posio desejada, soltando em seguida. Adicionando e removendo entidades e servios na regra Para se adicionar uma entidade a um destes campos, pode-se proceder de duas formas: 1. Seleciona-se a entidade a ser includa, clicando-se sobre ela na tabela de entidades, localizada na parte inferior esquerda da janela, e arraste-a para o campo correspondente. As teclas Insert e Delete podem inserir e remover as entidades respectivamente. 2. Clica-se com o boto direito do mouse sobre o campo onde se deseja adicionar as entidades, ser exibida uma lista das entidades pertinentes ao campo selecionado, bem como que tipo de ao se deseja aplicar sobre as mesmas. 3. O duplo-clique na entidade ir permitir a edio da mesma.
96
Para se remover uma entidade de um destes campos, deve-se proceder da seguinte forma: 1. Clica-se com o boto direito do mouse sobre o campo onde se encontra a entidade que se deseja remover e ser exibida uma lista das entidades participantes do campo com a opo de remoo da entidades no seguinte formato: remover 'entidade_removida'. 2. Pode-se utilizar a opo Remover Entidade para eliminar vrias entidades de uma vez.
Parmetros da regra:
Alm das especificaes bsicas de uma regra como: entidades de origem, entidades de destino e servios devemos levar em conta outros parmetros de configurao: Acumulador: Define qual o acumulador para os pacotes da regra. A opo nenhum desativa a contabilizao dos pacotes que se encaixem nesta regra. Se for escolhido um acumulador, sero adicionados a ele a quantidade de bytes e pacotes encaixados nesta regra. Canal: Define o canal que ser utilizado para controlar a banda para a regra. A opo nenhum desativa a utilizao de controle de banda para esta regra Ao: Este campo define qual a ao a ser tomada para todos os pacotes que se encaixem nesta regra. Ela consiste nas seguintes opes: Aceita: Significa que os pacotes que se encaixarem neste regra sero autorizados a passar atravs do firewall. Rejeita: Significa que os pacotes que se encaixarem nesta regra no passaro pelo firewall e ser enviado um pacote ICMP para a mquina de origem do pacote dizendo que o destino inatingvel. Esta opo no funciona para alguns tipos de servio ICMP, devido a uma caracterstica inerente a este protocolo. Descarta: Significa que os pacotes que se encaixarem nesta regra no passaro pelo firewall, mas no ser enviado nenhum pacote para a mquina de origem. Restries: Este campo permite que se especifique exigncias adicionais que um pacote deve cumprir para que ele se encaixe nesta regra. Ele formado pelas seguintes opes: Nenhum: No existe nenhuma exigncia adicional. Somente se encriptado: Neste caso, para que um pacote se enquadre nesta regra, ele dever obrigatoriamente vir encriptado/autenticado, ou seja, vir de um canal seguro. Esta opo particularmente til quando se est utilizando clientes de criptografia e se deseja que apenas conexes provenientes destes clientes (ou de canais de criptografia firewall-firewall) sejam aceitas. Para maiores informaes sobre criptografia e canais seguros, veja o captulo Criando canais de criptografia. Somente se encriptado e de um usurio autenticado: Neste caso, para que os pacotes sejam aceitos, alm deles virem encriptados/autenticados, o usurio que estabeleceu o canal seguro deve ter sido autenticado pelo firewall. A nica maneira de um pacote 97
atender esta exigncia ele ser proveniente de um cliente de criptografia e a opo de realizar autenticao de usurios para os clientes de criptografia estar ativa. Para maiores informaes sobre criptografia e canais seguros, veja o captulo Criando canais de criptografia. Log: Este campo define que tipos de aes sero executadas pelo sistema quando um pacote se encaixar nesta regra. Ele consiste de vrias opes que podem ser selecionadas independentemente uma das outras. Os valores possveis so: Logs: Se esta opo estiver selecionada, todos os pacotes que se enquadrarem nesta regra sero registrados no log do sistema. Envia email: Se esta opo estiver selecionada, ser enviado um e-mail todas as vezes que um pacote se enquadrar nesta regra (a configurao do endereo de e-mail ser mostrada no captulo intitulado configurando as aes do sistema). Executar programa: Se esta opo estiver marcada, ser executado um programa definido pelo administrador todas as vezes que um pacote se enquadrar nesta regra (a configurao do nome do programa a ser executado ser mostrada no captulo intitulado configurando as aes do sistema). Disparar mensagens de alarme: Se esta opo estiver selecionada, o firewall mostrar uma janela de alerta todas as vezes que um pacote se enquadrar nesta regra. Esta janela de alerta ser mostrada na mquina onde a interface grfica remota estiver aberta e, se a mquina permitir, ser emitido tambm um aviso sonoro. Caso a interface grfica no esteja aberta, no ser mostrada nenhuma mensagem e esta opo ser ignorada. Enviar Trap SMNP: Se esta opo estiver selecionada, ser enviada uma Trap SNMP para cada pacote que se enquadrar nesta regra (a configurao dos parmetros para o envio das traps ser mostrada no captulo intitulado configurando as aes do sistema). No caso do protocolo TCP, somente sero executadas as aes definidas na regra para o pacote de abertura de conexo. No caso do protocolo UDP, todos os pacotes que forem enviados pela mquina cliente e se enquadrarem na regra (porm no os pacotes de resposta) provocaro a execuo das aes. Tabela de horrios: Esta tabela define as horas e dias da semana em que a regra aplicvel. As linhas representam os dias da semana e as colunas as horas. Caso se queira que a regra seja aplicvel em determinada hora o quadrado deve ser preenchido, caso contrrio o quadrado deve ser deixado em branco. Para facilitar sua configurao, pode-se clicar com o boto esquerdo do mouse sobre um quadrado e a seguir arrast-lo, mantendo o boto pressionado. Isto faz com que o a tabela seja alterada na medida em que o mouse se move. Comentrio: Reservado para se colocar um comentrio sobre a regra. Muito til na documentao e manuteno das informaes sobre a utilidade da regra.
98
Para ajustes de prioridade de canal, basta clicar como o boto direito na entidade Canal e escolher a prioridade pelo boto deslizando. Veja a figura abaixo:
99
Pode-se verificar os possveis fluxos de dados que podero ocorrer entre essas redes. Para cada fluxo foi dada uma numerao e com isso pode-se concluir que os fluxos com nmeros mais altos (5 e 6) sero considerados os mais inseguros, pois envolvem o acesso da internet as redes DMZ e interna, respectivamente. Estes fluxos para o firewall sero desdobrados em regras de filtragem, com isto poderia se ter as seguintes regras:
100
101
No exemplo acima foi criado as seguintes regras: Regras Gerais do Firewall -> 1 a 4 Fluxo Interna para DMZ -> 5 a 7 Fluxo DMZ para Interna -> 8 a 10 Fluxo Interna para Internet -> 11 a 13 Fluxo DMZ para Internet -> 14 a 16 Fluxo Internet para DMZ -> 17 a 19 Fluxo Internet para Interna -> 20 Repare que ao final de cada fluxo foi colocado uma regra bloqueando o mesmo (4, 7, 10, 13, 16, 19 e 20). O objetivo desta tcnica para evitar que erros cometidos ao longo do cadastramento das regras de filtragem possam abrir inadiverditamente um acesso no permitido, com isso caso uma regra no esteja colocada corretamente dentro do fluxo fatalmente ela cair em um destes bloqueios que no permitir o acesso indevido. Observe que no fluxo Internet para Rede Interna no existe nenhuma regra cadastrada, apenas o bloqueio. Para melhor visualizao e controle, o firewall permite agrupar estas regras pelos fluxos. A interface ento ficaria desta forma:
A figura abaixo mostra o desdobramento das regras da poltica. Basta dar um duplo clique na linha para exibir as regras que ela contm: 102
No caso de desabilitar uma poltica, todas as regras que ela contm tambm sero desabilitadas.
103
Ajuda do programa:
Firewall Aker - Versao 5.0 fwrule - Configura tabela de regras do filtro de estados Uso: fwrule [ajuda | mostra] fwrule [habilita | desabilita | remove] <pos> fwrule inclui <pos> <origem> <destino> <aceita | rejeita | descarta> [pipe <pipe> <peso>] [acumulador <acumulador>] [loga] [mail] [trap] [programa] [alerta] [encriptado | usuario ] [<servico> ...] mostra inclui habilita desabilita remove ajuda = = = = = = mostra todas as entradas da tabela de regras inclui uma nova regra de filtragem habilita uma regra de filtragem desabilitada desabilita uma regra de filtragem existente remove uma regra existente mostra esta mensagem
Para inclui temos: pos = posicao onde incluir a nova regra na tabela (Pode ser um inteiro positivo ou a palavra FIM para incluir no final da tabela) aceita = a regra aceita as conexoes que se enquadrarem nela rejeita = a regra rejeita as conexoes que se enquadrarem nela e envia pacote ICMP de destino inatingivel para maquina de origem descarta = a regra descarta os pacotes recebidos (nao envia pacote ICMP) pipe = faz com que o trafego que se encaixe nesta regra seja direcionado ao "pipe" indicado com peso relativo dado por: acumulador = faz com que o trafego que se encaixe nesta regra seja somado a entidade acumulador especificada peso = "ocioso", "m_baixo" (muito baixo), "baixo", "normal", "alto", "m_alto" (muito alto) ou "tr" (tempo real) loga = loga os pacotes que se enquadrarem na regra
104
= envia e-mail para cada pacote que se enquadre na = gera trap SNMP para cada pacote que se enquadre na = executa um programa para cada pacote que se enquadre = abre uma janela de alerta para cada pacote que se
na regra encriptado = indica que a regra so e' valida se os pacotes vierem encriptados usuario = indica que a regra so e' valida se os pacotes vierem encriptados e o usuario tiver se autenticado previamente no firewall. Esta condicao somente pode ser atendida por conexoes originadas de clientes de criptografia servico = lista de nomes dos servicos para a nova regra Para habilita / desabilita / remove temos: pos = numero da regra a ser habilitada, desabilitada ou removida
: : : : :
cache
todos_udp
Regra 02 -------Origem Destino Acao Log Servicos Regra 03 -------Origem Destino Acao Log Servicos Regra 04 -------Origem Destino Acao Log Servicos
: : : : :
firewall
ftp
: : : : :
: : : : :
#/etc/firewall/fwrule inclui fim Internet "Mail server" aceita loga smtp Regra incluida na posicao 4
As entidades Internet e Mail server, bem como o servio smtp devem ter sido previamente cadastradas no sistema. Para maiores informaes sobre como cadastrar entidades no Firewall Aker, veja o captulo entitulado Cadastrando Entidades. O uso de "" ao redor do nome da entidade a ser includa na regra obrigatrio quando este contm espaos.
106
1 - Acionando do assistente de regras. A janela abaixo aparecer quando um nmero muito pequeno de regras for detectado.
107
108
5 - Configurao da DMZ
109
110
111
112
113
114
115
1-1
O tipo 1-1 o mais intuitivo porm normalmente o menos til. Ele consiste em fazer mapeamentos binrios de um para um entre endereos reservados e endereos vlidos. Desta forma, mquinas distintas teriam endereos convertidos distintos. A grande limitao desta forma de operao que no possvel se colocar um nmero de mquinas maior que o nmero de endereos vlidos, uma vez que so sempre convertidos na base de um para um. Em compensao, ela permite que mquinas com endereos reservados possam ser acessadas externamente com endereos vlidos.
N-1
A converso de N-1, como o nome j diz, possibilita que vrias mquinas com endereos reservados utilizem um mesmo endereo vlido. Para conseguir este objetivo, 116
ela utiliza endereos IP em combinao com portas (no caso dos protocolos TCP e UDP) ou com nmeros de seqncia (no caso de ICMP). Este mapeamento feito dinamicamente pelo firewall, cada vez que uma nova conexo estabelecida. Como existem 65535 portas ou nmeros de seqncia distintos, possvel a existncia de at 65535 conexes simultneas ativas utilizando o mesmo endereo. A nica limitao desta tecnologia que ela no permite que as mquinas internas sejam acessadas externamente. Todas as conexes devem ser iniciadas internamente.
1-N
Este tipo de converso tambm chamado de balanceamento de carga e possibilita que vrios servidores sejam colocados atrs de um nico endereo IP vlido. Cada vez que uma uma nova conexo aberta para esse endereo, ela redirecionada para um dos servidores internos. A grande vantagem dessa tecnologia possibilitar que servios que demandam uma grande quantidade de recursos possam ser separados em vrias mquinas e serem acessados de forma transparente, atravs de um nico endereo. No caso de quedas de algumas dessas mquinas, as novas conexes so automaticamente repassadas para as mquinas que ainda estiverem no ar, implantando com isso mecanismo de tolerncia a falhas.
Um outro exemplo seria a de uma organizao que possua sadas para a Internet e trs classes de endereos vlidos, neste caso o administrador tem a possibilidade de distribuir a converso de endereos entre essas trs classes, obtendo muito mais flexibilidade na configurao. Com a converso de endereos funcionando, todas as mquinas internas conseguem acessar qualquer recurso da Internet transparentemente, com se elas prprias possussem endereos vlidos. Porm, no possvel para nenhuma mquina externa iniciar uma conexo para qualquer mquina interna (devido ao fato delas no possurem endereos vlidos). Para resolver este problema, o Firewall Aker posssibilita a configurao de regras de converso 1-1, o que permite simular endereos vlidos para quaisquer endereos reservados. Voltando para o caso da nossa hipottica organizao, suponha que em sua rede exista um servidor WWW, com endereo 10.1.1.5, e que seja desejado que este servidor fornea informaes para a rede interna bem como para a Internet. Neste caso, necessrio se escolher um endereo vlido para que este possa ser utilizado pelos clientes externos para se conectarem a este servidor. Suponha que o endereo escolhido tenha sido o A.B.C.10. Deve-se ento acrescentar uma regra de converso 1-1, de modo a mapear o endereo A.B.C.10 para o endereo interno 10.1.1.5. A partir deste momento, todos os acessos para A.B.C.10 sero automaticamente remapeados pelo firewall para 10.1.1.5. Os endereos vlidos escolhidos para realizar a converso de 1-1 no podem ser atribudos a nenhuma mquina real. Desta forma, em nosso exemplo, possvel a configurao de at 253 servidores na sua rede interna passveis de serem acessados externamente (um dos 254 endereos vlidos j usado para o firewall para converter o trfego de todas as mquinas clientes). O Firewall Aker utiliza a tecnologia de proxy-arp para possibilitar que os servidores virtuais sejam tratados pelas mquinas pertencentes rede vlida (por exemplo, o roteador externo), como se fossem mquinas reais.
Equipamento: 1 roteador, 1 Firewall Aker, n clientes, 2 servidores na rede interna Endereo vlido: A.B.C.x, mscara da rede 255.255.255.0 Endereo reservado: 10.x.x.x mscara da rede 255.0.0.0 Endereo dos servidores: 10.1.1.1, 10.2.1.1 Endereo dos clientes: 10.x.x.x Endereos do roteador: Rede vlida A.B.C.1 , Internet :x.x.x.x Configurao do Firewall Aker: Endereos das placas: rede interna: 10.0.0.2, rede vlida A.B.C.2 IP virtual para a converso N-1: A.B.C.2 Rede privada: 10.0.0.0 Mscara da rede privada: 255.0.0.0 118
Desenho do Exemplo 1
Interligando departamentos
Neste exemplo, iremos mostrar como interligar departamentos de uma mesma empresa, utilizando um conversor de endereos entre estes departamentos. Equipamento: 1 roteador, 3 Firewall Aker, n clientes, 4 servidores na rede interna Endereo vlido: A.B.C.x, mscara da rede 255.255.255.0 Endereo reservado: 10.x.x.x mscara da rede 255.255.0.0 Endereo reservado:172.16.x.x, mscara 255.255.0.0 Endereos da sub-rede 1: 10.1.x.x Endereo do servidor: 10.1.1.1 Endereo dos clientes: 10.1.x.x Endereos do roteador: Rede vlida A.B.C.1 , Internet: x.x.x.x Configurao do Firewall Aker: Rede interna: 10.1.0.1, Rede vlida A.B.C.2 IP virtual para a converso N-1: A.B.C.2 Rede privada: 10.0.0.0 Mscara da rede privada: 255.0.0.0 Endereos da sub-rede 2:
119
Externamente: 10.1.0.2 Internamente:172.16.x.x Endereo do servidor: 172.16.1.1 Endereo dos clientes: 172.16.x.x Configurao do Firewall Aker: Sub-Rede 2: 172.16.0.1, Sub-rede 1:10.1.0.2 IP Virtual para converso N-1:10.1.0.2 Rede privada (2): 172.16.0.0 Mscara da rede privada: 255.255.0.0 Regras de converso 1-1: 10.2.1.1 - 172.16.1.1 Endereos da sub-rede 3: Externamente: 10.1.0.3 Internamente:172.16.x.x Endereo do servidor: 172.16.1.1 Endereo dos clientes: 172.16.x.x Configurao do Firewall Aker: Sub-Rede 3: 172.16.0.1, Sub-rede 1:10.1.0.3 IP Virtual para converso N-1:10.1.0.3 Rede privada (3): 172.16.0.0 Mscara da rede privada: 255.255.0.0 Regras de converso 1-1: 10.3.1.1 - 172.16.1.1 Na tabela de roteamento para este tipo de instalao devemos inserir rotas para as sub-redes 10.1.x.x, 10.2.x.x, 10.3.x.x.
120
Desenho do Exemplo 2
Neste exemplo, bem mais complexo, mostraremos como utilizar trs ligaes com a Internet e duas redes internas, utilizando o conversor de endereos entre elas. Equipamento: 3 roteadores, 1 Firewall Aker, n clientes, 2 servidores na rede DMZ Endereos vlidos: A.B.C.x, D.E.F.x, G.H.I.x, todos com mscara de rede 255.255.255.0 Endereo reservado para a rede interna: 10.x.x.x mscara da rede 255.0.0.0 Endereo reservado para a DMZ:172.16.x.x, mscara 255.255.0.0 Endereos dos roteadores: Rede vlida A.B.C.1, D.E.F.1, G.H.I.1 , Internet :x.x.x.x Configurao do Firewall Aker: Endereos das placas: Placa 1: 10.0.0.2, Placa 2: 172.16.0.2 , Placa 3: A.B.C.2, Placa 4: D.E.F.2, Placa 5: G.H.I.2 Redes privadas: 10.0.0.0 e 172.16.0.0 Mscara da redes privadas: 255.255.0.0 Servidores da DMZ Servidor Web - 10.0.0.10 Servidor SMTP - 10.0.0.25 Regras de converso de Endereos 1. Origem - 10.0.0.10 converte para A.B.C.10 quando for para a Internet 2. Origem - 10.0.0.25 converte para D.E.F.25 quando for para a Internet 3. Origem - 172.16.x.x converte para 10.0.0.4 quando for para rede 10.0.0.0 4. Origem - 172.16.x.x converte para D.E.F.25 quando for para Internet 5. Origem - 10.x.x.x converte para A.B.C.20 quando for para Internet
121
Desenho do Exemplo 3 Nesta nova verso do Firewall Aker possvel realizar um balanceamento dos links para realizar um aproveitamento mais otimizado dos links. O firewall agora possui mecanismos de verificao de ativao dos links, sendo possvel dividir o trfego de forma inteligente pelos links ou desviar totalmente o trfego daquele que estiver fora do ar. O administrador tambm poder atribuir pesos s suas conexes ou seja as conexes mais rpidas podero ter um peso maior do que as conexes mais lentas, desta forma o firewall dar preferncia em enviar o trfego para o link com maior peso.
delas. A partir deste momento, ele executar o tipo de converso associado regra. Caso a pesquisa chegue ao final da lista e o pacote no se enquadre em nenhuma regra ento este no ser convertido.
123
A janela de converso de endereos contm todas as regras de converso definidas no Firewall Aker. Cada regra ser mostrada em uma linha separada, composta de diversas clulas. Caso uma regras esteja selecionada, ela ser mostrada em uma cor diferente.
O boto OK far com que o conjunto de regras seja atualizado e passe a funcionar imediatamente. 124
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela seja fechada. Existe uma barra para incluso de comentrios relativo a regra de converso. A opo Ativar NAT, se estiver marcada, far com que o firewall passe a converter os endereos de acordo com as regras cadastradas. Caso ela esteja desmarcada nenhum tipo de converso de endereos ser feita. A barra de rolagem do lado direito serve para visualizar as regras que no couberem na janela. Ao se clicar sobre uma regra e selecion-la, se ela possuir um comentrio, este aparecer na parte inferior da janela. A posio da regra pode ser alterada clicando e arrastando com o mouse para a nova posio desejada.
O boto OK far com que o conjunto de regras seja atualizado e passe a funcionar imediatamente. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta O boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela seja fechada.
Para se executar qualquer operao sobre uma determinada regra, basta clicar com o boto direito do mouse sobre ela. Aparecer o seguinte menu: (este menu ser acionado
125
sempre que se pressionar o boto direito, mesmo que no exista nenhuma regra selecionada. Neste caso, somente as opes Incluir e Colar estaro habilitadas).
Incluir: Esta opo permite se incluir uma nova regra na lista. Se alguma regra estiver selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova regra ser includa no final da lista. Apagar: Esta opo remove da lista a regra selecionada. Copiar: Esta opo copia a regra selecionada para uma rea temporria. Colar: Esta opo copia a regra da rea temporria para a lista. Se uma regra estiver selecionada, a nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada para o final da lista. Enable/Disable: Esta opo permite habilitar/desabilitar a regra selecionada, ou seja, ela permanecer cadastrada contudo o Firewall se comportar como se a mesma no existisse (no caso do Disable) e prosseguir a pesquisa na regra seguinte. Adicionar entidades: No ponto em que for feito o clique do mouse, ser possvel inserir a entidade no campo correspondente da regra de converso. Apenas um certo nmero de entidades poder ser visualizada, para escolher outra entidade faa a rolagem da janela na barra correspondente.
Dica: O mtodo mais prtico para o administrador montar sua regra de converso ser arrastando diretamente as entidades para dentro da regra. Dica 2: A posio de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a nova posio desejada, soltando em seguida. Observe que o cursor de indicao do mouse ir mudar para uma caixa pontilhada.
126
No caso de incluso ou edio de regras, ser mostrada a janela de propriedades, descrita na seo abaixo: A janela de incluso de regras de NAT
Tipo de NAT: Neste campo se define o tipo de converso que a regra realizar. Ela possui as seguintes opes:
Sem Traduo: Esta opo indica ao firewall que no deve haver converso de endereos quando qualquer uma das mquinas pertencentes s Entidades Origem forem acessar qualquer uma das mquinas pertencentes s Entidades Destino e vice-versa. Converso 1-1: Esta opo indica ao firewall que quando a mquina listada nas Entidades Origem for acessar acessar qualquer uma das mquinas pertencentes s Entidades Destino ela ter seu endereo convertido para o endereo da Entidade Virtual. Todas as vezes que uma mquina pertencente s Entidades Destino acessar o endereco da Entidade Virtual, esse ultimo ser automaticamente convertido para o endereo real, definido pela entidade presente nas Entidades Origem. Este tipo de converso til para possibilitar o acesso externo a servidores internos.
Nas Entidades Origem deve se colocar uma entidade com o endereo real (interno, reservado) da mquina para a qual se far converso de 1-1. Na Entidade Virtual devese colocar uma entidade com o endereo para o qual o endereo interno ser convertido (endereo vlido) e que ser acessado pelas mquinas externas.
Converso N-1: Esta opo indica ao firewall que quando qualquer mquina listada nas Entidades Origem for acessar acessar qualquer uma das mquinas pertencentes s Entidades Destino ela ter seu endereo convertido para o 127
endereo da Entidade Virtual. Este tipo de converso til para possibilitar que um grande nmero de mquinas utilize apenas um endereo IP vlido para se comunicar atravs da Internet, entretanto ela no permite com que mquinas externas (listadas nas Entidades Destino) iniciem qualquer comunicao com as mquinas internas (listadas nas Entidades Origem). Quando o mdulo de Cluster Cooperativo estiver funcionado na converso de N-1 o IP da entidade virtual no pode ser nenhum dos atribudos as interfaces do firewall.
Converso de Servios: Esta opo til para redes que dispem de apenas um endereo IP e necessitam disponibilizar servios para a Internet. Ela possibilita que determinados servios, ao serem acessados no firewall, sejam redirecionados para mquinas internas.
No campo Entidades Origem, deve-se colocar o endereo IP interno (real) da mquina para a qual os servios sero redirecionados. No campo Entidades Destino, deve-se colocar as mquinas que iro acessar os servios externamente. No campo Servios, deve-se escolher todos os servios que sero redirecionados para a mquina presente em Entidades Origem quando uma mquina presente nas Entidades Destino acess-los no endereo IP da Entidade Virtual. Quando o mdulo de Cluster Cooperativo estiver funcionado no possvel a converso de servios.
Converso 1-N: Esta opo utilizada para se fazer balanceamento de carga, ou seja, possibilitar que vrias mquinas respondam como se fossem uma nica.
No campo Entidades Origem deve-se colocar a lista de mquinas que faro parte do balanceamento e que passaro a responder como se fossem uma nica. No campo Entidades Destino, deve-se colocar as mquinas que iro acessar as mquinas internas pelo endereo especificado na entidade presente no campo Entidade Virtual.
Nesse tipo de converso, as mquinas pertencentes ao campo Entidade Origem podem ter pesos diferentes, ou seja, caso uma mquina tenha peso 1 e outra peso 2, ento significa que de cada 3 conexes, uma ser redirecionada para a primeira mquina e duas para a segunda.
128
Converso de Servios 1-N: Esta opo utilizada para se fazer balanceamento de carga para determinados servios, ou seja, possibilitar que vrias mquinas respondam a requisies destes servios como se fossem uma nica.
No campo Entidades Origem deve-se colocar a lista de mquinas que faro parte do balanceamento e que passaro a responder como se fossem uma nica. No campo Entidades Destino, deve-se colocar as mquinas que iro acessar as mquinas internas pelo endereo especificado na entidade presente no campo Entidade Virtual. No campo Servios, deve-se escolher todos os servios que faro parte do balanceamento. Nesse tipo de converso, as mquinas pertencentes ao campo Entidade Origem podem ter pesos diferentes, ou seja, caso uma mquina tenha peso 1 e outra peso 2, ento significa que de cada 3 conexes, uma ser redirecionada para a primeira mquina e duas para a segunda. Quando o mdulo de Cluster Cooperativo estiver funcionado no possvel a converso de servios. Entidade virtual: Neste campo deve-se configurar a entidade para a qual os endereos internos sero convertidos ou para o qual as requisies externas devem ser direcionadas. A entidade virtual dever sempre ser uma entidade do tipo mquina. Entidade Origem: Neste campo especifica-se a lista de todas as entidades cujos endereos sero convertidos para o endereo da Entidade Virtual, descrita acima. A converso 1-1 ou converso de servios permitem que apenas uma entidade seja selecionada para este campo e esta entidade deve ser do tipo mquina. Caso se esteja utilizando Converso 1-N ou Converso de Servios 1-N, ento cada mquina pertencente a esse campo ter um pesso associado a ela, mostrado entre parnteses, direita do nome da entidade. Para se alterar o peso de uma determinada mquina, ou seja, fazer com que ela receba mais conexes que as demais, basta se clicar com o boto direito sobre o nome da entidade, na lista da direita, selecionar a opo Alterar peso e escolher o novo valor. O campo Entidade Origem deve sempre conter os endereos internos (reservados ou no vlidos) das mquinas participantes da converso, independentemente de seu tipo. Entidade Destino: Este campo serve para se especificar as entidades para as quais a converso de endereos ser efetuada (no caso da converso N-1) ou as mquinas que acessaro as mquinas internas atravs do endereo contido no campo Entidade Virtual (para os demais tipos de converso). Criando-se vrias regras com valores distinos nesse campo faz-se com que uma mesma mquina tenha seu endereo convertido para endereos distindos dependendo do destino da comunicao. O valor mais comum para esse campo a especificao da entidade Internet como destino. Isso far com que a converso de endereos selecionada na regra seja efetuada para todas as mquinas externas. Servios: Este campo define quais os servios que faro parte da regra, quando for utilizada o tipo de converso de Servios ou 1-N com Servios. A janela ficar desabilitada para os demais tipos de converso.
129
Comentrio: Reservado para se colocar uma descrio sobre a regra. Muito til na documentao e manuteno das informaes sobre sua utilidade. O boto Avanado, que somente estar habilitado quando se selecionar converso de endereos 1-N ou Converso de servios 1-N, permite que se configure os parmetros do monitoramento que ser realizado pelo firewall a fim de detectar se as mquinas participantes do balanceamento esto no ar ou no e como o balanceamento ser realizado. Ao ser clicado, a seguinte janela ser mostrada:
O campo Tipo de monitoramento, permite que se defina o mtodo utilizado pelo firewall para verificar se as mquinas participantes do balanceamento (mquinas definidas no campo Entidades Origem) esto no ar. Ela consiste das seguintes opes: Sem monitoramento: Se essa opo for selecionada, o firewall no monitorar as mquinas e assumir que elas esto sempre ativas. Pacotes Ping: Se essa opo for selecionada, o firewall monitorar as mquinas atravs de pacotes ICMP de Echo Request e Echo Reply (que tambm so utilizados pelo comando PING, da o nome dessa opo). Requisies HTTP: Se essa opo for selecionada, o firewall monitorar as mquinas atravs de requisies HTTP. Nesse caso, necessrio se especificar a URL (sem o prefixo http://) que o firewall tenter acessar em cada mquina para verificar se ela est ativa ou no. Algoritmo de balanceamento de carga: Esse campo permite que se defina o mtodo utilizado para balancear as requisies entre as mquinas presentes no campo Entidades Origem. Ele consiste das seguintes opes: Round-Robin: Se essa opo for selecionada, o firewall distribuir seqencialmente as requisies para as mquinas participantes do balanceamento, uma a uma. Caso as mquinas tenham pesos diferentes, primeiro ser distribuda uma conexo para cada mquina, a seguir uma conexo para cada mquina que rebeceu um nmero de conexes
130
menor que seu peso e assim sucessivamente. Quanto todas as mquinas receberem o nmero de conexes equivalente a seu peso, o algoritmo se inicia. Randmico: Se essa opo for selecionada, o firewall distribuir as conexes de forma randmica entre as mquinas, ou seja, a probabilidade de uma conexo ser redirecionada para uma determinada mquina igual a razo entre seu peso e o peso total de todas as mquinas. Persistncia de Sesso: Esse campo permite que se defina o tempo de persistncia da sesso em protocolos ou aplicativos que utilizem mais de uma conexo em tempos diferentes, ou seja, o tempo mximo de espera por uma nova conexo aps o trmino da primeira. Neste intervalo de tempo as novas conexes sero direcionadas pelo firewall ao mesmo servidor.
necessrio a incluso de uma regra de No Converso com origem nas redes internas e destino nas prprias redes internas caso se pretenda administrar o firewall por uma mquina interna que participar de qualquer tipo de converso. Essa regra dever estar antes das demais regras de converso.
131
A regra 3 por analogia e identica a regra 2, o servidor servidor_web_aker far converso de 1:1 para o endereo 200.120.210.25. A regra 4 o exemplo de balanceamento de carga. Algum da Internet procurando pela mquina 200.120.210.20 ser enviado para o NT3, NT2 ou NT1. Isto depender do clculo a ser realizado pelo firewall. No caso abaixo os pesos so diferentes, portanto a mquina NT3 que possui o peso 4 a que receber a maior quantidade de conexes. Caso as mquinas NT tenham de originar conexes para Internet, elas tambm tero seus endereos convertidos para 200.120.210.20. A regra 5 de converso de N:1, ou seja qualquer mquina da Rede_Interna (10.20.0.0 com mscara 255.255.255.0) ter o seu endereo convertido para 200.120.210.16 quando as mesmas originarem conexo para a Internet. No entanto a recproca no verdadeira, caso algum da Internet venha procurando conexo para o IP 200.120.210.16 o firewall no enviar para nenhuma mquina da rede interna e ir descartar os pacotes para esta conexo, pois o mesmo no sabe para qual mquina enviar a requisio. Cabe-se ressaltar que a ordem das regras de extrema importncia. Vamos supor que a regra 2 seja movida para a ltima posio. Neste caso algum que viesse procurando pela mquina 200.120.210.15 seria enviado para o server1, entretanto quando o server1 fosse originar uma conexo para a Internet o mesmo teria seu endereo convertido para 200.120.210.16 pois a regra da antiga posio 5 que iria atender primeiro a converso.
132
133
Nome: Informe um nome para representar o link da operadora; Rede: Cadastre a rede que a operadora forneceu; Gateway: O IP do roteador da operadora deve ser informado (neste caso o firewall far uma crtica para verificar se o gateway realmente pertence a rede da operadora); Peso: Um valor a ser atribudo ao link, no caso peso maiores pressupe links mais rpidos. Verif. 1: Cadastre uma entidade que tenha certeza que esteja logo a seguir do roteador da operadora, de preferncia dentro de um ou dois saltos de seu roteador. Esta entidade ser utilizada pelo firewall para determinar se o link est no ar ou no. Pode ser cadastrado um servidor DNS da operadora ou mesmo roteadores prximos. Verif 2 e Verif. 3 : Entidades de verificao tambm utilizadas pelo firewall. No mandatrio que estejam cadastrados as trs entidades de verificao, contudo quanto mais melhor para o sistema de verificao do firewall.
134
135
Segunda Fase - Montagem das Regras de NAT A segunda fase da montagem bem simples, bastando colocar em cada regra de converso duas ou mais entidades virtuais, uma com endereo de cada prestador de servio. No esquea de habilitar na coluna Balanceamento de links o cone correspondente para que o servio possa ser realizado pelo firewall. Cabe ressaltar que o firewall tambm realizar uma crtica para determinar se realmente a Entidade Virtual pertence a um link previamente cadastrado. Uma limitao desta implementao quanto a origem da conexo pela Internet. Os DNS devem ter entradas duplas de IP e devem trabalhar em modo Round-Robin. O problema est quando um link de determinada operadora cai, o firewall no tem como desviar as conexes que so originadas pela Internet. Para contornar este problema o administrador poderia utilizar de scripts para remover do DNS o IP da operadora que esteja fora do ar, pois o firewall passa para o log de eventos esta informao.
136
Ajuda do programa:
Firewall Aker - Versao 5.0 - Beta fwnat - Configura regras de conversao de enderecos (NAT) Uso: fwnat [ajuda | mostra | ativa | desativa] fwnat [habilita | desabilita | remove] <pos> fwnat inclui <pos> 1-1 <origem> <destino> [ <entidade virtual> | -bal <ev_1> <ev_2> ... ] fwnat inclui <pos> n-1 <origem> <destino> [ <entidade virtual> | -bal <ev_1> <ev_2> ... ] fwnat inclui <pos> servicos <origem> <destino> [ <entidade virtual> | -bal <ev_1> <ev_2> ... ] <servico1>...<servico2> fwnat inclui <pos> sem_conversao <origem> <destino> fwnat inclui <pos> 1-n <origem1>...<origem2> <destino> [ <entidade virtual> | -bal <ev_1> <ev_2> ... ] <round-robin | randomico> <persist> <nenhum | ping | HTTP <URL>> ativa = ativa conversao de enderecos desativa = desativa conversao de enderecos mostra = mostra todas as regras da tabela de conversao inclui = inclui uma nova regra de conversao habilita = habilita uma regra de conversao desabilitada desabilita = desabilita uma regra de conversao existente remove = remove uma regra de conversao existente ajuda = mostra esta mensagem Para inclui temos: pos = posicao onde incluir a nova regra na tabela (Pode ser um inteiro positivo ou a palavra FIM para incluir no final da tabela) 1-1 = realiza conversao de servidores. Neste caso a origem deve ser obrigatoriamente uma entidade do tipo maquina n-1 = realiza conversao de clientes
137
= realiza conversao apenas para os servicos caso a origem deve ser obrigatoriamente uma
tipo maquina sem_conversao = nao realiza conversao entre a origem e o destino 1-n = realiza balanceamento de carga, ou seja, possibilita que as varias maquinas origem sejam acessadas pelo endereco IP configurado na entidade virtual, como se fossem uma so maquina servico1 ... = lista de nomes dos servicos para a nova regra. Sao aceitos apenas servicos dos protocolos TCP ou UDP Para habilita / desabilita / remove temos: pos = numero da regra a ser habilitada, desabilitada ou removida da tabela Para conversao 1-n temos: round-robin = Utiliza algoritmo round-robin para o balanceamento das conexoes randomico = Utiliza algoritmo randomico para o balanceamento das conexoes persist = Tempo de persistencia (mins) de servidor destino para conexoes originadas do mesmo cliente nenhum = Nao monitora as maquinas origem, isto e', considera que elas estao sempre ativas ping = Monitora as maquinas origem atraves de pings HTTP = Monitora as maquinas origem atraves de conexoes HTTP URL = Especifica qual a URL deve utilizada para monitorar as maquinas, no caso de se utilizar monitoramento HTTP
138
Tipo : servicos Origem : Server Destino : Internet Entidade virtual: Firewall - interface externa Servicos : MYSQL POP3 SMTP Regra 03 -------Tipo
: 1-1
Origem : Web Server_001 Destino : Internet Entidade virtual: External Web server Regra 04 -------Tipo Origem server2
: 1-n : server1 server3 Internet Virtual Server randomico Monitoramento: http www.aker.com.br
Destino : Entidade virtual: Balanceamento : URL : Regra 05 -------Tipo : Origem : Destino : Entidade virtual:
Exemplo 2 : (Incluindo uma regra de converso 1-1 no final da tabela. mapeando o servidor SMTP Server, com endereo reservado para o External Server, com endereo vlido para todas as mquinas da Internet)
#/etc/firewall/fwnat inclui fim 1-1 "SMTP Server" Internet "External Server" Regra incluida na posicao 6
Exemplo 5 : (Incluindo uma regra de converso 1-N, balanceamento, mapeando os servidores srv01 e srv02 em uma mquina externa chamada de srv_externo, para todas as mquinas da Internet, e monitorando via ping)
#/etc/firewall/fwnat inclui 4 1-N srv01 srv02 Internet srv_externo round-robin ping Regra incluida na posicao 4
139
1 - A janela inicial informa sobre o que o NAT. Clique no boto Prximo para continuar com a configurao.
140
141
142
4 - Escolha a opo Sim caso queira configurar os servidores que devero aparecer para Internet.
143
144
145
146
147
O que criptografia ?
Criptografia a combinao de uma chave com um algoritmo matemtico baseado em uma funo unidirecional. Este algoritmo aplicado aos dados, juntamente com a chave, de modo a torn-los indecifrveis para qualquer um que os veja. O modo que isso feito garante que somente possvel se obter os dados originais caso se possua o algoritmo e a chave usados inicialmente. Mantendo-se um destes dois componentes secretos (no caso, a chave), faz-se com que a visualizao dos dados por terceiros se torne impossvel.
O que autenticao ?
148
Autenticao tambm a combinao de uma chave com um algoritmo matemtico baseado em uma funo unidirecional. A diferena em relao a criptografia, que este algoritmo, quando aplicado sobre os dados, no produz dados indecifrveis mas sim uma assinatura digital para estes. Essa assinatura gerada de tal forma que qualquer pessoa que desconhea o algoritmo ou a chave utilizados para ger-la seja incapaz de calcul-la. Quando a assinatura digital gerada, ela passa a ser transmitida para o destino junto com os dados. Caso estes tenham sofrido quaisquer alteraes no caminho, o recipiente quando calcular a assinatura digital dos dados recebidos e compar-la com a assinatura recebida, ir perceber que as duas so diferentes e concluir que os dados foram alterados. A autenticao uma operao bastante rpida quando comparada com a criptografia, porm ela sozinha no consegue impedir que os dados sejam lidos. Ela deve ser usada apenas nos casos onde se necessita confiabilidade dos dados mas no sigilo. Caso se necessite de ambos, usa-se autenticao em conjunto com a criptografia.
Algoritmos de autenticao:
MD5
MD5 a abreviatura de Message Digest 5. Ele um algoritmo criado e patenteado pela RSA Data Security, Inc, porm com uso liberado para quaisquer aplicaes. Ele usado para gerar assinaturas digitais de 128 bits para mensagens de qualquer tamanho e considerado um algoritmo bastante rpido e seguro.
SHA
SHA a abreviatura de Secure Hash. Ele um algoritmo que gera assinaturas digitais de 160 bits para mensagens de qualquer tamanho. Ele considerado mais seguro que o MD5, porm tem uma performance em mdia 50% inferior (na implementao do Firewall Aker). A verso implementada pelo Firewall Aker o SHA-1, uma reviso no algoritmo inicial para corrigir uma pequena falha. Entretanto ele ser chamado sempre de SHA, tanto neste manual quanto nas interfaces de administrao. Algoritmos de criptografia simtricos: Os algoritmos de criptografia simtricos so utilizados para se encriptar fluxos de informaes. Eles possuem uma nica chave que utilizada tanto para encriptar quanto para decriptar os dados.
DES
O algoritmo DES, que um anagrama para Data Encription Standard, foi criado pela IBM na dcada de 70 e foi adotado pelo governo americano como padro at recentemente. Ele um algoritmo bastante rpido em implementaes de hardware, porm no to rpido quando implementado em software. Suas chaves de criptografia possuem tamanho fixo de 56 bits, nmero considerado pequeno para os padres atuais. Devido a isso, deve-se dar preferncia a outros algoritmos em caso de aplicaes crticas.
Este algoritmo consiste na aplicao do algoritmo DES trs vezes, usando trs chaves distintas, sobre os mesmos dados. Isto equivale a se utilizar um algoritmo com chave de 112 bits, o que representa uma segurana extremamente maior do que a oferecida pelo DES. O problema deste algoritmo que ele duas vezes mais lento que o DES (na implementao utilizada no Firewall Aker).
AES
O algoritmo AES foi escolhido dentre muitos concorrentes pelo NIST para substituir o j inseguro e ineficiente DES. AES um anagrama para Advanced Encryption Standard. O algoritmo escolhido em concurso foi o Rijndael, e ele utiliza 256 bits de
150
chave, sendo ao mesmo tempo muito mais seguro e rpido que o DES ou mesmo o 3DES. O Firewall Aker trabalha com o AES utilizando chaves de 256 bits, o que garante um nvel altssimo de segurana. Ele a escolha recomendada.
Blowfish
O algoritmo Blowfish foi criado como uma possvel substituio ao DES. Ele um algoritmo extremamente rpido (quando comparado com outros algoritmos de criptografia), bastante seguro e pode trabalhar com vrios tamanhos de chaves, de 40 a 438 bits. O Firewall Aker trabalha com o Blowfish utilizando chaves de 128 ou 256 bits, o que garante um nvel altssimo de segurana. Algoritmos de criptografia assimtricos: Os algoritmos de criptografia assimtricos possuem um par de chaves associadas, uma para encriptar e outra para decriptar os dados. Eles so bastante lentos se comparados aos algoritmos simtricos e, devido a isso, normalmente so utilizados apenas para realizar assinaturas digitais e no estabelecimento de chaves de sesso que sero usadas em algoritmos simtricos.
RSA
O RSA um algoritmo baseado em aritmtica modular capaz de trabalhar com chaves de qualquer tamanho, porm valores inferiores a 512 bits so considerados muito frgeis. Ele pode ser utilizado para encriptar e decriptar dados, porm, devido a sua grande lentido se comparado aos algoritmos simtricos, seu principal uso em assinaturas digitais e no estabelecimento de chaves de sesso.
Diffie-Hellman
O algoritmo Diffie-Hellman na verdade no pode ser encarado como algoritmo de criptografia, uma vez que no serve para encriptar dados ou realizar assinaturas digitais. Sua nica funo possibilitar a troca de chaves de sesso, feita de forma a impedir que escutas passivas no meio de comunicao consigam obt-las. Ele tambm baseado em aritmtica modular e pode trabalhar com chaves de qualquer tamanho, porm chaves menores que 512 so consideradas muito frgeis.
diariamente, este mesmo atacante, aps 6 meses, conseguir decifrar o trfego do primeiro dia e ter mais 6 meses de trabalho para decifrar o trfego do segundo dia e assim por diante. O Firewall Aker possui quatro mtodos para trocas de chaves: IPSEC-IKE, AKERCDP, SKIP e manual:
Troca de chaves via IPSEC-IKE Esta opo estar disponvel apenas quando se utilizar o conjunto completo de protocolos IPSEC. O IPSEC (IP Security) um conjunto de protocolos padronizados (RFC 2401RFC 2412) desenvolvidos pela IETF. O IPSec oferece transferncia segura de informaes atravs de rede IP pblica ou privada. Uma conexo via IPSec envolve sempre 3 etapas: 1. Negociao do nvel de segurana. 2. Autenticao e Integridade. 3. Confidencialidade. Para implementar essas 3 etapas o IPSec utiliza-se de 3 mecanismos: AH - Autentication Header ESP - Encapsulation Security Payload IKE - Internet Key Exchange Protocol Recomenda-se fortemente o uso desta opo na hora de se configurar os canais seguros.
Troca de chaves via Aker-CDP O Aker-CDP um protocolo designado pela Aker Security Solutions que possibilita a configurao totalmente automtica de todos os parmetros de um canal seguro. Ele utiliza o protocolo SKIP como base (o que significa que ele oferece todas as facilidades de trocas de chaves apresentadas anteriormente), porm possui a grande vantagem de no necessitar de uma configurao manual dos segredos compartilhados, tudo feito automaticamente. Para assegurar o mximo de segurana, toda a troca de chaves feita atravs de certificados digitais assinados pela prpria Aker ou por outras entidades certificadoras autorizadas. Nestes certificados so utilizados os protocolos Diffie-Hellman e RSA, ambos com 1024 bits. Os algoritmos a serem utilizados na criptografia e autenticao podem ser especificados, da mesma forma que no protocolo SKIP, ou deixados em modo automtico, o que far que os dois firewalls comunicantes negociem o algoritmo mais seguro suportado por ambos.
152
SKIP um anagrama para Simple Key Management for IP. Ele basicamente um algoritmo que permite que as trocas de chaves sejam realizadas de forma automtica e com uma freqncia extremamente elevada, tornando invivel a quebra destas chaves. O funcionamento do SKIP complexo e no entraremos em maiores detalhes aqui. Nossa abordagem se limitar a descrever seu funcionamento. Basicamente o SKIP trabalha com trs nveis diferentes de chaves:
Um segredo compartilhado pelas duas entidades que desejam se comunicar (configurado manualmente, no caso do Firewall Aker). Uma chave mestre, recalculada de hora em hora, baseada no segredo compartilhado Uma chave randmica, que pode ser recalculada quando se desejar. Genericamente falando, para efetuar a comunicao, o algoritmo gera um chave aleatria e a utiliza para encriptar e autenticar os dados a serem enviados. A seguir ele encripta esta chave com a chave mestre e envia isto junto com os dados encriptados. Ao receber o pacote, o outro lado decripta a chave, com o auxlio da chave mestra, e a utiliza para decriptar o restante do pacote. Os algoritmos utilizados para autenticar o pacote, encript-lo e encriptar a chave so definidos pelo remetente e informados como parte do protocolo. Desta forma, no necessrio se configurar estes parmetros no recipiente. A principal vantagem do SKIP a possibilidade de se utilizar o mesmo segredo compartilhado por anos, sem a menor possibilidade de quebra das chaves por qualquer atacante (uma vez que a troca de chaves efetuada em intervalos de poucos segundos a no mximo uma hora, dependendo do trfego entre as redes comunicantes).
Troca de chaves manual Neste caso, toda a configurao de chaves feita manualmente. Isto implica que todas as vezes que uma chave for trocada, ambos os Firewall participantes de um canal seguro tero que ser reconfigurados simultaneamente.
Este tipo de canal seguro o mais comum e suportado pelo Firewall Aker desde sua verso 1.31. Ele consiste na utilizao de criptografia e autenticao entre dois firewalls, interligados atravs da Internet ou de outro meio qualquer. Os pontos de entrada e sada do canal so os dois firewalls, o que significa que toda a criptografia 153
feita transparentemente por eles e nenhum software adicional necessita ser instalado em nenhuma mquina cliente. A nica limitao desta soluo que ela exige a presena de dois firewalls, um na entrada de cada rede, para que o canal seguro possa ser criado.
Estes canais so suportados pelo Firewall Aker a partir da verso 3.10. Eles permitem com que uma mquina cliente (Windows 95TM, Windows 98TM, Windows NTTM ou Windows 2000TM) estabelea um canal seguro diretamente com um Firewall Aker. Para tanto, necessria a instalao de um programa, chamado de cliente de criptografia Aker, em cada uma destas mquinas. A principal vantagem desta tecnologia possibilitar com que clientes acessem uma rede coorporativa atravs de linhas discadas com total segurana e transparncia (transparncia na medida em que as aplicaes que estejam rodando na mquina com o cliente de criptografia instalado desconhecem sua existncia e continuam funcionando normalmente). Apesar de bastante til, esta tecnologia possui algumas desvantagens e limitaes:
necessrio a instalao de um software, cliente de criptografia Aker, em todas as mquinas clientes; O cliente de criptografia no est disponvel para todas as plataformas; Se o cliente de criptografia est atrs de um firewall (acessando a rede protegida por um outro firewall, com o qual o canal seguro ser estabelecido), a configurao deste ltimo deve ser alterada para possibilitar a passagem do trfego do canal seguro. Neste caso, o firewall diretamente na frente do cliente no ter como controlar seu trfego seletivamente, uma vez que este est encriptado. Isso poder acarretar problemas de funcionamento de alguns servios.
O Firewall Aker suporta a existncia de diversos canais seguros simultneos, entre pontos distintos. A unio destes diversos canais produz uma lista, onde cada entrada define completamente os parmetros de um canal seguro. Cada uma destas entradas recebe o nome de Associao de Segurana ou SA. O planejamento destes canais seguros dever ser feito com bastante cuidado. A criptografia um recurso dispendioso que demanda uma capacidade de processamento muito alta. Desta forma, criptografar pacotes para os quais no exista uma necessidade real de segurana ser um desperdcio de recursos. Alm disso, deve-se atentar que diferentes algoritmos de criptografia exigem quantidades de processamento diferentes e, por conseguinte, produzem um nvel de segurana mais elevado. Dependendo do nvel de segurana desejado, pode-se optar por um ou outro algoritmo (a descrio da cada algoritmo suportado pelo Firewall Aker se encontra no tpico anterior). Uma ltima observao sobre canais de criptografia firewall-firewall que estes so unidirecionais, ou seja, caso se deseje configurar uma comunicao segura entre duas redes, A e B, deve-se configurar dois canais diferentes: um canal com origem na rede A e destino na rede B e outro com origem na rede B e destino na rede A. Os pacotes que forem enviados de A para B seguiro a configurao do primeiro canal e os pacotes de B para A seguiro a configurao do segundo. Isto ser ilustrado com mais clareza nos exemplos abaixo:
Entidades: REDE1 - Endereo IP: A1.B1.C1.0 - Mscara 255.255.255.0 REDE2 - Endereo IP: A2.B2.C2.0 - Mscara 255.255.255.0 Regra de criptografia 1: Sentido do canal: envia Entidades origem: REDE1 Entidades destino: REDE2 Algoritmo de criptografia: DES
155
Algoritmo de autenticao: MD5 Chave de autenticao: X1 Chave de criptografia: X2 Regra de criptografia 2: Sentido do canal: recebe Entidades origem: REDE2 Entidades destino: REDE1 Algoritmo de criptografia: DES Algoritmo de autenticao: MD5 Chave de autenticao: X3 Chave de criptografia: X4
Entidades: REDE1 - Endereo IP: A1.B1.C1.0 - Mscara 255.255.255.0 REDE2 - Endereo IP: A2.B2.C2.0 - Mscara 255.255.255.0 Regra de criptografia 1: Sentido do canal: recebe Entidades origem: REDE1 Entidades destino: REDE2 Algoritmo de criptografia: DES Algoritmo de autenticao: MD5 Chave de autenticao: X1 Chave de criptografia: X2 Regra de criptografia 2: Sentido do canal: envia Entidades origem: REDE2 Entidades destino: REDE1 Algoritmo de criptografia: DES Algoritmo de autenticao: MD5 Chave de autenticao: X3 Chave de criptografia: X4 Note que a regra 1 do Firewall Aker 1 exatamente igual regra 1 do Firewall Aker 2, exceto no campo relativo ao sentido. O mesmo ocorre com as regras 2.
156
Exemplo de configurao de um canal seguro firewall-firewall para uma sub-rede Neste exemplo o nosso canal seguro ser definido apenas para um grupo de mquinas dentro de cada uma das duas redes. Alm disso, definiremos algoritmos diferentes para os fluxos entre estes grupos. Na prtica, configurar algoritmos diferentes para os dois sentidos de um canal seguro pode ser interessante quando as informaes de um determinado sentido tiverem um valor maior do que as do sentido oposto do fluxo. Neste caso, utiliza-se um algoritmo mais seguro no sentido mais crtico. Neste exemplo, vamos supor que as redes 1 e 2 possuam dois endereos classe B: A1.B1.0.0 e A2.B2.0.0, respectivamente.
Entidades: SUB_REDE1 - Endereo IP: A1.B1.2.0 - Mscara 255.255.255.0 SUB_REDE2 - Endereo IP: A2.B2.5.0 - Mscara 255.255.255.0 Regra de criptografia 1: Sentido do canal: envia Entidades origem: SUB_REDE1 Entidades destino: SUB_REDE2 Algoritmo de criptografia: DES Algoritmo de autenticao: MD5 Chave de autenticao: X1 Chave de criptografia: X2 Regra de criptografia 2: Sentido do canal: recebe Entidades origem: SUB_REDE2
157
Entidades destino: SUB_REDE1 Algoritmo de criptografia: 3DES Algoritmo de autenticao: SHA Chave de autenticao: X3 Chave de criptografia: X4
Entidades: SUB_REDE1 - Endereo IP: A1.B1.2.0 - Mscara 255.255.255.0 SUB_REDE2 - Endereo IP: A2.B2.5.0 - Mscara 255.255.255.0 Regra de criptografia 1: Sentido do canal: envia Entidades origem: SUB_REDE2 Entidades destino: SUB_REDE1 Algoritmo de criptografia: 3DES Algoritmo de autenticao:SHA Chave de autenticao: X3 Chave de criptografia: X4 Regra de criptografia 2: Sentido do canal: recebe Entidades origem: SUB_REDE1 Entidades destino: SUB_REDE2 Algoritmo de criptografia: DES Algoritmo de autenticao: MD5 Chave de autenticao: X1 Chave de criptografia: X2 Note que neste caso as regras aparecem colocadas em uma ordem diferente nos dois firewalls: a regra 1 no Firewall 1 igual a regra 2 do Firewall 2 (com os sentidos invertidos) e a regra 2 no Firewall 1 igual a regra 1 no Firewall 2 (novamente com os sentidos trocados). Neste exemplo, a ordem das regras no faz diferena (observe entretanto que em alguns casos isto pode no ser verdade).
158
159
Certificado local
Este o certificado de negociao do firewall que est se administrando. Ele gerado pela Aker Security Solutions ou por alguma outra entidade certificadora autorizada. Somente pode existir um certificado local e, caso um novo seja carregado, o antigo ser automaticamente substitudo. Este certificado ser enviado automaticamente para os outros firewalls ou clientes de criptografia quando estes desejarem estabelecer um canal seguro.
Certificados de negociao
Estes so os certificados locais dos outros firewalls com os quais o firewall que se est administrando recebeu ao negociar canais seguros atravs do protocolo Aker-CDP.
Estes so os certificados com as informaes das entidades certificadoras autorizadas a emitir certificados de negociao e revogao. Para que um destes certificados seja aceito pelo firewall, ele deve obrigatoriamente vir assinado por uma entidade certificadora conhecida pelo firewall.
Certificados de revogao
Certificados de revogao so gerados quando ocorre um comprometimento do certificado de negociao de algum firewall. Eles indicam para o firewall que os possui quais certificados no devem mais ser aceitos. Todos estes certificados podem ser visualizados atravs da janela de certificados. Para acess-la, basta:
160
A janela de certificados
Na janela de certificados so mostrados todos os certificados relacionados ao estabelecimento de canais seguros Aker-CDP.
O boto OK fechar a janela de certificados. A lista no lado esquerdo da janela permite a visualizao dos diferentes tipos de certificados. Ao se clicar sobre um determinado certificado, seus campos principais sero mostrados na lista direita da janela. Ao clicar-se com o boto direito do mouse em cima de um dos campos da janela Certificados, a seguinte janela ir aparecer:
Os campos de cada certificado, mostrados direita, so apenas informativos. No possvel se alterar nenhum destes valores. Para se carregar um novo certificado, deve-se proceder da seguinte forma:
161
1. Clica-se em um dos botes, clicando com o boto direito do mouse sobre o tipo de certificado que se deseja carregar ou nos botes correspondentes localizados na barra de ferramentas superior. Os tipos de certificados disponveis so os seguintes : Certificado Local, Autoridade Certificadora ou Certificado de Revogao. 2. Ser mostrada uma janela para que se escolha o nome e a localizao do arquivo a ser carregado. Aps se especificar este nome, deve-se clicar no boto Abrir. Para que se possa utilizar canais seguros firewall-firewall utilizando o protocolo Aker-CDP e ativar o suporte a canais seguros cliente-firewall, necessrio se carregar o certificado de criptografia local, fornecido pela Aker Security Solutions ou seu representante autorizado no momento de compra do Firewall Aker com a opo de criptografia.
162
163
Uma requisio um formulrio a ser preenchido com seus dados para que a autoridade certificadora gere um certificado. Um certificado uma carteira de identidade para autenticar (reconhecer como o prprio) o seu proprietrio. O Firewall Aker utilizar estes certificados para se autenticar frente a seus pares quando da negociao de um canal IPSEC. Desta forma cada um dos dois Firewalls envolvidos num canal IPSEC tem que gerar seu prprio certificado. As operaes desta janela se encontram na barra de ferramentas localizada acima da janela de Certificados IPSEC ou clicando-se com o boto direito do mouse sobre o campo que se deseja operar.
O boto Inserir permite se incluir uma nova requisio , podendo ser local ou remota, sendo que as requisies e certificados locais ficam na na janela "deste firewall" e certificados e requisies remotas ficam na janela "outros firewalls". O boto Apagar remove da lista o certificado/requisio selecionado. O boto Copiar copia o certificado/requisio selecionado. O boto Colar cola da memria o certificado/requisio copiado. O boto Importar permite que seja carregado um certificado que foi exportado. O boto Exportar permite que salve o certificado selecionado. O boto Submeter permite que carregue um certificado exportado ou carregue um certificado de acordo com uma requisio selecionada (somente aparece quando inserindo um novo certificado). O boto Instalar far com que a janela seja fechada e atualizada. O boto Atualiza faz com seja recarregada as informaes de certificados.
Para gerar um certificado necessrio que primeiro gere uma requisio no firewall Aker, com esta requisio faa um pedido a uma autoridade certificadora para gerar o certificado e depois importe o certificado para o firewall Aker. Esta janela atualizada dinmicamente, ou seja, no possvel cancelar quando j feito o pedido. Quando incluir-se uma nova requisio local, as requisies e os 164
certificados locais sero apagados. Da mesma forma, ao se importar novo Certificado local com par de chaves (.pfx), sero apagados as requisies e os certificados locais. Desta maneira, a operao deve se dar da seguinte forma (para o certificado local): 1. 2. 3. 4. Criar uma requisio local. Enviar esta requisio a uma Autoridade Certificadora. Esperar at que a Autoridade Certificadora emita o certificado correspondente. Carregar o certificado correspondente requisio (clicar na requisio e, depois, em Carregar)
Se o desejado for criar um certificado para um firewall remoto, o procedimento muda: 1. 2. 3. 4. Criar uma requisio remota. Enviar esta requisio a uma Autoridade Certificadora. Esperar at que a Autoridade Certificadora emita o certificado correspondente. Carregar o certificado correspondente requisio (clicar na requisio e, depois, em Carregar) 5. Exportar o certificado para um arquivo PKCS#12 (Clicar no certificado remoto correspondente e, em seguida, em exportar) 6. Importar este certificado no firewall remoto, selecionando Deste Firewall e, em seguida com o boto direito do mouse, Importar. Na janela de requisies, h dois campos que podem causar confuso:
Dominio (CN): o identificador principal do dono da requisio. Este campo deve ser preenchido com common name. Tamanho da chave: Se o certificado for local com criao de nova chave ou remoto, este campo conter o comprimento da chave em bits. Caso contrrio (certificado local adicional) ele no poder ser modificado, uma vez que a chave j existente ser utilizada.
165
A janela de criptografia contm a definio de todos os fluxos de criptografia do Firewall Aker. Cada fluxo ser mostrado em uma linha separada, composta de diversas clulas. Caso um fluxo esteja selecionado, ele ser mostrado em uma cor diferente. Esta janela composta por quatro abas, onde cada uma delas permite a configurao de fluxos de criptografia usando diferentes mtodos de troca de chaves.
O boto OK far com que o conjunto de fluxos seja atualizado e passe a funcionar imediatamente. O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela seja fechada. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta A barra de rolagem do lado direito serve para visualizar os fluxos que no couberem na janela. Ao se clicar sobre um fluxo e selecion-lo, se ele possuir um comentrio, este aparecer na parte inferior da janela.
Dica: A posio de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a nova posio desejada, soltando em seguida. Observe que o cursor de indicao do mouse ir mudar para uma mo segurando um basto. Para se executar qualquer operao sobre um determinado fluxo, basta clicar com o boto direito do mouse sobre ele. Aparecer o seguinte menu: (este menu ser acionado sempre que se pressionar o boto direito, mesmo que no exista nenhum fluxo selecionado. Neste caso, somente as opes Inserir e Colar estaro habilitadas). 166
Inserir: Esta opo permite se incluir um novo fluxo na lista. Se algum fluxo estiver selecionado, o novo ser inserido na posio do fluxo selecionado. Caso contrrio, o novo fluxo ser includo no final da lista. Excluir: Esta opo remove da lista o fluxo selecionado. Apagar: Esta opo apaga o fluxo selecionado. Copiar: Esta opo copia o fluxo selecionado para uma rea temporria. Colar: Esta opo copia o fluxo da rea temporria para a lista. Se um fluxo estiver selecionado, o novo ser copiado para a posio do fluxo selecionado. Caso contrrio ele ser copiado para o final da lista. Habilitar/Desabilitar: Esta opo permite desabilitar o fluxo selecionado.
Dica: Todas estas opes podem ser executadas a partir da barra de ferramentas localizada na parte superior da janela. Neste caso, primeiro seleciona-se o fluxo, clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada. Caso deseje incluir ou editar de fluxos, pode-se fazer de duas formas: As entidades envolvidas podem ser arrastadas para o fluxo o qual vo participar ou clicando com o boto direito do mouse sobre o campo desejado, neste caso ser dada a opo de inserir, apagar ou editar entidades como mostrado a seguir:.
firewalls envolvidos, possibilitando, por exemplo, que redes com endereos invlidos se comuniquem de maneira segura atravs da Internet. Para se configurar canais IPSEC, deve-se selecionar a opo IPSEC, na janela FirewallFirewall. Isto provocar a alterao da janela de forma a mostrar os campos necessrios para esta configurao.
Os campos de configurao tm os seguintes significados: Gateway Remoto: Define a entidade do tipo mquina que ser o gateway remoto, ou seja, a outra ponta do tnel IPSEC. Cada um dos dois firewalls envolvidos no tnel precisa ter certeza da identidade do outro, de forma a evitar ataques de falsificao. Para isso, h dois modos selecionveis: Segredo Compartilhado: Uma seqncia de caracteres que funciona como uma senha e deve ser igual de cada um dos lados do tnel. Certificado: Utiliza certificados padro X.509 com um esquema de chaves pblicas para a identificao dos firewalls. Este o mesmo esquema utilizado por sites seguros na Internet, por exemplo. Devero ser especificados: o certificado local a apresentar para a outra ponta do tnel (Remote Gateway) e o o dado de identificao exigido do firewall remoto. Este dado ser um endereo de email para certificados criados com a opo USER-FQDN e o nome de uma mquina (Fully Qualified Domain Dame), se a opo for FQDN.
o
168
Avanado A janela avanado permite definir quais so os algoritmos de criptografia e autenticao preferidos e permitidos pelo firewall durante a negociao de chaves IKE. Os campos j vm preenchidos com algoritmos padro que podem ser alterados. Mais informaes nas RFC 2401 a RFC 2412. A janela de avanado agora inclui uma escolha da ponta local do tnel, para os casos da rede de passagem entre o firewall e o roteador ser invlida.
Origem: Define as entidades cujos endereos sero comparados com o endereo origem dos pacotes IP que formaro o fluxo. 169
Destino: Define as entidades cujos endereos sero comparados com o endereo destino dos pacotes IP que formaro o fluxo. Comentrio: Reservado para se colocar um comentrio sobre o fluxo. Muito til para fins de documentao. Direo: Define em que sentido o fluxo ser aplicado. S existem duas opes possveis: ou o pacote est sendo criptografado (encriptao) ou o pacote esta sendo decriptado (decriptao). (para maiores detalhes, veja o tpico intitulado Planejando a instalao) SPI: (Security Parameter Index) Este um nmero nico, utilizado pelo recipiente, para identificar um fluxo especfico. Ele deve ser um valor maior ou igual a 256 e deve obrigatoriamente ser distinto para cada fluxo em direo a um mesmo recipiente. Chave de Autenticao: Chave utilizada na autenticao. Esta chave deve ser digitada em hexadecimal. O seu tamanho mximo varia em funo do algoritmo utilizado: 32 dgitos para o MD5 e 40 para o SHA. Recomenda-se que seja usado o nmero de dgitos mximo permitido. Autenticao: Este campo define qual algoritmo de autenticao ser utilizado. Os valores possveis so: MD5 ou SHA. Autenticao com criptografia usando o DES ou Blowfish Para se utilizar fluxos com criptografia pelo algoritmo DES, Blowfish com chaves de 128 bits ou Blowfish com chaves de 256 bits, deve-se selecionar a opo correspondente, no campo Algortmo de Encriptao. Neste caso, ser mostrada a seguinte janela:
A janela mostrada neste caso exatamente igual do item anterior, com a exceo de dois novos campos: Vetor de inicializao: o tamanho, em bits, do vetor de inicializao a ser utilizado no algoritmo de criptografia. Este vetor gerado automaticamente pelo sistema para cada pacote a ser enviado. Recomenda-se o uso da opo 64 bits.
170
Chaves: a chave que ser utilizada para criptografar o pacote. Ela deve ser um nmero hexadecimal composto obrigatoriamente de 16, 32 e 64 dgitos, no caso dos algoritmos DES, Blowfish (128 bits) e Blowfish (256 bits), respectivamente. Autenticao com criptografia usando o Triplo DES (3DES) Para se utilizar fluxos com criptografia pelo algoritmo Triplo DES, deve-se selecionar a opo 3DES no campo Algortmo de encriptao. Neste caso, ser mostrada a seguinte janela:
A janela mostrada neste caso exatamente igual do item intitulado apenas autenticao, com alterao do campo Chave, onde anteriormente s havia um campo para insero, agora so trs: Chave 1: a chave utilizada na primeira aplicao do DES. Ela deve ser um nmero hexadecimal composto, obrigatoriamente, de 16 dgitos. Chave 2: a chave utilizada na segunda aplicao do DES. Ela deve ser um nmero hexadecimal composto, obrigatoriamente, de 16 dgitos. Chave 3: a chave utilizada na terceira aplicao do DES. Ela deve ser um nmero hexadecimal composto, obrigatoriamente, de 16 dgitos.
171
Origem: Define as entidades cujos endereos sero comparados com o endereo origem dos pacotes IP que formaro o fluxo. Destino: Define as entidades cujos endereos sero comparados com o endereo destino dos pacotes IP que formaro o fluxo. Direo: Define em que sentido o fluxo ser aplicado. S existem duas opes possveis: ou o pacote est sendo criptografado (encriptao) ou o pacote esta sendo decriptado (decriptao). (para maiores detalhes, veja o tpico intitulado Planejando a instalao) Encriptao de dados: o algoritmo utilizado para criptografar a chave de sesso, enviada no pacote. aconselhvel a utilizao do Blowfish (256 bits). Encriptao de pacote: o algoritmo que ser utilizado para criptografar os dados do pacote. Pode-se escolher None (caso se deseje utilizar apenas autenticao), DES, 3DES, Blowfish (128 bits) ou Blowfish (256 bits). Autenticao: Define qual algoritmo ser utilizado na autenticao. Os valores possveis so: MD5 ou SHA. Segredo Compartilhado: o segredo que ser utilizado para gerar as chaves-mestre (para maiores detalhes, veja o tpico intitulado Planejando a instalao). Este segredo deve ser o mesmo nos dois firewalls, em ambos os lados do fluxo. Ele deve ser, obrigatoriamente, um nmero hexadecimal com 64 dgitos. Alm destes campos, existe uma opo que facilita a configurao de segredos iguais nos dois firewalls, responsveis pela emisso e recebimento do fluxo seguro: Carregar Segredo: Esta opo possibilita que se leia o campo segredo compartilhado a partir de um arquivo ASCII. Este arquivo deve possuir apenas uma linha com os 64 dgitos do segredo.
172
Quando esta opo for selecionada, ser mostrada uma janela que possibilita a escolha do nome do arquivo onde ser lido o segredo.
A configurao dos parmetros da troca de chaves via Aker-CDP idntica a da troca de chaves via SKIP, mostrada anteriormente, exceto pelo fato de que no necessrio se especificar um segredo compartilhado e todos os algoritmos podem ser deixados na opo Automtica, o que far com que os firewalls participantes do canal negociem o algoritmo mais seguro suportado por ambos.
173
Ajuda do programa:
Firewall Aker - Versao 5.0 fwipseccert - Criacao e manejamento de requisicoes e certificados x.509 Uso: fwipseccert ajuda fwipseccert mostra [requisicao | certificado] fwipseccert remove [requisicao | certificado] <numero> fwipseccert requisita <local | remoto> <1024 | 2048> <email> <pais> <estado> <cidade> <organizacao> <unid org> <dominio> [use_email] [imprime] fwipseccert instala <local | remoto> <certificado> fwipseccert exporta <certificado> <arquivo PKCS12> <senha> fwipseccert importa <arquivo PKCS12> <senha> ajuda mostra ou os remove seu numero requisita com uma instala deve ter comando requisita exporta = exporta o certificado e seu par de chaves correspondente para para um arquivo de formato pkcs12 = mostra esta mensagem = mostra uma lista contendo as requisicoes pendentes certificados instalados = remove uma requisicao ou certificado de acordo com = cria um par de chaves publicas e privadas juntamente requisicao de um certificado x.509 = instala um certificado x.509 cujo o par de chaves sido criado anteriormente pelo sistema atraves do
174
importa chaves e o
= obtem do arquivo pkcs12 um certificado e seu par de instala como certificado local(ver abaixo)
Para requisita temos: local = o certificado local e' usado na indentificacao do proprio firewall; pode-se criar varios certificados locais porem, todos eles usarao o mesmo par de chaves que e' gerado na primeira vez que uma requisicao local e' gerada remoto = certificados remotos sao utilizados para identificacao de outras entidades da rede. 1024/2048 = sao os possiveis tamanhos das chaves que serao geradas use_email = o certificado contera o valor de <email> como seu subject alternative name; como default ele usara o valor de <dominio> imprime = apos a criacao da requizicao, ela sera impressa na tela email, pais, estado, cidade, organizacao, unid org e dominio sao campos que serao usados para indentificar do usuario do certificao. O campo <pais> deve conter 2 caracteres no maximo. O campo <unid org> e' abreviatura de unidade organizacional e se refere ao departamento ou divisao da organizacao ao qual pertence o usuario do certificado
Carregando certificados
A interface texto de configurao dos certificados de criptografia de uso simples e possui as mesmas capacidades da interface grfica. Localizao do programa: /etc/firewall/fwcert Sintaxe:
fwcert fwcert fwcert fwcert fwcert ajuda mostra [local | ca | negociacao | revogacao] carrega [local | ca] <arquivo> [-f] carrega revogacao <arquivo> remove <codigo> [-f]
Ajuda do programa:
Firewall Aker - Versao 5.0 fwcert - Configura os certificados para criptografia Uso: fwcert ajuda fwcert mostra [local | ca | negociacao | revogacao] fwcert carrega [local | ca] <arquivo> [-f] fwcert carrega revogacao <arquivo> fwcert remove <codigo> [-f] ajuda mostra = mostra esta mensagem = mostra os certificados especificados
175
carrega remove
Para mostra temos: local = mostra o certificado de negociacao local ca = mostra os certificados das entidades certificadoras negociacao = mostra os certificados de negociacao de outros firewalls que foram recebidos pela rede revogacao = mostra os certificados de revogacao que foram carregados localmente ou recebidos pela rede Para carrega temos: local = carrega o certificado de negociacao local (se ja existir um certificado carregado ele sera substituido) ca = carrega um certificado de uma Entidade Certificadora que sera usado para validar os certificados de negociacao recebidos (se ja existir um outro certificado com o mesmo codigo ele sera substituido) revogacao = carrega um certificado de revogacao, que sera usado para invalidar um certificado de negociacao comprometido arquivo = nome do arquivo do qual o certificado sera carregado -f = se estiver presente, faz com que o programa nao confirme ao substituir um certificado Para remove temos: codigo = codigo da entidade certificadora a ser removida -f = se estiver presente, faz com que o programa nao confirme ao remover um certificado
Esta interface texto possui as mesmas capacidades da interface grfica com a exceo de que atravs dela no possvel se atribuir comentrios para os canais seguros, se especificar mais de uma entidade como origem ou destino deles nem atribuir algoritmos para troca de chaves via Aker-CDP (neste caso, os algoritmos sero sempre marcados com a opo de negociao automtica). Alm disso, no ser possvel configurar os algoritmos a serem usados pelo IPSEC-IKE (janela avanado), eles tero sempre os valores padro. Localizao do programa: /etc/firewall/fwcripto Sintaxe:
Uso: fwcripto [mostra | ajuda] fwcripto [habilita | desabilita | remove] <pos> fwcripto inclui <pos> <origem> <destino> <envia | recebe> ipsec <gateway> <ss <segredo> | cert <local> <remoto>> fwcripto inclui <pos> <origem> <destino> <envia | recebe> manual <spi> <MD5 | SHA> <chave autenticacao> NENHUM fwcripto inclui <pos> <origem> <destino> <envia | recebe> manual <spi> <MD5 | SHA> <chave autenticacao> <DES | BFISH128 | BFISH256> <tamanho_iv> <chave criptografia> fwcripto inclui <pos> <origem> <destino> <envia | recebe> manual <spi> <MD5 | SHA> <chave autenticacao> 3DES <tamanho_iv> <chave1> <chave2> <chave3> fwcripto inclui <pos> <origem> <destino> envia skip <DES | 3DES | BFISH256> <MD5 | SHA> <NENHUM | DES | 3DES | BFISH128 | BFISH256> <segredo> fwcripto inclui <pos> <origem> <destino> recebe skip <segredo> fwcripto inclui <pos> <origem> <destino> <envia | recebe> akercdp
Ajuda do programa:
Firewall Aker - Versao 5.0 fwcripto - Configura a tabela de autenticacao e criptografia Uso: fwcripto [mostra | ajuda] fwcripto [habilita | desabilita | remove] <pos> fwcripto inclui <pos> <origem> <destino> <envia | recebe> ipsec <gateway> <ss <segredo> | cert <local> <remoto>> fwcripto inclui <pos> <origem> <destino> <envia | recebe> manual <spi> <MD5 | SHA> <chave autenticacao> NENHUM fwcripto inclui <pos> <origem> <destino> <envia | recebe> manual <spi> <MD5 | SHA> <chave autenticacao> <DES | BFISH128 | BFISH256> <tamanho_iv> <chave criptografia> fwcripto inclui <pos> <origem> <destino> <envia | recebe> manual <spi> <MD5 | SHA> <chave autenticacao> 3DES <tamanho_iv> <chave1> <chave2> <chave3> fwcripto inclui <pos> <origem> <destino> envia skip <DES | 3DES | BFISH256> <MD5 | SHA> <NENHUM | DES | 3DES | BFISH128 | BFISH256> <segredo> fwcripto inclui <pos> <origem> <destino> recebe skip <segredo> fwcripto inclui <pos> <origem> <destino> <envia | recebe> akercdp mostra inclui = mostra todas as entradas da tabela de criptografia = inclui uma entrada na tabela
177
= = = =
habilita uma entrada previamente desabilitada desabilita uma entrada existente remove uma entrada existente da tabela mostra esta mensagem
Para inclui temos: pos = posicao onde a nova entrada sera incluida na tabela (Podera ser um inteiro positivo ou a palavra FIM para incluir no final da tabela) envia = esta entrada sera usada na hora de enviar pacotes recebe = esta entrada sera usada na hora de receber pacotes ipsec = usa troca de chave e protocolo IPSEC gateway = a entidade que representa a ponta remota do tunel IPSEC ss = usa segredo compartilhado como forma de autenticacao segredp = a "string" que sera usada como segredo compartilhado cert = usa certificados X.509 para autenticacao local = o nome de dominio (FQDN) no certificado a apresentar remoto = o nome de dominio (FQDN) no certificado esperado manual = utiliza troca de chaves manual skip = utiliza troca de chaves automatica via o protocolo SKIP aker-cdp = utiliza troca de chaves automatica via o protocolo Aker-CDP spi = indice de parametro de seguranca (E' um inteiro que identifica unicamente a associacao de seguranca entre a maquina de origem e de destino. Este numero deve ser maior que 255) MD5 = usa como algoritmo de autenticacao o MD5 SHA = usa como algoritmo de autenticacao o SHA-1 DES = usa como algoritmo de criptografia o DES 3DES = usa como algoritmo de criptografia o triplo DES BFISH128 = usa como algoritmo de criptografia o Blowfish com chaves de 128 bits BFISH256 = usa como algoritmo de criptografia o Blowfish com chaves de 256 bits NENHUM = nao usa criptografia, somente autenticacao (No caso do skip, o primeiro algoritmo selecionado correponde ao algoritmo de criptografia da chave e o segundo corresponde ao de criptografia do pacote) tamanho_iv = tamanho do vetor de inicializacao, em bits, para o algoritmo de criptografia. Deve ter o valor 32 ou 64. As chaves de autenticacao, criptografia e o segredo skip devem ser entradas como numeros hexadecimais. No caso do 3DES devem ser digitadas 3 chaves separadas por brancos Para habilita / desabilita / remove temos: pos = posicao a ser habilitada, desabilitada ou removida da tabela (a posicao e' o valor mostrado na esquerda da entrada ao se usar a opcao mostra)
178
Entrada 01: ---------Origem : REDE1 Destino : AKER Sentido : Recebe Chaves: SKIP Segredo : 5ab53faefc7c9845acbe223148065dabe3279819ab01c39654effacbef087022 Entrada 02: ---------Origem : AKER Destino : REDE1 Sentido : Envia Chaves: SKIP Algoritmos: 3DES MD5 DES Segredo : 5ab53faefc7c9845acbe223148065dabe3279819ab01c39654effacbef087021 Entrada 03: ---------Origem Destino Sentido SPI Criptografia VI: 64 bits Entrada 04: ---------Origem Destino Sentido SPI Criptografia VI: 64 bits Entrada 05: ---------Origem Destino Sentido Auto Entrada 06: ---------Origem Destino Sentido Auto
: : : : :
Rede Interna Rede externa 1 Envia Chaves: Manual Algoritmos: SHA DES 999 Autenticacao: 0c234da5677ab5 9a34ac7890ab67ef
: : : : :
Rede externa 1 Rede Interna Recebe Chaves: Manual Algoritmos: SHA DES 999 Autenticacao: 0c234da5677ab5 9a3456ac90ab67ef
Exemplo 3: (incluindo uma entrada com troca de chaves manual e criptografia via DES no final da tabela)
#/etc/firewall/fwcripto inclui fim REDE1 REDE2 envia manual 7436 MD5 c234da5677ab5 DES 64 4234ad70cba32c6ef Entrada incluida na posicao 7
Exemplo 4: (incluindo uma entrada com troca de chaves via SKIP no inicio da tabela)
#/etc/firewall/fwcripto inclui 1 Rede1 Rede2 envia skip 3DES SHA DES 5ab53faefc7c9845acbe223148065dabe3279819ab01c39654effacbef087022 Entrada incluida na posicao 1
179
Exemplo 5: (incluindo uma entrada com troca de chaves via Aker-CDP na posicao 2 da tabela)
# /etc/firewall/fwcripto inclui 2 "Rede Aker 3" "Rede Aker 1" recebe aker-cdp Entrada incluida na posicao 2
180
181
firewall ou mecanismo de controle no caminho que impea a passagem de pacotes para esta porta, caso contrrio no ser possvel o estabelecimento dos canais seguros. O cliente de criptografia somente encripta dados enviados atravs de Winsock, no encriptando nenhum tipo de comunicao NetBIOS.
182
Os parmetros de configurao de canais cliente so formados pelos seguintes campos: Habilitar clientes VPN: Esta opo deve ser marcada para ativar o suporte no firewall para os canais seguros de clientes. Ao se desabilitar o suporte a clientes de criptografia, a configurao continuar armazenada, mas no poder ser alterada.
183
Permitir canais seguros de qualquer mquina: Esta opo permite que qualquer mquina na Internet estabelea um canal seguro com o Firewall. Permitir canais seguros apenas das redes listadas: Esta opo exige que qualquer entidade que queira estabelecer um canal seguro esteja presente na lista logo abaixo. No permitir canais seguros das redes listadas: Esta opo oposta anterior e exige que as entidades que queiram estabelecer um canal seguro no estejam presentes na lista logo abaixo. Adicionando e removendo entidades da lista de entidades (exceto se Permitir canais seguros de qualquer mquina estiver marcado): Para se adicionar uma entidade lista, deve-se proceder da seguinte forma: Clique com o boto direito do mouse no campo onde a entidade ser inserida, ou o arraste a entidades do campo entidades, localizado no lado inferior esquerdo, para cima do campo desejado.
o
Clica-se com o boto direito do mouse no campo de onde a entidade ser removida.
Nmero mximo de conexes simultneas: Este parmetro configura o nmero mximo de canais seguros de clientes que podem estar ativos em um determinado instante. Ele pode variar entre 0 e o nmero mximo de licenas de clientes de criptografia adquiridas. Se estiver em 0, no ser permitido a nenhum usurio estabelecer canais seguros. Mtodos de Autenticao As opes disponveis, que podem ser marcadas independentemente, so:
Usurio/senha
O usurio dever se autenticar atravs de uma combinao de nome e uma senha. Esses dados sero repassados a um ou mais servidores de autenticao que devero valid-los. Esta opo a mais insegura porm no depende de nenhum hardware adicional.
Token (SecurID)
O usurio dever se autenticar mediante o fornecimento de um nome, um PIN e um cdigo presente em um Token SecurID que modificado a cada minuto. Esses dados sero repassados para o autenticador Token cadastrado no firewall para serem validados. Essa opo bem mais segura que a anterior, porm exige que cada usurio possua um Token.
O usurio dever se autenticar atravs do uso de certificados X509 (por exemplo, gravados em smart cards) e emitidos por uma das autoridades certificadoras cadastradas no firewall. Essa forma de autenticao a mais segura das trs, pois exigir a senha de desboqueio da chave privada e a posse da mesma. Caso alguma opo em Mtodos de Autenticao esteja marcada, possvel se definir se um usurio validado no cliente de criptografia ter ou no um perfil de acesso associado a ele. Se a opo Utiliza perfil de acesso esteja marcada, ento ao ser validado no cliente de criptografia o usurio ter os mesmos direitos que teria caso se autenticasse tambm atravs do cliente de autenticao. Caso esta opo esteja desmarcada, ento o usurio estabelecer um canal seguro porm no ter nenhum perfil de acesso associado a ele (esse ltimo o comportamento da verso 3.52 e anteriores do firewall). possvel se utilizar o Cliente de Autenticao Aker em conjunto com o cliente de criptografia. Desta forma, caso se esteja utilizando autenticao por usurio/senha, no necessrio ao usurio se autenticar novamente para o firewall. Para maiores informaes sobre o cliente de autenticao veja o captulo intitulado O cliente de autenticao Aker.
185
Ajuda do programa:
Firewall Aker - Versao 5.0 fwclient - Configura parametros de canais seguros para clientes Uso: fwclient [ativa | desativa | mostra | ajuda] fwclient [inclui | remove] <nome> fwclient [habilita | desabilita] <algoritmo> fwclient max_clientes <valor> fwclient autenticacao nenhuma fwclient autenticacao [senha | cartao | token] <sim | nao> fwclient permite [todos | listados | outros] fwclient perfil <sim | nao> ativa desativa mostra inclui remove habilita desabilita max_clientes autenticacao usuarios estabelecerem permite seguros perfil validados ajuda canais seguros = indica quais entidades poderao estabelecer canais com o firewall = Habilita o uso de perfis de acesso para usuarios pelo cliente de criptografia = mostra esta mensagem = = = = = = = = = ativa suporte a canais seguros para clientes desativa suporte a canais seguros para clientes mostra a configuracao atual inclui uma entidade na lista de entidades remove uma das entidades da lista de entidades habilita o uso do algoritmo especificado desabilita o uso do algoritmos especificado configura o numero maximo de clientes simultaneos desativa ou seleciona os tipos de autenticacao de que serao aceitos para maquinas clientes
Para inclui / remove temos: nome = nome da entidade a ser incluida ou removida da lista Para max_clientes temos: valor = numero maximo de clientes simultaneos (deve ser um numero inteiro entre 0 e 1000) Para autenticacao temos: nenhuma = nao exige autenticacao de usuarios
186
= aceita ou nao autenticacao por usuario/senha = aceita ou nao autenticacao por smart card = aceita ou nao autenticacao por tokens
Para permite temos: todos = permite que qualquer maquina na Internet estabeleca um canal seguro com o firewall listados = permite apenas as maquinas, redes ou conjuntos listados estabelecer canais seguros com o firewall outros = permite a todas as maquinas na Internet menos as maquinas, redes ou conjuntos listados estabelecerem canais seguros com o firewall
Exemplo 2: (ativando a autenticao de usurios por usurio senha e mostrando a nova configurao)
#/etc/firewall/fwclient autenticacao senha sim #/etc/firewall/fwclient mostra Parametros de configuracao: --------------------------Suporte a canais seguros para clientes: ativado Numero maximo de clientes simultaneos : 25 Utiliza perfis de acesso: sim Autenticacao de usuarios: Usuario/senha: sim Smart card : nao Token : nao NAO permite canais seguros apenas das entidades abaixo: ------------------------------------------------------hacker1 (Maquina) rede teste (Rede) Algoritmos carregados: ---------------------DES 3-DES Blowfish-128 Blowfish-256
187
Exemplo 3: (permitindo o estabelecimento de canais seguros de qualquer mquina e mostrando a nova configurao)
#/etc/firewall/fwclient permite todos #/etc/firewall/fwclient mostra Parametros de configuracao: --------------------------Suporte a canais seguros para clientes: ativado Numero maximo de clientes simultaneos : 25 Utiliza perfis de acesso: sim Autenticacao de usuarios: Usuario/senha: sim Smart card : nao Token : nao Permite canais seguros de qualquer maquina da Internet Algoritmos carregados: ---------------------DES 3-DES Blowfish-128 Blowfish-256 #/etc/firewall/fwclient desabilita des #/etc/firewall/fwclient mostra Parametros de configuracao: --------------------------Suporte a canais seguros para clientes: ativado Numero maximo de clientes simultaneos : 25 Utiliza perfis de acesso: sim Autenticacao de usuarios: Usuario/senha: sim Smart card : nao Token : nao Permite canais seguros de qualquer maquina da Internet Algoritmos carregados: ---------------------DES 3-DES Blowfish-128 Blowfish-256
188
-a -i -d diretrio -f -c
Executa instalao automtica Adiciona cliente no menu Iniciar Especifica diretrio de instalao Instala cliente mesmo se j detectar uma instalao anterior Inicia o cliente aps instal-lo
Caso no se tenha especificado a opo -d diretrio, o cliente ser instalado em C:\Arquivos de Programas\aker\aker_crypt
189
Configurao das redes seguras e opo do uso do Cliente de Autenticao Aker para efetuar logon Lista de algoritmos habilitados Certificados de revogao e das entidades certificadoras
190
Sesso
Nesta pasta mostrado um resumo do funcionamento do Cliente, indicando se o mesmo se encontra ativo ou no e a quantidade de bytes e conexes seguras e no seguras que j passaram pelo Cliente desde o incio de seu funcionamento. Conexes seguras so aquelas que esto sendo encriptadas e as no seguras so aquelas cujos dados trafegam em texto pleno. Na parte superior da pasta existe um boto que permite que se ative ou desative o Cliente. Caso o Cliente esteja desativado, nenhuma conexo ser encriptada.
191
Certificados
Esta pasta tem o funcionamento igual ao da janela de certificados do firewall, com a nica diferena de que no existem certificados locais. Ela consiste de duas listas: na lista da esquerda so mostrados os certificados de negociao, revogao e de entidades certificadoras. Na lista da direita so mostrados os campos de um certificado que esteja selecionado. Caso nenhum certificado esteja selecionado, ela ficar em branco. Os campos de cada certificado, mostrados direita, so apenas informativos. No possvel se alterar nenhum destes valores. Para se carregar um novo certificado, deve-se proceder da seguinte forma: 1. Clica-se em um dos botes Entidade Certificadora ou Certificado de Revogao, no grupo Carregar, dependendo do tipo de certificado a ser carregado. 2. Ser mostrada uma janela para que se escolha o nome e a localizao do arquivo a ser carregado. Aps se especificar este nome, deve-se clicar no boto Abrir.
192
Redes Seguras
Esta a pasta principal da configurao do Cliente. Ela consiste de uma lista onde so mostradas todas as redes para as quais a comunicao ser encriptada. Para cada rede existe uma coluna de status indicando se ela est ativa ou no. Para se incluir uma nova entrada na lista, basta se clicar no boto Incluir, localizado na barra de ferramentas. Para se remover ou editar uma rede segura, basta se selecionar a entrada a ser removida ou editada e clicar na opo correspondente da barra de ferramentas. No caso das opes Incluir ou Editar ser mostrada seguinte janela:
193
IP: o endereo IP da rede com a qual a comunicao ser encriptada. Mscara: a mscara da rede com a qual a comunicao ser encriptada. Descrio: um campo livre, utilizado apenas para fins de documentao possvel se exportar a configurao atual para um arquivo e import-la posteriormente na mesma ou em outra mquina. Para tal, existem os botes Importar e Exportar, localizados na barra de ferramentas. O boto Importar salva a lista de redes seguras em um arquivo e o boto Exportar carrega uma lista de redes a partir de um arquivo e as acrescenta na lista atual (as novas entradas sero acrescentadas ao final da lista atual). O boto Negociar permite que se negocie imediatamente um canal seguro com a rede selecionada. Caso a sesso para a rede selecionada j esteja estabelecida ou nenhuma entrada esteja selecionada, este boto ser desabilitado. O boto Aplicar serve para que as alteraes recm feitas sejam salvas se tornem permanentes. Ao ser clicado, todas as sesses que por ventura estejam ativas sero derrubadas. A opo Utilizar nome e senha a partir do Cliente de Autenticao Aker, se estiver marcada, faz com que o cliente de criptografia use a senha e o nome do usurio 194
utilizados no logon da rede para estabelecer sesses seguras, caso estas exijam autenticao de usurio. Caso esta opo no esteja marcada e o firewall esteja configurado para exigir autenticao de usurios, uma janela pedindo um nome e uma senha ser mostrada todas as vezes que uma nova sesso de criptografia for estabelecida. Caso o Cliente de Autenticao no esteja ativo, a opo Utilizar nome e senha a partir do Cliente de Autenticao Aker estar desabilitada, no podendo ser utilizada.
Log
Esta pasta muito til para se acompanhar o funcionamento do cliente de criptografia. Ela consiste de uma lista com diversas mensagens ordenadas pela hora. Ao lado de cada mensagem existe um cone colorido, simbolizando sua prioridade. As cores tem o seguinte significado: Verde Depurao Azul Informao Amarelo Notcia Vermelho Advertncia Preto Erro O boto Apagar, localizado na barra de ferramentas permite com que se apague todas as entradas existentes no log. O boto Salvar, localizado na barra de ferramentas permite com que se salve o log em um arquivo formato texto. Ao ser clicado, ser mostrada uma janela para que se especifique o nome do arquivo que ser salvo.
195
A opo Ativar Log, se estiver desmarcada, far com que novas entradas de log no sejam mais geradas pelo Cliente de Criptografia. O log do Cliente de Criptografia Aker armazenado apenas durante a execuo do cliente. Caso este seja fechado, todas as suas informaes sero descartadas.
Algoritmos
A pasta de algoritmos permite com que se desabilite determinados algoritmos, fazendo com que estes no sejam utilizados no estabelecimento de canais seguros, bem como que se carregue novos algoritmos e se remova algoritmos previamente carregados. Ela consiste de uma lista onde, para cada algoritmo, mostrado seu nome, empresa ou pessoa que o implementou e o tamanho, em bits, de sua chave. Para se desabilitar um algoritmo, basta se clicar sobre a caixa esquerda de seu nome. Um novo clique o habilitar novamente. Para se adicionar um novo algoritmo ao Cliente de Criptografia, basta se clicar sobre o boto Instalar, localizado na barra de ferramentas. Ser mostrada ento uma janela para que se possa especificar o nome do arquivo .DLL, fornecido pelo fabricante do algoritmo, que contm sua implementao. Para se remover um algoritmo, basta clicar sobre seu nome, para selecion-lo, e ento clicar no boto Excluir, localizado na barra de ferramentas. Este procedimento remover o arquivo .DLL instalado por meio da opo anterior. Para se realizar qualquer operao sobre os algoritmos, necessrio que o Cliente de Criptografia esteja inativo.
196
No possvel se excluir os algoritmos padro do Cliente de Criptografia, sendo apenas possvel desabilit-los.
Sobre
Esta uma pasta meramente informativa e serve para que se obtenha algumas informaes do Cliente de Criptografia. Dentre as informaes teis se encontram sua verso e release.
197
O mdulo de montagem
O mdulo de montagem o responsvel por armazenar todos os fragmentos de pacotes IP recebidos at que estes possam ser montados e convertidos em um pacote completo. Este pacote ser ento entregue para os demais mdulos.
O filtro de pacotes
198
O filtro de pacotes possui a funo bsica de validar um pacote de acordo com as regras definidas pelo administrador, e a sua tabela de estados, e decidir se este deve ou no ser autorizado a trafegar pelo firewall. Se ele decidir que o pacote pode trafegar, este ser repassado para os demais mdulos, caso contrrio ser descartado e o fluxo terminado.
O conversor de endereos
O conversor de endereos recebe um pacote j autorizado a trafegar e verifica, de acordo com sua configurao, se este deve ter o endereo de origem convertido. Em caso positivo, ele o converte, do contrrio o pacote no sofre quaisquer alteraes. Independente de ter sido convertido ou no, o pacote ser repassado para o mdulo de criptografia.
O mdulo de encriptao
O mdulo de encriptao recebe um pacote validado e com os endereos convertidos e decide, baseado em sua configurao, se este pacote deve ser encriptado ou autenticado antes de ser enviado ao destino. Em caso positivo, o pacote ser autenticado, encriptado, e sofrer o acrscimo de cabealhos especficos destas operaes. Independentemente de ter sido encriptado/autenticado ou no, o pacote ser enviado pela rede.
O mdulo de montagem
O mdulo de montagem o responsvel por armazenar todos os fragmentos de pacotes IP recebidos at que estes possam ser montados e convertidos em um pacote completo. Este pacote ser ento entregue para os demais mdulos.
199
O mdulo de decriptao
O mdulo de decriptao tem a funo de remover os cabealhos adicionados pelo mdulo de encriptao, verificar a assinatura de autenticao do pacote e decript-lo. Caso a autenticao ou a criptografia apresentem erro, o pacote ser descartado. A outra funo deste mdulo assegurar que todos os pacotes que cheguem de uma rede para a qual existe um canal seguro estejam vindo criptografados. Caso um pacote venha de uma rede para a qual existe um canal de criptografia ou autenticao e este pacote no estiver autenticado ou criptografado, ele ser descartado. Caso o pacote tenha sido validado com sucesso, este ser repassado para o conversor de endereos.
O conversor de endereos
O conversor de endereos recebe um pacote e verifica se o endereo destino deste pacote um dos IPs virtuais. Em caso positivo, este endereo convertido para um endereo real. Independente de ter sido convertido ou no, o pacote ser repassado para o filtro de pacotes.
O filtro de pacotes
O filtro de pacotes o ltimo mdulo do fluxo de fora para dentro. Ele possui a funo bsica de validar os pacotes recebidos de acordo com as regras definidas pelo administrador, e a sua tabela de estados, e decidir se este deve ou no ser autorizado a trafegar pelo firewall. Se ele decidir que o pacote pode trafegar, este ser repassado para a mquina destino, caso contrrio ele ser descartado.
200
No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro e depois possuem seus endereos convertidos (se for o caso), ou seja, o filtro recebe os endereos reais das mquinas. No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo conversor de endereos que converte os endereos destino dos IPs virtuais para os endereos reais. Aps isso os pacotes so enviados para o filtro de pacotes, ou seja, novamente o filtro de pacotes recebe os pacotes com os endereos reais.
Em ambos os casos, o filtro no sabe da existncia dos endereos virtuais, o que nos leva a fazer a seguinte afirmao: Ao se criar regras de filtragem deve-se ignorar a converso de endereos. As regras devem ser configuradas como se as mquinas origem e destino estivessem conversando diretamente entre si, sem o uso de qualquer tipo de converso de endereos
201
No fluxo de ida (de dentro para fora), os pacotes passam primeiro pelo filtro, depois possuem seus endereos convertidos (se for o caso) e por fim so repassados para o mdulo de encriptao. Devido a isso, o mdulo de encriptao recebe os pacotes como se eles fossem originados dos endereos virtuais. No fluxo de volta (de fora para dentro), os pacotes passam primeiro pelo mdulo de decriptao e so decriptados (se for o caso). A seguir so enviados para o conversor de endereos, que converte os IPs virtuais para reais, e por fim so enviados para o filtro de pacotes. O mdulo de decriptao recebe os pacotes antes deles terem seu endereo convertido e, portanto, com os endereos virtuais.
Em ambos os casos, o mdulo de criptografia recebe os pacotes como se eles tivessem origem ou destino nos IPs virtuais, o que nos leva seguinte afirmao: Ao se criar fluxos de criptografia, deve-se prestar ateno converso de endereos. Os endereos de origem e destino devem ser colocados como se o fluxo se originasse ou tivesse como destino IPs virtuais.
202
203
pois o servidor ao descobrir que a confirmao est demorando demais, remove a conexo em andamento da lista. Entretanto, se o atacante persistir em mandar pacotes seguidamente, o servio ficar inutilizado enquanto ele assim o fizer. Nem todas as mquinas so passveis de serem atingidas por ataques de SYN Flood. Implementaes mais modernas do protocolo TCP possuem mecanismos prprios para inutilizarem ataques deste tipo.
204
Clicar no menu Segurana na janela do Firewall que se deseja administrar Escolher o item SYN Flood
O boto OK far com que os parmetros de configurao sejam atualizados e a janela fechada. O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela fechada.
205
O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta
Significado dos campos da janela: Ativar proteo contra SYN flood: Esta opo deve estar marcada para ativar a proteo contra SYN flood e desmarcada para desativ-la. (ao se desabilitar a proteo contra SYN flood, as configuraes antigas continuam armazenadas, mas no podem ser alteradas) Durao mxima do handshake do TCP: Esta opo define o tempo mximo, em unidades de 500 ms, que o firewall espera por uma confirmao do fechamento das conexes por parte do cliente. Se este intervalo de tempo for atingido, ser enviado uma pacote para as mquinas servidoras derrubando a conexo. O valor ideal deste campo pode variar para cada instalao, mas sugere-se valores entre 3 e 10, que correspondem a intervalos de tempo entre 1,5 e 5 segundos. A lista de entidades a proteger A lista de entidades a proteger define as mquinas, redes ou conjuntos que sero protegidos pelo firewall. Para se incluir uma nova entidade na lista de proteo, deve-se proceder de um dos seguintes modos:
Executa-se uma operao de drag-n-drop (arrastar e soltar) da janela de entidades diretamente para a lista de hosts e redes a proteger Abre-se o menu de contexto na janela na lista de hosts e redes a proteger com o boto direito do mouse ou com a tecla correspondente no.teclado e seleciona-se Adicionar entidades, para ento escolher aquelas que sero efetivamente incluidas na lista.
Para se remover uma entidade da lista de proteo, deve-se marc-la e pressionar a tecla delete, ou escolher a opo correspondente no menu de contexto, acionado com o boto direito do mouse ou com a tecla correspondente: Deve-se colocar na lista de entidades a serem protegidas todas as mquinas servidoras de algum servio TCP passvel de ser utilizado por mquinas externas. No se deve colocar o endereo do prprio firewall nesta lista, uma vez que os sistemas operacionais FreeBSD e Linux no so susceptveis a ataques de SYN flood.
206
207
O boto OK far com que os parmetros de configurao sejam atualizados e a janela fechada. O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela fechada. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta
Significado dos campos da janela: Nmero: Corresponde ao nmero da regra de Proteo de Flood. 208
Origem: Neste campo pode ser uma rede ou mquina de onde poder ser originado um ataque de DDoS. Destino: Incluir neste campo mquinas ou redes que se deseja proteger. Servios: portas de servios que se desejam proteger. Poder ser includo no campo mais de uma entidade. Conexes Mximas: Campo numrico onde se deve informar o nmero mximo de conexes que a entidade pode receber a partir de uma mesma origem.
209
210
211
O boto OK far com que os parmetros de configurao sejam atualizados e a janela fechada. O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela fechada. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta
212
Significado dos campos da janela: Ativao do controle anti-spoofing: A marcao da caixa ativa a proteo Anti Spoofing. Interface: Corresponde a interface cadastrada no firewall pelo administrador. Status: Neste campo mostrado o estado da interface, ou seja, se est ativa ou no. Este campo no pode ser editado. Tipo: Por padro este campo marcado como Externa. Clicando-se com o boto direito do mouse poder ser trocado o tipo para Protegida, passando o campo Entidades para a condio de editvel. Protegida significa que a interface est conectada a uma rede interna e somente sero aceitos pacotes com endereos IP originados em alguma das entidades especificadas na regra. Externa significa que uma interface conectada a Internet da qual sero aceitos pacotes provenientes de quaisquer endereos origem, exceto os pertencentes a entidades listadas nas regras de interfaces marcadas como Protegidas. Entidades: Quanto se define uma interface Protegida, deve-se incluir neste campo a lista de todas as redes e/ou mquinas que se encontram conectadas a esta interface.
213
214
Nessa janela so configurados todos os parmetros que propiciam que agentes IDS acrescentem regras de bloqueio no firewall.
O boto OK far com que a janela de configurao de agente IDS seja fechada e as alteraes efetuadas salvas. O boto Cancelar far com que a janela seja fechada porm as alteraes efetuadas no sejam aplicadas. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta
215
Significado dos parmetros Habilitar agente de IDS: Esta opo deve estar marcada para ativar o suporte a agentes IDS e desmarcada para desativ-lo. (ao se desabilitar o suporte a agentes IDS, as configuraes antigas continuam armazenadas, mas no podem ser alteradas) Agente IDS a utilizar: Esse campo indica o agente IDS que estar habilitado a incluir regras de bloqueio no firewall. Esse agente deve ter sido previamente cadastrado no firewall. Para maiores informaes veja o captulo intitulado Cadastrando entidades. O Status permite ao administrador verificar o status da conexo com o agente IDS. Um valor verde, com a palavra Conectado, indica que o firewall conseguiu se autenticar e estabelecer com sucesso a comunicao com o agente. O boto Atualizar far com que o status da conexo seja renovado. O boto Descarregar far com que todas as regras cadastradas pelo agente IDS sejam excludas do firewall.
216
217
Esta janela consiste de 4 pastas. Na primeira, que est sendo mostrada acima, onde feita a configurao do plugin. Ela consiste de uma lista com o nome das diversas configuraes criadas pelo administrador e que depois sero mostradas como opo de ao no console de administrao do Real Secure. Pode-se especificar o nome de uma das configuraes quando na execuo de um evento ou utilizar o boto Default para se especificar uma configurao que ser executada por padro, isto , quando no for especificada o nome de nenhuma configurao. Para se criar uma nova configurao, basta se clicar no boto Inserir, localizado na parte esquerda superior da janela. Fazendo-se isso uma configurao em branco ser criada. Para se editar os parmetros desta ou de qualquer outra configurao basta se clicar sobre seu nome e a seguir modificar os parmetros desejados. Significado dos parmetros Nome da configurao: Este o nome que ser mostrado no console de administrao do Real Secure, NFR, Dragon Enterasys e Snort. Quando selecionado, executar as aes definidas pelo administrador.
218
Notificao: Este campo permite definir que aes sero executadas pelo firewall quando uma regra de bloqueio for acrescentada pela execuo da configurao. Caso a opo Padro seja selecionada, ento as aes associadas mensagem Regra de bloqueio IDS acrescentada sero executadas. Caso contrrio pode-se especificar exatamente que aes devem ser tomadas. Para maiores informaes sobre a configurao das aes, veja o captulo Configurando as aes do sistema. Bloqueio: Este campo permite se definir que tipo de bloqueio ser realizado quando a configurao for executada. Existem trs opes possveis que podem ser selecionadas independentemente (quando mais de uma opo for selecionada, a regra bloquear pacotes que se enquadrem em todas as opes marcadas e no em apenas algumas): Origem: Os pacotes que tiverem endereo origem igual ao da regra sero bloqueados Destino: Os pacotes que tiverem endereo destino igual ao da regra sero bloqueados Servio: Os pacotes que utilizarem servio igual ao da regra sero bloqueados. Se esta opo for marcada, deve-se selecionar quais protocolos estaro associados ao servio atravs do campo Protocolo. Isto necessrio devido a uma limitao do Real Secure na medida em que no fornece o protocolo de um determinado servio, apenas seu nmero. Como o NFR inspeciona apenas trfego TCP, esse protocolo deve ser selecionado no caso desse IDS. Tempo de ativao da regra: Este campo permite que se defina por quanto tempo as regras acrescentadas por esta configurao ficaro ativas. Caso a opo Tempo de ativao esteja marcada, deve-se especificar o tempo, em segundos, que a regra ficar ativa. Caso esta opo no esteja marcada, a regra ser mantida at a prxima reinicializao do firewall. Firewalls Usados: Este campo serve para se definir em quais firewalls as regras temporrias sero acrescentadas. Para cada firewall deve-se configurar uma senha de acesso e seu endereo IP. A senha de acesso deve ser a mesma configurada na definio da entidade do agente IDS (para maiores informaes veja o captulo Cadastrando Entidades). Ao se clicar no boto incluir ou editar, a seguinte janela ser mostrada:
219
Os firewalls definidos acima devem ser adicionados as configuraes fazendo-se os seguintes passos: Selecione os firewalls requeridos; Pressione o boto de seta -> para que os firewall selecionados apaream na lista da direita da janela. O boto de Flush utilizado para apagar as regras dinmicas adicionadas pelos IDS nos firewalls selecionados. Aps se realizar todas as modificaes deve-se clicar no boto Aplicar. Caso se esteja utilizando o Real Secure ser ento mostrada uma janela informando que os Global Responses do Real Secure sero alterados e pedindo uma confirmao para continuar. Deve-se clicar no boto Sim para se salvar a nova configurao.
Log
220
Eventos
Esta pasta muito til para se acompanhar o funcionamento do agente. Ela consiste de uma lista com diversas mensagens ordenadas pela hora. Ao lado de cada mensagem existe um cone colorido, simbolizando sua prioridade.
221
Sobre
222
Ajuda do programa:
Firewall Aker - Versao 5.0 fwflood - Configura parametros de protecao contra SYN Flood Uso: fwflood [ativa | desativa | mostra | ajuda] fwflood [inclui | remove] <nome> fwflood tempo <valor> ativa = ativa protecao contra SYN Flood desativa = desativa protecao contra SYN Flood mostra = mostra a configuracao atual inclui = inclui uma entidade a ser protegida remove = remove uma das entidades a serem protegidas tempo = configura o tempo maximo de espera para fechar conexao ajuda = mostra esta mensagem Para inclui / remove temos: nome = nome da entidade a ser protegida ou removida da protecao Para tempo temos: valor = tempo maximo de espera em unidades de 500ms
(Maquina) (Maquina)
223
224
225
Ajuda do programa:
Firewall Aker - Versao 5.0 fwids - Configura parametros do agente IDS externo Uso: fwids [habilita | desabilita | mostra | limpa | ajuda] fwids agente <entidade> fwids bloqueia [origem <ip origem>] [destino <ip destino>] [servico <servico/protocolo>] [tempo] habilita desabilita mostra bloqueia limpa agente ajuda = = = = = = = habilita o funcionamento de agentes IDS externos desabilita o funcionamento de agentes IDS externos mostra a configuracao atual inclui uma regra de bloqueio temporaria remove todas as regras de bloqueio temporarias especifica nome da entidade com dados do agente mostra esta mensagem
Para bloqueia temos: origem = Especifica que deve-se bloquear conexoes originadas no endereco IP especificado destino = Especifica que deve-se bloquear conexoes destinadas ao endereco IP especificado servico = Especifica que deve-se bloquear conexoes que utilizem o servico especificado. Neste caso, deve-se especificar o servico como a porta, para os protocolos TCP e UDP, o tipo de servico, para ICMP, ou o numero do protocolo, no caso de outros protocolos (ex: 23/tcp, 53/udp, 57/outro) tempo = tempo, em segundos, no qual a regra permanecera ativa. No caso de nao ser especificado, a regra ficara ativa ate a proxima inicializacao do firewall
A entidade Agente_IDS deve ter sido previamente cadastrada no sistema. Para maiores informaes sobre como cadastrar entidades no Firewall Aker, veja o captulo entitulado Cadastrando Entidades. Exemplo 3: (Mostrando a configurao atual)
#/etc/firewall/fwids mostra Parametros de configuracao:
226
Exemplo 4: (Acrescentando uma regra de bloqueio da mquina 192.168.0.25 para a mquina 10.0.0.38, no servio WWW, porta 80 do protocolo TCP, por uma hora)
#/etc/firewall/fwids bloqueia origem 192.168.0.25 destino 10.0.0.38 servico 80/tcp 3600
227
228
A janela de configurao das aes Ao se selecionar esta opo ser mostrada a janela de configurao das aes a serem executadas pelo sistema. Para cada mensagem de log e de eventos e para os pacotes que no se enquadrarem em nenhuma regra possvel se determinar aes independentes. A janela mostrada ter a seguinte forma:
Para selecionar as aes a serem executadas para as mensagens mostradas na janela, basta se clicar com o boto direito do mouse sobre as mensagens. A cada opo selecionada aparecer um cone correspondente.
229
Se a opo estiver marcada com o cone aparente, a ao correspondente ser executada pelo Firewall quando a mensagem ocorrer. So permitidas as seguintes aes:
Logs: Se esta opo estiver selecionada, todas as vezes que a mensagem correspondente ocorrer, ela ser registrada pelo firewall. Enviar email: Se esta opo estiver selecionada, ser enviado um e-mail todas as vezes que a mensagem correspondente ocorrer (a configurao do endereo de e-mail ser mostrada no prximo tpico). Executar programa: Se esta opo estiver marcada, ser executado um programa definido pelo administrador todas as vezes que a mensagem correspondente ocorrer (a configurao do nome do programa a ser executado ser mostrada no prximo tpico). Disparar mensagens de alarme: Se esta opo estiver selecionada, o firewall mostrar uma janela de alerta todas as vezes que a mensagem correspondente ocorrer. Esta janela de alerta ser mostrada na mquina onde a interface grfica remota estiver aberta e, se a mquina permitir, ser emitido tambm um aviso sonoro. Caso a interface grfica no esteja aberta, no ser mostrada nenhuma mensagem e esta opo ser ignorada (esta ao particularmente til para chamar a ateno do administrador quando ocorrer uma mensagem importante). Enviar trap SNMP: Se esta opo estiver selecionada, ser enviada uma Trap SNMP para o gerente SNMP todas as vezes que a mensagem correspondente ocorrer (a configurao dos parmetros de configurao para o envio das traps ser mostrada no prximo tpico).
No possvel alterar as aes para a mensagem de inicializao do firewall (mensagem nmero 43). Esta mensagem sempre ter como aes configuradas apenas a opo Loga. Significado dos botes da janela de aes
O boto OK far com que a janela de aes seja fechada e as alteraes efetuadas aplicadas. O boto Cancelar far com que a janela seja fechada porm as alteraes efetuadas no sero aplicadas. O boto Aplicar, far com que as alteraes sejam aplicadas sem que a janela feche.
A janela de configurao dos parmetros Para que o sistema consiga executar as aes, necessrio que se configure certos parmetros (por exemplo, para o Firewall enviar um e-mail, necessrio se configurar o
230
endereo). Estes parmetros so configurados atravs da janela de configurao de parmetros para as aes. Esta janela mostrada ao se selecionar Parmetros na janela de Aes. Ela tem o seguinte formato:
Programa externo: Este parmetro configura o nome do programa que ser executado pelo sistema quando ocorrer uma ao marcada com a opo Programa. Deve ser colocado o nome completo do programa, incluindo o caminho. Deve-se atentar para o fato de que o programa e todos os diretrios do caminho devem ter permisso de execuo pelo usurio que ir execut-lo (que configurado na prxima opo). O programa receber os seguintes parmetros pela linha de comando (na ordem em que sero passados): 1. Nome do prprio programa sendo executado (isto um padro do sistema operacional Unix). 2. Tipo de mensagem (1 - para log ou 2- para evento). 3. Prioridade (7 - depurao, 6 - informao, 5 - notcia, 4 - advertncia ou 3 erro).
231
4. Nmero da mensagem que provocou a execuo do programa ou 0 para indicar a causa no foi uma mensagem. (neste caso, a execuo do programa foi motivada por uma regra) 5. Cadeia de caracteres ASCII com o texto completo da mensagem (esta cadeia de caracteres pode conter o caractere de avano de linha no meio dela). No sistema operacional UNIX, usa-se a barra "/" para especificar o caminho de um programa. Isto pode causar confuso para quem estiver acostumado com o ambiente DOS/Windows, que usa a barra invertida "\". Nome de usurio efetivo: Este parmetro indica a identidade com a qual o programa externo ser executado. O programa ter os mesmos privilgios deste usurio. Este usurio deve ser um usurio vlido, cadastrado no FreeBSD ou Linux. No se deve confundir com os usurios do Firewall Aker, que servem apenas para a administrao do Firewall.
Endereo IP do servidor SNMP: Este parmetro configura o endereo IP da mquina gerente SNMP para a qual o firewall deve enviar as traps. Comunidade SNMP: Este parmetro configura o nome da comunidade SNMP que deve ser enviada nas traps. As traps SNMP enviadas tero o tipo genrico 6 (enterprise specific) e o tipo especfico 1 para log ou 2 para eventos. Elas sero enviadas com o nmero de empresa (enterprise number) 2549, que o nmero designado pela IANA para a Aker Consultoria e Informtica. Existe um arquivo chamado /etc/firewall/mibs/AKER-MIB.TXT que traz as informaes sobre a sub-rvore da Aker Consultoria e Informtica na rvore global. Este arquivo est escrito na notao ASN.1.
Endereo de e-mail: Este parmetro configura o endereo de e-mail do usurio para o qual devem ser enviados os e-mails. Este usurio pode ser um usurio da prpria mquina ou no (neste caso deve-se colocar o endereo completo, por exemplo user@aker.com.br). Caso se deseje enviar e-mails para vrios usurios, pode-se criar uma lista e colocar o nome da lista neste campo. importante notar que caso algum destes parmetros esteja em branco, a ao correspondente no ser executada, mesmo que ela esteja marcada para tal.
232
Ajuda do programa:
fwaction - Interface texto para a configuracao das acoes do sistema Uso: fwaction ajuda fwaction mostra fwaction atribui <numero> [loga] [mail] [trap] [programa] [alerta] fwaction <programa | usuario | comunidade> [nome] fwaction ip [endereco IP] fwaction e-mail [endereco] ajuda mostra uma atribui programa usuario comunidade traps ip as traps e-mail = = = = configura as acoes para uma determinada mensagem define o nome do programa a ser executado define o nome do usuario que executara o programa define o nome da comunidade SNMP para o envio das = mostra esta mensagem = lista as mensagens e as acoes configuradas para cada
= define o endereco IP do servidor SNMP que recebera = define o nome do usuario que recebera os e-mails
Para atribui temos: numero = numero da mensagem a atribuir as acoes (o numero de cada mensagem aparece na esquerda ao se selecionar a opcao mostra) loga = Loga cada mensagem que for gerada mail = Manda um e-mail para cada mensagem que for gerada trap = Gera trap SNMP para cada mensagem que for gerada programa = Executa programa para cada mensagem que for gerada alerta = Abre janela de alerta para cada mensagem que for gerada
233
(...) 231 - Host nao respondeu e foi marcado como inativo >>>> Loga 232 - Link foi marcado como ativo >>>> Loga 233 - Link foi marcado como ativo >>>> Loga Parametros de configuracao: programa : /etc/pager usuario : nobody e-mail : root comunidade: ip :
Ateno: Devido ao grande nmero de mensagens, s esto sendo mostradas as primeiras e as ltimas. O programa real mostrar todas ao ser executado. Exemplo 3: (atribuindo as aes para os Pacotes fora das regras e mostrando as mensagens)
#fwaction atribui 0 loga mail alerta #fwaction mostra Condicoes Gerais: 00 - Pacote fora das regras >>>> Loga Mail Alerta Mensagens do log: 01 - Possivel ataque de fragmentacao >>>> Loga
234
Pacote IP direcionado Loga Ataque de land Loga Conexao nao consta na tabela dinamica Loga Pacote proveniente de interface invalida Loga Pacote proveniente de interface nao determinada Loga Conexao de controle nao esta aberta Loga
(...) 231 - Host nao respondeu e foi marcado como inativo >>>> Loga 232 - Link foi marcado como ativo >>>> Loga 233 - Link foi marcado como ativo >>>> Loga Parametros de configuracao: programa : /etc/pager usuario : nobody e-mail : root comunidade: ip :
Ateno: Devido ao grande nmero de mensagens, s esto sendo mostradas as primeiras e as ltimas. O programa real mostrar todas ao ser executado. Exemplo 4: (cancelando todas as aes para a mensagem de Pacote IP direcionado e mostrando as mensagens)
#fwaction atribui 2 #fwaction mostra Condicoes Gerais: 00 - Pacote fora das regras >>>> Loga Mail Alerta Mensagens do log: 01 >>>> 02 >>>> 03 >>>> 04 >>>> 05 >>>> 06 >>>> 07 >>>> Possivel ataque de fragmentacao Loga Mail Pacote IP direcionado Ataque de land Loga Conexao nao consta na tabela dinamica Loga Pacote proveniente de interface invalida Loga Pacote proveniente de interface nao determinada Loga Conexao de controle nao esta aberta Loga
235
(...) 231 - Host nao respondeu e foi marcado como inativo >>>> Loga 232 - Link foi marcado como ativo >>>> Loga 233 - Link foi marcado como ativo >>>> Loga
Ateno: Devido ao grande nmero de mensagens, s esto sendo mostradas as primeiras e as ltimas. O programa real mostrar todas ao ser executado.
236
237
Clicar no menu Informao do firewall que se deseja ver o log Selecionar a opo Log
A barra de ferramentas do Log Todas as vezes que se seleciona a opo Log, mostrada automaticamente a barra de ferramentas de Log. Esta barra, que estar ao lado das outras barras, poder ser arrastada e ficar flutuando acima das informaes do Log. Ela tem o seguinte formato:
Significado dos cones: Abre a janela de filtragem do firewall Este cone somente ir aparecer quando o firewall estiver fazendo uma procura no Log. Ele permite interromper a busca do firewall Exporta o log para diversos formatos de arquivos
238
Apaga o Log do firewall Realiza uma resoluo reversa dos IP que esto sendo mostrados pelo Log Permite fazer uma atualizao da tela de logs dentro de um determinado perodo definido no campo seguinte Define o tempo que o firewall ir atualizar a janela com informaes de log Percorre o Log para frente e para trs Expande as mensagens de Log, mostrando as mesmas com o mximo de informao Ao clicar no cone de filtro a janela abaixo ir aparecer: A Janela de Filtragem de Log
239
Na parte superior da janela, encontram-se os botes Salvar, Remover e Novo. Permite gravar um perfil de pesquisa que poder ser usado posteriormente pelo administrador. Para salvar um filtro de log, deve-se proceder da seguinte forma: 1. Preenche-se todos os seus campos da forma desejada 2. Define-se, no campo Filtros, o nome pelo qual ele ser referenciado. 3. Clica-se no boto Salvar. Para se aplicar um filtro salvo, basta selecionar seu nome no campo Filtros e todos os campos sero automaticamente preenchidos com os dados salvos. Para excluir um filtro que no mais seja desejado, deve-se proceder da seguinte forma: 1. Seleciona-se o filtro a ser removido, no campo Filtros. 240
2. Clica-se no boto Remover. O filtro padro configurado para mostrar todos os registros do dia atual. Para se alterar a visualizao para outros dias, na janela Data/Hora, pode-se configurar os campos De e Para para os dias desejados (a faixa de visualizao compreende os registros da data inicial data final, inclusive). Caso se deseje ver os registros cujos endereos origem e/ou destino do pacote pertenam a um determinado conjunto de mquinas, pode-se utilizar os campos IP / Mscara ou Entidade para especific-lo.
O boto permitem a escolha do modo de filtragem a ser realizado: caso o boto esteja selecionado, sero mostrados na janela os campos, chamados de IP , Mscara (para origem do pacote) e IP , Mscara (para Destino do pacote). Estes campos podero ser utilizados para especificar o conjunto origem e/ou o conjunto destino. Neste caso, pode-se selecionar uma entidade em cada um destes campos e estas sero utilizadas para especificar os conjuntos origem e destino. O boto pode ser usado independente um do outro, ou seja posso escolher selecionar pela entidade na origem e por IP e Mscara para o destino.
241
Para monitorar um servio especfico, basta colocar seu nmero no campo Porta. A partir deste momento s sero mostradas entradas cujo o servio especificado for utilizado. importante tambm que se selecione o protocolo correspondente ao servio desejado no campo protocolo, mostrado abaixo. No caso dos protocolos TCP e UDP, para se especificar um servio, deve-se colocar o nmero da porta destino, associada ao servio, neste campo. No caso do ICMP devese colocar o tipo de servio. Para outros protocolos, coloca-se o nmero do protocolo desejado. Alm destes campos, existem outras opes que podem ser combinadas para restringir ainda mais o tipo de informao mostrada: Ao:
242
Representa que ao o sistema tomou ao lidar com o pacote em questo. Existem as seguintes opes possveis, que podem ser selecionadas independentemente:
Aceito
Rejeitado
Descartado
Convertido
Mostra as mensagens relacionadas converso de endereos. Prioridade: Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for a prioridade associada a um determinado registro, mais importncia deve-se dar a ele. Abaixo est a lista com as todas as prioridades possveis, ordenada da mais importante para a menos (caso tenha se configurado o firewall para mandar uma cpia do log para o syslogd, as prioridades com as quais as mensagens sero geradas no syslog so as mesmas apresentadas abaixo):
Aviso
Os registros que se enquadram nesta prioridade normalmente indicam que algum tipo de ataque ou situao bastante sria (como por exemplo, um erro na configurao dos fluxos de criptografia) est ocorrendo. Este tipo de registro sempre vem precedido de uma mensagem que fornece maiores explicaes sobre ele.
Nota
Normalmente se enquadram nesta prioridade os pacotes que foram rejeitados ou descartados pelo sistema, em virtude destes terem se encaixado em uma regra configurada para rejeit-los ou descart-los ou por no terem se encaixado em nenhuma regra. Em algumas situaes eles podem ser precedidos por mensagens explicativas.
Informao
Os registros desta prioridade acrescentam informaes teis mas no to importantes para a administrao do Firewall. Estes registros nunca so precedidos por mensagens explicativas. Normalmente se enquadram nesta prioridade os pacotes aceitos pelo firewall.
Depurao 243
Os registros desta prioridade no trazem nenhuma informao realmente til, exceto quando se est configurando o sistema. Se enquadram nesta prioridade as mensagens de converso de endereos. Mdulo: Esta opo permite visualizar independentemente os registros gerados por cada um dos trs grandes mdulos do sistema: filtro de pacotes, conversor de endereos, mdulo de criptografia, IPSEC e Clustering. Protocolo: Este campo permite que se especifique o protocolo dos registros a serem mostrados. As seguintes opes so permitidas:
TCP
Sero mostrados os registros gerados a partir de pacotes TCP. Se esta opo for marcada, a opo TCP/SYN ser automaticamente desmarcada.
TCP/SYN
Sero mostrados os registros gerados a partir de pacotes TCP de abertura de conexo (pacotes com o flag de SYN ativo). Se esta opo for marcada, a opo TCP ser automaticamente desmarcada.
UDP
ICMP
Outro
Sero mostrados registros gerados a partir de pacotes com protocolo diferente de TCP, UDP e ICMP. Pode-se restringir mais o protocolo a ser mostrado, especificando seu nmero atravs do campo Porta destino ou Tipo de Servio.
O boto OK aplicar o filtro escolhido e mostrar a janela de log, com as informaes selecionadas. O boto Cancelar far com que a operao de filtragem seja cancelada e a janela de log mostrada com as informaes anteriores.
A janela de log
244
A janela de log ser mostrada aps a aplicao de um filtro novo. Ela consiste de uma lista com vrias entradas. Todas as entradas possuem o mesmo formato, entretanto, dependendo do protocolo do pacote que as gerou, alguns campos podem estar ausentes. Alm disso, algumas entradas sero precedidas por uma mensagem especial, em formato de texto, que trar informaes adicionais sobre o registro (o significado de cada tipo de registro ser mostrado no prximo tpico). Observaes importantes:
Os registros sero mostrados de 100 em 100. S sero mostrados os primeiros 10.000 registros que se enquadrem no filtro escolhido. Os demais podem ser vistos exportando o log para um arquivo ou utilizando um filtro que produza um nmero menor de registros. No lado esquerdo de cada mensagem, ser mostrado um cone colorido simbolizando sua prioridade. As cores tem o seguinte significado: Depurao Informao Nota Aviso
Ao se clicar com o boto esquerdo sobre uma mensagem, aparecer na parte inferior da tela uma linha com informaes adicionais sobre o registro.
Ao se apagar todo o log, no existe nenhuma maneira de se recuperar as informaes anteriores. A nica possibilidade de recuperao a restaurao de uma cpia de segurana. Se a opo Expande mensagens estiver marcada e se tiver escolhido a opo de exportao em formato texto, o log ser exportado com as mensagens complementares; caso contrrio, o log ser exportado sem elas. Esta opo bastante til para se enviar uma cpia do log para alguma outra pessoa, para se guardar uma cpia em formato texto de informaes importantes ou para se
245
importar o log por um analisadores de log citados acima. Ao ser clicado, ser mostrada a seguinte janela:
Para exportar o contedo do log, basta fornecer o nome do arquivo a ser criado, escolher seu formato e clicar no boto Salvar. Para cancelar a operao, clique em Cancelar. Se j existir um arquivo com o nome informado ele ser apagado.
O boto Prximos, representado como uma seta para a direita na barra de ferramentas, mostrar os prximos 100 registros selecionados pelo filtro. Se no existirem mais registros, esta opo estar desabilitada. O boto ltimos, representado como uma seta para a esquerda na barra de ferramentas, mostrar os 100 registros anteriores. Se no existirem registros anteriores, esta opo estar desabilitada. O boto Ajuda mostrar a janela de ajuda especfica para a janela de log.
246
Protocolo TCP
Formato do registro:
<Data> <Hora> - <Repetio> <Ao> TCP <Status> <IP origem> <Porta origem> <IP destino> <Porta destino> <Flags> <Interface>
Descrio dos campos: Data: Data em que o registro foi gerado. Hora: Hora em que o registro foi gerado. Repetio: Nmero de vezes em que o registro se repetiu seguidamente. Este campo mostrado entre parnteses na interface texto. Status: Este campo, que aparece entre parnteses na interface texto, consiste de uma a trs letras, independentes, que possuem o significado abaixo: A: Pacote autenticado E: Pacote encriptado S: Pacote usando troca de chaves via SKIP ou AKER-CDP Ao: Este campo indica qual foi a ao tomada pelo firewall com relao ao pacote. Ele pode assumir os seguintes valores: A: Indica que o pacote foi aceito pelo firewall D: Indica que o pacote foi descardado R: Indica que o pacote foi rejeitado IP origem: Endereo IP de origem do pacote que gerou o registro. Porta origem: Porta de origem do pacote que gerou o registro. IP destino: Endereo IP destino do pacote que gerou o registro. Porta destino: Porta destino do pacote que gerou o registro. Flags: Flags do protocolo TCP presentes no pacote que gerou o registro. Este campo consiste de uma a seis letras independentes. A presena de uma letra, indica que o flag correspondente a ela estava presente no pacote. O significado das letras o seguinte: S: SYN F: FIN A: ACK
247
P: PUSH R: RST (Reset) U: URG (Urgent Pointer) Interface: Interface de rede do firewall por onde o pacote foi recebido.
Protocolo UDP
Formato do registro:
<Data> <Hora> - <Repetio> <Ao> UDP <Status> <IP origem> <Porta origem> <IP destino> <Porta destino> <Interface>
Descrio dos campos: Data: Data em que o registro foi gerado. Hora: Hora em que o registro foi gerado. Repetio: Nmero de vezes em que o registro se repetiu seguidamente. Este campo mostrado entre parnteses na interface texto. Status: Este campo, que aparece entre parnteses na interface texto, consiste de uma a trs letras, independentes, que possuem o significado abaixo: A: Pacote autenticado E: Pacote encriptado S: Pacote usando troca de chaves via SKIP ou AKER-CDP Ao: Este campo indica qual foi a ao tomada pelo firewall com relao ao pacote. Ele pode assumir os seguintes valores: A: Indica que o pacote foi aceito pelo firewall D: Indica que o pacote foi descartado R: Indica que o pacote foi rejeitado IP origem: Endereo IP de origem do pacote que gerou o registro. Porta origem: Porta de origem do pacote que gerou o registro. IP destino: Endereo IP destino do pacote que gerou o registro. Porta destino: Porta destino do pacote que gerou o registro. Interface: Interface de rede do firewall por onde o pacote foi recebido.
Protocolo ICMP
Formato do registro:
<Data> <Hora> - <Repetio> <Ao> ICMP <Status> <IP origem> <IP destino> <Tipo de servio> <Interface>
Descrio dos campos: Data: Data em que o registro foi gerado. Hora: Hora em que o registro foi gerado. Repetio: Nmero de vezes em que o registro se repetiu seguidamente. Este campo 248
mostrado entre parnteses na interface texto. Status: Este campo, que aparece entre parnteses na interface texto, consiste de uma a trs letras, independentes, que possuem o significado abaixo: A: Pacote autenticado E: Pacote encriptado S: Pacote usando troca de chaves via SKIP ou AKER-CDP Ao: Este campo indica qual foi a ao tomada pelo firewall com relao ao pacote. Ele pode assumir os seguintes valores: A: Indica que o pacote foi aceito pelo firewall D: Indica que o pacote foi descartado R: Indica que o pacote foi rejeitado IP origem: Endereo IP de origem do pacote que gerou o registro. IP destino: Endereo IP destino do pacote que gerou o registro. Tipo de servio: Tipo de servio ICMP do pacote que gerou o registro. Interface: Interface de rede do firewall por onde o pacote foi recebido.
Outros procotolos
Formato do registro:
<Data> <Hora> - <Repetio> <Ao> <Protocolo> <Status> <IP origem> <IP destino> <Interface>
Descrio dos campos: Data: Data em que o registro foi gerado. Hora: Hora em que o registro foi gerado. Repetio: Nmero de vezes em que o registro se repetiu seguidamente. Este campo mostrado entre parnteses na interface texto. Status: Este campo, que aparece entre parnteses na interface texto, consiste de uma a trs letras, independentes, que possuem o significado abaixo: A: Pacote autenticado E: Pacote encriptado S: Pacote usando troca de chaves via SKIP ou AKER-CDP Ao: Este campo indica qual foi a ao tomada pelo firewall com relao ao pacote. Ele pode assumir os seguintes valores: A: Indica que o pacote foi aceito pelo firewall D: Indica que o pacote foi descardado R: Indica que o pacote foi rejeitado Protocolo: Nome do protocolo do pacote que gerou o registro (caso o firewall no consiga resolver o nome do protocolo, ser mostrado o seu nmero). IP origem: Endereo IP de origem do pacote que gerou o registro.
249
IP destino: Endereo IP destino do pacote que gerou o registro. Interface: Interface de rede do firewall por onde o pacote foi recebido.
Descrio dos campos dos registros Data: Data em que o registro foi gerado. Hora: Hora em que o registro foi gerado. Repetio: Nmero de vezes que o registro se repetiu seguidamente. Este campo mostrado entre parnteses na interface texto. Protocolo: o protocolo do pacote que gerou o registro. Pode ser TCP ou UDP. IP origem: Endereo IP de origem do pacote que gerou o registro. Porta origem: Porta de origem do pacote que gerou o registro. IP convertido: Endereo IP para o qual o endereo de origem do pacote foi convertido. Porta convertida: Porta para qual a porta de origem do pacote foi convertida.
250
Ajuda do programa:
Uso: fwlog ajuda fwlog apaga [log | eventos] [<data_inicio> <data_fim>] fwlog mostra [log | eventos] [local | cluster] [<data_inicio> <data_fim>] [prioridade] fwlog - Interface texto para visualizar log e eventos mostra = lista o conteudo do log ou dos eventos. Ele pode mostra apenas o log local ou todo o log do cluster apaga = apaga todos os registro do log ou dos eventos ajuda = mostra esta mensagem Para mostra temos: data_inicio = data a partir da qual os registros serao mostrados data_fim = data ate onde mostrar os registros (As datas devem estar no formato dd/mm/aaaa (Se nao forem informadas as datas, mostra os registros de hoje) prioridade = campo opcional. Se for informado deve ter um dos seguintes valores: ERRO, ADVERTENCIA, NOTICIA, INFORMACAO ou DEPURACAO (Ao selecionar uma prioridade, somente serao listados registros cuja prioridade for igual a informada)
251
252
253
Clicar no menu Informao do firewall que se deseja visualizar os eventos Selecionar a opo Eventos
A barra de ferramentas de Eventos Todas as vezes que se seleciona a opo Eventos, mostrada automaticamente a barra de ferramentas de Eventos. Esta barra, que estar ao lado das outras barras, poder ser arrastada e ficar flutuando acima das informaes dos Eventos. Ela tem o seguinte formato:
Significado dos cones: Abre a janela de filtragem do firewall Este cone somente ir aparecer quando o firewall estiver fazendo uma procura nos Eventos. Ele permite interromper a busca do firewall Exporta os Eventos para diversos formatos de arquivos Apaga os Eventos do firewall
254
Permite fazer uma atualizao da tela de logs dentro de um determinado perodo definido no campo seguinte Define o tempo que o firewall ir atualizar a janela com informaes de log Percorre os Eventos para frente e para trs Expande as mensagens de Eventos, mostrando as mesmas com o mximo de informao
Ao clicar no cone de filtragem a seguinte janela ser mostrada: A janela de filtro de eventos
Na parte superior da janela, encontram-se os botes Salvar, Remover e Novo. O boto Salvar permite que se salve os campos de um filtro de forma a facilitar sua aplicao posterior e o boto excluir permite que se exclua um filtro salvo no mais desejado.
255
Para salvar um filtro de eventos, deve-se proceder da seguinte forma: 1. Preenche-se todos os seus campos da forma desejada. 2. Define-se, no campo Filtros, o nome pelo qual ele ser referenciado. 3. Clica-se no boto Salvar. Para se aplicar um filtro salvo, basta selecionar seu nome no campo Filtros e todos os campos sero automaticamente preenchidos com os dados salvos. Para excluir um filtro que no mais seja desejado, deve-se proceder da seguinte forma: 1. Seleciona-se o filtro a ser removido, no campo Filtros. 2. Clica-se no boto Excluir. O filtro padro configurado para mostrar todos as mensagens do dia atual. Para se alterar a visualizao para outros dias, pode-se configurar a Data Inicial e a Data Final para os dias desejados (a faixa de visualizao compreende os registros da data inicial data final, inclusive). Alm de se especificar as datas, possvel tambm se determinar quais mensagens devem ser mostradas. A opo Filtrar por permite se escolher entre a listagem de mensagens ou de prioridades.
Ao se selecionar filtragem por mensagens, ser mostrado na lista do lado esquerdo da janela o nome de todos os mdulos que compem o firewall. Ao se clicar em um destes mdulos, ser mostrada na lista direita as diferentes mensagens que podem ser geradas por ele. Dica: Para se selecionar todas as mensagens de um modulo, basta se clicar sobre a caixa esquerda do nome do mdulo.
Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for a prioridade associada a um determinado registro, mais importncia deve-se dar a ele. Ao se selecionar filtragem por prioridade, ser mostrado na lista do lado esquerdo da janela o nome de todos os mdulos que compem o firewall. Ao se clicar em um destes mdulos, ser mostrada na lista direita as diferentes prioridades das mensagens que podem ser geradas por ele. Abaixo est a lista com as todas as prioridades possveis, ordenada da mais importante para a menos (caso tenha se configurado o firewall para mandar uma cpia dos eventos para o syslogd, as prioridades com as quais as mensagens sero geradas no syslog so as mesmas apresentadas abaixo):
Erro
256
Os registros que se enquadram nesta prioridade indicam algum tipo de erro de configurao ou de operao do sistema (por exemplo, falta de memria). Mensagens desta prioridade so raras e devem ser tratadas imediatamente.
Alerta
Os registros que se enquadrarem nesta prioridade indicam que algum tipo de situao sria e no considerada normal ocorreu (por exemplo, uma falha na validao de um usurio ao estabelecer uma sesso de administrao remota).
Aviso
Se enquadram nesta prioridade registros que trazem informaes que so consideradas importantes para o administrador do sistema, mas esto associadas a uma situao normal (por exemplo, um administrador iniciou uma sesso remota de administrao).
Informao
Os registros desta prioridade acrescentam informaes teis mas no to importantes para a administrao do Firewall (por exemplo, uma sesso de administrao remota foi finalizada).
Depurao
Os registros desta prioridade no trazem nenhuma informao realmente importante, exceto no caso de uma auditoria. Nesta prioridade se encaixam as mensagens geradas pelo mdulo de administrao remota todas as vezes que feita uma alterao na configurao do firewall e uma mensagem gerada todas as vezes que o firewall reinicializado. Como ltima opo de filtragem, existe o campo Filtrar no complemento por. Este campo permite que se especifique um texto que deve existir nos complementos de todas as mensagens para que elas sejam mostradas. Desta forma, possvel, por exemplo, se visualizar todas as pginas WWW acessadas por um determinado usurio, bastando para isso que se coloque seu nome neste campo.
O boto OK aplicar o filtro escolhido e mostrar a janela de eventos, com as informaes selecionadas. O boto Cancelar far com que a operao de filtragem seja cancelada e a janela de eventos ser mostrada com as informaes anteriores.
A janela de eventos
257
A janela de eventos ser mostrada aps a aplicao de um filtro novo. Ela consiste de uma lista com vrias mensagens. Normalmente, cada linha corresponde a uma mensagem distinta, porm existem mensagens que podem ocupar 2 ou 3 linhas. O formato das mensagens ser mostrado na prxima seo. Observaes importantes:
As mensagens sero mostradas de 100 em 100. S sero mostradas as primeiras 10.000 mensagens que se enquadrem no filtro escolhido. As demais podem ser vistas exportando os eventos para um arquivo ou utilizando um filtro que produza um nmero menor de mensagens. No lado esquerdo de cada mensagem, ser mostrado um cone colorido simbolizando sua prioridade. As cores tem o seguinte significado: Depurao Informao Notcia Advertncia Erro
Ao se clicar com o boto esquerdo sobre uma mensagem, aparecer na parte inferior da tela uma linha com informaes adicionais sobre ela.
Ao se apagar todos os eventos, no existe nenhuma maneira de se recuperar as informaes anteriores. A nica possibilidade de recuperao a restaurao de uma cpia de segurana.
O boto Salvar, localizado na barra de ferramentas, gravar todas as informaes selecionadas pelo filtro atual em um arquivo em formato texto ou em formatos que permitem sua importao pelos analisadores de log da Aker e
258
da WebTrends(R). Os arquivos consistiro de vrias linhas de contedo igual ao mostrado na janela. Se a opo Expande mensagens estiver marcada e se tiver escolhido a opo de exportao em formato texto, os eventos sero exportados com as mensagens complementares; caso contrrio, os eventos sero exportados sem elas. Esta opo bastante til para se enviar uma cpia do log para alguma outra pessoa, para se guardar uma cpia em formato texto de informaes importantes ou para se importar os eventos por um analisadores de log citados acima. Ao ser clicado, ser mostrada a seguinte janela:
Para exportar o contedo dos eventos, basta fornecer o nome do arquivo a ser criado, escolher seu formato e clicar no boto Salvar. Para cancelar a operao, clique em Cancelar. Se j existir um arquivo com o nome informado ele ser apagado.
O boto Prximos 100, representado como uma seta para a direita na barra de ferramentas, mostrar as ltimas 100 mensagens selecionadas pelo filtro. Se no existirem mais mensagens, esta opo estar desabilitada. O boto ltimos 100, representado como uma seta para a esquerda na barra de ferramentas, mostrar as 100 mensagens anteriores. Se no existirem mensagens anteriores, esta opo estar desabilitada. O boto Ajuda mostrar a janela de ajuda especfica para a janela de eventos.
259
Descrio dos campos: Data: Data em que o registro foi gerado. Hora: Hora em que o registro foi gerado. Mensagem: Mensagem textual que relata o acontecimento Complemento: Este campo traz informaes complementares e pode ou no aparecer, dependendo da mensagem. Na interface texto, caso ele aparea, vir entre parnteses. Mensagem complementar 1 e 2: Estes complementos s existem no caso de mensagens relacionadas conexes tratadas pelos proxies transparentes e notransparentes e so mostrados sempre na linha abaixo da mensagem a que se referem. Nestas mensagens complementares, se encontram o endereo origem da conexo e, no caso dos proxies transparentes, o endereo destino.
260
Ajuda do programa:
Uso: fwlog ajuda fwlog apaga [log | eventos] [<data_inicio> <data_fim>] fwlog mostra [log | eventos] [local | cluster] [<data_inicio> <data_fim>] [prioridade] fwlog - Interface texto para visualizar log e eventos mostra = lista o conteudo do log ou dos eventos. Ele pode mostra apenas o log local ou todo o log do cluster apaga = apaga todos os registro do log ou dos eventos ajuda = mostra esta mensagem Para mostra temos: data_inicio = data a partir da qual os registros serao mostrados data_fim = data ate onde mostrar os registros (As datas devem estar no formato dd/mm/aaaa (Se nao forem informadas as datas, mostra os registros de hoje) prioridade = campo opcional. Se for informado deve ter um dos seguintes valores: ERRO, ADVERTENCIA, NOTICIA, INFORMACAO ou DEPURACAO (Ao selecionar uma prioridade, somente sero listados registros cuja prioridade for igual a informada)
261
08/10/2003 09:09:49 Operacao sobre o arquivo de log (Compactar) 07/10/2003 10:27:11 Aker Firewall v5.0 - Inicializacao completa 07/10/2003 08:57:11 Tabela de converso UDP cheia
Exemplo 2: (mostrando os eventos do dia 07/10/2003 ao dia 08/10/2003, apenas prioridade depurao)
#fwlog mostra eventos 07/10/2003 08/10/2003 depuracao 08/10/2003 09:09:49 Operacao sobre o arquivo de log (Compactar) 07/10/2003 10:27:11 Aker Firewall v5.0 - Inicializacao completa
262
Criao de Acumuladores
Nesta etapa, cadastramos os acumuladores que sero associados a regras de filtragem. Eles servem apenas como totalizadores de uma ou mais regras de filtragem. Para maiores informaes sobre a criao de acumuladores e sua associao com regras de filtragem, veja os captulos Cadastrando Entidades e O Filtro de Estados.
Aps a criao dos acumuladores e sua associao com as regras de filtragem desejadas, devemos criar regras de estatstica que definem os intervalos de coleta e quais acumuladores sero somados para gerar o valor da estatstica em um dado momento. Esta etapa ser explicada nesta captulo.
Aps a criao das regras de estatsticas, podemos ver os valores associados a cada uma delas, export-los ou traar grficos. Esta estapa tambm ser mostrada neste captulo.
263
Clicar no menu Informao da janela do firewall que voc deseja administrar Selecionar o item Estatsticas
264
A janela de estatsticas contm todas as regras de estatstica definidas no Firewall Aker. Cada regra ser mostrada em uma linha separada, composta de diversas clulas. Caso uma regras esteja selecionada, ela ser mostrada em uma cor diferente.
O boto OK far com que o conjunto de estatsticas seja atualizado e passe a funcionar imediatamente. O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela seja fechada. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta A barra de rolagem do lado direito serve para visualizar as regras que no couberem na janela.
Nome: Nome da estatstica, utilizada para facilitar a sua referncia. Deve possuir um nome nico entre o conjunto de regras. Intervalo: Corresponde ao intervalo de tempo que se far a totalizao da regra, ou seja, a soma dos valores de todos os acumuladores presentes na regra. Acumulador: Este campo define quais os acumuladores faro parte da regra. Hora: Esta tabela define as horas e dias da semana em que a regra aplicvel. As linhas representam os dias da semana e as colunas as horas. Caso se queira que a regra seja aplicvel em determinada hora o quadrado deve ser preenchido, caso contrrio o quadrado deve ser deixado em branco.
Para interagir com a janela de regras, utilize a barra de ferramentas localizada na parte superior da janela ou clicar com o boto direito sobre ela.
Inserir: Esta opo permite se incluir uma nova regra na lista. Apagar: Esta opo remove da lista a regra selecionada. Copiar: Esta opo copia a regra selecionada para uma rea temporria. Colar: Esta opo copia a regra da rea temporria para a lista. Se uma regra estiver selecionada, a nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada para o final da lista. Habilitar/Desabilitar: Esta opo ativa ou desativa a regra selecionada da lista. Visualizao: Mostrar a janela de visualizao de estatsticas relativa a regra selecionada. Nome: Atribui um nome a regra de estatsticas.
265
Visualizando estatsticas
Ao se clicar no boto Visualizao ou clicar duas vezes sobre uma regra de estatstica, a seguinte janela ser mostrada:
Nesta janela, os dados computados para a estatstica selecionada sero mostrados em ou texto . Estas informaes so relativas a data de incio e fim formato grfico especificadas na parte superior da janela. Para se alterar esta data deve-se escolher os campos de Data, colocando as datas de inicio e de finalizao da pesquisa.
Leitura: Mostra um conjunto de 100 registros de cada vez. Cada registro se refere a contabilizao dos acumuladores da estatstica em um determinado tempo. O boto Remover tempo especificado. desta pasta ir remover o conjunto de registros com o
Grfico: Representa os dados contidos na pasta Leitura em formato grfico. O grfico gerado ao ser pressionado o boto na barra de ferramentas. Este 266
grfico tambm permite que o usurio selecione qual linha deve ser mostrada pressionando-se os rtulos dos mesmos.
Ao pressionarmos o boto de salvar estatsticas a janela abaixo ir aparecer de modo a se escolher o nome do arquivo. Este arquivo gravado no formato CSV que permite sua manipulao atravs de planilhas de clculo.
267
- O boto salvar registros permite a exportao dos dados gerados pelos contadores. - Este boto ir excluir os registros selecionados gerados pelos contadores. - Este o boto de navegao dos dados registrados pelos contadores e que esto sendo exibidos pelas estatsticas
268
Ajuda do programa:
Firewall Aker - Versao 5.0 Uso: fwstat ajuda mostra [[-c] <estatistica> [<data inicial> <data final>]] inclui <estatistica> <periodo> [<acumulador1> [acumulador2] ...] remove <estatistica> desabilita <estatistica> [<dia> <hora>] habilita <estatistica> [<dia> <hora>] = mostra esta mensagem = sem parametros, mostra as estatisticas cadastradas com, mostra os dados coletados para estatistica = nome da estatistica -c = resultado no formato CSV (comma separated value) (util para importar dados em planilhas eletronicas) datas = dadas limite para mostrar dados inclui = adiciona uma estatistica de nome "estatistica" remove = remove uma estatistica de nome "estatistica" periodo = periodo de captura dos dados (segundos) acumulador_ = nome das entidades acumulador para ler desabilita = desabilita uma estatistica habilita = habilita uma estatistica dia, hora = se especificado (sempre ambos), habilita ou desabilita ajuda mostra
269
apenas para a hora especificada. 'dia' pertence a {dom, seg, ter, ...} e 'hora' a {0..23}
270
Clicar no menu Informao do firewall que se deseja visualizar Selecionar Conexes TCP ou Conexes UDP
A janela de conexes ativas A janela de conexes ativas onde so mostradas todas as conexes que esto passando pelo firewall em um determinado instante. As janelas para os protocolos TCP e UDP 271
so exatamente iguais, com a exceo do campo chamado Status que somente existe na janela de conexes TCP. Para simplificar o entendimento, fala-se de conexes TCP e UDP, entretanto, isto no totalmente verdadeiro devido ao protocolo UDP ser um protocolo no orientado conexo. Na verdade, quando se fala em conexes UDP refere-se a sesses onde existe trfego nos dois sentidos. Cada sesso pode ser vista como o conjunto dos pacotes de requisio e de resposta que fluem atravs do firewall para um determinado servio provido por uma determinada mquina e acessado por outra. Essa janela se compe de duas pastas: na primeira mostrada uma lista com as conexes ativas e a segunda fornece um grfico em tempo real das mquinas e servios mais acessados.
Pasta de conexes
Esta pasta consiste de uma lista com uma entrada para cada conexo ativa. Na parte inferior da janela mostrada uma mensagem informando o nmero total de conexes ativas em um determinado instante. As velocidades total e mdia so exibidas na parte inferior da janela.
O boto OK faz com que a janela de conexes ativas seja fechada. Caixa Filtro exibe as opes de filtragem sendo possvel se selecionar os endereos origem ou destino e/ou portas para serem exibidos na janela. A opo Itens selecionados no topo coloca as conexes selecionadas no topo da janela para melhor visualizao.
272
A opo Remover, que aparece ao se clicar com o boto direito sobre uma conexo, permite que se remova uma conexo. Ao se remover uma conexo TCP, o firewall envia pacotes de reset para as mquinas participantes da conexo, efetivamente derrubando-a, e remove a entrada de sua tabela de estados. No caso de conexes UDP, o firewall simplesmente remove a entrada de sua tabela de estados, fazendo com que no sejam mais aceitos pacotes para a conexo removida.
O boto Atualizar, localizado na barra de ferramentas faz com que as informaes mostradas sejam atualizadas periodicamente de forma automtica ou no. Clicando-se sobre ele, alterna-se entre os dois modos de operao. O intervalo de atualizao pode ser configurado mudando-se o valor logo direita deste campo. O boto DNS, localizado na barra de ferramentas, acionar o servio de nomes (DNS) para resolver os nomes das mquinas cujos endereos IPs aparecem listados. Cabem ser observados os seguintes pontos:
1. A resoluo de nomes muitas vezes um servio lento e, devido a isso, a traduo dos nomes feita em segundo plano. 2. Muitas vezes, devido a problemas de configurao do DNS reverso (que o utilizado para resolver nomes a partir de endereos IP), no ser possvel a resoluo de certos endereos. Neste caso, os endereos no resolvidos sero mantidos na forma original e ser indicado ao seu lado que eles no possuem DNS reverso configurado.
A opo Desabilitar grficos desabilita o desenho do grfico de conexes, sendo indicada para mquinas especialmente lentas. A opo Mostrar velocidade das conexes, se ativa, faz com que a interface calcule e mostre a velocidade de cada conexo em bits/s. possvel se ordenar a lista das conexes por qualquer um de seus campos, bastanto para isso clicar no ttulo do campo. O primeiro click produzir uma ordenao ascendente e o segundo uma ordenao descendente. Pasta de grfico
273
Esta pasta consiste de dois grficos: o grfico superior mostra os servios mais utilizados e o grfico inferior mostra as mquinas que mais acessam servios ou que mais so acessadas. No lado direito existe uma lengenda mostrando que mquina ou servio correspondem a que cor do grfico. O intervalo de tempo no qual o grfico atualizado o mesmo configurado na pasta de conexes
Inativo: Nmero de minutos e segundos de inatividade da conexo. Estado Atual: Este campo s aparece no caso de conexes TCP. Ele representa o estado da conexo no instante mostrado e pode assumir um dos seguintes valores: SYN Enviado: Indica que o pacote de abertura de conexo (pacote com flag de SYN) foi enviado, porm a mquina servidora ainda no respondeu. SYN Trocados: Indica que o pacote de abertura de conexo foi enviado e a mquina servidora respondeu com a confirmao de conexo em andamento. Estabelecida: Indica que a conexo est estabelecida. Escutando Porta: Indica que a mquina servidora est escutando na porta indicada, aguardando uma conexo a partir da mquina cliente. Isto s ocorre no caso de conexes de dados FTP. Bytes Enviados/Recebidos: Estes campos s aparecem no caso de conexes TCP, e indicam o nmero de bytes trafegados por esta conexo em cada um dos dois sentidos. Pacotes Enviados/Recebidos: Estes campos s aparecem no caso de conexes TCP, e indicam o nmero de pacotes IP trafegados por esta conexo em cada um dos dois sentidos.
275
Ajuda do programa:
fwlist - Lista e remove conexoes TCP/UDP e sessoes ativas Uso: fwlist ajuda fwlist mostra [[-w] [TCP]] | [UDP] | [sessoes] fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destino fwlist remove sessao IP_origem ajuda = mostra esta mensagem mostra = lista as conexoes ou sessoes ativas remove = remove uma conexao ou sessao ativa
276
10.4.1.212:1078 Estabelecida
10.5.2.1:25
15:36:20 00:10
277
Proxies tradicionais
Para que uma mquina cliente possa utilizar os servios de um proxy, necessrio que a mesma saiba de sua existncia, isto , que ela saiba que ao invs de estabelecer uma conexo com o servidor remoto, ela deve estabelecer a conexo com o proxy e repassar sua solicitao ao mesmo. Existem alguns clientes que j possuem suporte para proxies embutido neles prprios (como exemplo de clientes deste tipo, pode-se citar a maioria dos browsers existentes atualmente). Neste caso, para se utilizar as funes de proxy, basta-se configur-los para tal. A grande maioria dos clientes, entretanto, no est preparada para trabalhar desta forma. A nica soluo possvel neste caso, alterar a pilha TCP/IP em todas as mquinas clientes de modo a fazer com que transparentemente as conexes sejam repassadas para os proxies. Esta abordagem traz inmeras dificuldades, j que alm de ser extremamente trabalhoso se alterar todas as mquinas clientes, muitas vezes no existe forma de se alterar a implementao TCP/IP de determinadas plataformas, fazendo com que clientes nestas plataformas no possam utilizar os proxies. Um outro problema dos proxies tradicionais, que eles s podem ser utilizados para acessos de dentro para fora (no se pode solicitar para que clientes externos repassem suas solicitaes para o seu proxy para que este repasse para seu servidor interno). A figura abaixo ilustra o funcionamento bsico de um proxy tradicional:
278
Proxies transparentes
O Firewall Aker introduz um novo conceito de firewall com a utilizao de proxies transparentes. Estes proxies transparentes so capazes de serem utilizados sem nenhuma alterao nas mquinas clientes e nas mquinas servidoras, simplesmente porque nenhuma delas sabe de sua existncia. Seu funcionamento igualmente simples: todas as vezes que o firewall decide que uma determinada conexo deve ser tratada por um proxy transparente, esta conexo desviada para o proxy em questo. Ao receber a conexo, o proxy abre uma nova conexo para o servidor remoto e repassa as requisies do cliente para este servidor. A grande vantagem desta forma de trabalho, que se torna possvel oferecer uma segurana adicional para certos servios sem perda da flexibilidade e sem a necessidade de alterao de nenhuma mquina cliente ou servidora. Alm disso, possvel se utilizar proxies transparentes em requisies de dentro para fora e de fora para dentro, indiferentemente.
279
empresa e a rede C a Internet. Suponha ainda que na rede A exista um servidor SMTP que seja utilizado tambm pela rede B para enviar e receber correio eletrnico. Isto est ilustrado no desenho abaixo:
Suponha agora que se deseje configurar o firewall para desviar todas as conexes SMTP para o proxy SMTP, de modo a assegurar uma maior proteo e um maior controle sobre este trfego. importante que exista um meio de se tratar diferentemente as conexes para A com origem em B e C: a rede B utilizar o servidor SMTP de A como relay ao enviar seus emails, entretanto este mesmo comportamento no deve ser permitido a partir da rede C. Pode-se tambm querer limitar o tamanho mximo das mensagens originadas na rede C, para evitar ataques de negao de servio baseados em falta de espao em disco, sem ao mesmo tempo querer limitar tambm o tamanho das mensagens originadas na rede B. Para possibilitar este tratamento diferenciado, foi criado o conceito de contextos. Contextos nada mais so que configuraes diferenciadas para os proxies transparentes de modo a possibilitar comportamentos diferentes para conexes distintas. No exemplo acima, poderia-se criar dois contextos: um para ser usado em conexes de B para A e outro de C para A.
280
2. Cadastrar uma entidade do tipo autenticador com o endereo da mquina onde o agente foi instalado e com a senha de acesso correta (para maiores informaes de como cadastrar entidades, veja o captulo intitulado Cadastrando Entidades). 3. Indicar para o firewall que ele deve utilizar o autenticador cadastrado no passo 2 para realizar a autenticao de usurios (este procedimento ser descrito no captulo intitulado Configurando parmetros de autenticao). O Firewall Aker 5.0 incompatvel com verses anteriores 4.0 dos agentes de autenticao. Caso se tenha feito upgrade de uma verso anterior e se esteja utilizando autenticao, necessrio reinstalar os autenticadores. possvel tambm se realizar autententicaes atravs dos protocolos LDAP e RADIUS. Neste caso, no existe a necessidade de instalao dos autenticadores nas mquinas servidoras, bastando se criar os autenticadores dos tipos correspondentes e indicar ao firewall que eles devem ser utilizados, de acordo com os passos 2 e 3 listados acima.
282
Onde diretorio_de_instalacao o diretrio onde se encontram os arquivos de instalao, plataforma a plataforma desejada e diretorio o diretrio de destino. Para se instalar, por exemplo, o agente para a plataforma FreeBSD e com o CD-ROM montado no diretrio /cdrom, o comando a ser digitado seria:
#/cdrom/br/agente/freebsd/aginst
O smbolo # representa o prompt do shell quando executado como root, ele no deve ser digitado como parte do comando. O programa de instalao copiar o executvel do agente (fwagaut) para o diretrio /usr/local/bin e copiar um modelo do arquivo de configurao (fwagaut.cfg) para o diretrio /etc/. Aps a instalao, necessrio se personalizar este arquivo, como descrito na prxima seo. Caso se tenha respondido "Sim" quando o programa de instalao perguntou se o agente deveria ser iniciado automaticamente, uma chamada ser criada em um arquivo de inicializao da mquina de modo a carregar automaticamente o agente. O nome deste arquivo de inicializao dependente da verso de Unix utilizada.
Cada linha deve conter o endereo IP de um Firewall Aker que ir utilizar o agente, um ou mais espaos em branco ou caracteres tab e a senha de acesso que o firewall ir utilizar para a comunicao.
283
O local padro para o arquivo de configurao do agente /etc/fwagaut.cfg, entretanto possvel cri-lo com qualquer outro nome ou em outro diretrio, desde que se informe isso ao agente no momento de sua execuo. Isto ser mostrado no tpico abaixo.
Suponha que o agente esteja localizado no diretrio /usr/local/bin e que se tenha criado o arquivo de configurao com o nome /usr/local/etc/fwagaut.cfg. Neste caso, para executar o agente, a linha de comando seria:
/usr/local/bin/fwagaut -c /usr/local/etc/fwagaut.cfg
Caso se deseje executar o agente com o arquivo de configurao no local padro, no necessrio a utilizao da opo -c, bastando simplemente execut-lo com o comando:
/usr/local/bin/fwagaut
O agente de autenticao deve ser executado pelo o usurio root Quando se fizer alguma alterao no arquivo de configurao, necessrio informar isso ao agente, se ele estiver rodando. Para tal, deve-se executar o seguinte comando:
#kill -1 pid
284
Onde pid o nmero do processo do agente de autenticao. Para se obter este nmero, pode-se executar o comando #ps -ax | grep fwagaut, em mquinas baseadas em Unix BSD, ou #ps -ef | grep fwagaut, em mquinas baseadas em Unix System V. O agente de autenticao escuta requisies na porta 1021/TCP. No pode existir nenhuma outra aplicao utilizando esta porta enquanto o agente estiver ativo.
285
Aps se selecionar o diretrio de instalao, deve-se pressionar o boto Copiar arquivos, que realizar toda a instalao do agente. Esta instalao consiste na criao de um diretrio chamado de fwntaa, dentro do diretrio Arquivos de Programas, com os arquivos do agente, a criao de um grupo chamado de Firewall Aker com as opes de configurao e remoo do agente e a criao de um servio chamado de Agente de autenticao do Firewall Aker. Este servio um servio normal do Windows NT e pode ser interrompido ou iniciado atravs do Painel de Controle, no cone servios. O agente de autenticao escuta requisies nas portas 1016/TCP e 1021/TCP. No pode existir nenhuma outra aplicao utilizando estas portas enquanto o agente estiver ativo.
286
Esta pasta consiste em todas as opes de configurao do agente. Na parte superior existem dois botes que permitem testar a autenticao de um determinado usurio, a fim de verificar se o agente est funcionando corretamente. Na parte inferior da pasta existe uma lista com os firewalls autorizados a se conectarem ao agente de autenticao. Para se incluir um novo firewall na lista, basta se clicar no boto Incluir, localizado na barra de ferramentas. Para se remover ou editar um firewall, basta se selecionar o firewall a ser removido ou editado e clicar na opo correspondente da barra de ferramentas.
287
IP: o endereo IP do firewall que se conectar ao agente Descrio: um campo livre, utilizado apenas para fins de documentao Senha: a senha utilizada para gerar as chaves de autenticao e criptografia usadas na comunicao com o firewall. Esta senha deve ser igual configurada na entidade do firewall. Para maiores informaes, veja o captulo intitulado Cadastrando Entidades. Confirmao: Este campo utilizado apenas para se verificar se a senha foi digitada corretamente. Deve-se digit-la exatamente como no campo Senha. Autenticao de usurios suportada: Esse campo indica quais formas de autenticao de usurios sero permitidas. Ela consiste de duas opes que podem ser selecionadas independentemente: Domnio Windows NT/2000: Se essa opo estiver marcada, o agente realizar autenticao de usurios utilizando a base de usurios do Windows NT/2000. SecurID ACE/Server: Se essa opo estiver marcada, o agente realizar autenticao de usurios consultando o servidor SecurID.
Pasta de log
288
Esta pasta muito til para se acompanhar o funcionamento do agente de autenticao. Ela consiste de uma lista com diversas mensagens ordenadas pela hora. Ao lado de cada mensagem existe um cone colorido, simbolizando sua prioridade. As cores tem o seguinte significado: Verde Azul Amarelo Vermelho Preto Depurao Informao Notcia Advertncia Erro
Caso no se deseje que uma determinada prioridade de mensagens seja gerada, basta desmarcar a opo a sua esquerda. A opo Usar visualizador de eventos, se estiver marcada, faz com que as mensagens sejam enviadas para o visualizador de eventos do Windows.
Pasta de sobre
289
Esta uma pasta meramente informativa e serve para que se obtenha algumas informaes do cliente. Dentre as informaes teis se encontram sua verso e release.
290
291
Essa janela consiste de quatro partes distintas: a primeira aba corresponde ao Controle de Acesso onde os usurios e grupos de autenticadores so associados com perfis de acesso. A configurao desta aba ser vista em detalhes em Perfis de Acesso de Usurios, na segunda aba escolhe-se os Mtodos de autenticao onde se determina os parmetros relativos autenticao de usurios por meio de nomes/senhas e se configuram os parmetros de autenticao por token (SecurID) e Autoridade Certificadora (PKI), a terceira aba configura-se a Autenticao para Proxies. Na quarta e ltima aba configurado o Controle de Acesso por IP que tambm ser visto com mais detalhes em Perfis de Acesso de Usurios.
O boto OK far com que a janela de configurao de parmetros seja fechada e as alteraes efetuadas aplicadas. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta O boto Cancelar far com que a janela seja fechada porm as alteraes efetuadas no sejam aplicadas.
292
Aba Mtodos
Habilita autenticao usurio/senha: Essa opo indica se o firewall aceitar ou no autenticao de usurios por meio de nomes/senhas. Caso ela esteja ativa, deve-se configurar os demais parmetros relativos a esse tipo de autenticao: Pesquisa em todos os autenticadores: Este parmetro indica se o firewall deve tentar validar um usurio nos prximos autenticadores da lista no caso de um autenticador retornar uma mensagem de senha invlida. Se esta opo estiver marcada, o firewall percorre todos os autenticadores da lista, um a um, at receber uma resposta de autenticao correta ou at a lista terminar. Caso ela no esteja marcada, a pesquisa ser encerrada no primeiro autenticador que retornar uma mensagem de autenticao correta ou de senha invlida. Esta opo s usada para respostas de senha invlida. Caso um autenticador retorne uma resposta indicando que o usurio a ser validado no est cadastrado na base de dados de sua mquina, o firewall continuar a pesquisa no prximo autenticador da lista, independentemente do valor desta opo. Usurio pode especificar domnio: Este parmetro indica se o usurio na hora de se autenticar pode informar ao firewall em qual autenticador ele deseja ser validado.
293
Se esta opo estiver marcada, o usurio pode acrescentar juntamente ao seu nome, um sufixo formado pelo smbolo / e um nome de autenticador, fazendo com que a requisio de autenticao seja enviada diretamente para o autenticador informado. Caso ela no esteja marcada, a autenticao ser feita na ordem dos autenticadores configurada pelo administrador. O uso desta opo no obriga que o usurio informe o nome do autenticador, apenas permite que ele o faa, se desejar. Caso o usurio no informe, a autenticao seguir na ordem normal. Para ilustrar a especificao de domnio, pode-se tomar como base um sistema no qual existam dois autenticadores configurados, chamados de Unix e Windows_NT. Neste sistema, se um usurio chamado administrador desejar se autenticar na mquina Windows_NT, ento ele dever entrar com o seguinte texto, quando lhe for solicitado seu login ou username: administrador/Windows_NT. Caso ele no informe o sufixo, o firewall tentar autentic-lo inicialmente pela mquina Unix e caso no exista nenhum usurio cadastrado com este nome ou a opo Pesquisa em todos os autenticadores estiver marcada, ele ento tentar autenticar pela mquina Windows_NT. O nome do autenticador informado pelo usurio deve estar obrigatoriamente na lista de autenticadores a serem pesquisados. Autenticadores a pesquisar Para se incluir um autenticador na lista de autenticadores a serem consultados, deve-se proceder da seguinte forma: 1. Clicar com o boto direito do mouse onde aparecer um menu suspenso (figura abaixo) ou arrastando a entidade autenticador para o local indicado
2. Seleciona-se o a opo Adicionar entidades e o autenticador a ser includo, na lista mostrada direita. Para se remover um autenticador da lista de pesquisa, deve-se proceder da seguinte forma:
294
1. Seleciona-se o autenticador a ser removido e aperta-se a tecla delete ou 2. Clica-se no boto direito do mouse e seleciona-se no menu suspenso o item Apagar
Para se mudar a ordem de pesquisa dos autenticadores, deve-se proceder da seguinte forma: 1. Seleciona-se o autenticador a ser mudado de posio na ordem de pesquisa. 2. Clica-se em um dos botes direita da lista: o boto com o desenho da seta para cima far com que o autenticador selecionado suba uma posio na lista. O boto com a seta para baixo far com que ele seja movido uma posio para baixo na lista. Dica: A adio ou remoo dos autenticadores pode ser feita diretamente com o mouse, bastando clicar e arrastar os mesmos para a janela correspondente, soltando em seguida. Os autenticadores sero pesquisados na ordem que se encontram na lista, de cima para baixo. Habilita autenticao por token: Essa opo indica se o firewall aceitar ou no autenticao de usurios por meio de tokens. Caso ela esteja ativa, deve-se configurar o nome do autenticador token a ser consultado para validar os dados recebidos.
295
Autenticador token a pesquisar: Este campo indica o autenticador token para o qual os dados a serem validados sero repassados. Habilita autenticao PKI: Essa opo indica se o firewall aceitar ou no autenticao de usurios por meio de smart cards. Caso ela esteja ativa, deve-se configurar as autoridades certificadoras nas quais o firewall confia.
296
Autoridades Certificadoras Confiveis Para se incluir uma autoridade certificadora na lista de autoridades certificadoras confiveis , deve-se proceder da seguinte forma: 1. 2. 3. 4. Clica-se com o boto direito do mouse e escolhe-se a opo Incluir Entidades Seleciona-se a autoridade a ser includa Clique em Incluir Pode-se tambm clicar em uma autoridade certificadora e arrast-la para posio desejada.
Para se remover uma autoridade certificadora da lista de autoridades confiveis, deve-se proceder da seguinte forma: 1. Seleciona-se a autoridade a ser removida e aperta-se a tecla delete ou 2. Clica-se no boto direito do mouse sobre a entidade a ser removida e escolhe-se a opo Apagar Autenticao para proxies
297
Estes parmetros indicam que tipos de autenticao sero aceitas nos proxies e em que ordem sero validadas. Isso importante pois quando um usurio autenticando atravs de um browser, por exemplo, no possvel que ele especifique se est utilizando token ou usurio/senha. As opes possveis da configurao so:
Autenticador Token antes da autenticao usurio/senha Autenticao usurio/senha antes do autenticador token Somente autenticao por Token Somente autenticao usurio/senha
298
Ajuda do programa:
Firewall Aker - Versao 5.0 fwauth - Configura parametros autenticacao Uso: fwauth [mostra | ajuda] fwauth [inclui | remove] [ca | token | autenticador] <entidade> fwauth [dominio | pesquisa_todos] [sim | nao] fwauth proxy [token | senha] [sim | nao] fwauth proxy primeiro [token | senha] mostra ajuda inclui ativos remove ativos dominio dominio pesquisa_todos autenticadores proxy senha usuario/senha proxy token proxy primeiro ser usado = mostra a configuracao atual = mostra esta mensagem = inclui entidade na lista de autenticadores = remove entidade da lista de autenticadores = configura se o usuario pode ou nao especificar = configura se deve pesquisar em todos os = habilita autenticacao por proxies do tipo = habilita autenticacao por proxies do tipo Token = configura qual o primeiro tipo de autenticacao a
299
300
301
Clicar no menu Configurao do Firewall da janela de administrao do firewall Selecionar o item Perfis
A janela de Perfis
302
A janela de perfis contm todos os perfis de acesso definidos no Firewall Aker. Ela consiste de uma lista onde cada perfil mostrado em uma linha separada.
O boto OK far com que a janela de perfis seja fechada O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta
Para se executar qualquer operao sobre um determinado perfil, basta clicar sobre ele e a seguir clicar na opo correspondente na barra de ferramentas. As seguintes opes esto disponveis:
Incluir: Esta opo permite se incluir um novo perfil na lista. Excluir: Esta opo remove da lista o perfil selecionado. Copiar: Esta opo copia o perfil selecionado para uma rea temporria. Colar: Esta opo copia o perfil da rea temporria para a lista. Inserir perfil filho: Esta opo inclui um novo perfil que filho do perfil atual, i.e., estabelece uma hierarquia de perfis Imprimir: Gera relatrio da lista de perfis em um documento html.
Para se excluir um perfil de acesso, ele no poder estar associado a nenhum usurio (para maiores informaes veja o tpico Associando Usurios com Perfis de Acesso) O perfil filho, criado com a opo Inserir perfil filho herdar automaticamente as configuraes do perfil pai. Na parte superior de ambas as pastas, se encontra o campo Nome, que serve para se especificar o nome que identificar unicamente o perfil de acesso. Este nome ser mostrado na lista de perfis e na janela de controle de acesso. No podem existir dois perfis com o mesmo nome. Cada perfil de acesso composto de sete tpicos diferentes. Dependendo do tpico selecionado em um momento, a parte direita da janela mudar de modo a mostrar as diferentes opes. Os tpicos de configurao so:
303
Regras
A pasta de regras permite que se especifique regras de filtragem para o perfil de acesso. Seu formato exatamente igual janela de regras de filtragem com a nica excesso de que no se deve especificar entidades origem para a regra. Aqui tambm possvel trabalhar com Polticas de Regras de Filtragem. (para maiores informaes, consulte o captulo intitulado Filtro de Estados). As regras de filtragem para os perfis de acesso consideram como origem a mquina na qual a sesso foi estabelecida. Devido a isso, necessrio apenas se especificar as entidades destino e servios que podem ser acessados.
304
Regras SOCKS
A pasta de regras SOCKS permite que se especifique regras de filtragem para o acesso atravs do proxy SOCKS. Seu formato exatamente igual janela de regras de filtragem com a nica exceo de que no se deve especificar entidades origem para a regra (para maiores informaes, consulte o captulo intitulado Filtro de Estados). As regras de filtragem para o proxy SOCKS consideram como origem a mquina na qual a sesso foi estabelecida. Devido a isso, necessrio apenas se especificar as entidades destino e servios que podem ser acessados.
305
Geral
As opes gerais de filtragem so definidas pelos seguintes campos: Bloquear: Este campo define as opes de bloqueio em sites WWW. Sao elas:
URLs com endereo IP: Se esta opo estiver marcada, no ser permitido o acesso a URLs com endereos IP ao invs de nome (por exemplo, http://127.0.0.1/index.html), ou seja, somente ser possvel se acessar URLs por nomes.
Caso se tenha configurado o proxy WWW para fazer filtragem de URLs, deve-se configurar esta opo de modo ao usurio no poder acessar atravs de endereos IP, caso contrrio, mesmo com o nome bloqueado, o usurio continuar podendo acessar a URL atravs de seu endereo IP. possvel se acrescentar endereos IP nas regras de filtragem WWW do perfil (caso se deseje realizar filtragem com esta opo ativa), entretanto, devido a estes sofrerem mudanas e ao fato de muitos servidores terem mais de um endereo IP, isto se torna extremamente difcil. Por outro lado, muitos administradores percebem que sites mal configurados (especialmente os de webmail) utilizam redirecionamento para servidores pelo seu endereo IP, de forma que, com esta opo desmarcada, tais sites ficam inacessveis.
Java, Javascript e Activex: Estes campo permite se definir uma filtragem especial para pginas WWW, bloqueando, ou no, tecnologias consideradas perigosas ou incmodas para alguns ambientes. Ela possui quatro opes que podem ser selecionadas independentemente: Javascript, Java e ActiveX.
A filtragem de Javascript, Java e ActiveX feita de forma com que a pgina filtrada seja visualizada como se o browser da mquina cliente no tivesse suporte para a(s)
306
linguagem(ns) filtrada(s). Em alguns casos, isto pode fazer com que as pginas percam sua funcionalidade.
Banners: Esta opo realiza o bloqueio de banners publicitrios em pginas Web. Caso ela esteja marcada, o firewall substituir os banners por espaos vazios na pgina, diminuindo o seu tempo de carga.
Uma vez configurado que se deve realizar o bloqueio, o mesmo ser feito atravs de regras globais, iguais para todos os perfis. Para configurar estas regras de bloqueio de banners, basta:
Esta janela formada por uma srie de regras no formado de expresso regular. Caso uma URL se encaixe em qualquer regra, a mesma ser considerada um banner e ser bloqueada. Horrio padro: Esta tabela define o horrio padro para as regras de filtragem WWW. Posteriormente, ao se incluir regras de filtragem WWW, existe a opo de se utilizar este horrio padro ou especificar um horrio diferente. As linhas representam os dias da semana e as colunas as horas. Caso se deseje que a regra seja aplicvel em determinada hora ento o quadrado deve ser preenchido, caso contrrio o quadrado deve ser deixado em branco. Para facilitar sua configurao, podese clicar com o boto esquerdo do mouse sobre um quadrado e a seguir arrast-lo, mantendo o boto pressionado. Isto faz com que o a tabela seja alterada na medida em que o mouse se move.
307
HTTP/FTP/GOPHER
A pasta de filtragem HTTP/FTP/GOPHER permite a definio de regras de filtragem de URLs para os protocolos HTTP/HTTPS, FTP e Gopher. Ela consiste de uma lista onde cada regra mostrada em uma linha separada. O protocolo HTTPS, para a URL inicial, filtrado como se fosse o protocolo HTTP. Alm disso, uma vez estabelecida a comunicao no mais possvel para o firewall filtrar qualquer parte de seu contedo, j que a criptografia realizada diretamente entre o cliente e o servidor. Na parte inferior da pasta existe um grupo que define a ao a ser executada caso o endereo que o cliente desejou acessar no se encaixe em nenhuma regra de filtragem. Este grupo chamado de Ao padro para o protocolo e consiste de trs opes. Permitir: Se esta opo for a selecionada, ento o firewall aceitar as URLs que no se enquadrarem em nenhuma regra. Bloquear: Se esta opo for a selecionada, ento o firewall rejeitar as URLs que no se enquadrarem em nenhuma regra. Categorizar: Se esta opo for a selecionada, ento o firewall enviar as URLs que no se enquadrarem em nenhuma regra para serem analisadas pelo Analisador de URLs Aker. Para se executar qualquer operao sobre uma determinada regra, basta clicar sobre ela e a seguir clicar na opo correspondente na barra de ferramentas. As seguintes opes esto disponveis:
308
Inserir: Esta opo permite se incluir uma nova regra na lista. Se alguma regra estiver selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova regra ser includa no final da lista. Apagar: Esta opo remove da lista a regra selecionada. Copiar: Esta opo copia a regra selecionada para uma rea temporria. Colar: Esta opo copia a regra da rea temporria para a lista. Se uma regra estiver selecionada, a nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada para o final da lista.
Dica: A posio de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a nova posio desejada, soltando em seguida. Observe que o cursor de indicao do mouse ir mudar para uma mo segurando um basto. A ordem das regras na lista de regras de filtragem WWW de fundamental importncia. Ao receber uma solicitao de acesso a um endereo, o firewall pesquisar a lista a partir do incio, procurando por uma regra na qual o endereo se encaixe. To logo uma seja encontrada, a ao associada a ela ser executada. Cada regra de filtragem consiste de uma operao, que indica que tipo de pesquisa ser feita e, o texto a ser pesquisado. As seguintes opes operao esto disponveis:
CONTM: A URL deve conter o texto informado em qualquer posio. NO CONTM: A URL no pode conter o texto informado. : O contedo da URL deve ser exatamente igual ao texto informado. NO : O contedo da URL deve ser diferente do texto informado. COMEA COM: O contedo da URL deve comear com o texto informado. NO COMEA COM: O contedo da URL no pode comear com o texto informado. TERMINA COM: O contedo da URL deve terminar com o texto informado. NO TERMINA COM: O contedo da URL no pode terminar com o texto informado. Expresso Regular: O campo a ser pesquisado dever ser uma expresso regular.
309
Essa pasta somente til caso se esteja utilizando o Analisador de URLS Aker. Ela permite que se especifique quais categorias podero ou no ser visualizadas pelo usurio. Caso a opo Aceita categorias selecionadas esteja marcada ento o firewall permitir que um usurio acesse a URL desejada apenas se ela pertencer a uma das categorias marcadas. Caso contrrio, ou seja, se a opo No aceita categorias selecionadas estiver marcada ento o firewall permitir que um usurio acesse a URL desejada apenas se ela no pertencer a nenhuma das categorias marcadas.
310
Clicar no menu Configuraes da janela principal Selecionar o item Autenticao Selecionar a pasta Controle de Acesso
311
A janela de controle de acesso permite que seja criada a associao de usurios/grupos com um perfis de acesso. Na parte inferior da janela existe um campo chamado Perfil Padro onde se pode selecionar o perfil que ser associados a usurios que no se enquadrem em nenhuma regra de associao. Para se associar um usurio ou grupo com um determinado perfil de acesso, deve-se proceder da seguinte maneira: 1. Clica-se com o boto direito do mouse na lista de regras e seleciona-se a opo Inserir 2. Seleciona-se o autenticador do qual se deseja obter a lista de usurios ou grupos, clicando-se com o boto direito no campo Autenticador. Para maiores informaes sobre os autenticadores, veja o captulo intitulado Configurando parmetros de autenticao). 3. Clica-se com o boto direito sobre o campo Usurio/Grupo e seleciona-se entre listagem de usurios ou grupos e sua lista ser montada automaticamente a partir do autenticador selecionado. A partir da lista seleciona-se o usurio ou grupo desejado.
312
4. Clica-se com o boto direito sobre o campo Perfil para se selecionar o perfil desejado, conforme o menu abaixo:
Para se remover uma regra entre um usurio/grupo e um perfil, deve-se proceder da seguinte maneira: 1. Clica-se na regra a ser removida, na lista da janela. 2. Clica-se no boto Apagar. Para se alterar a posio de uma regra dentro da lista, deve-se proceder da seguinte forma: 1. Clica-se na regra a ser movida de posio 2. Arrasta-se para a posio desejada. A ordem das associaes na lista de fundamental importncia. Quando um usurio se autenticar, o firewall pesquisar a lista a partir do incio procurando pelo nome desse
313
usurio ou por um grupo de que ele faa parte. To logo um desses seja encontrado, o perfil associado ao mesmo ser utilizado. A janela de Controle de Acesso por IP
O firewall pode controlar os acessos por intermdio de endereos IP conhecidos juntamente com perfis criados para este fim. Basta o administrador cadastrar a rede conhecida e arrastar para a posio Entidades de Origem, em seguida incluir na coluna Perfil o perfil ou perfis necessrios na regra. A caixa Ativar controle de acesso por endereo IP origem dever estar marcada para que o firewall use esta facilidade.
314
315
Executa instalao automtica Especifica diretrio de instalao Instala cliente mesmo se j detectar uma instalao anterior Instala cliente sem a interface de configurao
Caso no se tenha especificado a opo -d diretrio, o cliente ser instalado em C:\Arquivos de Programas\aker\aker_authenticator
316
Cao a opo -e tenha sido especificada, necessrio se criar um arquivo de configurao para ser distribudo junto com o cliente, j que no ser possvel configur-lo atravs da interface grfica. Os procedimentos de criao desse arquivo esto descritos abaixo.
317
Firewalls
Esta a pasta principal da configurao do cliente. Ela consiste de uma lista onde so mostradas todos os firewalls nos quais o cliente tentar estabelecer uma sesso. Para cada firewall existe uma coluna indicando que mtodos de autenticao podem ser utilizados e uma coluna de status indicando se existe uma sesso estabelecida ou no. Para se incluir um novo firewall na lista, basta se clicar no boto Incluir, localizado na barra de ferramentas. Para se remover ou editar um firewall, basta se selecionar o firewall a ser removido ou editado e clicar na opo correspondente da barra de ferramentas. No caso das opes Incluir ou Editar ser mostrada seguinte janela:
318
IP: o endereo IP do firewall para o qual o cliente tentar estabelecer uma sesso. Descrio: um campo livre, utilizado apenas para fins de documentao. Autenticar apenas aps acessar rede dial-up: Se essa opo estiver marcada o cliente de autenticao tentar estabelecer uma sesso com o firewall apenas aps uma sesso dial-up for estabelecida. Essa opo particularmente til para clientes instalados em laptops. Mtodos de autenticao suportados: Esse campo indica quais mtodos de autenticao sero utilizados para validar um usurio para o firewall. Ele consiste das seguintes opes: Windows logon: Se essa opo estiver marcada, o cliente de autenticao capturar o nome e a senha do usurio que se logou no Windows e os utilizar para estabelecer a sesso com o firewall. Nesse caso, a autenticao ser totalmente transparente, ou seja, no ser mostrada nenhuma nova tela para o usurio. Usurio e senha: Se essa opo estiver marcada, ser mostrada uma tela para o usurio a fim de que seja informado um nome e uma senha para o estabelecimento da sesso com o firewall. SecurID: Se essa opo estiver marcada, ser mostrada uma tela para o usurio a fim de que seja informado um nome, um PIN e o cdigo do token para o estabelecimento da sesso com o firewall. Smart Card: Se essa opo estiver marcada, ser mostrada uma tela para o usurio a fim de que seja informado o PIN do seu smart card para o estabelecimento da sesso com o firewall. Caso mais de uma opo esteja selecionada (exceto a de Windows Logon), ser mostrada uma tela onde o usurio tem a possibilidade de escolher o mtodo de autenticao desejado a cada nova sesso. 319
Caso se tenha escolhido autenticao por smart cards e no exista um leitor de smart cards na mquina, essa opo ser ignorada. possvel se exportar a configurao atual para um arquivo e import-la posteriormente na mesma ou em outra mquina. Para tal, existem os botes Importar e Exportar, localizados na barra de ferramentas. O boto Importar salva a lista de firewalls e as demais opes da janela em um arquivo e o boto Exportar carrega uma lista de firewalls e as demais opes a partir de um arquivo e acrescenta os firewalls na lista atual (as novas entradas sero acrescentadas ao final da lista atual). O boto Logoff faz com que o cliente encerre a sesso com o firewall selecionado. Ele s estar habilitado caso se tenha selecionado um firewall com o qual exista uma sesso ativa. O boto Logar faz com que o cliente tente estabelecer uma sesso com o firewall selecionado. Ele s estar habilitado caso se tenha selecionado um firewall com o qual ainda no exista uma sesso ativa. Ao ser clicado, ele mostrar uma das janelas abaixo, a depender do tipo de autenticao selecionado:
Usurio: o nome do usurio que deseja estabelecer a sesso. Senha: a senha do usurio que deseja estabelecer a sesso Autenticador: o nome do autenticador no qual o usurio se deseja autenticar. Este campo pode ser deixado em branco. Para maiores informaes sobre os autenticadores, veja o captulo entitulado Configurando parmetros de autenticao.
320
Usurio: o nome do usurio que deseja estabelecer a sesso. PassCode: a combinao do PIN do usurio seguido pelo nmero mostrado no token SecurID
321
No caso de autenticao por Smart Cards, a tela mostrada ser dependente do tipo de smart card que se est utilizando. A mostrada acima apenas uma das possibilidades. O boto Aplicar serve para que as alteraes recm feitas sejam salvas se tornem permanentes. Ao ser clicado, todas as sesses que por ventura estejam ativas sero derrubadas. Na parte superior da pasta, existe um campo que permite com que se especifique a forma com que o cliente de autenticao vai lidar com os autenticadores. Essa opo s utilizada no caso de autenticao por Windows Logon e consiste de trs opes: No especificar autenticador: Esta opo informa ao cliente para ele enviar o campo autenticador em branco, quando for efetuar um logon em um firewall. Desta forma, o firewall ir pesquisar sua lista de autenticadores normalmente. Usar domnio NT como autenticador: Esta opo informa ao cliente para enviar o nome do domnio NT como nome do autenticador para o firewall, fazendo com que o firewall utilize este autenticador para validar o usurio. Para que esta opo funcione, necessrio que exista um autenticador ativo com o nome do domnio NT utilizado e que o firewall esteja configurado para permitir que os usurios especifiquem um domnio. Para maiores informaes sobre estes parmetros, veja o captulo entitulado Configurando parmetros de autenticao.
322
Especificar Autenticador Padro: Esta opo permite ao usurio especificar o nome de um autenticador que ser utilizado pelo cliente ao efetuar logon no firewall. Para que esta opo funcione, necessrio que exista um autenticador ativo com o nome especificado e que o firewall esteja configurado para permitir que os usurios especifiquem um domnio. Para maiores informaes sobre estes parmetros, veja o captulo entitulado Configurando parmetros de autenticao. A opo Funcionar Apenas com o Cliente de Criptografia Aker, se estiver marcada, faz com que o cliente de autenticao somente tente estabelecer uma sesso com um firewall se o cliente de criptografia estiver ativo. Isso serve para se acrescentar um grau se segurana ainda maior, j que o cliente de criptografia utiliza certificados assinados e, com isso, consegue validar o firewall com o qual ele est se comunicando. Toda a comunicao entre o Cliente de Autenticao Aker e os firewalls criptografada, mesmo se a opo Funcionar Apenas com o Cliente de Criptografia Aker estiver desmarcada. A nica segurana a mais acrescentada pelo cliente de criptografia o fato deste validar, atravs de certificados digitais assinados, que o firewall com o qual se est comunicando realmente o firewall verdadeiro, impedindo ataques do tipo men-in-the-middle. A opo Mostrar status na barra de tarefas, se estiver marcada, faz com que seja mostrado um cone na barra de tarefas da rea de trabalho que permite se verificar se existe ou no uma sesso estabelecida.
Log
Esta pasta muito til para se acompanhar o funcionamento do cliente de autenticao. Ela consiste de uma lista com diversas mensagens ordenadas pela hora. Ao lado de cada mensagem existe um cone colorido, simbolizando sua prioridade. As cores tem o seguinte significado:
323
O boto Apagar, localizado na barra de ferramentas permite com que se apague todas as entradas existentes no log. O boto Salvar, localizado na barra de ferramentas permite com que se salve o log em um arquivo formato texto. Ao ser clicado, ser mostrada uma janela para que se especifique o nome do arquivo que ser salvo. A opo Ativar Log, se estiver desmarcada, far com que novas entradas de log no sejam mais geradas pelo cliente de autenticao. A opo Usar visualizador de eventos, se estiver marcada far com que todas as mensagens de log sejam enviadas para o Visualizador de eventos do Windows O log do Cliente de Autenticao Aker armazenado apenas durante a execuo do cliente. Caso a mquina seja reinicializada, todas as suas informaes sero descartadas.
Sobre
Esta uma pasta meramente informativa e serve para que se obtenha algumas informaes do cliente. Dentre as informaes teis se encontram sua verso e release.
324
325
Esta janela consiste de uma lista com uma entrada para cada usurio. Na parte inferior da janela mostrada uma mensagem informando o nmero total de usurios com sesses estabelecidas um determinado instante.
O boto OK faz com que a janela de usurios seja fechada. O boto Cancelar fecha a janela A caixa Itens selecionados no topo coloca os itens que foram selecionados para o topo da janela de usurios conectados.
O boto Atualizar faz com que as informaes mostradas sejam atualizadas periodicamente de forma automtica ou no. Clicando-se sobre ele, alterna-se entre os dois modos de operao. O intervalo de atualizao pode ser configurado mudando-se o valor logo a direita deste campo. O boto Remover, localizado na barra de ferramentas, permite que se remova uma sesso de usurio. Para tal deve-se primeiro clicar sobre a sesso que se deseja remover e a seguir clicar neste boto (ele estar desabilitado enquanto no existir nenhuma sesso selecionada). O boto DNS, localizado na barra de ferramentas, acionar o servio de nomes (DNS) para resolver os nomes das mquinas cujos endereos IPs aparecem listados. Cabem ser observados os seguintes pontos:
1. A resoluo de nomes muitas vezes um servio lento e, devido a isso, a traduo dos nomes feita em segundo plano. 2. Muitas vezes, devido a problemas de configurao do DNS reverso (que o utilizado para resolver nomes a partir de endereos IP), no ser possvel a resoluo de certos endereos. Neste caso, os endereos no resolvidos sero mantidos na forma original e ser indicado ao seu lado que eles no possuem DNS reverso configurado.
possvel se ordenar a lista das sesses por qualquer um de seus campos, bastanto para isso clicar no ttulo do campo. O primeiro click produzir uma ordenao ascendente e o segundo uma ordenao descendente.
326
Usurio: Este cone indica que o usurio se logou atravs do cliente de autenticao apenas Usurio dentro do cadeado: Este cone indica que o usurio se logou atravs do cliente de autenticao e de criptografia Mquina: Endereo IP ou nome (caso o DNS esteja ativo) da mquina na qual a sesso foi estabelecida. Nome: Nome do usurio que estabeleceu a sesso Domnio: Nome do domnio, i.e. autenticador, no qual o usurio se autenticou. Caso o usurio no tenha especificado domnio ao se logar, este campo aparecer em branco Perfil: Qual o perfil de acesso correspondente a esta sesso. Se este campo est em branco, o usurio se autenticou antes de a tabela de perfis ser alterada, de forma que ele est utilizando um perfil que no existe mais. Incio: Hora de abertura da sesso.
327
Ajuda do programa:
Firewall Aker - Versao 5.0 fwlist - Lista e remove conexoes TCP/UDP e sessoes ativas Uso: fwlist ajuda fwlist mostra [[-w] [TCP]] | [UDP] | [sessoes] fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destino fwlist remove sessao IP_origem ajuda = mostra esta mensagem mostra = lista as conexoes ou sessoes ativas remove = remove uma conexao ou sessao ativa
328
329
Envelope
O envelope chamado desta forma por ser anlogo a um envelope de uma carta comum. Nele se encontram as informaes do emissor e dos destinatrios de uma mensagem. Para cada recipiente de um domnio diferente gerado um novo envelope. Desta forma, um servidor SMTP recebe no envelope de uma mensagem o nome de todos os recipientes da mensagem que se encontram no seu domnio. O envelope no visto pelos destinatrios de uma mensagem. Ele somente usado entre os servidores SMTP.
Cabealho
No cabealho da mensagem se encontram informaes sobre a mensagem, como o assunto, data de emisso, nome do emissor, etc. O cabealho normalmente mostrado ao destinatrio da mensagem.
Corpo
330
O corpo composto pela mensagem propriamente dita, da forma com que foi produzida pelo emissor.
Neste caso, o atacante procura utilizar um comando ou parmetros de um comando que conhecidamente provocam falhas de segurana. O proxy SMTP do Firewall Aker impede estes ataques na medida em que s permite a utilizao de comandos considerados seguros e validando os parmetros de todos os comandos.
Estes ataques consistem em se enviar linhas de comando muito grandes, fazendo com que um servidor que no tenha sido corretamente desenvolvido apresente falhas de segurana. O proxy SMTP do Firewall Aker impede estes ataques na medida em que limita o tamanho mximo das linhas de comando que podem ser enviadas para o servidor.
Ataques de relay
Estes ataques consistem em utilizar o servidor SMTP de terceiros para enviar suas mensagens de correio eletrnico. Desta forma, utiliza-se os recursos computacionais que deveriam estar disponveis para requisies vlidas. O proxy SMTP do Firewall Aker impede ataques de relay deste que corretamente configurado.
331
Na janela de propriedades so configurados todos os parmetros de um contexto associado a um determinado servio. Ela consiste de alguns campos comuns seguidos por seis pastas onde so configurados parmetros especficos O campos comuns so: Tamanho mximo da mensagem: Este campo indica o tamanho mximo, em bytes ou kbytes, de uma mensagem para que ela possa ser aceita pelo proxy. Caso no se deseje definir um tamanho mximo, basta marcar a opo Sem Limite, localizada direita desta campo. Registrar na lista de eventos: Este campo indica se as mensagens que no se enquadrarem em nenhuma regra SMTP deste contexto devem ser registradas na lista de eventos. Envia cpia de todas as mensagens: Independente de uma mensagem ter sido aceita ou rejeitada, possvel se enviar uma cpia completa dela para um endereo de e-mail qualquer. Este campo indica se deve ou no ser enviada esta cpia. Habilita checagem de DNS reverso: O firewall far a checagem para determinar a existncia do DNS reverso cadastrado para o servidor SMTP para aceitar a mensagem baseado nas regras da pasta DNS.
332
E-mail padro: Indica o endereo de e-mail padro, para o qual sero enviadas as cpias das mensagens que no se enquadrarem em nenhuma regra SMTP deste contexto (se a opo Envia Cpia de todas as mensagens estiver marcada). Este e-mail tambm pode ser referenciado em qualquer regra de filtragem do contexto.
Pasta de Relay
Esta pasta serve para se especificar uma lista de domnios vlidos para recebimento de e-mails. E-mails destinados a quaisquer domnios no listados sero rejeitados antes mesmo que se comece sua transmisso. Caso a lista de domnios esteja em branco o firewall no far controle de relay, ou seja, aceitar e-mails destinados a quaisquer domnios. Diferentemente do controle de relay de servidores SMTP, o firewall apenas pode basear seu controle no destinatrio dos e-mails, e no no remetente, uma vez que no possui a lista de usurios vlidos do servidor SMTP protegido.
Pasta de Regras
333
Nesta pasta so mostradas todas as regras de filtragem para o contexto. Estas regras possibilitam que o administrador configure filtros de e-mails baseados em seu contedo. Para se executar qualquer operao sobre uma determinada regra, basta clicar com o boto direito do mouse sobre ela. Aparecer o seguinte menu: (este menu ser acionado sempre que se pressionar o boto direito, mesmo que no exista nenhuma regra selecionada. Neste caso, somente as opes Incluir e Colar estaro habilitadas)
Inserir: Esta opo permite se incluir uma nova regra na lista. Se alguma regra estiver selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova regra ser includa no final da lista. Editar: Esta opo abre a janela de edio para a regra selecionada. Apagar: Esta opo remove da lista a regra selecionada. Copiar: Esta opo copia a regra selecionada para uma rea temporria. Colar: Esta opo copia a regra da rea temporria para a lista. Se uma regra estiver selecionada, a nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada para o final da lista. Renomear: Esta opo renomeia a regra selecionada da lista
Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a regra, clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada.
334
A ordem das regras na lista de regras de filtragem SMTP de fundamental importncia. Ao receber uma mensagem, o firewall pesquisar a lista a partir do incio procurando uma regra na qual a mensagem se enquadre. To logo uma seja encontrada, a ao associada a ela ser executada. No caso de incluso ou edio de regras, ser mostrada a janela de edio, mostrada abaixo: A janela de edio de regras SMTP
Nesta janela so configurados todos os parmetros relativos a uma regra de filtragem para um contexto SMTP. Cada regra consiste basicamente de 3 condies independentes que podem ou no estar preenchidas (ou seja, possvel se criar regras com apenas uma ou duas condies). Para se criar uma regra, necessrio se preencher os seguintes campos: Nome: Nome que define unicamente a regra dentro do contexto. Este nome ser mostrado na lista de regras do contexto SMTP. No podem existir duas regras com o mesmo nome. Campo: Define o nome do campo dentro da mensagem SMTP onde ser feita a pesquisa. Ele pode assumir um dos seguintes valores (alguns valores so mostrados em ingls devido ao fato de serem nomes de campos fixos de uma mensagem):
NENHUM: No ser feita pesquisa. TO (Todos): A pesquisa feita no endereo de destino da mensagem (todos os recipientes devem se encaixar na regra). TO (Qualquer): A pesquisa feita no endereo de destino da mensagem (pelo menos um recipiente deve se encaixar na regra). 335
FROM: A pesquisa feita no endereo de origem da mensagem CC: A pesquisa realizada sobre a lista de endereos que iro receber uma cpia da mensagem REPLY: A pesquisa feita no campo REPLY-TO, que indica o endereo para o qual a mensagem deve ser respondida. SUBJECT: A pesquisa feita no campo que define o assunto da mensagem Cabealho: A pesquisa realizada sobre todos os campos que compem o cabealho da mensagem Corpo: A pesquisa feita no corpo da mensagem (onde existe efetivamente a mensagem).
Os campos TO e CC so tratados de forma diferente pelo proxy SMTP: o campo TO tratado com uma lista dos vrios recipientes da mensagem, retirados do envelope da mensagem. O campo CC tratado como um texto simples, retirado do cabealho da mensagem, e sua utilidade bastante limitada. Pesquisa: Tipo de pesquisa a ser executada no campo definido acima. So elas:
CONTM: O campo a ser pesquisado deve conter o texto informado em qualquer posio. NO CONTM: O campo a ser pesquisado no pode conter o texto informado. : O contedo do campo a ser pesquisado deve ser exatamente igual ao texto informado. NO : O contedo do campo a ser pesquisado deve ser diferente do texto informado. COMEA COM: O contedo do campo a ser pesquisado deve comear com o texto informado. NO COMEA COM: O contedo do campo a ser pesquisado no pode comear com o texto informado. TERMINA COM: O contedo do campo a ser pesquisado deve terminar com o texto informado NO TERMINA COM: O contedo do campo a ser pesquisado no pode terminar com o texto informado. CONTM PALAVRAS: Neste tipo de pesquisa, o texto informado considerado como formado por palavras individuais (separadas por espaos), ao invs de um texto contnuo. Para se enquadrar na pesquisa, o campo em questo deve conter todas as palavras informadas, independente de sua posio.
Texto: Texto a ser pesquisado. Este campo tratado como um texto contnuo que ser comparado com o campo especificado, exceto no caso da pesquisa CONTM PALAVRAS, quando ele tratado como diversas palavras separadas por espaos. Em ambos os casos, letras maisculas e minsculas so consideradas como sendo iguais. Os campos Campo, Pesquisa e Texto aparecem 3 vezes. Desta forma, possvel se definir at 3 condies distintas que uma mensagem deve cumprir para que seja enquadrada pela regra. Caso no se deseje especificar trs condies, basta deixar as demais com o valor NENHUM no parmetro campo.
336
Ativao dos filtros: Este campo s tem sentido quando se especifica mais de uma condio. Ele indica que tipo de operao ser usada para relacion-las:
Somente se ambos so verdadeiros: Para que uma mensagem se enquadre na regra, necessrio que ela satisfaa todas as condies. Se qualquer um for verdadeiro: Para que uma mensagem se enquadre na regra, basta ela satisfazer uma das condies.
Ao: Este campo indica se as mensagens que se enquadrarem na regra devem ser aceitas ou rejeitadas pelo proxy SMTP. Registrar na lista de eventos: Este campo indica se as mensagens que se enquadrarem na regra devem ou no ser registradas na lista de eventos. Enviar cpia: Para toda mensagem que se enquadrar na regra, independentemente de ter sido aceita ou rejeitada, possvel se enviar uma cpia completa dela para um endereo de e-mail qualquer. Este campo indica se deve ou no ser enviada esta cpia. Caso ele esteja marcado, deve-se escolher uma das seguintes opes de envio:
Padro: A cpia da mensagem enviada para o e-mail padro. e-mail: A cpia da mensagem enviada para o endereo especificado no campo direita. Pasta de DNS
Nesta pasta so mostradas todas as regras de filtragem de DNS para o contexto. Estas regras possibilitam que o administrador configure filtros de e-mails baseados no nome retornado pelo DNS reverso do servidor SMTP que estiver enviando a mensagem.
337
Para se executar qualquer operao sobre uma determinada regra, basta clicar com o boto direito do mouse sobre ela. Aparecer o seguinte menu: (este menu ser acionado sempre que se pressionar o boto direito, mesmo que no exista nenhuma regra selecionada. Neste caso, somente as opes Incluir e Colar estaro habilitadas)
Inserir: Esta opo permite se incluir uma nova regra na lista. Se alguma regra estiver selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova regra ser includa no final da lista. Editar: Esta opo abre a janela de edio para a regra selecionada. Apagar: Esta opo remove da lista a regra selecionada. Copiar: Esta opo copia a regra selecionada para uma rea temporria. Colar: Esta opo copia a regra da rea temporria para a lista. Se uma regra estiver selecionada, a nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada para o final da lista. Renomear: Esta opo renomeia a regra selecionada da lista
Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a regra, clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada. No caso de incluso ou edio de regras, ser mostrada a janela de edio, mostrada abaixo:
338
Para se criar uma regra, necessrio se preencher os seguintes campos: Nome: Nome que define unicamente a regra dentro do contexto. Este nome ser mostrado na lista de regras do contexto SMTP. No podem existir duas regras com o mesmo nome. Operador de pesquisa: Os mesmos operadores utilizados nas regras de filtragem SMTP podem ser utilizados para a filtragem do DNS reverso. Texto: Define o texto a ser pesquisado. Registrar na lista de eventos: Registra no log de eventos do firewall caso a regra tenha sido executada. Verifica alias: Se esta opo estiver marcada, o firewall comparar todos os nomes retornados pelo DNS para verificar se algum deles se encaixa na regra. Ao: Ao a ser executada pelo firewall caso a regra seja atendida. Ela pode ser Aceita ou Rejeita.
Pasta de anexos
339
Nessa pasta so especificadas as regras de tratamento de arquivos anexados. Essas regras permitem que, caso uma mensagem tenha sido aceita, ela tenha seus arquivos anexados removidos ou checados contra vrus. Elas permitem tambm que se rejeite uma mensagem por completo, caso ela contenha um arquivo anexo inaceitvel (com vrus, por exemplo). Agente de antivrus para checagem dos arquivos: Esse campo indica o agente antvirus que ser utilizado para se checar vrus dos arquivos anexados a mensagens de e-mail. Esse agente deve ter sido previamente cadastrado no firewall. Para maiores informaes veja o captulo intitulado Cadastrando entidades. Para se executar qualquer operao sobre uma determinada regra, basta clicar com o boto direito do mouse sobre ela. Aparecer o seguinte menu: (este menu ser acionado sempre que se pressionar o boto direito, mesmo que no exista nenhuma regra selecionada. Neste caso, somente as opes Incluir e Colar estaro habilitadas)
340
Inserir: Esta opo permite se incluir uma nova regra na lista. Se alguma regra estiver selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova regra ser includa no final da lista. Editar: Esta opo abre a janela de edio para a regra selecionada. Apagar: Esta opo remove da lista a regra selecionada. Copiar: Esta opo copia a regra selecionada para uma rea temporria. Colar: Esta opo copia a regra da rea temporria para a lista. Se uma regra estiver selecionada, a nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada para o final da lista. Renomear: Esta opo renomeia a regra selecionada da lista.
Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a regra, clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada. A ordem das regras na lista de regras de filtragem de arquivos anexados de fundamental importncia. Para cada arquivo anexado de uma mensagem, o firewall pesquisar a lista a partir do incio procurando uma regra na qual ele se enquadre. To logo uma seja encontrada, a ao associada a ela ser executada. No caso de incluso ou edio de regras, ser mostrada a janela de edio, mostrada abaixo:
341
Nesta janela so configurados todos os parmetros relativos a uma regra de filtragem de arquivos para um contexto SMTP. Ela consiste dos seguintes campos: Nome: Nome que define unicamente a regra dentro do contexto. Este nome ser mostrado na lista de regras de arquivos. No podem existir duas regras com o mesmo nome. Filtrar por tipo MIME: Esse campo permite com que se defina uma regra de filtragem de arquivos baseando-se em seu tipo MIME. Ao ser marcada, deve-se especificar seu tipo e seu subtipo. Filtrar por nome: Esse campo permite com que se realize filtragems a partir (de parte) do nome, do arquivo anexado. Ao ser marcado, deve-se especificar o tipo de pesquisa a ser efetuada e o texto a ser pesquisado. Estes campos so anlogos aos campos de mesmo nome da regra de filtragem SMTP, descrita acima. Operador de pesquisa: Este campo anlogo ao campo de mesmo nome da regra de filtragem SMTP, descrita acima.
342
Ao: Indica qual a ao a ser tomada pelo firewall quando um arquivo se enquadrar na regra. Ela consiste de trs opes:
Aceita o anexo: Se essa opo for selecionada o firewall ir manter o arquivo anexado na mensagem. Remove o anexo: Se essa opo for selecionada o firewall ir remover o arquivo anexado da mensagem. Descarta mensagem: Se essa opo for selecionada o firewall recusar a mensagem completa. Remove anexo infectado: Se essa opo for selecionada o firewall ir verificar o arquivo anexado da mensagem contra vrus. Caso exista vrus o firewall tomar uma das seguintes aes: se o arquivo puder ser desinfectado, o vrus ser removido e o arquivo reanexado mensagem. Caso o arquivo no possa ser desinfectado, o firewall o remover e acrescentar uma mensagem informando ao destinatrio desse fato. Descarta mensagem infectada: Se essa opo for selecionada o firewall ir verificar o arquivo anexado da mensagem contra vrus. Caso exista vrus o firewall tomar uma das seguintes aes: se o arquivo puder ser desinfectado, o vrus ser removido e o arquivo reanexado mensagem. Caso o arquivo no possa ser desinfectado, o firewall recusar a mensagem.
Recomenda-se utilizar as aes que removem os arquivos anexados nos emails recebidos pela companhia e as que bloqueiam a mensagem por completo nas regras aplicadas aos emails que saem. Remove arquivos encriptados: Se essa opo estiver marcada, o firewall remover os arquivos anexados que estejam cifrados, de forma que no possam ser checados quanto a presena de vrus. Remove arquivos corrompidos: Se essa opo estiver marcada, o firewall remover os arquivos anexados que estejam corrompidos. Notifica emissor no caso de remoo do arquivo anexado: Se essa opo estiver marcada, o firewall enviar uma mensagem para o emissor de um e-mail todas as vezes que um ou mais de seus arquivos anexados for removido. Envia cpia para o administrador do arquivo anexado for removido: Se essa opo estiver marcada, o firewall enviar uma cpia de todos os arquivos removidos para o administrador. Caso ela esteja marcada, deve-se escolher uma das seguintes opes de envio:
Padro: A cpia da mensagem enviada para o e-mail padro. e-mail: A cpia da mensagem enviada para o endereo especificado no campo direita.
343
Esta pasta contm opes de bloqueio de sites considerados fontes de SPAM. O bloqueio feito em tempo real, mediante consulta a uma ou mais listas de bloqueio dinmicas, mantidas por terceiros. Ela consiste das seguintes opes: Black list padro: So cinco listas negras que contm vrios relays acusados de fazer SPAM (envio de mensagem no desejada). Elas so gerenciadas por organizaes e o firewall simplesmente as consulta antes de aceitar os e-mails. Marque as opes correspondentes se desejar utilizar esta facilidade.
SBL: Para saber mais acesse o endereo http://www.spamhaus.com CBL: Para saber mais acesse o endereo http://cbl.abuseat.org ORBL Brasil: Para saber mais acesse o endereo http://www.globalmedia.com.br/orbl DSBL: Para saber mais acesse o endereo http://dsbl.org/
Black list do usurio: So listas negras configurveis pelo administrador do firewall. Ela consiste de uma lista de listas negras, cada uma com os seguintes campos: Nome: Nome pelo qual se se deseja chamar a blacklist URL: URL explicativa para ser mostrada para o usurio que tiver seus e-mails recusados Zona: a zona completa de DNS que dever ser consultada pelo firewall. Caso um endereo IP esteja presente nessa zona, e-mails vindos dele sero recusados.
344
Alguns servios de black list costumam ter seu funcionamento interrompido temporariamente devido problemas de natureza judicial. Quando isto acontece, ou eles se tornam inefetivos ou bloqueiam mais e-mails do que deveriam. Por favor verifique o funcionamento correto da black-list desejada antes de coloc-la em uso.
Pasta Avanado
Esta pasta permite o acesso s opes de configurao avanadas do proxy SMTP. Elas permitem um ajuste fino do funcionamento do proxy. As opes so: Permite cabealho incompleto: Se esta opo estiver marcada como NO, no sero aceitas mensagens cujos cabealhos no contenham todos os campos obrigatrios de uma mensagem SMTP. Nmero de processos: Este campo indica o nmero mximo de cpias do proxy que podero estar ativas em um determinado momento. Como cada processo trata uma conexo, este nmero tambm representa o nmero mximo de mensagens que podem ser enviadas simultaneamente para o contexto em questo. Caso o nmero de conexes ativas atinja este limite, os clientes que tentarem enviar novas mensagens sero informados que o servidor se encontra temporariamente impossibilitado de aceitar novas conexes e que devem tentar novamente mais tarde. possvel se utilizar este nmero de processos como uma ferramenta para controlar o nmero mximo de mensagens simultneas passando pelo link, de forma a no saturlo.
345
Tempo limite de resposta do cliente: Este parmetro indica o tempo mximo, em segundos, que o proxy espera entre cada comando do cliente que est enviando a mensagem SMTP. Caso este tempo seja atingido, sem receber nenhum comando do cliente, o proxy assume que este caiu e derruba a conexo. Tempo limite de resposta para servidor: Para cada um dos possveis comandos vlidos do protocolo SMTP, existe um tempo mximo de espera por uma resposta do servidor. Caso no receba nenhuma resposta dentro deste perodo, o proxy assume que o servidor caiu e derruba a conexo. Neste grupo possvel ser configurar o tempo mximo de espera, em segundos, para cada um destes comandos. Todos os demais parmetros se referem aos tempos limites de resposta para cada comando SMTP e no devem ser modificados a no ser que haja uma razo especfica para faz-lo.
346
347
Na janela de propriedades so configurados todos os parmetros de um contexto associado a um determinado servio. Ela consiste dos seguintes campos: Somente aceita conexes de mquinas com DNS reverso vlido: Se esta opo estiver marcada, somente sero aceitas conexes de mquinas cujo DNS reverso esteja configurado e aponte para um nome vlido. Permisso Padro: Este campo indica a permisso que ser aplicada a todos os usurios que no estiverem presentes e que no faam parte de nenhum grupo presente na lista de permisses. O valor aceita permite que a sesso de telnet seja estabelecida e o valor rejeita impede sua realizao. Nmero mximo de sesses simultneas: Este campo define o nmero mximo de sesses telnet que podem estar ativas simultaneamente neste contexto. Caso o nmero de sesses abertas atinja este limite, os usurios que tentarem estabelecer novas conexes sero informados que o limite foi atingido e que devem tentar novamente mais tarde. Tempo limite de inatividade: Este campo define o tempo mximo, em segundos, que o proxy pode ficar sem receber dados da sesso Telnet e ainda consider-la ativa.
348
O valor deste campo deve ser menor ou igual ao valor configurado no campo Tempo limite TCP, nos parmetros de configurao globais. (para maiores informaes, veja o captulo intitulado Configurando os parmetros do sistema) Lista de permisses: Esta lista define, de forma individual, as permisses de acesso para usurios ou grupos. Para se executar qualquer operao sobre um usurio ou grupo na lista de permisses, basta clicar com o boto direito do mouse sobre ele. Aparecer o seguinte menu: (este menu ser acionado sempre que se pressionar o boto direito, mesmo que no exista nenhum usurio/grupo selecionado. Neste caso, somente as opes Incluir e Colar estaro habilitadas)
Inserir: Esta opo permite se incluir um novo usurio/grupo na lista. Se algum usurio/grupo estiver selecionado, o novo ser inserido na posio selecionada. Caso contrrio, o novo usurio/grupo ser includo no final da lista. Editar: Esta opo permite que se altere a permisso de acesso do usurio/grupo selecionado. Apagar: Esta opo remove da lista o usurio/grupo selecionado.
Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se o usurio/grupo, clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada. A ordem dos usurios e grupos na lista de permisses de fundamental importncia. Quando um usurio se autenticar, o firewall pesquisar a lista a partir do incio procurando pelo nome desse usurio ou por um grupo de que ele faa parte. To logo um desses seja encontrado, a permisso associada ao mesmo ser utilizada. Para se alterar a posio de um usurio ou grupo dentro da lista, deve-se proceder da seguinte forma: 1. Seleciona-se o usurio ou grupo a ser movido de posio 2. Clica-se em um dos botes em formato de seta, localizados a direita da lista. O boto com o desenho da seta para cima far com que o usurio/grupo selecionado seja movido uma posio para cima. O boto com a seta para baixo far com que este seja movido uma posio para baixo. No caso de incluso de usurios/grupos, ser mostrada a seguinte janela: A janela de incluso de usurios/grupos
349
A janela de incluso permite definir a permisso de acesso para um usurio ou um grupo de um determinado autenticador. Para faz-lo, deve-se proceder da seguinte forma: Seleciona-se o autenticador do qual se deseja obter a lista de usurios ou grupos, clicando-se com o boto esquerdo sobre seu nome na lista superior da janela (se o autenticador desejado no aparecer na lista, necessrio acrescent-lo na lista de autenticadores a serem pesquisados. Para maiores informaes, veja o captulo intitulado Configurando parmetros de autenticao). 1. Seleciona-se entre listagem de usurios ou grupos, clicando-se nos botes correspondentes localizados entre as duas listas. 2. Clica-se com o boto esquerdo sobre o nome do usurio ou grupo que se deseja incluir, na lista inferior da janela. 3. Define-se a permisso de acesso para o usurio ou grupo, escolhendo entre os valores aceita (que possibilitar o estabelecimento da sesso) ou rejeita (que impedir seu estabelecimento). 4. Clica-se no boto OK, o que provocar o fechamento da janela e a incluso do usurio ou grupo na lista de permisses da janela de propriedades do contexto.
350
351
Na janela de propriedades so configurados todos os parmetros de um contexto associado a um determinado servio. Ela consiste dos seguintes campos: Somente aceita conexes de mquinas com DNS reverso vlido: Se esta opo estiver marcada, somente sero aceitas conexes de mquinas cujo DNS reverso esteja configurado e aponte para um nome vlido. Nmero mximo de sesses simultneas: Este campo define o nmero mximo de sesses FTP que podem estar ativas simultaneamente neste contexto. Caso o nmero de sesses abertas atinja este limite, os usurios que tentarem estabelecer novas conexes sero informados que o limite foi atingido e que devem tentar novamente mais tarde. Tempo limite de inatividade: Este campo define o tempo mximo, em segundos, que o proxy pode ficar sem receber dados da sesso FTP e ainda consider-la ativa. O valor deste campo deve ser menor ou igual ao valor configurado no campo Tempo limite TCP, nos parmetros de configurao globais. (para maiores informaes, veja o captulo intitulado Configurando os parmetros do sistema) Criar diretrio: Se esta opo estiver desmarcada, no ser possvel a criao de diretrios atravs das conexes FTP que se encaixarem neste contexto. 352
Apagar diretrio: Se esta opo estiver desmarcada, no ser possvel a remoo de diretrios atravs das conexes FTP que se encaixarem neste contexto. Listar diretrio: Se esta opo estiver desmarcada, no ser possvel a visualizao do contedo de diretrios (comandos DIR ou LS) atravs das conexes FTP que se encaixarem neste contexto. Download de arquivos: Se esta opo estiver desmarcada, no ser possvel se fazer download de arquivos atravs das conexes FTP que se encaixarem neste contexto. Upload de arquivos: Se esta opo estiver desmarcada, no ser possvel se fazer upload de arquivos atravs das conexes FTP que se encaixarem neste contexto. Apagar arquivos: Se esta opo estiver desmarcada, no ser possvel se remover arquivos atravs das conexes FTP que se encaixarem neste contexto. Renomear arquivos: Se esta opo estiver desmarcada, no ser possvel se renomear arquivos atravs das conexes FTP que se encaixarem neste contexto.
353
Neste caso, o atacante procura utilizar um comando ou parmetros de um comando que conhecidamente provocam falhas de segurana. O proxy POP3 do Firewall Aker impede estes ataques na medida em que s permite a utilizao de comandos considerados seguros e validando os parmetros de todos os comandos.
Estes ataques consistem em se enviar linhas de comando muito grandes, fazendo com que um servidor que no tenha sido corretamente desenvolvido apresente falhas de segurana. O proxy POP3 do Firewall Aker impede estes ataques na medida em que limita o tamanho mximo das linhas de comando que podem ser enviadas para o servidor.
354
1. Cria-se um servio que ser desviado para o proxy POP3 e edita-se os parmetros do contexto a ser usado por este servio (para maiores informaes, veja o captulo intitulado Cadastrando Entidades) 2. Acrescenta-se uma regra de filtragem permitindo o uso do servio criado no passo 1, para as redes ou mquinas desejadas (para maiores informaes, veja o captulo intitulado Filtro de Estados)
355
Na janela de propriedades so configurados todos os parmetros de um contexto associado a um determinado servio. So eles: Configuraes: formado por diversos campos que indicam as aes a serem executadas pelo proxy POP3:
Agente antivrus: Esse campo indica o agente anti-virus que ser utilizado para se checar vrus dos arquivos anexados a mensagens de e-mail. Esse agente deve ter sido previamente cadastrado no firewall. Para maiores informaes veja o captulo intitulado Cadastrando entidades. E-mail padro: Indica o endereo de e-mail padro, para o qual sero enviadas as cpias das mensagens que no se enquadrarem em nenhuma regra deste contexto (se a opo Envia Cpia estiver marcada). Este e-mail tambm pode ser referenciado em qualquer regra de filtragem do contexto.
356
Nmero mximo de processos: Este campo indica o nmero mximo de cpias do proxy que podero estar ativas em um determinado momento. Como cada processo trata uma conexo, este nmero tambm representa o nmero mximo de mensagens que podem ser transmitidas simultaneamente para o contexto em questo. Caso o nmero de conexes ativas atinja este limite, os clientes que tentarem enviar novas mensagens devero repetir a tentativa posteriormente. Tempo limite de resposta: Este parmetro indica o tempo mximo, em segundos, que o proxy espera a conexo em inatividade. Caso este tempo seja atingido o proxy encerra a conexo. Permitir a passagem de anexos mal codificados: Permite que anexos que estejam mal codificados passem pelo firewall e sejam entregues aos clientes de email.
Lista de regras: Nessa lista so especificadas as regras de tratamento de arquivos anexados que permitem que uma mensagem tenha seus arquivos anexados removidos ou checados contra vrus. Para se executar qualquer operao sobre uma determinada regra, basta clicar com o boto direito do mouse sobre ela. Aparecer o seguinte menu: (este menu ser acionado sempre que se pressionar o boto direito, mesmo que no exista nenhuma regra selecionada. Neste caso, somente as opes Incluir e Colar estaro habilitadas)
Inserir: Esta opo permite se incluir uma nova regra na lista. Se alguma regra estiver selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova regra ser includa no final da lista. Editar: Esta opo abre a janela de edio para a regra selecionada. Apagar: Esta opo remove da lista a regra selecionada. Copiar: Esta opo copia a regra selecionada para uma rea temporria. Colar: Esta opo copia a regra da rea temporria para a lista. Se uma regra estiver selecionada, a nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada para o final da lista. Renomear: Esta opo renomeia a regra selecionada.
Dica: Todas as opes mostradas acima podem ser executadas a partir da barra de ferramentas localizada logo acima da lista. Neste caso, primeiro seleciona-se a regra, clicando-o com o boto esquerdo, e em seguida clica-se na opo desejada. A ordem das regras na lista de regras de filtragem de arquivos anexados de fundamental importncia. Para cada arquivo anexado de uma mensagem, o firewall pesquisar a lista a partir do incio procurando uma regra na qual ele se enquadre. To logo uma seja encontrada, a ao associada a ela ser executada.
357
No caso de incluso ou edio de regras, ser mostrada a janela de edio, mostrada abaixo: A janela de edio de regras de arquivos
Nesta janela so configurados todos os parmetros relativos a uma regra de filtragem de arquivos para um contexto POP3. Ela consiste dos seguintes campos: Nome: Nome que define unicamente a regra dentro do contexto. Este nome ser mostrado na lista de regras de arquivos. No podem existir duas regras com o mesmo nome. Filtrar por tipo MIME: Esse campo permite com que se defina uma regra de filtragem de arquivos baseando-se em seu tipo MIME. Ao ser marcada, deve-se especificar seu tipo e seu subtipo. Filtrar por nome: Esse campo permite com que se realize filtragems a partir (de parte) do nome, do arquivo anexado. Ao ser marcado, deve-se especificar o tipo de pesquisa a ser efetuada e o texto a ser pesquisado. As seguintes opes de pesquisa esto disponveis:
358
CONTM: O nome deve conter o texto informado em qualquer posio. NO CONTM: O nome no pode conter o texto informado. : O contedo do nome deve ser exatamente igual ao texto informado. NO : O contedo do nome deve ser diferente do texto informado. COMEA COM: O contedo do nome deve comear com o texto informado. NO COMEA COM: O contedo do nome no pode comear com o texto informado. TERMINA COM: O contedo do nome deve terminar com o texto informado NO TERMINA COM: O contedo do nome no pode terminar com o texto informado. CONTM PALAVRAS: Neste tipo de pesquisa, o texto informado considerado como formado por palavras individuais (separadas por espaos), ao invs de um texto contnuo. Para se enquadrar na pesquisa, o nome deve conter todas as palavras informadas, independente de sua posio.
Ativao do filtro: Caso se tenha especificado filtragem por tipo MIME e por nome, esse campo permite especificar se a regra deve ser aplicada Somente se ambos so verdadeiros (valor E) ou Se qualquer um for verdadeiro (valor OU). Ao: Indica qual a ao a ser tomada pelo firewall quando um arquivo se enquadrar na regra. Ela consiste de trs opes:
Aceita o anexo: Se essa opo for selecionada o firewall ir manter o arquivo anexado na mensagem. Remove o anexo: Se essa opo for selecionada o firewall ir remover o arquivo anexado da mensagem. Remove anexo infectado: Se essa opo for selecionada o firewall ir verificar o arquivo anexado da mensagem contra vrus. Caso exista vrus o firewall tomar uma das seguintes aes: se o arquivo puder ser desinfectado, o vrus ser removido e o arquivo reanexado mensagem. Caso o arquivo no possa ser desinfectado, o firewall o remover e acrescentar uma mensagem informando o destinatrio desse fato.
Caso a caixa Registrar na lista de eventos estiver marcada, quando a regra for atendida a mesma ser registrada no log de eventos. Remover arquivos encriptados: Se essa opo estiver marcada, o firewall remover os arquivos anexados que estejam compactados e cifrados, porque no poder examin-los para testar a presena de vrus. Remover arquivos corrompidos: Se essa opo estiver marcada, o firewall remover os arquivos anexados que estejam compactados porm corrompidos, porque no poder examin-los para testar a presena de vrus. Notifica emissor no caso de remoo do arquivo anexado: Se essa opo estiver marcada, o firewall enviar uma mensagem para o emissor de um e-mail todas as vezes que um ou mais de seus arquivos anexados for removido. Envia cpia para o administrador se o arquivo anexado for removido: Se essa opo estiver marcada, o firewall enviar uma cpia de todos os arquivos removidos
359
para o administrador. Caso ela esteja marcada, deve-se escolher uma das seguintes opes de envio:
E-mail Padro: A cpia da mensagem enviada para o e-mail padro, definido na janela de propriedades do contexto outro: A cpia da mensagem enviada para o endereo especificado no campo direita.
360
O Firewall Aker no implementa por si s um servidor de cache no seu proxy WWW, entretanto ele pode ser configurado para trabalhar com qualquer um que siga os padres de mercado. Este servidor de cache pode estar rodando na prpria mquina onde o firewall se encontra ou em uma mquina separada. Caso se utilize um servidor de cache em uma mquina separada (modo de instalao recomendado), esta mquina deve ficar em uma sub-rede diferente de onde esto as mquinas clientes, caso contrrio todo o controle de segurana pode ser facilmente ultrapassado. Este tipo de configurao pode ser visualizado na seguinte figura:
Neste tipo de instalao, para se assegurar uma total proteo, basta se configurar o filtro de estados (para maiores informaes, veja o captulo intitulado O Filtro de Estados) de forma a permitir que a mquina com o cache seja a nica que possa acessar os servios ligados ao WWW, e que as mquinas clientes no possam abrir nenhuma conexo em direo mquina onde se encontra o cache. Feito isso, configura-se todas as mquinas clientes para utilizarem o proxy WWW do firewall e configura-se o firewall para utilizar o cache na mquina desejada.
362
3. Cria-se uma regra de filtragem possibilitando que as mquinas clientes tenham acesso ao proxy (para maiores informaes, veja o captulo intitulado O Filtro de Estados). O proxy WWW no transparente escuta conexes na porta 80, utilizando o protocolo TCP. Caso seja necessrio, pode-se alterar este valor para qualquer porta, bastando para isso acrescentar o parmetro -p porta, onde porta o nmero da porta que se deseje que ele escute, na hora de se inici-lo. Esta chamada se encontra no arquivo /etc/firewall/rc.aker, e deve ser alterada de /etc/firewall/fwhttppd para /etc/firewall/fwhttppd -p 8080, por exemplo. Para se utilizar o proxy WWW no modo transparente (apenas protocolo HTTP) necessrio se executar uma seqncia de 2 passos: 1. Cria-se um servio que ser desviado para o proxy WWW transparente (HTTP) e edita-se os parmetros do contexto a ser usado por este servio (para maiores informaes, veja o captulo intitulado Cadastrando Entidades) 2. Acrescenta-se uma regra de filtragem permitindo o uso do servio criado no passo 1, para as redes ou mquinas desejadas (para maiores informaes, veja o captulo intitulado Filtro de Estados)
363
Clicar no menu Configurao do Firewall da janela do firewall Selecionar o item Proxy WWW
364
O boto OK far com que a janela de configurao do proxy WWW seja fechada e as alteraes salvas O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta O boto Cancelar, far com que todas as alteraes feitas sejam desprezadas e a janela seja fechada.
Pasta geral
Cache
Habilitar cache: Esta opo permite definir se o proxy WWW ir redirecionar suas requisies para um servidor de cache. Caso esta opo esteja habilitada, todas as requisies recebidas sero repassadas para o servidor de cache, no endereo IP e porta especificados. Caso contrrio, o proxy WWW atender todas as requisies.
365
IP: Este campo especifica o endereo IP do servidor de cache para onde as requisies sero redirecionadas, caso a opo habilita cache estiver ativa. Porta: Este campo especifica a porta na qual o servidor de cache espera receber conexes, caso a opo habilita cache estiver ativa.
Parmetros
Esta pasta possibilita ajustar o funcionamento do proxy WWW para situaes especiais. Ela consiste dos seguintes campos: Autentica usurios WWW: Este campo ativa ou no a autenticao de usurios do proxy WWW. Caso ele esteja marcado, ser solicitada ao usurio uma identificao e uma senha todas as vezes que ele tentar iniciar uma sesso e esta somente ser iniciada caso ele seja autenticado por algum dos autenticadores. Utiliza cliente de autenticao em Java: Esta opo instrui o proxy a utilizar o cliente de autenticao em Java, mesmo quando operando de modo no transparente. A vantagem deste cliente permitir que a autenticao do usurio seja completa (como quando se usa o cliente de autenticao para Windows, e no apenas para o proxy WWW). Caso o usurio esteja utilizando o Cliente de Autenticao Aker para Windows e esteja com uma sesso estabelecida com o Firewall, ento no ser solicitado nome nem senha, ou seja, o proxy se comportar como se no estivesse realizando autenticao de usurios, mas ele est de fato fazendo-o. Se a sesso do Cliente de Autenticao for finalizada, ento o proxy solicitar um nome de usurio e senha no prximo acesso. Para maiores informaes sobre o Cliente de Autenticao Aker, leia o captulo O cliente de autenticao Aker). Para o cliente de autenticao em Java funcionar em seu browser, ele deve ter o suporte a Java instalado e habilitado, alm de permitir o uso do protocolo UDP para applets Java. Apenas o Internet Explorer da Microsoft traz esta opo desabilitada por padro, e, para habilit-la voc deve escolher configuraes personalizadas de segurana para Java e liberar o acesso a todos os endereos de rede para applets no assinados. Forar autenticao: Se esta opo estiver marcada o proxy obrigar a autenticao do usurio, ou seja, somente permitir acesso para usurios autenticados. Se ela estiver desmarcada e um usurio desejar se autenticar, ele poder faz-lo (para ganhar um perfil diferente do padro), mas acessos no identificados sero permitidos.
Tempos Limites
leitura: Este parmetro define o tempo mximo, em segundos, que o proxy aguarda por uma requisio do cliente, a partir do momento que uma nova conexo for estabelecida. Caso este tempo seja atingido sem que o cliente faa uma requisio, a conexo ser cancelada. resposta: Este parmetro define o tempo mximo, em segundos, que o proxy aguarda por uma resposta de uma requisio enviada para o servidor WWW remoto ou para o servidor de cache, caso a opo habilita cache esteja ativa. Caso este tempo seja atingido sem que o servidor comece a transmitir uma resposta, a conexo com o servidor ser cancelada e o cliente receber uma mensagem de erro.
366
HTTPS: Este parmetro define o tempo mximo, em segundos, que o proxy pode ficar sem receber dados do cliente ou do servidor em uma conexo HTTPS, sem que ele considere a conexo inativa e a cancele. keep-alive: Este parmetro define quanto tempo um usurio pode manter uma conexo keep-alive (HTTP 1.1) com o proxy inativa, antes que o proxy a encerre, liberando o processo para outro usurio. Recomenda-se manter este tempo bastante baixo, para evitar o uso desnecessrio de todos os processos do sistema.
Performance
Nmero de processos: Este campo define o nmero de processos do proxy WWW que vo permanecer ativos aguardando conexes. Como cada processo atende uma nica conexo, este campo tambm define o nmero mximo de requisies que podem ser atendidas simultaneamente. Por razes de performance, os processos do proxy WWW ficaro ativos sempre, independente de estarem ou no atendendo requisies. Isto feito com o objetivo de aumentar a performance. Normalmente, deve-se trabalhar com valores entre 5 e 60 neste campo, dependendo do nmero de mquinas clientes que utilizaro o proxy (cabe ressaltar que uma nica mquina costuma abrir at 4 conexes simultneas ao acessar uma nica pgina WWW). O valor 0 inviabiliza a utilizao do proxy.
Bloqueio
Essa opo permite se configurar qual ao deve ser executada pelo firewall quando um usurio tentar acessar uma URL no permitida. Ela consiste das seguintes opes: Mostra mensagem padro ao bloquear URL: Se essa opo estiver selecionada, o firewall mostrar uma mensagem de erro informando que a URL que se tentou acessar se encontra bloqueada. Redireciona URL bloqueada: Se essa opo estiver selecionada, o firewall redirecionar todas as tentativas de acesso a URLs bloqueadas para uma URL especificada pelo administrador. Nesse caso, deve-se especificar a URL para qual os acessos bloqueados sero redirecionados (sem o prefixo http://) no campo abaixo.
367
Analisador de URL: Esse campo especifica o agente analisador de URLs que ser utilizado para categorizar as pginas da Internet. Esse agente deve ter sido previamente cadastrado no firewall. Para maiores informaes veja o captulo intitulado Cadastrando entidades. Controle SSL: Esse parmetro permite que se defina as portas de conexo segura (https) que sero aceitas pelo firewall. Caso um cliente tente abrir uma conexo para uma porta no permitida, o firewall mostrar uma mensagem de erro e no possibilitar o acesso. Caso se deseje utilizar apenas a porta padro (443), deve-se selecionar a primeira opo. Essa a configurao a ser utilizada na grande maioria dos firewalls. A opo Permite HTTPS para todas as portas indica ao firewall que ele deve aceitar conexes HTTPS para quaisquer portas. Essa configurao no recomendada para nenhum ambiente que necessite de um nvel de segurana razovel, j que possvel para um usurio utilizar o proxy para acessar servios no permitidos simulando uma conexo HTTPS.
368
Por ltimo, existe a opo Permite HTTPS para as entidades abaixo que possibilita ao administrador definir exatamente quais portas sero permitidas. Nesse caso devem ser cadastradas as entidades correspondentes aos servios desejados. Para maiores informaes, veja o captulo intitulado Cadastrando Entidades.
Pasta Antivrus
Habilitar antivrus: A marcao desta caixa ir permitir que o firewall faa a verificao antivrus dos contedos que tiverem sendo baixados. O boto Retornar configurao padro restaura a configurao original do firewall para esta pasta. Agente antivrus utilizado: Permite a escolha de um agente antivrus previamente cadastrado para realizar a verificao de vrus. Esse agente deve ter sido previamente cadastrado no firewall. Para maiores informaes veja o captulo intitulado Cadastrando entidades. Intervalo de atualizao do status: Esta opo determina o tempo em a pgina de download exibida pelo firewall deve ser atualizada.
369
Nmero de tentativas: Nmero mximo de tentativas de download para cada arquivo, caso seja necessrio tentar mais de uma vez. Nmero mximo de downloads simultneos: Configura o nmero mximo de downloads simultneos que o firewall ir permitir Analisando o Vrus: Opo para mostrar uma pgina caso seja encontrado um vrus durante a anlise do antivrus. A pgina poder ser a do prprio firewall ou personalisada pelo usurio. possvel personalizar a mensagem para cada tipo de vrus encontrado, bastando utilizar a string {VIR} que ser substituda pelo nome do vrus.
Opo Downloads
Esta opo serve para se especificar os arquivos que sero analisados contra vrus pelo Download manager do Firewall Aker, ou seja, para os quais o firewall mostrar ao usurio uma pgina web com o status do download do arquivo e realizar seu download em background. Esta opo interessante para arquivos potencialmente grandes
370
(arquivos compactados, por exemplo) ou para arquivos que normalmente no so visualizveis de forma on-line pelo navegador. possvel se utilizar dois critrios complementares para se decidir se um arquivo transferido deve ser analisado: a extenso do arquivo e seu tipo MIME. Se um destes critrios for atendido, em outras palavras, se a extenso do arquivo estiver entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre aqueles a serem analisados, ento o arquivo dever ser analisado pelo firewall. O tipo MIME usado para indicar o tipo de dado que est no corpo de uma resposta em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo e o segundo indica o subtipo. O navegador usa esta informao para decidir como mostrar a informao que ele recebeu, do mesmo modo como o sistema operacional usa a extenso do nome do arquivo. Sites Excludos: Deve-se escolher a operao e o texto a ser includo para anlise. Sites que se enquadrarem na lista de excludos no sero analisados. As escolhas dos operadores podem ser vistas abaixo:
Configuraes: Anexos Encriptados: Deve-se escolher entre aceitar ou rejeitar um anexo encriptado Anexos Corrompidos: Deve-se escolher entre aceitar ou rejeitar um anexo corrompidos
Opo Online
Da mesma maneira que em downloads o administrador do firewall deve escolher os tipos MIME e as extenses. Na configurao padro do firewall cadastrados os seguintes tipos conforme a figura abaixo:
371
372
373
Clicar no menu Configurao do Firewall da janela de administrao Selecionar o item Proxy Socks
O boto OK far com que a janela de configurao do proxy SOCKS seja fechada e as alteraes salvas O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta O boto Cancelar, far com que todas as alteraes feitas sejam desprezadas e a janela seja fechada.
374
Autentica usurios SOCKS: Este campo ativa ou no a autenticao de usurios do proxy SOCKS. Caso ele esteja marcado, ser solicitada ao usurio uma identificao e uma senha todas as vezes que ele tentar iniciar uma sesso e esta somente ser iniciada caso ele seja autenticado por algum dos autenticadores. Caso o usurio esteja utilizando o Cliente de Autenticao Aker e esteja com uma sesso estabelecida com o Firewall, ento no ser solicitado nome nem senha, ou seja, o proxy se comportar como se no estivesse realizando autenticao de usurios, mas ele est de fato fazendo-o. Se a sesso do Cliente de Autenticao for finalizada, ento o proxy solicitar um nome de usurio e senha no prximo acesso. Para maiores informaes sobre o Cliente de Autenticao Aker, leia o captulo O cliente de autenticao Aker). A verso 4 do protocolo SOCKS no permite que se realize autenticao de usurios, dessa forma, a nica maneira de se autenticar clientes utilizando essa verso do protocolo com o uso do cliente de autenticao. Caso essa opo esteja marcada, a verso suportada pelo cliente for a 4 e no existir uma sesso de perfil de acesso ativa, ento o firewall no permitir acessos para o cliente. Tempo limite de resposta: Este parmetro define o tempo mximo, em segundos, que o proxy aguarda por dados do cliente, a partir do momento que uma nova conexo for estabelecida. Caso este tempo seja atingido sem que o cliente envie os dados necessrios, a conexo ser cancelada. Nmero mximo de processos: Este campo define o nmero mximo de processos do proxy SOCKS que podero estar ativos simultaneamente. Como cada processo atende uma nica conexo, este campo tambm define o nmero mximo de requisies que podem ser atendidas simultaneamente.
375
Clicar no menu Configurao do Sistema da janela de administrao do firewall Selecionar o item Ativao da Licena
376
Inicialmente esta janela mostrar a chave de ativao e a de licenas adicionais atualmente configuradas no firewall. Caso no se tenha digitado uma chave de licenas adicionais, a mesma aparecer em branco. Para se alterar qualquer uma destas chaves, basta-se digitar o valor da nova chave e clicar no boto OK. Caso no se deseje atualizar a chave, deve-se clicar no boto Cancelar.
A barra de ferramentas possui um boto para carregar a licena a partir de um arquivo fornecido pela Aker. O nome da empresa, o endereo IP e a(s) chave(s) devem ser digitadas exatamente conforme fornecidos pela Aker Security Solutions ou seu representante autorizado. No campo empresa, letras maisculas e minsculas so consideradas diferentes. Caso a chave recm atualizada possua parmetros distintos da chave anterior (como por exemplo, habilitao da criptografia ou alteraes no nmero de licenas de clientes de criptografia), necessrio se finalizar a sesso de administrao remota e se conectar novamente no firewall para que a interface perceba a mudana nestes parmetros.
377
Clicar no firewall para o qual ser salva a cpia de segurana Selecionar a opo Salvar configuraes na barra de ferramentas ou no menu com o nome do firewall selecionado
378
Aps se digitar o nome do arquivo salvo, deve-se clicar no boto Salvar.. Caso no se deseje mais gravar a cpia de segurana, basta clicar no boto Cancelar.
379
Clicar no firewall para o qual ser carregada a cpia de segurana Selecionar o item Carregar configuraes na barra de ferramentas ou no menu com o nome do firewall selecionado
380
Esta janela permite que se escolha o nome do arquivo de onde a configurao ser restaurada. Aps seu nome ser especificado, o firewall ler todo seu contedo, far vrios testes de consistncia e se o seu contedo estiver vlido ser carregado.
O boto Abrir far com que a cpia seja carregada e a configurao do firewall imediatamente atualizada. O Boto Cancelar far com que a janela seja fechada porm a cpia de segurana no seja carregada
381
Clicar no menu Ferramentas da janela de administrao do firewall Selecionar o item DNS Reverso
382
Esta janela consiste de um campo para se digitar o endereo IP que se deseja resolver e uma lista com os endereos IP j resolvidos anteriormente.
O boto OK far com que a janela seja fechada. A opo Mostrar todos, se estiver marcada, far com que sejam mostrados todos os endereos j resolvidos na lista na parte inferior da janela.
Para se resolver um endereo, deve-se digit-lo no campo e pressionar o boto DNS Reverso. Neste momento o endereo ser mostrado na lista na parte inferior da janela, junto com o status da resoluo. Aps algum tempo, ser mostrado o nome da mquina correspondente ao endereo ou uma indicao de que o endereo informado no possui DNS reverso configurado.
383
Clicar no menu Configuraes do Sistema da janela de administrao do firewall Selecionar o item Data e Hora
384
Esta janela consiste de dois campos que mostram o valor da data e hora configurados no firewall. Para se alterar qualquer um destes valores, basta se colocar o valor desejado no campo correspondente. Para escolher o ms pode-se usar as setas de navegao. A pasta de Fuso Horrio
Escolha o fuso horrio que mais se aproxima da regio aonde o firewall ser instalado.
O boto Aplicar alterar a data e hora e manter a janela aberta. O boto OK far com que a janela seja fechada e as alteraes salvas. O boto Cancelar fechar a janela e descartar as modificaes efetuadas.
385
Clicar no menu Ferramentas da janela de administrao do firewall Selecionar o item Simulao de regras de filtragem
A janela de varredura de regras possvel se alternar entre a varredura por endereos IP ou por entidades. A varredura por entidades til quando j se tem cadastradas no sistema todas as mquinas, redes e servios que sero utilizados. A varredura por IP mais indicada quando se deseja utilizar mquinas, redes ou servios que no esto cadastrados e que no se deseja cadastrar (por exemplo, mquinas externas que no sero utilizadas em nenhuma regra de filtragem). possvel se selecionar para origem, destino e servios, indepentendemente, se devem ser utilizadas entidades ou no. Para alternar entre os dois modos de operao basta se clicar nos cones correspondentes esquerda de cada um destes campos.
Varredura por IP
Quando a opo Varrer por IP estiver selecionada, a janela de varreduras ter o seguinte formato:
386
Os campos IP e Mscara, dentro de Origem do Pacote, permitem que se especifique a faixa de mquinas a serem utilizadas como origem das conexes simuladas. Os campos IP e Mscara, dentro de Destino do Pacote especificam a faixa de mquinas a serem utilizadas como destino. O campo Servio permite que se especifique o protocolo e a faixa de portas a serem simuladas. No caso dos protocolos TCP e UDP, os valores dos servios so as portas destino; no caso do ICMP so o tipo de servio e no caso de outros protocolos o valor do protocolo. O campo Dia/Hora permite que o adminstrador teste as regras para uma determinada hora e dia da semana.
Quando a opo Varrer por Entidades estiver selecionada, a janela de varreduras ter o seguinte formato:
387
O campo Origem do pacote permite que se especifique a entidade que ser usada na origem das conexes simuladas. O campo Destino do pacote especifica para qual entidade as conexes simuladas devem se dirigir. O campo Servio permite que se especifique o protocolo e a faixa de portas a serem simuladas, atravs de uma entidade. O campo Dia/Hora permite que o adminstrador teste as regras para uma determinada hora e dia da semana. S possvel se selecionar uma entidade como origem, uma como destino e um servio.
388
27-7 Relatrios
Esta opo possibilita que o administrador imprima um relatrio de toda (ou de parte) da configurao do firewall de forma fcil e rpida. Este relatrio bastante til para fins de documentao ou de anlise da configurao. Para ter acesso a janela de relatrios basta:
Clicar no firewall para o qual se deseja gerar o relatrio Selecionar o item Relatrio do firewall no menu com o mesmo nome do firewall selecionado.
A janela de relatrios
Esta janela consiste de vrias opes distintas, uma para cada parte da configurao do firewall, que podem ser selecionadas independentemente. Para se gerar um relatrio, deve-se proceder da seguinte forma: 1. Marca-se os itens que se deseja imprimir 2. Clica-se no boto Procurar e escolha o diretrio onde iro ser armazenadas as pginas html.
389
3. Abra o diretrio e selecione o arquivo html para imprimir seu relatrio. Caso se deseje cancelar a emisso do relatrio, basta clicar no boto Cancelar.
390
27-8 Atualizaes
O que so atualizaes e onde consegui-las ?
Como todo o software, o Firewall Aker pode eventualmente apresentar bugs em seu funcionamento. medida em que estes problemas so resolvidos, a Aker produz um arquivo que permite a atualizao de seu firewall e a eliminao destes erros. Algumas vezes tambm so adicionadas determinadas caractersticas novas em uma verso j existente, de modo a aumentar sua performance ou aumentar sua flexibilidade. Em ambos os casos, os arquivos de atualizao ou correo so disponibilizados de forma gratuita no site da Aker: basta procurar o menu Download e selecionar a opo Correes e Atualizaes. Estes arquivos so sempre cumulativos, ou seja, necessrio apenas baixar a ltima verso disponvel e esta incluir as correes presentes nos arquivos de correo/atualizao anteriores.
A janela de atualizaes
Esta opo permite que se aplique uma atualizao ou correo do Firewall Aker remotamente, atravs da interface grfica. possvel at mesmo atualizar completamente uma verso do firewall atravs desta opo. Para se ter acesso janela de atualizaes basta:
Clicar no menu Configuraes do Sistema da janela de administrao do firewall Selecionar o item Atualizao
A janela de Atualizao
391
Inicialmente a janela de atualizaes mostrar apenas a verso do firewall, seu nvel de correo e a plataforma (sistema operacional e verso) na qual o firewall est rodando. Para se aplicar uma atualizao ou correo, basta se clicar no boto Carregar arquivo de atualizao. A partir deste momento ser mostrada, na parte inferior da janela, a descrio da correo ou atualizao e a verso do firewall e do sistema operacional a qual ele se destina. Feito isso, basta se clicar no boto Aplicar, na parte inferior da janela para que a atualizao ou correo seja aplicada. Caso a atualizao ou correo sejam destinadas a uma verso diferente de sistema operacional ou de verso do firewall, ento o boto Aplicar ficar desabilitado, no permitindo sua aplicao.
392
Clicar no menu Configuraes do Sistema da janela de administrao do firewall Selecionar o item TCP/IP
A janela de configurao TCP/IP Esta janela consiste de trs pastas onde cada uma responsvel por um tipo de configurao diferente. So elas:
393
DNS
Nesta pasta so configuradas todas as opes relacionadas com a resoluo de nomes ou DNS. Ela consiste dos seguintes campos: Mquina: Nome da mquina na qual o firewall est rodando. Domnio: Nome do domnio no qual o firewall est rodando. DNS Ativo: Esta opo deve ser marcada para ativar a resoluo de nomes via DNS e desmarcada para desativ-la. Servidor primrio: Este campo define o servidor DNS primrio que ser consultado para se resolver um nome. Ele obrigatrio se a opo DNS ativo estiver marcada. Servidor secundrio: Este campo define o servidor DNS secundrio que ser consultado se o primrio estiver fora do ar. Ele opcional. Servidor tercirio: Este campo define o servidor DNS tercirio que ser consultado se o primrio e o secundrios estiverem fora do ar. Ele opcional.
394
Dispositivos de Rede
Nesta pasta pode-se configurar os endereos IP atribudos a todas as interfaces de rede reconhecidas pelo firewall. Ela consiste de uma lista onde so mostrados os nomes de todas as interfaces e os endereos IP e mscaras de cada uma ( possvel se configurar at 31 endereos distintos para cada interface). Caso uma interface no tenha um endereo IP configurado, os campos correspondentes ao endereo e mscara sero mostrados em branco. Para se configurar ou modificar o endereo IP ou mscara de uma interface, deve-se clicar sobre a entrada do dispositivo correspondente e usar o menu suspenso que ir surgir:
Neste mesmo menu pode-se atribuir um alias para a interface ou criar uma VLAN associada a esta interface. S possvel se configurar endereos IP de interfaces de rede reconhecidas pelo sistema operacional no qual o firewall est rodando. Caso se tenha acrescentado uma nova interface de rede e seu nome no aparea na lista de interfaces, necessrio se configurar o sistema operacional de forma a reconhecer esta nova interface antes de tentar se configur-la nesta pasta.
395
Rotas
Esta pasta possibilita que se configure rotas IP no firewall. Ela consiste de um campo, chamado de Rota Padro, onde se pode especificar o roteador padro e de uma lista com as diversas rotas configuradas no firewall. Para se incluir uma nova rota, basta se clicar no boto direiro do mouse e ir aparecer o menu .
Para se remover ou editar uma rota, basta se clicar com o boto direito sobre ela.
396
Selecionar o firewall a ser reinicializado Selecionar o item Reiniciar Firewall no menu com o mesmo nome do firewall selecionado.
397
Clicar no menu Ferramentas da janela de administrao do firewall Selecionar o item Busca de entidade
Esta janela consiste de duas pastas onde cada uma responsvel por um tipo de pesquisa diferente:
A pasta Entidades permite com que se localize entidades que contenham o endereo IP informado ou pelo seu nome. A pasta Servio permite com que se localize entidades do tipo servio que contenham o protocolo e o servio especificados.
398
O boto Fechar fecha a janela de localizao de entidades Ao se clicar duas vezes sobre o nome de uma entidade ou regra, mostrada como resultado da pesquisa, a janela de edio correspondente ser aberta, possibilitando que se edite seus valores rapidamente.
399
Clicar no menu Ferramentas da janela de administrao do firewall Selecionar o item Janela de alarmes
A janela de alarmes
400
Esta janela consiste de um campo de descricao com as entradas correspondentes a acao executada pela regra de filtragem.
O boto Fechar far com que a janela seja fechada. A opo No mostrar essa janela automaticamente, se estiver marcada, far com que a janela nao seja mostrada automaticamente quando ocorrer um evento. O boto Salvar grava as entradas em um arquivo de log do tipo texto. O boto Apagar limpa todas as entradas contidas na janela.
401
Analogamente a configurao da interface grfica, a interface texto possui 6 opes conforme visualizado na figura acima. Na janela abaixo possvel visualizar, configurar e desconfigurar uma interface de rede
402
Para configurar uma interface basta digitar o nome da mesma. A tecla <enter> retorna ao menu anterior
403
Aps a digitao dos valores de configurao perguntado se deseja configurar alias para a interface.
Com os dados j digitados perguntado se deseja configurar interface para os novos valores.
404
Aps a digitao da Opo 2 da tela principal, possvel realizar a configurao de rotas estticas.
Aps as informaes terem sido digitadas perguntado se deseja gravar as novas configuraes.
405
Aps a digitao da Opo 3 da tela principal, possvel realizar a configurao dos Servidores DNS.
Aps a digitao da Opo 4 da tela principal, possvel realizar a configurao da rota padro.
406
A opo 5 permite aplicar as configuraes realizadas. Caso o usurio escolha a opo 6 , qualquer modificao feita ser detectada pelo firewall o qual perguntar se deseja sair sem aplicar as mudanas.
407
408
Quando escolhida a opo 2, ser possvel inserir as chaves para licenas adicionais.
409
410
Alm de estarem conectadas entre si, o que deve ser feito por uma interface de rede, necessrio que todas as placas de rede correspondentes das duas mquinas estejam conectadas em um mesmo hub ou switch, de forma que ambos os firewalls tenham acesso s mesmas mquinas e roteadores.
Quando o cluster estiver no ar, qualquer alterao feita nas configuraes de um firewall atravs da interface grfica ser replicada automaticamente para o outro firewall.
411
Ajuda do programa:
Firewall Aker - Versao 5.0 Uso: fwcluster [ajuda | mostra] fwcluster interface_controle <if> fwcluster peso <peso> fwcluster <habilita | desabilita> fwcluster <inclui | remove> <if> [maquina | -f] fwcluster <modo> <if> [multicast | unicast] (!) onde: if : entidade interface peso : peso deste firewall no cluster maquina : endereco IP virtual a remover ou incluir (entidade maquina)
Exemplo 1: (mostrando a configurao) Como efeito didtico ser explanada a topologia de uma rede com trs firewalls em cluster e duas redes (rede 192 e rede 10).
Antes que se inicie a montagem do cluster, primeiramente devem ser cadastradas todas as interfaces, lembrando que diferente do cluster no firewall 4.5, aqui todos os firewalls possuem endereos ip diferentes. 412
Exemplos: Firewall A - rl0 - if_externa - 10.0.0.1 Firewall B - rl0 - if_externa - 10.0.0.2 rl1 - if_interna - 192.168.1.1 rl1 - if_interna - 192.168.1.2 rl2 - if_controle - 172.16.0.1 rl2 - if_controle - 172.16.0.2 Firewall C rl0 - if_externa - 10.0.0.3 rl1 - if_interna - 192.168.1.3 rl2 - if_controle - 172.16.0.3
Em seguida crie uma entidade vitual para cada uma das placas, exeto para a interface de controle, essas entidades tero valor igual para todos os firewalls do cluster. Exemplos: Firewall A - externa_firewall (ip 10.0.0.4) Firewall B - externa_firewall (ip 10.0.0.4) interna_firewall (ip 192.168.1.4) interna_firewall (ip 192.168.1.4) Firewall C - externa_firewall (ip 10.0.0.4) interna_firewall (ip 192.168.1.4) Para iniciar a configurao do cluster, crie primeiro a interface de controle: /etc/firewall/fwcluster interface_controle interface_cadastrada Depois inicie o cadastro de cada uma das interfaces participantes do firewall: /etc/firewall/fwcluster inclui interface_cadastrada maquina_virtual_cadastrada Defina o peso de cada Firewall, se no for definido, por padro ser aplicado peso 1 para todos: /etc/firewall/fwcluster peso numero_do_peso Aps aplicar todas essas configuraes em todos os firewalls participantes habilite o cluster em cada um deles: /etc/firewall/fwcluster habilita As mquinas do cluster no precisam ser iguais, mas as placas de rede sim. Para o cluster failover utilize apenas 2 firewalls, j que apenas um responder por todo o trfego.
413
rvore de diretrios
/etc/firewall - contm programas executveis e sub-diretrios /etc/firewall/algs - contm os algoritmos de criptografia externos para o
cliente de criptografia
/etc/firewall/x509 - contm os arquivos correspondenteas aos certificados
X.509
/etc/firewall/httpd - contm a raiz do sistema de arquivos do servidor local
HTTP do proxy WWW. No remova os arquivos j presentes neste diretrio. /etc/firewall/conf - contm os arquivos de configurao do firewall /etc/firewall/crls - contm a lista de certificados revogados das autoridades certificadoras ativas /etc/firewall/snmpd - contm o agente SNMP /etc/firewall/root - no possui arquivos. usado por alguns processos do Firewall /etc/firewall/run - contm arquivos necessrios em tempo de execuo /var/log - contm os arquivos de log e eventos do Firewall Aker /var/spool/firewall - usado pelos proxies SMTP e POP3 para armazenar as mensagens a serem enviadas /usr/src/sys/objs - contm os objetos pr-compilados do firewall usados para gerar um novo kernel para o sistema (apenas no FreeBSD)
Programas executveis
Programas que podem ser executados pelos administradores do Firewall Aker
/etc/firewall/fwadmin - Interface texto para administrao de usurios /etc/firewall/fwaction - Interface texto para configurao das aes do
sistema
/etc/firewall/fwchave - Interface texto para configurar chave de ativao do
sistema
/etc/firewall/fwcert - Interface texto para configurar os certificados de
criptografia
/etc/firewall/fwclient - Interface texto para a configurao do acesso dos
clientes de criptografia
414
falhas
/etc/firewall/fwcripto - Interface texto para configurao da criptografia e
autenticao
/etc/firewall/fwdialup - Interface texto para configurao de endereos IP
em firewalls com IP dinmico (ADSL, por exemplo) /etc/firewall/fwent - Interface texto para a criao de entidades /etc/firewall/fwflood - Interface texto para configurao da proteo contra SYN flood /etc/firewall/fwids - Interface texto para a configurao do suporte a agentes de deteco de intruso /etc/firewall/fwlist - Interface texto para acesso s conexes e sesses de usurios ativas /etc/firewall/fwlog - Interface texto para acesso ao log e aos eventos do firewall /etc/firewall/fwnat - Interface texto para a configurao da converso de endereos (NAT) /etc/firewall/fwpar - Interface texto para configurao dos parmetros gerais /etc/firewall/fwrule - Interface texto para configurao do filtro de pacotes inteligente /etc/firewall/fwupgrade - Converte os arquivos de configurao da verso 3.52 , 4.0 ou 4.5 para a verso 5.0 do Firewall Aker. /etc/firewall/fwipseccert - Interface texto para a gerncia os certificados X.509 necessrios criptofia IPSEC. /etc/firewall/fwstat - Interface texto para a configurao e visualizao das estatsticas do Firewall. /etc/firewall/fwinterface - Interface texto para a configurao das interfaces de rede do Firewall. /etc/firewall/fwauth - Interface texto para a configurao dos parmetros globais de autenticao do Firewall.
com o firewall (apenas no Linux) /etc/firewall/fwauthd - Servidor de autenticao de usurios /etc/firewall/fwcardd - Modulo de validao de certificados X509 para smart cards /etc/firewall/fwconfd - Servidor de comunicao para a interface remota /etc/firewall/fwclusterd - Servidor de gerenciamento da tolerncia a falhas /etc/firewall/fwcrld - Mdulo de download de CRLs das autoridades certificadoras ativas
415
/etc/firewall/fwcryptd - Servidor de criptografia para clientes /etc/firewall/fwdnsd - Servidor de resoluo de nomes (DNS) para a
interface remota
/etc/firewall/fwidsd - Programa de comunicao com agentes de deteco
de intruso
/etc/firewall/fwinit - Programa de inicializao do Firewall Aker /etc/firewall/fwftppd - Proxy FTP transparente /etc/firewall/fwgkeyd - Servidor de geracao de chaves de criptografia /etc/firewall/fwhttppd - Proxy HTTP transparente e proxy WWW no
transparente
/etc/firewall/fwlkeyd - Servidor de certificados de criptografia /etc/firewall/fwmond - Mdulo de monitoramento e reinicializao dos
processos do firewall
/etc/firewall/fwnatmond - Mdulo de monitoramento de mquinas para o
balanceamento de carga
/etc/firewall/fwprofd - Servidor de login de usurios /etc/firewall/fwrapd - Proxy Real Player transparente /etc/firewall/fwsocksd - Proxy SOCKS no transparente /etc/firewall/fwsmtppd - Proxy SMTP transparente /etc/firewall/fwpop3pd - Proxy POP3 transparente /etc/firewall/fwlogd - Servidor de log, eventos e estatsticas /etc/firewall/fwscanlogd - Servidor de pesquisa de log, eventos e
estatsticas
/etc/firewall/fwsyncd - Processo de gerao de sementes de criptografia e
sincronia
/etc/firewall/fwtelnetd - Proxy telnet transparente /etc/firewall/fwtrap - Mdulo de envio de traps SNMP /etc/firewall/fwurld - Mdulo de anlise e checagem de permisso de
acesso a URLs
/etc/firewall/fwiked - Mdulo de negociao de chaves para criptografia
Arquivos de configurao
/etc/firewall/chave-500.fw - Chave de ativao do firewall /etc/firewall/conf/acesso.tab - Lista de controle de acesso do sistema /etc/firewall/conf/acesso.telnet - Controle de acesso para os contextos
do proxy Telnet
/etc/firewall/conf/acl-500.tab - Perfis de acesso cadastrados no sistema /etc/firewall/conf/ad_sites-500.http - Tabela de regras do bloqueio de
banners
/etc/firewall/conf/auth-500.tab - Parmetros globais de autenticao /etc/firewall/conf/cert.fw - Certificado local de criptografia do firewall /etc/firewall/conf/cert_ca.tab - Certificados das entidades certificadoras /etc/firewall/conf/cert_neg.tab - Certificados de negociao de
criptografia 416
/etc/firewall/conf/cert_rev.tab - Certificados de revogao /etc/firewall/conf/cluster-500.fw - Configuraes do cluster /etc/firewall/conf/conf-500.tab - Parmetros de configurao gerais /etc/firewall/conf/conjuntos-500.tab - Entidades do tipo conjunto
cadastradas no sistema
/etc/firewall/conf/contextos-500.pop3 - Lista de contextos do proxy
POP3
/etc/firewall/conf/contextos-500.smtp - Lista de contextos do proxy
SMTP
/etc/firewall/conf/contextos.telnet - Lista de contextos do proxy Telnet /etc/firewall/conf/contextos.ftp - Lista de contextos do proxy FTP /etc/firewall/conf/cluster.fw - Configurao da tolerncia a falhas /etc/firewall/conf/crypt-500.tab - Tabela de criptografia/autenticao /etc/firewall/conf/crypt_cl-500.tab - Tabela de configurao de clientes
de criptografia
/etc/firewall/conf/crypt_ex-500.tab - Tabela de criptografia expandida /etc/firewall/conf/entidades-500.crypt - Entidades referenciadas na
criptografia/autenticao
/etc/firewall/conf/entidades-500.tab - Entidades cadastradas no sistema /etc/firewall/conf/entidades-500.filtro - Entidades referenciadas nas
regras de filtragem
/etc/firewall/conf/eqv_if-500.conf - Configura de interfaces /etc/firewall/conf/estatisticas-500.tab - Tabela de estatisticas /etc/firewall/conf/filtros-500.pop3 - Lista de filtros para os contextos
POP3
/etc/firewall/conf/filtros-500.smtp - Lista de filtros para os contextos
SMTP
/etc/firewall/conf/flows-500.tab - Arquivo de controle interno do
balanceamento de carga
/etc/firewall/conf/groups_ca.tab - Lista de pseudo-grupos das
autoridades certificadoras
/etc/firewall/conf/ike_ex-500.tab - Arquivo de configurao do IPSEC /etc/firewall/conf/nat-500.bal - Parmetros de configurao do
balanceamento de carga
/etc/firewall/conf/nat-500.tab - Regras de converso de endereos
(NAT)
/etc/firewall/conf/parametros-500.fw - Parmetros de configurao
gerais do sistema
/etc/firewall/conf/parametros-500.http - Parmetros de configurao do
proxy WWW
/etc/firewall/conf/parametros-500.ids - Parmetros de configurao do
clientes de autenticao
/etc/firewall/conf/regras-500.filtro - Regras do filtro de estados /etc/firewall/conf/regras-500.perfil - Regras dos perfis de acesso /etc/firewall/conf/regras-500.socks - Regras do proxy socks /etc/firewall/conf/sites-500.tab - Endereos usados nos perfis de acesso
417
SYN Flood
/etc/firewall/conf/usuarios.tab - Cadastro dos usurios de administrao
remota
autenticao
/etc/firewall/run/fwclusterd.pid - Armazena o PID do processo gerente
da tolerncia a falhas
/etc/firewall/run/fwcrld.pid - Armazena o PID do processo de download
de CRLs
/etc/firewall/run/fwgkeyd.pid - Armazena o PID do servidor de chaves de
criptografia
/etc/firewall/run/fwhttppd.pid - Armazena o PID do proxy HTTP /etc/firewall/run/fwhidsd.pid - Armazena o PID do processo de
certificados
/etc/firewall/run/fwnatmond.pid - Armazena o PID do processo de
monitoramento de mquinas
/etc/firewall/run/fwprofd.pid - Armazena o PID do servidor de login de
usurios
/etc/firewall/run/fwsocksd.pid - Armazena o PID do proxy SOCKS /etc/firewall/run/fwlogd.pid - Armazena o PID do servidor de log /etc/firewall/run/fwscanlogd.pid - Armazena o PID do servidor de
pesquisas de log
/etc/firewall/run/fwiked.pid - Armazena o PID do processo de
URLs
DD/MM/YYYY
/var/log/fw-500-AAAAMMDD.fwev - Armazena os eventos do firewall do dia
DD/MM/YYYY
/var/log/stat-500-AAAAMMDD.fws - Armazena as estatsticas do firewall do
dia DD/MM/YYYY
418
A parte mais importante a ser copiada so os arquivos de configurao apresentados no tpico anterior. Isto deve ser feito todas as vezes que se fizer alguma alterao na configurao do firewall. Outros arquivos importantes so os de log e eventos. Dependendo da necessidade de segurana, pode-se fazer cpias dirias ou at mais freqentes destes arquivos. Uma outra opo para aumentar a segurana configurar o Firewall para enviar o log e os eventos para o syslogd e configurar o syslogd para mandar estas mensagens para uma outra mquina da rede interna.
Para se realizar as cpias de segurana, pode-se utilizar o utilitrio tar do FreeBSD e do Linux (os comandos abaixo devem ser executados pelo usurio root):
tar cvfz /conf.tgz /etc/firewall/conf
(salva os arquivos de log e de eventos no arquivo /log.tgz) Aps realizadas as cpias, pode-se transferir os arquivos conf.tgz e log.tgz para outras mquinas via, por exemplo, FTP.
Caso tenha-se perdido apenas os dados de configurao ou os arquivos de log e eventos, basta restaurar um dos backups citados acima.
importante que nenhum processo do firewall esteja ativo no momento de restaurao dos arquivos. Para se assegurar disso, pode-se reinicializar a mquina em modo mono-usurio ou matar todos os processos do firewall (isto pode ser feito atravs do comando kill `ps -ax | grep fw | grep -v grep | cut -c 1-5`).
419
Para restaurar a cpia de segurana feita com o comando tar mostrado no tpico acima, deve-se executar a seguinte seqncia de comandos (os comandos devem ser executados pelo usurio root): 1. cd / 2. tar xvfz /conf.tgz (restaura os arquivos de configurao) 3. tar xvfz /log.tgz (restaura os arquivos de log)
Caso tenha ocorrido uma perda generalizada, deve-se primeiro verificar se o sistema operacional se encontra intacto. Em caso de dvida deve-se inicialmente reinstalar todo o FreeBSD ou Linux. Aps isso, deve-se reinstalar o Firewall Aker, seguindo todos os procedimentos descritos no captulo de instalao do sistema. Estando tudo funcionando, restaura-se os backups dos arquivos de configurao e de log e eventos, conforme mostrado acima.
420
O Aker Firewall Box composto por um sistema integrado de hardware e software. A grande vantagem dessa plataforma que ela dispensa maiores conhecimentos de sistemas operacionais. Alm disso, por no possuir disco rgido e por ser formada por um hardware industrial, a plataforma apresenta potencialmente maior resistncia contra danos, especialmente picos de energia, o que acaba por possibilitar um funcionamento ainda mais estvel. O Firewall box est disponvel em diversos modelos, que visam atender as necessidades de pequenas, mdias e grandes empresas. A lista completa dos modelos disponveis freqentemente atualizada e est disponvel em: http://www.aker.com.br/index.php?pag_cod=8&prod_cod=21&ling=pt_br&cat_cod=8 &itens=caracteristicas
Caso se tenha perdido a senha de acesso local ao Firewall Aker Box, deve-se entrar em contato com o suporte tcnico, para se realizar o procedimento de reset da mesma.
421
No prompt do shell, podem ser digitados todos os comandos normais do Firewall Aker, conforme documentados nos tpicos relativos interface texto de cada captulo. Alm desses, existem comandos especficos ao firewall box que esto documentados abaixo. possvel digitar os comandos do firewall no shell sem o prefixo fw, isto , ent ao invs de fwent. Para sair do shell, pode-se ou digitar os comandos exit ou quit ou simplesmente apertar as teclas Ctrl + D.
Reinicia o firewall
ping [-c n_pkt] [-i interv] ip_destino
Envia pacotes ping para e espera a resposta do hosts ip_destino A opo -c especifica o nmero de pacotes a serem enviados A opo -i especifica o intervalo de transmisso entre os pacotes em milisegundos (ms)
password
Com o parmetro mostra, informa a data do sistema. Seno, acerta a data para a informada.
time <mostra> | <hh:mm[:ss]>
Comando Descrio
Com o parmetro mostra, informa a hora do sistema. Seno, acerta o relgio para o horrio informado.
422
Comando Descrio
hd <-habilita | -desabilita>
423
424
Esta mensagem indica que o filtro de pacotes recebeu um pacote mas no conseguiu determinar a interface de origem do mesmo. Como na regra de filtragem correspondente est especificada uma interface, o pacote foi rejeitado. Esta mensagem provavelmente nunca ser mostrada. 007 - Conexo de controle no est aberta Esta mensagem indica que o firewall recebeu um pacote de uma conexo de dados (de algum protocolo que utilize mais de uma conexo, como por exemplo o FTP e o Real Audio/Real Video) e a conexo de controle correspondente no estava aberta. 008 - Flags TCP do pacote so invlidos Esta mensagem indica que o Firewall recebeu um pacote TCP cujos flags estavam invlidos ou contraditrios (por exemplo, SYN e FIN no mesmo pacote). Isto pode caracterizar um ataque ou uma implementao de TCP/IP defeituosa. 009 - Nmero de seqncia do pacote TCP invlido Esta mensagem indica que o Firewall recebeu um pacote TCP cujo nmero de seqncia estava fora dos valores esperados. Isto pode caracterizar um ataque. 010 - Possvel ataque de SYN Flood Esta mensagem gerada pelo Firewall todas as vezes que uma conexo iniciada para um dos endereos protegidos contra SYN flood e a conexo no foi estabelecida dentro do prazo mximo estabelecido pelo administrador. Se esta mensagem ocorrer isoladamente, ou com pouca incidncia, ento provavelmente o intervalo de tempo configurado na proteo contra SYN flood (ver o captulo de Proteo contra SYN Flood) est muito pequeno. Caso aparea um grande nmero destas mensagens seguidamente ento provavelmente um ataque de SYN flood foi repelido pelo Firewall. 011 - Pacote sem informao de autenticao Esta mensagem indica que pacote em questo veio sem header de autenticao e a configurao do fluxo seguro correspondente indica que ele s deveria ser aceito autenticado (ver o captulo intitulado Criando Canais de Criptografia). Isto pode ser causado por uma configurao errada nos fluxos de autenticao (possivelmente s configurando em um dos lados da comunicao) ou por uma tentativa de ataque de falsificao de endereos IP (IP spoofing). Para maiores informaes veja as RFCs 1825 e 1827. 012 - Pacote no passou pela autenticao Esta mensagem indica que pacote em questo no foi validado com sucesso pelo mdulo de autenticao do Firewall. Isto pode ser causado por uma configurao de chaves de autenticao invlida, por uma alterao indevida no contedo do pacote durante o seu trnsito ou por uma tentativa de ataque de falsificao de endereos IP (IP spoofing). Para maiores informaes veja as RFCs 1825 e 1827.
425
013 - Pacote sem informao de criptografia Esta mensagem indica que pacote em questo no veio criptografado e a configurao do fluxo seguro correspondente indica que ele deveria vir (ver o captulo intitulado Criando Canais de Criptografia). Isto pode ser causado por uma configurao errada nos fluxos de criptografia (possivelmente s configurando em um dos lados da comunicao) ou por uma tentativa de ataque de falsificao de endereos IP (IP spoofing). Para maiores informaes veja as RFCs 1825 e 1827. 014 - Tamanho do pacote a ser decriptado invlido Esta mensagem indica que o mdulo de criptografia detectou um tamanho do pacote a ser decriptado incompatvel com o algoritmo de criptografia correspondente. Isto provavelmente causado por uma configurao errada nos fluxos de criptografia. 015 - Decriptao do pacote apresentou erro Esta mensagem indica que o mdulo de criptografia, aps decriptar o pacote e realizar os testes de consistncia no mesmo, detectou que o mesmo invlido. Isto provavelmente causado por uma configurao errada da tabela de criptografia ou por um possvel ataque de falsificao de endereos IP (IP spoofing). 016 - Tipo de encapsulamento do pacote invlido Esta mensagem indica que o mdulo de criptografia no reconheceu o tipo de encapsulamento usado neste pacote. Isto pode ser causado por uma falha na decriptao do pacote (devido a senhas erradas) ou por ter sido usado um tipo de encapsulamento no suportado. (O Firewall Aker trabalha exclusivamente com encapsulamento em modo de tnel, no aceitando outros modos, por exemplo, modo de transporte) 017 - Pacote sem informaes de SKIP Esta mensagem indica que pacote em questo no veio com um header SKIP e a configurao do fluxo seguro correspondente indica que ele deveria vir. Isto provavelmente causado por uma configurao errada na tabela de criptografia onde um dos lados est configurado para usar SKIP ou Aker-CDP e o outro no (ver o captulo intitulado Criando Canais de Criptografia). 018 - SA para o pacote no contm informaes SKIP Esta mensagem indica que o mdulo de criptografia recebeu um pacote com um header SKIP e a associao de segurana (SA) correspondente no possui informaes sobre SKIP (ver o captulo intitulado Criando Canais de Criptografia). Isto provavelmente causado por uma configurao errada na tabela de criptografia onde possivelmente um dos lados est configurado para usar SKIP ou Aker-CDP e o outro no. 019 - Verso do protocolo SKIP invlida
426
Esta mensagem indica que a verso do protocolo SKIP indicada no pacote em questo diferente da verso suportada. (O Firewall Aker implementa a verso 1 do protocolo SKIP) 020 - Valor do contador do protocolo SKIP invlido O protocolo SKIP envia em cada pacote um contador, que incrementado de hora em hora, com o objetivo de evitar ataques de repetio de seqncia. Esta mensagem indica que o contador recebido no pacote em questo invlido. Isto pode ter duas causas distintas: ou relgio interno dos dois firewalls se comunicando est defasado em mais de uma hora ou ocorreu uma tentativa de ataque de repetio de seqncia. 021 - SPI invlido para autenticao com SKIP Esta mensagem indica que foi recebido um pacote SKIP cujo nmero de SPI especificado no cabealho de autenticao era invlido. (O protocolo SKIP exige que o nmero do SPI utilizado seja 1) 022 - Prximo protocolo do cabealho SKIP invlido Esta mensagem indica que o protocolo seguinte ao cabealho SKIP do pacote em questo no suportado. (O Firewall Aker exige que aps o cabealho SKIP venha o cabealho de autenticao) 023 - Algoritmo de autenticao do SKIP invlido Esta mensagem indica que o algoritmo de autenticao especificado no cabealho SKIP no suportado (O Firewall Aker somente suporta os algoritmos de autenticao MD5 e SHA-1). 024 - Algoritmo de criptografia do SKIP invlido Esta mensagem indica que o algoritmo de criptografia especificado no cabealho SKIP no suportado. (O Firewall Aker somente suporta os algoritmos de criptografia DES, Triplo DES e Blowfish, com 128 e 256 bits de chaves) 025 - Algoritmo de criptografia de chave SKIP invlido Esta mensagem indica que o algoritmo de criptografia e separao de chaves especificado no cabealho SKIP no suportado. (O Firewall Aker somente suporta os algoritmos DES, com MD5 como separador de chaves, Triplo DES, com MD5 como separador de chaves e Blowfish, com MD5 como separador de chaves) 026 - Algoritmo de compresso de dados no suportado Esta mensagem indica que o algoritmo de compresso de dados especificado no cabealho SKIP no suportado. (O Firewall Aker no suporta nenhum algoritmo de compresso de dados, uma vez que estes ainda no esto padronizados) 027 - Identificador de espao de nome de origem invlido 427
O protocolo SKIP permite que sejam utilizados outros espaos de nomes, que no endereos IP, para selecionar a associao de segurana correspondente (SA). O espao de nome pode ser especificado para a origem e/ou para o destino. Esta mensagem indica que o espao de nome de origem no suportado. (O Firewall Aker somente suporta endereos IP como espao de nome) 028 - Identificador de espao de nome de destino invlido O protocolo SKIP permite que sejam utilizados outros espaos de nomes, que no endereos IP, para selecionar a associao de segurana correspondente (SA). O espao de nome pode ser especificado para a origem e/ou para o destino. Esta mensagem indica que o espao de nome de destino no suportado. (O Firewall Aker somente suporta endereos IP como espao de nome) 029 - Verso do protocolo Aker-CDP invlida Esta mensagem indica que o Firewall recebeu um pacote do protocolo Aker-CDP com verso invlida. 030 - Tamanho do pacote para protocolo Aker-CDP invlido Esta mensagem indica que o Firewall recebeu um pacote do protocolo Aker-CDP com tamanho invlido. 031 - Autenticao de pacote de controle Aker-CDP invlida Esta mensagem indica que o Firewall recebeu um pacote de controle do protocolo AkerCDP com autenticao invlida. As causas provveis so uma modificao do pacote durante o trnsito ou uma possvel tentativa de ataque. 032 - Nmero de licenas do firewall atingido O Firewall Aker vendido em diferentes faixas de licenas, de acordo com o nmero de mquinas da(s) rede(s) interna(s) a serem protegidas. Esta mensagem indica que o firewall detectou um nmero de mquinas internas maior que o nmero de licenas adquiridas e devido a isso impediu que as mquinas excedentes abrissem conexes atravs dele. Soluo: Contate a Aker Security Solutions ou seu representante autorizado e solicite a aquisio de um maior nmero de licenas. 033 - Pacote descartado por uma regra de bloqueio IDS Esta mensagem indica que o Firewall recebeu um pacote que se enquadrou em uma uma regra temporria acrescentada pelo agente de deteco de intruso e, devido a isso, foi descartado (para maiores informaes veja o captulo intitulado Configurando o Agente de Deteco de Intruso). 034 - Header AH com formato incorreto (campo: length)
428
Esta mensagem indica que o Firewall recebeu um pacote cifrado com criptografia IPSEC que tem informaes de autenticao no protocolo AH com tamanho incorreto. Veja a RFC 2402. 035 - Tunelamento AH e ESP simultneos no permitido Esta mensagem indica que o Firewall recebeu um pacote cifrado com criptografia IPSEC duplamente tunelado (via ESP e AH). Isto no permitido. 036 - SA para este pacote no foi negociada Esta mensagem indica que o Firewall recebeu um pacote cifrado com criptografia IPSEC para um canal no negociado. 037 - Padding exigido muito grande Esta mensagem indica que o Firewall calculou um tamanho de preenchimento para o protocolo ESP maior que o permitido. Provavelmente o tamanho de bloco do algoritmo de criptografia demasiado grande. 038 - Tamanho de padding decifrado incorreto Esta mensagem indica que o firewall decifrou um pacote que dizia ser maior do que efetivamente , via criptografia IPSEC. Provavelmente o pacote est corrompido ou houve erros na troca de chaves. 039 - Erro iniciando autenticao para o algoritmo especificado Esta mensagem indica que o Firewall no conseguiu autenticar o pacote com o algoritmo HMAC. Provavelmente o algoritmo de autenticao est com defeito. 040 - Erro finalizando autenticao com o algoritmo escolhido Esta mensagem indica que o Firewall no conseguiu autenticar o pacote com o algoritmo HMAC. Provavelmente o algoritmo de autenticao est com defeito. 041 - Final de conexo Esta mensagem apenas um registro de final de conexo e no deve aparecer normalmente no log do firewall. 042 - Limite configurado de conexes a partir do endereo IP excedido Esta mensagem ocorre quando o limite mximo de conexes configurado pelo modulo proteo contra flood tiver sido atingido. Para verificar a configurao deste mdulo consulte a Proteo de Flood.
429
430
O mdulo de criptografia detectou um algoritmo de criptografia invlido na associao de segurana quando realizava a criptografia de um pacote. Soluo: Contate o suporte tcnico 050 - Dados invlidos recebidos pela carga do Firewall Esta mensagem indica que foram enviados dados invlidos para os mdulos do Firewall que rodam dentro do kernel do FreeBSD ou Linux. Os dados invlidos devem necessariamente ter sido produzidos por um programa rodando na mquina do firewall. Soluo: Procure verificar qual programa produz esta mensagem ao ser executado e no execute-o mais. 051 - Erro ao ler o arquivo de parmetros Esta mensagem produzida por qualquer um dos mdulos externos ao tentar ler o arquivo de parmetros do sistema e constatar que este no existe ou no pode ser lido. Soluo: Reinicialize a mquina, que o programa de inicializao ir recriar o arquivo de parmetros. Se isso no funcionar, contate o suporte tcnico. 052 - Erro ao carregar perfis de acesso Esta mensagem indica que o servidor de autenticao ou o servidor de login de usurios no conseguiu carregar a lista de perfis de acesso cadastrados no sistema. Soluo: Contate o suporte tcnico. 053 - Erro ao carregar entidades Esta mensagem indica que algum processo servidor do firewall no conseguiu carregar a lista de entidades cadastradas no sistema. Soluo: Contate o suporte tcnico. 054 - Nome de perfil de acesso invlido Esta mensagem indica que o servidor de autenticao ao procurar o perfil de acesso de um usurio constatou que o mesmo no se encontra cadastrado no sistema. Soluo: Contate o suporte tcnico. 055 - Erro ao criar socket de conexo Esta mensagem indica que algum dos mdulos externos tentou criar um socket e no conseguiu.
431
Soluo: Verifique o nmero de arquivos que podem ser abertos por um processo e o nmero total para o sistema. Se necessrio aumente estes valores. Para maiores informaes de como fazer isso, contate o suporte tcnico. 056 - Tamanho da linha excessivo Esta mensagem indica que algum proxy do Firewall Aker recebeu uma linha com um nmero excessivo de caracteres e devido a isso, derrubou a conexo. A informao complementar entre parnteses indica o endereo IP da mquina que causou o problema. Soluo: Esta mensagem causada por um servidor ou cliente fora dos padres das RFCs. A nica soluo possvel para o problema contatar o administrador da mquina causadora da mensagem. 057 - Erro ao carregar contexto Esta mensagem indica que um dos proxies transparentes no conseguiu carregar o contexto especificado. Soluo: Contate o suporte tcnico. 058 - Erro ao carregar tabela de criptografia Esta mensagem indica que um dos servidores do firewall no conseguiu carregar a tabela de criptografia. Soluo: Contate o suporte tcnico. 059 - DNS reverso no configurado Esta mensagem produzida por algum dos proxies se ele tiver sido configurado para somente receber conexes a partir de mquinas com DNS reverso vlido e no tiver conseguido resolver o nome para o endereo IP de origem de uma conexo. A mensagem complementar indica o endereo IP de origem da conexo. 060 - DNS direto e reverso conflitantes Quando um proxy do Firewall configurado para somente aceitar conexes a partir de mquinas com DNS reverso vlido, ele utiliza uma tcnica que consiste em tentar resolver o nome para o endereo IP de origem da conexo. Caso ele no consiga, ele indica erro mostrando a mensagem anterior e no permite a realizao da conexo. Caso resolva o nome, ele faz uma outra pesquisa de DNS a partir do nome retornado, buscando seu endereo IP. Se ele no conseguir realizar esta segunda pesquisa ou se o endereo IP retornado for diferente do endereo de origem, a conexo abortada e esta mensagem produzida. 061 - Possvel ataque de simulao de protocolo
432
Esta mensagem indica que o firewall durante o monitoramento de uma sesso de algum protocolo com vrias conexes (por exemplo, FTP e Real Audio / Real Video) detectou uma tentativa de abertura de conexo para uma porta menor que 1024 ou para um endereo diferente do esperado. Isso provavelmente causado por um ataque ou por uma implementao defeituosa do protocolo. A mensagem complementar indica os endereo de origem e destino da conexo. 062 - Comando invlido Esta mensagem indica que um dos proxies recebeu um comando considerado invlido da mquina cliente e devido a isso no repassou-o para o servidor. As mensagens complementares indicam qual o comando que tentou ser executado e quais as mquinas de origem e destino (no caso de proxy transparente) da conexo. 063 - Mensagem SMTP aceita Esta mensagem indica que o proxy SMTP transparente aceitou uma mensagem e a enviou para o servidor. A mensagem complementar indica quais as mquinas de origem e destino da conexo e quem so o remetente e o destinatrio da mensagem. 064 - Mensagem SMTP rejeitada Esta mensagem indica que o proxy SMTP transparente rejeitou uma mensagem recebida. Isto foi causado por a mensagem ter se encaixado em algum filtro que indicava que ela deveria ser rejeitada ou por ter um tamanho maior que o tamanho mximo permitido. 065 - Conexo SMTP bloqueada por regra de DNS Esta mensagem indica que o proxy SMTP bloqueou uma conexo devido a uma regra da para de DNS. Para mais informaes leia o capitulo intitulado Configurando o proxy SMTP . 066 - Conexo SMTP bloqueada por RBL Esta mensagem indica que o proxy SMTP bloqueou uma conexo devido ao servidor SMTP de origem estar inscrito em uma lista negra de spammers. 067 - Conexo SMTP recusada pelo servidor ou servidor fora do ar Esta mensagem indica que o proxy SMTP tentou uma conexo com o servidor SMTP de destino, porem o mesmo pode ter recusado ou esta fora do ar. Verifique se o servidor destino esta no ar realizando um telnet na porta 25 do mesmo. 068 - Cliente SMTP enviou linha de tamanho excessivo O cliente SMTP enviou uma linha de tamanho muito grande que nao pode ser tratada pelo proxy SMTP. Verifique se o cliente segue a padronizao da RFC ou ajuste o mesmo para tal. 433
069 - Cliente SMTP fechou conexo O cliente SMTP fechou inesperadamente a conexo. Isto pode ter acontecido por interveno do prprio usurio ou por problemas do cliente. Normalmente as conexes so restabelecidas automaticamente. 070 - Servidor SMTP enviou linha de tamanho excessivo O servidor SMTP enviou uma linha de tamanho muito grande que no pode ser tratada pelo proxy SMTP. Verifique se o servidor segue a padronizao da RFC ou ajuste o mesmo para tal. 071 - Servidor SMTP fechou conexo O servidor SMTP fechou inesperadamente a conexo. Isto pode ter acontecido por problemas de trafego excessivo ou erro no proprio servidor. Normalmente as conexes so restabelecidas automaticamente. Se o problema esta ocorrendo com freqncia tente aumentar os tempos de negociao do protocolo SMTP no proxy. 072 - Servidor SMTP acusou erro Esta mensagem indica que o servidor SMTP considerou uma das transaes SMTP errada. 073 - Endereo de e-mail invlido enviado pelo cliente SMTP Esta mensagem indica que o cliente SMTP no forneceu um endereo de e-mail em formato vlido. 074 - Tentativa de relay no permitido bloqueada Esta mensagem indica que uma tentativa de relay foi bloqueada pelo firewall. Verifique o captulo 21-1 Editando os parmetros de um contexto SMTP para liberar domnios permitidos para relay. 075 - Falta de espao (disco cheio) para analisar mensagem Esta mensagem indica que o disco rgido do firewall est cheio. Tente esvaziar os arquivos de logs ou aumentar a capacidade do disco para o firewall poder analisar a mensagem. 076 - Mensagem estourou tamanho mximo permitido Esta mensagem indica que a mensagem SMTP ultrapassou o tamanho mximo permitido. Verifique o captulo 21-1 Editando os parmetros de um contexto SMTP para aumentar o tamanho de recebimento da mensagem. 077 - Mensagem com erro de sintaxe
434
Esta mensagem indica que a mensagem SMTP estava com erro de sintaxe dos comandos SMTP. Geralmente programas de spammers fazem com que este erro acontea. 078 - Anexo com vrus removido Esta mensagem indica que um anexo da mensagem continha vrus e foi removido. O complemento da mensagem indica quem so o remetente e o destinatrio da mensagem, assim como o nome do vrus encontrado. 079 - Anexo removido Esta mensagem indica que um anexo da mensagem foi removido. O complemento da mensagem indica quem so o remetente e o destinatrio da mensagem, assim como o nome do vrus encontrado. 080 - Mensagem descartada por causa de seu anexo Esta mensagem indica que uma mensagem tinha um anexo inaceitvel (veja suas regras) e foi bloqueada pelo proxy SMTP do Firewall. O complemento da mensagem indica quem so o remetente e o destinatrio da mensagem, assim como o nome do vrus encontrado. 081 - Anexo continha vrus e foi desinfectado Esta mensagem indica que um anexo da mensagem continha vrus e foi desinfectado. O complemento da mensagem indica quem so o remetente e o destinatrio da mensagem, assim como o nome do vrus encontrado. 082 - Anexo incorretamente codificado (mensagem defeituosa) Esta mensagem indica que um anexo de mensagem esta incorretamente codificado, ou seja apresenta erro na codificao do tipo MIME. Normalmente este arquivo pode ser descartado pelo firewall caso o administrador configure a opo desejada. Para mais informaes leia o capitulo intitulado Configurando o proxy SMTP . 083 - URL aceita Esta mensagem indica que o proxy WWW aceitou um pedido de uma URL feito por um usurio. A mensagem complementar entre parnteses indica o nome do usurio que fez a requisio. A linha de mensagem seguinte indica o endereo IP da mquina da qual a requisio se originou e a terceira linha indica qual URL foi acessada. Esta mensagem somente ser produzida para URLs do protocolo HTTP quando elas resultarem em cdigo HTML. Para os protocolos FTP e Gopher, ela ser gerada para cada requisio aceita, independente do seu tipo. 084 - Download de arquivo local aceito
435
Esta mensagem indica que o proxy WWW aceitou um pedido de uma URL feito por um usurio. A mensagem complementar entre parnteses indica o nome do usurio que fez a requisio. A linha de mensagem seguinte indica o endereo IP da mquina da qual a requisio se originou e a terceira linha indica qual URL foi acessada. Esta mensagem se refere a um arquivo armazenado localmente no firewall, que foi requisitado utilizando-se o proxy WWW como um servidor WEB. 085 - URL rejeitada Esta mensagem indica que o proxy WWW rejeitou um pedido de uma URL feito por um usurio. A mensagem complementar entre parnteses indica o nome do usurio que fez a requisio. A linha de mensagem seguinte indica o endereo IP da mquina da qual a requisio se originou e a terceira linha indica qual URL que o usurio tentou acessar. 086 - Banner removido Esta mensagem indica que o proxy WWW substitui uma requisio por uma imagem em branco, visto que a URL se encaixou nas regras de filtragem de banners. A mensagem complementar entre parnteses indica o nome do usurio que fez a requisio. A linha de mensagem seguinte indica o endereo IP da mquina da qual a requisio se originou e a terceira linha indica qual URL que o usurio tentou acessar. 087 - Pacote fora das regras do proxy SOCKS Essa mensagem indica que o proxy SOCKS recebeu uma solicitao de abertura de conexo TCP ou de envio de pacote UDP e a mesma no se encaixou em nenhuma regra de filtragem do perfil de acesso correspondente. Devido a isso a solicitao foi recusada. As mensagens complementares indicam o nome do usurio que enviou a requisio (se a autenticao de usurios estiver habilitada), o endereo do cliente, o endereo destino da requisio e seu protocolo. 088 - Pacote UDP aceito pelo proxy SOCKS Essa mensagem indica que o proxy SOCKS recebeu uma solicitao de envio de um pacote UDP e o mesmo foi enviado, devido a existncia de uma regra no perfil de acesso correspondente indicando que o proxy poderia faz-lo. As mensagens complementares indicam o nome do usurio que enviou o pacote (se a autenticao de usurios estiver habilitada), o endereo do cliente e o endereo destino. 089 - Pacote UDP recusado pelo proxy SOCKS Essa mensagem indica que o proxy SOCKS recebeu uma solicitao de envio de um pacote UDP e o mesmo foi recusado, devido a existncia de uma regra no perfil de acesso correspondente indicando que o proxy no deveria aceitar tal requisio.
436
As mensagens complementares indicam o nome do usurio que tentou enviar o pacote (se a autenticao de usurios estiver habilitada), o endereo do cliente e o endereo destino. 090 - Conexo TCP estabelecida atravs do proxy SOCKS Essa mensagem indica que o proxy SOCKS recebeu uma solicitao de estabelecimento de uma conexo TCP e a mesmo foi estabelecida, devido a existncia de uma regra no perfil de acesso correspondente indicando que o proxy poderia faz-lo. As mensagens complementares indicam o nome do usurio que estabeleceu a conexo (se a autenticao de usurios estiver habilitada), o endereo do cliente e o endereo para o qual a conexo foi estabelecida. 091 - Conexo TCP finalizada atravs do proxy SOCKS Essa mensagem gerada todas as vezes que uma conexo TCP finalizada atravs do proxy SOCKS. As mensagens complementares indicam o nome do usurio que havia estabelecido a conexo (se a autenticao de usurios estiver habilitada), o endereo do cliente e o endereo para o qual a conexo foi estabelecida. 092- Conexo TCP recusada pelo proxy SOCKS Essa mensagem indica que o proxy SOCKS recebeu uma solicitao de estabelecimento de uma conexo TCP e a mesmo foi recusada, devido a existncia de uma regra no perfil de acesso correspondente indicando que o proxy no deveria aceitar tal conexo. As mensagens complementares indicam o nome do usurio que solicitou a conexo (se a autenticao de usurios estiver habilitada), o endereo do cliente e o endereo de destino. 093 - Dados incorretos recebidos pelo proxy SOCKS Essa mensagem gerada quando o proxy SOCKS recebe dados do cliente em desacordo com a especificao do protocolo SOCKS. Exemplos de dados invlidos podem ser uma verso do protocolo diferente de 4 ou 5, um endereo destino em branco, entre outros. 094 - Erro ao comunicar com servidor de autenticao Esta mensagem indica que um dos proxies no conseguiu se comunicar com o servidor de autenticao quando tentou realizar a autenticao de um usurio. Devido a isso, o usurio no foi autorizado a continuar e a sua conexo foi recusada. Soluo: Verifique se o processo do servidor de autenticao est ativo no firewall. Para fazer isso, execute o comando
437
#ps -ax | grep fwauthd | grep -v grep. Caso o processo no aparea, execute-o com o comando /etc/firewall/fwauthd. Se o processo estiver ativo ou se este problema voltar a ocorrer, contate o suporte tcnico. 095 - Erro ao conectar com agente de autenticao Esta mensagem indica que o servidor de autenticao no conseguiu se conectar o agente de autenticao que estaria rodando em uma determinada mquina. A mensagem complementar indica o nome do agente de autenticao que no pode ser conectado e o endereo IP que ele supostamente estaria rodando. Soluo: Verifique se o endereo IP da mquina onde o agente estaria rodando est correto na definio do autenticador (para maiores informaes, veja o captulo intitulado Cadastrando Entidades) e que o agente est realmente sendo executado na mquina em questo.
HTU UTH
096 - Erro de comunicao com agente de autenticao Esta mensagem indica que o servidor de autenticao conseguiu se conectar ao agente de autenticao porm no conseguiu estabelecer uma comunicao. A mensagem complementar indica o nome do agente de autenticao que provocou o problema. Soluo: Verifique se a senha de acesso na definio do autenticador est igual a senha colocada na configurao do agente de autenticao. Para maiores informaes, veja o captulo intitulado Cadastrando Entidades.
HTU UTH
097 - Erro ao conectar com agente IDS Esta mensagem indica que o firewall no conseguiu se conectar ao agente IDS que estaria rodando em uma determinada mquina. A mensagem complementar indica o nome do agente IDS que no pode ser conectado e o endereo IP que ele supostamente estaria rodando. Soluo: Verifique se o endereo IP da mquina onde o agente estaria rodando est correto na definio da entidade (para maiores informaes, veja o captulo intitulado Cadastrando Entidades) e que o agente est realmente sendo executado na mquina em questo.
HTU UTH
098 - Erro de comunicao com agente IDS Esta mensagem indica que o firewall conseguiu se conectar ao agente IDS porm no conseguiu estabelecer uma comunicao. A mensagem complementar indica o nome do agente IDS que provocou o problema e o endereo IP da mquina onde ele est rodando. Soluo: Verifique se a senha de acesso na definio da entidade est igual a senha colocada na configurao do agente IDS. Para maiores informaes, veja o captulo intitulado Cadastrando Entidades.
HTU UTH
Esta mensagem indica que o agente de deteco de intruso acrescentou uma regra de bloqueio temporria no firewall em decorrncia de algum evento. As mensagens complementares indicam que tipo de bloqueio foi acrescentado (origem, destino e/ou servio) e os endereos e/ou servio bloqueados. 100 - Erro ao conectar com servidor de anti-vrus Esta mensagem indica que o firewall no conseguiu se conectar ao servidor de antivrus que estaria rodando em uma determinada mquina. A mensagem complementar indica o nome do servidor que no pode ser conectado e o endereo IP que ele supostamente estaria rodando. Soluo: Verifique se o endereo IP da mquina onde o agente estaria rodando est correto na definio da entidade (para maiores informaes, veja o captulo intitulado Cadastrando Entidades) e que o agente est realmente sendo executado na mquina em questo.
HTU UTH
101 - Erro de comunicao com servidor de anti-vrus Esta mensagem indica que o firewall conseguiu se conectar ao servidor de anti-vrus porm no conseguiu estabelecer uma comunicao. A mensagem complementar indica o nome do agente anti-vrus que provocou o problema e o endereo IP da mquina onde ele est rodando. Soluo: Verifique se a senha de acesso na definio da entidade est igual a senha colocada na configurao do agente anti-vrus. Para maiores informaes, veja o captulo intitulado Cadastrando Entidades.
HTU UTH
102 - Erro ao conectar com analisador de URLs Esta mensagem indica que o firewall no conseguiu se conectar ao analisador de URLs que estaria rodando em uma determinada mquina. A mensagem complementar indica o nome do analisador que no pode ser conectado e o endereo IP que ele supostamente estaria rodando. Soluo: Verifique se o endereo IP da mquina onde o analisador estaria rodando est correto na definio da entidade (para maiores informaes, veja o captulo intitulado Cadastrando Entidades) e que ele est realmente sendo executado na mquina em questo.
HTU UTH
103 - Erro de comunicao com analisador de URLs Esta mensagem indica que o firewall conseguiu se conectar ao analisador de URLs porm no conseguiu estabelecer uma comunicao. A mensagem complementar indica o nome do analisador que provocou o problema e o endereo IP da mquina onde ele est rodando.
439
Soluo: Verifique se a senha de acesso na definio da entidade est igual a senha colocada na configurao do analisador de URLs. Para maiores informaes, veja o captulo intitulado Cadastrando Entidades.
HTU UTH
104 - Nova maquina detectada no cluster Esta mensagem indica que uma nova maquina foi anexada ao sistema de cluster do firewall 105 - Maquina participante do cluster fora do ar Esta mensagem indica que uma das maquinas participantes do cluster esta fora do ar. Verifique a situao da maquina de modo a solucionar o problema da mesma. 106 - Pacote de heartbeat invalido Esta mensagem indica que um pacote de verificao do cluster foi recebido incorretamente. Verifique se o segmento de comunicao dos firewall esta funcionando corretamente. 107 - Convergncia do cluster completada com sucesso Esta mensagem indica que todos os firewalls do cluster esto funcionando corretamente. 108 - Chave de ativao do firewall repetida Esta mensagem indica que dois firewalls possuem a mesma licena instalada. Para o trabalho dos firewalls cooperativos e necessrio que cada um dos firewalls possua a sua prpria licena 109 - Falha de autenticao para proxy Esta mensagem indica que um usurio informou uma senha invlida ao tentar se autenticar em um determinado proxy. As mensagens complementares indicam o nome do usurio e as mquinas de origem e destino (no caso de proxy transparente) da conexo. 110 - Usurio no cadastrado para proxy Esta mensagem indica que um usurio no cadastrado tentou se autenticar em um determinado proxy. A mensagem complementar indica as mquinas de origem e destino (no caso de proxy transparente) da conexo. 111 - Usurio sem permisso para telnet Esta mensagem indica que um usurio se autenticou corretamente no proxy telnet porm no tinha permisso de efetuar a conexo desejada. As mensagens complementares indicam o nome do usurio e as mquinas de origem e destino da conexo. 112 - Sesso telnet estabelecida 440
Esta mensagem indica que um usurio se autenticou corretamente no proxy telnet e tinha permisso para efetuar a conexo desejada. Devido a isso, a conexo foi estabelecida. As mensagens complementares indicam o nome do usurio e as mquinas de origem e destino da conexo. 113 - Sesso telnet finalizada Esta mensagem indica que um usurio se desconectou de uma sesso telnet. As mensagens complementares indicam o nome do usurio e as mquinas de origem e destino da conexo. 114 - Erro ao enviar dados para o kernel do Firewall Esta mensagem indica que algum dos mdulos externos tentou enviar informaes para os mdulos do firewall que rodam dentro do kernel e no conseguiu. Se existir uma mensagem complementar entre parnteses, esta indicar quais informaes estavam sendo enviadas. Soluo: Verifique se o mdulo do Firewall Aker est carregado no kernel. No FreeBSD utilize o comando kldstat e no Linux o comando lsmod. Em ambos os casos dever aparecer um mdulo com o nome aker_firewall_mod. 115 - Erro ao salvar certificados Esta mensagem indica que o firewall no conseguiu salvar alguma lista de certificados de criptografia no disco. Soluo: Verifique se o existe espao disponvel no diretrio '/' do firewall. Isto pode ser feito atravs do comando "$df -k". Se este comando mostrar o diretrio '/' com 100% de espao utilizado, ento isto a causa do problema. Caso exista espao disponvel e ainda assim este erro aparea, consulte o suporte tcnico. 116 - Erro ao carregar certificados Esta mensagem indica que o firewall no conseguiu carregar alguma lista de certificados de criptografia. Soluo: Contate o suporte tcnico 117 - Certificado invlido recebido Esta mensagem indica que o servidor de certificados do firewall recebeu um certificado invlido. Isso pode ter uma das seguintes causas:
As mensagens complementares indicam qual destes possveis erros ocorreu e qual firewall emitiu o certificado invlido. 441
118 - Certificado recebido e validado corretamente Esta mensagem indica que o servidor de certificados do firewall recebeu um certificado de negociao ou revogao vlido. As mensagens complementares indicam que tipo de certificado foi recebido e qual firewall o emitiu. 119 - Requisio de cliente de criptografia invlida Esta mensagem indica que o servidor de certificados recebeu uma requisio de um cliente de criptografia e esta requisio foi considerada invlida. Isso pode ter uma das seguintes causas:
O certificado do firewall foi atualizado e o cliente continua utilizando o certificado antigo A requisio partiu de uma mquina no autorizada a estabelecer sesso de criptografia com o firewall
As mensagens complementares indicam qual a causa do problema e os endereos da mquina de origem e destino (o destino o endereo da mquina atrs do firewall com a qual o cliente tentou se comunicar). 120 - Falha de autenticao para criptografia Esta mensagem s mostrada quando a autenticao de usurios para clientes de criptografia est ativa e indica que um usurio cadastrado em algum autenticador tentou estabelecer uma sesso de criptografia com o firewall porm sua senha estava incorreta. As mensagens complementares mostram o nome do usurio em questo e os endereos da mquina de origem e destino (o destino o endereo da mquina atrs do firewall com a qual o cliente tentou se comunicar). 121 - Usurio no cadastrado para criptografia Esta mensagem s mostrada quando a autenticao de usurios para clientes de criptografia est ativa e indica que um usurio no cadastrado em nenhum autenticador tentou estabelecer uma sesso de criptografia com o firewall. A mensagem complementar mostra os endereos da mquina de origem e destino (o destino o endereo da mquina atrs do firewall com a qual o cliente tentou se comunicar). 122 - Sesso de criptografia com cliente estabelecida Esta mensagem gerada pelo servidor de certificados quando um usurio consegue se autenticar corretamente em um cliente de criptografia e iniciar uma sesso. Nas mensagens complementares mostrado o login do usurio que estabeleceu a sesso e os endereos da mquina de origem e destino (o destino o endereo da mquina atrs do firewall com a qual o cliente se comunicou inicialmente). 123 - Sesso de criptografia com cliente finalizada Esta mensagem indica que um cliente finalizou uma sesso criptografada. A mensagem complementar indica a mquinas de origem da conexo. 442
124 - Erro de comunicao com cliente de criptografia Esta mensagem, que pode ter vrias causas, indica que o servidor de criptografia para clientes recebeu um pacote criptografado invlido de um Cliente de Criptografia Aker. As mensagens complementares indicam qual a causa do problema e os endereos da mquina de origem e destino (o destino o endereo da mquina atrs do firewall com a qual o cliente tentou se comunicar). 125 - Erro ao carregar algoritmo de criptografia O Firewall Aker pode trabalhar com algoritmos de criptografia desenvolvidos por terceiros, chamados de algoritmos externos. Esta mensagem indica que o servidor de criptografia para clientes no conseguiu carregar um destes algoritmos de criptografia externos. Isto causado por uma falha de implementao do algoritmo. As mensagens complementares mostram o nome da biblioteca a partir da qual o firewall tentou carregar o algoritmo e o erro que causou o problema. Soluo: Contate o desenvolvedor do algoritmo e repasse a mensagem completa para ele. 126 - Falha de autenticao para perfil de acesso Esta mensagem indica que um usurio informou uma senha invlida ao tentar se logar no firewall utilizando o Cliente de Autenticao Aker. As mensagens complementares indicam o nome do usurio e a mquina de origem da requisio. 127 - Usurio no cadastrado para perfil de acesso Esta mensagem indica que um usurio no cadastrado tentou se logar no firewall utilizando o Cliente de Autenticao Aker. A mensagem complementar indica a mquina de origem da requisio. 128 - Sesso de perfil de acesso estabelecida Esta mensagem indica que um usurio se logou corretamente no firewall utilizando o Cliente de Autenticao Aker. As mensagens complementares indicam o nome do usurio que estabeleceu a sesso e a mquina a partir da qual a sesso foi estabelecida. 129 - Sesso de perfil de acesso finalizada Esta mensagem indica que um usurio finalizou um sesso no firewall estabelecida atravs do Cliente de Autenticao Aker. As mensagens complementares indicam o nome do usurio que finalizou a sesso e a mquina a partir da qual a sesso foi finalizada. 130 - Requisio de perfil de acesso invlida
443
Esta mensagem, que pode ter vrias causas, indica que o servidor de login de usurios recebeu uma requisio invlida de um Cliente de Autenticao Aker. As mensagens complementares indicam qual a causa do problema e o endereo da mquina de origem da requisio. 131 - Erro ao carregar pseudo-grupos Esta mensagem indica que o firewall no conseguiu carregar a lista de pseudo-grupos das autoridades certificadoras. Soluo: Contate o suporte tcnico 132 - Erro ao baixar CRL Essa mensagem indica que o firewall no conseguiu baixar a lista de certificados revogados (CRL) de uma autoridade certificadora. As mensagens complementares mostram a razo pela qual no foi possvel baixar a lista e a URL da qual se tentou baix-la. Soluo: Verifique que a URL informada na definio da entidade do tipo autoridade certificadora est correta e que o servio est no ar. possvel fazer isso digitando-se a URL em um browser e verificando se possvel se receber o arquivo. 133 - Nmero de processos excessivo no sistema Esta mensagem indica que algum dos mdulos externos do firewall, ao tentar criar uma nova instncia de si prprio para tratar uma conexo, detectou que o nmero de processos executando no sistema est prximo do limite mximo permitido. Diante disso, a criao do novo processo foi cancelada e a conexo que deveria ser tratada pelo novo processo foi abortada. Soluo: Aumente o nmero mximo de processos no sistema. Para maiores informaes, consulte o Apndice B - Perguntas e respostas.
HTU UTH
134 - Mquina de converso 1-N fora do ar Essa mensagem indica que uma das mquinas participantes de uma converso 1-N (balanceamento de canal) se encontra fora do ar. A mensagem complementar mostra o endereo IP da mquina em questo. 135 - Mquina de converso 1-N operacional Essa mensagem indica que uma das mquinas participantes de uma converso 1-N (balanceamento de canal) que se encontrava fora do ar voltou a funcionar normalmente. A mensagem complementar mostra o endereo IP da mquina em questo. 136 - Pedido de conexo de administrao
444
Esta mensagem gerada pelo mdulo de administrao remota do Firewall Aker todas as vezes que este recebe um pedido de abertura de conexo. Na mensagem complementar mostrado o endereo IP da mquina que solicitou a abertura de conexo. 137 - Sesso de administrao estabelecida Esta mensagem gerada pelo mdulo de administrao remota do Firewall Aker quando um usurio consegue se autenticar corretamente e iniciar uma sesso de administrao. Na mensagem complementar mostrado o login do usurio que estabeleceu a sesso e os seus direitos. Os direitos do usurio so representados atravs de trs siglas independentes. Caso o usurio possua um determinado direito ser mostrada a sigla correspondente a ele, caso contrrio ser mostrado o valor "--". As siglas e seus significados so os seguintes:
138 - Sesso de administrao finalizada Esta mensagem indica que a sesso de administrao estabelecida anteriormente foi terminada a pedido do cliente. 139 - Usurio no cadastrado para administrao Esta mensagem indica que um usurio no cadastrado no sistema tentou estabelecer uma sesso de administrao. 140 - Erro de confirmao de sesso de administrao Esta mensagem indica que um usurio cadastrado no sistema tentou estabelecer uma sesso de administrao remota porm sua senha estava incorreta. A mensagem complementar mostra o nome do usurio em questo. 141 - Firewall sendo administrado por outro usurio Esta mensagem indica que um usurio conseguiu se autenticar corretamente para estabelecer uma sesso de administrao remota, porm j existia um outro usurio com uma sesso aberta para a mesma mquina e por isso a conexo foi recusada. A mensagem complementar indica qual o usurio que teve sua sesso recusada. 142 - Alterao de parmetro Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou algum parmetro de configurao do sistema. A mensagem complementar indica o nome do parmetro que foi alterado. 143 - Alterao das regras de filtragem 445
Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou a tabela de regras de filtragem do firewall. 144 - Alterao da converso Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou algum parmetro da converso de endereos ou a tabela de converso de servidores. A mensagem complementar indica exatamente o que foi alterado. 145 - Alterao da tabela de criptografia Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou a tabela de criptografia do firewall. 146 - Alterao na configurao de SYN Flood Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou algum parmetro da proteo contra SYN Flood. A mensagem complementar indica exatamente o que foi alterado. 147 - Alterao de contextos Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou contextos de um dos proxies transparentes do Firewall. A mensagem complementar indica qual o proxy que teve seus contextos modificados. 148 - Alterao da configurao de SNMP Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou os parmetros de configurao do agente SNMP. 149 - Alterao dos perfis de acesso Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou a lista de perfis de acesso. 150 - Alterao da lista de controle de acesso Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou a lista de controles de acesso. 151 - Alterao de parmetros de autenticao Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou os parmetros globais de autenticao. 152 - Alterao de entidades Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou a lista de entidades do sistema. 446
153 - Alterao de parmetros WWW Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou os parmetros WWW. 154 - Alterao da configurao do proxy SOCKS Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou algum dos parmetros de configurao do proxy SOCKS. 155 - Remoo de conexo ativa Esta mensagem indica que o administrador que estava com a sesso de administrao aberta removeu uma das conexo ativas. A mensagem complementar indica se a conexo removida era TCP ou UDP. 156 - Remoo de sesso de usurio ativa Esta mensagem indica que o administrador que estava com a sesso de administrao aberta removeu uma das sesses de usurios que estavam logados no firewall atravs do Cliente de Autenticao Aker. 157 - Operao sobre o arquivo de log Esta mensagem indica que o administrador que estava com a sesso de administrao aberta realizou uma operao sobre o arquivo de log. As operaes possveis so Compactar e Apagar. A mensagem complementar indica qual destas operaes foi executada. 158 - Operao sobre o arquivo de eventos Esta mensagem indica que o administrador que estava com a sesso de administrao aberta realizou uma operao sobre o arquivo de eventos. As operaes possveis so Compactar e Apagar. A mensagem complementar indica qual destas operaes foi executada. 159 - Operao sobre o arquivo de usurios Esta mensagem indica que o administrador que estava com a sesso de administrao aberta realizou uma operao sobre o arquivo de usurios. As operaes possveis so Incluir, Excluir e Alterar. A mensagem complementar indica qual destas operaes foi executada e sobre qual usurio. 160 - Alterao na data/hora do firewall Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou a data e/ou a hora do firewall. 161 - Carga do certificado de negociao local
447
Esta mensagem indica que o administrador que estava com a sesso de administrao aberta carregou ou alterou o certificado de negociao local do firewall. 162 - Alterao nos certificados Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou a lista de certificados das entidades certificadoras ou de revogao do firewall. 163 - Alterao da configurao de TCP/IP Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou a configurao de TCP/IP do firewall (hostname, configurao de DNS, configurao de interfaces ou rotas). 164 - Queda de sesso de administrao por erro Esta mensagem indica que a sesso de administrao que estava ativa foi interrompida devido a um erro de protocolo de comunicao. Soluo: Experimente estabelecer a conexo novamente. Se o problema voltar a ocorrer, consulte o suporte tcnico. 165 - Queda de sesso de administrao por inatividade Quando uma interface remota estabelece uma conexo de administrao, ela passa a enviar periodicamente pacotes para o firewall indicando que ela continua ativa. Estes pacotes so enviados mesmo que usurio no execute nenhuma operao. Esta mensagem indica que a sesso de administrao que estava ativa foi interrompida devido a um tempo limite ter sido atingido, sem o servidor ter recebido nenhum pacote da interface remota. A sua causa mais provvel uma queda na mquina que rodava a interface grfica ou uma queda na rede. 166 - Erro na operao anterior Esta mensagem indica que a ltima operao executada pelo servidor de comunicao remota no foi executada com sucesso. Soluo: Verifique se o existe espao disponvel no diretrio '/' do firewall. Isto pode ser feito atravs do comando "$df -k". Se este comando mostrar o diretrio '/' com 100% de espao utilizado, ento isto a causa do problema. Caso exista espao disponvel e ainda assim este erro aparea, consulte o suporte tcnico. 167 - Usurio sem direito de acesso Esta mensagem indica que o usurio tentou realizar uma operao que no lhe era permitida.
448
Soluo: Esta mensagem no deve ser mostrada em condies normais de funcionamento do Firewall Aker. Se ela aparecer, contate o suporte tcnico. 168 - Pacote no reconhecido Esta mensagem indica que o servidor de comunicao do firewall recebeu uma requisio de servio desconhecida. Soluo: Contate o suporte tcnico. 169 - Muitas negociaes pendentes Esta mensagem indica que o kernel no est conseguindo pedir que o daemon de negociaes de chave estabelea um canal. Esta situao anmala e no deve acontecer. Por favor contate o suporte tcnico se o Firewall gerar esta mensagem. 170 - SA no tem tipo IPSEC Esta mensagem indica que foi tentada a configurao de um canal no IPSEC pelo mdulo IPSEC. Esta situao anmala e no deve acontecer. Por favor contate o suporte tcnico se o Firewall gerar esta mensagem. 171 - Algoritmo de criptografia especificado no implementado Esta mensagem indica que foi negociado um canal de criptografia com um algoritmo no implementado. Escolha outros algoritmos (veja seo Configurando canais Firewall-Firewall).
HTU UTH
172 - Falhou a expanso da chave criptogrfica Esta mensagem indica que o mdulo IPSEC teve dificuldades em tratar a chave negociada para um canal criptogrfico. Esta situao anmala e no deve acontecer. Por favor contate o suporte tcnico se o Firewall gerar esta mensagem. 173 - Kernel repassou pacote invlido Esta mensagem indica que o sistema operacional passou um pacote incorreto para o Firewall. Ela ocorre apenas no sistema operacional Linux. 174 - Falhou ao inserir SA no kernel Esta mensagem indica que foi negociado um canal que j no existe mais. Para solucionar o problema, recrie o canal, ou aguarde at que todos os mdulos do Firewall saibam da no existncia deste canal. 175 - Estabelecendo VPN IPSEC para o trfego Esta mensagem indica que o daemon de negociao de chaves IPSEC (fwiked) iniciou o estabelecimento de um canal, por necessidade imediata de seu uso.
449
176 - fwiked falhou ao iniciar Esta mensagem indica que o daemon de negociao de chaves IPSEC (fwiked) no conseguiu ler suas configuraes. Recrie as configuraes de criptografia para solucionar o problema (veja seo Configurando canais Firewall-Firewall).
HTU UTH
177 - Erro processando configurao Esta mensagem indica que ocorreu um erro interno grave no daemon de negociao de chaves IPSEC (fwiked). Esta situao anmala e no deve acontecer. Por favor contate o suporte tcnico se o Firewall gerar esta mensagem. 178 - Erro comunicando com o kernel Esta mensagem indica que o daemon de negociao de chaves IPSEC (fwiked) no est conseguindo se comunicar com os mdulos do Firewall que executam dentro do kernel do sistema operacional. 179 - Kernel enviou requisio incorreta Esta mensagem indica que o daemon de negociao de chaves IPSEC (fwiked) recebeu uma solicitao para negociar um canal de criptografia que no mais existe na configurao do Firewall. Espere alguns instantes at que todos os mdulos do Firewall se sincronizem. 180 - Tentou instalar uma SA no negociada Esta mensagem indica que o daemon de negociao de chaves IPSEC (fwiked) encontrou um erro grave de consistncia interna. Esta situao anmala e no deve acontecer. Por favor contate o suporte tcnico se o Firewall gerar esta mensagem. 181 - Algoritmo criptogrfico no suportado Esta mensagem indica que um outro Firewall (ou qualquer equipamento que suporte IPSEC) tentou estabelecer um canal criptogrfico com um algoritmo de cifrao no suportado pelo Firewall Aker. Escolha outros algoritmos (veja seo Configurando canais Firewall-Firewall).
HTU UTH
182 - Erro enviando regra de ike ao filtro de pacotes Esta mensagem indica que o daemon de negociao de chaves IPSEC (fwiked) no est conseguindo se comunicar com os mdulos do Firewall que executam dentro do kernel do sistema operacional para inserir uma regra de liberao da comunicao com seus pares. 183 - Sucesso ativando a SA negociada Esta mensagem indica que o daemon de negociao de chaves IPSEC (fwiked) estabeleceu e instalou nos demais mdulos do Firewall um canal de criptografia IPSEC corretamente. 450
184 - Negociao de IKE falhou (olhar mensagens complementares) Esta mensagem indica que houve um problema durante a negociao de chaves IPSEC. Verifique as mensagens complementares para obter mais detalhes. Geralmente uma pequena mudana de configurao resolve rapidamente o problema. 185 - Erro lendo mudanca de estado do cluster Esta mensagem indica que houve um erro quando da leitura do estado do cluster dentro do trabalho cooperativo. Verifique o segemento de rede onde estao instalados os firewalls. 186 - Erro enviando mudanca de estado ao cluster Esta mensagem indica que houve um erro quando enviando mudanca do estado do cluster dentro do trabalho cooperativo. Verifique o segemento de rede onde estao instalados os firewalls. 187 - Notificao do fwiked (olhar mensagens complementares) Estam mensagem uma mensagem genrica de notificao do daemon de negociao de chaves IPSEC. Verifique as mensagens complementares para obter mais detalhes. 188 - Aviso do fwiked (olhar mensagens complementares) Estam mensagem uma mensagem genrica de aviso do daemon de negociao de chaves IPSEC. Verifique as mensagens complementares para obter mais detalhes. 189 - Recebendo nmero do pipe do kernel Esta mensagem indica que um proxy no conseguiu descobrir quais eram o pipe e o acumulador para uma conexo, visto que tiveram problemas de comunicao com o Kernel. 190 - Erro lendo arquivo de configurao de estatsticas Esta mensagem indica que houve um problema ao ler o arquivo de configurao de estatsticas. A soluo restaur-lo ou remov-lo e criar as configuraes novamente. Veja a seo Arquivos do Sistema e Backup.
HTU UTH
191 - Erro lendo tabela de entidades Esta mensagem indica que o mdulo gerador de estatsticas do Firewall no conseguiu no conseguiu ler a tabela de entidades do sistema. 192 - No encontrou entidade acumulador Esta mensagem indica que o mdulo gerador de estatsticas do Firewall encontrou uma inconsistncia em sua configurao, isto , uma estatstica que referencia um 451
acumulador inexistente. A mensagem complementar entre parnteses indica qual a entidade em questo 193 - Daemon suspenso por configurao incorreta Esta mensagem indica que o mdulo gerador de estatsticas do Firewall encontrou uma inconsistncia em sua configurao e ficar com suas atividades suspensas at que ela esteja correta. 194 - Erro recebendo estatsticas do kernel Esta mensagem indica que o mdulo gerador de estatsticas do Firewall teve problemas ao ler os dados necessrios ao seu clculo dos mdulo que executam dentro do kernel do sistema operacional. 195 - Erro salvando estatsticas Esta mensagem indica que o mdulo gerador de estatsticas do Firewall teve problemas ao armazenar os dados coletados (ou envi-los ao servidor de log remoto). Se o log for local, verifique a possibilidade de o disco estar cheio. Se for remoto, verifique a correta conexo com o servidor de log remoto. 196 - Erro recebendo perodo mximo de permanncia das estatsticas Esta mensagem indica que o mdulo gerador de estatsticas do Firewall no conseguiu ler o perodo mximo pelo qual deve manter as estatsticas no Firewall (apenas para log local). 197 - Pedido de fluxo inexistente Esta mensagem indica que uma incosistncia interna ocorreu, de forma que um fluxo de dados para controle de banda (QoS), no foi encontrado. 198 - Pedido de pipe inexistente Esta mensagem indica que uma incosistncia interna ocorreu, de forma que um pipe para controle de banda (QoS), no foi encontrado. 199 - Apagando registros do sistema de log Esta mensagem indica que os registros do sistema de log foram apagados. A mensagem complementar entre parnteses informa se foram apagados logs, estatsticas ou eventos. 200 - Erro executando shell Esta mensagem informa que um erro grave de configurao foi encontrado que impede o login no console do Firewall Box. Contate o suporte tcnico de seu revendedor. 201 - Erro lendo licena
452
Esta mensagem indica que as informaes de licena do Firewall esto com algum problema srio que impedem sua leitura. Reinsira a chave de ativao no Firewall. 202 - Tentativa de login (console) frustada por senha incorreta Esta mensagem indica que algum tentou efetuar login no console do Firewall Box, mas no tinha a senha correta. 203 - Sistema com defeito irremedivel. Contate o revendedor Esta mensagem informa que um erro grave de configurao foi encontrado que impede o login no console do Firewall Box. Contate o suporte tcnico de seu revendedor. 204 - Login no console efetuado Esta mensagem registra o fato de algum operador ter efetuado login no console do Firewall Box. 205 - Linha de resposta muito grande Esta mensagem indica que o proxy POP3 transparente recebeu uma linha de resposta demasiado grande. Veja a RFC 1939 para maiores informaes. 206 - Erro recebendo dados do servidor POP3 Esta mensagem indica que o proxy POP3 transparente encontrou um erro de conexo ao receber dados do servidor. As mensagens complementares informam qual a conexo em questo. 207 - Erro recebendo dados do cliente POP3 Esta mensagem indica que o proxy POP3 transparente encontrou um erro de conexo ao receber dados do cliente. As mensagens complementares informam qual a conexo em questo. 208 - Erro enviando dados ao cliente POP3 Esta mensagem indica que o proxy POP3 transparente encontrou um erro de conexo ao enviar dados para o cliente. As mensagens complementares informam qual a conexo em questo. 209 - Erro enviando dados ao servidor POP3 Esta mensagem indica que o proxy POP3 transparente encontrou um erro de conexo ao enviar dados ao servidor. As mensagens complementares informam qual a conexo em questo. 210 - Resposta invlida do servidor POP3
453
Esta mensagem indica que o proxy POP3 transparente recebeu uma resposta incorreta do servidor. As mensagens complementares informam que resposta foi esta 211 - Erro conectando-se ao servidor POP3 Esta mensagem indica que o proxy POP3 transparente no consegui estabelecer a conexo com o servidor. Provavelmente o endereo est errado ou o servidor est fora do ar. 212 - Servidor POP3 recusou a conexo Esta mensagem indica que o proxy POP3 transparente conectou-se ao servidor e este informou estar fora do ar. 213 - Comando POP3 invlido ou erro de sintaxe Esta mensagem indica que o proxy POP3 transparente leu um comando incorreto do cliente e fechou a conexo sem repass-lo ao servidor. O comando em questo encontrase nas mensagens complementares. 214 - Erro abrindo arquivo para spool Esta mensagem indica que o proxy POP3 transparente no conseguiu abrir o arquivo temporrio para salvar a mensagem 215 - Erro gravando dados no arquivo Esta mensagem indica que o proxy POP3 transparente encontrou um erro ao gravar a mensagem em espao de armazenamento temporrio. 216 - Falta de espao gravando arquivo Esta mensagem indica que faltou espao em disco para o proxy POP3 transparente gravar as mensagens recebidas. 217 - Erro de sintaxe no email POP3 (erro de parser) Esta mensagem indica que o proxy POP3 transparente recebeu uma mensagem incorretamente formatada e a descartou por no poder analis-la. 218 - Entrando em modo STLS - nenhuma analise possvel Esta mensagem indica que o firewall entrou em modo STLS. Entre em contato com o suporte tcnico para a soluo. 219 - Erro recebendo dados do firewall servidor Esta mensagem indica que o firewall servidor do cluster no esta recebendo os dados corretamente. Verifique o segmento de rede de troca informao dos firewalls cooperativos. 454
220 - Erro enviando dados do firewall servidor Esta mensagem indica que o firewall servidor do cluster no esta enviando os dados corretamente. Verifique o segmento de rede de troca informao dos firewalls cooperativos. 221 - Erro de processamento no firewall servidor Esta mensagem indica que o firewall servidor do cluster no esta processando os dados corretamente. Verifique o firewall servidor quanto a espao em disco e processador. 222 - Erro alterando a configurao do firewall Esta mensagem indica que o firewall servidor do cluster no esta conseguindo alterar as configuraes dos outros firewalls. Verifique o segmento de rede de troca informao dos firewalls cooperativos. 223 - Erro ao replicar estado do cluster Esta mensagem indica que o firewall servidor do cluster no esta conseguindo replicar o estado do cluster para os outros firewalls. Verifique o segmento de rede de troca informao dos firewalls cooperativos. 224 - Erro ao enviar arquivo ao cluster Esta mensagem indica que o firewall servidor do cluster nao esta conseguindo enviar arquivo ao cluster. Verifique o segmento de rede de troca informao dos firewalls cooperativos. 225 - Erro ao agrupar dados do cluster Esta mensagem indica que o firewall servidor do cluster no esta conseguindo agrupar os dados do cluster. Verifique o segmento de rede de troca informao dos firewalls cooperativos. 226 - Arquivo com vrus desinfectado Esta mensagem indica que um arquivo analisado pelo firewall estava com vrus mas foi desinfectado. 227 - Arquivo com vrus bloqueado Esta mensagem indica que um arquivo estava com vrus e no pode ser removido, por isso o arquivo foi bloqueado. 228 - Arquivo no pode ser analisado pois estava corrompido Esta mensagem indica que o antivrus do firewall no pode analisar o arquivo pois o mesmo estava corrompido.
455
229 - Arquivo no pode ser analisado pois estava cifrado Esta mensagem indica que o antivrus do firewall no pode analisar o arquivo pois o mesmo estava cifrado. 230 - Host respondeu e foi marcado como ativo Esta mensagem indica que a maquina de teste do balanceamento de link esta no ar. Para maiores informaes consulte o capitulo intitulado Configurando a Converso de Endereos .
HTU UTH
231 - Host no respondeu e foi marcado como inativo Esta mensagem indica que a maquina de teste do balanceamento de link esta fora ar ou no foi possvel a sua verificao. Para maiores informaes consulte o captulo intitulado Configurando a Converso de Endereos .
HTU UTH
232 - Link foi marcado como ativo Esta mensagem indica que o balanceamento de link esta no ar. Para maiores informaes consulte o capitulo intitulado Configurando a Converso de Endereos .
HTU UTH
233 - Link foi marcado como inativo Esta mensagem indica que o balanceamento de link esta fora do ar. Para maiores informaes consulte o capitulo intitulado Configurando a Converso de Endereos .
HTU UTH
456
Obs: Os browsers j utilizam a forma passiva como padro para todas as transferncias de arquivos via FTP.
Administrao remota
Eu estou utilizando a administrao remota atravs da Internet. Existe algum risco da minha senha ser interceptada ? No. Em nenhum momento a senha de um usurio enviada pela rede decriptada. O mtodo de autenticao feito atravs de desafio-resposta, onde o firewall consegue autenticar o usurio sem receber a sua senha e a interface remota consegue ter certeza de que est falando com o firewall. Eu perdi a senha do nico administrador que estava cadastrado no sistema. Existe alguma maneira de recuper-la ? No existe nenhuma maneira de recuperar uma senha perdida, entretanto possvel se usar um mdulo local de administrao de usurios e criar um outro administrador ou alterar a senha do administrador existente para uma senha conhecida. O mdulo local somente pode ser executado pelo usurio root e possui o seguinte nome: /etc/firewall/fwadmin.
T T
Interface texto
Eu estou trabalhando com a interface texto e reparei que ela no mostra os acentos de nenhuma palavra. Por que isso acontece ? Ao escrever a interface texto, nos optamos por no utilizar acentos, em virtude de existirem vrios tipos de terminais e de pginas de cdigo diferentes, o que poderia provocar o aparecimento de caracteres estranhos em muitos terminais.
457
Alm disso, seria muito incmodo para o usurio se as opes fossem exigidas com acentos (por exemplo, ter que se digitar depurao ao invs de depuracao na hora de se escolher a prioridade para se filtrar log ou eventos).
Criptografia
Estou configurando um canal seguro entre dois Firewalls Aker, um com a verso 3.01 e outro com a verso igual ou superior a 3.10. Configurei troca de chaves via SKIP e coloquei o mesmo segredo compartilhado em ambos os firewalls, entretanto recebo mensagens de Pacote no passou pela autenticao todas as vezes que tento fazer os dois se comunicarem. O que est errado ? A verso 3.10 do Firewall Aker sofreu alteraes em alguns pontos do algoritmo SKIP, devido a problemas de compatibilidade com outros sistemas operacionais, e o tornou incompatvel com as verses anteriores. A soluo para este problema atualizar todas as verses anteriores 3.10 para a 3.10 ou superior (que so totalmente compatveis entre si).
SNMP
Reparei que quando administro o Firewall Aker na plataforma Linux, as comunidades de leitura e escrita SNMP, da janela de parmetros de configurao, se encontram desabilitadas. Por que isso acontece ? O sistema operacional Linux j vem com um agente SNMP pr-instalado. Desta forma, optou-se por no instalar o agente SNMP do Firewall Aker. Para aprender como configurar as comunidades de leitura e escrita do agente SNMP do Linux, consulte sua documentao.
Servios Diversos
Como configurar os Servidores de Correio MS Exchange para funcionar atravs do Firewall Aker ? Para possibilitar o correto funcionamento dos servidores Exchange atravs de firewalls necessrio a fixao das portas a serem utilizadas por estes servidores. Para fazer isso, necessrio a incluso das seguintes chaves no registry dos servidores (todas as chaves so case-sensitive): Em HKLM\SYSTEM\CurrentControlSet\Services\MSExchangeMTA\Parame ters Acrescentar a DWORD TCP/IP port for RPC listens com o valor da porta a ser utilizada (por exemplo, 30001). Em HKLM\SYSTEM\CurrentControlSet\Services\MSExchangeSA\Paramet ers 458
Acrescentar a DWORD TCP/IP port com o valor da porta a ser utilizada (por exemplo, 30002) Em HKLM\SYSTEM\CurrentControlSet\Services\MSExchangeDS\Paramet ers Acrescentar a DWORD TCP/IP port com o valor da porta a ser utilizada (por exemplo, 30003) Em HKLM\SYSTEM\CurrentControlSet\Services\MSExchangeIS\Paramet ersystem Acrescentar a DWORD TCP/IP port com o valor da porta a ser utilizada (por exemplo, 30004) Obs1: Aps feito o acrscimo destas keywords, deve-se reiniciar o servidor exchange. Obs2: Caso a verso do Exchange seja a 5.5, necessrio a aplicao do Service Pack 2 ou superior do Exchange para que esta fixao de portas funcione. Configurao do Firewall Aker para o funcionamento com a configurao descrita acima: Para possibilitar o acesso ao servidor Exchange deve-se liberar as portas criadas nos itens anteriores (no exemplo acima 30001, 30002, 30003 e 30004) e a porta 135 (Windows RPC). Alm disso, caso se esteja utilizando LDAP, deve-se liberar tambm as portas 389, para autenticao bsica, e/ou 636, para autenticao SSL. Como configurar o acesso ao gateway MS SNA Server ? O gateway MS SNA utiliza as portas 1477/tcp e 1478/tcp para se comunicar, portanto estes servios devero estar configurados no Firewall Aker. Na configurao do Cliente SNA e na opo Advanced, certifique-se que todas as caixas de opo estejam desmarcadas e o nome do domnio NT de autenticao esteja preenchido. Tenho um gateway MS SNA na rede interna de classe invlida e no consigo acess-lo utilizando a converso de endereos para o referido servidor ? O MS SNA sempre retorna o nmero IP do servidor em que ser feita a transao com o gateway a partir da porta 1478/tcp. necessrio que seja feita uma modificao no registro do cliente que est se utilizando. Para alterar as configuraes do registry de cada tipo de cliente, dever ser modificado da seguinte forma: No Windows NT: 1. V para a subtree HKEY_LOCAL_MACHINE na seguinte subchave: System\CurrentControlSet\Services\SnaBase\Parameters\SnaTcp\ 2. Adicione a seguinte informao: (todas as chaves so case-sensitive)
459
Value Name: FireWall Data Type: REG_MULTI_SZ Data: <Endereo IP da Converso ou do Firewall Aker> No Windows 95: 1. V para a subtree HKEY_LOCAL_MACHINE na seguinte subchave: Software\Microsoft\SnaBase\Parameters\SnaTcp\ 2. Adicione a seguinte informao: Value Name: FireWall Data Type: REG_SZ Data: <Endereo IP da converso ou do firewall Aker> No Windows 3.x: 1. Adicione a seguinte informao no arquivo WIN.INI abaixo da seo [WNAP]: [WNAP] FireWall =<Endereo IP da converso ou do firewall Aker> Esta sendo logado a seguinte mensagem para a console do firewall: xl3: transmission error: 90 xl3: tx underrun, increasing tx start threshold to 120 bytes xl3: transmission error: 90 xl3: tx underrun, increasing tx start threshold to 180 bytes Apareceu tambm para a xl0 e xl2. Alguma explicao ? Estas mensagens so normais. Elas aparecem com alguma freqncia e no causam nenhum problema no funcionamento do firewall (na verdade o driver das xl e das de so muito verbose e produzem muitas mensagens que assustam o administrador sem necessidade).
T T
Nas aes do Firewall existe a seguinte mensagem: 080 - Nmero de processos excessivo no sistema e como soluo est escrito: Soluo: Aumente o nmero mximo de processos no sistema. Como podemos fazer isto no FreeBSD e Linux ? No FreeBSD tem duas formas:
460
- Recompilar o kernel setando a opo maxusers para um valor maior (200,500, etc) - Usar o comando sysctl, com a seguinte sintaxe (neste caso, deve-se aumentar o numero de processos e de descritores de arquivos, este ultimo deve ser duas vezes maior que o primeiro): #sysctl -w kern.maxproc=xxxxx #sysctl -w kern.maxfiles=2*xxxxx No Linux s existe uma opo: recompilar o kernel. Nesse caso, deve-se aumentar a varivel NR_TASKS para um valor maior (o Maximo 8192 e o default 512). Essa varivel esta localizada no arquivo /usr/include/linux/tasks.h Muitas vezes necessrio testar as mquinas por intermdio dos comandos tracert (do Windows) ou traceroute (nos Unix), para tanto como seria as configuraes necessrias nas regras do firewall para que estes comandos possam ser executados e os resultados chegarem na mquina de origem ? Para possibilitar que os pacotes de tracert ou traceroute tenham a passagem liberada no firewall faa o seguinte: 1. Cadastre a entidade Traceroute (servio), englobando um intervalo de portas UDP entre 30.000 e 40.000 2. Crie regras habilitando a passagem dos pacotes de acordo com a configurao abaixo: Origem: Internet Destino: Rede a partir da qual se vai realizar o traceroute ou tracert Servios: Echo Reply, Destination Unreachable, Time Exceeded. Ao: Aceita
T T T T T T T T
Origem: Rede a partir da qual se vai realizar o traceroute ou tracert Destino: Internet Servios: Echo Request, Traceroute. Ao: Aceita
T T T T T T T T
ATENO: O uso do intervalo de porta de 30.000 at 40.000 necessrio apenas para o traceroute (unix). O tracert no faz uso dessas portas. Como fao para no registrar as informaes de broadcast no log do firewall ? Suponhamos que um firewall proteja as seguintes redes: Rede 1 - 10.0.1.0/255.255.255.0 Rede 2 - 200.200.20.0/255.255.255.0 Rede 3 - 10.0.20.0/255.255.255.0 Para se evitar que os broadcast sejam registrados no log do firewall faa o seguinte: 1. Cadastre trs entidades tipo mquina: Broadcast Rede 1 - IP 10.0.1.255 461
Broadcast Rede 2 - IP 200.200.20.255 Broadcast Rede 3 - IP 10.0.20.255 2. Crie uma regra, de preferncia no incio da Lista de Regras, de modo que fique da seguinte forma: Origem: Rede 1, Rede 2, Rede 3 Destino: Broadcast Rede 1, Broadcast Rede 2, Broadcast Rede 3 Servios: Todos TCP Todos UDP Todos ICMP Ao: Descarta
T T T T T T T T
Obs - Certifique-se que nenhuma opo do Log nos parmetros da regra esteja marcado. Muitas vezes temos de utilizar o cliente de correio Outlook 2000 (do pacote Office) para acessar as contas de correio que esto em um servidor Exchange, contudo o nome netbios o usado por padro nas configuraes de clientes e na maioria das vezes a conexo originada da Internet no consegue resolver o nome netbios. Como resolver ? O mtodo mais fcil para no ter que ficar abrindo vrias portas do firewall para resoluo netbios criar um arquivo de nome <hosts> e coloc-lo do diretrio c:\windows dos clientes. Dentro deste arquivo deve ter o nome netbios do servidor e seu nmero IP. Exemplo exchange 200.200.20.35 Para verificar se o mesmo esta correto de um <ping exchange>, o qual ser feita a resoluo para o nome informado. Compartilho o meu proxy SQUID do meu departamento com outros proxies tambm SQUID dentro da minha empresa, sendo o meu PARENT dos outros. O problema que os proxies filhos no completam as requisies web. Todos os outros departamentos tambm so protegidos pelo Firewall Aker. Como resolver ? O SQUID utiliza normalmente a porta 3128 para receber as transaes web (ou outra que o administrador configurar), entretanto quando formado uma array ou um parentesco entre os proxies SQUID, para melhor utilizao dos caches, necessrio que seja liberado a transao de pacotes ICP na porta 3130. Estes pacotes levam as informaes dos ndices dos caches. Para resolver o problema atente para os seguintes casos: 1. Caso o seu squid seja o pai e no haja registro nas suas configuraes de quais so os filhos, basta apenas acrescentar na regra que libera o acesso ao proxy o servio ICP (j cadastrado de fbrica) 2. Caso haja o registro de parentesco no seu SQUID (PARENT e SIBLING), devem existir regras permitindo o envio e o recebimento dos pacotes icp para as mquinas em questo. Como enviar as mensagens do firewall para um pager via e-mail ? 1) Instale na sua mquina Firewall Aker os seguintes os pacotes tcl , tk e expect (caso no tenha instalado estes pacotes eles encontram-se no cd do FreeBSD no diretrio
462
packages, no caso do linux eles esto no diretrio RPM e iniciam com os mesmos nomes. Pode-se tambm montar o cd em um servidor ftp, s no esquea de mudar para o modo passivo < passive> na linha de comando do cliente ftp estando dentro do firewall. Obs: os sinais < > so apenas para delimitar os comandos ou variveis 2) Baixando os pacotes em uma pasta de trabalho faa a instalao de cada um deles (atente para a ordem): FreeBSD pkg_add tcl.xx.xx.tgz pkg_add tk.xx.xx.tgz pkg_add expect.xx.xx.tgz Linux rpm -ivh tcl.xxxx.i386.rpm rpm -ivh tk.xxx.i386.rpm rpm -ivh expect.xxx.i386.rpm Obs: os "xis" corresponde a verso dos pacotes. 3) Crie um arquivo de nome mobiaker com o seguinte contedo (Neste exemplo utilizo o servio da mobitel) -----------------Inicio do Script, No Inclua esta linha--------------------#!/usr/local/bin/expect # este argumento o tipo da mensagem do Aker que # pode ser 1 - log ou 2 - evento set tipo [lindex $argv 0] # Prioridade (7 - depurao, 6 - informao, # 5 - notcia, 4 - advertncia ou 3 - erro) set prioridade [lindex $argv 1] # Nmero da mensagem que provocou a execuo do programa # ou 0 para indicar a causa no foi uma mensagem set numero [lindex $argv 2] # A mensagem propriamente dita set msg [lindex $argv 3] # nmero do pager do administrador do firewall set pager "nnnnnnn" # coloco o tempo mximo de espera para 3 minutos set timeout 180 # inicio a transao com o servidor email da mobitel # irei fazer a transao direta via telnet spawn telnet mailhost.mobinet.com.br 25
463
# espero pela string de conexo do servidor expect "220" # Envio meu dominio send "helo foo.com.br" # espero pelo servidor expect "250" # Quem sou eu . . . send "mail from:admin@foo.com.br\r" # espero pelo servidor expect "250" # Para quem vai a msg. No caso da mobi todas vo para um usurio # de nome pager e no assunto colocado o nmero do mobi de destino send "rcpt to:pager@mobinet.com.br\r" # espero pelo servidor expect "250" # Mando o servidor se preparar para receber dos dados send "data\r" # espero pelo servidor expect "354" # As linhas a seguir iro montar o corpo do email send "From: admin@foo.com.br\r" send "Date: \r" send "To: pager@mobinet.com.br\r"
HTU UTH HTU UTH
# Aqui eu fao a composio do nmero do pager # O sistema da mobi envia ento somente o corpo # do email para o pager send "Subject: pager=$pager\r" # um avano de linha send "\r" # envio a mensagem propriamente dita send "$tipo $prioridade $numero $msg\r" # Finalizo a mensagem send ".\r" # Espero o servidor expect "250"
464
# Caio fora send "quit\r" -----------------Fim do Script, No Inclua esta linha---------------------4) No meu caso criei um usurio de nome "probe". No esquea de mudar a propriedade do diretrio para tanto d o seguinte comando: <chown probe:probe /usr/probe> obs --> o diretrio /home/probe apenas um link simblico para o diretorio acima. No esquea de colocar o script neste diretorio. No linux a pasta do usurio fica mesmo em /home/probe, pois o mesmo no monta o link simblico. 5) Abra a interface do firewall Clique em Configuraes --> Aes --> Parmetros. No programa Externo coloque </home/probe/mobiaker> ou outro nome de arquivo ou diretorio que tenha colocado o script. No usurio coloque <probe> ou outro usurio que tenha criado. Escolha as aes que deseja mandar para o mobi. 6) Cuidado ! Verifique se o arquivo que contenha o script possui as permisses de acesso e se esta setado para ser executado, se no: chmod +x mobiaker chown probe:probe mobiaker 7) Este script tambm funciona para o Linux, somente mude a primeira linha para <#!/usr/bin/expect> Como verificar se o sistema de arquivos do firewall foi alterado ? 1) Baixe o arquivo fcheck de http://sites.netscape.net/fcheck/fcheck.html
HTU UTH
2) Verifique se o perl est instalado no seu sistema, se no pegue do cd e faa a instalao. Para verificar se um pacote est instalado: FreeBSD --> pkg_info perl Linux --> rpm -q perl Para instalar: FreeBSD --> pkg_add perl.xxx.tgz Linux --> rpm -ivh perl.xxx.i386.rpm Obs - caso falte algum outro pacote, o prprio gerenciador de pacotes vai avis-lo, portanto anote os avisos dos pacotes que esto faltando e faa a instalao. Geralmente o linux e freeBSD j instalam o perl. 3) Desempacote o fcheck em algum diretrio (o mesmo vem em FCheck_2.07.51.tar.gz ou FCheck_2.07.51.zip 4) Bem a partir daqui as modificaes vo depender de cada um, ou seja os diretrios
465
escolhidos podero ser outros, contudo tenha certeza de modificar os arquivos de configurao.Ento aqui vo as minhas: copie o arquivo <fcheck> para o diretrio </usr/local/sbin> 5) Modifique o arquivo <fcheck> na linha que diz <$config=/usr/local/etc/fcheck.cfg> (fica l pela linha 153). No meu caso copiei este arquivo <fcheck.cfg> para o dir <etc>, por isso minha linha ficou assim: <$config=/etc/fcheck.cfg> 6) Crie uma pasta em /usr/local chamada <data>, desta forma: mkdir /usr/local/data nesta pasta que ser criada um banco de dados com os diretrios analisados. 7) Edite agora o arquivo <fcheck.cfg> para os diretrios que sero analisados. Observe que j tem um monte de exemplos. Eu particularmente coloquei os seguintes diretrios: /bin, /sbin, /etc/, /lib/ Caso tenha a curiosidade de ler este arquivo, ele alerta para o fato de que se colocar o nome do dir mais a /, ou seja, /etc/ ele ir recursivamente analisar toda a rvore. Sem a barra ele somente far a anlise dos arquivos, excluindo os diretrios. 8) Existe no arquivo <fcheck.cfg> uma seo para excluir diretrios ou arquivos que no queira ser analisado, ou seja, supomos que tenha escolhido todo o /etc/ para ser analisado, contudo feita frequentemente modificaao no arquivo de regras do firewall, ento coloque a seguinte linha: Exclusion = /etc/firewall/conf/regras-350.filtro 9) Bem agora vamos rodar o programa para montar nosso banco de dados de arquivos, para tal de o comando: /usr/local/sbin/fcheck -ca 10) Atente para o fato de que, qualquer alterao feita nos arquivos que vc est analisando ter de ser rodado novamente o comando acima. Para reforar a segurana de o comando <ls -l> no diretorio <data> e anote a data e hora dos arquivos criados. No meu caso ficou assim: [root@beicudo /etc]# ls -l /usr/local/data total 96 -rw-rw-r-- 1 root root 3906 Jul 1 23:54 beicudo.foo.com.br._bin -rw-rw-r-- 1 root root 24650 Jul 1 23:54 beicudo.foo.com.br._etc_ -rw-rw-r-- 1 root root 61082 Jul 1 23:54 beicudo.foo.com.br._lib_ -rw-rw-r-- 1 root root 4889 Jul 1 23:54 beicudo.foo.com.br._sbin_ Press any key to continue... 11) Agora hora de ativar o nosso guardio, e para facilitar as coisas vamos fazer um script para analisar os diretrios e enviar o resultado por email. 12) Crie um arquivo de nome <cheque> (de preferncia no /usr/local/sbin), com o contedo abaixo:
466
-----------------Inicio do Script, no Inclua esta linha--------------------#!/bin/sh PATH=/usr/lib:/bin:/usr/local/sbin:/usr/bin DATE=`date` (echo "To: admin@foo.com.br" echo "From: BEICUDO" echo "Subject: Analise de Seguranca do BEICUDO em $DATE" echo "" fcheck -a) 2>&1 | /usr/lib/sendmail -t -----------------Fim do Script, NO Inclua esta linha---------------------13) No esquea de tornar esse arquivo executvel, deste modo: chmod +x cheque 14) Faa um teste para ver se o script est funcionando: ./cheque --> dever chegar um email na sua caixa postal como o exemplo: PROGRESS: validating integrity of /bin STATUS: passed... PROGRESS: validating integrity of /etc/ STATUS: passed... PROGRESS: validating integrity of /lib/ STATUS: passed... PROGRESS: validating integrity of /sbin/ STATUS: passed... 15) Para finalizar faa este script rodar tantas vezes quanto voc queira utilizando o crontab. De os seguintes comandos: crontab -e tecle i digite <20 00 * * 0-7 /usr/local/sbin/cheque> # roda o comando todo dia 00:20 tecle <:> e depois <wq> para gravar as configuraes (crontab usa vi) 16) Pronto , o firewall agora possui mais uma ferramenta para evitar qualquer "surpresa".
467
Biblioteca DES
Copyright (C) 1995 Eric Young (eay@mincom.oz.au) All rights reserved. This library and applications are FREE FOR COMMERCIAL AND NON-COMMERCIAL USE as long as the following conditions are aheared to. Copyright remains Eric Young's, and as such any Copyright notices in the code are not to be removed. If this code is used in a product, Eric Young should be given attribution as the author of the parts used. This can be in the form of a textual message at program startup or in documentation (online or textual) provided with the package. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. All advertising materials mentioning features or use of this software must display the following acknowledgement: This product includes software developed by Eric Young (eay@mincom.oz.au) THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. 468
The licence and distribution terms for any publically available version or derivative of this code cannot be changed. i.e. this code cannot simply be copied and put under another distribution licence [including the GNU Public Licence.]
PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. The licence and distribution terms for any publically available version or derivative of this code cannot be changed. i.e. this code cannot simply be copied and put under another distribution licence [including the GNU Public Licence.]
Biblioteca SNMP
Copyright 1997 by Carnegie Mellon University All Rights Reserved Permission to use, copy, modify, and distribute this software and its documentation for any purpose and without fee is hereby granted, provided that the above copyright notice appear in all copies and that both that copyright notice and this permission notice appear in supporting documentation, and that the name of CMU not be used in advertising or publicity pertaining to distribution of the software without specific, written prior permission. CMU DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE, INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS, IN NO EVENT SHALL CMU BE LIABLE FOR ANY SPECIAL, INDIRECT OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.
Cdigos do FreeBSD
Copyright (c) 1982, 1986, 1993 The Regents of the University of California. All rights reserved. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with 470
the distribution. 3. All advertising materials mentioning features or use of this software must display the following acknowledgement: This product includes software developed by the University of California, Berkeley and its contributors. 4. Neither the name of the University nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission. THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS ``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITEDTO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
Algoritmo MD5
Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. All rights reserved. License to copy and use this software is granted provided that it is identified as the "RSA Data Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning or referencing this software or this function. License is also granted to make and use derivative works provided that such works are identified as "derived from the RSA Data Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning or referencing the derived work. RSA Data Security, Inc. makes no representations concerning either the merchantability of this software or the suitability of this software for any particular purpose. It is provided "as is" without express or implied warranty of any kind. These notices must be retained in any copies of any part of this documentation and/or software.
Agente SNMP
Copyright (c) 1996,1997 Wes Hardaker and the University of California at Davis COPYRIGHT
471
Many portions of the code in this package were distributed by Carnegie Mellon University. All other code and changes to the original code written by Wes Hardaker at the University of California at Davis is copyrighted under the following copyright: Permission is granted to use, copy, modify and distribute this software and documentation. This software is distributed freely and usage of it is not subject to fees of any kind. It may be included in a software compact disk set provided that the author is contacted and made aware of its distribution.
472
Interface grfica de administrao multiplataforma e totalmente reescrita; Possibilidade de se administrar diversos firewalls simultaneamente atravs da mesma interface;
Cluster cooperativo, com a possibilidade de uso de at 64 firewalls em paralelo dividindo o trfego entre eles. Neste tipo de cluster no h perda de conexes, mesmo no caso de queda de um ou mais dos firewalls participantes;
Balanceamento de links, possibilitando o uso simultneo de diversos links de provedores de acesso (distintos ou no);
Proxy SMTP com mais funcionalidades; Deteco e remoo de vrus nos downloads HTTP e FTP; Controle de anti-spoofing aperfeioado, no sendo mais feito em cada regra; Suporte ao protocolo 802.1q; Suporte aos protocolos RADIUS e LDAP para autenticao de usurios; Agrupamento de regras de filtragem em polticas; Perfis de acesso hierrquicos; Mecanismo de proteo anti-suicdio; Visualizao de estatsticas do uso de CPU e memria da mquina onde o firewall est rodando atravs da interface grfica em tempo real;
Controle anti-flood, limitando o nmero mximo de conexes originadas em uma determinada mquina para um determinado servio/servidor
473
474