1-0 Instalando o Firewall Aker - Tipo
Contents
1. Data Hora De 23 10 2003 1949 36 At Endere o Origem do pacote Entidade fy Avarncada Filtragem o Prordade M dulo Protocolo Aceito nail Aviso Filtragem TCP Rejeitado a Nota Convers o CYH Descartado a 4 Informa o Criptografia UDP Convertido wi Depura o IPSEC ICMP Clustering Finke Para monitorar um servi o espec fico basta colocar seu n mero no campo Porta A partir deste momento s ser o mostradas entradas cujo o servi o especificado for utilizado importante tamb m que se selecione o protocolo correspondente ao servi o desejado no campo protocolo mostrado abaixo ill 3 No caso dos protocolos TCP e UDP para se especificar um servi o deve se colocar o n mero da porta destino associada ao servi o neste campo No caso do ICMP deve se colocar o tipo de servi o Para outros protocolos coloca se o n mero do protocolo desejado Al m destes campos existem outras op es que podem ser combinadas para restringir ainda mais o tipo de informa o mostrada A o Representa que a o o sistema tomou ao lidar com o pacote em quest o Existem as seguintes op es poss veis que podem ser selecionadas independentemente e Aceito Mostra os pacotes que foram aceitos pelo firewall e Rejeitado Mostra os pacotes que foram rejeitados pelo firewall e Descartado Mostra os pacotes que foram descartado2. 4 Permiss o de ping e traceroute EM Pedido de Echo s 1A internet l terme cho Reply HHHH SITTL Exceeded HHHH 2 Permiss o de configura o do firewall 1 T Network 3 Si Firewall Interface Interna BilAker Q mi he Permiss o para autentica o amp proxies SOCKS AW yy EBAkerCL CEE 1 E Network3 2 Firewall Interface Interna BBHTTP o EH EM Proxy Socks Bloqueio de acesso proibido EmTodos ICMP o ms E Todos TCP IE E FA 1A internet ElFiremal Interface Internas Todos UDP JAR E EE HEE WH Todos outros zal 7 0 Configurando a convers o de endere os Mostraremos aqui como configurar os par metros de convers o de endere os NAT de modo a possibilitar que sua rede interna trabalhe com endere os reservados aumentando sua capacidade de endere amento escondendo as m quinas da rede interna e acessando a Internet de forma totalmente transparente Neste nova vers o ttamb m ser poss vel realizar um balanceameto de carga das conex es de forma mais inteligente 7 1 Planejando a instala o WO que convers o de endere os Qualquer rede que vai se ligar Internet necessita de um conjunto de endere os IP atribu dos por alguma autoridade designada para tal no Brasil esta distribui o de responsabilidade da Fapesp Basicamente existem 3 conjuntos de endere os poss veis os chamados classe A que possibilitam 16 777 214 m quinas dentro da rede os classe B que pos
3. Entre com os dados solicidos pressione lt enter gt para valor default Ap s a digita o da Op o 2 da tela principal poss vel realizar a configura o de rotas est ticas Firewall Aker Versao 5 1 Modulo de configuracao para interfaces de rede Configuracao de rotas estaticas Listar rotas Adicionar rotas Remover rotas Sair Ap s as informa es terem sido digitadas perguntado se deseja gravar as novas configura es Firewall Aker Versao 5 1 Modulo de configuracao para interfaces de rede Configuracao de rotas estaticas Entre com os dados solicitados Endereco da rede 18 286 60 08 Mascara da rede 255 255 6 0 Endereco do gateway 18 8 4 3 Posicao na lista 1 Confirma nova configuracao t s n E Listar rotas Adicionar rotas Remover rotas 92 1r Ap s a digita o da Op o 3 da tela principal poss vel realizar a configura o dos Servidores DNS Firewall Aker Versao 5 1 Modulo de configuracao para interfaces de rede Configuracao de UNS Hostname akerdemo aker com br servidores DNS a 192 168 1 1 Alterar hostname Adicionar novo servidor Alterar servidor Remover servidor Sair Ap s a digita o da Op o 4 da tela principal poss vel realizar a configura o da rota padr o Firewall Aker Versao 5 1 Modulo de configuracao para interfaces de rede Nao ha endereco configurado para a rota padrao Deseja alterar o endereco de rota padrao s n
4. Executar programa 3 Disparar mensagens de alarme Tia a Enviar trap SMP Se a op o estiver marcada com o cone aparente a a o correspondente ser executada pelo Firewall quando a mensagem ocorrer S o permitidas as seguintes a es e Logs Se esta op o estiver selecionada todas as vezes que a mensagem correspondente ocorrer ela ser registrada pelo firewall e Enviar email Se esta op o estiver selecionada ser enviado um e mail todas as vezes que a mensagem correspondente ocorrer a configura o do endere o de e mail ser mostrada no pr ximo t pico e Executar programa Se esta op o estiver marcada ser executado um programa definido pelo administrador todas as vezes que a mensagem correspondente ocorrer a configura o do nome do programa a ser executado ser mostrada no pr ximo t pico e Disparar mensagens de alarme Se esta op o estiver selecionada o firewall mostrar uma janela de alerta todas as vezes que a mensagem correspondente ocorrer Esta janela de alerta ser mostrada na m quina onde a interface gr fica remota estiver aberta e se a m quina permitir ser emitido tamb m um aviso sonoro Caso a Interface gr fica n o esteja aberta n o ser mostrada nenhuma mensagem e esta op o ser ignorada esta a o particularmente til para chamar a aten o do administrador quando ocorrer uma mensagem importante e Enviar trap SNMP Se esta op o estiver selecionada
5. 162 Altera o nos certificados Esta mensagem indica que o administrador que estava com a sess o de administra o aberta alterou a lista de certificados das entidades certificadoras ou de revoga o do firewall 163 Altera o da configura o de TCP IP Esta mensagem indica que o administrador que estava com a sess o de administra o aberta alterou a configura o de TCP IP do firewall hostname configura o de DNS configura o de interfaces ou rotas 164 Queda de sess o de administra o por erro Esta mensagem indica que a sess o de administra o que estava ativa foi interrompida devido a um erro de protocolo de comunica o Solu o Experimente estabelecer a conex o novamente Se o problema voltar a ocorrer consulte o suporte t cnico 165 Queda de sess o de administra o por inatividade Quando uma Interface remota estabelece uma conex o de administra o ela passa a enviar periodicamente pacotes para o firewall indicando que ela continua ativa Estes pacotes s o enviados mesmo que usu rio n o execute nenhuma opera o Esta mensagem indica que a sess o de administra o que estava ativa foi interrompida devido a um tempo limite ter sido atingido sem o servidor ter recebido nenhum pacote da interface remota A sua causa mais prov vel uma queda na m quina que rodava a Interface gr fica ou uma queda na rede 166 Erro na opera o anterior Esta mensagem indica que a ltima
6. 4 bela stworki Es Netrorkz ji E Metwork3 e Incluir Esta op o permite se incluir uma nova regra na lista Se alguma regra estiver selecionada a nova ser Inserida na posi o da regra selecionada Caso contr rio a nova regra ser inclu da no final da lista e Apagar Esta op o remove da lista a regra selecionada e Copiar Esta op o copia a regra selecionada para uma rea tempor ria e Colar Esta op o copia a regra da rea tempor ria para a lista Se uma regra estiver selecionada a nova ser copiada para a posi o da regra selecionada Caso contr rio ela ser copiada para o final da lista e Enable Disable Esta op o permite habilitar desabilitar a regra selecionada ou seja ela permanecer cadastrada contudo o Firewall se comportar como se a mesma n o existisse no caso do Disable e prosseguir a pesquisa na regra seguinte e Adicionar entidades No ponto em que for feito o clique do mouse ser poss vel inserir a entidade no campo correspondente da regra de convers o Apenas um certo n mero de entidades poder ser visualizada para escolher outra entidade fa a a rolagem da janela na barra correspondente Dica O m todo mais pr tico para o administrador montar sua regra de convers o ser arrastando diretamente as entidades para dentro da regra Dica 2 A posi o de cada regra pode ser alterada bastando clicar e arrastar a mesma para a nova posi o desejada soltando em seguida
7. Aker Control Center Op es Dispositivos Firewall verde Janelas Ajuda Dita GRAB Be li positivos remotos Configuration Managers ib O Firewalls ool Firewall Azul re Mp Firewall Verde a s SR Contigura o do Firewall FB Autentica o a Bloqueio de Banners o Entidades F NAT cE Perfis cb Pros Socks z v Pros Waa ER de filtragem g J fy Configura es do Sistema E Criptografia i dd Ferramentas a Informa o EG Seguran a Entidades Cria edita e remove entidades do firewall Entidades Firewall Verde Tl Acumuladores E ER Agentes externos Canais AP Conjuntos io PA Interfaces e E M quinas A Redes AB Servi os A janela de cadastro de entidades Entidades Firewall erde E i Agentes Externos EE 4 Canais CEB Conjuntos DA Interfaces E3 E M quinas E3 Mf Redes BR Servi os e Ingerir A janela de cadastro de entidades onde s o cadastradas todas as entidades do Firewall Aker independente do seu tipo Esta janela por ser constantemente utilizada em praticamente todas as demais configura es do firewall normalmente mostrada sempre aberta abaixo da janela com os menus de configura o de cada firewall Dica E poss vel se posicionar a janela de entidades como se fosse uma janela comum bastando para isso clicar sobre sua barra de t tulo e arrast la para a posi o desejada Nesta janela est o desenhados oito cones em forma de
8. Uso fwlist ajuda fwlist mostra w TCP UDP sessoes fwlist remove TCP UDP IP origem Porta origem IP destino Porta destino fwlist remove sessao IP origem Ajuda do programa Firewall Aker Versao 5 0 f list Lista e remove conexoes TCP UDP e sessoes ativas Uso fwlist ajuda fwlist mostra w TCP UDP sessoes fwlist remove TCP UDP IP origem Porta origem IP destino Porta destino fwlist remove sessao IP origem ajuda mostra esta mensagem mostra lista as conexoes ou sessoes ativas remove remove uma conexao ou sessao ativa Exemplo 1 listando as sess es de usu rios logados no firewall fwlist mostra sessoes Nome Dominio Perfil IP origem Inicio administrador BSB Admin Os AO gi OSs bi jose silva GOA Padrao5 MOA Bese 09339 754 joao souza POA Padrao3 E O Ras da Ee Op oro josemaria GRU Padrao3 LO To A oe Cosor angelam BSB I Restrito DO Zed 08 48 31 marciam POA Restrito Or 7 OO el 10 49 44 antonio j POA Especial 1042424 06702519 operador BSB Padrao DON LSD 20 44 34 Exemplo 2 removendo a sess o do usu rio logado a partir da m quina 10 19 1 1 fwlist remove sessao 10 19 11 A remocao da sess o toi solicitada ao servidor de usuarios 22 0 Configurando o proxy SMTP Neste cap tulo ser o mostradas quais as fun es oferecidas pelo proxy SMTP e como realizar sua configura o WO que o proxy SMTP O proxy SMTP um programa especializado do Firewall
9. Ally Note que neste caso as regras aparecem colocadas em uma ordem diferente nos dois firewalls a regra 1 no Firewall 1 igual a regra 2 do Firewall 2 com os sentidos invertidos e a regra 2 no Firewall 1 igual a regra 1 no Firewall 2 novamente com os sentidos trocados Neste exemplo a ordem das regras n o faz diferen a observe entretanto que em alguns casos isto pode n o ser verdade Aker 1 Aker 2 Canal Seguro Apenas entre A1 BL x eB A2 B25 es ATT xx Regra 1 envia Regra 1 recebe jF 13 A Regra 2 recebe Regra envia 8 2 Carregando certificados Aker CDP Existem quatro tipos de certificados de criptografia no Firewall Aker Cada um deles tem objetivos e fun es diferentes dentro do protocolo Aker CDP S o eles e Certificado local Este o certificado de negocia o do firewall que est se administrando Ele gerado pela Aker Security Solutions ou por alguma outra entidade certificadora autorizada Somente pode existir um certificado local e caso um novo seja carregado o antigo ser automaticamente substitu do Este certificado ser enviado automaticamente para os outros firewalls ou clientes de criptografia quando estes desejarem estabelecer um canal seguro e Certificados de negocia o Estes s o os certificados locais dos outros firewalls com os quais o firewall que se est administrando recebeu ao negociar canais seguros atrav s do protocolo Aker CDP
10. Como funciona a prote o contra Flood do Firewall Aker O Firewall Aker possui um mecanismo que visa impedir que um ataque de Flood seja bem sucedido Seu funcionamento se baseia na limita o de conex es que possam ser abertas simultaneamente a partir de uma mesma m quina para uma entidade que est sendo protegida O administrador do firewall deve estimar este limite dentro do funcionamento cotidiano de cada servidor ou rede a ser protegida 12 4 Utilizando a interface gr fica para Prote o de Flood Dispositivos remotos AY Configuration Managers 9A Firewalls Gel Firewall Azul E A Firewall Verde S Configura o do Firewall Sy Contgura es do Sistema Criptografia ql Ferramentas Hh Informa o E ee Seguran a Anti Spoofing SN Flood q Prote o de Flood Configura o controle de flood e abuso do firewall e Clicar no menu Seguran a na janela do Firewall e Escolher o item Prote o de Flood A janela de configura o da prote o de Flood Prote o de Flood Firewall Verde Origem Destino Servi os Cones es Maximas Wl Rede Internet SENTI HTTP 10 Aplicar Cancelar e O bot o OK far com que os par metros de configura o sejam atualizados e a janela fechada e O Bot o Cancelar far com que todas as altera es feitas sejam desprezadas e a janela fechada e O bot o Aplicar enviar para o firewall todas as altera es feitas por m manter
11. e O bot o Salvar grava as entradas em um arquivo de log do tipo texto e O bot o Apagar limpa todas as entradas contidas na janela 29 13 Visualizando a rede graficamente O firewall disp e de um pr tico sistema para visualizar a rede onde ele se insere de forma gr fica Para ter acesso janela de visualiza o gr fica da rede basta Dispositivos remotos E Configuration Managers Firewalls dh Firewall Azul ly Firewall Verde S Configura o do Firewall ay Configura es do Sistema Criptografia dal Ferramentas 4 Informa o BBE Conex es TCP OF Conex es UDF E Estatisticas EP Estatisticas do sistema i Eventos E Informa o de sess o H Log fi Mapa da Rede a T neis IPSEC i HE Usu rios Conectados tes Seguran a ol apa da Rede Esta janela mostra o gr fico da rede A janela a seguir aparecer Mapa da Rede Firewall Verde dll Firewall Verde 8825 003 E Network ES 777705 BS 110 0 0 1 s Internal Network ES 64 0 0 4 i Network ES 200 0 0 2 E Network El 200 0 0 25 amp Intemet Selecione a entidade a ser editada TE Z x O primeiro tem representa o firewall conectado a suas interfaces de rede A cada interface se conectam uma ou mais redes e roteadores que se conectam a mais redes distantes Clicando em uma rede com o bot o direito do mouse aparecer um menu listando as entidades que fazem part
12. es do Sistema Criptografia dd Ferramentas LA Busca de entidade DNS reverso Janela de alarmes e Mudar senha i Simula o de Regras de Filtragem Informa o See Seguran a Busca de entidade Esta janela localiza entidades por suas caracteristicas e regras pelas entidades que elas cont m e Clicar no menu Ferramentas da janela de administra o do firewall e Selecionar o item Busca de entidade A janela de localiza o de entidades e Busca de entidade Firewall Verde Ses Entidades Servigos or Do Ohms O Procurar Fechar Esta janela consiste de duas pastas onde cada uma respons vel por um tipo de pesquisa diferente e A pasta Entidades permite com que se localize entidades que contenham o endere o IP informado ou pelo seu nome e A pasta Servi o permite com que se localize entidades do tipo servi o que contenham o protocolo e o servi o especificados Independente da pesquisa utilizada o funcionamento das janelas s o id nticas e O bot o Procurar inicia a busca a partir dos dados informados e O bot o Fechar fecha a janela de localiza o de entidades e Ao se clicar duas vezes sobre o nome de uma entidade ou regra mostrada como resultado da pesquisa a janela de edi o correspondente ser aberta possibilitando que se edite seus valores rapidamente 29 12 Janela de Alarmes Esta op o permite que se visualize os alarmes gerados pelo firewall quando esta op o estive
13. loga Loga cada mensagem que for gerada mail Manda um e mail para cada mensagem que for gerada trap Gera trap SNMP para cada mensagem que for gerada programa Executa programa para cada mensagem que for gerada alerta Abre janela de alerta para cada mensagem que for gerada Exemplo 1 configurando os par metros para envio de e mail e execu o de programa fwaction e mail root fwaction programa etc pager fwaction usuario nobody Exemplo 2 mostrando a configura o completa das a es do sistema Femaction mostra Condicoes Gerais 00 Pacote fora das regras gt gt gt gt Loga Mensagens do log 01 Possivel ataque de fragmentacao gt gt gt gt Loga 02 Pacote IP direcionado gt gt gt gt Loga 03 Ataque de land gt gt gt gt Loga 04 Conexao nao consta na tabela dinamica gt gt gt gt Loga 05 Pacote proveniente de interface invalida gt gt gt gt Loga 06 Pacote proveniente de interface nao determinada gt gt gt gt Loga 07 Conexao de controle nao esta aberta gt gt gt gt Loga 237 O Secure Roaming encontrou um erro gt gt gt gt Loga 238 O Secure Roaming encontrou um erro fatal gt gt gt gt Loga 239 Usuarios responsaveis do Configuration Manager gt gt gt gt Loga Parametros de configuracao programa etc pager USUAL nobody e mail POOE comunidade ip Aten o Devido ao grande n mero de mensagens s est o
14. lt lt lt lt lt Pa q3 14 15 16 17 18 19 20 23 22 23 v BEHEER 4 s s lt lt lt lt lt cts e fs s se w As op es gerais de filtragem s o definidas pelos seguintes campos Bloquear Este campo define as op es de bloqueio em sites WWW Sao elas e URLs com endere o IP Se esta op o estiver marcada n o ser permitido o acesso a URLs com endere os IP ao inv s de nome por exemplo http 127 0 0 1 index html ou seja somente ser poss vel se acessar URLs por nomes II SCaso se tenha configurado o proxy WWW para fazer filtragem de URLs deve se configurar esta op o de modo ao usu rio n o poder acessar atrav s de endere os IP caso contr rio mesmo com o nome bloqueado o usu rio continuar podendo acessar a URL atrav s de seu endere o IP poss vel se acrescentar endere os IP nas regras de filtragem WWW do perfil caso se deseje realizar filtragem com esta op o ativa entretanto devido a estes sofrerem mudan as e ao fato de muitos servidores terem mais de um endere o IP isto se torna extremamente dif cil Por outro lado muitos administradores percebem que sites mal configurados especialmente os de webmail utilizam redirecionamento para servidores pelo seu endere o IP de forma que com esta op o desmarcada tais sites ficam inacess veis e Java Javascript e Activex Estes campo permite se definir uma filtragem especial para p ginas WWW bloqueando
15. o Seha OOOO o Salvar Senha Modo de demonstra o caso esta op o for marcada ser criado um firewall de demonstra o com uma configura o padronizada Nenhuma conex o real ser feita ao se tentar conectar neste firewall podendo se criar quantos firewall de demonstra o for desejado cada um com sua configura o distinta do outro Nome este campo usado para se cadastrar o nome pelo qual o firewall ser referenciado na Interface gr fica Endere o campo para cadastrar o endere o IP o qual nos conectaremos no firewall Usu rio o usu rio que acessar o firewall Este campo serve para que n o precisemos digitar o usu rio quando quisermos acessar o firewall j que ficar gravado Senha a senha do usu rio Caso deixe a caixa Salvar senha marcada n o ser necess rio digitar a senha quando fizer a conex o a senha aparecer na tela como v rios asteriscos Caso ela esteja desmarcada este campo estar desabilitado No final basta clicar em Ok e o firewall estar cadastrado No caso de cancelar o cadastro do firewall basta clicar em Cancelar Depois de cadastrarmos o firewall podemos clicar duas vezes no cone do firewall criado no lado esquerdo da janela ou clicar uma vez para selecion lo e em seguida no bot o Conectar E que far com que a Interface se conecte ao firewall escolhido como mostrado na figura abaixo Aker Control Center Op es Dispositivos Firew
16. o da interface Para cancelar as altera es realizadas ou a inclus o deve se pressionar o bot o Cancelar Para facilitar a inclus o de v rias Interfaces seguidamente existe um bot o chamado Nova que n o estar habilitado durante uma edi o Ao ser clicado este bot o far com que a Interface cujos dados foram preenchidos seja inclu da e a janela de inclus o de interfaces mantida aberta pronta para uma nova Inclus o Desta forma poss vel se cadastrar rapidamente um grande n mero de interfaces SIncluindo editando acumuladores Acumuladores s o entidades usadas em regras de filtragem com o objetivo de coletar estat sticas sobre o tr fego de rede Um mesmo acumulador pode ser utilizado em v rias regras de filtragem e o tr fego que se encaixar em cada uma destas regras sumarizado pelo acumulador Seu uso est descrito melhor nos cap tulos O Filtro de Estados e Visualizando estat sticas H Acumulador ill Home I Comentario Para se cadastrar uma entidade do tipo acumulador necess rio preencher os seguintes campos Nome o nome atrav s do qual o acumulador ser referenciado daqui em diante pelo firewall poss vel se especificar este nome manualmente ou deixar que o ele seja atribu do automaticamente A op o Autom tico permite escolher entre estes dois modos de opera o caso ela esteja marcada a atribui o ser autom tica caso contr rio manual
17. o de certificado ao Firewall Hequisi o de certificado ao Firewall Requisi o de certificado ao Firewall Requisi o de certificado ao Firewall Requisi o de certificado ao Firewall Hequisi o de certificado ao Firewall Requisi o de certificado ao Firewall Requisi o de certificado ao Firewall Requisi o de certificado ao Firewall H Complemento 192 168 1 1 192 168 1 1 192 165 1 1 192 168 1 1 192 165 1 1 192 168 1 1 192 165 1 1 192 168 1 1 192 168 1 1 192 168 1 1 192 168 1 1 Esta pasta muito til para se acompanhar o funcionamento do cliente de autentica o Ela consiste de uma lista com diversas mensagens ordenadas pela hora Ao lado de cada mensagem existe um cone colorido simbolizando sua prioridade As cores tem o seguinte significado Verde Azul Depura o Informa o Amarelo Not cia Vermelho Advert ncia Preto Erro O bot o Apagar localizado na barra de ferramentas permite com que se apague todas as entradas existentes no log O bot o Salvar localizado na barra de ferramentas permite com que se salve o log em um arquivo formato texto Ao ser clicado ser mostrada uma janela para que se especifique o nome do arquivo que ser salvo A op o Ativar Log se estiver desmarcada far com que novas entradas de log n o sejam mais geradas pelo cliente de autentica o A op o Usar visualizador de eventos se estiver marcada far com que todas as mensage
18. o esteja desabilitada ent o necess rio se executar os seguintes passos md Clicar no menu Iniciar Selecionar a op o Executar 3 Ao ser perguntado sobre qual programa executar digitar D br firewall criptoc instalar Caso o leitor de CD ROM seja acessado por uma letra diferente de D substitu la pela letra equivalente no comando anterior po A janela de instala o ser mostrada Para prosseguir siga as Instru es apresentadas na tela Ao t rmino da Instala o ser criado um grupo chamado Firewall Aker no menu Iniciar Dentro deste grupo ser criado um novo grupo chamado de Cliente de Criptografia Para se executar o cliente de criptografia basta selecionar a op o Cliente de Criptografia dentro do grupo com o mesmo nome Instalando o cliente atrav s de scripts Para facilitar a instala o do Cliente de Criptografia Aker em um grande n mero de m quinas poss vel automatiz la e realiz la de forma n o interativa Com isso pode se escrever um script de logon por exemplo que instale o cliente caso ele j n o esteja instalado A Instala o autom tica n o interativa acionada atrav s de um outro programa chamado de setupbat localizado no mesmo diret rio do programa de instala o descrito acima Ele recebe as op es de instala o atrav s da linha de comando sendo que as seguintes op es est o dispon veis a Executa instala o autom tica i Adiciona client
19. sess o estabelecida com o Firewall ent o n o ser solicitado nome nem senha ou seja O proxy se comportar como se n o estivesse realizando autentica o de usu rios mas ele est de fato fazendo o Se a sess o do Cliente de Autentica o for finalizada ent o o proxy solicitar um nome de usu rio e senha no pr ximo acesso Para maiores informa es sobre o Cliente de Autentica o Aker leia o cap tulo O cliente de autentica o Aker SA vers o 4 do protocolo SOCKS n o permite que se realize autentica o de usuarios dessa forma a nica maneira de se autenticar clientes utilizando essa vers o do protocolo com o uso do cliente de autentica o Caso essa op o esteja marcada a vers o suportada pelo cliente for a 4 e n o existir uma sess o de perfil de acesso ativa ent o o firewall n o permitir acessos para o cliente Tempo limite de resposta Este par metro define o tempo m ximo em segundos que o proxy aguarda por dados do cliente a partir do momento que uma nova conex o for estabelecida Caso este tempo seja atingido sem que o cliente envie os dados necess rios a conex o ser cancelada N mero m ximo de processos Este campo define o n mero m ximo de processos do proxy SOCKS que poder o estar ativos simultaneamente Como cada processo atende uma nica conex o este campo tamb m define o n mero m ximo de requisi es que podem ser atendidas simultaneamente 28 0 Configurando o
20. 29 8 Atualiza es WO que s o atualiza es e onde consegui las Como todo o software o Firewall Aker pode eventualmente apresentar bugs em seu funcionamento medida em que estes problemas s o resolvidos a Aker produz um arquivo que permite a atualiza o de seu firewall e a elimina o destes erros Algumas vezes tamb m s o adicionadas determinadas caracter sticas novas em uma vers o ja existente de modo a aumentar sua performance ou aumentar sua flexibilidade Em ambos os casos os arquivos de atualiza o ou corre o s o disponibilizados de forma gratuita no site da Aker basta procurar o menu Download e selecionar a op o Corre es e Atualiza es Estes arquivos s o sempre cumulativos ou seja necess rio apenas baixar a ltima vers o dispon vel e esta incluir as corre es presentes nos arquivos de corre o atualiza o anteriores WA janela de atualiza es Esta op o permite que se aplique uma atualiza o ou corre o do Firewall Aker remotamente atrav s da interface gr fica E poss vel at mesmo atualizar completamente uma vers o do firewall atrav s desta op o Para se ter acesso janela de atualiza es basta Dispositivos remotos Configuration Managers E O Firewalls dh Firewall Azul Firewall Verde S Configura o do Firewall G gy Configura es do Sistema Dj A es Administra o de Usu rios A Ativa o da Licen a Atualiza Ca Ge
21. 3 Desempacote o fcheck em algum diret rio o mesmo vem em FCheck 2 07 51 tar gz ou FCheck 2 07 51 z1p 4 Bem a partir daqui as modifica es v o depender de cada um ou seja os diret rios escolhidos poder o ser outros contudo tenha certeza de modificar os arquivos de configura o Ent o aqui v o as minhas copie o arquivo lt fcheck gt para o diret rio lt usr local sbin gt 5 Modifique o arquivo lt fcheck gt na linha que diz lt config usr local etc fcheck cfg gt fica l pela linha 153 No meu caso copiei este arquivo lt fcheck cfg gt para o dir lt etc gt por isso minha linha ficou assim lt config etc fcheck cfg gt 6 Crie uma pasta em usr local chamada lt data gt desta forma mkdir usr local data E nesta pasta que sera criada um banco de dados com os diret rios analisados 7 Edite agora o arquivo lt fcheck cfg gt para os diret rios que ser o analisados Observe que j tem um monte de exemplos Eu particularmente coloquei os seguintes diret rios bin sbin etc lib Caso tenha a curiosidade de ler este arquivo ele alerta para o fato de que se colocar o nome do dir mais a ou seja etc ele ir recursivamente analisar toda a rvore Sem a barra ele somente far a an lise dos arquivos excluindo os diret rios 8 Existe no arquivo lt fcheck cfg gt uma se o para excluir diret rios ou arquivos que n o queira ser analisado ou seja supomos que tenha escolhido todo o etc
22. Administra o de Usu rios 4M Ativa o da Licen a O Atualiza o e Data e hora Sy Par metros de configura o BE TCPAP E amp Criptografia Ferramentas El Informa o l See Seguran a Administra o de Usuarios Adminiztra o banco de dados de usu rios remotos e Clicar em Configura es do Sistema da janela do firewall que se quer administrar e Selecionar o item Administra o de Usu rios iliy 3 Esta op o s estar habilitada se o usu rio que estiver com a sess o aberta na interface remota tiver autoridade para gerenciar usu rios Isto ser comentado em detalhes no pr ximo t pico A janela de administra o de usu rios Administra o de Usu rios Firewall Vermelho ACESSO Nome Permiss es admin administrador CF CL MU Inserir Login Home administrador Senha Confirma o Permiss es Configurar Firewall Configurar Log Administrar usu rios Permitir conex es do gerenciador Senha YOK X Canela Esta janela consiste de uma lista de todos os usu rios atualmente definidos para acesso administra o do firewall al m de um segredo compartilhado ou senha para administra o centralizada pelo Aker Configuration Manager N o havendo o segredo compartilhado a configura o ser apenas efetuado pelos usu rios cadastrados Para cada usu rio mostrado seu login seu nome completo e suas permiss es e O bot o OK far com que a janela de adminis
23. BFISH256 gt lt segredo gt inclui lt pos gt lt origem gt lt destino gt recebe skip lt segredo gt inclui lt pos gt lt origem gt lt destino gt lt envia recebe gt aker mostra mostra todas as entradas da tabela de criptografia LRC Wek inclui uma entrada na tabela habilita habilita uma entrada previamente desabilitada desabilita desabilita uma entrada existente remove remove uma entrada existente da tabela ajuda mostra esta mensagem inclui temos pos envia recebe ipsec gateway ss segredp cert local remoto manual skip aker cdp CDP Spx associacao de posicao onde a nova entrada sera incluida na tabela Podera ser um inteiro positivo ou a palavra FIM para incluir no final da tabela esta entrada sera usada na hora de enviar pacotes esta entrada sera usada na hora de receber pacotes usa troca de chave e protocolo IPSEC a entidade que representa a ponta remota do tunel usa segredo compartilhado como forma de autenticacao a string que sera usada como segredo compartilhado usa certificados X 509 para autenticacao o nome de dominio FQDN no certificado a apresentar o nome de dominio FQDN no certificado esperado utiliza troca de chaves manual utiliza troca de chaves automatica via o protocolo utiliza troca de chaves automatica via o protocolo indice de parametro de seguranca E um inteiro que identifica unicamente a seguranca entre a maquina
24. Nome Nome que define unicamente a regra dentro do contexto Este nome ser mostrado na lista de regras do contexto SMTP N o podem existir duas regras com o mesmo nome Campo Define o nome do campo dentro da mensagem SMTP onde ser feita a pesquisa Ele pode assumir um dos seguintes valores alguns valores s o mostrados em ingl s devido ao fato de serem nomes de campos fixos de uma mensagem e NENHUM N o ser feita pesquisa e TO Todos A pesquisa feita no endere o de destino da mensagem todos os recipientes devem se encaixar na regra e TO Qualquer A pesquisa feita no endere o de destino da mensagem pelo menos um recipiente deve se encaixar na regra e FROM A pesquisa feita no endere o de origem da mensagem e CC A pesquisa realizada sobre a lista de endere os que ir o receber uma c pia da mensagem e REPLY A pesquisa feita no campo REPLY TO que indica o endere o para o qual a mensagem deve ser respondida e SUBJECT A pesquisa feita no campo que define o assunto da mensagem e Cabe alho A pesquisa realizada sobre todos os campos que comp em o cabe alho da mensagem e Corpo A pesquisa feita no corpo da mensagem onde existe efetivamente a mensagem Jos campos TO e CC s o tratados de forma diferente pelo proxy SMTP o campo TO tratado com uma lista dos v rios recipientes da mensagem retirados do envelope da mensagem O campo CC tratado como um texto simples retirad
25. SLetras mai sculas e min sculas s o consideradas diferentes nos nomes das entidades Desta forma poss vel a exist ncia de v rias entidades compostas de nomes com as mesmas letras por m com combina es distintas de mai sculas e min sculas As entidades Aker AKER e aker s o portanto consideradas diferentes cone o cone que aparecer associado ao acumulador em todas as refer ncias Para alter lo basta clicar sobre o desenho do cone atual O firewall ent o mostrar uma lista com todos os poss veis cones para representar interfaces Para escolher entre eles basta clicar no cone desejado e no bot o OK Caso n o se deseje alter lo ap s ver a lista basta clicar no bot o Cancelar Coment rio E um campo texto livre usado apenas para fins de documenta o Ap s todos os campos estarem preenchidos deve se clicar no bot o OK para realizar a inclus o ou altera o do acumulador Para cancelar as altera es realizadas ou a inclus o deve se pressionar o bot o Cancelar Para facilitar a inclus o de v rios acumuladores seguidamente existe um bot o chamado Nova que n o estar habilitado durante uma edi o Ao ser clicado este bot o far com que o acumulador cujos dados foram preenchidos seja inclu do e a janela de inclus o de acumuladores mantida aberta pronta para uma nova Inclus o Desta forma poss vel se cadastrar rapidamente um grande n mero de acumuladores Incluindo edit
26. Se esta op o estiver marcada o usu rio pode acrescentar juntamente ao seu nome um sufixo formado pelo s mbolo e um nome de autenticador fazendo com que a requisi o de autentica o seja enviada diretamente para o autenticador informado Caso ela n o esteja marcada a autentica o ser feita na ordem dos autenticadores configurada pelo administrador il 3 O uso desta op o n o obriga que o usu rio informe o nome do autenticador apenas permite que ele o fa a se desejar Caso o usu rio n o informe a autentica o seguir na ordem normal Para ilustrar a especifica o de dom nio pode se tomar como base um sistema no qual existam dois autenticadores configurados chamados de Unix e Windows_NT Neste sistema se um usu rio chamado administrador desejar se autenticar na m quina Windows NT ent o ele dever entrar com o seguinte texto quando lhe for solicitado seu login ou username administrador Windows NT Caso ele n o informe o sufixo o firewall tentar autentic lo inicialmente pela m quina Unix e caso n o exista nenhum usu rio cadastrado com este nome ou a op o Pesquisa em todos os autenticadores estiver marcada ele ent o tentar autenticar pela m quina Windows NT il 3 O nome do autenticador informado pelo usu rio deve estar obrigatoriamente na lista de autenticadores a serem pesquisados Autenticadores a pesquisar Para se incluir um autenticador na lista de autenticadores a serem consulta
27. W Ativar Log Elw Depura o Ei Informa o gii Oof Noticia Apagar Exportar EI Advert ncia mv Erro Hora Mensagem Complemento 09 53 12 Cliente de criptografia ativado 09711 2003 09 53 11 Nenhum SmartCard detectado 0571172003 09 55 11 N o conseguiu carregar arquivo de certificad Esta pasta muito til para se acompanhar o funcionamento do cliente de criptografia Ela consiste de uma lista com diversas mensagens ordenadas pela hora Ao lado de cada mensagem existe um cone colorido simbolizando sua prioridade As cores tem o seguinte significado Verde Depura o Azul Informa o Amarelo Not cia Vermelho Advert ncia Preto Erro O bot o Apagar localizado na barra de ferramentas permite com que se apague todas as entradas existentes no log O bot o Salvar localizado na barra de ferramentas permite com que se salve o log em um arquivo formato texto Ao ser clicado ser mostrada uma janela para que se especifique o nome do arquivo que ser salvo A op o Ativar Log se estiver desmarcada far com que novas entradas de log n o sejam mais geradas pelo Cliente de Criptografia WI 30 log do Cliente de Criptografia Aker armazenado apenas durante a execu o do cliente Caso este seja fechado todas as suas informa es ser o descartadas QAlgoritmos E Cliente de Criptografia Firewall Aker Sess o Certificados Redes Seguras Log Algontnias Sobre Cu Instalar Mome
28. configurado com suporte para at 10 dez VLANs atrav s do protocolo 802 1q A configura o das VLANs pode ser feita posteriormente utilizando se a interface gr fica Para mais informa es leia a se o intitulada Configura o TCP IP Ap s se responder Sim o programa de instala o mostrar a licen a de uso do Firewall Aker Para se prosseguir necess rio aceitar todos os termos e condi es contidas na licen a Caso sejam aceitos o programa prosseguir com a instala o mostrando a seguinte tela Firewall Aker v5 1 Programa de Instalacao Iniciando a instalacao Voce deseja utilizar o kernel P re compilado C ompilar um novo kernel ou usar o kernel A tual para a instalacao do firewall P C A Caso se deseje utilizar o kernel pr compilado basta se digitar P seguido de Enter Caso se deseje utilizar o kernel atual digita se A Caso contr rio digita se C il 3 Recomenda se a utiliza o do kernel pr compilado principalmente caso n o se possua experi ncia pr via com o FreeBSD A nica necessidade de se compilar um novo kernel para se utilizar uma vers o mais otimizada do mesmo il 3 S poss vel se utilizar o kernel atual caso j se tenha instalado o Firewall Aker vers o 5 1 na m quina anterioremente Caso contr rio deve se escolher uma das duas outras op es Independente da op o escolhida o programa iniciar a instala o propriamente dita Ele mostrar o seu progre
29. copiada para a posi o da regra selecionada Caso contr rio ela ser copiada para o final da lista Renomear Esta op o renomeia a regra selecionada da lista Dica Todas as op es mostradas acima podem ser executadas a partir da barra de ferramentas localizada logo acima da lista Neste caso primeiro seleciona se a regra clicando o com o bot o esquerdo e em seguida clica se na op o desejada l SA ordem das regras na lista de regras de filtragem SMTP de fundamental importancia Ao receber uma mensagem o firewall pesquisara a lista a partir do inicio procurando uma regra na qual a mensagem se enquadre Tao logo uma seja encontrada a a o associada a ela ser executada No caso de inclus o ou edi o de regras ser mostrada a janela de edi o mostrada abaixo A janela de edi o de regras SMTP HIEI Nome Campo Operador de pesquisa Testo Nem mm bo Nem mm bo Ativa o do filtro Somente se todos s o verdadeiros Se qualquer um for verdadeiro A o Aceita O Rejeita Registrar na lista de eventos Enviar copia E mail padr o Nesta janela s o configurados todos os par metros relativos a uma regra de filtragem para um contexto SMTP Cada regra consiste basicamente de 3 condi es independentes que podem ou n o estar preenchidas ou seja poss vel se criar regras com apenas uma ou duas condi es Para se criar uma regra necess rio se preencher os seguintes campos
30. e Certificados de entidades certificadoras Estes s o os certificados com as informa es das entidades certificadoras autorizadas a emitir certificados de negocia o e revoga o Para que um destes certificados seja aceito pelo firewall ele deve obrigatoriamente vir assinado por uma entidade certificadora conhecida pelo firewall e Certificados de revoga o Certificados de revoga o s o gerados quando ocorre um comprometimento do certificado de negocia o de algum firewall Eles indicam para o firewall que os possui quais certificados n o devem mais ser aceitos Todos estes certificados podem ser visualizados atrav s da janela de certificados Para acess la basta e Clicar no menu Criptografia da janela principal e Certificados Aker CDP A janela de certificados Certificados Aker CDP Firewall Azul Certificados Valor Sl ag Local Local Cert Demo 1 Local Cert Demo 1 E E Remoto Autoridade Certificadora 1 EJAutordade Certificadora Data de elise 14 01 2004 H Revoga o Data de expira o 14 01 2006 Quantidade de redes 3 10 0 0 0 amp 255 0 0 0 192 685 0 0 amp 255 255 0 0 220 0 0 0 amp 255 255 255 0 Na janela de certificados s o mostrados todos os certificados relacionados ao estabelecimento de canais seguros Aker CDP e O bot o OK fechar a janela de certificados e A lista no lado esquerdo da janela permite a visualiza o dos diferentes tipos de certificados e Ao se clicar so
31. o deve se selecionar a op o None no campo Algorito de Encripta o Neste caso ser mostrada a seguinte janela 4x Firewall Firewall Firewall Azul Seles IPSEC AkerCDP SKIF Manual Origem Destino Dire o SPI Autentica o Chave de autentica o Algoritmo de encripta o Vetor de inicializa o Chaves A Rede Interna Rede Verde Be Encripta o 256 MDS 3123456 ao ra Rede verde na Rede Interna ay Decripta o 256 pes MDOS 2 65432 Coment rio Origem Define as entidades cujos endere os ser o comparados com o endere o origem dos pacotes IP que formar o o fluxo Destino Define as entidades cujos endere os ser o comparados com o endere o destino dos pacotes IP que formar o o fluxo Coment rio Reservado para se colocar um coment rio sobre o fluxo Muito til para fins de documenta o Dire o Define em que sentido o fluxo ser aplicado S existem duas op es poss veis ou o pacote est sendo criptografado encripta o ou o pacote esta sendo decriptado decripta o para maiores detalhes veja o t pico Intitulado Planejando a Instala o SPI Security Parameter Index Este um n mero nico utilizado pelo recipiente para identificar um fluxo espec fico Ele deve ser um valor maior ou igual a 256 e deve obrigatoriamente ser distinto para cada fluxo em dire o a um mesmo recipiente Chave de Autentica o Chave utilizada na autentica o
32. o do firewall que se deseja visualizar os eventos e Selecionar a op o Eventos A barra de ferramentas de Eventos Todas as vezes que se seleciona a op o Eventos mostrada automaticamente a barra de ferramentas de Eventos Esta barra que estar ao lado das outras barras poder ser arrastada e ficar flutuando acima das informa es dos Eventos Ela tem o seguinte formato T Ei ri G ho clseg Gi LL Expandir Filtro Faar Exportar Limpar Atualiza Anterior Pr ximo Significado dos cones T Abre a janela de filtragem do firewall Este icone somente ira aparecer quando o firewall estiver fazendo uma procura nos Eventos Ele permite interromper a busca do firewall Exporta os Eventos para diversos formatos de arquivos r Apaga os Eventos do firewall G Permite fazer uma atualizacao da tela de logs dentro de um determinado periodo definido no campo seguinte dU seg Define o tempo que o firewall ir atualizar a janela com informa es de log SURT q Percorre os Eventos para frente e para tr s Expandir 2 d Expande as mensagens de Eventos mostrando as mesmas com o m ximo de informa o Ao clicar no cone de filtragem a seguinte janela ser mostrada A janela de filtro de eventos E Filtro de Eventos Filtros a x Salvar Remover Movo Data Hora De 12 01 2004 20 03 12 at 15 01 2004 23 59 59 Hodulo Limpar tudo Filtrar por M dulos Mensagens P
33. o e criptografia a serem utilizadas no canal O Firewall Aker suporta a exist ncia de diversos canais seguros simult neos entre pontos distintos A uni o destes diversos canais produz uma lista onde cada entrada define completamente os par metros de um canal seguro Cada uma destas entradas recebe o nome de Associa o de Seguran a ou SA O planejamento destes canais seguros dever ser feito com bastante cuidado A criptografia um recurso dispendioso que demanda uma capacidade de processamento muito alta Desta forma criptografar pacotes para os quais n o exista uma necessidade real de seguran a ser um desperd cio de recursos Al m disso deve se atentar que diferentes algoritmos de criptografia exigem quantidades de processamento diferentes e por conseguinte produzem um n vel de seguran a mais elevado Dependendo do n vel de seguran a desejado pode se optar por um ou outro algoritmo a descri o da cada algoritmo suportado pelo Firewall Aker se encontra no t pico anterior Uma ltima observa o sobre canais de criptografia firewall firewall que estes s o unidirecionais ou seja caso se deseje configurar uma comunica o segura entre duas redes A e B deve se configurar dois canais diferentes um canal com origem na rede A e destino na rede B e outro com origem na rede B e destino na rede A Os pacotes que forem enviados de A para B seguir o a configura o do primeiro canal e os pacotes de B para A seguir
34. o errada nos fluxos de criptografia possivelmente s configurando em um dos lados da comunica o ou por uma tentativa de ataque de falsifica o de endere os IP IP spoofing Para maiores informa es veja as RFCs 1825 e 1827 014 Tamanho do pacote a ser decriptado inv lido Esta mensagem indica que o m dulo de criptografia detectou um tamanho do pacote a ser decriptado incompat vel com o algoritmo de criptografia correspondente Isto provavelmente causado por uma configura o errada nos fluxos de criptografia 015 Decripta o do pacote apresentou erro Esta mensagem indica que o m dulo de criptografia ap s decriptar o pacote e realizar os testes de consist ncia no mesmo detectou que o mesmo inv lido Isto provavelmente causado por uma configura o errada da tabela de criptografia ou por um poss vel ataque de falsifica o de endere os IP IP spoofing 016 Tipo de encapsulamento do pacote inv lido Esta mensagem indica que o m dulo de criptografia n o reconheceu o tipo de encapsulamento usado neste pacote Isto pode ser causado por uma falha na decripta o do pacote devido a senhas erradas ou por ter sido usado um tipo de encapsulamento n o suportado O Firewall Aker trabalha exclusivamente com encapsulamento em modo de t nel n o aceitando outros modos por exemplo modo de transporte 017 Pacote sem informa es de SKIP Esta mensagem indica que pacote em quest o n o veio com um he
35. o gt C lt Protocolo gt lt IP origem gt lt Porta origem gt lt IP convertido gt lt Porta convertida gt Descri o dos campos dos registros Data Data em que o registro foi gerado Hora Hora em que o registro foi gerado Repeti o N mero de vezes que o registro se repetiu seguidamente Este campo mostrado entre par nteses na Interface texto Protocolo o protocolo do pacote que gerou o registro Pode ser TCP ou UDP IP origem Endere o IP de origem do pacote que gerou o registro Porta origem Porta de origem do pacote que gerou o registro IP convertido Endere o IP para o qual o endere o de origem do pacote foi convertido Porta convertida Porta para qual a porta de origem do pacote foi convertida 14 3 Utilizando a interface texto A interface texto para o acesso ao log tem funcionalidade similar da interface gr fica por m possui op es de filtragem bem mais limitadas Al m disso atrav s da interface texto n o se tem acesso s informa es complementares que s o mostradas quando se seleciona uma entrada do log na Interface gr fica ou quando se ativa a op o Expande mensagens Localiza o do programa etc firewall fwlog Sintaxe Firewall Aker Versao 5 1 fwlog apaga log eventos lt data_inicio gt lt data fim gt fwlog mostra log eventos local cluster lt data inicio gt lt data fim gt prioridade Ajuda do programa Uso fwlog ajuda fwlog apaga log e
36. segredo Sab53faefc c9845acbe223148065dabe32 9819ab01c39654effacbef08 021 Entrada 03 Origem Rede Interna Destino Rede externa 1 Sentido Envia Chaves Manual Algoritmos SHA DES SPI E 999 Autenticacao 0c234da5677ab5 Criptografia 9a34ac 890ab6 ef VI 64 bits Entrada 04 Origem Rede externa 1 Destino Rede Interna Sentido Recebe Chaves Manual Algoritmos SHA DES SPI 999 Autenticacao 0c234da5677ab5 Criptografia 9a3456ac90ab67ef Vee 4A Das Entrada 05 Origem Rede Aker 1 Destino Rede Aker 2 Sentido Recebe Chaves Aker CDP Algoritmos AUCO Auto Auto Entrada 06 Origem Rede Aker 2 Destino Rede Aker 1 Sentido Envia Chaves Aker CDP Algoritmos Auto Auto Auto Exemplo 2 removendo a terceira entrada da tabela etc firewall fwcripto remove 3 Entrada 3 removida Exemplo 3 incluindo uma entrada com troca de chaves manual e criptografia via DES no final da tabela t etc firewall fwcripto inclui fim REDE REDE2 envia manual 7436 MD5 c234da5677ab5 DES 64 4234ad 0cba32c6ef Entrada incluida na posicao 7 Exemplo 4 incluindo uma entrada com troca de chaves via SKIP no inicio da tabela t etc firewall fwcripto inclui 1 Redel Rede2 envia skip 3DES SHA DES 5Sab53faefc c9845acbe223148065dabe32 9819ab01c39654effacbef08 022 Entrada incluida na posicao 1 Exemplo 5 incluindo uma entrada com troca de chaves via Aker CDP na posicao 2 da tabela etc firewall fwcripto inclui 2 Rede Aker 3 Rede Ake
37. vista em detalhes em Perfis de Acesso de Usu rios na segunda aba escolhe se os M todos de autentica o onde se determina os par metros relativos autentica o de usu rios por meio de nomes senhas e se configuram os par metros de autentica o por token SecurID e Autoridade Certificadora PKI a terceira aba configura se a Autentica o para Proxies Na quarta e ltima aba configurado o Controle de Acesso por IP que tamb m ser visto com mais detalhes em Perfis de Acesso de Usu rios e O bot o OK far com que a janela de configura o de par metros seja fechada e as altera es efetuadas aplicadas e O bot o Aplicar enviar para o firewall todas as altera es feitas por m manter a janela aberta e O bot o Cancelar far com que a janela seja fechada por m as altera es efetuadas n o sejam aplicadas Aba M todos U s Autentica o Firewall Azul DER ga Controle de acesso i M todos r Autentica o para Prowes l Controle de Acesso por IF E Autentica o local eua enta Habilitar autentica o Uzu rio S enha Pesquizar todos autenticadores Pesquisar autenticador interna antes dos outros autenticadores Permitir dominios especificados pelo usu rio Disable automatic ID S rule insertion Autenticadores a pesquisar A gt Auth ste Habilita autentica o usu rio senha Essa op o indica se o firewall aceitar ou n o autentica o de usu rios por meio de nome
38. 4 Carregar o certificado correspondente requisi o clicar na requisi o e depois em Carregar 5 Exportar o certificado para um arquivo PKCS 12 Clicar no certificado remoto correspondente e em seguida em exportar 6 Importar este certificado no firewall remoto selecionando Deste Firewall e em seguida com o bot o direito do mouse Importar Na janela de requisi es h dois campos que podem causar confus o e Dominio CN o identificador principal do dono da requisi o Este campo deve ser preenchido com common name e Tamanho da chave Se o certificado for local com cria o de nova chave ou remoto este campo conter o comprimento da chave em bits Caso contr rio certificado local adicional ele n o poder ser modificado uma vez que a chave j existente ser utilizada 8 4 Configurando canais Firewall Firewall Para ter acesso a janela de configura o de canais Firewall Firewall basta e Clicar no menu Criptografia da janela principal e Escolher o item Firewall Firewall A janela de criptografia firewall firewall 4 Firewall Firewall Firewall Azul Seles IPSEC Aker CDP SKIP Manual Origem Destino Dire o Eneripta o de chave Encripta o de dados Autentica o a Rede Interna a Rede Verde ye i Automatic Automatic pepe Sutomatic sa Rede_Intema Coment rio EE os A janela de criptografia cont m a defini o de todos os fluxos de criptografia do F
39. A partir deste momento todos os acessos para A B C 10 ser o automaticamente remapeados pelo firewall para 10 1 1 5 li Jos endere os v lidos escolhidos para realizar a convers o de 1 1 n o podem ser atribu dos a nenhuma m quina real Desta forma em nosso exemplo poss vel a configura o de at 253 servidores na sua rede interna pass veis de serem acessados externamente um dos 254 endere os v lidos j usado para o firewall para converter o tr fego de todas as m quinas clientes il S0 Firewall Aker utiliza a tecnologia de proxy arp para possibilitar que os servidores virtuais sejam tratados pelas m quinas pertencentes rede v lida por exemplo o roteador externo como se fossem m quinas reais Exemplos de configura es usando convers o de endere os e Se ligando Internet com uma linha dedicada Equipamento 1 roteador Firewall Aker n clientes 2 servidores na rede interna Endere o v lido A B C x m scara da rede 255 255 255 0 Endere o reservado 10 x x x m scara da rede 255 0 0 0 Endere o dos servidores 10 1 1 1 10 2 1 1 Endere o dos clientes 10 x x x Endere os do roteador Rede v lida A B C 1 Internet x x x x Configura o do Firewall Aker Endere os das placas rede interna 10 0 0 2 rede v lida A B C 2 IP virtual para a convers o N 1 A B C 2 Rede privada 10 0 0 0 M scara da rede privada 255 0 0 0 Regras de convers o 1 1 A B C 10 10 1 1 1 A B C 30 10 2
40. Configura o do Firewall Aker Sub Rede 3 172 16 0 1 Sub rede 1 10 1 0 3 IP Virtual para convers o N 1 10 1 0 3 Rede privada 3 172 16 0 0 M scara da rede privada 255 255 0 0 Regras de convers o 1 1 10 3 1 1 172 16 1 1 il 3 Na tabela de roteamento para este tipo de instala o devemos inserir rotas para as sub redes 10 1 x x 10 2 x x 10 3 x x Aker Aker O 172 16 0 1 C JF E m E TTE Ld Ethernet 10 xxx EL si mn o Sevidor aoe Bisfeadar oe eee ABC 10 1 0 Internet i0 m 10 1 0 3 172 16 0 1 Tie Fx Servidor Le a E a i Ethernet 10 x x x Cliente 10 1 x 172 16 0 1 E po oO amp Es Sevidor Cliente 172 16 0 1 1 2 Fx Desenho do Exemplo 2 e M ltiplas liga es com a Internet Neste exemplo bem mais complexo mostraremos como utilizar tr s liga es com a Internet e duas redes internas utilizando o conversor de endere os entre elas Equipamento 3 roteadores 1 Firewall Aker n clientes 2 servidores na rede DMZ Endere os v lidos A B C x D E F x G H I x todos com m scara de rede 255 255 255 0 Endere o reservado para a rede interna 10 x x x m scara da rede 255 0 0 0 Endere o reservado para a DMZ 172 16 x x m scara 255 255 0 0 Endere os dos roteadores Rede v lida A B C 1 D E F 1 G H I 1 Internet x x x x Configura o do Firewall Aker Endere os das placas Placa 1 10 0 0 2 Placa 2 172 16 0 2 Placa 3 A B C 2 Placa 4 D E F 2 P
41. Para maiores Informa es sobre os autenticadores veja o cap tulo intitulado Configurando par metros de autentica o 3 Clica se com o bot o direito sobre o campo Usu rio Grupo e seleciona se entre listagem de usu rios ou grupos e sua lista ser montada automaticamente a partir do autenticador selecionado A partir da lista seleciona se o usu rio ou grupo desejado Inserir X Apagar Copiar E Colar Usu rios d Escolha um usu rio 4 Clica se com o bot o direito sobre o campo Perfil para se selecionar o perfil desejado conforme o menu abaixo Inserir Apagar Copiar NE Colar Escolha um Perfil 5 Se desejar arraste algumas entidades m quina rede ou conjuntos para o campo entidades Se o usu rio estiver fora dessas entidades a regra ser pulada Para se remover uma regra entre um usu rio grupo e um perfil deve se proceder da seguinte maneira 1 Clica se na regra a ser removida na lista da janela 2 Clica se no bot o Apagar Para se alterar a posi o de uma regra dentro da lista deve se proceder da seguinte forma 1 Clica se na regra a ser movida de posi o 2 Arrasta se para a posi o desejada II SA ordem das associa es na lista de fundamental import ncia Quando um usu rio se autenticar o firewall pesquisar a lista a partir do in cio procurando pelo nome desse usu rio ou por um grupo de que ele fa a parte T o logo um desses seja encontrado o per
42. a Interface texto Registros gerados pelo filtro de pacotes ou pelo m dulo de criptografia Qualquer um destes registros pode vir precedido de uma mensagem especial A listagem completa de todas as poss veis mensagens especiais e seus significados se encontra no ap ndice A e Protocolo TCP Formato do registro lt Data gt lt Hora gt lt Repeti o gt lt A o gt TCP lt Status gt lt IP origem gt lt Porta origem gt lt IP destino gt lt Porta destino gt lt Flags gt lt Interface gt Descri o dos campos Data Data em que o registro foi gerado Hora Hora em que o registro foi gerado Repeti o N mero de vezes em que o registro se repetiu seguidamente Este campo mostrado entre par nteses na Interface texto Status Este campo que aparece entre par nteses na Interface texto consiste de uma a tr s letras independentes que possuem o significado abaixo A Pacote autenticado E Pacote encriptado S Pacote usando troca de chaves via SKIP ou AKER CDP A o Este campo indica qual foi a a o tomada pelo firewall com rela o ao pacote Ele pode assumir os seguintes valores A Indica que o pacote foi aceito pelo firewall D Indica que o pacote foi descardado R Indica que o pacote foi rejeitado IP origem Endere o IP de origem do pacote que gerou o registro Porta origem Porta de origem do pacote que gerou o registro IP destino Endere o IP destino do pacote que gerou o regist
43. a realiza o de bilhetagem da rede Tendo se conhecimento da quantidade de bytes que cada m quina transferiu na rede calcula se o quanto que cada uma deve ser taxada 5 Para se realizar bilhetagem de rede deve se criar uma regra de filtragem com um acumulador diferente para cada maquina a ser taxada Todos os acumuladores devem ter regras de estatisticas associados a eles Estas regras sao configuradas na janela de visualiza o de estat stica Como funcionam as estat sticas do Firewall Aker O fucionamento das estat sticas do Firewall Aker se baseia em tr s etapas distintas e Cria o de Acumuladores Nesta etapa cadastramos os acumuladores que ser o associados a regras de filtragem Eles servem apenas como totalizadores de uma ou mais regras de filtragem Para maiores informa es sobre a cria o de acumuladores e sua associa o com regras de filtragem veja os cap tulos Cadastrando Entidades e O Filtro de Estados e Cria o de regras de estat stica Ap s a cria o dos acumuladores e sua associa o com as regras de filtragem desejadas devemos criar regras de estat stica que definem os intervalos de coleta e quais acumuladores ser o somados para gerar o valor da estat stica em um dado momento Esta etapa ser explicada nesta cap tulo e Visualiza o das estat sticas Ap s a cria o das regras de estat sticas podemos ver os valores associados a cada uma delas export los ou tra ar gr ficos
44. certificado foi recebido e qual firewall o emitiu 119 Requisi o de cliente de criptografia inv lida Esta mensagem indica que o servidor de certificados recebeu uma requisi o de um cliente de criptografia e esta requisi o foi considerada inv lida Isso pode ter uma das seguintes causas e O certificado do firewall foi atualizado e o cliente continua utilizando o certificado antigo e requisi o partiu de uma m quina n o autorizada a estabelecer sess o de criptografia com o firewall As mensagens complementares indicam qual a causa do problema e os endere os da m quina de origem e destino o destino o endere o da m quina atr s do firewall com a qual o cliente tentou se comunicar 120 Falha de autentica o para criptografia Esta mensagem s mostrada quando a autentica o de usu rios para clientes de criptografia est ativa e indica que um usu rio cadastrado em algum autenticador tentou estabelecer uma sess o de criptografia com o firewall por m sua senha estava incorreta As mensagens complementares mostram o nome do usu rio em quest o e os endere os da m quina de origem e destino o destino o endere o da m quina atr s do firewall com a qual o cliente tentou se comunicar 121 Usu rio n o cadastrado para criptografia Esta mensagem s mostrada quando a autentica o de usu rios para clientes de criptografia est ativa e indica que um usu rio n o cadastrado em nenhum autenti
45. configurar o Firewall para enviar o log e os eventos para o syslogd e configurar o syslogd para mandar estas mensagens para uma outra m quina da rede interna Para se realizar as c pias de seguran a pode se utilizar o utilit rio tar do FreeBSD e do Linux os comandos abaixo devem ser executados pelo usu rio root e tar cvfz conf tgz etc firewall conf salva toda a configura o do firewall no arquivo conf tgz e tar cvfz log tgz var log 510 salva os arquivos de log e de eventos no arquivo log tgz Ap s realizadas as c pias pode se transferir os arquivos conf tgz log tgz para outras m quinas via por exemplo FTP Recupera o no caso de desastres No caso de problemas que ocasionem a perda de dados deve se proceder da seguinte forma e Caso tenha se perdido apenas os dados de configura o ou os arquivos de log e eventos basta restaurar um dos backups citados acima S importante que nenhum processo do firewall esteja ativo no momento de restaura o dos arquivos Para se assegurar disso pode se reinicializar a m quina em modo mono usu rio ou matar todos os processos do firewall isto pode ser feito atrav s do comando kill ps ax grep fw grep v grep cut c 1 5 Para restaurar a c pia de seguran a feita com o comando tar mostrado no t pico acima deve se executar a seguinte seq ncia de comandos os comandos devem ser executados pelo usu rio root p lt cd 2 tar xvfz con
46. de uma regra liberando o acesso TCP para a porta 1020 a partir da m quina que deseja se conectar Informa es de como fazer isso se encontram no cap tulo Intitulado O Filtro de Estados 2 S poss vel a abertura de uma conex o de administra o remota em um determinado instante Se ja existir uma interface conectada pedidos subsequentes de conex o ser o recusados e a interface remota informar que j existe uma sess o ativa 3 Cada um dos usu rios que for utilizar a Interface remota deve estar cadastrado no sistema O programa de instala o pode criar automaticamente um administrador com poderes para cadastrar os demais administradores Caso se tenha eliminado este administrador ou perdido sua senha necess rio o uso do m dulo local da interface gr fica ou da interface texto para criar um novo administrador Detalhes de como fazer 1sso se encontram no cap tulo intitulado Administrando Usu rios do Firewall Como utilizar a interface A interface bastante simples de ser utilizada entretanto existe uma observa o que deve ser comentada Os bot es esquerdo e direito do mouse tem fun es diferentes na interface O bot o esquerdo usado para se selecionar entradas em uma lista e para se clicar em bot es O bot o direito tem como fun o mostrar um menu de op es para uma determinada lista 2 1 Iniciando a interface remota Para iniciar a execu o da interface gr fica remota deve se executar um dos
47. e No fluxo de ida de dentro para fora os pacotes passam primeiro pelo filtro e depois possuem seus endere os convertidos se for o caso ou seja o filtro recebe os endere os reais das m quinas e No fluxo de volta de fora para dentro os pacotes passam primeiro pelo conversor de endere os que converte os endere os destino dos IPs virtuais para os endere os reais Ap s isso os pacotes s o enviados para o filtro de pacotes ou seja novamente o filtro de pacotes recebe os pacotes com os endere os reais Em ambos os casos o filtro n o sabe da exist ncia dos endere os virtuais o que nos leva a fazer a seguinte afirma o il 3 Ao se criar regras de filtragem deve se ignorar a convers o de endere os As regras devem ser configuradas como se as m quinas origem e destino estivessem conversando diretamente entre si sem o uso de qualquer tipo de convers o de endere os 11 3 Integra o do filtro com a convers o e a criptografia No t pico anterior mostramos como configurar as regras de filtragem para m quinas cujos endere os ser o convertidos A conclus o foi de que se deveria trabalhar apenas com os endere os reais ignorando a convers o de endere os Agora pode se acrescentar mais uma pergunta ao se configurar os fluxos de criptografia para m quinas que sofrer o convers o de endere os deve se usar os endere os reais destas m quinas ou os endere os virtuais Para responder esta pergunta novamente deve
48. fica poder o ser configuradas tamb m pela interface texto Como as duas interfaces tratam das mesmas vari veis a funcionalidade os valores e os coment rios destas t m validade tanto para interface gr fica quanto para a interface texto Devido a isso os t picos referentes interface texto normalmente ser o curtos e se limitar o a mostrar seu funcionamento Caso se tenha d vida sobre algum par metro deve se recorrer explica o do mesmo no t pico relativo interface gr fica il 3 N o poss vel o uso simult neo de v rias interfaces gr ficas para um mesmo Firewall nem o uso da interface texto enquanto existir uma interface gr fica aberta Copyrights do Sistema e Copyright c 1997 2003 Aker Security Solutions e utiliza a biblioteca SSL escrita por Eric Young cay mincon oz au Copyright 1995 Eric Young e utiliza o algoritmo AES implementa o do Dr B R Gladman brg O gladman uk net e utiliza o algoritmo MDS retirado da RFC 1321 Copyright 1991 2 RSA Data Security Inc e utiliza a biblioteca CMU SNMP Copyright 1997 Carnegie Mellon University e utiliza a biblioteca de compressao Zlib Copyright 1995 1998 Jean loup Gailly and Mark Adler e utiliza a biblioteca QWT escrita por Josef Wilgen Copyright 1997 e inclui software desenvolvido pela Universidade da California Berkeley e seus colaboradores e inclui software desenvolvido por Luigi Rizzo Universita di Pisa Portions
49. ll Firewall Verde S Configura o do Firewall JB Autentica o 4 Bloqueio de Banners Entidades NAT we Prony aaa Aegras de filtragem Sy Configura es do Sistema Criptografia E d Ferramentas E EE Informa o See Seguran a E I 2ipP roxy Socks Configura o proxy SOCKS o qual pode ser usado para originar receber conex es gen ricas e Clicar no menu Configura o do Firewall da janela de administra o e Selecionar o item Proxy Socks A janela de configura o de par metros do proxy SOCKS 4 Proxy Socks Firewall Verde Malta Autenticar usu rios Socks Tempo limite de resposta seq N mero m ximo de processos e O bot o OK far com que a janela de configura o do proxy SOCKS seja fechada e as altera es salvas e O bot o Aplicar enviar para o firewall todas as altera es feitas por m manter a janela aberta e O bot o Cancelar far com que todas as altera es feitas sejam desprezadas e a janela seja fechada Significado dos par metros Autentica usu rios SOCKS Este campo ativa ou n o a autentica o de usu rios do proxy SOCKS Caso ele esteja marcado ser solicitada ao usu rio uma identifica o e uma senha todas as vezes que ele tentar iniciar uma sess o e esta somente ser iniciada caso ele seja autenticado por algum dos autenticadores WI J Caso o usu rio esteja utilizando o Cliente de Autentica o Aker e esteja com uma
50. ltima op o de filtragem existe o campo Filtrar no complemento por Este campo permite que se especifique um texto que deve existir nos complementos de todas as mensagens para que elas sejam mostradas Desta forma poss vel por exemplo se visualizar todas as p ginas WWW acessadas por um determinado usu rio bastando para Isso que se coloque seu nome neste campo e Obot o OK aplicar o filtro escolhido e mostrar a janela de eventos com as informa es selecionadas e O bot o Cancelar far com que a opera o de filtragem seja cancelada e a janela de eventos ser mostrada com as informa es anteriores A janela de eventos E Eventos Firewall Verde Hora Aea aca PE wd 15 1 2004 21 To 39 Pedido de cones o de administra o 192 ieS 1 175 15 17 2004 21 01 27 Erro ao enviar dados para o kernel do Firewall 4Argquiva de configuracoes nao existe 1 Origem 0 0 0 0 15 17 2004 21 01 27 Firewall Aker 5 1 Inicializa o completa TAM 2004 22 21 04 Queda de sess o de administra o por era 14 2004 22 06 12 Carga do certificado de negocia o local 14 2004 22 05 20 Sess o de administra o estabelecida admin CF CL GU J 147 2004 22 03 20 Pedido de conex o de administra o 192 168 115 J TAM 2004 22 02 67 Firewall Aker 5 1 Inicializa o completa Prioridade A janela de eventos ser mostrada ap s a aplica o de um filtro novo Ela consiste de uma lista com v rias mensagens Normalmente cada linha corre
51. metros de um contexto Telnet 24 0 Configurando o proxy FTP o 24 1 Editando os par metros de um contexto FTP 25 0 Configurando o proxy POP3 o 25 1 Editando os par metros de um contexto POP3 26 0 Configurando o proxy WWW o 26 1 Planejando a instala o o 26 2 Editando os par metros do proxy WWW 27 0 Configurando o proxy SOCKS o 27 1 Planejando a instala o o 27 2 Editando os par metros do proxy SOCKS 28 0 Configurando o proxy RPC o 28 1 Editando os par metros de um contexto RPC 29 0 Utilizando as ferramentas da interface gr fica 29 1 Chaves de ativa o 29 2 Salvar c pia de seguran a 29 3 Carregar c pia de seguran a 29 4 DNS Reverso 29 5 Data e Hora 29 6 Varredura de regras 29 7 Relat rios 29 8 Atualiza es 29 9 Configura o TCP IP 29 10 Reinicializar firewall 29 11 Localizar entidades 29 12 Janela de Alarmes 29 13 Visualizando a rede graficamente 29 14 Visualizando estatisticas do sistema 29 15 Utilizando a interface texto nas Chaves de Ativa o 29 16 Utilizando a interface texto na Configura o TCP IP 30 0 Configurando o Firewall em Cluster o 30 1 Planejando a Instala o o 30 2 Utilizando a interface texto 31 0 Arquivos do sistema e backup o 31 1 Arquivos do sistema o 31 2 Backup do Firewall 32 0 Firewall Aker Box Ap ndice A Mensagens do sistema o Mensagens do log do Firewall o Mensagens dos eventos do Firewall Ap ndice B Perguntas e respostas Ap ndice C Copyrights e Disclaimers O O O O O O
52. notificados bem como a defini o de que regras ser o acrescentadas Para se ter acesso ao programa de configura o deve se clicar no menu Iniciar selecionar o grupo Firewall Aker Dentro deste selecionar o grupo Detec o de Intrus o e ent o a op o Detec o de Intrus o A seguinte janela ser mostrada MM Configura o de IDS Configura o Log Eventos Sobre k kg Nome da configura o Configura o Nova Default Inserir Remover Notifica o Pi Configura o Nova Default ir Log GT Mal D SMNP 6 Do avio MT Programa Tempo de ativa o da regra M Tempo de ativa o leo SECS Bloqueio W Origem W Destino W Servico Protocolo W TCP Ww LDP W ICMP Firewalls Usados D F x o Insenr Editar Remover Flush Firewall Esta janela consiste de 4 pastas Na primeira que est sendo mostrada acima onde feita a configura o do plugin Ela consiste de uma lista com o nome das diversas configura es criadas pelo administrador e que depois ser o mostradas como op o de a o no console de administra o do Real Secure Pode se especificar o nome de uma das configura es quando na execu o de um evento ou utilizar o bot o Default para se especificar uma configura o que ser executada por padr o isto quando n o for especificada o nome de nenhuma configura o Para se criar uma nova configura o basta se clicar no bot o Inserir localizado na parte esquerda superior da janela F
53. o e Diffie Hellman O algoritmo Diffie Hellman na verdade n o pode ser encarado como algoritmo de criptografia uma vez que n o serve para encriptar dados ou realizar assinaturas digitais Sua nica fun o possibilitar a troca de chaves de sess o feita de forma a impedir que escutas passivas no meio de comunica o consigam obt las Ele tamb m baseado em aritm tica modular e pode trabalhar com chaves de qualquer tamanho por m chaves menores que 512 s o consideradas muito fr geis Algoritmos de trocas de chaves Um problema b sico que ocorre quando se configura um canal seguro como configurar as chaves de autentica o e criptografia e como realizar trocas peri dicas destas chaves importante realizar trocas peri dicas de chaves para diminuir a possibilidade de quebra das mesmas por um atacante e para diminuir os danos causados caso ele consiga decifrar uma das chaves Suponha que um atacante consiga em seis meses quebrar as chaves usadas por um algoritmo de criptografia este tempo totalmente hipot tico nao tendo nenhuma rela o com situa es reais Se uma empresa usar as mesmas chaves durante digamos 1 ano ent o um atacante conseguir decifrar todo o tr fego nos ltimos 6 meses desta empresa Em contrapartida se as chaves forem trocadas diariamente este mesmo atacante ap s 6 meses conseguir decifrar o tr fego do primeiro dia e ter mais 6 meses de trabalho para decifrar o tr fego do se
54. o Para alternar entre os dois modos de opera o basta se clicar nos cones correspondentes esquerda de cada um destes campos e Varredura por IP Quando a op o Varrer por IP estiver selecionada a janela de varreduras ter o seguinte formato Simula o de Regras de Filtragem Firewall Verde Seles i ltimos resultados regras encontradas Origem do pacote pai J Entidade E j Endere o N A o Origens Destinos Servi os Origer 200 120 210 15 UP Ela Destino 200 120 210 15 2 Q ALA Internet Internet EM Aker 0 1 Servi o TOP 1020 Mascara 255 255 255 255 a ETP Host Qrigem 200 120 210 15 200 1 20 210 todas TCP Destine 200 120 210 15 3 E internet CU Intemet T EA Desti servi o TCF 1020 E todos UDF estino do pacote EB Todos as Entidade IF M scara O 0 Servico Entidade Protocolo TER e De Para ae Dia Hora Simular Os campos IP e M scara dentro de Origem do Pacote permitem que se especifique a faixa de m quinas a serem utilizadas como origem das conex es simuladas Os campos IP e M scara dentro de Destino do Pacote especificam a faixa de m quinas a serem utilizadas como destino O campo Servi o permite que se especifique o protocolo e a faixa de portas a serem simuladas lly 3 No caso dos protocolos TCP e UDP os valores dos servi os s o as portas destino no caso do ICMP s o o tipo de servi o e no caso de outros pro
55. o MAC O nico incoveniente desse modo que s o raros os switches que o suportam A segunda modo multicast faz com que os firewalls de um cluster registrem um endere o ethernet multicast em suas interfaces e respondam as chamadas de ARP para o IP virtual com esse endere o Se o switch n o for configurado para limitar o espalhamento de pacotes multicast todos os pacotes destinados ao firewall ser o redistribu dos em todas as portas como se fossem pacotes broadcast Para fazer essa configura o existem duas op es ou se faz manualmente no switch ou ent o se usa o protocolo IGMP onde cada firewall anuncia ao switch que membro do grupo multicast correspondente ao endere o escolhido Seu switch deve suportar uma dessas duas op es Al m disso existem alguns roteadores que n o aprendem o endere o multicast ethernet da resposta ARP enviada pelo firewall Nesses casos as entradas para o firewall devem ser adicionadas manualmente em suas tabelas WI ed Existem implica es s rias de performance flooding por exemplo e seguran a requisi o de associa o IGMP por qualquer host da rede no caso de cluster no modo multicast Todos os problemas podem ser evitados com corretas configura es nos switches Tenha certeza que voc entende o funcionamento desse modo antes de coloc lo em funcionamento il 5 Quando o cluster estiver no ar qualquer altera o feita nas configura es de um firewall atrav s da i
56. o formados pelos seguintes campos Habilitar clientes VPN Esta op o deve ser marcada para ativar o suporte no firewall para os canais seguros de clientes Ao se desabilitar o suporte a clientes de criptografia a configura o continuar armazenada mas n o poder ser alterada Permitir canais seguros de qualquer m quina Esta op o permite que qualquer m quina na Internet estabele a um canal seguro com o Firewall Permitir canais seguros apenas das redes listadas Esta op o exige que qualquer entidade que queira estabelecer um canal seguro esteja presente na lista logo abaixo N o permitir canais seguros das redes listadas Esta op o oposta anterior e exige que as entidades que queiram estabelecer um canal seguro n o estejam presentes na lista logo abaixo Adicionando e removendo entidades da lista de entidades exceto se Permitir canais seguros de qualquer m quina estiver marcado Para se adicionar uma entidade lista deve se proceder da seguinte forma o Clique com o bot o direito do mouse no campo onde a entidade sera inserida ou o arraste a entidades do campo entidades localizado no lado inferior esquerdo para cima do campo desejado Para se remover uma entidade deve se proceder da seguinte forma o Clica se com o bot o direito do mouse no campo de onde a entidade sera removida N mero m ximo de conex es simult neas Este par metro configura o n mero m ximo de canais seguros de cl
57. os eventos ser o exportados com as mensagens complementares caso contr rio os eventos ser o exportados sem elas Esta op o bastante til para se enviar uma c pia do log para alguma outra pessoa para se guardar uma c pia em formato texto de informa es importantes ou para se Importar os eventos por um analisadores de log citados acima Ao ser clicado ser mostrada a seguinte janela E Exportar para Look im Sy C 44rquivos de programas Aker SkerRemoteDesktop ID 5 plugins File name File type Para exportar o conte do dos eventos basta fornecer o nome do arquivo a ser criado escolher seu formato e clicar no bot o Salvar Para cancelar a opera o clique em Cancelar WI 3 Se j existir um arquivo com o nome informado ele ser apagado e O bot o Pr ximos 100 representado como uma seta para a direita na barra de ferramentas mostrar as ltimas 100 mensagens selecionadas pelo filtro Se n o existirem mais mensagens esta op o estar desabilitada e O bot o ltimos 100 representado como uma seta para a esquerda na barra de ferramentas mostrar as 100 mensagens anteriores Se n o existirem mensagens anteriores esta op o estar desabilitada e O bot o Ajuda mostrar a janela de ajuda espec fica para a janela de eventos 15 2 Formato e significado dos campos das mensagens de eventos Abaixo segue a descri o do formato das mensagens seguido de uma descri o de cad
58. ou n o tecnologias consideradas perigosas ou inc modas para alguns ambientes Ela possui quatro op es que podem ser selecionadas independentemente Javascript Java e ActiveX li SA filtragem de Javascript Java e ActiveX feita de forma com que a pagina filtrada seja visualizada como se 0 browser da maquina cliente nao tivesse suporte para a s linguagem ns filtrada s Em alguns casos isto pode fazer com que as paginas percam sua funcionalidade e Banners Esta op o realiza o bloqueio de banners publicit rios em p ginas Web Caso ela esteja marcada o firewall substituir os banners por espa os vazios na p gina diminuindo o seu tempo de carga Uma vez configurado que se deve realizar o bloqueio o mesmo ser feito atrav s de regras globais iguais para todos os perfis Para configurar estas regras de bloqueio de banners basta e Clicar no menu Configura es da janela principal e Selecionar o item Bloqueio de banners A janela abaixo ir ser mostrada T Bloqueio de Banners Firewall Verde URLs Banner w Http 4 doubleclick 4 w ad w http ad N http ads w httg ada Esta janela formada por uma s rie de regras no formado de express o regular Caso uma URL se encaixe em qualquer regra a mesma ser considerada um banner e ser bloqueada Hor rio padr o Esta tabela define o hor rio padr o para as regras de filtragem WWW Posteriormente ao se incluir regras de filtrag
59. rvore que representam os oito tipos de entidades poss veis de serem criados Dica Para visualizar as entidades criadas s clicar no sinal de e as entidades ficar o listadas logo abaixo do logotipo Para se cadastrar uma nova entidade deve se proceder da seguinte forma 1 Clica se uma vez no cone correspondente entidade do tipo que se deseja criar com o bot o direito do mouse e seleciona se a op o Inserir no menu pop up ou 2 Clica se no cone correspondente entidade do tipo que se deseja criar e pressiona se a tecla Insert Para se editar ou excluir uma entidade deve se proceder da seguinte forma 1 Seleciona se a entidade a ser editada ou exclu da se necess rio expande se a lista do tipo de entidade correspondente 2 Clica se com o bot o direito do mouse e seleciona se a op o Editar ou Apagar respectivamente no menu pop up que aparecer ou 3 Clica se no cone correspondente entidade do tipo que se deseja criar e pressiona se a tecla Delete No caso das op es Editar ou Incluir aparecer a janela de edi o de par metros da entidade a ser editada ou inclu da Esta janela ser diferente para cada um dos tipos poss veis de entidades O cone localizado na parte inferior da janela aciona o assistente de cadastramento de entidades que ser descrito no final deste cap tulo A janela de alerta de exclus o de entidades a entidade sera apagada j Maquina Se entidade for
60. sess o criptogr fica Usado para o caso de haver um servidor de DNS interno na coorpora o e Servidores WINS configura at tr s servidores WINS a serem usados durante a sess o criptogr fica Da mesma forma essa configura o ser til no caso de a coorpora o usar servidores WINS internos ignorada pelos clientes Linux e FreeBSD e Dom nio Acrescenta um dom nio s configura es de nomes da m quina cliente durante a sess o criptogr fica Geralmente usado em conjunto com a altera o dos servidores DNS e Rotas Durante a sess o do cliente algumas rotas podem ser necess rias para acessar diversos servi os da rede Interna Elas se cadastram uma a uma nesse campo 20 3 Associando Usu rios com Perfis de Acesso Uma vez que os perfis de acesso est o criados necess rio associ los com usu rios e grupos de um ou mais autenticadores ou autoridades certificadoras do firewall Isto feito atrav s da janela de controle de acesso Para ter acesso a janela de controle de acesso basta Dispositivos remotos e Configuration Managers E O Firewalls ly Firewall Azul Configura o do Firewall FA Autentica o 4 Bloqueio de Banners Entidades SH NAT c Perfis E Proxy Socks we Prop Wiha Regras de filtragem E ty Confiqura es do Sistema EC Criptografia fel Ferramentas E t Informa o ts Seguran a dh Firewall Verde utentica o Configura o subsistema de autentica o d
61. terceiros chamados de algoritmos externos Esta mensagem indica que o servidor de criptografia para clientes n o conseguiu carregar um destes algoritmos de criptografia externos Isto causado por uma falha de implementa o do algoritmo As mensagens complementares mostram o nome da biblioteca a partir da qual o firewall tentou carregar o algoritmo e o erro que causou o problema Solu o Contate o desenvolvedor do algoritmo e repasse a mensagem completa para ele 126 Falha de autentica o para perfil de acesso Esta mensagem indica que um usu rio informou uma senha inv lida ao tentar se logar no firewall utilizando o Cliente de Autentica o Aker As mensagens complementares indicam o nome do usu rio e a m quina de origem da requisi o 127 Usu rio n o cadastrado para perfil de acesso Esta mensagem indica que um usu rio n o cadastrado tentou se logar no firewall utilizando o Cliente de Autentica o Aker A mensagem complementar indica a m quina de origem da requisi o 128 Sess o de perfil de acesso estabelecida Esta mensagem indica que um usu rio se logou corretamente no firewall utilizando o Cliente de Autentica o Aker As mensagens complementares indicam o nome do usu rio que estabeleceu a sess o e a maquina a partir da qual a sess o foi estabelecida 129 Sess o de perfil de acesso finalizada Esta mensagem indica que um usu rio finalizou um sess o no firewall estabelecida atrav s do Cliente
62. voc pode configurar o servidor para usar as portas TCP 443 e UDP 53 em ordem para burlar firewalls e ou outros dispositivos de filtragem entre servidores e clientes Esses dispositivos recusariam uma conex o VPN mas n o uma conex o HTTP segura e uma requisi o DNS respectivamente A porta padr o 1011 tanto para TCP e UDP Aba Acesso 4 w Secure Roaming Firewall Azul Configura es Acesso Endere os Permitir ou n o que og chentes listados se conectem ao firewall Tipo da lista de controle de acesso Proibir entidades listadas W Lista de controle de acesso sa Host Host Network Tipo da lista de controle de acesso Aqui voc escolhe qual o tipo da Lista de controle de acesso 1 Nenhum Sem controle de acesso Todo cliente tem permiss o para conectar ao servidor 2 Permitir entidades listadas Somente os endere os IP listados ou endere os que perten am s entidades rede e ou conjunto listadas poder o estabelecer conex o 3 Proibir entidades listadas As entidades listadas ou que perten am a entidades rede e ou conjunto listadas n o ser o capazes de estabelecer conex es As demais entidades ser o e Lista de controle de acesso Para se adicionar uma entidade a lista deve se proceder da seguinte forma o Clique com o botao direito do mouse na lista ou o arraste a entidade do campo entidades localizado no lado inferior esquerdo para a lista Para se remover uma entidade dev
63. 1 Habilita Alt 5hift E e Inserir Esta op o permite se incluir um novo fluxo na lista Se algum fluxo estiver selecionado o novo ser Inserido na posi o do fluxo selecionado Caso contr rio o novo fluxo ser inclu do no final da lista Excluir Esta op o remove da lista o fluxo selecionado e Apagar Esta op o apaga o fluxo selecionado e Copiar Esta op o copia o fluxo selecionado para uma rea tempor ria e Colar Esta op o copia o fluxo da rea tempor ria para a lista Se um fluxo estiver selecionado o novo ser copiado para a posi o do fluxo selecionado Caso contr rio ele ser copiado para o final da lista e Habilitar Desabilitar Esta op o permite desabilitar o fluxo selecionado Dica Todas estas op es podem ser executadas a partir da barra de ferramentas localizada na parte superior da janela Neste caso primeiro seleciona se o fluxo clicando o com o bot o esquerdo e em seguida clica se na op o desejada Caso deseje incluir ou editar de fluxos pode se fazer de duas formas As entidades envolvidas podem ser arrastadas para o fluxo o qual v o participar ou clicando com o bot o direito do mouse sobre o campo desejado neste caso ser dada a op o de inserir apagar ou editar entidades como mostrado a seguir Inserir Copiar Colar Apagar Avan ada adicionar entidades AEA Remover entidades Mais usadas oh Rede DMZ WConfigurando t neis IPSEC Tuneis I
64. 1 1 Aker Picasa powada eee ABC 10 002 Internet q Ethernet 10 8 8 X Cliente 10 x x x Desenho do Exemplo 1 e Interligando departamentos Neste exemplo iremos mostrar como interligar departamentos de uma mesma empresa utilizando um conversor de endere os entre estes departamentos Equipamento 1 roteador 3 Firewall Aker n clientes 4 servidores na rede interna Endere o v lido A B C x m scara da rede 255 255 255 0 Endere o reservado 10 x x x m scara da rede 255 255 0 0 Endere o reservado 17 2 16 x x m scara 255 255 0 0 Endere os da sub rede 1 10 1 x x Endereco do servidor 10 1 1 1 Endereco dos clientes 10 1 x x Endere os do roteador Rede v lida A B C 1 Internet x x x x Configuracao do Firewall Aker Rede interna 10 1 0 1 Rede valida A B C 2 IP virtual para a convers o N 1 A B C 2 Rede privada 10 0 0 0 Mascara da rede privada 255 0 0 0 Endere os da sub rede 2 Externamente 10 1 0 2 Internamente 17 2 16 x x Endere o do servidor 172 16 1 1 Endere o dos clientes 172 16 x x Configuracao do Firewall Aker Sub Rede 2 172 16 0 1 Sub rede 1 10 1 0 2 IP Virtual para conversao N 1 10 1 0 2 Rede privada 2 172 16 0 0 Mascara da rede privada 255 255 0 0 Regras de convers o 1 1 10 2 1 1 172 16 1 1 Endere os da sub rede 3 Externamente 10 1 0 3 Internamente 1772 16 x x Endere o do servidor 172 16 1 1 Endere o dos clientes 172 16 x x
65. CD ROM do Aker Security Suite no drive e seguir as instru es que aparecer o na tela Caso a op o de auto execu o esteja desabilitada ent o necess rio se executar os seguintes passos ay Clicar no menu Iniciar Selecionar a op o Executar 3 Ao ser perguntado sobre qual programa executar digitar D lbricontrol centerlAkerRemoteDesktop br win 5 1 1 Caso o leitor de CD ROM seja acessado por uma letra diferente de D substitu la pela letra equivalente no comando anterior o Ao t rmino da Instala o ser criado um grupo chamado Aker no menu Iniciar Para executar a Interface remota basta selecionar a op o Firewall 5 GUI dentro deste grupo QEm plataformas Linux Para instalar a interface remota em plataformas Linux necess rio que os pacotes da biblioteca QT estejam previamente instalados A interface gr fica para plataformas Linux distribu da em pacotes RPM Para instala la proceda da seguinte forma exemplo para Red Hat 9 1 Coloque o CD ROM no drive e monte o atrav s do comando mount mnt cdrom 2 Execute o comando rpm ivh mnt cdrom br control center rh9 aker control center br 1l 0 1 1386 rpm 3 Execute o comando rpm ivh mnt cdrom br control center rh9 fwgui br man 1 0 1 1386 rpm 4 Ap s a apresenta o de cerquilhas a interface estar instalada WI 9 Os nome do pacote a ser instalado pode mudar conforme a vers o do Linux no qual a interface ser Inst
66. Empresa IDES Eric Young Aaker Security Solutions pr Triple DES Eric Yound Aaker Security Solutions fl Blowtish 128 Aker Security Solutions Sf Blowifish 256 Aker Security Solutions A pasta de algoritmos permite com que se desabilite determinados algoritmos fazendo com que estes nao sejam utilizados no estabelecimento de canais seguros bem como que se carregue novos algoritmos e se remova algoritmos previamente carregados Ela consiste de uma lista onde para cada algoritmo mostrado seu nome empresa ou pessoa que o implementou e o tamanho em bits de sua chave Para se desabilitar um algoritmo basta se clicar sobre a caixa esquerda de seu nome Um novo clique o habilitar novamente Para se adicionar um novo algoritmo ao Cliente de Criptografia basta se clicar sobre o bot o Instalar localizado na barra de ferramentas Ser mostrada ent o uma janela para que se possa especificar o nome do arquivo DLL fornecido pelo fabricante do algoritmo que cont m sua implementa o Para se remover um algoritmo basta clicar sobre seu nome para selecion lo e ent o clicar no bot o Excluir localizado na barra de ferramentas Este procedimento remover o arquivo DLL instalado por meio da op o anterior lly 5 Para se realizar qualquer opera o sobre os algoritmos necess rio que o Cliente de Criptografia esteja Inativo il 3 N o poss vel se excluir os algoritmos padr o do Cliente de Criptografia sendo ap
67. Esta chave deve ser digitada em hexadecimal O seu tamanho m ximo varia em fun o do algoritmo utilizado 32 d gitos para o MDS e 40 para o SHA Recomenda se que seja usado o n mero de d gitos m ximo permitido Autentica o Este campo define qual algoritmo de autentica o ser utilizado Os valores poss veis s o MD5 ou SHA Autentica o com criptografia usando o DES ou Blowfish Para se utilizar fluxos com criptografia pelo algoritmo DES Blowfish com chaves de 128 bits ou Blowfish com chaves de 256 bits deve se selecionar a op o correspondente no campo Algor tmo de Encripta o Neste caso ser mostrada a seguinte janela ty Firewall Firewall Firewall Azul IPSEC AkercDP SKIP Manual Origem Destino Dire o SP Autentica o Chave de autentica o Algoritmo de encripta o Vietor de inicializa o Chaves re Rede Interna hal Rede Werde oY Encripta o 256 MDS 328123456 a Blowfish 256 bits ig 64 bits 3 12354587 333 i 8 Rede verde EA Rede Interna E Deorpta o 256 MDS 4 65432 Blowfish 256 bits ED 64 bits 123587 456 Coment rio A janela mostrada neste caso exatamente igual do item anterior com a exce o de dois novos campos Vetor de inicializa o o tamanho em bits do vetor de inicializa o a ser utilizado no algoritmo de criptografia Este vetor gerado automaticamente pelo sistema para cada pacote a ser enviado Recomenda se o uso da op o 64
68. Internet No entanto a rec proca n o verdadeira caso algu m da Internet venha procurando conex o para o IP 200 120 210 16 o firewall n o enviar para nenhuma m quina da rede interna e ira descartar os pacotes para esta conex o pois o mesmo n o sabe para qual m quina enviar a requisi o Cabe se ressaltar que a ordem das regras de extrema import ncia Vamos supor que a regra 2 seja movida para a ltima posi o Neste caso algu m que viesse procurando pela m quina 200 120 210 15 seria enviado para o serverl entretanto quando o serverl fosse originar uma conex o para a Internet o mesmo teria seu endere o convertido para 200 120 210 16 pois a regra da antiga posi o 5 que iria atender primeiro a convers o NAT Firewall Azul Seles Nat Balanceamento de Link Ativar NAT N Origem Destino p es M quina Virtual Semwigoz Servi o Virtual Balanceamento de link o v GM Rede DMZ Rede DMZ Sem conyers _ Desabilitada EA Rede Interna sa Rede Interna El Serverl S Internet g 200 1 20 210 145 2 _ g Desabiltado servidor web akerg Intemet g 20 pones A mm Desabilitada SB NT3 4 SB HT2 2 2 Internet E q 200 120 210 20 Desabilitado SENTIA sra Rede Interna da Internet q 200 120 270 16 Coment rio Exemplos Cen rio 2 Convers o de Servi os Suponha agora que a empre
69. O O O O O O O O O O O O O e Ap ndice D Novidades da vers o 5 1 Introdu o Este o manual do usu rio da vers o 5 1 do Firewall Aker Nos pr ximos cap tulos voc aprender como configurar esta poderosa ferramenta de prote o redes Esta introdu o tem como objetivo descrever a organiza o deste manual e tentar tornar sua leitura o mais simples e agrad vel poss vel Como est disposto este manual Este manual est organizado em v rios cap tulos Cada cap tulo mostrar um aspecto da configura o do produto e todas as informa es relevantes ao aspecto tratado Todos os cap tulos come am com uma introdu o te rica sobre o tema a ser tratado seguido dos aspectos espec ficos de configura o do Firewall Aker Juntamente com esta Introdu o te rica alguns m dulos possuem exemplos pr ticos do uso do servi o a ser configurado em situa es hipot ticas por m bastante pr ximas da realidade Buscamos com 1sso tornar o entendimento das diversas vari veis de configura o o mais simples poss vel Recomendamos que este manual seja lido pelo menos uma vez por inteiro na ordem apresentada Posteriormente se for necess rio pode se us lo como fonte de refer ncia para facilitar seu uso como refer ncia os cap tulos est o divididos em t picos com acesso imediato pelo ndice principal Desta forma pode se achar facilmente a informa o desejada WI Em varios locais deste manual aparece
70. Observe que o cursor de indica o do mouse ira mudar para uma caixa pontilhada No caso de inclus o ou edi o de regras ser mostrada a janela de propriedades descrita na se o abaixo A janela de inclus o de regras de NAT Inserir Copiar Ea Colar X Apagar O Desabilita Alt 5hift E Tipos de NAT Sem convers o w 1il Ni Servi os P Lit convers o de servi os 1 N Him Porta L Te LN para porta Tipo de NAT Neste campo se define o tipo de convers o que a regra realizar Ela possui as seguintes op es lly Sem Tradu o Esta op o indica ao firewall que n o deve haver convers o de endere os quando qualquer uma das m quinas pertencentes s Entidades Origem forem acessar qualquer uma das m quinas pertencentes s Entidades Destino e vice versa Convers o 1 1 Esta op o indica ao firewall que quando a m quina listada nas Entidades Origem for acessar acessar qualquer uma das m quinas pertencentes as Entidades Destino ela ter seu endere o convertido para o endere o da Entidade Virtual Todas as vezes que uma m quina pertencente s Entidades Destino acessar o endereco da Entidade Virtual esse ultimo ser automaticamente convertido para o endere o real definido pela entidade presente nas Entidades Origem Este tipo de convers o til para possibilitar o acesso externo a servidores internos Nas Entidades Origem deve se colocar uma entidade com o endere o real interno
71. Regras de filtragem Firewall Azul N Origem 1 Internet 2 f Intemet 3 10 0 0 125 5 Intemet Coment rio Destino Pol tica Padr o T Internet F Internet 3 Firewall Interface DMZ Internet Servi os d 12273 udp 8 12273 AKER SRS UDP EM AKER SRS TCP Echo Request EM Todos ICMP EM Todos TCP Todos UDP Y Todos UDP BW Todos TCP Todos outros EM Todos ICMP Telnet amp Echo Request EM NetBIOS DGM EM NetBIOS NS EM NetBIOS SSN rip gt Ox Acumulador Canal A o Restri es Log Hora Per odo de validade A rd a SN A NaN a Fa E KSE SEEE EEEO EEEE ill teste gt 1500 Normal E v 7 Or Goes A janela de regras cont m todas as regras de filtragem definidas no Firewall Aker Cada regra ser mostrada em uma linha separada composta de diversas c lulas Caso uma regras esteja selecionada ela ser mostrada em uma cor diferente e O bot o OK far com que o conjunto de regras seja atualizado e passe a funcionar Imediatamente e O Bot o Cancelar far com que todas as altera es feitas sejam desprezadas e a janela seja fechada e O bot o Aplicar enviar para o firewall todas as altera es feitas por m manter a janela aberta e Ao se clicar sobre uma regra e selecion la se ela possuir um comentario este aparecer na parte inferior da janela Para se executar qualquer opera o sobre uma determinada regra
72. Restri es Este campo permite que se especifique exig ncias adicionais que um pacote deve cumprir para que ele se encaixe nesta regra Ele formado pelas seguintes op es Nenhum N o existe nenhuma exig ncia adicional Somente se encriptado Neste caso para que um pacote se enquadre nesta regra ele dever obrigatoriamente vir encriptado autenticado ou seja vir de um canal seguro Esta op o particularmente til quando se est utilizando clientes de criptografia e se deseja que apenas conex es provenientes destes clientes ou de canais de criptografia firewall firewall sejam aceitas Para maiores informa es sobre criptografia e canais seguros veja o cap tulo Criando canais de criptografia Somente se encriptado e de um usu rio autenticado Neste caso para que os pacotes sejam aceitos al m deles virem encriptados autenticados o usu rio que estabeleceu o canal seguro deve ter sido autenticado pelo firewall A nica maneira de um pacote atender esta exig ncia ele ser proveniente de um cliente de criptografia e a op o de realizar autentica o de usu rios para os clientes de criptografia estar ativa Para maiores informa es sobre criptografia e canais seguros veja o cap tulo Criando canais de criptografia Log Este campo define que tipos de a es ser o executadas pelo sistema quando um pacote se encaixar nesta regra Ele consiste de v rias op es que podem ser selecionadas independentemente uma
73. TCP Conex es UDP Bh Estatisticas EP Estat sticas do sistema Eventos do Gr fico da rede ef Informa o de sess o hias Log E na it Usu rios Conectados Esta janela mostra os usu rios logados no firewall e Clicar no menu Informa o da janela de administra o do firewall e Selecionar Usu rios Conectados A janela de Usu rios Conectados Usu rios Conectados Firewall Verde M quina Nome Domino Perfil In cio TCP UDP Status IF remoto 1 0 0 0 User Domain Profile 1113 59 12 2 0 0 0 User Doman 2 Profile 213 59 12 3 0 0 0 User 3 Domain 3 Profile 313 59 12 M umero de usu rios conectados 3 Usu rios logados Mostrar itens selecionados no topo Esta janela consiste de uma lista com uma entrada para cada usu rio Na parte inferior da janela mostrada uma mensagem informando o n mero total de usu rios com sess es estabelecidas um determinado instante Para os usu rios logados via Secure Roaming ser o mostrados tamb m os dados da conex o endere o IP e portas junto com o estado de estabelecimento da mesma e O bot o OK faz com que a janela de usu rios seja fechada e O bot o Cancelar fecha a janela e A caixa Itens selecionados no topo coloca os itens que foram selecionados para o topo da janela de usu rios conectados Barra de Ferramentas de Usu rios Conectados Logged Users S 0 5 UNS Atualiza e O bot o Atualizar faz com que as informa es mostradas sejam atualizad
74. X4 e Configura o do Firewall Aker da rede 2 Entidades REDE1 Endere o IP A1 B1 C1 0 M scara 255 255 255 0 REDE2 Endere o IP A2 B2 C2 0 M scara 255 255 255 0 Regra de criptografia 1 Sentido do canal recebe Entidades origem REDE1 Entidades destino REDE2 Algoritmo de criptografia DES Algoritmo de autentica o MDS Chave de autentica o X1 Chave de criptografia X2 Regra de criptografia 2 Sentido do canal envia Entidades origem REDE2 Entidades destino REDE1 Algoritmo de criptografia DES Algoritmo de autentica o MDS Chave de autentica o X3 Chave de criptografia X4 il 3 Note que a regra do Firewall Aker 1 exatamente igual regra 1 do Firewall Aker 2 exceto no campo relativo ao sentido O mesmo ocorre com as regras 2 Aker 1 Aker 2 ml ml Canal Seguro INTERNET TENES Oeste m o Regra 1 envia Regra 1 recebe Af F o 2 Regra 2 recebe Regra 2 envia Exemplo de configura o de um canal seguro firewall firewall para uma sub rede Neste exemplo o nosso canal seguro ser definido apenas para um grupo de m quinas dentro de cada uma das duas redes Al m disso definiremos algoritmos diferentes para os fluxos entre estes grupos Na pr tica configurar algoritmos diferentes para os dois sentidos de um canal seguro pode ser interessante quando as informa es de um determinado sentido tiverem um valor maior do que as do sentido oposto do fluxo Neste caso utili
75. a janela aberta Significado dos campos da janela N mero Corresponde ao n mero da regra de Prote o de Flood Origem Neste campo pode ser uma rede ou m quina de onde poder ser originado um ataque de DDos Destino Incluir neste campo m quinas ou redes que se deseja proteger Servi os portas de servi os que se desejam proteger Poder ser inclu do no campo mais de uma entidade Conex es M ximas Campo num rico onde se deve informar o n mero m ximo de conex es que a entidade pode receber a partir de uma mesma origem Sa quantidade m xima de conex es nas regras de prote o de flood n o a quantidade agregada de conex es a partir da origem especificada mas sim a quantidade por endere o IP nico que se encaixe na origem informada de conex es simult neas Desta forma por exemplo havendo a necessidade de limitar o n mero de downloads simult neos por usu rio em 2 esse n mero dever ser 2 idependentemente do n mero de usu rios que fa am os dowloads 12 5 Prote o Anti Spoofing WO que um Spoofing O spoofing do IP envolve o fornecimento de informa es falsas sobre uma pessoa ou sobre a identidade de um host para obter acesso n o autorizado a sistemas e ou aos sistemas que eles fornecem O spoofing interfere na forma como um cliente e um servidor estabelecem uma conex o Apesar de o spoofing poder ocorrer com diversos protocolos espec ficos o spoofing do IP o mais conhecido dentre todos
76. a utiliza o de controle de acesso a p ginas WWW ou a servi os atrav s do proxy SOCKS A autentica o de usu rios atrav s dos proxies WWW sem Java e SOCKS poss vel na medida em que eles solicitar o um nome de usu rio e uma senha e pesquisar o o perfil correspondente quando n o identificarem uma sess o ativa para uma determinada m quina 20 2 Cadastrando perfis de acesso Os perfis de acesso do Firewall Aker definem que p ginas WWW podem ser visualizadas e que tipos de servi o podem ser acessados Para cada p gina WWW ou servi o existe uma tabela de hor rios associada atrav s da qual poss vel se definir os hor rios nos quais o servi o ou p gina pode ser acessado Para ter acesso janela de perfis de acesso basta Dispositivos remotos Configuration Managers E O Firewalls ly Firewall Azul A Configura o do Firewall DB Autentica o 4 Bloqueio de Banners Entidades NAT ge Perfis HE Proxy Sacks we Prom Wwe Regras de filtragem Sy Configura es do Sistema Criptografia vd Ferramentas Informa o BER RE See Seguranca dh Firewall Verde Configura os Perlis de Acesso que ser o atribuidos para diferentes Usu rios E grupos e Clicar no menu Configura o do Firewall da janela de administra o do firewall e Selecionar o item Perfis A janela de Perfis amp 2 Perfis Firewall Azul DER Perfis Nome do Perfil Acesso Intemet oS Acesso
77. apagada as seguintes a es ser o executadas entidade ser removida do campo destination em regra n 27 das regras de filtragem do firewall filtro de pacote regra de fitro de pacote n 2 do firewall sera desabilitada Voc tem certeza que as a es acima devem ser tomadas Sempre que uma entidade estiver prestes a ser apagada o sistema ira checar se existe alguma depend ncia da mesma na configura o de modo a manter a integridade do firewall Se existir qualquer dependencia ser mostrada uma lista de a es que ser o executadas automaticamente pelo sistema de modo a possibilitar que o administrador decida se quer proceder ou n o com a remo o Incluindo editando m quinas E Cliente 7 Autom tico OOO TT Para se cadastrar uma entidade do tipo m quina necess rio preencher os seguintes campos Nome o nome atrav s do qual a m quina ser referenciada daqui em diante pelo firewall poss vel se especificar este nome manualmente ou deixar que o ele seja atribu do automaticamente A op o Autom tico permite escolher entre estes dois modos de opera o caso ela esteja marcada a atribui o ser autom tica caso contr rio manual SLetras maiusculas e minusculas sao consideradas diferentes nos nomes das entidades Desta forma poss vel a exist ncia de varias entidades compostas de nomes com as mesmas letras por m co
78. autententica es atrav s dos protocolos LDAP e RADIUS Neste caso n o existe a necessidade de instala o dos autenticadores nas m quinas servidoras bastando se criar os autenticadores dos tipos correspondentes e indicar ao firewall que eles devem ser utilizados de acordo com os passos 2 e 3 listados acima 18 2 Instalando o agente de autentica o em plataformas Unix Para se instalar o agente de autentica o necess rio montar o CD ROM do Aker Security Suite na m quina que se deseja instal lo ou copiar o conte do do diret rio de instala o do agente do CD ROM para algum diret rio tempor rio nesta m quina poss vel se realizar esta c pia via FTP ou NFS caso n o se possua um leitor de CD ROM na m quina onde o agente ser instalado Ap s se realizar a montagem do CD ROM ou a c pia dos arquivos para um diret rio qualquer deve se executar o seguinte comando diretorio_de_instalacao br agente plataforma aginst Onde diretorio de instalacao o diret rio onde se encontram os arquivos de Instala o plataforma a plataforma desejada e diretorio o diret rio de destino Para se Instalar por exemplo o agente para a plataforma FreeBSD e com o CD ROM montado no diret rio cdrom o comando a ser digitado seria cdrom br agente freebsd aginst il 3 O s mbolo representa o prompt do shell quando executado como root ele n o deve ser digitado como parte do comando O programa de instala o copi
79. cadastrar posteriormente outros administradores atrav s das interfaces locais de administra o A explica o de como fazer isso se encontra no cap tulo intitulado Administrando usu rios do firewall Caso se tenha optado por incluir um novo administrador ser mostrada a tela pedindo os dados do administrador a ser cadastrado Um exemplo desta tela se encontra abaixo cabe mencionar que a senha do administrador a ser cadastrado n o ser mostrada na tela Firewall Aker versao 5 1 Modulo de administracao de usuarios remotos Inclusao de usuario Entre o login administrador Entre o nome completo Administrador do Firewall Aker Entre a senha Confirme a senha Confirma inclusao do usuario S N Ap s se ter ou n o inclu do o administrador ser mostrada uma mensagem perguntando sobre o cadastro de um segredo compartilhado para administra o do Firewall atrav s do Aker Configuration Manager Se voc n o tem este produto responda n o caso contr rio consulte o manual do mesmo Finalmente ser mostrada uma mensagem indicando o t rmino da Instala o e solicitando que a m quina seja reinicializada para ativar o Firewall Aker Ao se reinicializar a m quina o firewall j entrar em funcionamento automaticamente e poder ser configurado remotamente 1 3 Instalando a interface remota Em plataformas Windows Para instalar a interface remota nas plataformas Windows 95 98 Me NT 2000 ou XP deve se colocar o
80. clicar e arrastar a mesma para a nova posi o desejada soltando em seguida Observe que o cursor de indica o do mouse ira mudar para uma m o segurando um bast o li SA ordem das regras na lista de regras de filtragem WWW de fundamental Import ncia Ao receber uma solicita o de acesso a um endere o o firewall pesquisar a lista a partir do inicio procurando por uma regra na qual o endere o se encaixe T o logo uma seja encontrada a a o associada a ela ser executada Cada regra de filtragem consiste de uma opera o que indica que tipo de pesquisa ser feita e o texto a ser pesquisado As seguintes op es opera o est o dispon veis e CONT M A URL deve conter o texto informado em qualquer posi o e N O CONT M A URL n o pode conter o texto informado e O conte do da URL deve ser exatamente igual ao texto informado e N O O conte do da URL deve ser diferente do texto informado e COME A COM O conte do da URL deve come ar com o texto informado e N O COME A COM O conte do da URL n o pode come ar com o texto informado e TERMINA COM O conte do da URL deve terminar com o texto informado e N O TERMINA COM O conte do da URL n o pode terminar com o texto informado e Express o Regular O campo a ser pesquisado dever ser uma express o regular An lise de contexto Web Perfis Firewall Azul Nome do Perfil Acesso Intemet eS Acesso Internet Secure
81. colocado uma regra bloqueando o mesmo 4 7 10 13 16 19 e 20 O objetivo desta t cnica para evitar que erros cometidos ao longo do cadastramento das regras de filtragem possam abrir inadiverditamente um acesso n o permitido com 1sso caso uma regra n o esteja colocada corretamente dentro do fluxo fatalmente ela cair em um destes bloqueios que n o permitir o acesso indevido Observe que no fluxo Internet para Rede Interna n o existe nenhuma regra cadastrada apenas o bloqueio Para melhor visualiza o e controle o firewall permite agrupar estas regras pelos fluxos A interface ent o ficaria desta forma Regras de filtragem Firewall Azul Geral do Firewall Fluxo Internet gt DHZ A Fluxo Internet gt Interna vx lt Desabilta Politica Relat rio Assistente A figura abaixo mostra o desdobramento das regras da pol tica Basta dar um duplo clique na linha para exibir as regras que ela cont m Regras de filtragem Firewall Azul E J N Origem Destino Servi os Acumulador fes Canal Apo Restri es Log i lp Periodo de validade Ti E E A Geral do Firewall Fluxo Interna gt DHZ Fluxo DM gt Interna B ae Correio SMT Pa Server SMTF E server ME todos UDP ME todos TCP todos Outros ME todos ICMP 10g Rede DM E Rede Inter
82. com o agente O bot o Atualizar far com que o status da conex o seja renovado O bot o Descarregar far com que todas as regras cadastradas pelo agente IDS sejam exclu das do firewall 12 9 Instalando o Plugin para agentes IDS no Windows NT A instala o do plugin para IDS bastante simples Para instal lo necess rio colocar o CD ROM do Firewall Aker na m quina destino ou copiar o conte do do diret rio de instala o do agente do CD ROM para algum diret rio tempor rio nesta m quina A seguir deve se clicar no menu Iniciar selecionar a op o Executar e digitar o seguinte comando no campo Abrir D br firewall ids caso a unidade de CD ROM seja diferente de D substituir a letra D pela letra equivalente A partir da so escolher a vers o correta de acordo com a plataforma desejada e executar o arquivo correspondente O programa inicialmente mostrar uma janela pedindo uma confirma o para prosseguir com a Instala o Deve se clicar no bot o Continuar para prosseguir com a Instala o A seguir ser mostrada uma janela com a licen a de uso do produto e pedindo uma confirma o para continuar Deve se clicar no bot o Eu Concordo para dar continuar com a Instala o Configura o do plugin do Firewall Aker para IDS Ap s realizada a instala o do plugin necess rio se proceder com a sua configura o Esta configura o permite se fazer o cadastramento de todos os firewalls que ser o
83. compreendida de duas formas do ponto de vista da aplica o ou da rede Para uma aplica o oferecer seus servi os com qualidade significa atender s expectativas muitas vezes subjetivas do usu rio em termos do tempo de resposta e da qualidade do servi o que est sendo provido Por exemplo no caso de uma aplica o de v deo fidelidade adequada do som e ou da imagem sem ru dos nem congelamentos A qualidade de servi o da rede depende das necessidades da aplica o ou seja do que ela requisita da rede a fim de que funcione bem e atenda por sua vez s necessidades do usu rio Estes requisitos s o traduzidos em par metros indicadores do desempenho da rede como por exemplo o atraso m ximo sofrido pelo tr fego da aplica o entre o computador origem e destino O Firewall Aker implementa um mecanismo com o qual poss vel se definir uma banda m xima de tr fego para determinadas aplica es Atrav s de seu uso determinadas aplica es que tradicionalmente consomem muita banda podem ter seu uso controlado As entidades do tipo Canal s o utilizadas para este fim e ser o explicadas logo abaixo 5 2 Cadastrando entidades utilizando a interface gr fica Para ter acesso janela de cadastro de entidades basta e Clicar no meu Configura o do Firewall da janela do firewall que se quer administrar e Selecionar o item Entidades a janela ser mostrada abaixo da janela com os menus de configura o dos firewalls
84. configurar os servidores que dever o aparecer para Internet gt Assistente NAT Configurar servidores acessivers externamente Parabens voc terminou de configurar o acesso Internet para suas redes Internas Agora voc pode finalizaro assistente ou configurar O acesso externo a partir da Internet aos seus servidores voc deseja tornar algum servidor Interno acessivel para a Internet Sim O N o Para continuar pressione Proxima ou Cancelar para abortar 5 Escolha a entidade para aparecer para a Internet Assistente NAT Servidor acessivel externamente Por favor selecione a entidade contendo o endere o IP do servidor que voc deseja tornar acessivel atrav s da Internet 1550 ser feito mediante uma regra NAT do tipo 1 1 Por favor escolha o servidor que voc deseja tornar acessivel para a Internet a Correio SMTP IP 111 111 111 111 s Adicionar Maquina dr at 6 Escolha o IP da Maquina virtual o qual o servidor ser mostrado para Internet Assistente NAT Servidor acessivel externamente Por favor selecione a entidade contendo o endere o IP utilizado por m quinas externas no acesso ao seu servidor Maquina virtual E 200 120 210 16 IP 200 120 210 16 Adicionar Maquina Servidor Maquina virtual 3 a SS Correio SMTP 900 120 210 16 144 000 911 111 900 120 210 168 UO servidor da esquerda ficar acessivel para Internet pelo endere o que aparece
85. criptografia tentou estabelecer uma sess o de criptografia com o firewall entretanto o n mero sess es estabelecidas j atingiu o limite configurado no sistema Solu o Aumente o valor do n mero m ximo de sess es simult neas para clientes de criptografia Se necess rio contate a Aker Consultoria e Inform tica ou seu representante autorizado e solicite a aquisi o de um maior n mero de licen as de clientes de criptografia 048 Algoritmo de autentica o inv lido O m dulo de criptografia detectou um algoritmo de autentica o inv lido na associa o de seguran a quando realizava a criptografia de um pacote Solu o Contate o suporte t cnico 049 Algoritmo de criptografia inv lido O m dulo de criptografia detectou um algoritmo de criptografia inv lido na associa o de seguran a quando realizava a criptografia de um pacote Solu o Contate o suporte t cnico 050 Dados inv lidos recebidos pela carga do Firewall Esta mensagem indica que foram enviados dados inv lidos para os m dulos do Firewall que rodam dentro do kernel do FreeBSD ou Linux Os dados inv lidos devem necessariamente ter sido produzidos por um programa rodando na m quina do firewall Solu o Procure verificar qual programa produz esta mensagem ao ser executado e n o execute o mais 051 Erro ao ler o arquivo de par metros Esta mensagem produzida por qualquer um dos m dulos externos ao tentar ler o arquivo de par m
86. dados ao cliente POP3 Esta mensagem indica que o proxy POP3 transparente encontrou um erro de conex o ao enviar dados para o cliente As mensagens complementares informam qual a conex o em quest o 209 Erro enviando dados ao servidor POP3 Esta mensagem indica que o proxy POP3 transparente encontrou um erro de conex o ao enviar dados ao servidor As mensagens complementares informam qual a conex o em quest o 210 Resposta inv lida do servidor POP3 Esta mensagem indica que o proxy POP3 transparente recebeu uma resposta incorreta do servidor As mensagens complementares informam que resposta foi esta 211 Erro conectando se ao servidor POP3 Esta mensagem indica que o proxy POP3 transparente n o consegui estabelecer a conex o com o servidor Provavelmente o endere o est errado ou o servidor est fora do ar 212 Servidor POP3 recusou a conex o Esta mensagem indica que o proxy POP3 transparente conectou se ao servidor e este informou estar fora do ar 213 Comando POP3 inv lido ou erro de sintaxe Esta mensagem indica que o proxy POP3 transparente leu um comando incorreto do cliente e fechou a conex o sem repass lo ao servidor O comando em quest o encontra se nas mensagens complementares 214 Erro abrindo arquivo para spool Esta mensagem indica que o proxy POP3 transparente n o conseguiu abrir o arquivo tempor rio para salvar a mensagem 215 Erro gravando dados no arquivo Esta mensagem indica que
87. de Criptografia Aker it W Mostrar status na barra de tarefas k i amp a Editar Incluir Excluir Importar Exportar Logar Aplicar 1 Descri o Autentica o Status Sa 192 168 1 1 Firewall Azul Wi Pesalivada Esta a pasta principal da configura o do cliente Ela consiste de uma lista onde s o mostradas todos os firewalls nos quais o cliente tentar estabelecer uma sess o Para cada firewall existe uma coluna indicando que m todos de autentica o podem ser utilizados e uma coluna de status indicando se existe uma sess o estabelecida ou n o Para se incluir um novo firewall na lista basta se clicar no bot o Incluir localizado na barra de ferramentas Para se remover ou editar um firewall basta se selecionar o firewall a ser removido ou editado e clicar na op o correspondente da barra de ferramentas No caso das op es Incluir ou Editar ser mostrada seguinte janela IP 200 200 20 40 Descri o Firewall Azul Autenticar apenas ap s acessar rede dial up M todo de Autentica o suportado nd i Windows Logon Elo Usuario e senha Es SeculD lt n Smart Card IP o endere o IP do firewall para o qual o cliente tentar estabelecer uma sess o Descri o E um campo livre utilizado apenas para fins de documenta o Autenticar apenas ap s acessar rede dial up Se essa op o estiver marcada o cliente de autentica o tentar estabelecer uma sess o com o fi
88. de menu Barra de ferramentas esta op o permite que se defina se a barra de ferramentas na parte superior da janela principal ser mostrada ou n o Janelas esta op o permite que se mostre ou n o as janelas padr o do sistema ajuda firewalls e entidades Lado a Lado selecionando esta op o as janelas abertas do lado direito da interface gr fica se ajustam de forma que todas aparecem vis veis Cascata esta op o faz com que as janelas abertas no lado direito da interface gr fica fiquem posicionadas em forma de cascata uma na frente da outra Inicialmente nem todas as op es dos menus se encontram habilitadas por funcionarem apenas quando houver uma conex o estabelecida Para se ter acesso s demais op es necess rio que se estabele a uma sess o de administra o remota com o firewall que se deseja administrar Para tanto deve se seguir os seguintes passos e Cadastrar o firewall selecionando se o menu Firewalls e a op o Novo Firewall veja o item Cadastrando Firewalls logo a seguir e Selecionar o firewall com o qual se desejar conectar e Clicar na op o Conectar Cadastrando Firewalls Nesta se o demonstraremos como podemos cadastrar um ou mais firewalls Quando selecionamos a op o Novo Firewall dentro do menu Firewalls ou no cone Criar novo Firewall aparecer a seguinte janela Editar Firewall 4 Por favor preencha a Informa o requerida Modo de demonstra
89. deve especificar as entidades de origem destino e os servi os que far o parte da regra Ele pode tamb m especificar uma interface de origem para os pacotes e definir em quais hor rios a regra estar ativa em uma tabela de hor rios semanal Com o uso desta tabela de hor rios poss vel liberar determinados servi os em determinadas horas do dia por exemplo liberar IRC ou bate papo apenas nos hor rios fora do expediente Se um pacote chegar em um hor rio no qual a regra n o est marcada como ativa ela ser ignorada fazendo com que a busca continue na pr xima regra da lista O funcionamento do filtro simples o firewall ir pesquisar uma a uma as regras definidas pelo administrador na ordem especificada at que o pacote se encaixe numa delas A partir deste momento ele ir executar a a o associada regra que pode ser aceita rejeita ou descarta estes valores ser o explicados no pr ximo t pico Caso a pesquisa chegue ao final da lista e o pacote n o se enquadre em nenhuma regra ent o este ser descartado poss vel se configurar a es para serem executadas neste caso Isto ser tratado no cap tulo intitulado Configurando as a es do sistema 6 2 Editando uma lista de regras usando a interface gr fica Para ter acesso a janela de configura o de regras basta e Clicar no menu Configura es do firewall da janela principal e Selecionar o item Regras de Filtragem A janela de regras de filtragem
90. do PPPoE Usar a rota padr o do servidor Se esta op o estiver marcada o firewall utilizar como rota padr o o valor recebido atrav s do PPPoE Servi o PPPoE ativado sob demanda Se esta op o estiver marcada o firewall ativar o servi o PPPoE apenas quando houver tr fico de rede direcionado atrav s desta interface de rede Nome do Usu rio Nome do usu rio que ser utilizado na autentica o durante o estabelecimento da sess o PPPoE Senha Senha que ser utilizada na autentica o durante o estabelecimento da sess o PPPoE Confirma o Confirma o da senha que ser utilizada na autentica o durante o estabelecimento da sess o PPPoE II 356 possivel se configurar enderecos IP de interfaces de rede reconhecidas pelo sistema operacional no qual o firewall esta rodando Caso se tenha acrescentado uma nova interface de rede e seu nome n o apare a na lista de interfaces necess rio se configurar o sistema operacional de forma a reconhecer esta nova interface antes de tentar se configur la nesta pasta Rotas TCP IP firewall L ox G DNS Haw Interfaces de Rede Rotas ay DHCP Mascara de Rede Gateway Rota padr o 200 101 15 1 Esta pasta possibilita que se configure rotas IP no firewall Ela consiste de um campo chamado de Rota Padr o onde se pode especificar o roteador padr o e de uma lista com as diversas rotas con
91. e E Mail freebsd sbq org br lista de discuss o de FreeBSD em portugu s questions freebsd org lista de discuss o de FreeBSD em ingl s linux br subscribe O bazar conectiva com br lista de discuss o do Linux Ally 9 A Aker Security Solutions n o se responsabiliza por nenhum problema de configura o opera o compatibilidade ou informa o relativa aos sistemas operacionais Linux ou FreeBSD Para a interface gr fica A interface gr fica de adminstra o do Firewall Aker roda em plataformas Windows 95 ou superiores Linux Red Hat 7 3 8 e 9 e Conectiva 8 e 9 FreeBSD vers es 4 7 e 4 9 em plataformas Intel ou compat veis Quanto ao hardware para que a interace gr fica execute de maneira satisfat ria necess ria a seguinte lista todos os componentes do hardware devem ser suportados pelo sistema operacional na qual a interface ser instalada em alguma das vers es suportadas pelo produto e Computador Pentium II ou compat vel 450 Mhz ou superior e 128 Mbytes de mem ria RAM e 4 Gbytes de espa o em disco e Monitor e Mouse e Teclado e Placa de rede Para o servidor de log remoto O servidor de log remoto do Firewall Aker roda em plataformas Windows NT ou superiores Linux nas distribui es Red Hat 7 3 8 e 9 e Conectiva 8 e 9 FreeBSD vers es 4 7 e 4 9 em plataformas Intel ou compat veis Quanto ao hardware para que o servidor de log execute de maneira satisfat ria necess ria a
92. e concluir que os dados foram alterados A autentica o uma opera o bastante r pida quando comparada com a criptografia por m ela sozinha n o consegue impedir que os dados sejam lidos Ela deve ser usada apenas nos casos onde se necessita confiabilidade dos dados mas n o sigilo Caso se necessite de ambos usa se autentica o em conjunto com a criptografia SO que certifica o digital Atrav s do processo de autentica o descrito acima poss vel se garantir a origem das mensagens em uma comunica o entre duas partes Entretanto para que 1sso seja poss vel necess rio que as entidadades que est o se comunicando j tenham previamente trocado informa es atrav s de algum meio fora do tr fego normal dos dados Esta troca de informa es normalmente consiste no algoritmo a ser utilizado para a autentica o e sua chave O problema surge quando se torna necess rio assegurar a origem das mensagens de uma entidade com a qual nunca existiu comunica o pr via A nica forma de se resolver este problema delegar a uma terceira entidade o poder de realizar estas autentica es ou em termos mais t cnicos realizar a certifica o da origem de uma mensagem Esta terceira entidade chamada de Entidade Certificadora e para que seja poss vel ela assegurar a origem de uma mensagem ela j deve ter realizado uma troca de informa es com a entidade que est sendo certificada WO que um certificado d
93. em firewalls e que servem como ponte entre a rede interna de uma organiza o e os servidores externos Seu funcionamento simples eles ficam esperando por uma requisi o da rede interna repassam esta requisi o para o servidor remoto na rede externa e devolvem sua resposta de volta para o cliente interno Na maioria das vezes os proxies s o utilizados por todos os clientes de uma sub rede e devido a sua posi o estrat gica normalmente eles implementam um sistema de cache para alguns servi os Al m disso como os proxies trabalham com dados das aplica es para cada servi o necess rio um proxy diferente O Proxies tradicionais Para que uma m quina cliente possa utilizar os servi os de um proxy necess rio que a mesma saiba de sua exist ncia Isto que ela saiba que ao inv s de estabelecer uma conex o com o servidor remoto ela deve estabelecer a conex o com o proxy e repassar sua solicita o ao mesmo Existem alguns clientes que j possuem suporte para proxies embutido neles pr prios como exemplo de clientes deste tipo pode se citar a maioria dos browsers existentes atualmente Neste caso para se utilizar as fun es de proxy basta se configur los para tal A grande maioria dos clientes entretanto n o est preparada para trabalhar desta forma A nica solu o poss vel neste caso alterar a pilha TCP IP em todas as m quinas clientes de modo a fazer com que transparentemente as conex es se
94. esta mensagem mostra sem parametros mostra as estatisticas cadastradas com mostra os dados coletados para estatistica nome da estatistica e resultado no formato CSV comma separated value util para importar dados em planilhas eletronicas datas dadas limite para mostrar dados inclua adiciona uma estatistica de nome estatistica remove remove uma estatistica de nome estatistica periodo periodo de captura dos dados segundos acumulador nome das entidades acumulador para ler desabilita desabilita uma estatistica habilita habilita uma estatistica dia h ra se especificado sempre ambos habilita ou desabilita apenas para a hora especificada dia pertence a dom seg ter e hora a 0 23 Exemplo 1 mostrando as estat sticas fwstat mostra Nome gt estatistical habilitada Periodo 17400 segundo s Acumuladores al Horario pralhoralo DL Ze lt 8 4 6 6 S SLOT ISA Loo LL 20 E Ze O Dom Seg Ter Que QuE ses E Sab 4 J J J J J J J J J J J T J J J J J J J Nome gt estatistica habilitada Periodo 100 segundo s Acumuladores al all Horario DlarHoralo T Z Ss Me B rd o TO TL TZ IS JA AS de 7 AE LO 20 Zed id RS Dom Seg Ter7 Owe OUI Sex TE i E J J J J J J J J J J J J J T T T T J J J J J T Exemplo 2 mostrando a estat stica do dia 28 10 2001 ao dia 29 10 2001 fwstat mostra estatistica 28 10 2001 29 10 2001 Dia Hora Enviados
95. expect caso n o tenha instalado estes pacotes eles encontram se no cd do FreeBSD no diret rio packages no caso do linux eles est o no diret rio RPM e iniciam com os mesmos nomes Pode se tamb m montar o cd em um servidor ftp s n o esque a de mudar para o modo passivo lt passive gt na linha de comando do cliente ftp estando dentro do firewall Obs os sinais lt gt s o apenas para delimitar os comandos ou vari veis 2 Baixando os pacotes em uma pasta de trabalho fa a a instala o de cada um deles atente para a ordem FreeBSD pkg add tcl xx xx tgz pkg add tk xx xx tgz pkg add expect xx xx tgz Linux rpm ivh tcl xxxx 1386 rpm rpm ivh tk xxx 1386 rpm rpm ivh expect xxx 1386 rpm Obs os xis corresponde a versao dos pacotes 3 Crie um arquivo de nome mobiaker com o seguinte conte do Neste exemplo utilizo o servi o da mobitel usr local bin expect este argumento o tipo da mensagem do Aker que H pode ser log ou 2 evento set tipo lindex argv 0 Prioridade 7 depura o 6 informa o 5 not cia 4 advert ncia ou 3 erro set prioridade lindex argv 1 Numero da mensagem que provocou a execu o do programa ou O para indicar a causa n o foi uma mensagem set numero lindex argv 2 A mensagem propriamente dita set msg lindex argv 3 numero do pager do administrador do firewall set pager nnnnnnn coloco o tempo maximo de espera para 3 minutos
96. ferramentas O bot o Importar salva a lista de redes seguras em um arquivo e o bot o Exportar carrega uma lista de redes a partir de um arquivo e as acrescenta na lista atual as novas entradas ser o acrescentadas ao final da lista atual O bot o Negociar permite que se negocie imediatamente um canal seguro com a rede selecionada Caso a sess o para a rede selecionada j esteja estabelecida ou nenhuma entrada esteja selecionada este bot o ser desabilitado O bot o Aplicar serve para que as altera es rec m feitas sejam salvas se tornem permanentes Ao ser clicado todas as sess es que por ventura estejam ativas ser o derrubadas A op o Utilizar nome e senha a partir do Cliente de Autentica o Aker se estiver marcada faz com que o cliente de criptografia use a senha e o nome do usu rio utilizados no logon da rede para estabelecer sess es seguras caso estas exijam autentica o de usu rio Caso esta op o n o esteja marcada e o firewall esteja configurado para exigir autentica o de usu rios uma janela pedindo um nome e uma senha ser mostrada todas as vezes que uma nova sess o de criptografia for estabelecida ily 3 Caso o Cliente de Autentica o n o esteja ativo a op o Utilizar nome e senha a partir do Cliente de Autentica o Aker estar desabilitada n o podendo ser utilizada Log E Cliente de Criptografia Firewall Aker Sess o Certificados Redes Seguras Log Algoritmos Sobre
97. gt 1067 v1 25 53 del Exemplo 2 mostrando o log do dia 07 07 2003 apenas prioridade not cia fwlog mostra log 07 07 2003 07 07 2003 noticia 0101 2000 OC 0CHSA 01 DUDE 10 44 7 017613 AUA oe 1587 del OFF 0772003 1006447 01 D UDP dO 188 Oil Zoo LSS del 0770772003 T9063 401 D UDP 104 20 456 1024 ei 25 gt 1588 060 OPO 2003 19406421 02 RETCP 10 44 142 028 102 1414 7S det Exemplo 3 apagando o arquivo de log rimLog apaga log 21 10 2003 2371072003 Remocao dos registros foi solicitada ao servidor de log 15 0 Visualizando os Eventos do Sistema Neste cap tulo mostraremos como visualizar os eventos do sistema um recurso muito til para se acompanhar o funcionamento do firewall e detectar poss veis ataques e erros de configura o O que s o os eventos do sistema Eventos s o as mensagens do firewall de n vel mais alto ou seja n o relacionadas diretamente a pacotes como o caso do log Nos eventos podem aparecer mensagens geradas por qualquer um dos tr s grandes m dulos filtro de pacotes conversor de endere os e autentica o criptografia e por qualquer outro componente do firewall como por exemplo os proxies e os processos servidores encarregados de tarefas espec ficas Basicamente o tipo de informa o mostrada varia desde mensagens teis para se acompanhar o funcionamento do sistema uma mensagem gerada todas as vezes que a m quina reinicializada todas as vezes que algu m esta
98. gt gt gt Loga Mail Alerta Mensagens do log 01 Possivel ataque de fragmentacao gt gt gt gt Loga Mail 02 Pacote IP direcionado gt gt gt gt 03 Ataque de land gt gt gt gt Loga 04 Conexao nao consta na tabela dinamica gt gt gt gt Loga 05 Pacote proveniente de interface invalida gt gt gt gt Loga 06 Pacote proveniente de interface nao determinada gt gt gt gt Loga 07 Conexao de controle nao esta aberta 3 gt gt gt Loga 237 O Secure Roaming encontrou um erro gt gt gt gt Loga 238 O Secure Roaming encontrou um erro fatal gt gt gt gt Loga 239 Usuarios responsaveis do Configuration Manager gt gt gt gt Loga Parametros de configuracao programa etc pager usuario nobody e mail LOOT comunidade ip Aten o Devido ao grande n mero de mensagens s est o sendo mostradas as primeiras e as ltimas O programa real mostrar todas ao ser executado 14 0 Visualizando o log do Sistema Neste cap tulo mostraremos como visualizar o log do sistema um recurso imprescind vel na detec o de ataques no acompanhamento e monitoramento do firewall e na fase de configura o do sistema WO que 0 log do sistema O log o local onde o firewall guarda todas as informa es relativas aos pacotes recebidos Nele podem aparecer registros gerados por qualquer um dos tr s grandes m dulos filtro de pacotes conversor de endere os e criptografi
99. informa es veja o cap tulo intitulado Cadastrando Entidades Pasta Antiv rus y Proxy WWW Firewall Verde Ativar Proxy wt Geral Controle de Conte do Antivirus Tipos de Arquivo Habilitar antivirus Retornar configura o padr o Agente antivirus utilizado Fa Panda antivirus Intervalo de atualiza o do status Humero de tentativas Analizando o Virus Mostrar URL padr o quando um virus for encontrado O Redirecionar para http www aker com br Dica a URL contendo o testo VIA vai ser trocada pelo nome do virus Aplicar Cancelar Habilitar antiv rus A marca o desta caixa ir permitir que o firewall fa a a verifica o antiv rus dos conte dos que tiverem sendo baixados O bot o Retornar configura o padr o restaura a configura o original do firewall para esta pasta Agente antiv rus utilizado Permite a escolha de um agente antiv rus previamente cadastrado para realizar a verifica o de v rus Esse agente deve ter sido previamente cadastrado no firewall Para maiores informa es veja o cap tulo intitulado Cadastrando entidades Intervalo de atualiza o do status Esta op o determina o tempo em a p gina de download exibida pelo firewall deve ser atualizada N mero de tentativas N mero m ximo de tentativas de download para cada arquivo caso seja necess rio tentar mais de uma vez N mero m x
100. lido Permiss o padr o O Aceita Rejeita N mero m ximo de conex es simult neas 255 Tempo limite de inatividade 15s Dio Na janela de propriedades s o configurados todos os par metros de um contexto associado a um determinado servi o Ela consiste dos seguintes campos Somente aceita conex es de m quinas com DNS reverso v lido Se esta op o estiver marcada somente ser o aceitas conex es de m quinas cujo DNS reverso esteja configurado e aponte para um nome v lido Permiss o Padr o Este campo indica a permiss o que ser aplicada a todos os usu rios que n o estiverem presentes e que n o fa am parte de nenhum grupo presente na lista de permiss es O valor aceita permite que a sess o de telnet seja estabelecida e o valor rejeita impede sua realiza o N mero m ximo de sess es simult neas Este campo define o n mero m ximo de sess es telnet que podem estar ativas simultaneamente neste contexto Caso o n mero de sess es abertas atinja este limite os usu rios que tentarem estabelecer novas conex es ser o informados que o limite foi atingido e que devem tentar novamente mais tarde Tempo limite de inatividade Este campo define o tempo m ximo em segundos que o proxy pode ficar sem receber dados da sess o Telnet e ainda consider la ativa O valor deste campo deve ser menor ou igual ao valor configurado no campo Tempo limite TCP nos par metros de configura o globais para maiores inform
101. m scara 255 255 0 0 classe B De 192 168 0 0 a 192 168 255 255 mascara 255 255 255 0 classe C WTipos de convers o de endere os Existem tr s tipos diferentes de convers o de endere os 1 1 N 1 e 1 N Cada um deles possui caracter sticas distintas e normalmente s o utilizados em conjunto para conseguir melhores resultados e 1 1 O tipo 1 1 o mais intuitivo por m normalmente o menos til Ele consiste em fazer mapeamentos bin rios de um para um entre endere os reservados e endere os v lidos Desta forma m quinas distintas teriam endere os convertidos distintos A grande limita o desta forma de opera o que n o poss vel se colocar um n mero de m quinas maior que o n mero de endere os v lidos uma vez que s o sempre convertidos na base de um para um Em compensa o ela permite que m quinas com endere os reservados possam ser acessadas externamente com endere os v lidos e N I A convers o de N 1 como o nome j diz possibilita que v rias m quinas com endere os reservados utilizem um mesmo endere o v lido Para conseguir este objetivo ela utiliza endere os IP em combina o com portas no caso dos protocolos TCP e UDP ou com n meros de sequ ncia no caso de ICMP Este mapeamento feito dinamicamente pelo firewall cada vez que uma nova conex o estabelecida Como existem 65535 portas ou n meros de sequ ncia distintos poss vel a exist ncia de at 65535 conex es simult
102. metros de um contexto associado a um determinado servi o Ela consiste de alguns campos comuns seguidos por seis pastas onde s o configurados par metros espec ficos O campos comuns s o Tamanho m ximo da mensagem Este campo indica o tamanho m ximo em bytes ou kbytes de uma mensagem para que ela possa ser aceita pelo proxy Caso n o se deseje definir um tamanho m ximo basta marcar a op o Sem Limite localizada direita desta campo Registrar na lista de eventos Este campo indica se as mensagens que n o se enquadrarem em nenhuma regra SMTP deste contexto devem ser registradas na lista de eventos Envia c pia de todas as mensagens Independente de uma mensagem ter sido aceita ou rejeitada poss vel se enviar uma c pia completa dela para um endere o de e mail qualquer Este campo indica se deve ou n o ser enviada esta c pia Habilita checagem de DNS reverso O firewall far a checagem para determinar a exist ncia do DNS reverso cadastrado para o servidor SMTP para aceitar a mensagem baseado nas regras da pasta DNS E mail padr o Indica o endere o de e mail padr o para o qual ser o enviadas as c pias das mensagens que n o se enquadrarem em nenhuma regra SMTP deste contexto se a op o Envia C pia de todas as mensagens estiver marcada Este e mail tamb m pode ser referenciado em qualquer regra de filtragem do contexto e Pasta de Relay Fr Servi os Pk a _ Autom tico I x ER Nome SMTP Pr
103. n o esteja no momento monitorando o funcionamento do Firewall 13 1 Utilizando a interface gr fica Para ter acesso a janela de configura o das a es basta e Expandir o item Configura es do Sistema e Selecionar o Item A es A janela de configura o das a es Ao se selecionar esta op o ser mostrada a janela de configura o das a es a serem executadas pelo sistema Para cada mensagem de log e de eventos e para os pacotes que n o se enquadrarem em nenhuma regra poss vel se determinar a es independentes A janela mostrada ter a seguinte forma A es Firewall Verde rp iE Log de mensagens Mensagens de Evento Parametros Descri o OO Pacote fora das regras Possivel ataque de fragmenta o Facote IP direcionado UU Ataque de land U4 Conex o n o consta na tabela din mica O05 Pacote proveniente de Interface inv lida Pacote proveniente de Interface n o determinada Cones o de controle n o est aberta Y i BS a 0gs Flags TCF do pacote s o inv lidos a Namero de sequ ncia do pacote TCP imy lido Bo o O10 Possivel ataque de SYN Flood a O11 Pacote sem Informa o de autentica o U1 Pacote n o passou pela autentica o Para selecionar as a es a serem executadas para as mensagens mostradas na janela basta se clicar com o bot o direito do mouse sobre as mensagens A cada op o selecionada aparecer um cone correspondente Logs 3 Enviar email
104. ncia de 2 passos 1 Cria se um servi o que ser desviado para o proxy Telnet e edita se os par metros do contexto a ser usado por este servi o para maiores informa es veja o cap tulo intitulado Cadastrando Entidades 2 Acrescenta se uma regra de filtragem permitindo o uso do servi o criado no passo 1 para as redes ou m quinas desejadas para maiores informa es veja o cap tulo intitulado Filtro de Estados A partir deste momento todas as vezes que uma sess o telnet que se enquadre na regra criada for estabelecida o firewall solicitar uma identifica o do usu rio e uma senha Se a identifica o e a senha forem v lidas e o usu rio em quest o tiver permiss o a sess o ser estabelecida Caso contr rio o usu rio ser informado do erro e a sess o cancelada 23 1 Editando os par metros de um contexto Telnet A janela de propriedades de um contexto Telnet ser mostrada quando a op o Proxy Telnet for selecionada Atrav s dela poss vel se definir o comportamento do proxy Telnet quando este for lidar com o servi o em quest o A janela de propriedades de um contexto Telnet Ta Se rvicos Automatica x Nome Telnet proxy Editar Ingen Apagar TCP Autenticadar Nome do usu rio Permiss o Protocolo m m Autenticador FREBSD machado Aceita fe Servi o 23 telnet Inicio 7 echo Fim 7 echo Prog Telnet Configura es Somente aceita conex es de m quinas com DNS reverso v
105. nunca criar nem editar ou excluir um usu rio que possa configurar o firewall e Permitir conex es do gerenciador Essa op o permite habilitar desabilitar acessos ao Firewall Aker pelo Configuration Manager Ao habilitar conex es necess rio informar a senha que ser comum ao firewall e o gerenciador shared secret 3 2 Utilizando a interface texto Al m da interface gr fica de administra o de usu rios existe uma Interface local orientada caracteres que possui praticamente as mesmas capacidades da interface gr fica A nica fun o n o dispon vel a de altera o das permiss es dos usu rios Esta interface texto ao contr rio da maioria das demais interfaces orientadas caracteres do Firewall Aker Interativa e n o recebe par metros da linha de comando Localiza o do programa etc firewall fwadmin Ao ser executado o programa mostrar a seguinte tela Firewall Aker verzao 5 1 Modulo de administracao de usuarios remotos colha uma das opcoes abaixo Inclui um novo usuario FenDve um usuario existente Altera senha de um usuario Lista Usuarios cadastrados Compacta arquivo de usuarios Edita as opcoes do Configuration Manager Gai do fwadminii Para executar qualquer uma das op es mostradas basta se digitar a letra mostrada em negrito Cada uma das op es ser mostrada em detalhes abaixo e Inclui um novo usu rio Esta op o permite a inclus o de um novo usu rio que po
106. o Estado Atual Este campo s aparece no caso de conex es TCP Ele representa o estado da conex o no Instante mostrado e pode assumir um dos seguintes valores SYN Enviado Indica que o pacote de abertura de conex o pacote com flag de SYN foi enviado por m a m quina servidora ainda n o respondeu SYN Trocados Indica que o pacote de abertura de conex o foi enviado e a m quina servidora respondeu com a confirma o de conex o em andamento Estabelecida Indica que a conex o est estabelecida Escutando Porta Indica que a m quina servidora est escutando na porta indicada aguardando uma conex o a partir da maquina cliente Isto s ocorre no caso de conex es de dados FTP Bytes Enviados Recebidos Estes campos s aparecem no caso de conex es TCP e indicam o n mero de bytes trafegados por esta conex o em cada um dos dois sentidos Pacotes Enviados Recebidos Estes campos s aparecem no caso de conex es TCP e indicam o n mero de pacotes IP trafegados por esta conex o em cada um dos dois sentidos 17 2 Utilizando a interface texto A interface texto para acesso lista de conex es ativas possui as mesmas capacidades da interface gr fica O mesmo programa trata as conex es TCP e UDP Localiza o do programa etc firewall fwlist Sintaxe Uso fwlist ajuda fwlist mostra w TCP UDP sessoes fwlist remove TCP UDP IP origem Porta origem IP destino Porta destino fwlist remove sess
107. o aberta removeu uma das sess es de usu rios que estavam logados no firewall atrav s do Cliente de Autentica o Aker 157 Opera o sobre o arquivo de log Esta mensagem indica que o administrador que estava com a sess o de administra o aberta realizou uma opera o sobre o arquivo de log As opera es poss veis s o Compactar e Apagar A mensagem complementar indica qual destas opera es foi executada 158 Opera o sobre o arquivo de eventos Esta mensagem indica que o administrador que estava com a sess o de administra o aberta realizou uma opera o sobre o arquivo de eventos As opera es poss veis s o Compactar e Apagar A mensagem complementar indica qual destas opera es foi executada 159 Opera o sobre o arquivo de usu rios Esta mensagem indica que o administrador que estava com a sess o de administra o aberta realizou uma opera o sobre o arquivo de usu rios As opera es poss veis s o Incluir Excluir e Alterar A mensagem complementar indica qual destas opera es foi executada e sobre qual usu rio 160 Altera o na data hora do firewall Esta mensagem indica que o administrador que estava com a sess o de administra o aberta alterou a data e ou a hora do firewall 161 Carga do certificado de negocia o local Esta mensagem indica que o administrador que estava com a sess o de administra o aberta carregou ou alterou o certificado de negocia o local do firewall
108. o a configura o do segundo Isto ser ilustrado com mais clareza nos exemplos abaixo QExemplos do uso de canais seguros firewall firewall Exemplo b sico de configura o de um canal seguro firewall firewall Neste exemplo ser mostrado como definir um canal seguro de comunica o entre duas redes atrav s da Internet usando dois Firewalls Aker O canal ser criado de forma com que toda a comunica o entre estas duas redes seja segura Como algoritmo de autentica o foi escolhido o MDS e como algoritmo de criptografia o DES lly ME obrigat rio o uso de um algoritmo de autentica o para todos os fluxos ou seja n o permitida a cria o de fluxos com criptografia apenas Isto necess rio ja que sem a autentica o os algoritmos de criptografia s o pass veis de ataques de recortar e colar cut and paste e Configura o do Firewall Aker da rede 1 Entidades REDE1 Endere o IP A1 B1 C1 0 M scara 255 255 255 0 REDE2 Endere o IP A2 B2 C2 0 M scara 255 255 255 0 Regra de criptografia 1 Sentido do canal envia Entidades origem REDE1 Entidades destino REDE2 Algoritmo de criptografia DES Algoritmo de autentica o MDS Chave de autentica o X1 Chave de criptografia X2 Regra de criptografia 2 Sentido do canal recebe Entidades origem REDE2 Entidades destino REDE1 Algoritmo de criptografia DES Algoritmo de autentica o MDS Chave de autentica o X3 Chave de criptografia
109. o contra flood tiver sido atingido Para verificar a configura o deste m dulo consulte a Prote o de Flood JMensagens dos eventos do Firewall 043 Firewall Aker v5 0 Inicializa o completa Esta mensagem tem car ter puramente informativo servindo para se determinar os hor rios que o Firewall entrou em funcionamento Ela ser produzida a cada reinicializa o da maquina 044 Erro de aloca o de mem ria Esta mensagem indica que algum m dulo do Firewall tentou alocar mem ria e n o conseguiu Esta mensagem pode ocorrer em sistemas com pouca mem ria RAM utilizando convers o de endere os com um grande n mero de conex es simult neas ou com um grande n mero de conex es ativas passando pelos proxies do firewall Solu o Adquira mais mem ria RAM ou aumente as parti es de swap 045 Tabela de convers o TCP cheia A tabela de convers o de endere os TCP encheu A nica solu o para esse problema diminuir o Tempo limite TCP nos par metros de configura o Para maiores Informa es veja o cap tulo Configurando os par metros do sistema 046 Tabela de convers o UDP cheia A tabela de convers o de endere os UDP encheu A nica solu o para esse problema diminuir o Tempo limite UDP nos par metros de configura o Para maiores informa es veja o cap tulo Configurando os par metros do sistema 047 Tabela de criptografia para clientes cheia Esta mensagem indica que um cliente de
110. oferece o m ximo em flexibilidade e seguran a Para possibilitar este controle de acesso a n vel de usu rios o Firewall Aker introduziu o conceito de perfis de acesso Perfis de acesso representam os direitos a serem atribu dos a um determinado usu rio no firewall Estes direitos de acesso englobam todos os servi os suportados pelo firewall o controle de p ginas WWW e o controle de acesso atrav s do proxy SOCKS Desta forma a partir de um nico local se consegue definir exatamente o que pode e n o pode ser acessado Como funciona o controle com perfis de acesso Para se utilizar os perfis de acesso Inicialmente cadastra se os perfis desejados e posteriormente associa se estes perfis com usu rios e grupos de um ou mais autenticadores A partir deste momento todas as vezes que um usu rio se logar no firewall com o Cliente de Autentica o Aker Cliente de Criptografia Aker ou outro produto que ofere a funcionalidade equivalente o firewall identificar o perfil de acesso correspondente a este usu rio e configurar as permiss es de acesso de acordo com este perfil Tudo feito de forma completamente transparente para o usu rio final SPara que seja poss vel o uso de perfis de acesso necess rio que o Cliente de Autentica o ou o Cliente de Criptografia Aker estejam instalados em todas as m quinas clientes ou que se use a op o de autentica o por Java no proxy HTTP Caso contr rio s ser poss vel
111. opera o executada pelo servidor de comunica o remota n o foi executada com sucesso Solu o Verifique se o existe espa o dispon vel no diret rio do firewall Isto pode ser feito atrav s do comando df k Se este comando mostrar o diret rio com 100 de espa o utilizado ent o isto a causa do problema Caso exista espa o dispon vel e ainda assim este erro apare a consulte o suporte t cnico 167 Usu rio sem direito de acesso Esta mensagem indica que o usu rio tentou realizar uma opera o que n o lhe era permitida Solu o Esta mensagem n o deve ser mostrada em condi es normais de funcionamento do Firewall Aker Se ela aparecer contate o suporte t cnico 168 Pacote n o reconhecido Esta mensagem indica que o servidor de comunica o do firewall recebeu uma requisi o de servi o desconhecida Solu o Contate o suporte t cnico 169 Muitas negocia es pendentes Esta mensagem indica que o kernel n o est conseguindo pedir que o daemon de negocia es de chave estabele a um canal Esta situa o an mala e n o deve acontecer Por favor contate o suporte t cnico se o Firewall gerar esta mensagem 170 SA n o tem tipo IPSEC Esta mensagem indica que foi tentada a configura o de um canal n o IPSEC pelo m dulo IPSEC Esta situa o an mala e nao deve acontecer Por favor contate o suporte t cnico se o Firewall gerar esta mensagem 171 Algoritmo de cript
112. os ataques de spoofing A primeira etapa de um ataque de spoofing identificar duas m quinas de destino que chamaremos de A e B Na maioria dos casos uma m quina ter um relacionamento confi vel com a outra esse relacionamento que o ataque de spoofing tentar explorar Uma vez que os sistemas de destino tenham sido identificados o violador tentar estabelecer uma conex o com a m quina B de forma que B acredite que tem uma conex o com A quando na realidade a conex o com a m quina do violador que chamaremos de X Isso feito atrav s da cria o de uma mensagem falsa uma mensagem criada na m quina X mas que cont m o endere o de origem de A solicitando uma conex o com B Mediante o recebimento dessa mensagem B responder com uma mensagem semelhante que reconhece a solicita o e estabelece n meros de sequ ncia Sob circunst ncias normais essa mensagem de B seria combinada a uma terceira mensagem reconhecendo o n mero de sequ ncia de B Com isso o handshake seria conclu do e a conex o poderia prosseguir No entanto como acredita que est se comunicando com A B envia sua resposta a A e n o para X Com isso X ter de responder a B sem conhecer os n meros de sequ ncia gerados por B Portanto X dever adivinhar com precis o n meros de sequ ncia que B utilizar Em determinadas situa es Isso mais f cil do que possa se Imaginar No entanto al m de adivinhar o n mero de sequ ncia o v
113. p rtal gt lt IP2 gt lt portaz gt lt senha gt lt t cache gt fwent inclui ids lt nome gt lt IP1 gt lt IP2 gt lt IP3 gt lt senha gt fwent inclui anti virus lt nome gt lt IP1 gt lt IP2 gt lt IP3 gt lt senha gt fwent inclui analisador url lt nome gt lt IP1 gt lt IP2 gt lt IP3 gt lt senha gt fwent inclui ca lt nome gt lt Arquivo com certificado root gt lt URL com CRLs gt fwent inclui servico lt nome gt TCP UDP ICMP OUTRO lt VaLor gt 3 lt Velor gt fwent inclui interface lt nome gt lt dispositivo gt lt comentario gt fwent inclui pipe lt nome gt lt banda em Kbits s gt lt tamanho da fila gt lt bytes pacts gt fwent inclui acumulador lt nome gt lt comentario gt fwent inclui log remoto lt nome gt lt IP gt IP IP lt senha gt mostra mostra todas as entidades configuradas no sistema RCA inclui uma nova nova entidade remove remove uma entidade existente ajuda mostra esta mensagem Para remove inclui temos nome nome da entidade a ser criada ou removida Para inclui temos TE endereco IP da maquina ou da rede mascara mascara da rede entidade nome das entidades a serem acrescentadas no conjunto OBS Somente podem fazer parte de um conjunto entidades do tipo maquina ou rede senha senha de acesso t cache tempo em segundos de permanencia de uma entrada no cache de autenticacao TER Servico uviliza Protocolo TCP UDP Servido Ut
114. para a porta padr o 443 Permitir HTTPS para todas as portas Permitir HTTPS para as entidades listadas abaixo Z or K Coreen Analisador de URL Esse campo especifica o agente analisador de URLs que ser utilizado para categorizar as p ginas da Internet Esse agente deve ter sido previamente cadastrado no firewall Para maiores informa es veja o cap tulo intitulado Cadastrando entidades Controle SSL Esse par metro permite que se defina as portas de conex o segura https que ser o aceitas pelo firewall Caso um cliente tente abrir uma conex o para uma porta n o permitida o firewall mostrar uma mensagem de erro e n o possibilitar O acesso Caso se deseje utilizar apenas a porta padr o 443 deve se selecionar a primeira op o Essa a configura o a ser utilizada na grande maioria dos firewalls A op o Permite HTTPS para todas as portas indica ao firewall que ele deve aceitar conex es HTTPS para quaisquer portas Essa configura o n o recomendada para nenhum ambiente que necessite de um n vel de seguran a razo vel j que poss vel para um usu rio utilizar o proxy para acessar servi os n o permitidos simulando uma conex o HTTPS Por ltimo existe a op o Permite HTTPS para as entidades abaixo que possibilita ao administrador definir exatamente quais portas ser o permitidas Nesse caso devem ser cadastradas as entidades correspondentes aos servi os desejados Para maiores
115. para o proxy POP3 e edita se os par metros do contexto a ser usado por este servi o para maiores informa es veja o cap tulo intitulado Cadastrando Entidades 2 Acrescenta se uma regra de filtragem permitindo o uso do servi o criado no passo 1 para as redes ou m quinas desejadas para maiores informa es veja o cap tulo intitulado Filtro de Estados 25 1 Editando os par metros de um contexto POP3 A janela de propriedades de um contexto POP3 ser mostrada quando a op o Proxy POP3 for selecionada Atrav s dela poss vel se definir o comportamento do proxy POP3 quando este for lidar com o servi o em quest o A janela de propriedades de um contexto POP3 5 Servi os Automatica f x E Home POP3_proxy Editar Inserir Remove Copiar Colar Home Tipo MIME Nome do arquivo A o checa virus QualquerQualquer Bela O anero Protocolo TCP 3 Servi o 1 O pops O Inicio echo Eim T echo Prozy POPS Configura es Agente de antivirus Fa Panda Antivirus E mail padr o admin aker com br N mero m ximo de processos 20 Tempo limite de resposta 600s Permitir anexos mal formatados nc Na janela de propriedades s o configurados todos os par metros de um contexto associado a um determinado servi o S o eles Configura es formado por diversos campos que indicam as a es a serem executadas pelo proxy POP3 e Agente antiv rus Esse campo indica o agente anti virus que
116. proxy RPC Neste cap tulo ser mostrado como configurar o proxy RPC O que o proxy RPC O proxy RPC um programa especializado do Firewall Aker feito para trabalhar com o protocolo RPC mais especificamente o SUN RPC descrito na RFC1050 A sua fun o b sica fazer chamadas a fun es remotas Remote Procedure Call ou seja fun es disponibilizadas por outras m quinas acess veis atrav s do firewall Exemplos de protocolos que usam o RPC s o o portmapper e o NFS Quando um cliente deseja realizar uma chamada RPC para um determinado n mero de processo o firewall verifica a a o relacionada quele processo Se permitir o proxy Insere as regras de libera o de portas direta e automaticamente no kernel Caso contr rio o firewall bloqueia o processo como se ele estivesse indispon vel Ele um proxy transparente para maiores informa es veja o cap tulo intitulado Trabalhando com proxies desta forma nem o servidor nem o cliente sabem de sua exist ncia Utilizando o proxy RPC Para utilizar o proxy RPC necess rio executar uma seqii ncia de 2 passos 1 Criar um servi o que ser desviado para o proxy RPC e editar os par metros do contexto a ser usado por este servi o para maiores informa es veja o cap tulo intitulado Cadastrando Entidades 2 Acrescentar uma regra de filtragem permitindo o uso do servi o criado no passo 1 para as redes ou m quinas desejadas para maiores informa es
117. quina A mensagem complementar indica o nome do agente de autentica o que n o pode ser conectado e o endere o IP que ele supostamente estaria rodando Solu o Verifique se o endere o IP da m quina onde o agente estaria rodando est correto na defini o do autenticador para maiores informa es veja o cap tulo intitulado Cadastrando Entidades e que o agente est realmente sendo executado na m quina em quest o 096 Erro de comunica o com agente de autentica o Esta mensagem indica que o servidor de autentica o conseguiu se conectar ao agente de autentica o por m n o conseguiu estabelecer uma comunica o A mensagem complementar indica o nome do agente de autentica o que provocou o problema Solu o Verifique se a senha de acesso na defini o do autenticador est igual a senha colocada na configura o do agente de autentica o Para maiores Informa es veja o cap tulo intitulado Cadastrando Entidades 097 Erro ao conectar com agente IDS Esta mensagem indica que o firewall n o conseguiu se conectar ao agente IDS que estaria rodando em uma determinada m quina A mensagem complementar indica o nome do agente IDS que n o pode ser conectado e o endere o IP que ele supostamente estaria rodando Solu o Verifique se o endere o IP da m quina onde o agente estaria rodando est correto na defini o da entidade para maiores informa es veja o cap tulo intitulado Cadastrando Entidad
118. quinas do cluster n o precisam ser iguais mas as placas de rede sim Ally Para o cluster failover utilize apenas 2 firewalls j que apenas um responder por todo o trafego 31 0 Arquivos do Sistema e Backup Neste cap tulo mostraremos onde est o localizados e para que s o usados os arquivos que fazem parte da vers o 5 0 do Firewall Aker 31 1 Arquivos do Sistema Neste t pico ser o mostrados quais s o e onde se localizam os arquivos do sistema Isto muito importante na hora de se realizar backups ou para se diagnosticar poss veis problemas de funcionamento rvore de diret rios e etc firewall cont m programas execut veis e sub diret rios e etc firewall algs cont m os algoritmos de criptografia externos para o cliente de criptografia e etc firewall x509 cont m os arquivos correspondenteas aos certificados X 509 e etc firewall httpd cont m a raiz do sistema de arquivos do servidor local HTTP do proxy WWW N o remova os arquivos j presentes neste diret rio e etc firewall conf cont m os arquivos de configura o do firewall e etc firewall snmpd cont m o agente SNMP e etc firewall root n o possui arquivos usado por alguns processos do Firewall e etc firewall run cont m arquivos necess rios em tempo de execu o e var log cont m os arquivos de log e eventos do Firewall Aker e var spool firewall usado pelos proxies SMTP e POP3 para armazenar as mensagens a serem e
119. reconhecimento de padr es de comportamento e dados que s o identificados em pacotes ou informa es de sistema que podem corresponder ataques ou tentativas de invas o a uma rede As ferramentas de IDS s o solu es de software ou hardware dedicadas tarefa de identificar e responder automaticamente a atividades que sejam consideradas suspeitas normalmente s o padr es conhecidos de ataques ou a es previamente definidas e configuradas como n o autorizadas As ferramentas IDS reconhecem atividades que n o estejam dentro dos seus par metros como normais e podem ser programadas para ent o reconfigurar o firewall dinamicamente bloqueando poss veis ataques em tempo real enviar alertas para o administrador gravar um arquivo de log e at mesmo terminar a conex o Como funciona o suporte a agentes IDS no Firewall Aker O agente de detec o de intrus o atua direta e dinamicamente no Firewall Aker adicionando regras de bloqueio quando algum dos par metros definidos como normais n o estejam sendo cumpridos Por exemplo suponhamos que o agente monitorando um servidor web esteja configurado para n o permitir um n mero maior que 20 conex es de uma mesma m quina da Internet Caso este padr o for violado o agente cadastra dinamicamente uma regra no firewall bloqueando o acesso da m quina de onde est o sendo originadas as conex es Esta regra pode ser v lida por um per odo de tempo ap s o qual ela automaticamente
120. rede do firewall por onde o pacote foi recebido e Outros procotolos Formato do registro lt Data gt lt Hora gt lt Repeticac gt lt Acao gt lt Protocolo gt lt Status gt lt IP origem gt lt IP destino gt lt Interface gt Descri o dos campos Data Data em que o registro foi gerado Hora Hora em que o registro foi gerado Repeti o N mero de vezes em que o registro se repetiu seguidamente Este campo mostrado entre par nteses na Interface texto Status Este campo que aparece entre par nteses na Interface texto consiste de uma a tr s letras independentes que possuem o significado abaixo A Pacote autenticado E Pacote encriptado S Pacote usando troca de chaves via SKIP ou AKER CDP A o Este campo indica qual foi a a o tomada pelo firewall com rela o ao pacote Ele pode assumir os seguintes valores A Indica que o pacote foi aceito pelo firewall D Indica que o pacote foi descardado R Indica que o pacote foi rejeitado Protocolo Nome do protocolo do pacote que gerou o registro caso o firewall n o consiga resolver o nome do protocolo ser mostrado o seu n mero IP origem Endere o IP de origem do pacote que gerou o registro IP destino Endere o IP destino do pacote que gerou o registro Interface Interface de rede do firewall por onde o pacote foi recebido Registros gerados pelo conversor de endere os Formato do registro lt Data gt lt Hora gt lt Repeti
121. representa a m quina do servidor entidade preciza estar localizada tanto na OM preferencialmente ou na Rede Interna Qual entidade abaixo o servidor Host Host 25 0 0 214 se Novo Computador 12 Sele o dos servi os do servidor para a DMZ Wizard de Regras de Filtragem Servigos Quais servi os o servidor oferece Servi os Dispon veis Entidade Descri o niini Tiera TCP 21 EBHTTPS TCP 443 BINTE UDP 123 ESMTP TCP 25 Pal Todos ICMP ICMP i Todos outros Protocolo Desconhecido 2 Todos TCP TCP Novo Serigo x Incluir Excluir Servi os oferecidos pelo servidor Entidade Descri o ENIHTTP TCP 80 13 Pergunta se deseja configurar outro servidor Wizard de Regras de Filtragem Registro do servidor Hegistre cada servidortanto da DMA quanto da Rede Interna seus servi os e o controle de onde eles podem ser acessados Deseja configurar o acesso a um outro servidor O Sim N o 14 Visualiza o final das regras de filtragem montada pelo assistente Wizard de Regras de Filtragem Preview das Regras Parab ns voc completou com sucesso a configura o das Regras de Filtragem Clicando em Finalizar as seguintes regras ser o adicionadas a janela de regras Aviso Qualquer regra exitente previamente val ser desabilitada Origem Destina Sermi as A o Restri es
122. reverso habilitada E mail padr o admin aker com br a Esta pasta permite o acesso s op es de configura o avan adas do proxy SMTP Elas permitem um ajuste fino do funcionamento do proxy As op es s o Permite cabe alho incompleto Se esta op o estiver marcada como N O n o ser o aceitas mensagens cujos cabe alhos n o contenham todos os campos obrigat rios de uma mensagem SMTP N mero de processos Este campo indica o n mero m ximo de c pias do proxy que poder o estar ativas em um determinado momento Como cada processo trata uma conex o este n mero tamb m representa o n mero m ximo de mensagens que podem ser enviadas simultaneamente para o contexto em quest o Caso o n mero de conex es ativas atinja este limite os clientes que tentarem enviar novas mensagens ser o informados que o servidor se encontra temporariamente impossibilitado de aceitar novas conex es e que devem tentar novamente mais tarde il 5 E poss vel se utilizar este n mero de processos como uma ferramenta para controlar o n mero m ximo de mensagens simult neas passando pelo link de forma a n o satur lo Tempo limite de resposta do cliente Este par metro indica o tempo m ximo em segundos que 0 proxy espera entre cada comando do cliente que est enviando a mensagem SMTP Caso este tempo seja atingido sem receber nenhum comando do cliente o proxy assume que este caiu e derruba a conex o Tempo limite de res
123. seguinte lista todos os componentes do hardware devem ser suportados pelo sistema operacional na qual o servidor ser instalado em alguma das vers es suportadas pelo produto e Computador Pentium III ou compat vel 1 Ghz ou superior e Sistema de armazenagem com velocidade igual ou superior a um Ultra ATA 66 e 64 Mbytes de mem ria RAM recomenda se 128 Mbytes e 40 Gbytes de espa o em disco e Monitor e Mouse e Teclado e Placa s de rede 1 2 Instalando o firewall O Firewall Aker pode ser adquirido na forma de appliance Sendo comprado desta forma o produto j vem instalado e pr configurado Caso se tenha optado por comprar apenas o software necess rio instal lo na m quina escolhida o que ser explicado neste t pico Para instalar o Firewall Aker necess rio primeiro se instalar o sistema operacional Linux ou FreeBSD A instala o de ambos simples por m recomenda se que ela seja feita por algu m que possua algum conhecimento do sistema operacional Unix O procedimento b sico de instala o do FreeBSD e do Linux se encontra no seus CD ROMs Caso surjam problemas sugerimos recorrer s fontes de informa o mostradas no t pico anterior Ap s Instalado o FreeBSD ou o Linux deve se proceder com a instala o do Firewall Aker Para instal lo necess rio montar o CD ROM de instala o na m quina que se deseja instalar ou copiar o conte do do diret rio de instala o do CD ROM para algum dire
124. sendo mostradas as primeiras e as ltimas O programa real mostrar todas ao ser executado Exemplo 3 atribuindo as a es para os Pacotes fora das regras e mostrando as mensagens fwaction atribui O loga mail alerta tfwaction mostra Condicoes Gerais 00 Pacote fora das regras gt gt gt gt Loga Mail Alerta Mensagens do log 01 Possivel ataque de fragmentacao gt gt gt gt Loga 02 Pacote IP direcionado gt gt gt gt Loga 03 Ataque de land gt gt gt gt Loga 04 Conexao nao consta na tabela dinamica gt gt gt gt Loga 05 Pacote proveniente de interface invalida gt gt gt gt Loga 06 Pacote proveniente de interface nao determinada gt gt gt gt Loga 07 Conexao de controle nao esta aberta gt gt gt gt Loga 237 O Secure Roaming encontrou um erro gt gt gt gt Loga 238 O Secure Roaming encontrou um erro fatal gt gt gt gt Loga 239 Usuarios responsaveis do Configuration Manager gt gt gt gt Loga Parametros de configuracao programa etc pager usuario nobody e mail E TOOL comunidade ip Aten o Devido ao grande n mero de mensagens s est o sendo mostradas as primeiras e as ltimas O programa real mostrar todas ao ser executado Exemplo 4 cancelando todas as a es para a mensagem de Pacote IP direcionado e mostrando as mensagens tfwaction atribui 2 tfwaction mostra Condicoes Gerais 00 Pacote fora das regras gt
125. sequ ncia 021 SPI inv lido para autentica o com SKIP Esta mensagem indica que foi recebido um pacote SKIP cujo n mero de SPI especificado no cabe alho de autentica o era inv lido O protocolo SKIP exige que o numero do SPI utilizado seja 1 022 Pr ximo protocolo do cabe alho SKIP inv lido Esta mensagem indica que o protocolo seguinte ao cabe alho SKIP do pacote em quest o n o suportado O Firewall Aker exige que ap s o cabe alho SKIP venha o cabe alho de autentica o 023 Algoritmo de autentica o do SKIP inv lido Esta mensagem indica que o algoritmo de autentica o especificado no cabe alho SKIP n o suportado O Firewall Aker somente suporta os algoritmos de autentica o MDS e SHA 1 024 Algoritmo de criptografia do SKIP inv lido Esta mensagem indica que o algoritmo de criptografia especificado no cabe alho SKIP nao suportado O Firewall Aker somente suporta os algoritmos de criptografia DES Triplo DES e Blowfish com 128 e 256 bits de chaves 025 Algoritmo de criptografia de chave SKIP inv lido Esta mensagem indica que o algoritmo de criptografia e separa o de chaves especificado no cabe alho SKIP n o suportado O Firewall Aker somente suporta os algoritmos DES com MDS como separador de chaves Triplo DES com MDS como separador de chaves e Blowfish com MD5 como separador de chaves 026 Algoritmo de compress o de dados n o suportado Esta mensagem indica que o algor
126. set timeout 180 inicio a transa o com o servidor email da mobitel Irei fazer a transa o direta via telnet spawn telnet mailhost mobinet com br 25 espero pela string de conex o do servidor expect 220 Envio meu dominio send helo foo com br espero pelo servidor expect 250 Quem sou eu send mail from admin foo com br r espero pelo servidor expect 250 Para quem vai a msg No caso da mobi todas vao para um usuario de nome pager e no assunto colocado o numero do mobi de destino send rcpt to pager mobinet com br r espero pelo servidor expect 250 Mando o servidor se preparar para receber dos dados send data r espero pelo servidor expect 354 As linhas a seguir ir o montar o corpo do email send From admin foo com br r send Date r send To pager mobinet com br r Aqui eu fa o a composi o do n mero do pager O sistema da mobi envia ent o somente o corpo H do email para o pager send Subject pager pager r um avan o de linha send r envio a mensagem propriamente dita send tipo prioridade numero mseg r Finalizo a mensagem send r Espero o servidor expect 250 Caio fora send quit r 4 No meu caso criei um usuario de nome probe N o esque a de mudar a propriedade do diret rio para tanto d o seguinte comando lt chown probe probe usr probe gt obs gt o diret rio home probe apenas um link s
127. todos UDP todos ICMP todos Outros SMTP HTTP todos ICMP todos Outros todos TCP Acumulador Canal A o Restri es L z O a QO a E 3 QO ua 3 O q I ml Pate Cipa is 8 Correio SMTP M NT 10 w Rede DMZ 1 Ja Rede Interna 19 O squid proxy 13 33 Rede Interna 14 NTI 15 E NT3 i J serverl Zz amp serverl a Rede Interna Server pop3 2 Internet Mi amp Internet E 2 nternet p Rede_Verde E todos UDP SMTP a FTP todos ICMP E todos Outros todos TCP todos UDP POP3 HTTP HTTPS todos ICMP todos Outros todos TCP todos UDP NS DNS S DNS TCP Ta FTP todos ICMP todos Outros todos TCP t um todos UDP 16 oft Rede_DMZ Internet r l w DNS TCP E 17 amp Internet NT3 DS DNS g a IS 2 Internet servidor web HTTP todos ICMP Internet a Rede _ DMZ E todos Outros todos TCP E todos UDP 19 todos ICMP f Internet aRede Interna todos Outros z todos TCP todos UDP 20 No exemplo acima foi criado as seguintes regras Regras Gerais do Firewall gt 1 a 4 Fluxo Interna para DMZ gt 5 a7 Fluxo DMZ para Interna gt 8 a 10 Fluxo Interna para Internet gt 11 a 13 Fluxo DMZ para Internet gt 14 a 16 Fluxo Internet para DMZ gt 17 a 19 Fluxo Internet para Interna gt 20 Repare que ao final de cada fluxo foi
128. transparente da conex o 110 Usu rio n o cadastrado para proxy Esta mensagem indica que um usu rio n o cadastrado tentou se autenticar em um determinado proxy A mensagem complementar indica as m quinas de origem e destino no caso de proxy transparente da conex o 111 Usu rio sem permiss o para telnet Esta mensagem indica que um usu rio se autenticou corretamente no proxy telnet por m n o tinha permiss o de efetuar a conex o desejada As mensagens complementares indicam o nome do usu rio e as m quinas de origem e destino da conex o 112 Sess o telnet estabelecida Esta mensagem indica que um usu rio se autenticou corretamente no proxy telnet e tinha permiss o para efetuar a conex o desejada Devido a isso a conex o foi estabelecida As mensagens complementares indicam o nome do usu rio e as m quinas de origem e destino da conex o 113 Sess o telnet finalizada Esta mensagem indica que um usu rio se desconectou de uma sess o telnet As mensagens complementares indicam o nome do usu rio e as m quinas de origem e destino da conex o 114 Erro ao enviar dados para o kernel do Firewall Esta mensagem indica que algum dos m dulos externos tentou enviar informa es para os m dulos do firewall que rodam dentro do kernel e n o conseguiu Se existir uma mensagem complementar entre par nteses esta indicar quais informa es estavam sendo enviadas Solu o Verifique se o m dulo do Firewall Ake
129. usuario pode ou nao especificar dominio pesquisa todos configura se deve pesquisar em todos os autenticadores proxy senha habilita autenticacao por proxies do tipo usuario senha proxy token habilita autenticacao por proxies do tipo Token proxy primeiro configura qual o primeiro tipo de autenticacao a ser usado Exemplo 1 mostrando os par metros de autentica o fwauth mostra AUTENTICACAO USUARIO SENHA Pesquisa em todos autenticadores sim Usuario pode especificar dominio nao Autenticadores cadastrados aut Local AUTENTICACAO PKI Nao ha autenticadores cadastrados AUTENTICA O SEGURA ID Nao ha autenticadores cadastrados Exemplo 2 incluindo um autenticador na lista de autenticadores ativos Frweuth inclui autenticador agente 10 040 12 Autenticador incluido 20 0 Perfis de Acesso de Usu rios Neste cap tulo mostraremos para que servem e como configurar perfis de acesso no Firewall Aker 20 1 Planejando a instala o WO que s o perfis de acesso Firewalls tradicionais baseiam suas regras de prote o e controle de acesso a partir de m quinas atrav s de seus endere os IP Enquanto que o Firewall Aker permite este tipo de controle ele tamb m permite que se defina controle de acesso por usu rios Desta forma poss vel que determinados usu rios tenham seus privil gios e restri es garantidos independentemente de qual m quina estejam utilizado em um determinado momento Isso
130. veis Para se incluir uma autoridade certificadora na lista de autoridades certificadoras confi veis deve se proceder da seguinte forma Clica se com o bot o direito do mouse e escolhe se a op o Incluir Entidades Seleciona se a autoridade a ser inclu da Clique em Incluir Pode se tamb m clicar em uma autoridade certificadora e arrast la para posi o desejada oe Para se remover uma autoridade certificadora da lista de autoridades confi veis deve se proceder da seguinte forma 1 Seleciona se a autoridade a ser removida e aperta se a tecla delete ou 2 Clica se no bot o direito do mouse sobre a entidade a ser removida e escolhe se a op o Apagar Autentica o para proxies 5 Autentica o Firewall Azul Seles FA Controle de acesso i M todos i Autentica o para Proxies cal Controle de Acesso por IF G Autentica o local Autentica o Token antes da autentica o usu rio senha O Autentica o uzu rio zenha antes da autentica o Token O Autentica o Token somente O Autentica o ugu rio zenha somente Estes par metros indicam que tipos de autentica o ser o aceitas nos proxies e em que ordem ser o validadas Isso importante pois quando um usu rio autenticando atrav s de um browser por exemplo n o poss vel que ele especifique se est utilizando token ou usu rio senha As op es poss veis da configura o s o e Autenticador Token antes da auten
131. vel do limite de 14 caracteres Al m disso deve se sempre utilizar uma combina o de letras min sculas mai sculas n meros e caracteres especiais nas senhas caracteres especiais s o aqueles encontrados no teclado dos computadores e que n o s o n meros nem letras amp etc Nunca use como senhas palavras em qualquer idioma ou apenas n meros e Confirma o Este campo serve para que se confirme a senha digitada no campo anterior uma vez que esta aparece como asteriscos e Permiss es Este campo define o que um usu rio pode fazer dentro do Firewall Aker Ele consiste de tr s op es que podem ser marcadas independentemente O objetivo destas permiss es possibilitar a cria o de uma administra o descentralizada para o firewall poss vel por exemplo numa empresa que possua v rios departamentos e v rios firewalls deixar um administrador respons vel pela configura o de cada um dos firewalls e um respons vel central com a tarefa de supervisionar a administra o Este supervisor seria a nica pessoa capaz de apagar e alterar a configura o de log e eventos dos firewalls Desta forma apesar de cada departamento ter autonomia de administra o poss vel se ter um controle central do que cada administrador alterou na configura o e quando ele realizou cada altera o Isto um recurso muito importante para se realizar auditorias Internas al m de aumentar a seguran a da administra
132. 1 a Aker recomenda que esta configura o seja utilizada no caso da empresa possuir somente um nico endere o IP v lido para Internet NAT Firewall Azul DER Mat Balanceamento de Link Ativar MAT IN Origem Desting Op es Maquina Virtual Servigos Servi o virtual Balanceamento de link QM Rede DMZ g Rede DMZ O oane E SR Desabilitada rn Rede Interna EA Rede Interna g 200 120 210 15 Desabilitado Nee ees a server RE Internet a Correio SMTP Internet Servi os g 200 120 210 15 Desabilitada D servidor web aker Intemet a SEMIS q 200 120 210 15 SENTI A NT 1 wt Internet ha de servi os 1 M q 200 120 210 154 HTTPS Desabilitada SENTI 6 aly Rede Intema Internet g Teea S 5 lt Desabilitada Comentario Exemplos Cen rio 3 Balanceamento de Link Neste cen rio ser descrito como se realizada o balanceamento de links Suponha que a empresa possua dois prestadores de conex o IP para Internet por exemplo Embratel e Intelig No caso cada operadora forneceu sua faixa de endere o IP para a empresa Primeira Fase Montagem do Balanceamento O administrador do firewal ent o ira realizar o cadastramento e informar as seguintes entidades e campos e Nome Informe um nome para representar o link da operadora e Rede Cadastre a rede que a operadora forneceu e Gateway O IP do roteador da operadora deve ser informado ne
133. 1 18 55 16560 414 049206 803 1 BT 2004 21 18 5415520 398 Fibs Lara es r5 15717 2004 21 18 53 16560 414 ABRE ale 15 17 2004 21 18 52 15200 390 fool 12 r44 154 2004 21 18 51 9000 225 459732 Aad 15 1 2004 21 18 50 16600 415 853560 aa 154 2004 21 18 49 15360 a4 fagl 12 r44 DESA ONDA DO O CCAD dal DESPDO onc Nesta janela os dados computados para a estat stica selecionada ser o mostrados em formato gr fico ou texto Estas informa es s o relativas a data de in cio e fim especificadas na parte superior da janela Para se alterar esta data deve se escolher os campos de Data colocando as datas de inicio e de finaliza o da pesquisa e Leitura Mostra um conjunto de 100 registros de cada vez Cada registro se refere a contabiliza o dos acumuladores da estat stica em um determinado tempo O bot o Remover desta pasta ir remover o conjunto de registros com o tempo especificado e Gr fico Representa os dados contidos na pasta Leitura em formato gr fico O gr fico gerado ao ser pressionado o bot o na barra de ferramentas Este gr fico tamb m permite que o usu rio selecione qual linha deve ser mostrada pressionando se os r tulos dos mesmos P Estat sticas Visual 1 Firewall Verde Y In cio 15 01 2004 00 00 00 Fim 15 01 2004 23 59 59 gt
134. 1 Filtros 2 Filtros 3 propaganda De Cont mvendas A o padr o Aceita Rejeita Configura es Tamanho m ximo da mensagem O bytes 4 Ilimitado Registrar na lista de eventos Envia c pia de todas as mensagens Checagem de ONS reverso habilitada E mail padr o admin aker com br Nesta pasta s o mostradas todas as regras de filtragem para o contexto Estas regras possibilitam que o administrador configure filtros de e mails baseados em seu conte do Para se executar qualquer opera o sobre uma determinada regra basta clicar com o bot o direito do mouse sobre ela Aparecer o seguinte menu este menu ser acionado sempre que se pressionar o bot o direito mesmo que n o exista nenhuma regra selecionada Neste caso somente as op es Incluir e Colar estar o habilitadas d X Inserir Editar Apagar Copier i AB Renomear Inserir Esta op o permite se incluir uma nova regra na lista Se alguma regra estiver selecionada a nova ser Inserida na posi o da regra selecionada Caso contr rio a nova regra ser inclu da no final da lista Editar Esta op o abre a janela de edi o para a regra selecionada Apagar Esta op o remove da lista a regra selecionada Copiar Esta op o copia a regra selecionada para uma rea tempor ria Colar Esta op o copia a regra da rea tempor ria para a lista Se uma regra estiver selecionada a nova ser
135. Aceita o anexo Se essa op o for selecionada o firewall ir manter o arquivo anexado na mensagem e Remove o anexo Se essa op o for selecionada o firewall ir remover o arquivo anexado da mensagem e Remove anexo infectado Se essa op o for selecionada o firewall ira verificar o arquivo anexado da mensagem contra v rus Caso exista v rus o firewall tomar uma das seguintes a es se o arquivo puder ser desinfectado o v rus ser removido e o arquivo reanexado mensagem Caso o arquivo n o possa ser desinfectado o firewall o remover e acrescentar uma mensagem informando o destinat rio desse fato Caso a caixa Registrar na lista de eventos estiver marcada quando a regra for atendida a mesma ser registrada no log de eventos Remover arquivos encriptados Se essa op o estiver marcada o firewall remover os arquivos anexados que estejam compactados e cifrados porque n o poder examin los para testar a presen a de v rus Remover arquivos corrompidos Se essa op o estiver marcada o firewall remover os arquivos anexados que estejam compactados por m corrompidos porque n o poder examin los para testar a presen a de v rus Notifica emissor no caso de remo o do arquivo anexado Se essa op o estiver marcada o firewall enviar uma mensagem para o emissor de um e mail todas as vezes que um ou mais de seus arquivos anexados for removido Envia c pia para o administrador se o arquivo anexado f
136. Aker feito para trabalhar com correio eletr nico SMTP um anagrama para Simple Mail Transfer Protocol que 0 nome completo do servi o de transfer ncia de correio eletr nico na Internet Este proxy possibilita que sejam realizadas filtragens de e mails baseadas em seu conte do ou em qualquer campo de seu cabe alho Ele tamb m atua como uma barreira protegendo o servidor SMTP contra diversos tipos de ataques Ele um proxy transparente para maiores informa es veja o cap tulo intitulado Trabalhando com proxies desta forma nem o servidor nem o cliente sabem de sua exist ncia Descri o de uma mensagem SMTP Para se entender o funcionamento da filtragem de campos do proxy SMTP necess rio algumas informa es sobre as mensagens de correio eletr nico Uma mensagem de e mail formada por tr s partes distintas envelope cabe alho e corpo Cada uma destas partes possui um papel espec fico e Envelope O envelope chamado desta forma por ser an logo a um envelope de uma carta comum Nele se encontram as informa es do emissor e dos destinat rios de uma mensagem Para cada recipiente de um dom nio diferente gerado um novo envelope Desta forma um servidor SMTP recebe no envelope de uma mensagem o nome de todos os recipientes da mensagem que se encontram no seu dom nio O envelope n o visto pelos destinat rios de uma mensagem Ele somente usado entre os servidores SMTP e Cabe alho No cabe a
137. Aplicar enviar para o firewall todas as altera es feitas por m manter a janela aberta e A barra de rolagem do lado direito serve para visualizar as regras que n o couberem na janela Cada regra de estat stica composta dos seguintes campos e Nome Nome da estat stica utilizada para facilitar a sua refer ncia Deve possuir um nome nico entre o conjunto de regras e Intervalo Corresponde ao Intervalo de tempo que se far a totaliza o da regra ou seja a soma dos valores de todos os acumuladores presentes na regra e Acumulador Este campo define quais os acumuladores far o parte da regra e Hora Esta tabela define as horas e dias da semana em que a regra aplic vel As linhas representam os dias da semana e as colunas as horas Caso se queira que a regra seja aplic vel em determinada hora o quadrado deve ser preenchido caso contr rio o quadrado deve ser deixado em branco Para interagir com a janela de regras utilize a barra de ferramentas localizada na parte superior da janela ou clicar com o bot o direito sobre ela Inserir Copiar Colar Apagar Desabilita Alt 5hift E eC x P visualiza o aaa e Inserir Esta op o permite se incluir uma nova regra na lista e Apagar Esta op o remove da lista a regra selecionada e Copiar Esta op o copia a regra selecionada para uma rea tempor ria e Colar Esta op o copia a regra da rea tempor ria para a lista Se uma regra estiver se
138. Copyright 2000 Akamba Corp e inclui software desenvolvido por Niklas Hallqvist Angelos D Keromytis and Haan Olsson e inclui software desenvolvido por Ericsson Radio Systems 1 0 Instalando o Firewall Aker Mostraremos neste cap tulo todos os passos e requisitos necess rios para se Instalar o Firewall Aker 1 1 Requisitos de hardware e software Para o firewall O Firewall Aker 5 1 roda sobre os sistemas operacionais Linux Red Hat 7 3 RedHat 9 e FreeBSD vers es 4 9 e 4 11 em plataformas Intel ou compat veis Devido ao fato de quanto o Linux quanto o FreeBSD serem sistemas gratuitos eles s o distribu dos juntamente com a m dia de instala o do Firewall Aker Desta forma todo o software necess rio para rodar o firewall j vem inclu do com o mesmo N o necess ria a compra de nenhum outro software adicional Quanto ao hardware para que o Firewall Aker execute de maneira satisfat ria necess ria a seguinte lista todos os componentes do hardware devem ser suportados pelo FreeBSD ou pelo Linux em alguma das vers es suportadas pelo firewall e Computador Pentium ou compat vel 200 Mhz ou superior Caso se utilize um link com alta taxa de transfer ncia ou caso se pretenda utilizar criptografia em um link com velocidade relativamente alta necess rio o uso de um computador mais potente e 128 Mbytes de mem ria RAM Caso se pretenda fazer um grande uso dos servi os de proxy e de criptografia provavelme
139. DNS a partir do nome retornado buscando seu endere o IP Se ele n o conseguir realizar esta segunda pesquisa ou se o endere o IP retornado for diferente do endere o de origem a conex o abortada e esta mensagem produzida 061 Poss vel ataque de simula o de protocolo Esta mensagem indica que o firewall durante o monitoramento de uma sess o de algum protocolo com v rias conex es por exemplo FTP e Real Audio Real Video detectou uma tentativa de abertura de conex o para uma porta menor que 1024 ou para um endere o diferente do esperado Isso provavelmente causado por um ataque ou por uma implementa o defeituosa do protocolo A mensagem complementar indica os endere o de origem e destino da conex o 062 Comando inv lido Esta mensagem indica que um dos proxies recebeu um comando considerado inv lido da m quina cliente e devido a 1sso n o repassou o para o servidor As mensagens complementares indicam qual o comando que tentou ser executado e quais as m quinas de origem e destino no caso de proxy transparente da conex o 063 Mensagem SMTP aceita Esta mensagem indica que o proxy SMTP transparente aceitou uma mensagem e a enviou para o servidor A mensagem complementar indica quais as m quinas de origem e destino da conex o e quem s o o remetente e o destinat rio da mensagem 064 Mensagem SMTP rejeitada Esta mensagem indica que o proxy SMTP transparente rejeitou uma mensagem recebida Isto fo
140. Data do Build da GUI Sep 3 2004 Dados da Licen a Empresa Demonstra o Aker H mero m ximo de hosts internos 2a Criptografia habilitada Clusters habilitados Balanceamento de servidores habilitado Balanceamento de links habilitados Dados do Usu rio Permiss es Configurar firewall configura log administrar usu rios In cio da conex o 14 62 34 15 09 2004 Tempo decorrido na conex o 00 20 39 2 5 Utilizando a ajuda on line e a Ajuda R pida O Firewall Aker possui uma ajuda on line bastante completa Ela mostrada em uma janela ao final da interface gr fica Esta janela pode ser escondida ou mostrada sendo poss vel se escolher qual das duas formas atrav s do menu Janelas Sub menu Janelas op o Ajuda A ajuda on line consiste do conte do deste manual mostrado de forma sens vel ao contexto em rela o janela de configura o do firewall ativa ou seja ser mostrada a parte do manual que seja relevante para a janela que se esteja configurando A Ajuda Rapida consiste em uma breve explica o sobre cada um dos itens dos menus de configura o Esta explica o mostrada em uma pequena janela abaixo dos menus como destacado abaixo Dispositivos remotos a Configuration Managers O Firewalls il Dema lh Firewall Vermelho E A Configura o do Firewall E 84 Configuragties do Sistema iS Actes o Administra o de Usu rios A Ativa o da Licen a EB Atualiza o
141. Data e hora ey Par metros de configura o ME TCP IP E Criptografia Jd Ferramentas E i Informa o See Seguran a C atuaiiza o Esta janela permite a aplica o de pacotes de corre o para atualizar o firewall e Clicar no menu Configura es do Sistema da janela de administra o do firewall e Selecionar o item Atualiza o A janela de Atualiza o Atualiza o Firewall Verde Firewall Aker vers o 500 0 Plataforma Sistema Operacional FreeBSD Status SA Nenhum arquivo carregado para atualiza o Descri o Inicialmente a janela de atualiza es mostrar apenas a vers o do firewall seu n vel de corre o e a plataforma sistema operacional e vers o na qual o firewall est rodando Para se aplicar uma atualiza o ou corre o basta se clicar no bot o Carregar arquivo de atualiza o A partir deste momento ser mostrada na parte inferior da janela a descri o da corre o ou atualiza o e a vers o do firewall e do sistema operacional a qual ele se destina Feito isso basta se clicar no bot o Aplicar na parte inferior da janela para que a atualiza o ou corre o seja aplicada ly 3 Caso a atualiza o ou corre o sejam destinadas a uma vers o diferente de sistema operacional ou de vers o do firewall ent o o bot o Aplicar ficar desabilitado n o permitindo sua aplica o 29 9 Configura o TCP IP Esta op o permite que se configur
142. Define o nome da interface externa do firewall Conex es que vierem por esta Interface n o contar o na licen a Valor padr o Configurado durante a instala o do firewall pelo administrador Tempo limite TCP Define o tempo m ximo em segundos que uma conex o TCP pode permanecer sem tr fego e ainda ser considerada ativa pelo firewall Seu valor pode variar de O a 30000 Valor padr o 900 segundos Tempo limite UDP Define o tempo m ximo em segundos que uma conex o UDP pode permanecer sem tr fego e ainda ser considerada ativa pela firewall Seu valor pode variar de O a 30000 Valor padr o 180 segundos SEstes campos s o de vital import ncia para o correto funcionamento do firewall valores muito altos poder o causar problemas de seguran a para servi os baseados no protocolo UDP far o com que o sistema utilize mais mem ria e o tornar o mais lento Valores muito baixos poder o causar constantes quedas de sess o e o mau funcionamento de alguns servi os Tamanho m nimo de senha Define o n mero m nimo de caracteres que as senhas dos administradores devem ter para serem aceitas pelo sistema Seu valor pode variar entre 4 e 14 caracteres Valor padr o 6 caracteres E importante que este valor seja o maior poss vel de modo a evitar a utiliza o de senhas que possam ser facilmente quebradas Servidor NTP Network Time Protocol Define o servidor de tempo que ser utilizado pelo firewall para sin
143. E GOODS OR SERVICES LOSS OF USE DATA OR PROFITS OR BUSINESS INTERRUPTION HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY WHETHER IN CONTRACT STRICT LIABILITY OR TORT INCLUDING NEGLIGENCE OR OTHERWISE ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE The licence and distribution terms for any publically available version or derivative of this code cannot be changed 1 e this code cannot simply be copied and put under another distribution licence including the GNU Public Licence Biblioteca SNMP Copyright 1997 by Carnegie Mellon University All Rights Reserved Permission to use copy modify and distribute this software and its documentation for any purpose and without fee is hereby granted provided that the above copyright notice appear in all copies and that both that copyright notice and this permission notice appear in supporting documentation and that the name of CMU not be used in advertising or publicity pertaining to distribution of the software without specific written prior permission CMU DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS INNO EVENT SHALL CMU BE LIABLE FOR ANY SPECIAL INDIRECT OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE DATA OR PROFITS WHETHER IN AN ACTION OF CONTRACT NEGLIGENCE OR OTHER TORTIOUS ACTION ARISING OUT OF OR IN CONNECTION WIT
144. Entre com o endereco 192 168 1 1 Endereco da rota padrao alterada Pressione qualquer tecla para voltar ao menu anterior A op o 5 permite aplicar as configura es realizadas Caso o usu rio escolha a op o 6 qualquer modifica o feita ser detectada pelo firewall o qual perguntar se deseja sair sem aplicar as mudan as Firewall Aker Versao 5 1 Modulo de configuracao para interfaces de rede Deseja sair sem aplicar as mudancas s n E 30 0 Configurando o Firewall em Cluster Neste cap tulo mostraremos como configurar a toler ncia a falhas e o cluster cooperativo do Firewall Aker 30 1 Planejando a Instala o WO que um sistema de toler ncia a falhas Quanto mais os computadores ganham espa o nas empresas nos escrit rios e na vida das pessoas em geral mais se houve falar em alta disponibilidade Por um simples e bom motivo nenhum usu rio quer que sua m quina pare de funcionar ou que os recursos de rede n o possam mais ser acessados justamente a alta disponibilidade que vai garantir a continuidade de opera o do sistema na presta o de servi os de rede armazenamento ou processamento mesmo se houver falhas em um ou mais de seus elementos Assim alta disponibilidade hoje um assunto que interessa a um n mero cada vez maior de usu rios E sem d vida tornou se um requisito fundamental para os sistemas que ficam no ar 24 horas por dia sete dias por semana ou que n o possam
145. Esta estapa tamb m ser mostrada neste cap tulo 16 1 Utilizando a interface gr fica Para ter acesso a janela de configura o de estat stica basta Dispositivos remotos Configuration Managers E O Firewalls dh Firewall Azul ll Firewall Verde S Configura o do Firewall ty Confiqura es do Sistema Criptografia cd Ferramentas Informa o W Conex es TCF Conex es UDP P Estat sticas EP Estatisticas do sistema Eventos Gr fico da rede sf Informa o de sess o Log ad T neis IPSEC WE Usu rios Conectados See Seguran a E statisticas Configura e mostra as estatisticas de uso de rede do Firewall e Clicar no menu Informa o da janela do firewall que voc deseja administrar e Selecionar o item Estat sticas A janela de regras de estat stica Estat sticas Firewall Verde Seles Nome Intervalo zeg Acumulador Hora Visual 288 1 EM Contador i Visual 1 E nl Cortador Z Or DK tum A janela de estat sticas cont m todas as regras de estat stica definidas no Firewall Aker Cada regra ser mostrada em uma linha separada composta de diversas c lulas Caso uma regras esteja selecionada ela ser mostrada em uma cor diferente e O bot o OK far com que o conjunto de estat sticas seja atualizado e passe a funcionar imediatamente e O Bot o Cancelar far com que todas as altera es feitas sejam desprezadas e a janela seja fechada e O bot o
146. F SUBSTITUTE GOODS OR SERVICES LOSS OF USE DATA OR PROFITS OR BUSINESS INTERRUPTION HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY WHETHER IN CONTRACT STRICT LIABILITY OR TORT INCLUDING NEGLIGENCE OR OTHERWISE ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE Algoritmo MD5 Copyright C 1991 2 RSA Data Security Inc Created 1991 All rights reserved License to copy and use this software is granted provided that it is identified as the RSA Data Security Inc MDS Message Digest Algorithm in all material mentioning or referencing this software or this function License is also granted to make and use derivative works provided that such works are identified as derived from the RSA Data Security Inc MD5 Message Digest Algorithm in all material mentioning or referencing the derived work RSA Data Security Inc makes no representations concerning either the merchantability of this software or the suitability of this software for any particular purpose It is provided as is without express or implied warranty of any kind These notices must be retained in any copies of any part of this documentation and or software Agente SNMP Copyright c 1996 1997 Wes Hardaker and the University of California at Davis COPYRIGHT Many portions of the code in this package were distributed by Carnegie Mellon University All other code and changes to the original code written by Wes Ha
147. Firewall Aker Manual de Configura o da Vers o 5 1 Introdu o 1 0 Instalando o Firewall Aker o 1 1 Requisitos de hardware software o 1 2 Instalando o firewall o 1 3 Instalando a interface remota em plataformas Windows Linux e FreeBSD 2 0 Utilizando a interface remota o 2 1 Iniciando a interface remota o 2 2 Finalizando a administra o remota o 2 3 Mudando sua senha de usu rio o 2 4 Visualizando informa es da sess o o 2 5 Utilizando a ajuda on line 3 0 Administrando usu rios do firewall o 3 1 Utilizando a interface gr fica o 3 2 Utilizando a interface texto 4 0 Configurando os par metros do sistema o 4 1 Utilizando a interface gr fica o 4 2 Utilizando a interface texto 5 0 Cadastrando Entidades o 5 1 Planejando a Instala o o 5 2 Cadastrando entidades utilizando a interface gr fica o 5 3 Utilizando a interface texto o 5 4 Assistente de Entidades 6 0 O Filtro de Estados o 6 1 Planejando a instala o o 6 2 Editando uma lista de regras usando a Interface gr fica o 6 3 Trabalhando com Pol ticas de Filtragem o 6 4 Utilizando a interface texto o 6 5 Utilizando o assistente de regras 7 0 Configurando a Convers o de Endere os o 7 1 Planejando a instala o o 7 2 Utilizando a interface gr fica o 7 3 Utilizando a interface texto o 7 4 Utilizando o Assistente de NAT 8 0 Criando canais de criptografia o 8 1 Planejando a instala o o 8 2 Carregando certificados Aker CDP o 8 3 Carregando certificados IPSEC o 8 4 Confi
148. Gy Data e hora Wy Par metros de configura o Bee CPP Criptografia ER cal Ferramentas cl Inhorma o Sew Sequranca Configura as Interfaces de rede do firewall rotas est ticas e servidores DNS poss vel mostrar ou esconder a Ajuda R pida bastando clicar na op o Ajuda R pida do menu Op es 3 0 Administrando Usu rios do Firewall Neste cap tulo mostraremos como criar os usu rios que ir o administrar remotamente o Firewall Aker O O que s o usu rios do Firewall Aker Para que alguma pessoa consiga administrar remotamente o Firewall Aker necess rio que esta seja reconhecida e validada pelo sistema Esta valida o feita na forma de senhas e para que ela seja poss vel cada um dos administradores dever ser previamente cadastrado com um login e uma senha Al m disso o Firewall Aker permite a exist ncia de v rios administradores distintos cada um respons vel por uma determinada tarefa da administra o Isto al m de facilitar a administra o permite um maior controle e uma maior seguran a no cadastro de usu rios que se define as atribui es de cada um dos administradores 3 1 Utilizando a interface gr fica Para ter acesso a janela de administra o de usu rios na Interface remota basta Dispositivos remotos Configuration Managers Firewalls dli Demo ll Firewall Vermelho i S Configura o do Firewall ty Configura es do Sistema D A es
149. H THE USE OR PERFORMANCE OF THIS SOFTWARE C digos do FreeBSD Copyright c 1982 1986 1993 The Regents of the University of California All rights reserved Redistribution and use in source and binary forms with or without modification are permitted provided that the following conditions are met 1 Redistributions of source code must retain the above copyright notice this list of conditions and the following disclaimer 2 Redistributions in binary form must reproduce the above copyright notice this list of conditions and the following disclaimer in the documentation and or other materials provided with the distribution 3 All advertising materials mentioning features or use of this software must display the following acknowledgement This product includes software developed by the University of California Berkeley and its contributors 4 Neither the name of the University nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS AS IS AND ANY EXPRESS OR IMPLIED WARRANTIES INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT INDIRECT INCIDENTAL SPECIAL EXEMPLARY OR CONSEQUENTIAL DAMAGES INCLUDING BUT NOT LIMITED TO PROCUREMENT O
150. Inclui software desenvolvido pela Universidade da California Berkeley e seus contribuintes Copyright c 1997 2002 Aker Security Solutions Informa es gerais do produto Cancelar 12 10 Utilizando a interface texto Syn Flood A interface texto de configura o da prote o contra SYN flood bastante simples de ser usada e tem as mesmas capacidades da interface gr fica Localiza o do programa etc firewall fwflood Sintaxe Firewall Aker Versao 5 1 fwflood Configura parametros Uso fwflood ativa desativa fwflood inclui remove fwflood tempo lt valor gt Ajuda do programa Firewall Aker Versao 5 1 fwflood Configura parametros Uso fwflood ativa desativa de protecao contra SYN Flood mostra ajuda lt nome gt de protecao contra SYN Flood mostra ajuda fwflood inclui remove lt nome gt fw lood tempo lt valor gt ativa ativa protecao contra SYN Flood desativa desativa protecao contra SYN Flood mostra mostra a configuracao atual Znel ua inclui uma entidade a ser protegida remove remove uma das entidades a serem protegidas tempo configura o tempo maximo de espera para fechar conexao ajuda mostra esta mensagem Para inclui remove temos nome nome da entidade a ser protegida ou removida da protecao Para tempo temos valor tempo maximo de espera em unidades de 500ms Exemplo 1 visualizando a configura o etc firewall fwflood mostra Parame
151. Interna tem acesso irrestrito a Internet Sim O N o Ow Voltar a 5 Configura o da DMZ Wizard de Regras de Filtragem Rede DHZ PA DMZ DeMilitarzed Zone uma rede onde os servidores acess veis externamente est o localizados com a finalidade de o previnir ataques a sua rede Interna se algum destes servidores ficar comprometido Voc tem uma DM DMA Demilitanzed Zone uma rede separada com servidores acess veis externamente Sim O N o E Vota 6 Escolha da entidade da DMZ Wizard de Regras de Filtragem Rede DHZ Selecione a entidade tpo rede que representa sua rede DM Por favor tome cuidado ao fato de que n o pode exitr intersec o da DMA com a rede Interna Selecione a entidade rede que representa sua DHZ a 88 Network5 Network 55 55 0 100 255 255 255 0 w Mova Rede 7 Informa o se a DMZ ter acesso irrestrito a Internet Wizard de Regras de Filtragem Acesso da DMZ a Internet Pa Escolha quails servi os na Internet os computadores da DMZ v o poder usar Voc pode especific los individualmente ou eee permitir o acesso total Cancelar Gu Voltar 8 Servi os a serem disponibilizados para a DMZ Wizard de Regras de Filtragem Acesso da DMZ a Internet Quais servi os da Internet of servidores e as esta es de trabalho da DM v o ter acesso Ds servi os que n o forem selecionados ficar o indispon veis ao final deste ass
152. Isso far com que a convers o de endere os selecionada na regra seja efetuada para todas as m quinas externas Servi os Este campo define quais os servi os que far o parte da regra quando for utilizada o tipo de convers o de Servi os ou 1 N com Servi os A janela ficar desabilitada para os demais tipos de convers o Coment rio Reservado para se colocar uma descri o sobre a regra Muito til na documenta o e manuten o das informa es sobre sua utilidade O bot o Avan ado que somente estar habilitado quando se selecionar convers o de endere os 1 N ou Convers o de servi os 1 N permite que se configure os par metros do monitoramento que ser realizado pelo firewall a fim de detectar se as m quinas participantes do balanceamento est o no ar ou n o e como o balanceamento ser realizado Ao ser clicado a seguinte janela ser mostrada 2 Avan ado Tipo de monitoramento O Pacotes Ping Pedidos HTTP Algorntmo de balanceamento de carga Round Robin O Aleat rio Persist ncia entre conex es Tempo limite segundos O campo Tipo de monitoramento permite que se defina o m todo utilizado pelo firewall para verificar se as m quinas participantes do balanceamento m quinas definidas no campo Entidades Origem est o no ar Ela consiste das seguintes op es Sem monitoramento Se essa op o for selecionada o firewall n o monitorar as m quinas e assumir que elas est o sempre ativ
153. Lista Gr fico 6 65 Mb 3 06 Eb 5 72 Mb 47 Mb 3 81 Mb 2 06 Mb 1 91 Mb 976 56 Kb 0 E ee Se EDS SAT ee LAS2004 1152004 405 2004 445 2004 105 2004 1952004 145 2004 1 5 1200 21 11 40 21 1320 21 1850 21 16 40 200620 21 20 0 21 21 40 21 23 20 Bytes Sent Bytes Rec Packets Sent Packets Recy Ao pressionarmos o botao de salvar estatisticas a janela abaixo ir aparecer de modo a se escolher o nome do arquivo Este arquivo gravado no formato CSV que permite sua manipula o atrav s de planilhas de c lculo Exportar para Look ir Ef rquivos de programas Akerd kerR emoteDesktop O plugins File name File type WA barra de ferramentas da visualiza o das estat sticas A barra de ferramentas da visualiza o das estat sticas ter as seguintes fun es Estatisticas E si Gi Ils Exportar Remover Anterior Pr ximo E O bot o salvar registros permite a exporta o dos dados gerados pelos contadores _ Este bot o ir excluir os registros selecionados gerados pelos contadores Ain mA Este o bot o de navega o dos dados registrados pelos contadores e que est o sendo exibidos pelas estat sticas 16 2 Utilizando a interface texto A interface texto para o acesso s estat sticas tem fu
154. OWEVER CAUSED AND ON ANY THEORY OF LIABILITY WHETHER IN CONTRACT STRICT LIABILITY OR TORT INCLUDING NEGLIGENCE OR OTHERWISE ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE The licence and distribution terms for any publically available version or derivative of this code cannot be changed 1 e this code cannot simply be copied and put under another distribution licence including the GNU Public Licence Biblioteca de criptografia libcrypto Copyright C 1995 1998 Eric Young eay cryptsoft com All rights reserved This package is an SSL implementation written by Eric Young eay cryptsoft com The implementation was written so as to conform with Netscapes SSL This library is free for commercial and non commercial use as long as the following conditions are aheared to The following conditions apply to all code found in this distribution be it the RC4 RSA lhash DES etc code not just the SSL code The SSL documentation included with this distribution is covered by the same copyright terms except that the holder is Tim Hudson tjh cryptsoft com Copyright remains Eric Young s and as such any Copyright notices in the code are not to be removed If this package is used in a product Eric Young should be given attribution as the author of the parts of the library used This can be in the form of a textual message at program startup or in documentation online or tex
155. PSEC s o certificados padr o X 509 utilizados pelo firewall para Identificar se junto a seus pares quando do estabelecimento dos canais criptogr ficos firewall firewall no padr o IPSEC veja a se o Configurando t neis IPSEC logo abaixo Seu uso entretanto n o obrigat rio j que poss vel se estabelecer canais IPSEC usando segredos compartilhados il 3 Para que um firewall aceite um certificado apresentado por outro preciso que ele possua o certificado da Autoridade Certificadora que o emitiu Para ter acesso a janela de manuten o de certificados IPSEC basta e Clicar no menu Criptografia da janela principal e Escolher o item Certificados IPSEC A janela de certificados e requisi es IPSEC DER 4y Certificados IPSEC Firewall Azul a Deste Firewall Ta Uutros Firewalls Home Fequisi o Requisi es Propriet rio do certificado Home Dominio LH Requisi o aber DemoLocall com E mail Regl aker com br akertoRiDemoLocals com SETE ER aker oRD emoLocals com Estado ou Provicia DF Localidade Brasilia Urganiza o Aker Unid Org Aker Tamanho da chave 1024 bits Me Certificados Morne akera CD emoLocall com akerolDemoLocal com akerOCD emoLocal3 com A janela de certificados IPSEC cont m os certificados e as requisi es do Firewall Aker Uma requisi o um formul rio a ser preenchido com seus dados para que
156. PSEC servem para criar uma VPN entre duas redes A palavra t nel utilizada para diferenciar das VPNs comuns pois efetivamente cria um canal virtual entre os firewalls envolvidos possibilitando por exemplo que redes com endere os inv lidos se comuniquem de maneira segura atrav s da Internet Para se configurar canais IPSEC deve se selecionar a op o IPSEC na janela Firewall Firewall Isto provocar a altera o da janela de forma a mostrar os campos necess rios para esta configura o 4x Firewall Firewall Firewall Azul E ei IPSEC AkerCDP SKIP Manual Origem Destino Dire o Gateway remoto Autentica o Segredo compartilhado Certificado local Certificado Remoto Rede Intema El Rede Verde D Encipta o qm vende Segredo Compartilhado H Rede Verde a Rede Interna Decripta o qu verde Segredo Compartilhado Coment rio ai Os campos de configura o t m os seguintes significados Gateway Remoto Define a entidade do tipo m quina que ser o gateway remoto ou seja a outra ponta do t nel IPSEC Cada um dos dois firewalls envolvidos no t nel precisa ter certeza da identidade do outro de forma a evitar ataques de falsifica o Para isso ha dois modos selecionaveis Segredo Compartilhado Uma sequ ncia de caracteres que funciona como uma senha e deve ser igual de cada um dos lados do t nel Certificado Utiliza certificados pa
157. Perfis E Proxy Socks we Prim wht 4 Regras de filtragem Sy Lontiguragoes do Sistema EM Criptografia d Ferramentas E EE Informa o See Seguran a dh Firewall Verde Configura o Network Address Translation NAT e Clicar no menu Configura o do Firewall e Selecionar o item NAT A janela de configura o da convers o de endere os NAT NAT Firewall Azul Nat Balanceamento de Link Ativar NAT N Origer Destino Op es M quina Virtual Servi os Servi o Virtual Balanceamento de link Coment rio A janela de convers o de endere os cont m todas as regras de convers o definidas no Firewall Aker Cada regra ser mostrada em uma linha separada composta de diversas c lulas Caso uma regras esteja selecionada ela ser mostrada em uma cor diferente e O bot o OK far com que o conjunto de regras seja atualizado e passe a funcionar imediatamente e O bot o Aplicar enviar para o firewall todas as altera es feitas por m manter a janela aberta e O bot o Cancelar far com que todas as altera es feitas sejam desprezadas e a janela seja fechada e Existe uma barra para inclus o de coment rios relativo a regra de convers o e A op o Ativar NAT se estiver marcada far com que o firewall passe a converter os endere os de acordo com as regras cadastradas Caso ela esteja desmarcada nenhum tipo de convers o de endere os ser feita e A barra
158. RTSP est habilitado O RTSP Real Time Streaming Protocol um protocolo que atua a n vel de aplica o e ajuda a prover um certo arranjo que permite a entrega controlada de dados de tempo real como udio e v deo Fontes de dados podem incluir programas ao vivo com udio e v deo ou algum conte do armazenado eventos pr gravados Ele projetado para trabalhar com protocolos como o RTP HTTP e ou outro que de suporte a m dia continuas sobre a Internet Ele suporta tr fego multicast bem como unicast E tamb m suporta interoperabilidade entre clientes e servidores de diferentes fabricantes Este par metro faz com que o firewall trate o protocolo de forma especial de modo a permitir que ele funcione transparentemente usando conex es TCP e UDP e Aba SNMP ESSES de RE ae Firewall Azul DAR Gs Global Log E Seguran a W SNMP Monitoramento Comunidade de Leitura Comunidade de Escrita Aplicar Cancelar e Par metros de SNMP Comunidade de leitura Este par metro indica o nome da comunidade que est autorizada a ler dados do firewall via SNMP Caso este campo esteja em branco nenhuma m quina estar autorizada a l los Valor padr o campo em branco Comunidade de escrita Este par metro indica o nome da comunidade que est autorizada a alterar dados do firewall via SNMP Caso este campo esteja em branco nenhuma m quina estar autori
159. Roaming Aceitar as categorias selecionadas abaixo Analise de conten GOPHER gt Rejeitar as categorias selecionadas abaixo FTP HTTP Astrologia e Misticismo Hackers Racismo Geral Cocke Compras Hobbies Sexo Explicito Regras Conversa o Jogos de Azar Veiculos e Motores Crimes e Terrorismo Jogos Eletr nicos Viagens Divers o e Entretenimento M sica Viol ncia C Drogas e Alcool Hamora webb ail Erotismo Noticias Esportes Portais Finan as e Investimentos Procura de Emprego Essa pasta somente til caso se esteja utilizando o Analisador de URLS Aker Ela permite que se especifique quais categorias poder o ou n o ser visualizadas pelo usu rio Caso a op o Aceita categorias selecionadas esteja marcada ent o o firewall permitir que um usu rio acesse a URL desejada apenas se ela pertencer a uma das categorias marcadas Caso contr rio ou seja se a op o N o aceita categorias selecionadas estiver marcada ent o o firewall permitir que um usu rio acesse a URL desejada apenas se ela n o pertencer a nenhuma das categorias marcadas Secure Roaming Perfis Firewall Azul Perfis Nome do Perfil Acesso Internet cf Acesso Internet Secure Roaming An lise de contexto web GOPHER Alterar o gateway padr o durante a sess o WPN 255 FTP HTTP Serene DHS Geral a s ato to socks Servidores WINS R
160. S Ela deve ser um n mero hexadecimal composto obrigatoriamente de 16 d gitos Utilizando troca de chaves via SKIP Para selecionar troca de chaves via SKIP deve se selecionar a op o SKIP na janela Firewall Firewall Isto provocar a altera o da janela de forma a mostrar os campos necess rios para esta configura o No protocolo SKIP todas as informa es de algoritmos de criptografia e autentica o s o configurados apenas na m quina que envia os pacotes Na m quina que ira receb los necess rio a configura o apenas das entidades de origem e destino e do segredo compartilhado Em ambos os casos ser mostrada a seguinte janela no caso de fluxo de recebimento os campos desnecess rios estar o desabilitados Firewall Azul dy Firewall Firewall IPSEC Aker CDP SKIP Manual Origem Destino Dire o Encripta o de dados Encnpta o de pacote Autentica o Segredo compartilhado sa Rede Intema ga Rede Verde a Encripta o E Triple DES Triple DES pep SHA 5 46548 790794980498 Rede Interna ay Decipta g o AAPaY _2YE a a SB 4 B54 464 Coment rio Origem Define as entidades cujos endere os ser o comparados com o endere o origem dos pacotes IP que formar o o fluxo Destino Define as entidades cujos endere os ser o comparados com o endere o destino dos pacotes IP que formar o o fluxo Dire o Define em que sentido o fluxo ser aplicado S existe
161. SHA tanto neste manual quanto nas interfaces de administra o Algoritmos de criptografia sim tricos Os algoritmos de criptografia sim tricos s o utilizados para se encriptar fluxos de informa es Eles possuem uma nica chave que utilizada tanto para encriptar quanto para decriptar os dados e DES O algoritmo DES que um anagrama para Data Encription Standard foi criado pela IBM na d cada de 70 e foi adotado pelo governo americano como padrao at recentemente Ele um algoritmo bastante r pido em implementa es de hardware por m n o t o r pido quando implementado em software Suas chaves de criptografia possuem tamanho fixo de 56 bits n mero considerado pequeno para os padr es atuais Devido a isso deve se dar prefer ncia a outros algoritmos em caso de aplica es cr ticas e Triplo DES ou 3DES Este algoritmo consiste na aplica o do algoritmo DES tr s vezes usando tr s chaves distintas sobre os mesmos dados Isto equivale a se utilizar um algoritmo com chave de 112 bits o que representa uma seguran a extremamente maior do que a oferecida pelo DES O problema deste algoritmo que ele duas vezes mais lento que o DES na implementa o utilizada no Firewall Aker e AES O algoritmo AES foi escolhido dentre muitos concorrentes pelo NIST para substituir o ja inseguro e ineficiente DES AES um anagrama para Advanced Encryption Standard O algoritmo escolhido em concurso foi o Rijndael e e
162. Young s and as such any Copyright notices in the code are not to be removed If this code is used in a product Eric Young should be given attribution as the author of the parts used This can be in the form of a textual message at program startup or in documentation online or textual provided with the package Redistribution and use in source and binary forms with or without modification are permitted provided that the following conditions are met 1 Redistributions of source code must retain the copyright notice this list of conditions and the following disclaimer 2 Redistributions in binary form must reproduce the above copyright notice this list of conditions and the following disclaimer in the documentation and or other materials provided with the distribution 3 All advertising materials mentioning features or use of this software must display the following acknowledgement This product includes software developed by Eric Young eay mincom 0oz au THIS SOFTWARE IS PROVIDED BY ERIC YOUNG AS IS AND ANY EXPRESS OR IMPLIED WARRANTIES INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT INDIRECT INCIDENTAL SPECIAL EXEMPLARY OR CONSEQUENTIAL DAMAGES INCLUDING BUT NOT LIMITED TO PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES LOSS OF USE DATA OR PROFITS OR BUSINESS INTERRUPTION H
163. Z56 gt lt MD5 SHAS lt NENHUM DES 3DES BFISH128 BFISH256 gt lt segredo gt inclui lt pos gt lt origem gt lt destino gt recebe skip lt segredo gt inclui lt pos gt lt origem gt lt destino gt lt envia recebe gt aker Ajuda do programa Firewall Aker fwcripto Configura a tabela de autenticacao e criptografia Usos ENCrIpio fwcripto fwcripto fwcripto fwcripto criptografia gt Cap Para LES EM pil Aker fweripto fwcripto fwcripto fwcripto Versao 5 1 mostra ajuda habilita desabilita remove inclui lt pos gt lt origem gt lt destino gt ipsec lt gateway gt lt ss lt segredo gt inclui lt pos gt lt origem gt lt destino gt manual lt spi gt lt MD5 SHA gt lt chave inclui lt pos gt lt origem gt lt destino gt lt envia recebe gt manual lt spi gt lt MD5 SHA gt lt chave autenticacao gt lt DES BEILSH128 BFISHZ5S6 gt lt tamanho _iv gt lt chave lt pos gt lt envia recebe gt cert lt local gt lt remoto gt gt lt envia recebe gt autenticacao gt NENHUM inclui lt pos gt lt origem gt lt destino gt lt envia recebe gt manual lt spi gt lt MD5 SHA gt lt chave autenticacao gt 3DES lt tamanho_iv gt lt chavel gt lt chave2 gt lt chave3 gt inclui lt pos gt lt origem gt lt destino gt envia skip lt DES SDES BEISH256 gt lt MDS SHA gt lt NENHUM DES 3DES BFISH128
164. _Internet Secure Roaming Analise de contesto Web GOPHER FTP HTTP Geral Socks Regras N Destino Servi o Acumulador Canal A o Resti es Log Hor rio Periodo de Validade Comentario Z K Coen A janela de perfis cont m todos os perfis de acesso definidos no Firewall Aker Ela consiste de uma lista onde cada perfil mostrado em uma linha separada e O bot o OK far com que a janela de perfis seja fechada e O bot o Aplicar enviar para o firewall todas as altera es feitas por m manter a janela aberta Para se executar qualquer opera o sobre um determinado perfil basta clicar sobre ele e a seguir clicar na op o correspondente na barra de ferramentas As seguintes op es est o dispon veis Insere perfil Filho Inserir Copiar eG Colar Apagar xX e Incluir Esta op o permite se incluir um novo perfil na lista e Excluir Esta op o remove da lista o perfil selecionado e Copiar Esta op o copia o perfil selecionado para uma rea tempor ria e Colar Esta op o copia o perfil da rea tempor ria para a lista e Inserir perfil filho Esta op o inclui um novo perfil que filho do perfil atual 1 e estabelece uma hierarquia de perfis e Imprimir Gera relat rio da lista de perfis em um documento html iliy 3 Para se excluir um perfil de acesso ele n o poder estar associado a nenhum usu rio para maiores informa es veja o t pico Asso
165. a es veja o cap tulo intitulado Configurando os par metros do sistema Lista de permiss es Esta lista define de forma individual as permiss es de acesso para usu rios ou grupos Para se executar qualquer opera o sobre um usu rio ou grupo na lista de permiss es basta clicar com o bot o direito do mouse sobre ele Aparecer o seguinte menu este menu ser acionado sempre que se pressionar o bot o direito mesmo que n o exista nenhum usu rio grupo selecionado Neste caso somente as op es Incluir e Colar estar o habilitadas Inserir Editar 8 Apagar e Inserir Esta op o permite se incluir um novo usu rio grupo na lista Se algum usu rio grupo estiver selecionado o novo ser inserido na posi o selecionada Caso contr rio o novo usu rio grupo ser inclu do no final da lista e Editar Esta op o permite que se altere a permiss o de acesso do usu rio grupo selecionado e Apagar Esta op o remove da lista o usu rio grupo selecionado Dica Todas as op es mostradas acima podem ser executadas a partir da barra de ferramentas localizada logo acima da lista Neste caso primeiro seleciona se o usu rio grupo clicando o com o bot o esquerdo e em seguida clica se na op o desejada WI 9 A ordem dos usu rios e grupos na lista de permiss es de fundamental import ncia Quando um usu rio se autenticar o firewall pesquisar a lista a partir do in cio procurando pelo nome
166. a do nome do arquivo onde ser lido o segredo Utilizando troca de chaves via Aker CDP Para selecionar troca de chaves via Aker CDP deve se selecionar a op o Aker CDP na janela Firewall Firewall Isto provocar a altera o da janela de forma a mostrar os campos necess rios para esta configura o Ela ter o seguinte formato 4x Firewall Firewall Firewall Azul Seles IPSEC BkerCDP SKIP Manual Origem Desting Dire o Encripta o de chave Encripta o de dados Autentica o ef Rede Intema 8 Rede verde r ipta Ba Automatic Automatic ppAutomatic E Rede Interna Coment rio A configura o dos par metros da troca de chaves via Aker CDP id ntica a da troca de chaves via SKIP mostrada anteriormente exceto pelo fato de que n o necess rio se especificar um segredo compartilhado e todos os algoritmos podem ser deixados na op o Autom tica o que far com que os firewalls participantes do canal negociem o algoritmo mais seguro suportado por ambos 8 5 Utilizando a interface texto Atrav s da interface texto poss vel se realizar todas as configura es mostradas acima A descri o de cada configura o distinta se encontra em um t pico separado Carregando certificados IPSEC A interface texto de configura o dos certificados IPSEC de uso simples e possui as mesmas capacidades da interface gr fica Localiza o do programa etc firewall fwipseccert Si
167. a um de seus campos A listagem completa de todas as poss veis mensagens e seus significados se encontra no ap ndice A Formato do registro lt Data gt lt Hora gt lt Mensagem gt Complemento Mensagem complementar 1 Mensagem complementar 2 Descri o dos campos Data Data em que o registro foi gerado Hora Hora em que o registro foi gerado Mensagem Mensagem textual que relata o acontecimento Complemento Este campo traz informa es complementares e pode ou n o aparecer dependendo da mensagem Na interface texto caso ele apare a vir entre par nteses Mensagem complementar 1 e 2 Estes complementos s existem no caso de mensagens relacionadas conex es tratadas pelos proxies transparentes e n o transparentes e s o mostrados sempre na linha abaixo da mensagem a que se referem Nestas mensagens complementares se encontram o endere o origem da conex o e no caso dos proxies transparentes o endere o destino 15 3 Utilizando a interface texto A interface texto para o acesso aos eventos tem funcionalidade similar da interface gr fica Todas as fun es da Interface gr fica est o dispon veis exceto a op o de filtragem de mensagens e o fato de que atrav s da interface texto n o se tem acesso s Informa es complementares que s o mostradas quando se seleciona uma mensagem de eventos na Interface gr fica ou quando se ativa a op o Expande mensagens O programa que faz a interface texto
168. a autentica o O tipo de informa o guardada no log depende da configura o realizada no firewall mas basicamente ele inclui informa es sobre os pacotes que foram aceitos descartados e rejeitados os erros apresentados por certos pacotes e as informa es sobre a convers o de endere os De todos estes dados as informa es sobre os pacotes descartados e rejeitados possivelmente a de maior import ncia j que atrav s delas que se consegue determinar poss veis tentativas de invas o tentativa de uso de servi os n o autorizados erros de configura o etc O que um filtro de log Mesmo que o sistema tenha sido configurado para registrar todo o tipo de informa o muitas vezes se est Interessado em alguma informa o espec fica por exemplo suponha que se deseje ver as tentativas de uso do servi o POP3 de uma determinada m quina que foram rejeitadas em um determinado dia ou ainda quais foram aceitas O filtro de log um mecanismo oferecido pelo Firewall Aker para se criar vis es do conjunto total de registros possibilitando que se obtenha as informa es desejadas facilmente O filtro s permite a visualiza o de informa es que tiverem sido registradas no log Caso se deseje obter uma determinada informa o necess rio inicialmente configurar o sistema para registr la e ent o utilizar um filtro para visualiz la 14 1 Utilizando a interface gr fica Para ter acesso a janela
169. a autoridade certificadora gere um certificado Um certificado uma carteira de identidade para autenticar reconhecer como o pr prio o seu propriet rio O Firewall Aker utilizar estes certificados para se autenticar frente a seus pares quando da negocia o de um canal IPSEC Desta forma cada um dos dois Firewalls envolvidos num canal IPSEC tem que gerar seu pr prio certificado As opera es desta janela se encontram na barra de ferramentas localizada acima da janela de Certificados IPSEC ou clicando se com o bot o direito do mouse sobre o campo que se deseja operar Certificado IPSec a vv OE Importar Exportar Submeter Instalar Atualiza Inserir Apagar copiar Colar Importar Exportar Submeter Instalar Atualiza Ov Veo PF x O bot o Inserir permite se incluir uma nova requisi o podendo ser local ou remota sendo que as requisi es e certificados locais ficam na na janela deste firewall e certificados e requisi es remotas ficam na janela outros firewalls O bot o Apagar remove da lista o certificado requisi o selecionado O bot o Copiar copia o certificado requisi o selecionado O bot o Colar cola da mem ria o certificado requisi o copiado O bot o Importar permite que seja carregado um certificado que foi exportado O bot o Exportar permite que salve o certificado selecionado O bot o Submeter permite que carregue um certificado exportado ou carregue um certificado de acordo
170. a designar a largura de banda velocidade m xima de transmiss o em bits por segundo deste Canal Esta banda ser compartilhada entre todas as conex es que usarem este Canal Deve ser escolhida a unidade de medida mais conveniente Buffer um campo texto usado para designar o tamanho do buffer espa o tempor rio de dados utilizado para armazenar pacotes que ser o transmitidos utilizado por este Canal Deve ser escolhido a unidade de medida poss vel se especificar este tamanho manualmente ou deixar que o ele seja atribu do automaticamente A op o Autom tico permite escolher entre estes dois modos de opera o caso ela esteja marcada a atribui o ser autom tica caso contr rio manual Ap s todos os campos estarem preenchidos deve se clicar no bot o OK para realizar a inclus o ou altera o do Canal Para cancelar as altera es realizadas ou a Inclus o deve se pressionar o bot o Cancelar Para facilitar a inclus o de v rios Canais seguidamente existe um bot o chamado Nova que n o estar habilitado durante uma edi o Ao ser clicado este bot o far com que o Canal cujos dados foram preenchidos seja inclu do e a janela de inclus o de Canais mantida aberta pronta para uma nova inclus o Desta forma poss vel se cadastrar rapidamente um grande n mero de Canais 5 3 Utilizando a interface texto A utiliza o da interface texto na configura o das entidades bastante simples e possui p
171. a e possui exatamente as mesmas capacidades da interface gr fica Ela possui entretanto a possibilidade n o dispon vel na interface gr fica de adicionar at tr s m quinas poss veis de administrarem o firewall remotamente mesmo sem a exist ncia de uma regra liberando sua conex o O objetivo desta funcionalidade permitir que mesmo que um administrador tenha feito uma configura o equivocada que impe a sua conex o ainda assim ele poder continuar administrando remotamente o firewall Este par metro chama se end remoto Localiza o do programa etc firewall fwpar Sintaxe fwpar mostra altera parametros de configuracao Uso fwpar mostra ajuda fwpar interface externa lt nome gt fwpar tempo limite tcp tempo limite udp lt segundos gt fwpar ip direcionado lt sim nao gt fwpar suporte ftp suporte real audio suporte rtsp lt sim nao gt fwpar loga conversao loga syslog lt sim nao gt fwpar permanencia log permanencia event permanencia stat lt dias gt fwpar serv log remoto lt nome gt fwpar end remoto lt n gt lt end gt fwpar comunidade leitura comunidade escrita nome mostra mostra a Configuraceo atual ajuda mostra esta mensagem interface externa configura o nome da interface externa conexoes que vierem por esta interface nao contam na licenca tempo limite tcp Ce tempo_limite_udp UDP 1p direcionado suporte ftp suporte real audio SUp
172. a mensagem enviada para o e mail padr o e e mail A c pia da mensagem enviada para o endere o especificado no campo a direita e Pasta RBL Real time Black List Fr Servi os Autom tico x ER Nome SMTP Proxy Editar Inserir Apagar Copiar Colar Protocolo TCP Relay Regras DNS Anexos RBL Avancado Servi o 25 smtp Black lists padr o Black list do usu rio O Inicio 7 echo SBL Nome URL Zona de DNS Fim ORBL Brasil C SORBS DSBL Proxy SMTP Configura es Tamanho m ximo da mensagem 0 ytes Ilimitado Registrar na lista de eventos Envia c pia de todas as mensagens Checagem de DNS reverso habilitada E mail padr o admin aker com br Esta pasta cont m op es de bloqueio de sites considerados fontes de SPAM O bloqueio feito em tempo real mediante consulta a uma ou mais listas de bloqueio din micas mantidas por terceiros Ela consiste das seguintes op es Black list padr o S o cinco listas negras que cont m v rios relays acusados de fazer SPAM envio de mensagem n o desejada Elas s o gerenciadas por organiza es e o firewall simplesmente as consulta antes de aceitar os e mails Marque as op es correspondentes se desejar utilizar esta facilidade e SBL Para saber mais acesse o endere o http www spamhaus com e CBL Para saber mais acesse o endere o http cbl abuseat org e ORBL Brasil Para saber mais acesse o endere o http www globalmedia com br
173. a no final da lista e Editar Esta op o abre a janela de edi o para a regra selecionada e Apagar Esta op o remove da lista a regra selecionada e Copiar Esta op o copia a regra selecionada para uma rea tempor ria e Colar Esta op o copia a regra da rea tempor ria para a lista Se uma regra estiver selecionada a nova ser copiada para a posi o da regra selecionada Caso contr rio ela ser copiada para o final da lista e Renomear Esta op o renomeia a regra selecionada da lista Dica Todas as op es mostradas acima podem ser executadas a partir da barra de ferramentas localizada logo acima da lista Neste caso primeiro seleciona se a regra clicando o com o bot o esquerdo e em seguida clica se na op o desejada No caso de inclus o ou edi o de regras ser mostrada a janela de edi o mostrada abaixo A janela de edi o de regras DNS reverso Regra de DNS reverso HIEI Home spammer perador de pesquisa Texto Registrar na Lista de Eventos Verificar alias A o e ceitar Hejeita Cancela Para se criar uma regra necess rio se preencher os seguintes campos Nome Nome que define unicamente a regra dentro do contexto Este nome ser mostrado na lista de regras do contexto SMTP N o podem existir duas regras com o mesmo nome Operador de pesquisa Os mesmos operadores utilizados nas regras de filtragem SMTP podem ser utilizados para a filtragem do DNS rever
174. a para salvar configura es Escolha o nome do arquivo para salvar Salvar em 9 dkerRemoteDesktop Documentos recentes Desktop Meus documentos Meu computador a Meus locals de rede Nome do arquivo Firewall Verde Salvar como tipo Bake Cancelar Ap s se digitar o nome do arquivo salvo deve se clicar no bot o Salvar Caso n o se deseje mais gravar a c pia de seguran a basta clicar no bot o Cancelar 29 3 Carregar configura es Esta op o permite se restaurar a c pia de seguran a da configura o completa do firewall realizada atrav s da op o anterior Para se restaurar uma c pia de seguran a deve se 8 amp amp Salvar Carregar Desconectar e Clicar no firewall para o qual ser carregada a c pia de seguran a e Selecionar o item Carregar configura es na barra de ferramentas ou no menu com o nome do firewall selecionado A janela para carregar configura es Escolha um arquivo para carregar dados do firewall Examihar 9 dkerRemoteDesktop Documentos recentes Meus documentos Meu computador E Meus locals de rede Nome do arquivo Firewall Verde rquivos do tipo aka Cancelar Esta janela permite que se escolha o nome do arquivo de onde a configura o ser restaurada Ap s seu nome ser especificado o firewall ler todo seu conte do far v rios testes de consist ncia e se o seu conte do estiver v lido ser carre
175. ader SKIP e a configura o do fluxo seguro correspondente indica que ele deveria vir Isto provavelmente causado por uma configura o errada na tabela de criptografia onde um dos lados est configurado para usar SKIP ou Aker CDP e o outro n o ver o cap tulo intitulado Criando Canais de Criptografia 018 SA para o pacote n o cont m informa es SKIP Esta mensagem indica que o m dulo de criptografia recebeu um pacote com um header SKIP e a associa o de seguran a SA correspondente n o possui informa es sobre SKIP ver o cap tulo intitulado Criando Canais de Criptografia Isto provavelmente causado por uma configura o errada na tabela de criptografia onde possivelmente um dos lados est configurado para usar SKIP ou Aker CDP e o outro n o 019 Vers o do protocolo SKIP inv lida Esta mensagem indica que a vers o do protocolo SKIP indicada no pacote em quest o diferente da vers o suportada O Firewall Aker implementa a vers o 1 do protocolo SKIP 020 Valor do contador do protocolo SKIP inv lido O protocolo SKIP envia em cada pacote um contador que incrementado de hora em hora com o objetivo de evitar ataques de repeti o de sequ ncia Esta mensagem indica que o contador recebido no pacote em quest o inv lido Isto pode ter duas causas distintas ou rel gio interno dos dois firewalls se comunicando est defasado em mais de uma hora ou ocorreu uma tentativa de ataque de repeti o de
176. ado para os protocolos TCP e UDP e permite especificar se a conex o que se enquadrar neste servi o ser automaticamente desviada para um dos proxies transparentes do Firewall Aker ou n o O valor padr o Sem Proxy que significa que a conex o n o deve ser desviada para nenhum proxy Quando o protocolo TCP est selecionado as outras op es s o Proxy SMTP Proxy Telnet Proxy FTP Proxy do usu rio Proxy HTTP e Proxy POP3 que desviam para os proxies SMTP Telnet FTP proxies criados pelo usu rio HTTP e POP3 respectivamente Quando o protocolo UDP est selecionado as outras op es s o Proxy RPC que desvia para o proxy RPC e Proxy do Usu rio li 3 O servi o Telnet est associado porta 23 o SMTP porta 25 o FTP porta 21 o HTTP porta 80 e o POP3 porta 110 poss vel se especificar que conex es de quaisquer outras portas sejam desviadas para um destes proxies entretanto isto n o o comportamento padr o e n o deve ser feito a n o ser que se tenha conhecimento de todas as poss veis implica es Caso se tenha especificado que a conex o deve ser desviada para um proxy pode ser necess rio se definir os par metros do contexto que ser utilizado pelo proxy para este servi o Caso isso seja necess rio no momento em que o proxy for selecionado a janela ser expandida para mostrar os par metros adicionais que devem ser configurados A explica o dos par metros de cada um dos contextos dos proxi
177. afeta de forma significativa a performance do firewall Entretanto pode ocorrer queda de desempenho se o sistema possuir rea de mem ria swap e estiver fazendo muito uso dessa o que ira afetar apenas os proxies li J importante observar que a mem ria cache n o considerada mem ria usada Ela acessada apenas quando o sistema precisa reabrir um programa Caso esse programa ainda esteja em cache a reabertura ser mais r pida Por m se o sistema precisar de uma quantidade maior de mem ria livre a rea usada para cache liberada 29 15 Utilizando a interface texto nas Chaves de Ativa o poss vel configurar as Chaves de Ativa o pela interface texto Localiza o do programa etc firewall fwchave O programa interativo e as op es de configura o s o as descritas abaixo Escolhendo a op o ser apresentado o mesmo programa de entrada de chave quando da instala o do firewall Firewall Aker versao 5 1 Modulo de configuracao das chaves de licenca Escolha uma das opcoes abaixo i Atualiza chave de ativacao do firewall 2 Atualiza chave de licencas adicionais 3 Sai do programafl Digite os dados solicitados conforme sua chave de ativa o Firewall Aker versao 5 1 Modulo de configuracao das chaves de licenca Configuracao da chave de ativacao Nome da empresa Aker Demo IP da interface externa 18 8 8 32 Chave de ativacao A125545 5558855 44445222 5558AB555 550DF555 j 29 16 Ut
178. agem de arquivos anexados de fundamental import ncia Para cada arquivo anexado de uma mensagem o firewall pesquisar a lista a partir do in cio procurando uma regra na qual ele se enquadre T o logo uma seja encontrada a a o associada a ela ser executada No caso de inclus o ou edi o de regras ser mostrada a janela de edi o mostrada abaixo A janela de edi o de regras de arquivos Home checa virus Filtrar por tipo MIME Filtrar por nome Operador de pesquisa To ativa o do filtro Somente se ambos s o verdadeiros Se qualquer um for verdadeiro Acao Registrar na lista de eventos Remover arquivos encriptados ex ZIF com senha Remover arquivos corrompidos ex arquivos ZIP mal formatados Notifica emissor no caso de remo o do arquivo anexado Envia c pia para o administrador se o arquivo anexado for removido E mail padr o Cancela Nesta janela s o configurados todos os par metros relativos a uma regra de filtragem de arquivos para um contexto POP3 Ela consiste dos seguintes campos Nome Nome que define unicamente a regra dentro do contexto Este nome ser mostrado na lista de regras de arquivos N o podem existir duas regras com o mesmo nome Filtrar por tipo MIME Esse campo permite com que se defina uma regra de filtragem de arquivos baseando se em seu tipo MIME Ao ser marcada deve se especificar seu tipo e seu subtipo Filtrar por nome Esse campo permite c
179. al da lista e Habilitada Esta op o permite desabilitar habilitar a regra selecionada e Adicionar entidades Adiciona uma entidade cadastrada no firewall Veja se o ponteiro do mouse est sobre o campo o qual se quer inserir a entidade e Remover entidades Remove uma entidade que foi inserida na regra Dica A posi o de cada regra pode ser alterada bastando clicar e arrastar a mesma para a nova posi o desejada soltando em seguida Adicionando e removendo entidades e servi os na regra Para se adicionar uma entidade a um destes campos pode se proceder de duas formas 1 Seleciona se a entidade a ser inclu da clicando se sobre ela na tabela de entidades localizada na parte inferior esquerda da janela e arraste a para o campo correspondente As teclas Insert e Delete podem inserir e remover as entidades respectivamente 2 Clica se com o bot o direito do mouse sobre o campo onde se deseja adicionar as entidades ser exibida uma lista das entidades pertinentes ao campo selecionado bem como que tipo de a o se deseja aplicar sobre as mesmas 3 O duplo clique na entidade ira permitir a edi o da mesma Para se remover uma entidade de um destes campos deve se proceder da seguinte forma 1 Clica se com o bot o direito do mouse sobre o campo onde se encontra a entidade que se deseja remover e ser exibida uma lista das entidades participantes do campo com a op o de remo o da entidades no seguinte formato rem
180. alada Verifique o conte do do diret rio mnt cdrom br control center para ver os nomes de todos os pacotes e selecionar o mais adequado Em plataformas FreeBSD Para instalar a interface remota em plataformas FreeBSD necess rio que os pacotes da biblioteca QT estejam previamente instalados A interface gr fica para o FreeBSD ser distribu da em pacotes tbz Para instalar a Interface neste sistema operacional proceda da seguinte forma Coloque o CD ROM no drive e monte o atrav s do comando mount cdrom Execute o comando pkg add mnt cdrom br remote desktop free aker control center br 1 0 tbz 3 Execute o comando pkg add mnt cdrom br remote desktop free fwgui br man 5 1 tbz 4 Ap s o retorno do prompt de comando a interface estar instalada NO ma 5 O nome do pacote a ser instalado pode mudar conforme a versao do FreeBSD no qual a interface ser instalada Verifique o conte do do diret rio cdrom br control center para ver os nomes de todos os pacotes e selecionar o mais adequado 2 0 Utilizando a Interface Remota Neste cap tulo mostraremos como funciona a interface gr fica remota de administra o do Firewall Aker SO que a administra o remota do Firewall Aker O Firewall Aker pode ser totalmente configurado e administrado remotamente a partir de qualquer m quina que possua um sistema operacional compat vel com uma das vers es da Interface remota que tenha TCP IP e que consiga acessa
181. all deve buscar a senha ou se conectar na base LDAP com as credenciais do usu rio para valid lo Conex o LDAP segura Este campo especifica se a conex o ao servidor LDAP ser encriptada ou n o Ele consiste das seguintes op es e SSL especifica que o firewall usar conex o encriptada via SSL e TLS especifica que o firewall usar conex o encriptada via TLS e Nenhuma especifica que o firewall n o usar criptografia ao se conectar ao servidor LDAP e Para se cadastrar um agente externo do tipo Autenticador Radius necess rio preencher os seguintes campos adicionais fs Autenticador Radius Autom tico A y Nome ma Usu rios Grupos IF Do Porta 186512 Usu rios Grupo de usu rios I 1 backup Pona 1892 Tempo limite da cache IP o endere o IP da m quina onde o agente est rodando Porta N mero da porta onde o servidor RADIUS estar escutando as requisi es de autentica o 1 Backup Este campo permite com que se especifique outra m quina que tamb m estar rodando o servidor RADIUS e que servir como backup no caso de queda da m quina principal Segredo o segredo compartilhado utilizado no servidor RADIUS Confirma o Este campo utilizado apenas para se verificar se o segredo foi digitado corretamente Deve se digit lo exatamente como no campo Segredo Tempo limite de uso da cache Todas as vezes que realiza uma autentica o com sucesso o firewall mant m em m
182. all vermelho Janelas Ajuda OENAR BRA RAN Dispositivos remotos Configuration Managers AO Firewalls Demo mB Firewall Vermelho E Configura o do Firewall E Sy Configura es do Sistema E Criptografia Ed Ferramentas H Informa o cel Seguran a di Firewall Yermelho Configura o dispositivo remoto Firewall vermelho Entidades Firewall vermelho Entidades Firewall Vermelho w TE Acumuladores H BB Agentes exteros E 4 Canais Conjuntos EE Interfaces H E M quinas Redes a fF Servi os Caso n o seja poss vel estabelecer a sess o de administra o ser mostrada uma janela com o erro que impossibilitou sua abertura Neste caso existem v rias mensagens poss veis Abaixo est o listadas as mensagens de erro mais comuns e Aker j sendo utilizado por outra interface O Firewall Aker s permite a exist ncia de uma sess o de administra o em um determinado instante Se esta mensagem for mostrada significa que j existe uma outra Interface remota conectada ou um m dulo de administra o local sendo utilizado e Erro de rede ou conex o encerrada pelo servidor Este um erro gen rico e pode ter uma s rie de causas A sua causa mais comum um erro na digita o do login ou da senha Se o login do usu rio n o estiver cadastrado ou sua senha estiver errada o servidor encerrar a conex o Verifique primeiramente se seu login e sua senha foram digitados corretamente Caso o erro continue siga a segui
183. ando Canais Canais s o entidades usadas em regras de filtragem com o objetivo de limitar a banda de determinados servi os m quinas redes e ou usu rios Seu uso est descrito no cap tulo O Filtro de Estados fa n Canais Autom tico Para se cadastrar uma entidade do tipo Canal necess rio preencher os seguintes campos Nome o nome atrav s do qual o Canal ser referenciado daqui em diante pelo firewall poss vel se especificar este nome manualmente ou deixar que o ele seja atribu do automaticamente A op o Nome autom tico permite escolher entre estes dois modos de opera o caso ela esteja marcada a atribui o ser autom tica caso contr rio manual SLetras mai sculas e min sculas s o consideradas diferentes nos nomes das entidades Desta forma poss vel a exist ncia de v rias entidades compostas de nomes com as mesmas letras por m com combina es distintas de mai sculas e min sculas As entidades Aker AKER e aker s o portanto consideradas diferentes cone o cone que aparecer associado ao Canal em todas as refer ncias Para alter lo basta clicar sobre o desenho do cone atual O firewall ent o mostrar uma lista com todos os poss veis cones para representar interfaces Para escolher entre eles basta clicar no cone desejado e no bot o OK Caso n o se deseje alter lo ap s ver a lista basta clicar no bot o Cancelar Banda um campo texto usado par
184. ando o Ciente de Criptografia est rodando um cone mostrado na barra de tarefas pr ximo ao rel gio Para configur lo basta se clicar uma vez sobre este cone o que provocar o aparecimento da janela de monitoramento e configura o do cliente Esta janela consiste de 6 pastas cada uma respons vel por uma parte da configura o Sess o E Cliente de Criptografia Firewall Aker Sele SESS O Certificados Redes Seguras Log Algoritmos Sobre Cliente Ativo Desativar Cliente de Criptografia Estatisticas Nenhum pedido de conex o C Gr fico Status Nenhum de pedido de conex o segura Histograma Nenhum byte recebido HMenhum byte seguro recebido Nenhum byte transmitido E E E E E E Nenhum byte seguro transmitido Nesta pasta mostrado um resumo do funcionamento do Cliente indicando se o mesmo se encontra ativo ou n o e a quantidade de bytes e conex es seguras e n o seguras que ja passaram pelo Cliente desde o inicio de seu funcionamento Conex es seguras s o aquelas que est o sendo encriptadas e as n o seguras s o aquelas cujos dados trafegam em texto pleno Na parte superior da pasta existe um bot o que permite que se ative ou desative o Cliente Caso o Cliente esteja desativado nenhuma conex o ser encriptada Certificados J Cliente de Criptografia Firewall Aker Sess o Certificados Aedes Seguras Log Algoritmos Sobre Carregar Valor Entidade Certhica
185. ao IP origem Ajuda do programa fwlist Lista e remove conexoes TCP UDP e sess es ativas Uso fwlist ajuda fwlist mostra w TCP UDP sessoes fwlist remove TCP UDP IP origem Porta origem IP destino Porta destino fwlist remove sessao IP origem ajuda mostra esta mensagem mostra lista as conexoes ou sessoes ativas remove remove uma conexao ou sessao ativa Exemplo 1 listando as conex es ativas TCP fwlist most ra TCP Origem IP porta Destino IP porta ALGIO Inativo Estado IOA sT IO Gee TOG EO TE RAS L535 219 00200 Estabelecida AG ee lazi2ze tros LO sda AZ 15436420 00210 Estabelecida Exemplo 2 listando as conex es ativas UDP fwlist mostra UDP Origem IP porta Destino IP porta TALCO Inativo E OD eae ee ete ORS ES LO bela LLERS aS OL QUE TO se ese le Ie 2 TOs mece Ls Soe 20 OO el Exemplo 3 removendo uma conex o TCP e listando as conex es fiWliet remove tcp 10 4 1 196 1067 10 4 1 11 25 fwlist mostra TCP Origem IP porta Destino IP porta ERC LO Inativo Estado LU rs ZPE LO sa a AE LS SOS 2 0 DUTO Estabelecida 18 0 Trabalhando com Proxies Neste cap tulo ser mostrado toda a base de conhecimento necess ria para se entender o funcionamento dos proxies do Firewall Aker Os detalhes espec ficos de cada proxy ser o mostrados nos pr ximos cap tulos 18 1 Planejando a instala o O O que s o proxies Proxies s o programas especializados que geralmente rodam
186. ap s a aplica o da m scara por defini o esta regra n o se aplicaria a este pacote Esta opera o feita em toda a lista de endere os e m scaras destino e origem at o fim da lista ou at uma das regras se aplicar para o pacote examinado Uma lista de regras teria a seguinte forma LO dad C 2 A Op DZ DD A OZ 00 2050200000 VO2o22322 Ea re oa Udeo 2552290552054 ADO LO dad oO 250004020 gt IO mas A Za Dad O LOL Onl E 2595 2530 000 AUD oe Al m dos endere os origem e destino cada pacote IP possui um protocolo e um servi o associados Esta combina o servi o mais protocolo pode ser utilizado como mais um crit rio de filtragem Os servi os no protocolo TCP por exemplo est o sempre associados a uma porta para maiores informa es veja o cap tulo intitulado Cadastrando Entidades Assim pode se tamb m associar uma lista de portas aos endere os Pegaremos como exemplo dois servi os conhecidos o POP3 e o HTTP O POP3 est associado porta 110 do servidor e o HTTP est associado porta 80 Assim iremos acrescentar estas portas no formato da regra Teremos ent o LO a 00 de 25902000 0200 gt 10 22 050 amp 255 25000050 TCP 80 110 SS Origem 7 Destino Pro Oooo s Portas Esta regra autoriza todo pacote que vai da rede 10 1 x x para a rede 10 2 x x e que utiliza os servi os HTTP ou POP3 a trafegar pelo firewall Assim em uma primeira etapa compara
187. ap s ser validado pelo servidor remoto A partir deste momento todas as transfer ncias de arquivos ser o realizadas com sucesso Obs Os browsers j utilizam a forma passiva como padr o para todas as transfer ncias de arquivos via FTP O Administra o remota Eu estou utilizando a administra o remota atrav s da Internet Existe algum risco da minha senha ser interceptada N o Em nenhum momento a senha de um usu rio enviada pela rede decriptada O m todo de autentica o feito atrav s de desafio resposta onde o firewall consegue autenticar o usu rio sem receber a sua senha e a interface remota consegue ter certeza de que est falando com o firewall Eu perdi a senha do nico administrador que estava cadastrado no sistema Existe alguma maneira de recuper la N o existe nenhuma maneira de recuperar uma senha perdida entretanto poss vel se usar um m dulo local de administra o de usu rios e criar um outro administrador ou alterar a senha do administrador existente para uma senha conhecida O m dulo local somente pode ser executado pelo usu rio root e possui o seguinte nome etc firewall fwadmin Interface texto Eu estou trabalhando com a interface texto e reparei que ela n o mostra os acentos de nenhuma palavra Por que isso acontece Ao escrever a interface texto nos optamos por n o utilizar acentos em virtude de existirem v rios tipos de terminais e de p ginas de c digo diferentes o
188. ar o execut vel do agente fwagaut para o diret rio usr local bin e copiar um modelo do arquivo de configura o fwagaut cfg para o diret rio etc Ap s a instala o necess rio se personalizar este arquivo como descrito na pr xima se o li 3 Caso se tenha respondido Sim quando o programa de instala o perguntou se o agente deveria ser iniciado automaticamente uma chamada ser criada em um arquivo de inicializa o da m quina de modo a carregar automaticamente o agente O nome deste arquivo de inicializa o dependente da vers o de Unix utilizada A sintaxe do arquivo de configura o do agente de autentica o Ap s se instalar o agente de autentica o necess rio se criar um arquivo de configura o com o endere o dos firewalls que poder o utiliz lo e a senha de acesso de cada um Este arquivo em formato texto e pode ser criado por qualquer editor WI a O arquivo de configura o do agente de autentica o deve ter seus direitos configurados de forma que s o usu rio root possa ler ou alterar seu conte do Para fazer isso pode se usar o comando chmod com a seguinte sintaxe chmod 600 nome do arquivo sua sintaxe a seguinte e Cada linha deve conter o endere o IP de um Firewall Aker que ira utilizar o agente um ou mais espa os em branco ou caracteres tab e a senha de acesso que o firewall ira utilizar para a comunica o e Linhas come adas pelo caractere bem
189. ar as m quinas que ir o acessar os servi os externamente No campo Servi os deve se escolher todos os servi os que ser o redirecionados para a m quina presente em Entidades Origem quando uma m quina presente nas Entidades Destino acess los no endere o IP da Entidade Virtual il 5 Quando o m dulo de Cluster Cooperativo estiver funcionado n o poss vel a convers o de servi os e Convers o 1 N Esta op o utilizada para se fazer balanceamento de carga ou seja possibilitar que v rias m quinas respondam como se fossem uma nica No campo Entidades Origem deve se colocar a lista de m quinas que far o parte do balanceamento e que passar o a responder como se fossem uma nica No campo Entidades Destino deve se colocar as m quinas que ir o acessar as m quinas Internas pelo endere o especificado na entidade presente no campo Entidade Virtual Inserir Copier Ls Colar XX d pagar Q Desabilita Alk ShiFE E Avancada O Host4 l4 Td O E Host 5 F Edita Setl 7 G9 Remove sett Vv x TR 4 gt 4 4 Cancel Adicionar entidades Remover entidades i Cancel Mai das ais usadas e Sa e Networks ler OK Cancel II S Nesse tipo de convers o as m quinas pertencentes ao campo Entidade Origem podem ter pesos diferentes ou seja caso uma m quina tenha peso 1 e outra peso 2 ent o s
190. ara a cria o de canais seguros Cliente Firewall Para que seja poss vel o estabelecimento de canais seguros entre clientes e um firewall necess rio que a seguinte lista de condi es seja atendida 1 O Cliente de Criptografia Aker esteja instalado em todas as m quinas que estabelecer o canais seguros com o firewall 2 O certificado local do firewall esteja carregado para maiores informa es sobre certificados veja o cap tulo entitulado Criando canais de criptografia 3 O firewall esteja configurado de forma a permitir que clientes de criptografia estabele am sess es seguras 4 Os clientes estejam configurados de forma a estabelecer canais de criptografia com as redes protegidas pelo firewall Ally JO cliente de criptografia utilizar a porta 2473 UDP protocolo Aker CDP para estabelecer o canal seguro com o firewall E necess rio que n o exista nenhum outro firewall ou mecanismo de controle no caminho que impe a a passagem de pacotes para esta porta caso contr rio n o ser poss vel o estabelecimento dos canais seguros il 30 cliente de criptografia somente encripta dados enviados atrav s de Winsock nao encriptando nenhum tipo de comunica o NetBIOS Definindo um canal seguro cliente firewall A defini o de um canal seguro cliente firewall bem mais simples do que a de um canal firewall firewall necess rio apenas se configurar no firewall quais m quinas poder o estabelecer canais seguros de c
191. ara clientes de criptografia Para se atualizar qualquer uma destas chaves atrav s da Interface gr fica deve se Dispositivos remotos 7 Configuration Managers Firewalls Ah Firewall Azul ll Firewall Verde i S Configura o do Firewall Confiqura es do Sistema Actes dministra o de Usu rios E Atualiza o a Data e hora Ay Far metros de configura o ME TCP IP Criptografia a Ferramentas Informa o ee Seguran a tra o da Licen a tera as heen as de criptografia e ativa o do firewall e Clicar no menu Configura o do Sistema da janela de administra o do firewall e Selecionar o item Ativa o da Licen a A janela de atualiza o de chaves fy Ativa o da Licen a Firewall Verde Sie Licen a do firewall Secure Roaming license Identifica o de Licen a Empresa Firewall Verde Endere o IP 192 168 45 Chave de ativa o AAAAAAAA BBBBBBBB CCCCCCCC DDDDDDDD N mero m ximo de m quinas Internas 25 Data de expira o 15 10 2004 Esta janelas tem dois pain is O primeiro usado para alterar a licen a do firewall Voc n o pode ver a licen a antiga mas pode ver os seus dados de expira o e quantidade de hosts internos No segundo tab o mesmo ocorre para o Secure Roaming Para se alterar qualquer uma destas chaves basta se digitar o valor da nova chave e clicar no bo
192. ara o m dulo de criptografia e O m dulo de encripta o O m dulo de encripta o recebe um pacote validado e com os endere os convertidos e decide baseado em sua configura o se este pacote deve ser encriptado ou autenticado antes de ser enviado ao destino Em caso positivo o pacote ser autenticado encriptado e sofrer o acr scimo de cabe alhos espec ficos destas opera es Independentemente de ter sido encriptado autenticado ou n o o pacote ser enviado pela rede O fluxo de fora para dentro Todo o pacote proveniente da rede externa em dire o rede interna ao atingir o firewall passa pelos m dulos na seguinte ordem m dulo de montagem m dulo de decripta o conversor de endere os e filtro de pacotes Entrada do Pacote W Monigagem Decripiacdo Conversor Filtro Tr adda do Pacote e O m dulo de montagem O m dulo de montagem o respons vel por armazenar todos os fragmentos de pacotes IP recebidos at que estes possam ser montados e convertidos em um pacote completo Este pacote ser ent o entregue para os demais m dulos e O m dulo de decripta o O m dulo de decripta o tem a fun o de remover os cabe alhos adicionados pelo m dulo de encripta o verificar a assinatura de autentica o do pacote e decript lo Caso a autentica o ou a criptografia apresentem erro o pacote ser descartado A outra fun o deste m dulo assegurar que todos os pacote
193. ara realizar a inclus o ou altera o do conjunto Para cancelar as altera es realizadas ou a inclus o deve se pressionar o bot o Cancelar Para facilitar a inclus o de v rios conjuntos seguidamente existe um bot o chamado Nova que n o estar habilitado durante uma edi o Ao ser clicado este bot o far com que o conjunto cujos dados foram preenchidos seja inclu do e a janela de inclus o de conjuntos mantida aberta pronta para uma nova inclus o Desta forma poss vel se cadastrar rapidamente um grande n mero de conjuntos Incluindo Editando agentes externos Agentes externos s o utilizados para a defini o de programas complementares ao Firewall Aker respons veis por fun es espec ficas que podem estar rodando em m quinas distintas Quando houver necessidade de realiza o de uma determinada tarefa por um dos agentes externos ou vice versa o firewall se comunicar com eles e requisitar sua execu o BS Agentes externos E Agentes Antivirus ES Agentes IDS CyAnalisadores de Contesta J Autenticadores De Autenticadores LDAP gt Autenticadores Hadius Autenticadores Token FE Autoridades Certificadoras a Servidores Remotos de Log Existem 8 diferentes tipos de agentes externos cada um respons vel por um tipo distinto de tarefas e Agentes Antiv rus Os agentes antiv rus s o utilizados pelo proxy SMTP POP3 e Proxy WWW para realizar a checagem e desinfec o de virus de forma tran
194. arcado como ativo Esta mensagem indica que a maquina de teste do balanceamento de link esta no ar Para maiores informa es consulte o capitulo Intitulado Configurando a Convers o de Endere os 231 Host n o respondeu e foi marcado como inativo Esta mensagem indica que a maquina de teste do balanceamento de link esta fora ar ou n o foi poss vel a sua verifica o Para maiores informa es consulte o capitulo intitulado Configurando a Convers o de Endere os 232 Link foi marcado como ativo Esta mensagem indica que o balanceamento de link esta no ar Para maiores informa es consulte o capitulo intitulado Configurando a Convers o de Endere os 233 Link foi marcado como inativo Esta mensagem indica que o balanceamento de link esta fora do ar Para maiores Informa es consulte o capitulo intitulado Configurando a Convers o de Endere os Ap ndice B Perguntas e respostas O Filtro com estado Estou tentando fazer uma transfer ncia de arquivos via FTP a partir da m quina onde o firewall est instalado Eu consigo me conectar e ser validado pelo servidor FTP remoto por m quando tento transferir um arquivo recebo uma mensagem de que n o foi poss vel abrir conex o de dados Como posso resolver este problema A nica maneira de se fazer uma transfer ncia de arquivos via FTP a partir do firewall utilizar a forma passiva Para isso basta digitar o comando passive na linha de comandos do FTP logo
195. as Pacotes Ping Se essa op o for selecionada o firewall monitorar as m quinas atrav s de pacotes ICMP de Echo Request e Echo Reply que tamb m s o utilizados pelo comando PING da o nome dessa op o Requisi es HTTP Se essa op o for selecionada o firewall monitorar as m quinas atrav s de requisi es HTTP Nesse caso necess rio se especificar a URL sem o prefixo http que o firewall tenter acessar em cada m quina para verificar se ela est ativa ou n o Algoritmo de balanceamento de carga Esse campo permite que se defina o m todo utilizado para balancear as requisi es entre as m quinas presentes no campo Entidades Origem Ele consiste das seguintes op es Round Robin Se essa op o for selecionada o firewall distribuir sequencialmente as requisi es para as m quinas participantes do balanceamento uma a uma Caso as m quinas tenham pesos diferentes primeiro ser distribu da uma conex o para cada m quina a seguir uma conex o para cada m quina que rebeceu um n mero de conex es menor que seu peso e assim sucessivamente Quanto todas as m quinas receberem o n mero de conex es equivalente a seu peso o algoritmo se inicia Rand mico Se essa op o for selecionada o firewall distribuir as conex es de forma rand mica entre as m quinas ou seja a probabilidade de uma conex o ser redirecionada para uma determinada m quina igual a raz o entre seu peso e o peso t
196. as periodicamente de forma autom tica ou n o Clicando se sobre ele alterna se entre os dois modos de opera o O intervalo de atualiza o pode ser configurado mudando se o valor logo a direita deste campo e O bot o Remover localizado na barra de ferramentas permite que se remova uma sess o de usu rio Para tal deve se primeiro clicar sobre a sess o que se deseja remover e a seguir clicar neste bot o ele estar desabilitado enquanto n o existir nenhuma sess o selecionada e O bot o DNS localizado na barra de ferramentas acionar o servi o de nomes DNS para resolver os nomes das m quinas cujos endere os IPs aparecem listados Cabem ser observados os seguintes pontos 1 A resolu o de nomes muitas vezes um servi o lento e devido a isso a tradu o dos nomes feita em segundo plano 2 Muitas vezes devido a problemas de configura o do DNS reverso que o utilizado para resolver nomes a partir de endere os IP n o ser poss vel a resolu o de certos endere os Neste caso os endere os n o resolvidos ser o mantidos na forma original e ser indicado ao seu lado que eles n o possuem DNS reverso configurado e E poss vel se ordenar a lista das sess es por qualquer um de seus campos bastanto para isso clicar no t tulo do campo O primeiro click produzir uma ordena o ascendente e o segundo uma ordena o descendente Significado dos campos de uma sess o de usu rio ativa Cada l
197. as de seu funcionamento Esta defini o feita na janela de configura o do proxy WWW Para acess la basta Dispositivos remotos Configuration Managers E O Firewalls dh Firewall Azul lh Firewall Verde SF Configura o do Firewall JB Autentica o 4 Bloqueio de Banners Entidades NAT CE Perfis i E Proxy Socks 5 Regras de filtragem H E Contigura es do Sistema E E Criptografia vd Ferramentas E 4 Informa o See Seguran a WU Proxy Wit Configura o proxy WoO do firewall e Clicar no menu Configura o do Firewall da janela do firewall e Selecionar o item Proxy WWW A janela de configura o de par metros do proxy WWW Proxy WWW Firewall Verde DER Ativar Proxy Waa Geral Controle de Conte do Anti irus Tipos de rquivo Cache Habilitar cache IP 132 168 1 1 Porta 3125 Par metros Autenticar usu rios Why Utiliza cliente de autentica o em Java For ar autentica o Tempo limite 5 Leitura HTTPS 180 amp Resposta Manter ativo Performance Numero de processos e O bot o OK far com que a janela de configura o do proxy WWW seja fechada e as altera es salvas e O bot o Aplicar enviar para o firewall todas as altera es feitas por m manter a janela aberta e O bot o Cancelar far com que todas as altera es feitas sejam desprezadas e a janela seja fechada Pasta geral e Cac
198. as produz dados invis veis e imut veis para qualquer maquina que se encontre no caminho dos pacotes da origem ao destino SO que criptografia Criptografia a combina o de uma chave com um algoritmo matem tico baseado em uma fun o unidirecional Este algoritmo aplicado aos dados juntamente com a chave de modo a torn los indecifraveis para qualquer um que os veja O modo que isso feito garante que somente poss vel se obter os dados originais caso se possua o algoritmo e a chave usados inicialmente Mantendo se um destes dois componentes secretos no caso a chave faz se com que a visualiza o dos dados por terceiros se torne imposs vel WO que autentica o Autentica o tamb m a combina o de uma chave com um algoritmo matem tico baseado em uma fun o unidirecional A diferen a em rela o a criptografia que este algoritmo quando aplicado sobre os dados n o produz dados indecifr veis mas sim uma assinatura digital para estes Essa assinatura gerada de tal forma que qualquer pessoa que desconhe a o algoritmo ou a chave utilizados para ger la seja incapaz de calcula la Quando a assinatura digital gerada ela passa a ser transmitida para o destino junto com os dados Caso estes tenham sofrido quaisquer altera es no caminho o recipiente quando calcular a assinatura digital dos dados recebidos e compar la com a assinatura recebida ir perceber que as duas s o diferentes
199. atada pelo proxy SMTP Verifique se o servidor segue a padroniza o da RFC ou ajuste o mesmo para tal 071 Servidor SMTP fechou conex o O servidor SMTP fechou inesperadamente a conex o Isto pode ter acontecido por problemas de trafego excessivo ou erro no proprio servidor Normalmente as conex es s o restabelecidas automaticamente Se o problema esta ocorrendo com frequ ncia tente aumentar os tempos de negocia o do protocolo SMTP no proxy 072 Servidor SMTP acusou erro Esta mensagem indica que o servidor SMTP considerou uma das transa es SMTP errada 073 Endere o de e mail inv lido enviado pelo cliente SMTP Esta mensagem indica que o cliente SMTP n o forneceu um endere o de e mail em formato v lido 074 Tentativa de relay n o permitido bloqueada Esta mensagem indica que uma tentativa de relay foi bloqueada pelo firewall Verifique o cap tulo Editando os par metros de um contexto SMTP para liberar dom nios permitidos para relay 075 Falta de espa o disco cheio para analisar mensagem Esta mensagem indica que o disco r gido do firewall est cheio Tente esvaziar os arquivos de logs ou aumentar a capacidade do disco para o firewall poder analisar a mensagem 076 Mensagem estourou tamanho m ximo permitido Esta mensagem indica que a mensagem SMTP ultrapassou o tamanho m ximo permitido Verifique o cap tulo Editando os par metros de um contexto SMTP para aumentar o tamanho de recebimento da mensa
200. azendo se isso uma configura o em branco ser criada Para se editar os par metros desta ou de qualquer outra configura o basta se clicar sobre seu nome e a seguir modificar os par metros desejados Significado dos par metros Nome da configura o Este o nome que ser mostrado no console de administra o do Real Secure NFR Dragon Enterasys e Snort Quando selecionado executar as a es definidas pelo administrador Notifica o Este campo permite definir que a es ser o executadas pelo firewall quando uma regra de bloqueio for acrescentada pela execu o da configura o Caso a op o Padr o seja selecionada ent o as a es associadas mensagem Regra de bloqueio IDS acrescentada ser o executadas Caso contr rio pode se especificar exatamente que a es devem ser tomadas Para maiores informa es sobre a configura o das a es veja o cap tulo Configurando as a es do sistema Bloqueio Este campo permite se definir que tipo de bloqueio ser realizado quando a configura o for executada Existem tr s op es poss veis que podem ser selecionadas independentemente quando mais de uma op o for selecionada a regra bloquear pacotes que se enquadrem em todas as op es marcadas e n o em apenas algumas Origem Os pacotes que tiverem endere o origem igual ao da regra ser o bloqueados Destino Os pacotes que tiverem endere o destino igual ao da regra ser o bloqueados Servi o Os pacot
201. baixa Ociosa 6 3 Trabalhando com Pol ticas de Filtragem Uma nova implementa o foi inserida na configura o das regras de filtragem do firewall que o uso de Pol ticas de Filtragem Este recurso permite que o administrador do firewall fa a um agrupamento de regras dentro de um levantamento feito dos fluxos que ocorrerem entre as suas sub redes Para exemplificar suponha que o administrador possua um firewall colocado entre as redes interna DMZ e Internet conforme esquema abaixo imienna aE UAT Par TENE Pode se verificar os possiveis fluxos de dados que poderao ocorrer entre essas redes Para cada fluxo foi dada uma numera o e com isso pode se concluir que os fluxos com n meros mais altos 5 e 6 ser o considerados os mais inseguros pois envolvem o acesso da internet as redes DMZ e interna respectivamente Estes fluxos para o firewall ser o desdobrados em regras de filtragem com isto poderia se ter as seguintes regras Regras de Filtragem N Origem 1 Maquina_Admin Firewall Interno E Internet a Internet Bi 4 2 Internet 5 amp serverl Destino E amp t Internet Firewall Externo Firewall Externo Firewall Interno Firewall DMZ wi nai Sol ete ener Correio SMTP 6 ss Rede Interna tr servidor web s Rede Interna T Rede _ DMZ Servi os at Aker amp Echo Reply amp Echo Request Aker CDP Aker CL todos TCP
202. basta clicar com o bot o direito do mouse sobre o campo que se deseja alterar Aparecer um menu com as op es de entidades referentes ao campo como na figura abaixo Regras de filtragem Firewall Azul N Origem Destino Servi os Acumulador Canal o Restri es Log Hora Per odo de validade A i 4 Pol tica Padr o d 12273 udp E 12273 Internet T Internet S ak ak Ecl Copiar Inserir Colar f Intemet eo fws Apagar Toi desabilts Alt Shift E EB To P Edita AKER SRS UDP 3 1000125 intemet Bio A SS E To R Remove AKER SRS UDP Tel o 4 adicionar entidades gt 4 El Apis E Firewall Interface DMZ amp Ecl X Remover entidades 12273 de 12273 udp S NetBIOS DGM EM AKER SRS TCP E pe E NetBIOS NS AKER SRS UDP a Internet G Internet 1500 1 EM NetBIOS SSN 43 Echo Request EM Rip Coment rio e Inserir Esta op o permite se incluir uma nova regra na lista Se alguma regra estiver selecionada a nova ser Inserida na posi o da regra selecionada Caso contr rio a nova regra ser inclu da no final da lista e Apagar Esta op o remove da lista a regra selecionada e Copiar Esta op o copia a regra selecionada para uma rea tempor ria e Colar Esta op o copia a regra da rea tempor ria para a lista Se uma regra estiver selecionada a nova ser copiada para a posi o da regra selecionada Caso contr rio ela ser copiada para o fin
203. belece uma sess o com o firewall etc at mensagens provocadas por erros de configura o ou de execu o O O que um filtro de eventos Mesmo que o sistema tenha sido configurado para registrar todos os poss veis eventos muitas vezes se est Interessado em alguma informa o espec fica por exemplo suponha que se deseje ver todas as mensagens do dia de ontem O filtro de eventos um mecanismo oferecido pelo Firewall Aker para se criar vis es do conjunto total de mensagens possibilitando que se obtenha as informa es desejadas facilmente O filtro s permite a visualiza o de informa es que tiverem sido registradas nos eventos Caso se deseje obter uma determinada informa o necess rio inicialmente configurar o sistema para registr la e ent o utilizar um filtro para visualiz la 15 1 Utilizando a interface gr fica Para ter acesso a janela de eventos basta Dispositivos remotos z Configuration Managers O Firewalls Ah Firewall Azul ll Firewall Verde Configura o do Firewall G Sy Confiqura es do Sistema 4 Criptografia al Ferramentas Ei Informa o Pod ME Conex es TCP i WP Conex es UDF AE statisticas fm MIE statisticas do sistema E Eventos 2 Gr fico da rede of Informa o de sess o R Log a T neis IPSEC 3 WE Usu rios Conectados ce E eguran a cs Eventos Esta janela mostra o log de eventos do Firewall e Clicar no menu Informa
204. berta Significado dos campos da janela Ativa o do controle anti spoofing A marca o da caixa ativa a prote o Anti Spoofing Interface Corresponde a interface cadastrada no firewall pelo administrador Status Neste campo mostrado o estado da interface ou seja se est ativa ou n o Este campo n o pode ser editado Tipo Por padr o este campo marcado como Externa Clicando se com o bot o direito do mouse poder ser trocado o tipo para Protegida passando o campo Entidades para a condi o de edit vel Protegida significa que a interface est conectada a uma rede interna e somente ser o aceitos pacotes com endere os IP originados em alguma das entidades especificadas na regra Externa significa que uma interface conectada a Internet da qual ser o aceitos pacotes provenientes de quaisquer endere os origem exceto os pertencentes a entidades listadas nas regras de interfaces marcadas como Protegidas Entidades Quanto se define uma interface Protegida deve se incluir neste campo a lista de todas as redes e ou m quinas que se encontram conectadas a esta interface 12 7 Sistema de Detec o de Intrus o IDS SO que um sistema de detec o de intrus o IDS Os sistemas de detec o de intrus o t m a habilidade de identificar uma tentativa de acesso um sistema ou rede que n o esteja de acordo com a pol tica de seguran a existente na organiza o Esta identifica o calculada utilizando se
205. bits Chaves a chave que ser utilizada para criptografar o pacote Ela deve ser um n mero hexadecimal composto obrigatoriamente de 16 32 e 64 d gitos no caso dos algoritmos DES Blowfish 128 bits e Blowfish 256 bits respectivamente Autentica o com criptografia usando o Triplo DES 3DES Para se utilizar fluxos com criptografia pelo algoritmo Triplo DES deve se selecionar a op o 3DES no campo Algoritmo de encripta o Neste caso ser mostrada a seguinte janela 4x Firewall Firewall Firewall Azul IPSEC AkerCDP SKIP Manual Origem Destino Dire o SPI Autentica o Chave de autentica o Algoritmo de encripta o Vetor de inicializa o Chaves disRede Intema 3 Rede_Verde ba Encripta o 256 MDS 43123456 Triple DES 32 bits 1234587333 cm Rede Verde Rede Interna ey Decripta o 256 typ MDS 8 654321 Triple DES 32 bits 8123587456 Comentario A janela mostrada neste caso exatamente igual a do item intitulado apenas autentica o com altera o do campo Chave onde anteriormente s havia um campo para inser o agora s o tr s Chave 1 a chave utilizada na primeira aplica o do DES Ela deve ser um n mero hexadecimal composto obrigatoriamente de 16 d gitos Chave 2 a chave utilizada na segunda aplica o do DES Ela deve ser um n mero hexadecimal composto obrigatoriamente de 16 d gitos Chave 3 a chave utilizada na terceira aplica o do DE
206. brando que diferente do cluster no firewall 4 5 aqui todos os firewalls possuem endere os 1p diferentes Exemplos Firewall A rlO if externa 10 0 0 1 Firewall B rlO 1 externa 10 0 0 2 rll 1f interna 192 168 1 1 rll 1f interna 192 168 1 2 rl2 1f controle 172 16 0 1 rl2 1f controle 172 16 0 2 Firewall C rl0 if externa 10 0 0 3 rll if_interna 192 168 1 3 rl2 if_controle 172 16 0 3 Em seguida crie uma entidade vitual para cada uma das placas exeto para a interface de controle essas entidades terao valor igual para todos os firewalls do cluster Exemplos Firewall A externa firewall ip 10 0 0 4 Firewall B externa firewall ip 10 0 0 4 interna firewall ip 192 168 1 4 interna firewall ip 192 168 1 4 Firewall C externa firewall ip 10 0 0 4 interna firewall ip 192 168 1 4 Para iniciar a configura o do cluster crie primeiro a interface de controle etc firewall fwcluster interface controle interface cadastrada Depois inicie o cadastro de cada uma das interfaces participantes do firewall etc firewall fwcluster inclui interface cadastrada maquina virtual cadastrada Defina o peso de cada Firewall se n o for definido por padr o ser aplicado peso 1 para todos etc firewall fwcluster peso numero do peso Ap s aplicar todas essas configura es em todos os firewalls participantes habilite o cluster em cada um deles etc firewall fwcluster habilita Ally wW AS m
207. bre um determinado certificado seus campos principais ser o mostrados na lista direita da janela e Ao clicar se com o bot o direito do mouse em cima de um dos campos da janela Certificados a seguinte janela ira aparecer Ee Inserir a Apagar E Copiar As Certificado Local il 3 Os campos de cada certificado mostrados direita s o apenas informativos N o poss vel se alterar nenhum destes valores Para se carregar um novo certificado deve se proceder da seguinte forma Aker CDP Certificates a E O Local C A Revoga o Atualiza 1 Clica se em um dos bot es clicando com o bot o direito do mouse sobre o tipo de certificado que se deseja carregar ou nos bot es correspondentes localizados na barra de ferramentas superior Os tipos de certificados dispon veis s o os seguintes Certificado Local Autoridade Certificadora ou Certificado de Revoga o 2 Ser mostrada uma janela para que se escolha o nome e a localiza o do arquivo a ser carregado Ap s se especificar este nome deve se clicar no bot o Abrir SPara que se possa utilizar canais seguros firewall firewall utilizando o protocolo Aker CDP e ativar o suporte a canais seguros cliente firewall necess rio se carregar o certificado de criptografia local fornecido pela Aker Security Solutions ou seu representante autorizado no momento de compra do Firewall Aker com a op o de criptografia 8 3 Certificados IPSEC Os certificados I
208. bytes pacotes Recebidos bytes pacotes 2 OJOO a eo ASRA S2 O yale wal 297 LO AO CIs Ma ZA 652 6 654 6 LO TO 2001 Mi eZ lice 34 234 2 980 9 ZOE MOSZOOL LFLS 324 3 650 6 2971072001 ISSA SPTE 150 71 20 0 2008 TITELA 985 9 240 2 2971072001 17714754 842 8 840 8 2974 TOM200L LHES TA 85 TS 289 2 2971072001 16456214 186 7 261 2 17 0 Visualizando e Removendo Conex es Neste cap tulo mostraremos como visualizar e remover conex es TCP e sess es UDP em tempo real amp O que s o conex es ativas Conex es ativas s o conex es TCP ou sess es UDP que est o ativas atrav s do firewall Cada uma destas conex es foi validada atrav s de uma regra do filtro de estados acrescentada pelo administrador do sistema ou por uma entrada na tabela de estados acrescentada automaticamente pelo Firewall Aker Para cada uma destas conex es o firewall mant m diversas informa es em suas tabelas de estado Algumas destas informa es s o especialmente teis para o administrador e podem ser visualizadas a qualquer momento atrav s da janela de conex es ativas Dentre estas informa es pode se citar a hora exata do estabelecimento da conex o e o tempo que ela se encontra parada isto sem que nenhum pacote trafegue por ela 17 1 Utilizando a interface gr fica Para ter acesso a janela de conex es ativas basta Dispositivos remotos e Configuration Managers I Firewalls Ah Firewall Azul ll Firewall Verde Configu
209. c firewall fwlist Interface texto para acesso s conex es e sess es de usu rios ativas e etc firewall fwlog Interface texto para acesso ao log e aos eventos do firewall e etc firewall fwmaxconn Interface texto para configura o do controle de flood e etc firewall fwnat Interface texto para a configura o da convers o de endere os NAT e etc firewall fwpar Interface texto para configura o dos par metros gerais e etc firewall fwrule Interface texto para configura o do filtro de pacotes Inteligente e etc firewall fwupgrade Converte os arquivos de configura o da vers o 3 52 4 0 ou 4 5 para a vers o 5 0 do Firewall Aker e etc firewall fwipseccert Interface texto para a ger ncia os certificados X 509 necess rios criptofia IPSEC e etc firewall fwstat Interface texto para a configura o e visualiza o das estat sticas do Firewall e etc firewall fwinterface Interface texto para a configura o das Interfaces de rede do Firewall e etc firewall fwauth Interface texto para a configura o dos par metros globais de autentica o do Firewall Programas que N O devem ser executados diretamente pelo administrador e kernel Kernel modificado do sistema operacional com suporte ao Firewall Aker apenas no FreeBSD e etc firewall aker firewall mod ko Modulo carreg vel do kernel com o firewall apenas no FreeBSD e etc firewall 2 4 x aker firewall mod xxxx o Modulo carre
210. cador tentou estabelecer uma sess o de criptografia com o firewall A mensagem complementar mostra os endere os da m quina de origem e destino o destino o endere o da m quina atr s do firewall com a qual o cliente tentou se comunicar 122 Sess o de criptografia com cliente estabelecida Esta mensagem gerada pelo servidor de certificados quando um usu rio consegue se autenticar corretamente em um cliente de criptografia e iniciar uma sess o Nas mensagens complementares mostrado o login do usu rio que estabeleceu a sess o e os endere os da m quina de origem e destino o destino o endere o da m quina atr s do firewall com a qual o cliente se comunicou inicialmente 123 Sess o de criptografia com cliente finalizada Esta mensagem indica que um cliente finalizou uma sess o criptografada A mensagem complementar indica a m quinas de origem da conex o 124 Erro de comunica o com cliente de criptografia Esta mensagem que pode ter v rias causas indica que o servidor de criptografia para clientes recebeu um pacote criptografado inv lido de um Cliente de Criptografia Aker As mensagens complementares indicam qual a causa do problema e os endere os da m quina de origem e destino o destino o endere o da m quina atr s do firewall com a qual o cliente tentou se comunicar 125 Erro ao carregar algoritmo de criptografia O Firewall Aker pode trabalhar com algoritmos de criptografia desenvolvidos por
211. campo define o tempo m ximo em segundos que uma m quina pode permanecer sem responder aos pacotes de ping enviados pelo firewall e ainda ser considerada ativa Seu valor pode variar entre 2 e 120 segundos Valor padr o segundos Tempo de ativa o Esse campo define o tempo em segundos que o firewall ir esperar ap s receber um pacote de resposta de uma m quina anteriormente fora do ar at consider la novamente ativa Esse Intervalo de tempo necess rio pois normalmente uma m quina responde a pacotes ping antes de estar com todos os seus servi os ativos Seu valor pode variar entre 1 e 60 segundos Valor padr o 10 segundos Monitoramento via http Esses par metros configuram os tempos utilizados pelo firewall para realizar o monitoramento via requisi es HTTP S o eles Tempo limite dos pedidos Esse campo define de quanto em quanto tempo em segundos o firewall requisitar a URL especificada pelo administrador para cada m quina sendo monitorada Seu valor pode variar entre 1 e 300 segundos Valor padr o 5 segundos Tempo limite de resposta Esse campo define o tempo m ximo em segundos que uma m quina sendo monitorada poder levar para responder requisi o do firewall e ainda ser considerada ativa Seu valor pode variar entre 2 e 300 segundos Valor padr o 15 segundos 4 2 Utilizando a interface texto A interface texto de configura o de par metros bastante simples de ser utilizad
212. ce lt nome 1f gt fwifnet remove rede lt nome 1f gt lt endereco IP gt lt mascara gt Ajuda do programa Uso fwifnet ajuda mostra fwifnet inclui interface lt nome_if gt externa fwifnet inclui rede lt nome_if gt lt rede gt redel rede2 fwifnet remove f interface lt nome_if gt fwifnet remove rede lt nome_if gt lt endereco IP gt lt mascara gt para inclui remove temos interface o nome da interface de rede a ser controlada externa se esta palavra estiver presente a interface sera considerada externa pelo firewall rede uma rede permitida em uma interface nao externa Exemplo 1 visualizando a configura o etc firewall fwifnet mostra Firewall Aker Versao 5 1 status do modulo anti spoofing habilitado Interface cadastrada Interf DMZ Rede permitida Rede DMZ Interface cadastrada Interf externa externa Interface cadastrada Interf interna Rede permitida Rede Interna 12 13 Utilizando a interface texto IDS A utiliza o da interface texto na configura o do suporte a detec o de intrus o bastante simples e possui todos os recursos da Interface gr fica Localiza o do programa etc firewall fwids Sintaxe fwids habilita desabilita mostra limpa ajuda fwids agente lt entidade gt fwids bloqueia origem lt ip origem gt destino lt ip destino gt Servico sse ervico protocolo tempo Ajuda do programa Firewall Aker Versao 5 1 fwids Configura para
213. cess rio definir uma rede onde qualquer m quina seja considerada como pertencente a ela ou para especificar qualquer m quina da Internet basta se colocar como endere o IP desta rede o valor 0 0 0 0 e como m scara o valor 0 0 0 0 Isto bastante til na hora de se disponibilizar servi os p blicos onde todas as m quinas da Internet ter o acesso Toda a vez que ocorre uma comunica o entre duas m quinas usando o protocolo IP est o envolvidos n o apenas os endere os de origem e destino mas tamb m um protocolo de n vel mais alto n vel de transporte e algum outro dado que identifique a comunica o unicamente No caso dos protocolos TCP e UDP que s o os dois mais utilizados sobre o IP uma comunica o identificada por dois n meros a Porta Origem e a Porta Destino A porta destino um n mero fixo que est associada geralmente a um servi o nico Assim temos que o servi o Telnet est associado com o protocolo TCP na porta 23 o servi o FTP com o protocolo TCP na porta 21 e o servi o SNMP com o protocolo UDP na porta 161 por exemplo A porta origem um n mero sequencial escolhido pelo cliente de modo a possibilitar que exista mais de uma sess o ativa de um mesmo servi o em um dado instante Assim uma comunica o completa nos protocolos TCP e UDP pode ser representada da seguinte forma Endere o origem Porta origem Endere o destino Porta destino Protocolo Para um firewall a porta de ori
214. ciando Usu rios com Perfis de Acesso ily 30 perfil filho criado com a op o Inserir perfil filho herdar automaticamente as configura es do perfil pai Na parte superior de ambas as pastas se encontra o campo Nome que serve para se especificar o nome que identificar unicamente o perfil de acesso Este nome ser mostrado na lista de perfis e na janela de controle de acesso N o podem existir dois perfis com o mesmo nome Cada perfil de acesso composto de sete t picos diferentes Dependendo do t pico selecionado em um momento a parte direita da janela mudar de modo a mostrar as diferentes op es Os t picos de configura o s o Regras s2 Perfis Firewall Azul Sec Perfis Nome do Perfil Acesso_Web eg Acesso web Secure Roaming An lise de contexto Web GOPHER 4 Pol tica Padr o FTP HTTP q Geral TEENT2 GHTTP mr Socks Regras N Destino Servi o Acumulador Canal A o Restri es Log Hor rio Per odo de Validade Comentario Libera acesso ao servidor Web 7 ok Cores A pasta de regras permite que se especifique regras de filtragem para o perfil de acesso Seu formato exatamente igual janela de regras de filtragem com a nica excess o de que n o se deve especificar entidades origem para a regra Aqui tamb m poss vel trabalhar com Pol ticas de Regras de Filtragem para maiores informa es consulte o cap tulo intitulado Filtro de Estados UF 3 As regras
215. com estas m quinas foi criado o conceito de autenticadores Autenticadores s o m quinas Unix ou Windows NT que rodam um pequeno programa chamado de Agente de autentica o Este programa distribu do como parte do Firewall Aker e tem como fun o b sica servir de Interface entre o firewall e a base de dados remota Para que o Firewall Aker utilize uma base de dados em um servidor remoto deve se efetuar os seguintes procedimentos 1 Instalar e configurar o agente de autentica o na maquina onde reside a base de dados de usu rios este procedimento ser descrito nos t picos intitulados Instalando o agente de autentica o no Unix e Instalando o agente de autentica o no Windows NT 2 Cadastrar uma entidade do tipo autenticador com o endere o da m quina onde o agente foi instalado e com a senha de acesso correta para maiores informa es de como cadastrar entidades veja o cap tulo intitulado Cadastrando Entidades 3 Indicar para o firewall que ele deve utilizar o autenticador cadastrado no passo 2 para realizar a autentica o de usu rios este procedimento ser descrito no cap tulo intitulado Configurando par metros de autentica o il 30 Firewall Aker 5 1 incompat vel com vers es anteriores 4 0 dos agentes de autentica o Caso se tenha feito upgrade de uma vers o anterior e se esteja utilizando autentica o necess rio reinstalar os autenticadores li JE poss vel tamb m se realizar
216. com os eventos o mesmo usado para a interface com o log e foi mostrado tamb m no cap tulo anterior Localiza o do programa etc firewall fwlog Sintaxe Firewall Aker Versao 5 1 fwlog apaga log eventos lt data inicio gt lt data_fim gt fwlog mostra log eventos local cluster lt data inicio gt lt data fim gt prioridade Ajuda do programa Uso fwlog ajuda fwlog apaga log eventos lt data_inicio gt lt data_fim gt fwlog mostra log eventos local cluster lt data_inicio gt lt data_fim gt prioridade fwlog Interface texto para visualizar log e eventos mostra lista o conteudo do log ou dos eventos Ele pode mostra apenas o log local ou todo o log do cluster apaga apaga todos os registro do log ou dos eventos ajuda mostra esta mensagem Para mostra temos data inicio data a partir da qual os registros serao mostrados data fim data ate onde mostrar os registros As datas devem estar no formato dd mm aaaa Se nao forem informadas as datas mostra os registros de hoje prioridade campo opcional Se for informado deve ter um dos seguintes valores ERRO ADVERTENCIA NOTICIA INFORMACAO ou DEPURACAO Ao selecionar uma prioridade somente serao listados registros cuja prioridade for igual a informada Exemplo 1 mostrando os eventos do dia 07 10 2003 ao dia 08 10 2003 fwlog mostra eventos 07 10 2003 08 10 2003 08 10 2003 11 39 35 Sessao de administracao finali
217. com uma requisi o selecionada somente aparece quando inserindo um novo certificado O bot o Instalar far com que a janela seja fechada e atualizada O bot o Atualiza faz com seja recarregada as informa es de certificados Para gerar um certificado necess rio que primeiro gere uma requisi o no firewall Aker com esta requisi o fa a um pedido a uma autoridade certificadora para gerar o certificado e depois importe o certificado para o firewall Aker li SEsta janela atualizada dinamicamente ou seja nao possivel cancelar quando ja feito o pedido Quando incluir se uma nova requisi o local as requisi es e os certificados locais ser o apagados Da mesma forma ao se importar novo Certificado local com par de chaves pfx ser o apagados as requisi es e os certificados locais Desta maneira a opera o deve se dar da seguinte forma para o certificado local oo ae ud Criar uma requisi o local Enviar esta requisi o a uma Autoridade Certificadora Esperar at que a Autoridade Certificadora emita o certificado correspondente Carregar o certificado correspondente requisi o clicar na requisi o e depois em Carregar Se o desejado for criar um certificado para um firewall remoto o procedimento muda l 2 3 Criar uma requisi o remota Enviar esta requisi o a uma Autoridade Certificadora Esperar at que a Autoridade Certificadora emita o certificado correspondente
218. como linhas em branco s o ignoradas Um exemplo de um poss vel arquivo de configura o mostrado a seguir Arquivo de configuracao do agente de autenticacao do Firewall Aker Jed it Sintaxe Endereco IP do Firewall e senha de acesso em cada linha it Obs A senha nao pode conter espacos e deve ter ate 31 caracteres it Linhas comecadas pelo caractere sao consideradas comentarios 7 Linhas em branco sao permitidas 10 0 0 1 teste de senha lOs 242 2 ALopenhaszl il 5 O local padr o para o arquivo de configura o do agente etc fwagaut cfg entretanto poss vel cri lo com qualquer outro nome ou em outro diret rio desde que se informe isso ao agente no momento de sua execu o Isto ser mostrado no t pico abaixo Sintaxe de execu o do agente de autentica o O agente de autentica o para Unix possui a seguinte sintaxe de execu o fwagaut NOME ARQUIVO s lt 0 7 gt 7g Onde Mostra esta mensagem retorna ao prompt do shell c Especifica o nome de um arquivo de configuracao alternativo s Especifica a fila do syslog para onde devem ser enviadas as mensagens do autenticador 0 local0 1 locall r Aceita validacao do usuario root e Aceita usuarios com senhas em branco q Nao mostra mensagem na hora da entrada Suponha que o agente esteja localizado no diret rio usr local bin e que se tenha criado o arquivo de configura o com o nome usr local etc fwagaut cfg N
219. conex o com tal entidade e a seguinte mensagem ser mostrada 3 Ende reco invalido Para adicionar ou remover uma entidade do Pool de enderecos basta proceder como na Lista de controle de acesso II Das redes nesse campo definem um conjunto de endere os n o uma sub rede no sentido de roteamento IP Isso quer dizer que por exemplo se a Interface do firewall estiver na sub rede 10 0 0 0 255 0 0 0 e a rede 10 0 0 0 255 255 255 0 for inclu da no Pool de endere os o primeiro endere o atribu vel seria 10 0 0 1 e o ltimo 10 0 0 255 Se fosse a rede 10 1 0 0 255 255 255 0 a faixa iria de 10 1 0 0 a 10 1 0 255 incluindo se ambos os extremos 11 0 Integra o dos M dulos do Firewall Neste cap tulo ser mostrada a rela o entre os tr s grandes m dulos do Firewall Aker o filtro de pacotes o conversor de endere os e o m dulo de criptografia e autentica o Ser mostrado tamb m o fluxo pelo qual os pacotes atravessam desde sua chegada no Firewall at o momento de serem aceitos ou rejeitados 11 1 O fluxo de pacotes no Firewall Aker Nos cap tulos anteriores deste manual foram mostrados separadamente os tr s grandes m dulos do Firewall Aker e todos os detalhes pertinentes configura o de cada um Ser mostrado agora como um pacote os atravessa e quais altera es ele pode sofrer em cada um deles Basicamente existem dois fluxos distintos um para pacotes que s o emitidos pela rede Interna e tem como des
220. cote IP direcionado Esta mensagem indica que filtro de pacotes recebeu um pacote IP com uma das seguintes op es Record Route Loose Routing ou Strict Routing e ele foi configurado de modo a n o aceitar pacotes IP direcionados Para maiores informa es veja RFC 791 003 Ataque de land Um ataque de land consiste em simular uma conex o de uma porta com ela mesma Isto provoca o travamento da m quina atacada em boa parte das implementa es TCP IP Esta mensagem indica que o filtro de pacotes recebeu um pacote cujo endere o de origem igual ao endere o destino e cuja porta de origem igual porta destino caracterizando um ataque deste tipo 004 Conex o n o consta na tabela din mica Esta mensagem indica que o firewall recebeu um pacote TCP que n o era de abertura de conex o e estava endere ado para uma conex o n o aberta Isto pode ser causado por um ataque ou simplesmente por uma conex o que ficou inativa por um tempo superior ao tempo limite para conex es TCP 005 Pacote proveniente de interface inv lida Esta mensagem indica que o filtro de pacotes recebeu um pacote IP proveniente de uma interface diferente da especificada na regra de filtragem na qual ele se encaixou Isto pode ser causado por um ataque de falsifica o de endere os IP UP spoofing ou por uma configura o errada de uma regra de filtragem 006 Pacote proveniente de interface n o determinada Esta mensagem indica que o filtro de pa
221. cotes recebeu um pacote mas n o conseguiu determinar a interface de origem do mesmo Como na regra de filtragem correspondente est especificada uma interface o pacote foi rejeitado Esta mensagem provavelmente nunca ser mostrada 007 Conex o de controle n o est aberta Esta mensagem indica que o firewall recebeu um pacote de uma conex o de dados de algum protocolo que utilize mais de uma conex o como por exemplo o FTP e o Real Audio Real Video e a conex o de controle correspondente n o estava aberta 008 Flags TCP do pacote s o inv lidos Esta mensagem indica que o Firewall recebeu um pacote TCP cujos flags estavam inv lidos ou contradit rios por exemplo SYN e FIN no mesmo pacote Isto pode caracterizar um ataque ou uma implementa o de TCP IP defeituosa 009 N mero de seqii ncia do pacote TCP inv lido Esta mensagem indica que o Firewall recebeu um pacote TCP cujo n mero de sequ ncia estava fora dos valores esperados Isto pode caracterizar um ataque 010 Poss vel ataque de SYN Flood Esta mensagem gerada pelo Firewall todas as vezes que uma conex o Iniciada para um dos endere os protegidos contra SYN flood e a conex o n o foi estabelecida dentro do prazo m ximo estabelecido pelo administrador Se esta mensagem ocorrer isoladamente ou com pouca incid ncia ent o provavelmente o intervalo de tempo configurado na prote o contra SYN flood ver o cap tulo de Prote o contra SYN Flood es
222. criptografia de uso simples e possui as mesmas capacidades da interface gr fica Localiza o do programa etc firewall fwcert Sintaxe fwcert ajuda fwcert mostra local ca negociacao revogacao fwcert carrega local ca lt arquivo gt f fwcert carrega revogacao lt arquivo gt fwcert remove lt codigo gt f Ajuda do programa Firewall Aker Versao 5 1 fwcert Configura os certificados para criptografia Uso fwcert ajuda fwcert mostra local ca negociacao revogacao fwcert carrega local ca lt arquivo gt f fwcert carrega revogacao lt arquivo gt fwcert remove lt codigo gt f ajuda mostra esta mensagem mostra mostra os certificados especificados carrega carrega um novo certificado no firewall remove remove o certificado de uma entidade certificadora Para Mostra Lemos Local mostra o certificado de negociacao local ca mostra os certificados das entidades certificadoras negociacao mostra os certificados de negociacao de outros firewalls que foram recebidos pela rede revogacao mostra os certificados de revogacao que foram carregados localmente ou recebidos pela rede Para carrega temos local carrega o certificado de negociacao local se ja existir um certificado carregado ele sera substituido ca carrega um certificado de uma Entidade Certificadora que sera usado para validar os certificados de negociacao recebidos se ja existir um outro certificado com o mesmo c
223. cronizar seu rel gio Interno Este campo s aparece para os Firewall Box Endere os fixos de configura o remota S o endere os que independentemente de regras e de extrapola o dos limites de licen as podem administrar o firewall isto conectar na porta 1020 Eles servem como medida de preven o anti bloqueio do firewall uma vez que s podem ser configurados via interface texto e Aba Log Par metros de configura o Firewall Azul Sea Global ko Log 2 Seguran a wi SNMP Monitoramento e Local Tempo de vida dias Log fi Eventos Estatisticas O Remoto Servidor Remoto ER ESS ee Opcoes gerais Logar Convers o de Endere os NAT Logar no syslog do Unix Local Indica que o log eventos estat sticas devem ser salvos em um disco local na m quina onde o firewall estiver rodando Tempo de vida no log eventos estat stica Os registros de log eventos e estat sticas do firewall s o mantidos em arquivos di rios Esta configura o define o n mero m ximo de arquivos que ser o mantidos pelo sistema em caso de log local Os valores poss veis v o de 1 a 365 dias Valor padr o 7 dias WI 3 No caso de utiliza o de log remoto essas op es estar o desabilitadas e dever o ser configuradas no pr prio servidor remoto Remoto Esta op o indica que o log eventos estat sticas dever o ser enviados para um servidor de log remoto ao inv s de serem gravados n
224. dades de leitura e escrita do agente SNMP do Linux consulte sua documenta o J Servi os Diversos Como configurar os Servidores de Correio MS Exchange para funcionar atrav s do Firewall Aker Para possibilitar o correto funcionamento dos servidores Exchange atrav s de firewalls necess rio a fixa o das portas a serem utilizadas por estes servidores Para fazer isso necess rio a Inclus o das seguintes chaves no registry dos servidores todas as chaves s o case sensitive Em HKLM SYSTEM CurrentControlSet Services MSExchangeMTA Parame LErSs Acrescentar a DWORD TCP IP port for RPC listens com o valor da porta a ser utilizada por exemplo 30001 Em HKLM SYSTEM CurrentControlSet Services YMSExchangeSANParamet ers Acrescentar a DWORD TCP IP port com o valor da porta a ser utilizada por exemplo 30002 Em HKLM SYSTEM CurrentControlSet Services MSExchangeDS Paramet ers Acrescentar a DWORD TCP IP port com o valor da porta a ser utilizada por exemplo 30003 Em HKLM SYSTEM CurrentControlSet Services MSExchangeIS Paramet ersystem Acrescentar a DWORD TCP IP port com o valor da porta a ser utilizada por exemplo 30004 Obs1 Ap s feito o acr scimo destas keywords deve se reiniciar o servidor exchange Obs2 Caso a vers o do Exchange seja a 5 5 necess rio a aplica o do Service Pack 2 ou superior do Exchange para que esta fixa o de portas funcione Configura o do Firewall Aker para o funciona
225. dados recebidos do usu rio e do agente Nas autentica es seguintes o firewall possui todos os dados necess rios e n o mais precisa consultar o agente Isso permite um grande ganho de performance Este par metro permite definir o tempo em segundos que o firewall deve manter as Informa es de autentica o em mem ria Para maiores informa es veja o cap tulo intitulado Trabalhando com proxies e Para se cadastrar um agente externo do tipo Autoridade Certificadora necess rio preencher os seguintes campos adicionais Autoridade Certificadora Autom tico Localiza o da publica o da lista de certificados revogados CAL 5 HTTP ml O LDAP Pseudo Grupos Editar Inserir Apagar Home Localiza o da publica o da lista de certificados revogados CRL a URL da qual ser baixada a lista de certificados revogados da CA CRL Esta URL deve ser obrigatoriamente do protocolo HTTP e deve ser especificada sem o http na sua frente O bot o Importar certificado raiz permite com que se carregue o certificado root da CA no firewall Ao ser clicado a interface abrir uma janela para que se especifique o nome do arquivo com o certificado a ser importado S necess rio se importar um certificado raiz para cada Autoridade Certificadora criada caso contr rio n o ser poss vel se autenticar usu rios por meio dela O Campo Pseudo grupos permite com que se defina grupos para usu rios que se a
226. das as m quinas da Internet e monitorando via ping t etc firewall fwnat inclui 4 1 N srv0l srv02 Internet srv externo round robin pras Regra incluida na posicao 4 7 4 Utilizando o Assistente de Configura o NAT O assistente de configura o NAT pode ser acionado tanto pela barra de ferramentas como pelo menu As janelas abaixo ir o solicitar diversas informa es de modo a ser configurada a convers o 1 A janela inicial informa sobre o que o NAT Clique no bot o Pr ximo para continuar com a configura o Assistente NAT Assistente de Configura o HAT Bem vindo ao Assistente de Configura o HAT 4 Convers o de endere os de Rede NAT uma tecnologia que muda os endere os IP presentes em pacotes IP quando eles s o processados pelo firewall Alterando estes endere os de acordo com regras pr definidas muitas funcionalidades podem ser adicionadas ao seu firewall 4s principais s o Possibilidade de que muitas m quinas com endere os IP privados possam acessar a Internet compartilhando um nico endere o pass vel de roteamento Possibilidade de que servidores Internos com endere os IP privados possam ser acess veis pela Inernet Este assistente val ajud lo a configurar ambas estas funcionalidades Depois de finalizado um conjunto de novas regras sera criado as quais poder o ser postenomente refinadas com o objetivo de ativar outras funcionalidades avan adas encontradas no NAT d
227. das outras Os valores poss veis s o Logs Se esta op o estiver selecionada todos os pacotes que se enquadrarem nesta regra ser o registrados no log do sistema Envia email Se esta op o estiver selecionada ser enviado um e mail todas as vezes que um pacote se enquadrar nesta regra a configura o do endere o de e mail ser mostrada no cap tulo intitulado configurando as a es do sistema Executar programa Se esta op o estiver marcada ser executado um programa definido pelo administrador todas as vezes que um pacote se enquadrar nesta regra a configura o do nome do programa a ser executado ser mostrada no cap tulo intitulado configurando as a es do sistema Disparar mensagens de alarme Se esta op o estiver selecionada o firewall mostrar uma janela de alerta todas as vezes que um pacote se enquadrar nesta regra Esta janela de alerta ser mostrada na m quina onde a interface gr fica remota estiver aberta e se a m quina permitir ser emitido tamb m um aviso sonoro Caso a Interface gr fica n o esteja aberta n o ser mostrada nenhuma mensagem e esta op o ser ignorada Enviar Trap SMNP Se esta op o estiver selecionada ser enviada uma Trap SNMP para cada pacote que se enquadrar nesta regra a configura o dos par metros para o envio das traps ser mostrada no cap tulo intitulado configurando as a es do sistema WI No caso do protocolo TCP somente ser o executadas a
228. de Autentica o Aker As mensagens complementares indicam o nome do usu rio que finalizou a sess o e a m quina a partir da qual a sess o fol finalizada 130 Requisi o de perfil de acesso inv lida Esta mensagem que pode ter v rias causas indica que o servidor de login de usu rios recebeu uma requisi o inv lida de um Cliente de Autentica o Aker As mensagens complementares indicam qual a causa do problema e o endere o da m quina de origem da requisi o 131 Erro ao carregar pseudo grupos Esta mensagem indica que o firewall n o conseguiu carregar a lista de pseudo grupos das autoridades certificadoras Solu o Contate o suporte t cnico 132 Erro ao baixar CRL Essa mensagem indica que o firewall n o conseguiu baixar a lista de certificados revogados CRL de uma autoridade certificadora As mensagens complementares mostram a raz o pela qual n o foi poss vel baixar a lista e a URL da qual se tentou baix la Solu o Verifique que a URL informada na defini o da entidade do tipo autoridade certificadora est correta e que o servi o est no ar E poss vel fazer isso digitando se a URL em um browser e verificando se poss vel se receber o arquivo 133 N mero de processos excessivo no sistema Esta mensagem indica que algum dos m dulos externos do firewall ao tentar criar uma nova inst ncia de si pr prio para tratar uma conex o detectou que o n mero de processos executando no sist
229. de externa aumentando ainda mais o n vel de seguran a da instala o il SA convers o de endere os n o compat vel com servi os que transmitem endere os IP ou portas como parte do protocolo Os nicos servi os deste tipo suportados pelo Firewall Aker s o o FTP Real Audio e Real Video Quais s o minhas redes internas As redes internas se constituem de todas as m quinas de uma ou mais sub redes que est o sendo protegidas pelo Firewall Aker Isto inclui todos os dispositivos Internos rede como roteadores switches m quinas servidoras m quinas clientes etc S o os equipamentos que guardam informa es importantes da sua rede ou s o pe as chaves para seu funcionamento Quais s o as minhas redes externas As redes externas s o formadas por todas as m quinas que n o fazem parte da rede Interna Elas podem estar ou n o sobre a responsabilidade administrativa de sua organiza o No caso de uma rede de uma organiza o se ligando Internet a rede externa seria toda a Internet JEndere ando minhas redes internas Apesar de tecnicamente poss vel os endere os de suas redes Internas n o devem ser escolhidos a revelia Existem alguns endere os reservados especificamente para este fim Estes endere os n o s o e nunca ser o atribu dos a nenhuma m quina ligada Internet Os endere os reservados s o De 10 0 0 0 10 255 255 255 m scara 255 0 0 0 classe A De 172 16 0 0 172 31 0 0
230. de filtragem para os perfis de acesso consideram como origem a m quina na qual a sess o foi estabelecida Devido a isso necess rio apenas se especificar as entidades destino e servi os que podem ser acessados Regras SOCKS 2 Perfis Firewall Azul Pertis e Acessa Web Secure Roaming Ana lise de contesto Web GOPHER FTP HTTP Geral Nome do Perfil Acesso Web N Destino Servi o a Political 1 ares Internet Wh Sock 5 o Restri es Log Hor rio A EH A pasta de regras SOCKS permite que se especifique regras de filtragem para o acesso atrav s do proxy SOCKS Seu formato exatamente igual janela de regras de filtragem com a nica exce o de que n o se deve especificar entidades origem para a regra para maiores informa es consulte o cap tulo intitulado Filtro de Estados ily 3 As regras de filtragem para o proxy SOCKS consideram como origem a m quina na qual a sess o foi estabelecida Devido a isso necess rio apenas se especificar as entidades destino e servi os que podem ser acessados Geral g gt Perfis Firewall Azul Perlis E eS Acesso web Secure Roaming Analise de contento Web GOPHER Regras OX Nome do Perfi Bloquear URLs com endere o IP C Java JavaScript Actives Banners Horario 0 1 3 E EJ E E E Sex HADA Sab v v v v 4 lt s s s ls lt lt lt s s lt s lt or lt lt lt s else lt lt
231. de origem e de destino Este numero deve ser maior que 255 MD5 usa como algoritmo de autenticacao o MD5 SHA usa como algoritmo de autenticacao o SHA 1 DES usa como algoritmo de criptografia o DES 3DES usa como algoritmo de criptografia o triplo DES BEISHIZS usa como algoritmo de criptografia o Blowfish com chaves de 126 Bi Es BEISHZ56 usa como algoritmo de criptografia o Blowfish com chaves de 2596 DLES NENHUM nao usa criptografia somente autenticacao No caso do skip o primeiro algoritmo selecionado correponde ao algoritmo de criptografia da chave e o segundo corresponde ao de criptografia do pacote tamanho iv tamanho do vetor de inicializacao em bits para o algoritmo de criptografia Deve ter o valor 32 ou 64 As chaves de autenticacao criptografia e o segredo skip devem ser entradas como numeros hexadecimais No caso do 3DES devem ser digitadas 3 chaves separadas por brancos Para habilita desabilita remove temos pos posicao a ser habilitada desabilitada ou removida da tabela a posicao e o valor mostrado na esquerda da entrada ao se usar a opcao mostra Exemplo 1 mostrando a tabela de criptografia etc firewall fwcripto mostra Entrada Uri Origem REDEL Destino gt AKER Sentido Recebe Chaves SKIP segredo Sab53faefc c9845acbe223148065dabe32 9819ab01c39654effacbef087022 Entrada 02 Origem AKER Destino gt REDEL Sentido 1 Envia Chaves SKIP Algoritmos 3DES MD5 DES
232. de rolagem do lado direito serve para visualizar as regras que n o couberem na janela e Ao se clicar sobre uma regra e selecion la se ela possuir um comentario este aparecer na parte inferior da janela e posi o da regra pode ser alterada clicando e arrastando com o mouse para a nova posi o desejada A janela de configura o de Balanceamento de Link NAT Firewall Azul KEX Wenk 2 Verh 3 e O bot o OK far com que o conjunto de regras seja atualizado e passe a funcionar imediatamente e O bot o Aplicar enviar para o firewall todas as altera es feitas por m manter a janela aberta e O bot o Cancelar far com que todas as altera es feitas sejam desprezadas e a janela seja fechada Para se executar qualquer opera o sobre uma determinada regra basta clicar com o bot o direito do mouse sobre ela Aparecer o seguinte menu este menu ser acionado sempre que se pressionar o bot o direito mesmo que n o exista nenhuma regra selecionada Neste caso somente as op es Incluir e Colar estar o habilitadas NAT Firewall Azul Bata lat Balanceamento de Link Ativar MAT 1 Sem conversa gt gt gt a Desabilitado Inserir Copiar Colar Desabilita Alk ShiFk E x Apagar b vi Adicionar entidades T Escolha as entidades para adiciona S Firewall Interface Interna amp E Hosti S Host s Host3 Comet ria cats ET Hosts 1 Internet
233. de visualiza o do log basta Dispositivos remotos Configuration Managers al O Firewalls Ml Firewall Azul ll Firewall Verde Ea Configura o do Firewall Esi Sy Confiqura es do Sistema E Criptografia a Ferramentas Ei Informa o a ME Conex es TCP BF Conex es UDF HE statisticas Estat sticas do sistema Eventos 2 Gr fico da rede Ei Informa o de sess o mae Log a T neis IPSEC KE Usu rios Conectados See Seguran a tos Esta janela mostra o log de pacotes do Firewall e Clicar no menu Informa o do firewall que se deseja ver o log e Selecionar a op o Log A barra de ferramentas do Log Todas as vezes que se seleciona a op o Log mostrada automaticamente a barra de ferramentas de Log Esta barra que estar ao lado das outras barras poder ser arrastada e ficar flutuando acima das informa es do Log Ela tem o seguinte formato T Gr E 4 S G ho clseg Gi np Expandir Filtro Farar Exportar Limpar DNS Atualiza Anterior Fr ximo Significado dos cones T Abre a janela de filtragem do firewall Este cone somente ir aparecer quando o firewall estiver fazendo uma procura no Log Ele permite interromper a busca do firewall Exporta o log para diversos formatos de arquivos PA Log do firewall paga o Log do firewa G Realiza uma resolu o reversa dos IP que est o sendo mostrados pelo Log G Permite fazer uma atualiza o da tela de logs de
234. der administrar o Firewall Aker remotamente Ao ser selecionada ser mostrada uma tela pedindo as diversas Informa es do usu rio Ap s todas as informa es serem preenchidas ser pedida uma confirma o para a inclus o do usu rio Firewall Aker vers o 5 1 Modulo de administracao de usuarios remotos Inclusac de usuario operador Sim Sim Han peragdor do Firewall Entre o login Configura Firewall 7 CSM Configura log 7 45H Gerencia Usuarios Y S H Entre o nome completo Entre a senha Confirme a senha EE Confirma inclusao do usuario 7 EFN Observa es importantes 1 Nos campos onde aparecem as op es S N deve se digitar apenas S para sim e N para n o 2 A senha e a confirma o das senhas n o ser o mostradas na tela e Remove um usu rio existente Esta op o remove um usu rio que esteja cadastrado no sistema Ser pedido o login do usu rio a ser removido Se o usu rio realmente estiver cadastrado ser pedida a seguir uma confirma o para realizar a opera o Firewall Aker versao 5 1 Modulo de administracao de Usuarios remotos Femocao de usuario Entre o login t operador Confirma remoc o do usuario 7 5 0 Para prosseguir com a remo o deve se digitar S caso contr rio digita se N e Altera senha de um usu rio Esta op o permite com que se altere a senha de um usu rio j cadastrado no sistema Ser pedido o login do usu rio e caso es
235. desse usu rio ou por um grupo de que ele fa a parte T o logo um desses seja encontrado a permiss o associada ao mesmo ser utilizada Para se alterar a posi o de um usu rio ou grupo dentro da lista deve se proceder da seguinte forma 1 Seleciona se o usu rio ou grupo a ser movido de posi o 2 Clica se em um dos bot es em formato de seta localizados a direita da lista O bot o com o desenho da seta para cima far com que o usu rio grupo selecionado seja movido uma posi o para cima O bot o com a seta para baixo far com que este seja movido uma posi o para baixo No caso de inclus o de usu rios grupos ser mostrada a seguinte janela A janela de inclus o de usu rios grupos Regra de Telnet Somente os autenticadores que est o incluidos na lista de autenticadores ativos janela de autentica o ser o mostrados abaixo Autenticador Autenticador FREEBSD Usu rios e Grupos Usu rios Grupos E me A janela de inclus o permite definir a permiss o de acesso para um usu rio ou um grupo de um determinado autenticador Para faz lo deve se proceder da seguinte forma Seleciona se o autenticador do qual se deseja obter a lista de usu rios ou grupos clicando se com o bot o esquerdo sobre seu nome na lista superior da janela se o autenticador desejado n o aparecer na lista necess rio acrescent lo na lista de autenticadores a serem pesquisados Para maiores informa
236. dora a 1 1 ta Certificado de Revoga o Aker Consultoria e Informatica LTD Firewalls hat Entidades Certificadoras q Aker Consultora e Informa ES Fevoga es Esta pasta tem o funcionamento igual ao da janela de certificados do firewall com a nica diferen a de que n o existem certificados locais Ela consiste de duas listas na lista da esquerda s o mostrados os certificados de negocia o revoga o e de entidades certificadoras Na lista da direita s o mostrados os campos de um certificado que esteja selecionado Caso nenhum certificado esteja selecionado ela ficar em branco 3 Os campos de cada certificado mostrados direita s o apenas informativos N o poss vel se alterar nenhum destes valores Para se carregar um novo certificado deve se proceder da seguinte forma 1 Clica se em um dos bot es Entidade Certificadora ou Certificado de Revoga o no grupo Carregar dependendo do tipo de certificado a ser carregado 2 Ser mostrada uma janela para que se escolha o nome e a localiza o do arquivo a ser carregado Ap s se especificar este nome deve se clicar no bot o Abrir Redes Seguras E Cliente de Criptografia Firewall Aker Sess o Certificados Redes Seguras Log Algoritmos Sobre ll Incluir Importar Exportar Mascara Descri o Status Autentica o vers o Utilizar nome e senha do usu rio a partir do Cliente de Autentica o Aker Descri o da Red
237. dos Neste caso a origem deve ser obrigatoriamente uma entidade do tipo maquina portas realiza conversao apenas para o servico citado Neste caso a origem deve ser obrigatoriamente uma entidade do tipo maquina Alem disso o servico visivel externamente sera o lt servico virtual gt sem conversao nao realiza conversao entre a origem e o destino Lan realiza balanceamento de carga ou seja possibilita que as varias maquinas origem sejam acessadas pelo endereco IP configurado na entidade virtual como se fossem uma so maquina servicol lista de nomes dos servicos para a nova regra Sao aceitos apenas servicos dos protocolos TCP ou UDP Para habilita desabilita remove temos pos numero da regra a ser habilitada desabilitada ou removida da tabela Para conversao l n temos round robin balanceamento das randomico das persist para nenhum considera que ping HTTP HTTP URL monitorar as HTLP Utrliza algora Emo round robin para 6 conexoes Utiliza algoritmo randomico para o balanceamento conexoes Tempo de persistencia mins de servidor destino conexoes originadas do mesmo cliente Nao monitora as maquinas origem isto e elas estao sempre ativas Monitora as maquinas origem atraves de pings Monitora as maquinas origem atraves de conexoes Especifica qual a URL deve utilizada para maquinas no caso de se utilizar monitoramento Exemplo 1 Mostrando a configura o
238. dos deve se proceder da seguinte forma 1 Clicar com o bot o direito do mouse onde aparecer um menu suspenso figura abaixo ou arrastando a entidade autenticador para o local indicado 1SeErlt IE pagar Copiar Dolar Ea Adicionar entidades Escolha as entidades para adicionar ao Elo a a A e EE 2 Seleciona se o a op o Adicionar entidades e o autenticador a ser inclu do na lista mostrada direita Para se remover um autenticador da lista de pesquisa deve se proceder da seguinte forma 1 Seleciona se o autenticador a ser removido e aperta se a tecla delete ou 2 Clica se no bot o direito do mouse e seleciona se no menu suspenso o item Apagar a Inserir X pagar s Copiar h Colar Editar BDE Azul apagar BOC Azul Para se mudar a ordem de pesquisa dos autenticadores deve se proceder da seguinte forma 1 Seleciona se o autenticador a ser mudado de posi o na ordem de pesquisa 2 Clica se em um dos bot es direita da lista o bot o com o desenho da seta para cima far com que o autenticador selecionado suba uma posi o na lista O bot o com a seta para baixo far com que ele seja movido uma posi o para baixo na lista Dica A adi o ou remo o dos autenticadores pode ser feita diretamente com o mouse bastando clicar e arrastar os mesmos para a janela correspondente soltando em seguida 3 Os autenticadores ser o pesquisados na ordem que se encontram
239. dr o X 509 com um esquema de chaves p blicas para a identifica o dos firewalls Este E o mesmo esquema utilizado por sites seguros na Internet por exemplo Dever o ser especificados o o certificado local a apresentar para a outra ponta do t nel Remote Gateway e o O dado de identifica o exigido do firewall remoto Este dado ser um endere o de email para certificados criados com a op o USER FQDN e o nome de uma m quina Fully Qualified Domain Dame se a op o for FQDN Avan ado A janela avan ado permite definir quais s o os algoritmos de criptografia e autentica o preferidos e permitidos pelo firewall durante a negocia o de chaves IKE Os campos j v m preenchidos com algoritmos padr o que podem ser alterados Mais informa es nas RFC 2401 a RFC 2412 A janela de avan ado agora inclui uma escolha da ponta local do t nel para os casos da rede de passagem entre o firewall e o roteador ser inv lida IPSEC Avan ado Kodo Principal Agressiva Alg de Encripta o Alg de Autentica o Grupa DH kbytes Segundos Blowfish 256 bits ghb SHAT HMAC 96 A Blowfish 256 bits g MOS HMAC 36 Blowfish 128 bits gp SHAT HMAC 36 A Blowfish 128 bits pip MOS HMAC 36 ADES 128 bits rp SHAT HMAC 96 ADES 128 bits H MOS HMAC 36 m DES 56 bits pep 2 AAT HMAC 36 Ponta do tunel local None N o existe entidade do tipo computador que possa ser associado ao IF de uma interface do firewal
240. e chamado de FTP passivo Em ambos os casos o administrador n o tem como saber quais portas ser o escolhidas para estabelecer as conex es de dados e desta forma se ele desejar utilizar o protocolo FTP atrav s de um filtro de pacotes tradicional dever liberar o acesso para todas as poss veis portas utilizadas pelas m quinas clientes e servidores Isto tem implica es s rias de seguran a O Firewall Aker tem a capacidade de vasculhar o tr fego da conex o de controle FTP e desta forma descobrir qual o tipo de transfer ncia ser utilizada ativa ou passiva e quais portas ser o usadas para estabelecer as conex es de dados Desta forma todas as vezes que o filtro de pacotes determina que uma transfer ncia de arquivos ser realizada ele acrescenta uma entrada na tabela de estados de modo a permitir que a conex o de dados seja estabelecida Esta entrada s fica ativa enquanto a transfer ncia estiver se realizando e caso a conex o de controle esteja aberta propiciando o m ximo de flexibilidade e seguran a Neste caso para se configurar o acesso FTP basta se acrescentar uma regra liberando o acesso para a porta da conex o de controle porta 21 Todo o resto ser feito automaticamente O problema do protocolo Real Audio O protocolo Real Audio o mais popular protocolo de transfer ncia de som e v deo em tempo real atrav s da Internet Para que seja poss vel uma transmiss o de audio ou v deo necess rio q
241. e 1021 TCP Nao pode existir nenhuma outra aplica o utilizando estas portas enquanto o agente estiver ativo O Configura o do agente de autentica o para NT Ap s realizada a instala o do agente necess rio se proceder com a sua configura o Esta configura o permite se fazer o cadastramento de todos os firewalls que ir o utiliz lo bem como a defini o de que mensagens ser o produzidas pelo agente durante seu funcionamento Ao contr rio do agente de autentica o para Unix esta configura o feita atrav s de um programa separado Para se ter acesso ao programa de configura o deve se clicar no menu Iniciar selecionar o grupo Firewall Aker e dentro deste grupo a op o Configurar agente de autentica o Ao ser feito isso ser mostrada a janela de configura o do agente que consiste de tr s pastas e Pasta de configura o dos firewalls Ea Agente de Autentica o Aker Firewall Aker Log Sobre Testar Autentica o windows Testar Autentica o de SecurlD Firewalls JH E Incluir Excluir Editar 10 0 0 124 10 0 0 111 Aplicar Fechar Esta pasta consiste em todas as op es de configura o do agente Na parte superior existem dois bot es que permitem testar a autentica o de um determinado usu rio a fim de verificar se o agente est funcionando corretamente Na parte inferior da pasta existe uma lista com os firewalls autorizados a se conectarem ao agente d
242. e Segura Limite de inatividade seq E Esta a pasta principal da configura o do Cliente Ela consiste de uma lista onde s o mostradas todas as redes para as quais a comunica o ser encriptada Para cada rede existe uma coluna de status indicando se ela est ativa ou n o Para se incluir uma nova entrada na lista basta se clicar no bot o Incluir localizado na barra de ferramentas Para se remover ou editar uma rede segura basta se selecionar a entrada a ser removida ou editada e clicar na op o correspondente da barra de ferramentas No caso das op es Incluir ou Editar ser mostrada seguinte janela Rede Segura aH E De 8 Mascara 4 vers o do Firewall Aker as OW superior Descri o M todo de Autentica o W Usu rio e senha Secull X r o Ea Smart Card E Certificado Negocia o de canais autom tica Negociar canal seguro automaticamente Negociar canal seguro ap s a cones o dial up Usuario Senha Confirma o Certificado Nome IP E o endere o IP da rede com a qual a comunica o ser encriptada M scara E a m scara da rede com a qual a comunica o ser encriptada Descri o E um campo livre utilizado apenas para fins de documenta o poss vel se exportar a configura o atual para um arquivo e import la posteriormente na mesma ou em outra m quina Para tal existem os bot es Importar e Exportar localizados na barra de
243. e acrescentar uma mensagem informando ao destinat rio desse fato e Descarta mensagem infectada Se essa op o for selecionada o firewall ir verificar o arquivo anexado da mensagem contra v rus Caso exista virus o firewall tomar uma das seguintes a es se o arquivo puder ser desinfectado o v rus ser removido e o arquivo reanexado mensagem Caso o arquivo n o possa ser desinfectado o firewall recusar a mensagem lly 5 Recomenda se utilizar as a es que removem os arquivos anexados nos emails recebidos pela companhia e as que bloqueiam a mensagem por completo nas regras aplicadas aos emails que saem Remove arquivos encriptados Se essa op o estiver marcada o firewall remover os arquivos anexados que estejam cifrados de forma que n o possam ser checados quanto a presen a de v rus Remove arquivos corrompidos Se essa op o estiver marcada o firewall remover os arquivos anexados que estejam corrompidos Notifica emissor no caso de remo o do arquivo anexado Se essa op o estiver marcada o firewall enviar uma mensagem para o emissor de um e mail todas as vezes que um ou mais de seus arquivos anexados for removido Envia c pia para o administrador do arquivo anexado for removido Se essa op o estiver marcada o firewall enviar uma c pia de todos os arquivos removidos para o administrador Caso ela esteja marcada deve se escolher uma das seguintes op es de envio e Padr o A c pia d
244. e antiv rus para checagem dos arquivos Esse campo indica o agente ant virus que ser utilizado para se checar v rus dos arquivos anexados a mensagens de e mail Esse agente deve ter sido previamente cadastrado no firewall Para maiores Informa es veja o cap tulo Intitulado Cadastrando entidades Para se executar qualquer opera o sobre uma determinada regra basta clicar com o bot o direito do mouse sobre ela Aparecer o seguinte menu este menu ser acionado sempre que se pressionar o bot o direito mesmo que n o exista nenhuma regra selecionada Neste caso somente as op es Incluir e Colar estar o habilitadas Inserir a s f Editar dpagar Copiar Na Colar Agr Renomear e Inserir Esta op o permite se incluir uma nova regra na lista Se alguma regra estiver selecionada a nova ser Inserida na posi o da regra selecionada Caso contr rio a nova regra ser inclu da no final da lista e Editar Esta op o abre a janela de edi o para a regra selecionada e Apagar Esta op o remove da lista a regra selecionada e Copiar Esta op o copia a regra selecionada para uma rea tempor ria e Colar Esta op o copia a regra da rea tempor ria para a lista Se uma regra estiver selecionada a nova ser copiada para a posi o da regra selecionada Caso contr rio ela ser copiada para o final da lista e Renomear Esta op o renomeia a regra selecionada da lista Dica Todas as op
245. e autentica o Para se incluir um novo firewall na lista basta se clicar no bot o Incluir localizado na barra de ferramentas Para se remover ou editar um firewall basta se selecionar o firewall a ser removido ou editado e clicar na op o correspondente da barra de ferramentas No caso das op es Incluir ou Editar ser mostrada seguinte janela i lolx IP 0 0 0 124 Descri o joker Ue Confirma o RE Autentica o de usu rios suportada i Dominio Windows NT 2000 La r ae l e pa i SeculD ACE Server Cancelar IP o endere o IP do firewall que se conectar ao agente Descri o um campo livre utilizado apenas para fins de documenta o Senha a senha utilizada para gerar as chaves de autentica o e criptografia usadas na comunica o com o firewall Esta senha deve ser igual configurada na entidade do firewall Para maiores informa es veja o cap tulo intitulado Cadastrando Entidades Confirma o Este campo utilizado apenas para se verificar se a senha foi digitada corretamente Deve se digit la exatamente como no campo Senha Autentica o de usu rios suportada Esse campo indica quais formas de autentica o de usu rios ser o permitidas Ela consiste de duas op es que podem ser selecionadas independentemente Dom nio Windows NT 2000 Se essa op o estiver marcada o agente realizar autentica o de usu rios utilizando a base de usu rios do Wi
246. e da mesma possibilitando ao usu rio edit las 29 14 Visualizando estat sticas do sistema A janela de estat sticas do sistema possui informa es sobre uso do processador e uso de mem ria do sistema Para ter acesso essa janela basta Dispositivos remotos E3 Configuration Managers Firewalls Ah Firewall Azul ll Firewall Verde E3 M Configura o do Firewall G Sy Configura es do Sistema Criptografia 4 9 Ferramentas Informa o w Cones es TCF W Conex es UDP Gi Estatisticas Eventos ef Informa o de sess o ne Log 2 Mapa da Rede iad T neis IPSEC i Usu rios Conectados tea Seguranca Ee statisticas do sistema Esta janela mostra o uso de mem ria e CPU do sistema A janela a seguir aparecer b Estatisticas do sistema Firewall Azul l Bx CPU 4 Ocioso Sistema Usuario m 4H H Uc Mem ria MB Livre Usado iib cH Ch ib Na parte superior da janela s o mostradas as informa es de uso do CPU Essas informa es est o dividas em tr s partes porcentagem ociosa porcentagem dedicada ao sistema e porcentagem sendo usada por programas iniciados pelo usu rio A parte inferior da janela mostra a situa o da mem ria do sistema em Megabytes Tamb m est divida em tr s partes quantidade de mem ria livre quantidade de mem ria sendo usada e quantidade de mem ria armazenando informa es em forma de cache il SA quantidade de memoria nao
247. e no menu Iniciar d diret rio Especifica diret rio de instala o f Instala cliente mesmo se j detectar uma Instala o anterior c Inicia o cliente ap s instal lo lly J Caso n o se tenha especificado a op o d diret rio o cliente ser instalado em C Arquivos de Programaslakerlaker crypt WDistribuindo uma configura o padr o na instala o do cliente Al m de instalar o cliente automaticamente poss vel tamb m distribuir uma configura o padr o que ser utilizada tanto na instala o autom tica quanto na Interativa Desta forma o administrador de um firewall pode deixar toda a configura o do Cliente de Criptografia Aker pronta de forma que os usu rios finais n o necessitem realizar qualquer tipo de configura o Para instalar o cliente com uma configura o padr o basta se configur lo em uma m quina da forma desejada e a seguir copiar determinados arquivos para o diret rio de onde as vers es padronizadas ser o instaladas O programa de instala o detectar que OS arquivos existem e automaticamente os copiara para o diret rio onde o programa ser instalado Os seguintes arquivos podem ser copiados nets cla Configura o das redes seguras e op o do uso do Cliente de Autentica o Aker para efetuar logon algorithms cla Lista de algoritmos habilitados certs cla Certificados de revoga o e das entidades certificadoras 9 5 Configurando o Cliente de Criptografia Qu
248. e se proceder da seguinte forma o Clica se com o bot o direito do mouse sobre a entidade que ser removida ou o Selecione a entidade desejada e pressione a tecla Delete A figura a seguir mostra o menu popup com todas as op es listadas acima Ele mostrado ao se clicar com o bot o direito do mouse em alguma entidade listada No exemplo da figura a entidade clicada foi Host4 a Inserir Bo Copiar Colar Apagar Adicionar entidades Sco a as entidades para adicionar Ta Et dad Escolh tidad d X Remover entidades space AP Host2 DP Editar Host4 Hosts A Networki R alt ia gt Networkz Mais usadas E Network A Hosti TA Networks Sell A Hoste as Sel gt Sets m Network yn Network oe Set ate Set3 Aba Endere os X Secure Roaming Firewall Azul Configura es Acesso Endere os Lista de endere os que podem ser atribuidos a chentes remotamente conectados ao firewall Fool de endere os A Host E Host E Network Z ok oa e Pool de endere os Lista de endere os que podem ser atribu dos a clientes remotamente conectados ao firewall Os endere os de m quinas listados e todos os endere os que comp em as redes e conjuntos inclu dos somam se para definir o conjunto de endere os atribu veis a clientes Notar que as entidades listadas devem estar conectadas a algum adaptador de rede configurado no firewall Caso contr rio n o ser poss vel estabelecer
249. e servi os mais acessados e Pasta de conex es Conex es TCP Firewall Verde ex Sy Conex es Gr fico IPdeorigem Porta de origem IP de destino Porta de destino In cio Ociosa Status Bytes Enviados Pacotes Enviados Bytes Recebidos Pacotes Recebidos 1 92 168 1 15 1110 192 168 1 45 1020 21 02 40 00 00 Estabelecido 19 63 Kb 53 96 Kb 192 168 1 15 1119 132 168 1 45 19 21 18 33 00 00 Estabelecido 7 70 Mb 201762 395 97 Mb 391619 N mero de conex es C Filtro 2 conex es C Mostrar itens selecionados no topo Z Or e core Esta pasta consiste de uma lista com uma entrada para cada conex o ativa Na parte inferior da janela mostrada uma mensagem informando o n mero total de conex es ativas em um determinado instante As velocidades total e m dia s o exibidas na parte inferior da janela e Obot o OK faz com que a janela de conex es ativas seja fechada e Caixa Filtro exibe as op es de filtragem sendo poss vel se selecionar os endere os origem ou destino e ou portas para serem exibidos na janela e A op o Itens selecionados no topo coloca as conex es selecionadas no topo da janela para melhor visualiza o e A op o Remover que aparece ao se clicar com o bot o direito sobre uma conex o permite que se remova uma conex o 3 Ao se remover uma conex o TCP o firewall envia pacotes de reset para as m quinas participantes da conex o efetivamente derrubando a e remove a entrada de sua
250. e todos os par metros de TCP IP do firewall atrav s da interface gr fica E poss vel se configurar endere os de interfaces de rede DNS e roteamento bem como as op es de PPPoE e Servidor Relay DHCP Para se ter acesso janela de configura o TCP IP basta Dispositivos remotos Configuration Managers E O Firewalls d Firewall Azul Firewall Verde E3 S Configura o do Firewall ty Configura es do Sistema D A es Administra o de Usu rios A Ativa o da Licen a 6 Atualiza o Ge Data e hora aC Criptografia cd Ferramentas a Informa o tS Seguran a Configura as Interfaces de rede do firewall rotas est ticas e servidores DNS e Clicar no menu Configura es do Sistema da janela de administra o do firewall e Selecionar o item TCP IP A janela de configura o TCP IP Esta janela consiste de quatro pastas onde cada uma respons vel por um tipo de configura o diferente S o elas DNS E TCP IP firewall G ONS Interfaces de Rede A Rotas DHCP o 7 Maquina firewall Dominio aker com br Ativar DNS Servidor Prim rio do OG Do WW Servidor Secund rio 200 181 14 3 Sevid Terisi 0 0 0 af Aplicar f Aplicar agora p OF Nesta pasta s o configuradas todas as op es relacionadas com a resolu o de nomes ou DNS Ela consiste dos seguintes campos M quina Nome da m quina na qual o firewall est
251. e um certificado x 509 instala instala um certificado x 509 cujo o par de chaves deve ter sido criado anteriormente pelo sistema atraves do comando requisita exporta exporta o certificado e seu par de chaves correspondente para para um arquivo de formato pkcs12 importa obtem do arquivo pkcs1l2 um certificado e seu par de chaves e o instala como certificado local ver abaixo Para requisita temos local o certificado local e usado na indentificacao do Proprio firewall pode se criar varios certificados locais porem todos eles usarao o mesmo par de chaves que e gerado na primeira vez que uma requisicao local e gerada certificados remotos sao utilizados para remoto identificacao de outras entidades da rede 1024 2048 sao os possiveis tamanhos das chaves que serao geradas use email o certificado contera o valor de lt email gt como seu subject alternative name como default ele usara o valor de lt dominio gt imprime apos a criacao da requizicao ela sera impressa na tela email pais estado cidade organizacao unid org e dominio sao campos que serao usados para indentificar do usuario do certificao O campo lt pais gt deve conter 2 caracteres no maximo O campo lt unid org gt e abreviatura de unidade organizacional e se refere ao departamento ou divisao da organizacao ao qual pertence o usuario do certificado Carregando certificados A interface texto de configura o dos certificados de
252. e usu rio il 3 Este usu rio deve ser um usu rio v lido cadastrado no FreeBSD ou Linux N o se deve confundir com os usu rios do Firewall Aker que servem apenas para a administra o do Firewall e Par metros para enviar traps SNMP Endere o IP do servidor SNMP Este par metro configura o endere o IP da m quina gerente SNMP para a qual o firewall deve enviar as traps Comunidade SNMP Este par metro configura o nome da comunidade SNMP que deve ser enviada nas traps As traps SNMP enviadas ter o o tipo gen rico 6 enterprise specific e o tipo espec fico 1 para log ou 2 para eventos Elas ser o enviadas com o n mero de empresa enterprise number 2549 que o n mero designado pela IANA para a Aker Consultoria e Inform tica Existe um arquivo chamado etc firewall mibs AKER MIB TXT que traz as informa es sobre a sub rvore da Aker Consultoria e Inform tica na rvore global Este arquivo esta escrito na nota o ASN 1 e Par metros para enviar e mail Endere o de e mail Este par metro configura o endere o de e mail do usu rio para o qual devem ser enviados os e mails Este usu rio pode ser um usu rio da pr pria m quina ou n o neste caso deve se colocar o endere o completo por exemplo user O aker com br Caso se deseje enviar e mails para v rios usu rios pode se criar uma lista e colocar o nome da lista neste campo il 3 E importante notar que caso algum destes par metros esteja em bra
253. e usu rios do firewall e Clicar no menu Configura es da janela principal e Selecionar o item Autentica o e Selecionar a pasta Controle de Acesso A pasta de Controle de Acesso d gt Autentica o Firewall Azul Aukenticador Usu rio Grupo FO ain Usuario_4 c Acesso_Intermnet aro Perfil Padr o c cesso Internet w A janela de controle de acesso permite que seja criada a associa o de usu rios grupos com um perfis de acesso Na parte inferior da janela existe um campo chamado Perfil Padr o onde se pode selecionar o perfil que ser associados a usu rios que n o se enquadrem em nenhuma regra de associa o A ltima coluna quando preenchida especifica redes e m quinas onde a associa o v lida Se o usu rio se encaixar na regra mas estiver em um endere o IP fora das redes e m quinas cadastradas ent o a regra ser pulada permitindo a atribui o de outro perfil ao usu rio Esse tipo de restri o muito til para permitir acesso reas sens veis da rede apenas de alguns locais f sicos com seguran a aumentada Para se associar um usu rio ou grupo com um determinado perfil de acesso deve se proceder da seguinte maneira 1 Clica se com o bot o direito do mouse na lista de regras e seleciona se a op o Inserir 2 Seleciona se o autenticador do qual se deseja obter a lista de usu rios ou grupos clicando se com o bot o direito no campo Autenticador
254. ealizadas ou a Inclus o deve se pressionar o bot o Cancelar Para facilitar a inclus o de v rias redes seguidamente existe um bot o chamado Nova que n o estar habilitado durante uma edi o Ao ser clicado este bot o far com que a rede cujos dados foram preenchidos seja inclu da e a janela de inclus o de redes mantida aberta pronta para uma nova inclus o Desta forma poss vel se cadastrar rapidamente um grande n mero de redes SIncluindo editando conjuntos T Conjuntos Entidades Para se cadastrar uma entidade do tipo conjunto necess rio preencher os seguintes campos Nome o nome atrav s do qual o conjunto ser referenciado daqui em diante pelo firewall poss vel se especificar este nome manualmente ou deixar que ele seja atribu do automaticamente A op o Autom tico permite escolher entre estes dois modos de opera o caso ela esteja marcada a atribui o ser autom tica caso contr rio manual WI dl Letras mai sculas e min sculas s o consideradas diferentes nos nomes das entidades Desta forma poss vel a exist ncia de v rias entidades compostas de nomes com as mesmas letras por m com combina es distintas de mai sculas e min sculas As entidades Aker AKER e aker s o portanto consideradas diferentes cone o cone que aparecer associado ao conjunto em todas as refer ncias Para alter lo basta clicar sobre o desenho do cone atual O f
255. ecusada devido a exist ncia de uma regra no perfil de acesso correspondente indicando que o proxy n o deveria aceitar tal conex o As mensagens complementares indicam o nome do usu rio que solicitou a conex o se a autentica o de usu rios estiver habilitada o endere o do cliente e o endere o de destino 093 Dados incorretos recebidos pelo proxy SOCKS Essa mensagem gerada quando o proxy SOCKS recebe dados do cliente em desacordo com a especifica o do protocolo SOCKS Exemplos de dados inv lidos podem ser uma vers o do protocolo diferente de 4 ou 5 um endere o destino em branco entre outros 094 Erro ao comunicar com servidor de autentica o Esta mensagem indica que um dos proxies n o conseguiu se comunicar com o servidor de autentica o quando tentou realizar a autentica o de um usu rio Devido a isso o usu rio n o foi autorizado a continuar e a sua conex o foi recusada Solu o Verifique se o processo do servidor de autentica o est ativo no firewall Para fazer isso execute o comando ps ax grep fwauthd grep v grep Caso o processo n o apare a execute o com o comando etc firewall fwauthd Se o processo estiver ativo ou se este problema voltar a ocorrer contate o suporte t cnico 095 Erro ao conectar com agente de autentica o Esta mensagem indica que o servidor de autentica o n o conseguiu se conectar o agente de autentica o que estaria rodando em uma determinada m
256. egras 10 O0 Fermite o envio de pacotes broadcast aos clientes Dominio l ker Rotas Utilize os bot es da barra de ferramentas para inserir deletar ou editar as rotas dos clientes Endere o IP M scara de rede Gateway 1 0 0 0 0 259 255 259 0 10 0 0 111 1 0 0 0 0 255 255 255 0 10 0 0 368 1 OK E Cancelar Essa pasta permite que se configurem as op es de acesso do Secure Roaming que variam de acordo com as permiss es do cliente que est conectado Para as demais configura es veja o cap tulo Configura es do Secure Roaming e Permite o envio de pacotes broadcast aos clientes Pacotes broadcast s o utilizados por protocolos que precisam em algum ponto de seu funcionamento uma comunica o entre um hosts e todos os outros de uma sub rede de modo eficiente Esse o caso do protocolo Netbios sobre IP Infelizemente o abuso no uso desse tipo de pacote pode causar o congestinamento de um link lento como uma conex o dial up e Alterar o gateway padr o durante a sess o VPN Ao se alterar a rota padr o dos hosts que se conectam via Secure Roaming eles passam a n o conseguir acessar outros destinos na Internet sem passar por dentro da rede com os endere os virtuais do Secure Roaming Isso significa que para conex es bidirecionais eles ficam protegidos pelo firewall coorporativo e tamb m seujeitos s pol ticas nele definidas e Servidores DNS configura at tr s servidores DNS a serem usados durante a
257. egras de Filtragem cria um conjunto de regras em poucas perguntas que serve como uma base para customizar o comportamento do Firewall mais tarde Aviso Todas as regras existentes ser o desabilitadas se voc completar este assistente 3 Escolha da rede interna na configura o incial Wizard de Regras de Filtragem Rede Interna amp Rede Interna o lugar onde fica as esta es de trabalho Essa rede totalmente protegida de acesso originado na Internet Redes Computadores Dispon veis Entidade Descri o E Host Host 10 0 0 126 E Host Host 200 0 0 174 E canHost Host 25 0 0 214 Mova Rede e Host Host 64 0 0 27 Host Host 7 77 0 120 A Network Network 10 0 0 100 255 255 255 0 Network Network 200 0 0 100 255 255 255 0 SE Network4 Network 64 0 0 100 255 255 255 0 Novo Computador sE x Incluir Excluir Rede Interna a uni o das seguintes entidades Entidade Descri o ER Network 3 Network 25 0 0 700 255 255 255 0 4 Informa o necess ria para saber se as m quinas ter o acesso irrestrito a Internet Wizard de Regras de Filtragem Servi os Permitidos a Rede Interna pa KO Re vwF eB Aqui voc pode selecionar os servi os da Internet que as m quinas da sua rede interna pode ter acesso Voc pode g S especific los individualmente ou permitir acesso completo da rede interna As m quinas na rede
258. elas sem o risco de serem lidos ou alterados por estranhos 8 1 Planejando a instala o WO que e para que serve um canal seguro de dados A Internet uma rede mundial composta de milhares de m quinas espalhadas por todo o mundo Quando duas m quinas quaisquer est o se comunicando todo o tr fego entre elas passa por diversas outras m quinas roteadores switches etc desde sua origem at seu destino Na quase totalidade das vezes a administra o destas m quinas intermedi rias feita por terceiros e nada se pode afirmar quanto a sua honestidade na maioria das vezes n o nem poss vel se saber de antem o por quais m quinas os pacotes passar o at atingir seu destino Qualquer uma destas m quinas que estiver no caminho dos pacotes pode visualizar seu conte do e ou alterar qualquer um destes Isto um problema s rio e sua Import ncia aumentada ainda mais quando existe a necessidade de se transmitir dados confidenciais e de grande impacto Para se resolver este problema pode se usar um canal seguro de dados Um canal seguro de dados pode ser visto como se fosse um t nel De um lado s o colocadas as Informa es que s poder o ser lidas novamente ap s sa rem do outro lado Na pr tica o que feito dar um tratamento especial aos dados a serem transmitidos de modo que estes n o possam ser alterados durante seu caminho autentica o nem visualizados criptografia A combina o das duas t cnic
259. ele enviar o campo autenticador em branco quando for efetuar um logon em um firewall Desta forma o firewall ira pesquisar sua lista de autenticadores normalmente Usar dom nio NT como autenticador Esta op o informa ao cliente para enviar o nome do dom nio NT como nome do autenticador para o firewall fazendo com que o firewall utilize este autenticador para validar o usu rio Para que esta op o funcione necess rio que exista um autenticador ativo com o nome do dom nio NT utilizado e que o firewall esteja configurado para permitir que os usu rios especifiquem um dominio Para maiores informa es sobre estes par metros veja o cap tulo entitulado Configurando par metros de autentica o Especificar Autenticador Padr o Esta op o permite ao usu rio especificar o nome de um autenticador que ser utilizado pelo cliente ao efetuar logon no firewall Para que esta op o funcione necess rio que exista um autenticador ativo com o nome especificado e que o firewall esteja configurado para permitir que os usu rios especifiquem um dominio Para maiores informa es sobre estes par metros veja o cap tulo entitulado Configurando par metros de autentica o A op o Funcionar Apenas com o Cliente de Criptografia Aker se estiver marcada faz com que o cliente de autentica o somente tente estabelecer uma sess o com um firewall se o cliente de criptografia estiver ativo Isso serve para se acrescentar um grau
260. eliminada ou indefinidamente sendo eliminada apenas quando da reinicializa o do firewall O Firewall Aker possui um plugin espec fico para os produtos Real Secure NFR Dragon e Snort possibilitando sua integra o imediata e transparente para o administrador Neste caso o administrador deve instalar o plugin na maquina onde o agente IDS est instalado e logo ap s configur lo para acrescentar regras de bloqueio no firewall No firewall deve se configurar o suporte para agentes IDS como explicado no t pico a seguir poss vel a utiliza o de outros agentes IDS por m sua integra o deve ser feita mediante a cria o de scripts Neste caso deve se verificar o t pico que descreve a interface texto logo abaixo Das regras de bloqueio do IDS somente ser o removidas ap s expirar seu tempo de dura o por a o do administrador ou reinicializa o do Firewall Aker Nos ltimos dois casos todas as regras tempor rias ser o removidas ou seja n o poss vel eliminar uma regra espec fica ap s esta ter sido acrescentada 12 8 Configurando o suporte para o agente de detec o de intrus o Para ter acesso janela de Detec o de Intrus o basta Dispositivos remotos Configuration Managers E O Firewalls dh Firewall Azul ll Firewall Verde Configura o do Firewall Sy Configura es do Sistema Criptografia cd Ferramentas Informa o ee Seguran a EY Anti Spoof
261. em ria os dados recebidos do usu rio e do agente Nas autentica es seguintes o firewall possui todos os dados necess rios e n o mais precisa consultar o agente Isso permite um grande ganho de performance Este par metro permite definir o tempo em segundos que o firewall deve manter as Informa es de autentica o em mem ria Para maiores informa es veja o cap tulo intitulado Trabalhando com proxies Usu rios Este campo serve para que se possa cadastrar e posteriormente associar usu rios espec ficos RADIUS com perfis de acesso do firewall uma vez que com este protocolo n o poss vel para o firewall conseguir a lista completa de usu rios Somente necess rio se realizar o cadastramento dos usu rios que se deseje associar com perfis espec ficos Grupos Este campo serve para que se possa cadastrar e posteriormente associar grupos espec ficos RADIUS com perfis de acesso do firewall uma vez que com este protocolo n o poss vel para o firewall conseguir a lista completa de grupos Somente necess rio se realizar o cadastramento dos grupos que se deseje associar com perfis espec ficos WI 3 Existe um grupo chamado de RADIUS USERS gerado automaticamente pelo firewall que pode ser utilizado para a associa o de usu rios RADIUS com um perfil de acesso espec fico Todos os usu rios autenticados em um determinado servidor RADIUS s o considerados como pertencentes a este grupo Desta forma caso se de
262. em WWW existe a op o de se utilizar este hor rio padr o ou especificar um hor rio diferente As linhas representam os dias da semana e as colunas as horas Caso se deseje que a regra seja aplic vel em determinada hora ent o o quadrado deve ser preenchido caso contr rio o quadrado deve ser deixado em branco Para facilitar sua configura o pode se clicar com o bot o esquerdo do mouse sobre um quadrado e a seguir arrast lo mantendo o bot o pressionado Isto faz com que o a tabela seja alterada na medida em que o mouse se move QHTTP FTP GOPHER amp gt Perfis Firewall Azul Seles Perlis Nome do Perfil Acesso Web E e Acesso Web Secure Roaming HTTP An lize de contesto Web 3 GOPHER pera o Tento FTP E ee HTTP ae futebol Geral Socks Regras cassiho A o padr o para o protocolo HTTP Pemitir Vv A pasta de filtragem HTTP FTP GOPHER permite a defini o de regras de filtragem de URLs para os protocolos HTTP HTTPS FTP e Gopher Ela consiste de uma lista onde cada regra mostrada em uma linha separada li 30 protocolo HTTPS para a URL inicial filtrado como se fosse 0 protocolo HTTP Al m disso uma vez estabelecida a comunica o n o mais poss vel para o firewall filtrar qualquer parte de seu conte do j que a criptografia realizada diretamente entre o cliente e o servidor Na parte inferior da pasta existe um grupo que define a a o a s
263. ema est pr ximo do limite m ximo permitido Diante disso a cria o do novo processo foi cancelada e a conex o que deveria ser tratada pelo novo processo foi abortada Solu o Aumente o n mero m ximo de processos no sistema Para maiores informa es consulte o Ap ndice B Perguntas e respostas 134 M quina de convers o 1 N fora do ar Essa mensagem indica que uma das m quinas participantes de uma convers o 1 N balanceamento de canal se encontra fora do ar A mensagem complementar mostra o endere o IP da m quina em quest o 135 M quina de convers o 1 N operacional Essa mensagem indica que uma das m quinas participantes de uma convers o 1 N balanceamento de canal que se encontrava fora do ar voltou a funcionar normalmente mensagem complementar mostra o endere o IP da m quina em quest o 136 Pedido de conex o de administra o Esta mensagem gerada pelo m dulo de administra o remota do Firewall Aker todas as vezes que este recebe um pedido de abertura de conex o Na mensagem complementar mostrado o endere o IP da m quina que solicitou a abertura de conex o 137 Sess o de administra o estabelecida Esta mensagem gerada pelo m dulo de administra o remota do Firewall Aker quando um usu rio consegue se autenticar corretamente e iniciar uma sess o de administra o Na mensagem complementar mostrado o login do usu rio que estabeleceu a sess o e os seus direitos O
264. enas poss vel desabilit los Sobre L Cliente de Criptografia Firewall Aker Sess o Certificados Redes Seguras Log Algoritmos Sobre Cliente de Criptografia Aker vers o 2 8 Release 1 Build 12 Copyrights Este produto utiliza os algoritmos DES e 3DES retirados da biblioteca SSL escrita por Ene Young caylaimincon oz au Copyright c 1995 Eric Young Utiliza algoritmo MDS retirado da AFC 1321 Copyright c 1991 2 ASA Data Security Inc Copyright c 1997 2001 Aker Security Solutions Esta uma pasta meramente informativa e serve para que se obtenha algumas informa es do Cliente de Criptografia Dentre as informa es teis se encontram sua vers o e release 10 0 Configura es do Secure Roaming Aqui voc encontra as instru es necess rias para configurar corretamente o Secure Roaming do firewall 10 1 Utilizando a interface gr fica Para ter acesso janela de configura es do Secure Roaming basta e Clicar no menu Criptografia da janela principal e Escolher o item Secure Roaming Dispositivos remotos Configuration Managers E O Firewalls ly Firewall Azul E S Configura o do Firewall E3 ay Configura es do Sistema a A Criptografia e Certificados Aker COF FE Certificados IPSEC p ClenterFirewall Firewall Firewall x Secure Roaming cd Ferramentas Informa o ee Seguran a dh Firewall Verde Secure Roaming Configura o servi o Secure Roamin
265. enhas aparecer o na tela como v rios asteriscos Ap s preencher os campos deve se pressionar o bot o OK para alterar a senha ou o bot o Cancelar caso n o se deseje mud la 2 4 Visualizando informa es da sess o E poss vel a qualquer momento visualizar algumas informa es sobre a sess o de administra o ativa Para isso existe uma janela espec fica que mostra informa es teis como login nome e direitos do usu rio que est administrando o firewall e a vers o e o release do Firewall Aker que estiver sendo administrado S o mostradas tamb m a hora de in cio da conex o e a quanto tempo ela est ativa Para abrir esta janela execute os seguintes passos Dispositivos remotos Configuration Managers E O Firewalls dli Demo ll Firewall vermelho E S Configura o do Firewall E3 Ay Configura es do Sistema Criptografia dal Ferramentas El Informa o ME Conen es TCP MP Conexdes UDP Estatisticas EP Estatisticas do sistema E ventos 2 Gr fico da rede E Informa o de Log iad T neis IPSEC WE Usu rios Conectados See Seguran a vr Informa o de sess o Mostra Infroma es gen ricas sobre o firewall e Selecionar o firewall a ser configurado e Clicar em Informa o e Clicar duas vezes em Informa o de sess o Ser mostrada ent o a seguinte janela E Informa o de sess o Firewall Vermelho Dados do Firewall A Vers o 5 10 Release
266. ent permite todos etc firewall fwclient mostra Parametros de configuracao Suporte a canals seguros para clientes ativado Numero maximo de clientes simultaneos 25 Utiliza perfis de acesso sim Autenticacao de usuarios Usuario senha sim Smart card nao Token nao Permite canais seguros de qualquer maquina da Internet Algoritmos carregados DES habilitado 3 DES habilitado BlLowrish 126 habilitado Blowfish 256 habilitado Exemplo 4 desabilitando o algoritmo DES e mostrando a nova configura o etc firewall fwclient desabilita des etc firewall fwclient mostra Parametros de configuracao Suporte a canais seguros para clientes ativado Numero maximo de clientes simultaneos 25 Utiliza perfis de acesso sim Autenticacao de usuarios Usuario senha sim omart card nao Token E ao Permite canais seguros de qualquer maquina da Internet Algoritmos carregados DES desabilitado S DES habilitado Blowtfish 128 habilitado Blowfish 256 habilitado 9 4 Instalando o Cliente de Criptografia Aker O Cliente de Criptografia Aker funciona em plataformas Windows 95 98 NT 2000 Sua Instala o bastante simples e n o necess rio nem a reinicializa o da m quina onde ele ser instalado Para instalar o cliente de criptografia deve se colocar o CD ROM no drive e selecionar a op o Instalar Cliente de Criptografia dentro do menu Firewall na janela de apresenta o Caso a op o de auto execu
267. ente est realmente sendo executado na m quina em quest o 101 Erro de comunica o com servidor de anti v rus Esta mensagem indica que o firewall conseguiu se conectar ao servidor de anti v rus por m n o conseguiu estabelecer uma comunica o A mensagem complementar indica o nome do agente anti v rus que provocou o problema e o endere o IP da m quina onde ele est rodando Solu o Verifique se a senha de acesso na defini o da entidade est igual a senha colocada na configura o do agente anti v rus Para maiores informa es veja o cap tulo intitulado Cadastrando Entidades 102 Erro ao conectar com analisador de URLs Esta mensagem indica que o firewall n o conseguiu se conectar ao analisador de URLs que estaria rodando em uma determinada m quina A mensagem complementar indica o nome do analisador que n o pode ser conectado e o endere o IP que ele supostamente estaria rodando Solu o Verifique se o endere o IP da maquina onde o analisador estaria rodando est correto na defini o da entidade para maiores informa es veja o cap tulo intitulado Cadastrando Entidades e que ele est realmente sendo executado na m quina em quest o 103 Erro de comunica o com analisador de URLs Esta mensagem indica que o firewall conseguiu se conectar ao analisador de URLs por m n o conseguiu estabelecer uma comunica o A mensagem complementar indica o nome do analisador que provocou o problema e o e
268. entrada s fica ativa durante um curto intervalo de tempo ao final do qual ela removida este intervalo de tempo configurado atrav s da janela de configura o de par metros mostrada no cap tulo intitulado Configurando os par metros do sistema Desta forma o administrador n o precisa se preocupar com a os pacotes UDP de resposta sendo necess rio apenas configurar as regras para permitir o acesso aos servi os Isto pode ser feito facilmente j que todos os servi os possuem portas fixas O problema do protocolo FTP O FTP um dos protocolos mais populares da Internet por m um dos mais complexos de ser tratado por um firewall Vamos analisar seu funcionamento Para acessar o servi o FTP inicialmente a m quina cliente abre uma conex o TCP para a m quina servidora na porta 21 a porta usada pelo cliente vari vel Esta conex o chamada de conex o de controle A partir da para cada arquivo transferido ou para cada listagem de diret rio uma nova conex o estabelecida chamada de conex o de dados Esta conex o de dados pode ser estabelecida de duas maneiras distintas 1 O servidor pode iniciar a conex o a partir da porta 20 em dire o a uma porta vari vel informada pelo cliente pela conex o de controle este chamado de FTP ativo 2 O cliente pode abrir a conex o a parir de uma porta vari vel para uma porta vari vel do servidor informada para o cliente atrav s da conex o de controle est
269. er executada caso o endere o que o cliente desejou acessar n o se encaixe em nenhuma regra de filtragem Este grupo chamado de A o padr o para o protocolo e consiste de tr s op es Permitir Se esta op o for a selecionada ent o o firewall aceitar as URLs que n o se enquadrarem em nenhuma regra Bloquear Se esta op o for a selecionada ent o o firewall rejeitar as URLs que n o se enquadrarem em nenhuma regra Categorizar Se esta op o for a selecionada ent o o firewall enviar as URLs que n o se enquadrarem em nenhuma regra para serem analisadas pelo Analisador de URLs Aker Para se executar qualquer opera o sobre uma determinada regra basta clicar sobre ela e a seguir clicar na op o correspondente na barra de ferramentas As seguintes op es est o dispon veis e Inserir Esta op o permite se incluir uma nova regra na lista Se alguma regra estiver selecionada a nova ser Inserida na posi o da regra selecionada Caso contr rio a nova regra ser inclu da no final da lista e Apagar Esta op o remove da lista a regra selecionada e Copiar Esta op o copia a regra selecionada para uma rea tempor ria e Colar Esta op o copia a regra da rea tempor ria para a lista Se uma regra estiver selecionada a nova ser copiada para a posi o da regra selecionada Caso contr rio ela ser copiada para o final da lista Dica A posi o de cada regra pode ser alterada bastando
270. eressante explicar o funcionamento b sico de um filtro de pacotes simples Existem v rios crit rios poss veis para se realizar filtragem de pacotes A filtragem de endere os pode ser considerada a mais simples de todas ela consiste em comparar os endere os do pacote com os endere os das regras caso os endere os sejam iguais O pacote esta aprovado Esta compara o feita da seguinte forma Trabalharemos com a seguinte regra Todas as m quinas da rede 10 1 x x podem se comunicar com as m quinas da rede 10 2 x x Escreveremos esta regra utilizando o conceito de mascaramento para maiores informa es veja o cap tulo intitulado Cadastrando Entidades Assim temos LO LeU dE LDO 2 Da DEU A 102040 E 29942556050 RA Ordem ss ae CCO Vamos agora aplicar a regra a um pacote que trafega da m quina 10 1 1 2 para a maquina 10 3 7 7 Aplicaremos a m scara da regra aos dois endere os o da regra e o do pacote e verificamos se os endere os s o iguais tanto o destino quanto o origem Para o endere o origem temos 10 1 0 0 AND 255 255 0 0 10 1 0 0 para a regra Ow dete AND 255 2505000 0 10 1 0 0 para o pacote Temos ent o que os dois endere os origem s o iguais ap s a aplica o da m scara Veremos agora para o endere o destino 10 2 0 40 AND 255 25540 0 10 2 0 0 para a regra 10 3 7 7 AND 255 255 0 0 10 3 0 0 para o pacote Como o endere o destino do pacote n o est igual ao endere o destino da regra
271. ernamente todas as conex es ser o vistas como se partissem dele Um outro exemplo seria a de uma organiza o que possua sa das para a Internet e tr s classes de endere os v lidos neste caso o administrador tem a possibilidade de distribuir a convers o de endere os entre essas tr s classes obtendo muito mais flexibilidade na configura o Com a convers o de endere os funcionando todas as m quinas internas conseguem acessar qualquer recurso da Internet transparentemente com se elas pr prias possu ssem endere os v lidos Por m n o poss vel para nenhuma m quina externa iniciar uma conex o para qualquer m quina interna devido ao fato delas n o possu rem endere os v lidos Para resolver este problema o Firewall Aker posssibilita a configura o de regras de convers o 1 1 o que permite simular endere os v lidos para quaisquer endere os reservados Voltando para o caso da nossa hipot tica organiza o suponha que em sua rede exista um servidor WWW com endere o 10 1 1 5 e que seja desejado que este servidor forne a informa es para a rede interna bem como para a Internet Neste caso necess rio se escolher um endere o v lido para que este possa ser utilizado pelos clientes externos para se conectarem a este servidor Suponha que o endere o escolhido tenha sido o A B C 10 Deve se ent o acrescentar uma regra de convers o 1 1 de modo a mapear o endere o A B C 10 para o endere o interno 10 1 1 5
272. es e que o agente est realmente sendo executado na m quina em quest o 098 Erro de comunica o com agente IDS Esta mensagem indica que o firewall conseguiu se conectar ao agente IDS por m n o conseguiu estabelecer uma comunica o A mensagem complementar indica o nome do agente IDS que provocou o problema e o endere o IP da m quina onde ele est rodando Solu o Verifique se a senha de acesso na defini o da entidade est igual a senha colocada na configura o do agente IDS Para maiores informa es veja o cap tulo intitulado Cadastrando Entidades 099 Regra de bloqueio IDS acrescentada Esta mensagem indica que o agente de detec o de intrus o acrescentou uma regra de bloqueio tempor ria no firewall em decorr ncia de algum evento As mensagens complementares indicam que tipo de bloqueio foi acrescentado origem destino e ou servi o e os endere os e ou servi o bloqueados 100 Erro ao conectar com servidor de anti virus Esta mensagem indica que o firewall n o conseguiu se conectar ao servidor de anti v rus que estaria rodando em uma determinada m quina A mensagem complementar indica o nome do servidor que n o pode ser conectado e o endere o IP que ele supostamente estaria rodando Solu o Verifique se o endere o IP da maquina onde o agente estaria rodando est correto na defini o da entidade para maiores informa es veja o cap tulo intitulado Cadastrando Entidades e que o ag
273. es veja o cap tulo intitulado Configurando par metros de autentica o 1 Seleciona se entre listagem de usu rios ou grupos clicando se nos bot es correspondentes localizados entre as duas listas 2 Clica se com o bot o esquerdo sobre o nome do usu rio ou grupo que se deseja incluir na lista inferior da janela 3 Define se a permiss o de acesso para o usu rio ou grupo escolhendo entre os valores aceita que possibilitar o estabelecimento da sess o ou rejeita que impedir seu estabelecimento 4 Clica se no bot o OK o que provocar o fechamento da janela e a inclus o do usu rio ou grupo na lista de permiss es da janela de propriedades do contexto 24 0 Configurando o proxy FTP Neste cap tulo ser mostrado como se configurar o proxy FTP de forma a bloquear determinados comandos da transfer ncia de arquivos O O que o proxy FTP O proxy FTP um programa especializado do Firewall Aker feito para trabalhar com o protocolo FTP que o protocolo utilizado para a transfer ncia de arquivos pela Internet A sua fun o b sica possibilitar que o administrador defina que comandos podem ser aceitos e impedir por exemplo a cria o de novos arquivos ou de diret rios Ele um proxy transparente para maiores informa es veja o cap tulo intitulado Trabalhando com proxies desta forma nem o servidor nem o cliente sabem de sua exist ncia O Utilizando o proxy FTP Para se utilizar o proxy FTP
274. es mostradas acima podem ser executadas a partir da barra de ferramentas localizada logo acima da lista Neste caso primeiro seleciona se a regra clicando o com o bot o esquerdo e em seguida clica se na op o desejada II SA ordem das regras na lista de regras de filtragem de arquivos anexados de fundamental import ncia Para cada arquivo anexado de uma mensagem o firewall pesquisar a lista a partir do in cio procurando uma regra na qual ele se enquadre T o logo uma seja encontrada a a o associada a ela ser executada No caso de inclus o ou edi o de regras ser mostrada a janela de edi o mostrada abaixo A janela de edi o de regras de anexos Home checa virus Filtrar por tipo MIME Tipo E o Filtrar por nome Operador de pesquisa Io ativa o do filtro Somente se ambos s o verdadeiros Se qualquer um for verdadeiro Acao Remove anexo infectado w Registrar na lista de eventos Remover arquivos encriptados ex ZIF com senha Remover arquivos corrompidos em arquivos IP mal formatados Notifica emissor no caso de remo o do arquivo anexado Envia c pia para o administrador se o arquivo anexado for removido E mail padr o Nesta janela s o configurados todos os par metros relativos a uma regra de filtragem de arquivos para um contexto SMTP Ela consiste dos seguintes campos Nome Nome que define unicamente a regra dentro do contexto Este nome ser mostrado na lista de re
275. es padr o se encontra nos cap tulos intitulados Configurando o proxy SMTP Configurando o proxy Telnet Configurando o proxy FTP Configurando o proxy POP3 e Configurando o Proxy RPC O proxy HTTP n o tem par metros configur veis e suas configura es s o descritas no cap tulo Configurando o proxy WWW Para maiores informa es sobre proxies transparentes e contextos veja o cap tulo intitulado Trabalhando com proxies Proxies definidos pelo usu rio somente s o teis para desenvolvedores e sua descri o n o ser abordada aqui Ap s todos os campos estarem preenchidos deve se clicar no bot o OK para realizar a inclus o ou altera o do servi o Para cancelar as altera es realizadas ou a Inclus o deve se pressionar o bot o Cancelar Para facilitar a inclus o de v rios servi os seguidamente existe um bot o chamado Nova que n o estar habilitado durante uma edi o Ao ser clicado este bot o far com que o servi o cujos dados foram preenchidos seja inclu do e a janela de inclus o de servi os mantida aberta pronta para uma nova inclus o Desta forma poss vel se cadastrar rapidamente um grande n mero de servi os Incluindo editando interfaces E Interface de comunica o HIEI Ei Autom tico Nome Interface Coment rio Para se cadastrar uma entidade do tipo interface necess rio preencher os seguintes campos Nome o nome atrav s do q
276. es que utilizarem servi o igual ao da regra ser o bloqueados Se esta op o for marcada deve se selecionar quais protocolos estar o associados ao servi o atrav s do campo Protocolo Isto necess rio devido a uma limita o do Real Secure na medida em que n o fornece o protocolo de um determinado servi o apenas seu n mero Como o NER inspeciona apenas tr fego TCP esse protocolo deve ser selecionado no caso desse IDS Tempo de ativa o da regra Este campo permite que se defina por quanto tempo as regras acrescentadas por esta configura o ficar o ativas Caso a op o Tempo de ativa o esteja marcada deve se especificar o tempo em segundos que a regra ficar ativa Caso esta op o n o esteja marcada a regra ser mantida at a pr xima reinicializa o do firewall Firewalls Usados Este campo serve para se definir em quais firewalls as regras tempor rias ser o acrescentadas Para cada firewall deve se configurar uma senha de acesso e seu endere o IP A senha de acesso deve ser a mesma configurada na defini o da entidade do agente IDS para maiores informa es veja o cap tulo Cadastrando Entidades Ao se clicar no bot o incluir ou editar a seguinte janela ser mostrada MM Firewall Endere o IP ooo senha PO Confirma o Do Coment rio Do Cancelar Os firewalls definidos acima devem ser adicionados as configura es fazendo se os seguintes passos Selecione os firewalls requeridos Pressio
277. esquerdo do mouse e clica se no icone x que representa a remo o na barra de ferramentas ou 2 Clica se com o bot o direito do mouse sobre o nome do usu rio a ser removido e seleciona se a op o Excluir no menu pop up Significado dos atributos de um usu rio e Login E a identifica o do usu rio para o firewall Nao podem existir dois usu rios com o mesmo login Este login ser pedido ao administrador do firewall quando este for estabelecer uma sess o de administra o remota O login deve ter entre 1 e 14 caracteres N o h diferen as entre letras mai sculas e min sculas neste campo e Nome Este campo cont m o nome completo do usu rio associado ao login Ele tem objetivos puramente informacionais n o sendo usado para qualquer valida o Este nome deve ser um conjunto de caracteres de comprimento entre O e 40 e Senha Este campo ser usado em conjunto com o campo login para identificar um usu rio perante o Firewall Aker Ao se digitar a senha ser o mostrados na tela asteriscos ao inv s das letras O campo senha deve ter no m ximo 14 caracteres Seu tamanho m nimo configur vel atrav s da janela de par metros da Interface para maiores informa es veja o t pico Configurando os par metros da interface Neste campo letras mai sculas e min sculas s o consideradas diferentes ly 3 extremamente importante que as senhas usadas tenham um comprimento grande o mais pr ximo poss
278. ess o de administra o no shell help Mostram uma tela com a lista de comandos v lidos shutdown Paralisa o firewall para que ele possa ser desligado reboot Reinicia o firewall pinga e avec ncery Pi idesrciino Envia pacotes ping para e espera a resposta do hosts ip_destino A op o c especifica o n mero de pacotes a serem enviados op o i especifica o intervalo de transmiss o entre os pacotes em milisegundos ms password Troca a senha de acesso ao console do firewall dare lt mosera gt Sold im 2006 Com o par metro most ra informa a data do sistema Sen o acerta a data para a informada Cimo mos crer a Signal ess gt Com o par metro most ra informa a hora do sistema Sen o acerta o rel gio para o hor rio informado nele pablo descabida Habilita ou desabilita o uso de um disco r gido Ap ndice A Mensagens do sistema JMensagens do log do Firewall Todas as mensagens abaixo podem aparecer no log do firewall Sempre que ocorrerem elas estar o precedendo um registro que cont m as informa es sobre o pacote que as produziu Na esquerda est sendo mostrado o n mero correspondente a cada uma das mensagens 001 Poss vel ataque de fragmenta o Esta mensagem indica que o filtro de pacotes recebeu um pacote TCP fragmentado no header TCP possivelmente originado de uma tentativa de um ataque de fragmenta o Para maiores informa es veja RFC 1858 002 Pa
279. este caso para executar o agente a linha de comando seria usr local bin fwagaut c usr local etc fwagaut cfg Caso se deseje executar o agente com o arquivo de configura o no local padr o n o necess rio a utiliza o da op o e bastando simplemente execut lo com o comando usr local bin fwagaut il 3 O agente de autentica o deve ser executado pelo o usu rio root Quando se fizer alguma altera o no arquivo de configura o necess rio informar Isso ao agente se ele estiver rodando Para tal deve se executar o seguinte comando kill 1 pid Onde pid o n mero do processo do agente de autentica o Para se obter este numero pode se executar o comando fps ax grep fwagaut em m quinas baseadas em Unix BSD ou ps ef grep fwagaut em m quinas baseadas em Unix System V il 3 O agente de autentica o escuta requisi es na porta 1021 TCP N o pode existir nenhuma outra aplica o utilizando esta porta enquanto o agente estiver ativo 18 3 Instalando o agente de autentica o em Windows NT 2000 A instala o do agente de autentica o para NT bastante simples Para instal lo necess rio colocar o CD ROM do Firewall Aker 5 1 na m quina destino ou copiar o conte do do diret rio de instala o do agente do CD ROM para algum diret rio tempor rio nesta m quina A seguir deve se clicar no menu Iniciar selecionar a op o Executar e digitar o seguinte comando no campo Ab
280. etc firewall fwnat mostra Parametros Globais Conversao de enderecos Ativada Regras de Conversao Regra 01 Tipo sem conversao Origem Rede Interna Destino Rede Interna Regra 02 Tipo servicos Origem server Destino gt Internet Entidade virtual Firewall interface externa Servicos MYSQL POP3 SMTP Regra 03 Tipo Origem Web Server 001 Destino Internet Entidade virtual External Web server Origem serverl server server3 Destino 2 Internet Entidade virtual Virtual server Balanceamento Tandomico Monitoramento http URL gt www aker com br Regra 05 Tipo Steel Origem Rede Interna Destino t Internet Entidade virtual Firewall interface externa Exemplo 2 Incluindo uma regra de convers o 1 1 no final da tabela mapeando o servidor SMTP Server com endere o reservado para o External Server com endere o v lido para todas as m quinas da Internet etc firewall fwnat inclui fim 1 1 SMTP Server Internet External DS Ne Regra incluida na posicao 6 Exemplo 3 Incluindo uma regra de convers o de servi os no inicio da tabela etc firewall fwnat inclui 1 Servicos Server 2 Internet External Server 2 Telnet FTP Regra incluida na posicao 1 Exemplo 4 Removendo a regra 3 etc firewall fwnat remove 3 Regra 5 removida Exemplo 5 Incluindo uma regra de convers o 1 N balanceamento mapeando os servidores srv01 e srv02 em uma maquina externa chamada de srv externo para to
281. etros do sistema e constatar que este nao existe ou n o pode ser lido Solu o Reinicialize a m quina que o programa de inicializa o ir recriar o arquivo de par metros Se isso n o funcionar contate o suporte t cnico 052 Erro ao carregar perfis de acesso Esta mensagem indica que o servidor de autentica o ou o servidor de login de usu rios n o conseguiu carregar a lista de perfis de acesso cadastrados no sistema Solu o Contate o suporte t cnico 053 Erro ao carregar entidades Esta mensagem indica que algum processo servidor do firewall n o conseguiu carregar a lista de entidades cadastradas no sistema Solu o Contate o suporte t cnico 054 Nome de perfil de acesso inv lido Esta mensagem indica que o servidor de autentica o ao procurar o perfil de acesso de um usu rio constatou que o mesmo n o se encontra cadastrado no sistema Solu o Contate o suporte t cnico 055 Erro ao criar socket de conex o Esta mensagem indica que algum dos m dulos externos tentou criar um socket e n o conseguiu Solu o Verifique o n mero de arquivos que podem ser abertos por um processo e o n mero total para o sistema Se necess rio aumente estes valores Para maiores informa es de como fazer 1sso contate o suporte t cnico 056 Tamanho da linha excessivo Esta mensagem indica que algum proxy do Firewall Aker recebeu uma linha com um n mero excessivo de caracteres e devido a isso derrubo
282. f cil em fun o de sua concep o inteligente Toda a parte de endere os IP m scaras protocolos e portas configurada nas entidades para maiores Informa es veja o cap tulo intitulado Cadastrando Entidades Devido a 1sso ao configurar uma regra n o necess rio se preocupar com qual porta um determinado servi o utiliza ou qual o endere o IP de uma rede ou m quina Tudo isso j foi previamente cadastrado Para facilitar ainda mais todos os servi os mais utilizados na Internet j vem previamente configurados de f brica sendo desnecess rio perder tempo pesquisando os dados de cada um Basicamente para cadastrar uma regra de convers o deve se especificar as entidades de origem e destino tipo de convers o Interface virtual e servi o se for o caso O funcionamento da convers o simples o firewall pesquisar uma a uma as regras definidas pelo administrador na ordem especificada at que o pacote se encaixe numa delas A partir deste momento ele executar o tipo de convers o associado regra Caso a pesquisa chegue ao final da lista e o pacote n o se enquadre em nenhuma regra ent o este n o ser convertido 7 2 Utilizando a interface gr fica Para ter acesso a janela de configura o da convers o de endere os basta Dispositivos remotos o Configuration Managers Firewalls ll Firewall Azul 5 S Configura o do Firewall Je Autentica o 4 Bloqueio de Banners Entidades eS
283. f tgz restaura os arquivos de configura o 3 tar xvfz log tgz restaura os arquivos de log e Caso tenha ocorrido uma perda generalizada deve se primeiro verificar se o sistema operacional se encontra intacto Em caso de d vida deve se inicialmente reinstalar todo o FreeBSD ou Linux Ap s isso deve se reinstalar o Firewall Aker seguindo todos os procedimentos descritos no cap tulo de instala o do sistema Estando tudo funcionando restaura se os backups dos arquivos de configura o e de log e eventos conforme mostrado acima 32 0 Firewall Aker Box Neste cap tulo mostraremos os comandos que podem ser utilizados no shell do Aker Firewall Box O O Firewall Aker Box O Aker Firewall Box composto por um sistema integrado de hardware e software A grande vantagem dessa plataforma que ela dispensa maiores conhecimentos de sistemas operacionais Al m disso por n o possuir disco r gido e por ser formada por um hardware industrial a plataforma apresenta potencialmente maior resist ncia contra danos especialmente picos de energia o que acaba por possibilitar um funcionamento ainda mais est vel O Firewall box est dispon vel em diversos modelos que visam atender as necessidades de pequenas m dias e grandes empresas A lista completa dos modelos dispon veis frequentemente atualizada e est dispon vel em http www aker com br index php pas cod 8 amp prod cod 21 amp ling pt br amp cat cod 8 amp i
284. ficar fora do ar por at mesmo alguns minutos Afinal paradas n o planejadas podem comprometer no m nimo a qualidade do servi o sem contar o preju zo financeiro Toler ncia a falhas nada mais que um agrupamento de recursos que fornece ao sistema a ilus o de um recurso nico A maioria de seus componentes sen o sua totalidade se encontra duplicado desta forma mesmo que um componente individual apresente falhas o servi o n o comprometido Para possibilitar a redud ncia de recursos necess rio um mecanismo de ger ncia de forma a tornar seu funcionamento transparente WO que um sistema Cooperativo No sistema de toler ncia a falhas foi falado a respeito de alta disponibilitade e de agrupamento de recursos mas no sistema cooperativo alem da alta disponibilidade ocorre o balanceamento de carga entre os sistemas No sistema cooperativo todos os ficam ativos e se o peso entre eles for igual tratar o de forma balanceada as conex es e todos os processos entre eles WComo trabalha a Toler ncia a Falhas do Firewall Aker A toler ncia a falhas do Firewall Aker composta por dois sistemas id nticos ou seja duas m quinas com o mesmo Sistema Operacional mesmas placas de rede e com a mesma vers o do Firewall conectadas entre si A exig ncia de se usar o mesmo sistema operacional se d pelo fato de se poder aplicar corre es atrav s da interface gr fica e essas corre es serem replicadas automaticamente de
285. figura o do proxy WWW isso ser mostrado no t pico chamado Editando os par metros do proxy WWW 3 Cria se uma regra de filtragem possibilitando que as m quinas clientes tenham acesso ao proxy para maiores Informa es veja o cap tulo intitulado O Filtro de Estados li 30 proxy WWW n o transparente escuta conex es na porta 80 utilizando o protocolo TCP Caso seja necess rio pode se alterar este valor para qualquer porta bastando para isso acrescentar o par metro p porta onde porta o n mero da porta que se deseje que ele escute na hora de se inici lo Esta chamada se encontra no arquivo etc firewall rc aker e deve ser alterada de etc firewall fwhttppd para etc firewall fwhttppd p 8080 por exemplo Para se utilizar o proxy WWW no modo transparente apenas protocolo HTTP necess rio se executar uma seqii ncia de 2 passos 1 Cria se um servi o que ser desviado para o proxy WWW transparente HTTP e edita se os par metros do contexto a ser usado por este servi o para maiores Informa es veja o cap tulo intitulado Cadastrando Entidades 2 Acrescenta se uma regra de filtragem permitindo o uso do servi o criado no passo 1 para as redes ou m quinas desejadas para maiores informa es veja o cap tulo intitulado Filtro de Estados 26 2 Editando os par metros do Proxy WWW Para se utilizar o proxy WWW necess rio a defini o de alguns par metros que determinar o caracter sticas b sic
286. figuradas no firewall Para se incluir uma nova rota basta se clicar no bot o direiro do mouse e ir aparecer o Mova Rota menu Para se remover ou editar uma rota basta se clicar com o bot o direito sobre ela SDHCP TCP IP firewall Relay DHCP entre redes Interfaces de escuta Servidores DHCP ma ethO pa eth Dm eth Em etha Em etha 0 la Servidor DHCP interno Pool de endere os E F2 16 0 07255 255 255 0 Nesta pasta sao definidas as op es do firewall em rela o ao servi o DHCP Ela consiste das seguintes op es N o usar DHCP Se esta op o estiver selecionada o firewall n o atuar como servidor DHCP nem efetuar relay entre redes conectadas a ele Relay DHCP entre redes Esta op o permite que se defina que o firewall realizar o relay de pacotes DHCP entre as redes selecionadas Ela utilizada quando se possui apenas um servidor DHCP e se deseja que ele forne a endere os para m quinas localizadas em sub redes distintas conectadas diretamente ao firewall Ao se selecion la deve se especificar em Interfaces de Escuta as interfaces nas quais o firewall escutar broadcasts DHCP e os encaminhar para os servidores especificados em Servidores DHCP No caso de haver mais de um servidor o firewall encaminhar as requisi es para todos e retornar ao cliente a primeira resposta recebida Servidor DHCP Interno Esta op o designada para redes pequenas q
287. fil associado ao mesmo ser utilizado A janela de Controle de Acesso por IP 15 Autentica o Firewall Azul DER Controle de acessa i Metodos i Autentica o para Proses a Controle de AcessoporlP 4 amp i r Ativar controle de acesso por IF Entidades Ongern Perfil mm es cesso Internet 7 or X Goes O firewall pode controlar os acessos por interm dio de endere os IP conhecidos juntamente com perfis criados para este fim Basta o administrador cadastrar a rede conhecida e arrastar para a posi o Entidades de Origem em seguida incluir na coluna Perfil o perfil ou perfis necess rios na regra A caixa Ativar controle de acesso por endere o IP origem dever estar marcada para que o firewall use esta facilidade 21 0 O Cliente de Autentica o Aker Mostraremos aqui o que e para que serve o Cliente de Autentica o Aker uma ferramenta que propicia grande n vel de seguran a 21 1 Planejando a instala o id O que o Cliente de Autentica o Aker No cap tulo anterior mostrou se o que s o perfis de acesso de usu rios quais as facilidades que eles proporcionam ao administrador do firewall e como associar usu rios de autenticadores do firewall com perfis de acesso Entretanto em nenhum momento foi mostrado como o firewall iria detectar que um usu rio espec fico estaria utilizando uma m quina em um determinado momento Para possibilitar que o firewall saiba e
288. g vel do kernel com o firewall apenas no Linux e etc firewall fwauthd Servidor de autentica o de usu rios e etc firewall fwcardd Modulo de valida o de certificados X509 para smart cards e etc firewall fwconfd Servidor de comunica o para a interface remota e etc firewall fwerld M dulo de download de CRLs das autoridades certificadoras ativas e etc firewall fwcryptd Servidor de criptografia para clientes e etc firewall fwdnsd Servidor de resolu o de nomes DNS para a Interface remota e etc firewall fwidsd Programa de comunica o com agentes de detec o de intrus o e etc firewall fwinit Programa de Inicializa o do Firewall Aker e etc firewall fwftppd Proxy FIP transparente e etc firewall fwgkeyd Servidor de geracao de chaves de criptografia e etc firewall fwhttppd Proxy HI TP transparente e proxy WWW n o transparente e etc firewall fwheartd Servi o de controle do cluster e etc firewall fwhconfd Servi o de configura o distribu da do cluster e etc firewall fwgenericstd Servi o de coleta de informa o distribu da do cluster e etc firewall fwstconnd Servi ode replica o de conex es do cluster e etc firewall fwlinkmond Servi o de monitoramento de links e etc firewall fwdlavd Servi o de anti v rus web e etc firewall fwmachined Servi o de coleta de informa es de performance e etc firewall fwpmapd Proxy RPC transparente e etc firewal
289. g do Firewall A janela de configura es do Secure Roaming Secure Roaming Firewall Azul Configura es Acesso Endere os Nomen maxima de conex es simult neas Limite de cones es simult neas M todos de Autentica o E Usu rio zenha Token SecurlD a Smartcard lt 509 La Permitir compress o de dados 10 a 1011 Forta TCF Forta UDP Ww Dk e O bot o OK far com que a janela de configura es do Secure Roaming seja fechada e as altera es efetuadas aplicadas e O bot o Cancelar far com que a janela seja fechada por m as altera es efetuadas n o sejam aplicadas e O bot o Aplicar enviar para o firewall todas as altera es feitas por m manter a janela aberta Aba Configura es e Numero m ximo de conex es simult neas Aqui voc pode configurar o n mero m ximo de clientes conectados simultaneamente no Secure Roaming em um determinado tempo Use esta op o para evitar com que o servidor tenha uma sobrecarga por excesso de clientes o que pode diminuir a perfomance Por favor note que este n mero n o pode ser superior ao de sua licen a Se estiver em 0 nenhum cliente ser permitido e Limite de conex es simult neas Indica o limite m ximo de conex es permitido por sua licen a e M todos de Autentica o As op es dispon veis que podem ser marcadas independentemente s o 1 Usuario senha O usu rio dever se autenticar atrav
290. gado e O bot o Abrir far com que a c pia seja carregada e a configura o do firewall imediatamente atualizada e O Bot o Cancelar far com que a janela seja fechada por m a c pia de seguran a n o seja carregada 29 4 DNS Reverso DNS reverso utilizado para se resolver nomes de m quinas a partir de endere os IP A janela de resolu o de DNS reverso do Firewall Aker serve para prover resolu o de endere os sem a necessidade de utiliza o de programas adicionais Para ter acesso a janela de resolu o de DNS reverso basta Dispositivos remotos o Configuration Managers Lal O Firewalls ch Firewall Azul ll Firewall Verde E S Configura o do Firewall E ty LContiguracoes do Sistema Ei EL Criptografia E Ferramentas k Busca de entidade S Janela de alarmes e Mudar senha hag Simula o de Regras de Filtragem Informa o ee Seguran a G DAS reverso Realiza uma pesquisa ONS reversa em endere os IP arbitr rios Clicar no menu Ferramentas da janela de administra o do firewall Selecionar o item DNS Reverso A janela de resolu o de DNS reverso Seles Mostrar todas DMS reverso Firewall Verde G ONS reverso 192 Er IF Home da ENF 192 168 1 1 SEIVEI 00126342 SemONs 200 256 6420 Gem DNS Esta janela consiste de um campo para se digitar o endere o IP que se deseja resolver e uma lista com os endere os IP j resolvidos anteriormente e Obot o OK fa
291. gem 077 Mensagem com erro de sintaxe Esta mensagem indica que a mensagem SMTP estava com erro de sintaxe dos comandos SMTP Geralmente programas de spammers fazem com que este erro aconte a 078 Anexo com v rus removido Esta mensagem indica que um anexo da mensagem continha v rus e foi removido O complemento da mensagem indica quem s o o remetente e o destinat rio da mensagem assim como o nome do v rus encontrado 079 Anexo removido Esta mensagem indica que um anexo da mensagem foi removido O complemento da mensagem indica quem s o o remetente e o destinat rio da mensagem 080 Mensagem descartada por causa de seu anexo Esta mensagem indica que uma mensagem tinha um anexo inaceit vel veja suas regras e foi bloqueada pelo proxy SMTP do Firewall O complemento da mensagem indica quem s o o remetente e o destinat rio da mensagem 081 Anexo continha v rus e foi desinfectado Esta mensagem indica que um anexo da mensagem continha v rus e foi desinfectado O complemento da mensagem indica quem s o o remetente e o destinat rio da mensagem assim como o nome do v rus encontrado 082 Anexo incorretamente codificado mensagem defeituosa Esta mensagem indica que um anexo de mensagem esta incorretamente codificado ou seja apresenta erro na codifica o do tipo MIME Normalmente este arquivo pode ser descartado pelo firewall caso o administrador configure a op o desejada Para mais informa es leia o cap
292. gem n o importante uma vez que ela rand mica Devido a isso quando se define um servi o leva se em considera o apenas a porta de destino Al m dos protocolos TCP e UDP existe um outro protocolo importante o ICMP Este protocolo utilizado pelo pr prio IP para enviar mensagens de controle informar sobre erros e testar a conectividade de uma rede O protocolo ICMP n o utiliza o conceito de portas Ele usa um n mero que varia de O a 255 para indicar um Tipo de Servi o Como o tipo de servi o caracteriza unicamente um servi o entre duas m quinas ele pode ser usado como se fosse a porta destino dos protocolos TCP e UDP na hora de definir um servi o Por ltimo existem outros protocolos que podem rodar sobre o protocolo IP e que n o s o TCP UDP ou ICMP Cada um destes protocolos tem formas pr prias para definir uma comunica o e nenhum deles utilizado por um grande n mero de m quinas Ainda assim o Firewall Aker optou por adicionar suporte para possibilitar ao administrador controle sobre quais destes protocolos podem passar atrav s do firewall e quais n o Para entender como 1sso feito basta se saber que cada protocolo tem um n mero nico que o identifica para o protocolo IP Este n mero varia de O a 255 Desta forma podemos definir servi os para outros protocolos usando o n mero do protocolo como identifica o do servi o SO que Qualidade de Servi o QoS Qualidade de servi o pode ser
293. goritmo de criptografia foi negociado e Algoritmo de Hash Mostra que algoritmo deve ser utilizado para fazer o hash das Informa es e Tamanho da chave de criptografia Informa o tamanho da chave de criptografia que ambos os lados do canal devem utilizar e Tamanho da chave de autentica o Informa o tamanho da chave de autentica o negociado e Protocolo Conjunto de protocolos negociados para a SP e Bytes negociados Quantidade de bytes que devem ser transmitidos para que uma nova politica se seguran a seja negociada e Bytes transferidos Quantidade de bytes trafegados pela SP e Tempo total Tempo de validade da SP e Ocioso Tempo de inatividade do SP e Expiracao Data no qual a SP deixar de ser utilizada Clicando se em gr fico pode se ver um gr fico de uso dos t neis que atualizado a cada cinco segundos Ele mostra o tr fego agregado de todas as SPIs de cada regra permitindo verificar em tempo real o uso efetivo de banda criptografada be T neis IPSEC Firewall Verde Seles visualiza o Gr fico Tr fego criptografado bytes seg ogg FOO GOO s00 400 300 200 100 Utilizando a troca de chaves manual Para se utilizar troca de chaves manual deve se selecionar a op o Manual na janela Firewall Firewall Isto provocar a altera o da janela de forma a mostrar os campos necess rios para esta configura o Apenas autentica o Para se utilizar fluxos com apenas autentica
294. gras de arquivos N o podem existir duas regras com o mesmo nome Filtrar por tipo MIME Esse campo permite com que se defina uma regra de filtragem de arquivos baseando se em seu tipo MIME Ao ser marcada deve se especificar seu tipo e seu subtipo Filtrar por nome Esse campo permite com que se realize filtragems a partir de parte do nome do arquivo anexado Ao ser marcado deve se especificar o tipo de pesquisa a ser efetuada e o texto a ser pesquisado Estes campos s o an logos aos campos de mesmo nome da regra de filtragem SMTP descrita acima Operador de pesquisa Este campo an logo ao campo de mesmo nome da regra de filtragem SMTP descrita acima A o Indica qual a a o a ser tomada pelo firewall quando um arquivo se enquadrar na regra Ela consiste de tr s op es e Aceita o anexo Se essa op o for selecionada o firewall ir manter o arquivo anexado na mensagem e Remove o anexo Se essa op o for selecionada o firewall ir remover o arquivo anexado da mensagem e Descarta mensagem Se essa op o for selecionada o firewall recusar a mensagem completa e Remove anexo infectado Se essa op o for selecionada o firewall ira verificar o arquivo anexado da mensagem contra v rus Caso exista v rus o firewall tomar uma das seguintes a es se o arquivo puder ser desinfectado o v rus ser removido e o arquivo reanexado mensagem Caso o arquivo n o possa ser desinfectado o firewall o remover
295. gundo dia e assim por diante O Firewall Aker possui quatro m todos para trocas de chaves IPSEC IKE AKER CDP SKIP e manual Troca de chaves via IPSEC IKE Esta op o estar dispon vel apenas quando se utilizar o conjunto completo de protocolos IPSEC O IPSEC JP Security um conjunto de protocolos padronizados RFC 2401 RFC 2412 desenvolvidos pela IETF O IPSec oferece transfer ncia segura de Informa es atrav s de rede IP p blica ou privada Uma conex o via IPSec envolve sempre 3 etapas 1 Negocia o do n vel de seguran a 2 Autentica o e Integridade 3 Confidencialidade Para implementar essas 3 etapas o IPSec utiliza se de 3 mecanismos AH Autentication Header ESP Encapsulation Security Payload IKE Internet Key Exchange Protocol Recomenda se fortemente o uso desta op o na hora de se configurar os canais seguros Troca de chaves via Aker CDP O Aker CDP um protocolo designado pela Aker Security Solutions que possibilita a configura o totalmente autom tica de todos os par metros de um canal seguro Ele utiliza o protocolo SKIP como base o que significa que ele oferece todas as facilidades de trocas de chaves apresentadas anteriormente por m possui a grande vantagem de n o necessitar de uma configura o manual dos segredos compartilhados tudo feito automaticamente Para assegurar o m ximo de seguran a toda a troca de chaves feita atrav s de certificados digitais ass
296. gurando canais Firewall Firewall o 8 5 Utilizando a interface texto Configurando criptografia Cliente Firewall o 9 1 Planejando a Instala o o 9 2 Configurando o firewall utilizando a interface gr fica o 9 3 Configurando o firewall utilizando a interface texto o 9 4 Instalando o cliente de criptografia Aker 9 0 o 9 5 Configurando o cliente de criptografia e 10 0 Configura es do Secure Roaming o 10 1 Utilizando a interface gr fica e 11 0 Integra o dos m dulos do Firewall o 11 1 O fluxo de pacotes no Firewall Aker o 11 2 Integra o do filtro com a convers o de endere os o 11 3 Integra o do filtro com a convers o e a criptografia e 12 0 Configurando a Seguran a o 12 1 Prote o contra SYN Flood o 12 2 Utilizando a interface gr fica para Prote o contra SYN Flood o 12 3 Prote o de Flood o 12 4 Utilizando a interface gr fica para Prote o de Flood o 12 5 Prote o Anti Spoofing o 12 6 Utilizando a interface gr fica para Anti Spoofing o 12 7 Sistema de Detec o de Intrus o IDS o 12 8 Configurando o suporte para o agente de detec o de intrus o o 12 9 Instalando o Plugin para agentes IDS no Windows NT o 12 10 Utilizando a interface texto Syn Flood o 12 11 Utilizando a Interface texto Prote o de Flood o 12 12 Utilizando a interface texto Anti Spoofing o 12 13 Utilizando a interface texto IDS 0 Configurando as a es do sistema o 13 1 Utilizando a interface gr fica o 13 2 Utilizando a interface te
297. he Autenticadores Autenticador NT BO O O era Dl DOO g0 2 600 Unix I OZ 6020 VO Ze OO Ou 600 Autenticadores do tipo token Autenticador token Ron ea Ce TOS aaa 600 Agentes IDS Agente IDS Ego EM ES TE TAA DO Dr Ze ne O Dr Osse firewall HE LOZ OS 02 Anti Virus Anti virus local 1270 01 Servicos echo reply ICMP 6 echo request ICMP Q Tel TCP 21 snmp UDP 161 telnet TCP ae Interfaces Interface Externa x10 Interface Interna de0 Exemplo 2 cadastrando uma entidade do tipo m quina t etc firewall fwent inclui maquina Servidor 1 10 4 1 4 Entidade incluida Exemplo 3 cadastrando uma entidade do tipo rede etc firewall fwent inclui rede Rede 1 10 4 0 0 255 255 0 0 Entidade incluida Exemplo 4 cadastrando uma entidade do tipo servi o etc firewall fwent inclui servico DNS UDP 53 Entidade incluida Exemplo 5 cadastrando uma entidade do tipo autenticador t etc firewall fwent inclui autenticador Autenticador Unix 10 4 2 2 senha 123 900 Entidade incluida il 30 uso de ao redor do nome da entidade obrigat rio quando se inclui ou remove entidades cujo nome cont m espa os Exemplo 6 incluindo uma entidade do tipo conjunto cujos membros s o as m quinas cache e firewall previamente definidas t etc firewall fwent inclui conjunto Conjunto de teste cache firewall Entidade incluida Exemplo 7 incluindo uma entidade do tipo interface sem especificar um coment rio etc firewall fwen
298. he Habilitar cache Esta op o permite definir se o proxy WWW ir redirecionar suas requisi es para um servidor de cache Caso esta op o esteja habilitada todas as requisi es recebidas ser o repassadas para o servidor de cache no endere o IP e porta especificados Caso contr rio o proxy WWW atender todas as requisi es IP Este campo especifica o endere o IP do servidor de cache para onde as requisi es ser o redirecionadas caso a op o habilita cache estiver ativa Porta Este campo especifica a porta na qual o servidor de cache espera receber conex es caso a op o habilita cache estiver ativa e Par metros Esta pasta possibilita ajustar o funcionamento do proxy WWW para situa es especiais Ela consiste dos seguintes campos Autentica usu rios WWW Este campo ativa ou n o a autentica o de usu rios do proxy WWW Caso ele esteja marcado ser solicitada ao usuario uma identifica o e uma senha todas as vezes que ele tentar iniciar uma sess o e esta somente ser iniciada caso ele seja autenticado por algum dos autenticadores Utiliza cliente de autentica o em Java Esta op o instrui o proxy a utilizar o cliente de autentica o em Java mesmo quando operando de modo n o transparente A vantagem deste cliente permitir que a autentica o do usu rio seja completa como quando se usa o cliente de autentica o para Windows e n o apenas para o proxy WWW ii S Caso o usu rio esteja
299. i causado por a mensagem ter se encaixado em algum filtro que indicava que ela deveria ser rejeitada ou por ter um tamanho maior que o tamanho m ximo permitido 065 Conex o SMTP bloqueada por regra de DNS Esta mensagem indica que o proxy SMTP bloqueou uma conex o devido a uma regra da para de DNS Para mais informa es leia o capitulo intitulado Configurando o proxy SMTP 066 Conex o SMTP bloqueada por RBL Esta mensagem indica que o proxy SMTP bloqueou uma conex o devido ao servidor SMTP de origem estar inscrito em uma lista negra de spammers 067 Conex o SMTP recusada pelo servidor ou servidor fora do ar Esta mensagem indica que o proxy SMTP tentou uma conex o com o servidor SMTP de destino porem o mesmo pode ter recusado ou esta fora do ar Verifique se o servidor destino esta no ar realizando um telnet na porta 25 do mesmo 068 Cliente SMTP enviou linha de tamanho excessivo O cliente SMTP enviou uma linha de tamanho muito grande que nao pode ser tratada pelo proxy SMTP Verifique se o cliente segue a padroniza o da RFC ou ajuste o mesmo para tal 069 Cliente SMTP fechou conex o O cliente SMTP fechou inesperadamente a conex o Isto pode ter acontecido por interven o do pr prio usu rio ou por problemas do cliente Normalmente as conex es s o restabelecidas automaticamente 070 Servidor SMTP enviou linha de tamanho excessivo O servidor SMTP enviou uma linha de tamanho muito grande que n o pode ser tr
300. ibilita que o administrador imprima um relat rio de toda ou de parte da configura o do firewall de forma f cil e r pida Este relat rio bastante til para fins de documenta o ou de an lise da configura o Para ter acesso a janela de relat rios basta F Editar Firewall Ctrl E By apagar firewall Ctrl D Fr Salvar configura es Chris E Carregar configura es Cbri a i Relat rio do firewall Ctrl F pr Desconectar do firewall Ctrl 5hift 0 3 Reiniciar Firewall e Clicar no firewall para o qual se deseja gerar o relat rio e Selecionar o item Relat rio do firewall no menu com o mesmo nome do firewall selecionado A janela de relat rios Relat rio Selecione os tems para o relat rio Perfis de acesso Regras de Filtragem C NAT DD ICPF Prote o de Flood Controle de acesso Criptografia Arquivo usado para gerar relat rio i Gerar Salir Esta janela consiste de v rias op es distintas uma para cada parte da configura o do firewall que podem ser selecionadas independentemente Para se gerar um relat rio deve se proceder da seguinte forma Marca se os itens que se deseja imprimir Clica se no bot o Procurar e escolha o diret rio onde ir o ser armazenadas as p ginas html 3 Abra o diret rio e selecione o arquivo html para imprimir seu relat rio NO ma Caso se deseje cancelar a emiss o do relat rio basta clicar no bot o Cancelar
301. ica que o proxy SOCKS recebeu uma solicita o de envio de um pacote UDP e o mesmo foi recusado devido a exist ncia de uma regra no perfil de acesso correspondente indicando que o proxy n o deveria aceitar tal requisi o As mensagens complementares indicam o nome do usu rio que tentou enviar o pacote se a autentica o de usu rios estiver habilitada o endere o do cliente e o endere o destino 090 Conex o TCP estabelecida atrav s do proxy SOCKS Essa mensagem indica que o proxy SOCKS recebeu uma solicita o de estabelecimento de uma conex o TCP e a mesmo foi estabelecida devido a exist ncia de uma regra no perfil de acesso correspondente indicando que o proxy poderia faz lo As mensagens complementares indicam o nome do usu rio que estabeleceu a conex o se a autentica o de usu rios estiver habilitada o endere o do cliente e o endere o para o qual a conex o foi estabelecida 091 Conex o TCP finalizada atrav s do proxy SOCKS Essa mensagem gerada todas as vezes que uma conex o TCP finalizada atrav s do proxy SOCKS As mensagens complementares indicam o nome do usu rio que havia estabelecido a conex o se a autentica o de usu rios estiver habilitada o endere o do cliente e o endere o para o qual a conex o foi estabelecida 092 Conex o TCP recusada pelo proxy SOCKS Essa mensagem indica que o proxy SOCKS recebeu uma solicita o de estabelecimento de uma conex o TCP e a mesmo foi r
302. ica que ocorreu um erro Interno grave no daemon de negocia o de chaves IPSEC fwiked Esta situa o an mala e n o deve acontecer Por favor contate o suporte t cnico se o Firewall gerar esta mensagem 178 Erro comunicando com o kernel Esta mensagem indica que o daemon de negocia o de chaves IPSEC fwiked n o esta conseguindo se comunicar com os m dulos do Firewall que executam dentro do kernel do sistema operacional 179 Kernel enviou requisi o incorreta Esta mensagem indica que o daemon de negocia o de chaves IPSEC fwiked recebeu uma solicita o para negociar um canal de criptografia que n o mais existe na configura o do Firewall Espere alguns instantes at que todos os m dulos do Firewall se sincronizem 180 Tentou instalar uma SA n o negociada Esta mensagem indica que o daemon de negocia o de chaves IPSEC fwiked encontrou um erro grave de consist ncia Interna Esta situa o an mala e n o deve acontecer Por favor contate o suporte t cnico se o Firewall gerar esta mensagem 181 Algoritmo criptogr fico n o suportado Esta mensagem indica que um outro Firewall ou qualquer equipamento que suporte IPSEC tentou estabelecer um canal criptogr fico com um algoritmo de cifra o n o suportado pelo Firewall Aker Escolha outros algoritmos veja se o Configurando canais Firewall Firewall 182 Erro enviando regra de ike ao filtro de pacotes Esta mensagem indica que o daemon de neg
303. ientes que podem estar ativos em um determinado instante Ele pode variar entre O e o n mero maximo de licen as de clientes de criptografia adquiridas Se estiver em 0 n o ser permitido a nenhum usu rio estabelecer canais seguros M todos de Autentica o As op es dispon veis que podem ser marcadas independentemente s o e Usuario senha O usu rio dever se autenticar atrav s de uma combina o de nome e uma senha Esses dados ser o repassados a um ou mais servidores de autentica o que dever o valid los Esta op o a mais insegura por m n o depende de nenhum hardware adicional e Token SecurID O usu rio dever se autenticar mediante o fornecimento de um nome um PIN e um c digo presente em um Token SecurID que modificado a cada minuto Esses dados ser o repassados para o autenticador Token cadastrado no firewall para serem validados Essa op o bem mais segura que a anterior por m exige que cada usu rio possua um Token e Smart Card O usuario devera se autenticar atrav s do uso de certificados X509 por exemplo gravados em smart cards e emitidos por uma das autoridades certificadoras cadastradas no firewall Essa forma de autentica o a mais segura das tr s pois exigir a senha de desboqueio da chave privada e a posse da mesma Caso alguma op o em M todos de Autentica o esteja marcada poss vel se definir se um usu rio validado no cliente de criptografia ter ou n o um
304. igital Certificado digital um documento fornecido pela Entidade Certificadora para cada uma das entidades que ira realizar uma comunica o de forma a garantir sua autenticidade WTipos de algoritmos de autentica o e criptografia Existem in meros algoritmos de autentica o e criptografia existentes atualmente Neste t pico ser o mostrados apenas os algoritmos suportados pelo Firewall Aker Cabe comentar que um dos par metros para se medir a resist ncia de um algoritmo o tamanho de suas chaves Quanto maior o n mero de bits das chaves maior o n mero de poss veis combina es e teoricamente maior a resist ncia do algoritmo contra ataques Algoritmos de autentica o e MDS MDS a abreviatura de Message Digest 5 Ele um algoritmo criado e patenteado pela RSA Data Security Inc por m com uso liberado para quaisquer aplica es Ele usado para gerar assinaturas digitais de 128 bits para mensagens de qualquer tamanho e considerado um algoritmo bastante r pido e seguro e SHA SHA a abreviatura de Secure Hash Ele um algoritmo que gera assinaturas digitais de 160 bits para mensagens de qualquer tamanho Ele considerado mais seguro que o MDS por m tem uma performance em m dia 50 inferior na implementa o do Firewall Aker A vers o implementada pelo Firewall Aker o SHA 1 uma revis o no algoritmo inicial para corrigir uma pequena falha Entretanto ele ser chamado sempre de
305. ignifica que de cada 3 conex es uma ser redirecionada para a primeira m quina e duas para a segunda e Convers o de Servi os 1 N Esta op o utilizada para se fazer balanceamento de carga para determinados servi os ou seja possibilitar que v rias m quinas respondam a requisi es destes servi os como se fossem uma nica No campo Entidades Origem deve se colocar a lista de m quinas que far o parte do balanceamento e que passar o a responder como se fossem uma nica No campo Entidades Destino deve se colocar as m quinas que ir o acessar as m quinas internas pelo endere o especificado na entidade presente no campo Entidade Virtual No campo Servi os deve se escolher todos os servi os que far o parte do balanceamento II SNesse tipo de conversao as maquinas pertencentes ao campo Entidade Origem podem ter pesos diferentes ou seja caso uma maquina tenha peso e outra peso 2 ent o significa que de cada 3 conex es uma ser redirecionada para a primeira maquina e duas para a segunda il 5 Quando o m dulo de Cluster Cooperativo estiver funcionado n o poss vel a convers o de servi os Entidade virtual Neste campo deve se configurar a entidade para a qual os endere os Internos ser o convertidos ou para o qual as requisi es externas devem ser direcionadas A entidade virtual dever sempre ser uma entidade do tipo m quina Entidade Origem Neste campo especifica se a lista de todas as entidade
306. igurados para us lo Utilizando o proxy SOCKS Para se utilizar o proxy SOCKS do Firewall Aker necess rio a seguinte sequ ncia de passos 1 Cria se os perfis de acesso desejados e os associa se com os usu rios e grupos desejados Isso foi descrito no cap tulo chamado Perfis de acesso de usu rios 2 Edita se os par metros de configura o do proxy SOCKS isso ser mostrado no t pico chamado Editando os par metros do proxy SOCKS 3 Cria se uma regra de filtragem possibilitando que as m quinas clientes tenham acesso ao proxy para maiores Informa es veja o cap tulo intitulado O Filtro de Estados li 30 proxy SOCKS do Firewall Aker escuta conex es na porta 1080 utilizando o protocolo TCP Caso seja necess rio pode se alterar este valor para qualquer porta bastando para 1sso acrescentar o par metro p porta onde porta o n mero da porta que se deseje que ele escute na hora de se inici lo Esta chamada se encontra no arquivo etc firewall rc aker e deve ser alterada de etc firewall fwsocksd para etc firewall fwsocksd p 8080 por exemplo 27 2 Editando os parametros do Proxy SOCKS Para se utilizar o proxy SOCKS necess rio a defini o de alguns par metros que determinar o caracter sticas b sicas de seu funcionamento Esta defini o feita na janela de configura o do proxy SOCKS Para acess la basta Dispositivos remotos 1 Configuration Managers OFirewalls dh Firewall Azul
307. ilizando a interface texto na Configura o TCP IP poss vel configurar os par metros do TCP IP pela interface texto Localizacao do programa etc firewall fwinterface O programa interativo e as op es de configura o s o as descritas abaixo Firewall Aker Versao 5 1 Modulo de configuracao para interfaces de rede Escolha uma das opcoes abaixo Configura interfaces de rede Configura rotas estaticas Configura servidores DNS Configura rota padrao Aplica novas configuracoes Sai do programai Analogamente a configura o da interface gr fica a Interface texto possui 6 op es conforme visualizado na figura acima Na janela abaixo poss vel visualizar configurar e desconfigurar uma interface de rede Firewall Aker Versao 5 1 Modulo de configuracao para interfaces de rede Configuracao de interfaces Listar interfaces Configurar interface Desconfigurar interface Sair Na tela abaixo apresentada a op o de listar interfaces Firewall Aker Versao 5 1 Modulo de configuracao para interfaces de rede Lista das interfaces de rede Nome Endereco IP Mascara Endereco ponto a ponto Inch 192 166 1 45 255 255 255 868 Incl 16 46 86 32 255 255 255 868 IpH faith ulant ulani vlan Ylang vland vlan5 vlanb vlan ulang ulang lot 127 0 8 1 Wan pa W a DA a P Pressione qualquer tecla para continuar Para configurar uma interface basta digitar o nome da mesma A tecla lt ente
308. ilize protocolo UDP ICMP Servico utiliza protocolo ICMP OUTRO servico utiliza protocolo diferente dos acima citados valor Numero que identica o servico Para os protocolos TCP e UDP e o valor da porta associada ao servico No caso de ICMP e o tipo de servico e no caso de outros protocolos o numero do proprio protocolo Pode se especificar uma faixa atraves da notacao valorl valor2 que significa a faixa de valores compreendida entre o valorl e o valor inclusive Para inclui ldap temos root dn DN do usuario utilizado pelo firewall para as consultas root pwd a senha deste usuario base dn DN para comecar a busca act class valor de objectclass que identifica objetos de contas validas usr attr o atributo onde se encontra o nome do usuario grp addr o atributo onde se encontra o grupo do usuario pwd addr o atributo onde se encontra a senha do usuario spina nao tenta buscar a senha em vez disso tenta conectar na base LDAP com as credenciais do usuario para valida lo ss usar conexao encriptada via ssl LS usar conexao encriptada via tls nenhuma nao usar conexao encriptada no pwd permite senhas em branco para o usuario pwd nao permite senhas em branco para o usuario Exemplo 1 visualizando as entidades definidas no sistema tfwent mostra Maquinas cache DONA diga o firewall Tg Al a Tea Redes AKER Lorda O Internet Oe er Conjuntos Maquinas Internas cac
309. imb lico para o diretorio acima N o esque a de colocar o script neste diretorio No linux a pasta do usu rio fica mesmo em home probe pois o mesmo n o monta o link simb lico 5 Abra a interface do firewall Clique em Configura es gt A es gt Par metros No programa Externo coloque lt home probe mobiaker gt ou outro nome de arquivo ou diretorio que tenha colocado o script No usu rio coloque lt probe gt ou outro usu rio que tenha criado Escolha as a es que deseja mandar para o mobi 6 Cuidado Verifique se o arquivo que contenha o script possui as permiss es de acesso e se esta setado para ser executado se n o chmod x mobiaker chown probe probe mobiaker 7 Este script tamb m funciona para o Linux somente mude a primeira linha para lt usr bin expect gt Como verificar se 0 sistema de arquivos do firewall foi alterado 1 Baixe o arquivo fcheck de http sites netscape net fcheck fcheck html 2 Verifique se o perl est Instalado no seu sistema se n o pegue do cd e fa a a Instala o Para verificar se um pacote est instalado FreeBSD gt pkg info perl Linux gt rpm q perl Para instalar FreeBSD gt pkg add perl xxx tgz Linux gt rpm ivh perl xxx 1386 rpm Obs caso falte algum outro pacote o pr prio gerenciador de pacotes vai avis lo portanto anote os avisos dos pacotes que est o faltando e fa a a instala o Geralmente o linux e freeBSD j instalam o perl
310. imo de downloads simult neos Configura o n mero m ximo de downloads simult neos que o firewall ir permitir Analisando o V rus Op o para mostrar uma p gina caso seja encontrado um v rus durante a an lise do antiv rus A p gina poder ser a do pr prio firewall ou personalisada pelo usu rio poss vel personalizar a mensagem para cada tipo de v rus encontrado bastando utilizar a string VIR que ser substitu da pelo nome do v rus Pasta tipos de arquivos 1x Proxy WWW Firewall Verde Seles Ativar Proxy Wary Geral Controle de Conte do Antivirus Tipos de Arguiva Tipo MIME Subtipo Extens o _ Downloads application maword arc application wnd ma escel arj A ne application vnd ms powerpoint 43 Line application vnd ma project kain application wnd ms tnef application yvnd me works application zip doc EXE Ie Sites Excluidos pera o Texto Ke tucows Configura es Anexos encriptados Aceita Rejeita Anexos corompidos Aceita Rejeita e Op o Downloads Esta op o serve para se especificar os arquivos que ser o analisados contra v rus pelo Download manager do Firewall Aker ou seja para os quais o firewall mostrar ao usu rio uma p gina web com o status do download do arquivo e realizar seu download em background Esta op o Interessante para arquivos potencialmente grandes arquivos compactados por exemplo ou para arqu
311. ina cliente inicialmente escolhe um n mero de porta que vari vel cada vez que o servi o for utilizado e envia um pacote para a porta da m quina servidora correspondente ao servi o esta porta na m quina servidora fixa A m quina servidora ao receber a requisi o responde com um ou mais pacotes para a porta da m quina cliente Para que a comunica o seja efetiva necess rio que o firewall permita a passagem dos pacotes de solicita o do servi o e de resposta O problema que o protocolo UDP um protocolo n o orientado conex o isto significa que se um determinado pacote for observado isoladamente fora de um contexto n o se pode saber se ele uma requisi o ou uma resposta de um servi o Nos filtros de pacotes tradicionais como o administrador n o pode saber de antem o qual porta ser escolhida pela m quina cliente para acessar um determinado servi o ele pode ou bloquear todo o tr fego UDP ou permitir a passagem de pacotes para todas as poss veis portas Ambas abordagens possuem problemas bvios O Firewall Aker possui a capacidade de se adaptar dinamicamente ao tr fego de modo a resolver problemas deste tipo todas as vezes que um pacote UDP aceito por uma das regras configurada pelo administrador adicionada uma entrada em uma tabela interna chamada de tabela de estados de modo a permitir que os pacotes de resposta ao servi o correspondente possam voltar para a m quina cliente Esta
312. inados pela pr pria Aker ou por outras entidades certificadoras autorizadas Nestes certificados s o utilizados os protocolos Diffie Hellman e RSA ambos com 1024 bits Os algoritmos a serem utilizados na criptografia e autentica o podem ser especificados da mesma forma que no protocolo SKIP ou deixados em modo autom tico o que far que os dois firewalls comunicantes negociem o algoritmo mais seguro suportado por ambos e Troca de chaves via SKIP SKIP um anagrama para Simple Key Management for IP Ele basicamente um algoritmo que permite que as trocas de chaves sejam realizadas de forma autom tica e com uma frequ ncia extremamente elevada tornando invi vel a quebra destas chaves O funcionamento do SKIP complexo e n o entraremos em maiores detalhes aqui Nossa abordagem se limitar a descrever seu funcionamento Basicamente o SKIP trabalha com tr s n veis diferentes de chaves e Um segredo compartilhado pelas duas entidades que desejam se comunicar configurado manualmente no caso do Firewall Aker e Uma chave mestre recalculada de hora em hora baseada no segredo compartilhado e Uma chave rand mica que pode ser recalculada quando se desejar Genericamente falando para efetuar a comunica o o algoritmo gera um chave aleat ria e a utiliza para encriptar e autenticar os dados a serem enviados A seguir ele encripta esta chave com a chave mestre e envia isto junto com os dados encriptados Ao receber o paco
313. inas os endere os A B C 0 e A B C 255 s o reservados para fins espec ficos e nao podem ser utilizados sobrando os valores de A B C 1 a A B C 254 Suponha ainda que esta rede possui 1000 m quinas para serem conectadas Em virtude da impossibilidade de se alocar todas as m quinas no endere o recebido foi decidido pelo uso da convers o de endere os Escolheu se ent o um endere o reservado classe A para ser colocado nas m quinas da rede interna o 10 x x x com m scara 255 0 0 0 O Firewall Aker ira ficar na fronteira da Internet com a rede interna que possui endere os reservados Ele ser o respons vel pela convers o dos endere os reservados 10 x x x para os endere os v lidos A B C x Desta forma o firewall dever possuir pelo menos dois endere os um endere o v lido para que possa ser atingido pela Internet e um reservado para que possa ser atingido pela rede interna na maioria das instala es coloca se duas ou mais placas de rede no firewall uma para a rede externa e uma ou mais para a rede interna Entretanto poss vel por m n o recomendado se fazer esta mesma configura o com apenas uma placa de rede atribuindo um endere o v lido e um reservado para a mesma placa Supondo que se escolha o endere o A B C 2 para o segmento v lido e o 10 0 0 2 para o segmento reservado Este endere o v lido ser utilizado pelo firewall para converter todas as conex es com origem na rede interna e destino na Internet Ext
314. included Those wishing to distribute libraries compiled from this source code or any work derived from it for profit must contact Leonard Janke Janke unixg ubc ca to work out an acceptable arrangement Anyone using this source code or documentation or any work derived from it including but not limited to libraries and statically linked executables must do so at his or her own risk and with understanding that Leonard Janke will not be held responsible for any damages or losses that may result Ap ndice D Novidades da Vers o 5 0 Neste ap ndice est o listadas as principais altera es e novidades da vers o 5 0 quando comparada 4 5 e Interface gr fica de administra o multiplataforma e totalmente reescrita e Possibilidade de se administrar diversos firewalls simultaneamente atrav s da mesma interface e Cluster cooperativo com a possibilidade de uso de at 64 firewalls em paralelo dividindo o tr fego entre eles Neste tipo de cluster n o h perda de conex es mesmo no caso de queda de um ou mais dos firewalls participantes e Balanceamento de links possibilitando o uso simult neo de diversos links de provedores de acesso distintos ou n o e Proxy SMTP com mais funcionalidades e Detec o e remo o de v rus nos downloads HTTP e FTP e Controle de anti spoofing aperfei oado n o sendo mais feito em cada regra e Suporte ao protocolo 802 1q e Suporte aos protocolos RADIUS e LDAP para autentica o de
315. indica que o Firewall recebeu um pacote de controle do protocolo Aker CDP com autentica o inv lida As causas prov veis s o uma modifica o do pacote durante o tr nsito ou uma poss vel tentativa de ataque 032 N mero de licen as do firewall atingido O Firewall Aker vendido em diferentes faixas de licen as de acordo com o n mero de m quinas da s rede s interna s a serem protegidas Esta mensagem indica que o firewall detectou um n mero de m quinas internas maior que o n mero de licen as adquiridas e devido a isso impediu que as m quinas excedentes abrissem conex es atrav s dele Solu o Contate a Aker Security Solutions ou seu representante autorizado e solicite a aquisi o de um maior n mero de licen as 033 Pacote descartado por uma regra de bloqueio IDS Esta mensagem indica que o Firewall recebeu um pacote que se enquadrou em uma uma regra tempor ria acrescentada pelo agente de detec o de intrus o e devido a isso foi descartado para maiores informa es veja o cap tulo Intitulado Configurando o Agente de Detec o de Intrus o 034 Header AH com formato incorreto campo length Esta mensagem indica que o Firewall recebeu um pacote cifrado com criptografia IPSEC que tem informa es de autentica o no protocolo AH com tamanho incorreto Veja a REC 2402 035 Tunelamento AH e ESP simult neos n o permitido Esta mensagem indica que o Firewall recebeu um pacote cifrado com crip
316. indica que o m dulo gerador de estat sticas do Firewall teve problemas ao ler os dados necess rios ao seu c lculo dos m dulo que executam dentro do kernel do sistema operacional 195 Erro salvando estat sticas Esta mensagem indica que o m dulo gerador de estat sticas do Firewall teve problemas ao armazenar os dados coletados ou envi los ao servidor de log remoto Se o log for local verifique a possibilidade de o disco estar cheio Se for remoto verifique a correta conex o com o servidor de log remoto 196 Erro recebendo per odo m ximo de perman ncia das estat sticas Esta mensagem indica que o m dulo gerador de estat sticas do Firewall n o conseguiu ler o per odo m ximo pelo qual deve manter as estat sticas no Firewall apenas para log local 197 Pedido de fluxo inexistente Esta mensagem indica que uma Incosist ncia interna ocorreu de forma que um fluxo de dados para controle de banda QoS n o foi encontrado 198 Pedido de pipe inexistente Esta mensagem indica que uma incosist ncia interna ocorreu de forma que um pipe para controle de banda QoS n o foi encontrado 199 Apagando registros do sistema de log Esta mensagem indica que os registros do sistema de log foram apagados A mensagem complementar entre par nteses informa se foram apagados logs estat sticas ou eventos 200 Erro executando shell Esta mensagem informa que um erro grave de configura o foi encontrado que impede o
317. ing e Clicar no menu Seguran a da janela principal e Selecionar o item JDS A janela de detec o de intrus o IDS Firewall Verde Seles Habilitar agente de IDS Agente IDS a utilizar E Snott Status Desconectado Aplicar Nessa janela s o configurados todos os par metros que propiciam que agentes IDS acrescentem regras de bloqueio no firewall e O bot o OK far com que a janela de configura o de agente IDS seja fechada e as altera es efetuadas salvas e O bot o Cancelar far com que a janela seja fechada por m as altera es efetuadas n o sejam aplicadas e O bot o Aplicar enviar para o firewall todas as altera es feitas por m manter a janela aberta Significado dos par metros Habilitar agente de IDS Esta op o deve estar marcada para ativar o suporte a agentes IDS e desmarcada para desativ lo ao se desabilitar o suporte a agentes IDS as configura es antigas continuam armazenadas mas n o podem ser alteradas Agente IDS a utilizar Esse campo indica o agente IDS que estar habilitado a incluir regras de bloqueio no firewall Esse agente deve ter sido previamente cadastrado no firewall Para maiores informa es veja o cap tulo intitulado Cadastrando entidades O Status permite ao administrador verificar o status da conex o com o agente IDS Um valor verde com a palavra Conectado indica que o firewall conseguiu se autenticar e estabelecer com sucesso a comunica o
318. inha presente na lista de sess es de usu rios representa uma sess o O significado de seus campos o seguinte Icone E mostrado a esquerda do nome de cada usu rio e pode assumir tr s formas distintas Cadeado Este cone indica que o usu rio se logou atrav s do cliente de criptografia apenas Usu rio Este cone indica que o usu rio se logou atrav s do cliente de autentica o apenas Usu rio dentro do cadeado Este cone indica que o usu rio se logou atrav s do cliente de autentica o e de criptografia M quina Endere o IP ou nome caso o DNS esteja ativo da m quina na qual a sess o foi estabelecida Nome Nome do usu rio que estabeleceu a sess o Dominio Nome do dominio i e autenticador no qual o usu rio se autenticou Caso o usu rio n o tenha especificado dom nio ao se logar este campo aparecer em branco Perfil Qual o perfil de acesso correspondente a esta sess o Se este campo est em branco o usu rio se autenticou antes de a tabela de perfis ser alterada de forma que ele est utilizando um perfil que n o existe mais In cio Hora de abertura da sess o 21 5 Utilizando a Interface Texto A interface texto para acesso a lista de usu rios logados possui as mesmas capacidades da interface gr fica e simples de ser utilizado Ele o mesmo programa que produz a lista de conexoes ativas TCP e UDP mostrado anteriormente Localiza o do programa etc firewall fwlist Sintaxe
319. iolador dever impedir que a mensagem de B chegue at A Se a mensagem tivesse de chegar a A A negaria ter solicitado uma conex o e o ataque de spoofing falharia Para alcan ar esse objetivo normalmente o intruso enviaria diversos pacotes a m quina A para esgotar sua capacidade e impedir que ela respondesse mensagem de B Essa t cnica conhecida como viola o de portas Uma vez que essa opera o tenha chegado ao fim o violador poder concluir a falsa conex o O spoofing do IP como acabamos de descrever uma estrat gia desajeitada e entediante No entanto uma an lise recente revelou a exist ncia de ferramentas capazes de executar um ataque de spoofing em menos de 20 segundos O spoofing de IP uma amea a perigosa cada vez maior mas por sorte relativamente f cil criar mecanismos de prote o contra ela A melhor defesa contra o spoofing configurar roteadores de modo a rejeitar qualquer pacote recebido cuja origem alegada seja um host da rede Interna Essa simples precau o impedir que qualquer m quina externa tire vantagem de relacionamentos confi veis dentro da rede interna Como funciona a prote o contra Spoofing do Firewall Aker O Firewall Aker possui um mecanismo que visa impedir que um ataque de Spoofing seja bem sucedido Seu funcionamento se baseia no cadastramento das redes que est o sendo protegidas pelo firewall ou seja atr s de cada interface de rede do firewall Nas redes I
320. irewall Aker Cada fluxo ser mostrado em uma linha separada composta de diversas c lulas Caso um fluxo esteja selecionado ele ser mostrado em uma cor diferente Esta janela composta por quatro abas onde cada uma delas permite a configura o de fluxos de criptografia usando diferentes m todos de troca de chaves e O bot o OK far com que o conjunto de fluxos seja atualizado e passe a funcionar Imediatamente e O Bot o Cancelar far com que todas as altera es feitas sejam desprezadas e a janela seja fechada e O bot o Aplicar enviar para o firewall todas as altera es feitas por m manter a janela aberta e A barra de rolagem do lado direito serve para visualizar os fluxos que nao couberem na janela e Ao se clicar sobre um fluxo e selecion lo se ele possuir um coment rio este aparecer na parte inferior da janela Dica A posi o de cada regra pode ser alterada bastando clicar e arrastar a mesma para a nova posi o desejada soltando em seguida Observe que o cursor de indica o do mouse ira mudar para uma m o segurando um bast o Para se executar qualquer opera o sobre um determinado fluxo basta clicar com o bot o direito do mouse sobre ele Aparecer o seguinte menu este menu ser acionado sempre que se pressionar o bot o direito mesmo que n o exista nenhum fluxo selecionado Neste caso somente as op es Inserir e Colar estar o habilitadas Inserir Copiar E Colar x Apagar
321. irewall ent o mostrar uma lista com todos os poss veis cones para representar conjuntos Para escolher entre eles basta clicar no cone desejado e no bot o OK Caso n o se deseje alter lo ap s ver a lista basta clicar no bot o Cancelar Ap s preencher o nome e escolher o cone para o conjunto necess rio se definir quais m quinas e redes far o parte do mesmo atrav s dos seguintes passos 1 Clica se com o bot o direito do mouse no campo em branco e seleciona se a op o Adicionar Entidades a entidade pode ser adicionada clicando se duas vezes sobre ela ou clicando uma vez e logo abaixo em Adicionar ou 2 Clica se e sobre a entidade que se desejar incluir arrasta se e solta se ela dentro da janela de entidades do conjunto i Conjuntos Entidades e Host Host5 ZE Networked Bi Inserir Copiar Colar Apagar Cancela haman p fai Escolha as entidades para adiciona Host SE Hostz Hosta Network Ra Metworki F Network Networks eo Networks Mais usadas Hosta Para se remover uma rede ou m quina do conjunto deve se proceder da seguinte forma 1 Clica se com o bot o direito do mouse sobre a entidade a ser removida e seleciona se a op o Remover ou 2 Clica se na m quina ou rede a ser removida e pressiona se a tecla Delete Ap s todos os campos estarem preenchidos e todas as redes e m quinas que devem fazer parte do conjunto selecionadas deve se clicar no bot o OK p
322. is facil e permite com que mudan as em uma entidade especifica seja propagada globalmente qr tido 2 Na segunda janela se deve escolher o tipo de entidade a ser cadastrada Assistente de Entidades Tipo da Entidade Existem diferentes tipos de entidade Por favor escolha o tipo que voc deseja criar Em caso de d vida observe a descri o que aparece a diretta Entidades disponiveis M quinas Dispositivos da rede identificados por um endere o IP TE Interfaces Pd O Canais a Acumuladores Te O Agentes Externos 3 No caso do cadastro de uma m quina nesta janela se deve especificar o endere o IP da mesma E poss vel se colocar o nome da m quina e clicar no bot o Resolva para obter o endere o IP correspondente Assistente de Entidades Endere o IP da m quina Por favor entre com o endere o IP da m quina Fesolvedor de Homes e aker COM bi Cancelar Voltar Proxima 4 Atribui o do nome da entidade Pode se escolher o nome ou usar a atribui o autom tica Assistente de Entidades Nome da entidade A nova entidade val ser referenciada pelo nome designado SE voc n o quer criar um nome marque a op o Auto Name para que um nome seja gerado automaticamente Home Manual O Autom tico Entidade grupo 3E Cancelar Ou Wolar IA Pr ximo 5 Escolha do cone da entidade Clique em um dos cones que aparecem na janela Observe que o cone seleci
323. istema automaticamente propagar esta altera o para todas as suas refer ncias Definindo entidades Antes de explicar como cadastrar entidades no Firewall Aker necess rio uma breve explica o sobre os tipos de entidades poss veis e o que caracteriza cada uma delas Existem 6 tipos diferentes de entidades no Firewall Aker m quinas redes conjuntos servi os autenticadores e Interfaces As entidades do tipo m quina e rede como o pr prio nome ja diz representam m quinas individuais e redes respectivamente entidades do tipo conjunto representam uma cole o de m quinas e redes em qualquer n mero entidades do tipo servi o representam um servi o a ser disponibilizado atrav s de um protocolo qualquer que rode em cima do IP entidades do tipo autenticador representam um tipo especial de m quina que pode ser utilizada para realizar autentica o de usu rios por ltimo entidades do tipo interface representam uma interface de rede do firewall Por defini o o protocolo IP exige que cada m quina possua um endere o diferente Normalmente estes endere os s o representados da forma byte a byte como por exemplo 172 16 17 3 Desta forma pode se caracterizar unicamente uma m quina em qualquer rede IP incluindo a Internet com apenas seu endere o Para definir uma rede necess rio uma m scara al m do endere o IP A m scara serve para definir quais bits do endere o IP ser o utilizados para representar a
324. istente Servi os Dispon veis Entidade Descri o E Todos ICMP ICMP 0 Novo servi o A Todos outros Protocolo Desconhecida z Todos TCP TCP a Todos UDP UDF fl x Incluir Excluir Servi os disponiveis aos computadores da DHZ Entidade Descri o SONS UDP 53 S FTP TCP E HTTP TCF S0 EBHTTPS TEP 443 UDP 123 Wizard de Regras de Filtragem Configura o do Firewall voc est agora configurando o firewall remotamente Por favor selecione as m quinas e redes que podem acessar o firewall ao final deste assistente Por favor escolha de quais m quinas o firewall vai ser configado remotamente Selecione m quinas e redes individualmente Somente de m quinas da DME e Somente de m quinas na Rede Interna De qualquer m quinas presente na Internet e Rede Interna Sem configura o remota Aviso Selecionando esta op o a firewall val poder ser configurado somente localmente usando a Interface modo testo do usu rio 10 Registro individual de servidor para a DMZ Wizard de Regras de Filtragem Registro do servidor Registre cada servidortanto da DMZ quanto da Rede Interna seus servi os e o controle de onde eles podem ser acessados Deseja configurar o acesso a um servidor Sim O N o E vota 11 Informa o de servidor espec fico para a DMZ Wizard de Regras de Filtragem Entidade do servidor Selecione a entidade tpo computador que
325. itmo de compress o de dados especificado no cabe alho SKIP n o suportado O Firewall Aker n o suporta nenhum algoritmo de compress o de dados uma vez que estes ainda n o est o padronizados 027 Identificador de espa o de nome de origem inv lido O protocolo SKIP permite que sejam utilizados outros espa os de nomes que n o endere os IP para selecionar a associa o de seguran a correspondente SA O espa o de nome pode ser especificado para a origem e ou para o destino Esta mensagem indica que o espa o de nome de origem n o suportado O Firewall Aker somente suporta endere os IP como espa o de nome 028 Identificador de espa o de nome de destino inv lido O protocolo SKIP permite que sejam utilizados outros espa os de nomes que n o endere os IP para selecionar a associa o de seguran a correspondente SA O espa o de nome pode ser especificado para a origem e ou para o destino Esta mensagem indica que o espa o de nome de destino n o suportado O Firewall Aker somente suporta endere os IP como espa o de nome 029 Vers o do protocolo Aker CDP inv lida Esta mensagem indica que o Firewall recebeu um pacote do protocolo Aker CDP com vers o inv lida 030 Tamanho do pacote para protocolo Aker CDP inv lido Esta mensagem indica que o Firewall recebeu um pacote do protocolo Aker CDP com tamanho inv lido 031 Autentica o de pacote de controle Aker CDP inv lida Esta mensagem
326. itulo intitulado Configurando o proxy SMTP 083 URL aceita Esta mensagem indica que o proxy WWW aceitou um pedido de uma URL feito por um usu rio A mensagem complementar entre par nteses indica o nome do usu rio que fez a requisi o A linha de mensagem seguinte indica o endere o IP da m quina da qual a requisi o se originou e a terceira linha indica qual URL foi acessada Esta mensagem somente ser produzida para URLs do protocolo HTTP quando elas resultarem em c digo HTML Para os protocolos FTP e Gopher ela ser gerada para cada requisi o aceita independente do seu tipo 084 Download de arquivo local aceito Esta mensagem indica que o proxy WWW aceitou um pedido de uma URL feito por um usu rio A mensagem complementar entre par nteses indica o nome do usu rio que fez a requisi o A linha de mensagem seguinte indica o endere o IP da m quina da qual a requisi o se originou e a terceira linha indica qual URL foi acessada Esta mensagem se refere a um arquivo armazenado localmente no firewall que foi requisitado utilizando se o proxy WWW como um servidor WEB 085 URL rejeitada Esta mensagem indica que o proxy WWW rejeitou um pedido de uma URL feito por um usuario A mensagem complementar entre par nteses indica o nome do usu rio que fez a requisi o A linha de mensagem seguinte indica o endere o IP da m quina da qual a requisi o se originou e a terceira linha indica qual URL que o usu rio tent
327. ivos que normalmente n o s o visualiz veis de forma on line pelo navegador E poss vel se utilizar dois crit rios complementares para se decidir se um arquivo transferido deve ser analisado a extensao do arquivo e seu tipo MIME Se um destes crit rios for atendido em outras palavras se a extens o do arquivo estiver entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre aqueles a serem analisados ent o o arquivo dever ser analisado pelo firewall O tipo MIME usado para indicar o tipo de dado que est no corpo de uma resposta em um protocolo HTTP Ele consiste em dois identificadores o primeiro indica o tipo e o segundo indica o subtipo O navegador usa esta informa o para decidir como mostrar a informa o que ele recebeu do mesmo modo como o sistema operacional usa a extens o do nome do arquivo Sites Exclu dos Deve se escolher a opera o e o texto a ser inclu do para an lise Sites que se enquadrarem na lista de exclu dos n o ser o analisados As escolhas dos operadores podem ser vistas abaixo Escolha uma opera o me Cont m N o cont m E sa dr we Nao ake Come a com ab N o come a com mer Termina com Ret N o termina com Configura es Anexos Encriptados Deve se escolher entre aceitar ou rejeitar um anexo encriptado Anexos Corrompidos Deve se escolher entre aceitar ou rejeitar um anexo corrompidos e Op o Online Da mesma manei
328. ja tenha sido instalada anteriormente O kernel pre compilado possui Suporte para 3 placas de rede isa e um numero ilimitado de placas de rede PCI Para maiores informacoes sobre quais placas sao suportadas quais suas configuracoes de endereco de E S e IRQ e como alterar estes valores veja a documentacao que acompanha o produto Caso se resolva compilar um kernel especifico antes de executar este programa e necessario a criacao de um arquivo de configuracao do kernel chamado de FIREWALL Este arquivo deve estar localizado no diretorio fusr src 8sv8 1386 conf Deseja prosseguir com a instalacao do firewall S N Caso j se tenha criado o arquivo de configura o do kernel chamado de FIREWALL ou se deseje utilizar o kernel pr compilado ou o atual deve se responder S seguido de Enter para continuar com a instala o Caso se queira compilar um novo kernel e este arquivo ainda n o tenha sido criado deve se digitar N e cri lo antes de se continuar Em caso de compila o de um novo kernel existe um arquivo chamado de FIREWALL no diret rio de Instala o que pode ser utilizado como base para se gerar o arquivo customizado apenas copiando o para o diret rio usr src sys i386 confe removendo ou adicionando os componentes desejados Para maiores informa es sobre este arquivo consulte a documenta o do FreeBSD Ally 9 Caso se tenha feito a instala o do Firewall Aker com o kernel pr compilado ele estar
329. jam repassadas para os proxies Esta abordagem traz in meras dificuldades j que al m de ser extremamente trabalhoso se alterar todas as m quinas clientes muitas vezes n o existe forma de se alterar a implementa o TCP IP de determinadas plataformas fazendo com que clientes nestas plataformas n o possam utilizar os proxies Um outro problema dos proxies tradicionais que eles s podem ser utilizados para acessos de dentro para fora n o se pode solicitar para que clientes externos repassem suas solicita es para o seu proxy para que este repasse para seu servidor Interno A figura abaixo ilustra o funcionamento b sico de um proxy tradicional Cliente Servidor Conex o para Conex o para o proxy o servidor Proxies transparentes O Firewall Aker introduz um novo conceito de firewall com a utiliza o de proxies transparentes Estes proxies transparentes s o capazes de serem utilizados sem nenhuma altera o nas m quinas clientes e nas m quinas servidoras simplesmente porque nenhuma delas sabe de sua exist ncia Seu funcionamento igualmente simples todas as vezes que o firewall decide que uma determinada conex o deve ser tratada por um proxy transparente esta conex o desviada para o proxy em quest o Ao receber a conex o o proxy abre uma nova conex o para o servidor remoto e repassa as requisi es do cliente para este servidor A grande vantagem desta forma de trabalho que se torna po
330. kup 0 Senha Confirma o Hove Cancela 1 backup ORA backup go 0 Senha Confirma o Hove Lancela C ibackup 7 0 0 0 e backup 0 0 Dh Senha Confirma o Hove Cancela IP o endere o IP da m quina onde o agente est rodando Backup 1 e Backup 2 Estes campos permitem com que se especifique at dois endere os de outras m quinas que tamb m estar o rodando o agente e que servir o como backup no caso de quedas da m quina principal Senha E a senha utilizada para gerar as chaves de autentica o e criptografia usadas na comunica o com o agente Esta senha deve ser igual configurada no agente Confirma o Este campo utilizado apenas para se verificar se a senha foi digitada corretamente Deve se digit la exatamente como no campo Senha e Para se cadastrar um agente externo do tipo Autenticador LDAP necess rio preencher os seguintes campos G Autenticador LDAP Configura es LDAP DN Root de conex o Do Senha Root de conex o Do DN Base Do Objeactllass da conta Po Atributo nome do usu rio Po Tempo limite da cache Ea Atributo grupo Do Permitir senha em branco Metodo de autentica o Hash RFC 2307 Conectar com as credenciais do usu rio Conex o LDAP segura IP o endere o IP da m quina onde o agente est rodando Backup 1 e Backup 2 Estes campos permitem com que se especifique at dois endere os de ou
331. l Configura o do Firewall 5 Sy Configura es do Sistema a es dministra o de Usu rios A Ativacdo da Licen a E Atualiza o q Data e hora BE TCPAP E3 a Criptografia E Ferramentas Ge Informa o ee Seguran a dh Firewall Verde gt Parametros de configura o Fd guras Configura parametros gerais do firewall e Clicar no menu Configura es do Sistema da janela do firewall que se quer administrar e Selecionar o item Par metros de Configura o A janela de Par metros de configura o lt Par metros de configura o Firewall Azul Se Global Log Seguran a W SNMP 5 Monitoramento Par metros do firewall Interface Externa por motivo de controle da licen a Tempo limite seq TCF ue Par metros da Interface remota Servidor NTE Metwork Time Protocol Endere os fixos de configura o remota Do qo qo J bee e O bot o OK far com que a janela de configura o de par metros seja fechada e as altera es efetuadas aplicadas e O bot o Cancelar far com que a janela seja fechada por m as altera es efetuadas n o sejam aplicadas e O bot o Aplicar enviar para o firewall todas as altera es feitas por m manter a janela aberta Significado dos par metros e Aba Global Nesta janela estes par metros s o utilizados pelo filtro de estados e pelo conversor de endere os Eles consistem dos seguintes campos Interface Externa
332. l Visualizando o tr fego IPSEC Clicando no tem Tuneis IPSEC dentro de Informa es a janela abaixo aparecer T neis IPSEC Firewall Verde fe ex Visualiza o Gr fico N Origem Destino Dire o Gateway remoto a foe E Rede Int Rede Aker AJ Encripta o f Il yp ede Interna yj ede ker AE pta firewalli Cl Rede Aker RJ Y Rede Intema By Decipta o E firewall WA Rede Interna Bl Rede Aker PR Be Encipta o E Firewall PR ex op Rede Aker PR a Rede Interna Oy Decipia o mj Firewall PR Alg crip Alg hash Tamanho da chav Tamanho da chaw Protocolo Bytes neg Bytes transf Tempo total Ocioso Expira o A5C22435h SHA 1 256 ESP ESP TUNEL 48 83MB 0 0 15 00 0 13 18 03 02 2005 12 38 58 T6E7EFIDh SHA 1 256 ESP ESP TUNEL 48 83MB O 0 15 00 0 13 24 03 02 2005 12 38 52 SEF2BA7Eh SHA 1 256 ESP ESP TUNEL 48 83 MB 1 55KB 0 15 00 0 00 41 03 02 2005 12 51 09 E23D0337h SHA 1 256 ESP ESP TUNEL 48 83MB 89 07 KB 0 15 00 0 01 15 03 02 2005 12 39 12 Na janela acima poss vel visualizar quais SPIs IPSEC foram negociadas para cada um dos t neis configurados bastando para 1sso clicar sobre a regra correspondente Se houver mais de uma SPI porque o firewall negocia uma nova sempre antes de a anterior acabar de forma a nunca interromper o tr fego dentro da VPN Descri o de cada coluna e SPI N mero de identifica o da pol tica de seguran a e Algoritmo de criptografia Mostra que al
333. l No nome da empresa letras mai sculas e min sculas s o consideradas diferentes e devem ser digitadas exatamente como se encontram no documento original Um exemplo da entrada dos dados se encontra na tela mostrada abaixo Firewall Aker versao 5 1 Modulo de configuracao da chave de ativacao Nome da empresa Aker Security Solutions IP da interface externa 10 0 0 1 Chave de ativacao 2DBDC612 FA4519AA BBCDOFF1 129768D3 89BCA59C Caso a chave seja v lida o programa prosseguir com a instala o Caso a chave ou o nome da empresa tenham sido digitados com erro o programa pedir que sejam novamente digitados lly 5 O endere o IP digitado deve ter sido previamente configurado em alguma interface do sistema caso contr rio o programa n o prosseguir com a Instala o Caso a chave tenha sido aceita a instala o prosseguir Neste ponto o programa de Instala o procurar por arquivos de configura o da vers o 5 0 do Firewall Aker Caso seja encontrado algum destes arquivos a seguinte tela ser mostrada Firewall Aker v5 1 Programa de Instalacao Atualizando arquivos da versao 5 0 do Firewall Aker Atualizando mensagens e parametros OK Atualizando regras de filtragem OK Atualizando perfis de acesso OK Atualizando parametros de autenticacao OK Atualizando configuracoes do controle de acesso OK Atualizando parametros HTTP OK Atualizando configuracoes do balanceamento de links OK A
334. l fwlkeyd Servidor de certificados de criptografia e etc firewall fwmond M dulo de monitoramento e reinicializa o dos processos do firewall e etc firewall fwnatmond M dulo de monitoramento de m quinas para o balanceamento de carga e etc firewall fwprofd Servidor de login de usu rios e etc firewall fwrapd Proxy Real Player transparente e etc firewall fwrtspd Real Time Streaming Protocol proxy e etc firewall fwsocksd Proxy SOCKS n o transparente e etc firewall fwsmtppd Proxy SMTP transparente e etc firewall fwpop3pd Proxy POP3 transparente e etc firewall fwlogd Servidor de log eventos e estat sticas e etc firewall fwscanlogd Servidor de pesquisa de log eventos e estat sticas e etc firewall fwsyncd Processo de gera o de sementes de criptografia e sincronia e etc firewall fwtelnetd Proxy telnet transparente e etc firewall fwtrap M dulo de envio de traps SNMP e etc firewall fwurld M dulo de an lise e checagem de permiss o de acesso a URLs e etc firewall fwiked M dulo de negocia o de chaves para criptografia IPSEC protocolo IKE e etc firewall fwtunneld Secure Roaming Server para Firewall e etc firewall libaker so Biblioteca gen rica do firewall e etc firewall libconfd so Biblioteca de configura o do firewall e etc firewall snmpd snmpd Agente SNMP Arquivos de Log Eventos e Estat sticas e var log fw 510 AAAAMMDD fwlg Armazena os logs do fire
335. l se verificar se o firewall est realmente bloqueando as conex es que n o devem ser aceitas e permitindo a passagem das que devem Para ter acesso a janela de varreduras basta Dispositivos remotos Configuration Managers E O Firewalls Ah Firewall Azul Firewall Verde S Configura o do Firewall Configura es do Sistema o Criptografia dl Ferramentas Busca de entidade DNS reverso Janela de alarmes E Mudar senha Simula o de Regras de Filtragem Informa o ee Seguran a 1 Simula o de Regras de Filtragem Simula o comportamento do filtro de pacotes permitindo ao usu rio determinar guals regras se aplicam a um determinado padr o de tr fego e Clicar no menu Ferramentas da janela de administra o do firewall e Selecionar o item Simula o de regras de filtragem A janela de varredura de regras poss vel se alternar entre a varredura por endere os IP ou por entidades A varredura por entidades til quando j se tem cadastradas no sistema todas as m quinas redes e servi os que ser o utilizados A varredura por IP mais indicada quando se deseja utilizar m quinas redes ou servi os que n o est o cadastrados e que n o se deseja cadastrar por exemplo m quinas externas que n o ser o utilizadas em nenhuma regra de filtragem WE poss vel se selecionar para origem destino e servi os indepentendemente se devem ser utilizadas entidades ou n
336. la o e a configura o do sistema para a execu o do Firewall Aker Ao ser executado ele mostrar a seguinte tela Firewall Aker v5 1 Programa de Instalacao Este programa realiza a instalacao do Firewall Aker 5 e da interface texto de configuracao local O Firewall Aker 5 pode ser instalado no kernel distribuido junto com o LINUX Red Hat 7 3 ou Conectiva 8 e 9 Desta forma nao e necessario recompila lo Deseja prosseguir com a instalacao do firewall S N Ap s se responder Sim o programa de instala o mostrar a licen a de uso do Firewall Aker Para se prosseguir necess rio aceitar todos os termos e condi es contidas na licen a Caso sejam aceitos o programa prosseguir com a instala o mostrando seu progresso atrav s de uma s rie de mensagens auto explicativas Ap s terminar de copiar os arquivos o programa de instala o far algumas perguntas de modo a realizar a configura o espec fica para cada sistema A primeira destas configura es ser a da chave de ativa o do produto Esta chave o que habilita o produto para seu funcionamento Sem ela nenhum m dulo do firewall funcionar Ser mostrada a seguinte tela Firewall Aker v5 1 Programa de Instalacao Configuracao do sistema completada E necessario agora ativar a copia Instalada atraves da digitacao da chave de ativacao que foi entregue ao se adquirir o produto A chave de ativacao o nome da empresa e o endereco IP da in
337. la n o poss vel se atribuir coment rios para os canais seguros se especificar mais de uma entidade como origem ou destino deles nem atribuir algoritmos para troca de chaves via Aker CDP neste caso os algoritmos ser o sempre marcados com a op o de negocia o autom tica Al m disso n o ser poss vel configurar os algoritmos a serem usados pelo IPSEC IKE janela avan ado eles ter o sempre os valores padr o Localiza o do programa etc firewall fwcripto Sintaxe Uso fwcripto mostra ajuda fweripto habilita desabilita remove lt pos gt fwcripto inclui lt pos gt lt origem gt lt destino gt lt envia recebe gt ipsec lt gateway gt lt ss lt segredo gt cert lt local gt lt remoto gt gt fwcripto inclui lt pos gt lt origem gt lt destino gt lt envia recebe gt manual lt spi gt lt MD5 SHA gt lt chave autenticacao gt NENHUM fwcripto inclui lt pos gt lt origem gt lt destino gt lt envia recebe gt manual lt spi gt lt MD5 SHA gt lt chave autenticacao gt lt DES BFISH128 BFISH256 gt lt tamanho_iv gt lt chave Criptografia fwcripto inclui lt pos gt lt origem gt lt destino gt lt envia recebe gt manual lt spi gt lt MD5 SHA gt lt chave autenticacao gt cap EuCcrIipto fwcripto fwcripto 3DES lt tamanho 1v gt lt chavel gt lt chave2 gt lt chaves gt inclui lt pos gt lt origem gt lt destino gt envia skip SDES SDES BE ESH
338. laca 5 G H I 2 Redes privadas 10 0 0 0 e 172 16 0 0 M scara da redes privadas 255 255 0 0 Servidores da DMZ Servidor Web 10 0 0 10 Servidor SMTP 10 0 0 25 Regras de convers o de Endere os 1 Origem 10 0 0 10 converte para A B C 10 quando for para a Internet 2 Origem 10 0 0 25 converte para D E F 25 quando for para a Internet 3 Origem 172 16 x x converte para 10 0 0 4 quando for para rede 10 0 0 0 4 Origem 172 16 x x converte para D E F 25 quando for para Internet 5 Origem 10 x x x converte para A B C 20 quando for para Internet Roteador Internet Roteador Internet Roteador Internet Tm RT LI H 1 J 1 AB C 1 Servidor Web 10 0 0 25 10 0 0 10 Desenho do Exemplo 3 Nesta nova versao do Firewall Aker possivel realizar um balanceamento dos links para realizar um aproveitamento mais otimizado dos links O firewall agora possui mecanismos de verifica o de ativa o dos links sendo poss vel dividir o tr fego de forma Inteligente pelos links ou desviar totalmente o tr fego daquele que estiver fora do ar O administrador tamb m poder atribuir pesos s suas conex es ou seja as conex es mais r pidas poder o ter um peso maior do que as conex es mais lentas desta forma o firewall dar prefer ncia em enviar o tr fego para o link com maior peso Montando regras de convers o de endere os para o Firewall Aker Configurar as regras de convers o de endere os no Firewall Aker algo
339. lar far com que a opera o de filtragem seja cancelada e a janela de log mostrada com as informa es anteriores A janela de log 4 Log Firewall Verde Data Hora Repeti o A o Protocolo Status IP de origem Porta de origem IP de destino Porta de destino Flags Interface 10 23 2008 2540 1 E DP O 1921681 4 138 1921681255 138 Incl Pacote proveniente de Interface inv lida O 10 22 2003 21 51 25 1 A TCP 192 168 1 15 1590 192168145 1020 Inet 10 23 2003 21 4200 1 D UDP 152 168 1 4 138 192 165 1 255 138 Incl Pacote proveniente de interface inv lida Wh 10 23 2003 21 38 31 6 D UDP 192468 115 137 192 166 1 255 137 Inco Pacote proveniente de interface invalida B 10 23 2003 21 3717 E l UDP 192 168 1 4 137 192 168 1255 137 lnc Pacote proveniente de interface inv lida Do 10 23 2003 21 37 16 2 UDP 192 168 1 1 138 192 166 1 255 138 Inco Pacote proveniente de Interface inv lida I 10 23 2003 21 37 06 1 UDP 192 168 1 3 136 192 168 1255 138 Inc Pacote proveniente de interface inv lida l l g 10 23 2003 21 3705 3 UCF 192 168 1 4 137 192 166 1 255 137 Inco Pacote proveniente de interface inv lida M dulo Prioridade Regra FFE 7 A janela de log ser mostrada ap s a aplica o de um filtro novo Ela consiste de uma lista com v rias entradas Todas as entradas possuem o mesmo formato entretanto dependendo do protocolo do pacote que as gerou alguns campos podem estar ausentes Al m diss
340. le utiliza 256 bits de chave sendo ao mesmo tempo muito mais seguro e r pido que o DES ou mesmo o 3DES O Firewall Aker trabalha com o AES utilizando chaves de 256 bits o que garante um n vel alt ssimo de seguran a Ele a escolha recomendada e Blowfish O algoritmo Blowfish foi criado como uma poss vel substitui o ao DES Ele um algoritmo extremamente r pido quando comparado com outros algoritmos de criptografia bastante seguro e pode trabalhar com v rios tamanhos de chaves de 40 a 438 bits O Firewall Aker trabalha com o Blowfish utilizando chaves de 128 ou 256 bits o que garante um n vel alt ssimo de seguran a Algoritmos de criptografia assim tricos Os algoritmos de criptografia assim tricos possuem um par de chaves associadas uma para encriptar e outra para decriptar os dados Eles s o bastante lentos se comparados aos algoritmos sim tricos e devido a isso normalmente s o utilizados apenas para realizar assinaturas digitais e no estabelecimento de chaves de sess o que ser o usadas em algoritmos sim tricos e RSA O RSA um algoritmo baseado em aritm tica modular capaz de trabalhar com chaves de qualquer tamanho por m valores inferiores a 512 bits s o considerados muito fr geis Ele pode ser utilizado para encriptar e decriptar dados por m devido a sua grande lentid o se comparado aos algoritmos sim tricos seu principal uso em assinaturas digitais e no estabelecimento de chaves de sess
341. lecionada a nova ser copiada para a posi o da regra selecionada Caso contr rio ela ser copiada para o final da lista e Habilitar Desabilitar Esta op o ativa ou desativa a regra selecionada da lista e Visualiza o Mostrar a janela de visualiza o de estat sticas relativa a regra selecionada e Nome Atribui um nome a regra de estat sticas O Visualizando estat sticas Ao se clicar no bot o Visualiza o ou clicar duas vezes sobre uma regra de estat stica a seguinte janela ser mostrada P Estatisticas Visual 1 Firewall Verde 7 Inicio 15 01 2004 00 00 00 amp Fim 15 01 2004 2359 59 Lista Gr fico Data Hora Bytes Enviados Pacotes Enviados Bytes Recebidos Pacotes Recebidos 15717 2004 21 19 11 15360 304 fool lz ad 1 51 2004 21 19 10 12840 3z 656760 B20 15717 2004 21 19 09 15360 J4 fool 12 ad 15 1 2004 21 19 08 15280 ae Pose 2 4 15 1 2004 21 19 07 14200 355 T26936 p55 15 1 2004 21 19 06 16600 415 853560 ana 15717 2004 21 19 05 15400 355 fool 12 r44 157172004 21 19 04 16640 416 053706 B06 15 72004 21 19 03 15360 J4 fool te r44 15717 2004 21 19 02 16640 416 053708 B06 157172004 21 19 01 16640 416 aba et GE 154 2004 21 19 00 15360 a4 fool 12 r44 15 2004 21 18 59 16680 417 053708 B06 15 1 2004 21 19 59 15360 Jad rogllz ad 15 1 2004 21 18 57 15360 304 700112 ad 15 1 2004 21 18 56 16640 416 053705 B06 15717 2004 2
342. lementar Proxies criados pelo usu rio que s o proxies criados por terceiros utilizando a API de desenvolvimento que a Aker Security Solutions prov O objetivo possibilitar que institui es que possuam protocolos espec ficos possam criar suporte no firewall para estes protocolos Os autenticadores do Firewall Aker Os proxies SOCKS Telnete WWW do Firewall Aker suportam autentica o de usu rios Isto podem ser configurados para s permitir que uma determinada sess o seja estabelecida caso o usu rio se identifique para o firewall atrav s de um nome e uma senha e este tenha permiss o para Iniciar a sess o desejada O grande problema que surge neste tipo de autentica o como o firewall ira validar os nomes e as senhas recebidas Alguns produtos exigem que todos os usu rios sejam cadastrados em uma base de dados do pr prio firewall ou que sejam usu rios v lidos da m quina que o firewall estiver rodando Ambos os m todos possuem o grande Inconveniente de n o aproveitar a base de usu rios normalmente presente em uma rede local No Firewall Aker optou se por uma solu o mais vers til e simples de ser implantada ao inv s de exigir um cadastramento de usu rios no firewall estes s o validados nos pr prios servidores da rede local sejam estes Unix ou Windows NT Para que seja poss vel ao firewall saber em quais m quinas ele deve autenticar os usu rios e tamb m para possibilitar uma comunica o segura
343. lho da mensagem se encontram informa es sobre a mensagem como o assunto data de emiss o nome do emissor etc O cabe alho normalmente mostrado ao destinat rio da mensagem e Corpo O corpo composto pela mensagem propriamente dita da forma com que foi produzida pelo emissor Ataques contra um servidor SMTP Existem diversos ataques pass veis de serem realizados contra um servidor SMTP S o eles e Ataques explorando bugs de um servidor Neste caso o atacante procura utilizar um comando ou par metros de um comando que conhecidamente provocam falhas de seguran a O proxy SMTP do Firewall Aker impede estes ataques na medida em que s permite a utiliza o de comandos considerados seguros e validando os par metros de todos os comandos e Ataques explorando estouro de reas de mem ria buffer overflows Estes ataques consistem em se enviar linhas de comando muito grandes fazendo com que um servidor que n o tenha sido corretamente desenvolvido apresente falhas de seguran a O proxy SMTP do Firewall Aker impede estes ataques na medida em que limita o tamanho m ximo das linhas de comando que podem ser enviadas para o servidor e Ataques de relay Estes ataques consistem em utilizar o servidor SMTP de terceiros para enviar suas mensagens de correio eletr nico Desta forma utiliza se os recursos computacionais que deveriam estar dispon veis para requisi es v lidas O proxy SMTP do Firewall Aker impede a
344. lientes e se ocorrer ou n o autentica o de usu rios Todo o restante da configura o feito automaticamente no momento em que o cliente inicia a abertura do canal seguro 9 2 Configurando o Firewall utilizando a interface gr fica A configura o dos canais cliente firewall bastante simples uma vez que todo o procedimento feito automaticamente pelo cliente e pelo firewall Ao administrador cabe apenas definir quais clientes podem estabelecer um canal seguro e se ser realizada autentica o de usu rios Todas estas configura es s o feitas na janela de canais seguros de clientes Para acess la basta e Clicar no menu Criptografia da janela principal e Escolher o item Cliente Firewall A janela de criptografia cliente firewall ot Cliente Firewall Firewall Azul Habilitar clientes YPN Permitir canais seguros de qualquer maquina Permitir canais seguros somente das redes listadas O N o permitir canais seguros a partir das redes listadas Rede ou M quina T Network Mamer m ximo de cones es simult neas Metodos de Autentica o e Usu rio senha i Algoritmos Disponiveis Descri o Algoritmo 1 Campo Valor ES d Token SecurlD O Algoritmo 2 Comprimento da chave developer 1 lia C Smarteard509 CL Algoritmo 3 Desenvolvedor s00 CI Algoritmo 4 Vers o de Firewall 1 Use perfil de acesso C Algoritmo 5 Os par metros de configura o de canais cliente s
345. login no console do Firewall Box Contate o suporte t cnico de seu revendedor 201 Erro lendo licen a Esta mensagem indica que as informa es de licen a do Firewall est o com algum problema s rio que impedem sua leitura Reinsira a chave de ativa o no Firewall 202 Tentativa de login console frustada por senha incorreta Esta mensagem indica que algu m tentou efetuar login no console do Firewall Box mas n o tinha a senha correta 203 Sistema com defeito irremedi vel Contate o revendedor Esta mensagem informa que um erro grave de configura o foi encontrado que impede o login no console do Firewall Box Contate o suporte t cnico de seu revendedor 204 Login no console efetuado Esta mensagem registra o fato de algum operador ter efetuado login no console do Firewall Box 205 Linha de resposta muito grande Esta mensagem indica que o proxy POP3 transparente recebeu uma linha de resposta demasiado grande Veja a RFC 1939 para maiores informa es 206 Erro recebendo dados do servidor POP3 Esta mensagem indica que o proxy POP3 transparente encontrou um erro de conex o ao receber dados do servidor As mensagens complementares informam qual a conex o em quest o 207 Erro recebendo dados do cliente POP3 Esta mensagem indica que o proxy POP3 transparente encontrou um erro de conex o ao receber dados do cliente As mensagens complementares informam qual a conex o em quest o 208 Erro enviando
346. lterar a visualiza o para outros dias pode se configurar a Data Inicial e a Data Final para os dias desejados a faixa de visualiza o compreende os registros da data Inicial data final inclusive Al m de se especificar as datas poss vel tamb m se determinar quais mensagens devem ser mostradas A op o Filtrar por permite se escolher entre a listagem de mensagens ou de prioridades e Filtragem por mensagens Ao se selecionar filtragem por mensagens ser mostrado na lista do lado esquerdo da janela o nome de todos os m dulos que comp em o firewall Ao se clicar em um destes m dulos ser mostrada na lista direita as diferentes mensagens que podem ser geradas por ele Dica Para se selecionar todas as mensagens de um modulo basta se clicar sobre a caixa a esquerda do nome do m dulo e Filtragem por prioridade Diferentes tipos de mensagens possuem prioridades diferentes Quanto maior for a prioridade associada a um determinado registro mais import ncia deve se dar a ele Ao se selecionar filtragem por prioridade ser mostrado na lista do lado esquerdo da janela o nome de todos os m dulos que comp em o firewall Ao se clicar em um destes m dulos ser mostrada na lista direita as diferentes prioridades das mensagens que podem ser geradas por ele Abaixo est a lista com as todas as prioridades poss veis ordenada da mais importante para a menos caso tenha se configurado o firewall para mandar uma c
347. ltros e todos os campos ser o automaticamente preenchidos com os dados salvos Para excluir um filtro que n o mais seja desejado deve se proceder da seguinte forma 1 Seleciona se o filtro a ser removido no campo Filtros 2 Clica se no bot o Remover O filtro padr o configurado para mostrar todos os registros do dia atual Para se alterar a visualiza o para outros dias na janela Data Hora pode se configurar os campos De e Para para os dias desejados a faixa de visualiza o compreende os registros da data inicial data final inclusive Caso se deseje ver os registros cujos endere os origem e ou destino do pacote perten am a um determinado conjunto de m quinas pode se utilizar os campos IP M scara ou Entidade para especific lo lt 4 O bot o Entidade permitem a escolha do modo de filtragem a ser realizado caso o bot o esteja selecionado ser o mostrados na janela os campos chamados de IP Mascara para origem do pacote e IP M scara para Destino do pacote Estes campos poder o ser utilizados para especificar o conjunto origem e ou o conjunto destino Neste caso pode se selecionar uma entidade em cada um destes campos e estas ser o utilizadas para especificar os conjuntos origem e destino O bot o pode ser usado independente um do outro ou seja posso escolher selecionar pela entidade na origem e por IP e M scara para o destino Filtro de Log Filtros UIT reste Salvar Remover Novo
348. lui analisador url lt nome gt lt IP1 gt lt IP2 gt lt IP3 gt lt senha gt fwent inclui ca lt nome gt lt Arquivo com certificado root gt lt URL com CRLs gt Event dn lui servico cnome gt TCP UDE TEMP OUTRO lt Valor gt ss s va LOr fwent inclui interface lt nome gt lt dispositivo gt lt comentario gt fwent inclui pipe lt nome gt lt banda em Kbits s gt lt tamanho da fila gt lt bytes pacts gt fwent inclui acumulador lt nome gt lt comentario gt fwent inclui log remoto lt nome gt lt IP gt IP IP lt senha gt Ajuda do programa fwent Interface texto para configuracao das entidades Uso fwent ajuda fwent mostra fwent remove lt nome gt fwent inclui maquina lt nome gt lt IP gt fwent inclui rede lt nome gt lt IP gt lt mascara gt fwent inclui conjunto lt nome gt lt entidadel gt lt entidade2 gt fwent inclui autenticador lt nome gt lt IP1 gt lt IP2 gt lt IP3 gt lt senha gt lt t cache gt fwent inclui token lt nome gt lt IP1 gt lt IP2 gt lt IP3 gt lt senha gt lt t cache gt fwent inclusa Ldap nome lt IPL gt SIPZ gt lt IP3S gt r or dans xroot pwd lt Dase an gt lt act Cclass gt lt sr attr xgrp attr gt lt lt OWwoLeater gt lt bind gt gt lt lt ssl gt lt tls gt lt nenhuma gt gt lt lt no pwd gt lt pwd gt gt lt t cache gt fwent inclui radius lt nome gt SIPI gt lt
349. m quina servidora fique cheia j que todas as conex es pendentes ser o estabelecidas t o logo os pacotes de reposta atinjam o firewall O ataque de SYN flood portando n o ser efetivado Ally J Cabe enfatizar que todo o funcionamento desta prote o se baseia no intervalo de tempo maximo de espera pelos pacotes de confirma o dos clientes Se o intervalo de tempo for muito pequeno conex es v lidas podem ser recusadas Se o intervalo for muito grande a m quina servidora no caso de um ataque ficar com um grande numero de conex es abertas o que poder provocar problemas ainda maiores 12 2 Utilizando a interface gr fica para Prote o contra SYN Flood Para ter acesso a janela de configura o dos par metros de prote o contra SYN Flood basta Dispositivos remotos Configuration Managers Firewalls Aji Firewall Azul Firewall Yerde i S Configura o do Firewall E3 Sy Configura es do Sistema E3 a Criptografia Cd Ferramentas Ge Informa o ee Seguran a Anti Spoofing Sins 43 Prote o de Flood 4 syn Flood Configura a prote o de SYN flood do firewall e Clicar no menu Seguran a na janela do Firewall que se deseja administrar e Escolher o item SYN Flood A janela de configura o da prote o contra SYN flood a SYN Flood Firewall Verde Ativar prote o SYH flood Dura o m xima do handshake do TCP 6 x500 msec 30s Lista de hosts e redes a p
350. m combina es distintas de mai sculas e min sculas As entidades Aker AKER e aker s o portanto consideradas diferentes cone o cone que aparecer associado m quina em todas as refer ncias Para alter lo basta clicar sobre o desenho do cone atual O firewall ent o mostrar uma lista com todos os poss veis cones para representar m quinas Para escolher entre eles basta clicar no cone desejado e no bot o OK Caso n o se deseje alter lo ap s ver a lista basta clicar no bot o Cancelar IP o endere o IP da m quina a ser criada Ap s todos os campos estarem preenchidos deve se clicar no bot o OK para realizar a inclus o ou altera o da m quina Para cancelar as altera es realizadas ou a inclus o deve se pressionar o bot o Cancelar Para facilitar a inclus o de v rias m quinas seguidamente existe um bot o chamado Nova que n o estar habilitado durante uma edi o Ao ser clicado este bot o far com que a m quina cujos dados foram preenchidos seja inclu da e a janela de inclus o de m quinas mantida aberta pronta para uma nova inclus o Desta forma poss vel se cadastrar rapidamente um grande n mero de m quinas Incluindo editando redes a _ Automatica I one EEEE endereco Intervalo Endere o IP inv ldo Para se cadastrar uma entidade do tipo rede necess rio preencher os seguintes campos Nome o nome atrav s do qual a rede ser refere
351. m duas op es poss veis ou o pacote est sendo criptografado encripta o ou o pacote esta sendo decriptado decripta o para maiores detalhes veja o t pico Intitulado Planejando a Instala o Encripta o de dados o algoritmo utilizado para criptografar a chave de sess o enviada no pacote E aconselh vel a utiliza o do Blowfish 256 bits Encripta o de pacote o algoritmo que ser utilizado para criptografar os dados do pacote Pode se escolher None caso se deseje utilizar apenas autentica o DES 3DES Blowfish 128 bits ou Blowfish 256 bits Autentica o Define qual algoritmo ser utilizado na autentica o Os valores poss veis s o MDS ou SHA Segredo Compartilhado o segredo que ser utilizado para gerar as chaves mestre para maiores detalhes veja o t pico Intitulado Planejando a instala o Este segredo deve ser o mesmo nos dois firewalls em ambos os lados do fluxo Ele deve ser obrigatoriamente um n mero hexadecimal com 64 d gitos Al m destes campos existe uma op o que facilita a configura o de segredos iguais nos dois firewalls respons veis pela emiss o e recebimento do fluxo seguro Carregar Segredo Esta op o possibilita que se leia o campo segredo compartilhado a partir de um arquivo ASCII Este arquivo deve possuir apenas uma linha com os 64 d gitos do segredo Quando esta op o for selecionada ser mostrada uma janela que possibilita a escolh
352. m rota para origem Habilita a passagem de pacotes que tenham a op o de registro de rota ou de roteamento dirigido Se esta op o estiver desmarcada pacotes com alguma destas op es n o poder o trafegar Valor padr o Pacotes IP direcionados n o s o permitidos il 3 Cabe ressaltar que a aceita o de pacotes com qualquer uma das op es mostradas acima pode causar uma falha s ria de seguran a A n o ser que se tenha uma raz o espec fica para deix los passar deve se manter esta op o desmarcada Suporte FTP Habilita o suporte espec fico para o protocolo FTP Valor padr o Suporte FTP est habilitado Este par metro faz com que o firewall trate o protocolo FTP de forma especial de modo a permitir que ele funcione transparentemente para todas as m quinas clientes e servidoras Internas ou externas A menos que n o se pretenda usar FTP atrav s do firewall esta op o deve estar marcada Suporte ao Real Audio Habilita o suporte para os protocolos Real Audio e Real Video Valor padr o Suporte Real Audio est habilitado Este par metro faz com que o firewall trate o protocolo Real Audio Real Video de forma especial de modo a permitir que ele funcione transparentemente usando conex es TCP e UDP A menos que n o se pretenda usar o Real Audio ou se pretenda utiliz lo apenas com conex es TCP esta op o deve estar marcada Suporte RTSP Habilita o suporte para o protocolo RTSP Valor padr o Suporte
353. m ter sido previamente cadastradas no sistema Para maiores informa es sobre como cadastrar entidades no Firewall Aker veja o cap tulo entitulado Cadastrando Entidades Wily JO uso de ao redor do nome da entidade a ser inclu da na regra obrigat rio quando este cont m espa os 6 5 Utilizando o assistente de regras O assistente de regras pode ser acionado pelo menu ou pela barra de tarefas Caso o n mero de regras for muito pequeno o pr prio assistente ser acionado automaticamente 1 Acionando do assistente de regras A janela abaixo aparecer quando um n mero muito pequeno de regras for detectado Assistente de regras de filtragem Um novo conjunto de regras pode ser construido facilmente pelo Assistente de Regras de Filtragem Um n mero muito pequeno de regras foi detectado Deseja iniciar o assistente 2 Tela inicial com as explica es necess rias Wizard de Regras de Filtragem Assistente de Regras de Filtragem Bem vindo ao Assistente de Regras de Filtragem 0 filtro de pacotes um modulo encarregado de decidir quando um pacote pode ou n o passar pelo firewall seguindo para seu destino Para decidir a a o apropriada quando cada pacote chega no Firewall o filtro de pacotes preciza de um conjunto de configura es 4 cada novo pacote o filtro de pacotes busca por uma regra com mesmo endere o e porta do pacote Se nenhuma regra enquadra o pacote ele descartado U assistente de R
354. mentares Estam mensagem uma mensagem gen rica de aviso do daemon de negocia o de chaves IPSEC Verifique as mensagens complementares para obter mais detalhes 189 Recebendo n mero do pipe do kernel Esta mensagem indica que um proxy n o conseguiu descobrir quais eram o pipe e O acumulador para uma conex o visto que tiveram problemas de comunica o com o Kernel 190 Erro lendo arquivo de configura o de estat sticas Esta mensagem indica que houve um problema ao ler o arquivo de configura o de estat sticas A solu o restaur lo ou remov lo e criar as configura es novamente Veja a se o Arquivos do Sistema e Backup 191 Erro lendo tabela de entidades Esta mensagem indica que o m dulo gerador de estat sticas do Firewall n o conseguiu n o conseguiu ler a tabela de entidades do sistema 192 N o encontrou entidade acumulador Esta mensagem indica que o m dulo gerador de estat sticas do Firewall encontrou uma inconsist ncia em sua configura o isto uma estat stica que referencia um acumulador inexistente A mensagem complementar entre par nteses indica qual a entidade em quest o 193 Daemon suspenso por configura o incorreta Esta mensagem indica que o m dulo gerador de estat sticas do Firewall encontrou uma inconsist ncia em sua configura o e ficar com suas atividades suspensas at que ela esteja correta 194 Erro recebendo estat sticas do kernel Esta mensagem
355. mento com a configura o descrita acima Para possibilitar o acesso ao servidor Exchange deve se liberar as portas criadas nos itens anteriores no exemplo acima 30001 30002 30003 e 30004 e a porta 135 Windows RPC Al m disso caso se esteja utilizando LDAP deve se liberar tamb m as portas 389 para autentica o b sica e ou 636 para autentica o SSL Como configurar o acesso ao gateway MS SNA Server O gateway MS SNA utiliza as portas 1477 tcp e 1478 tcp para se comunicar portanto estes servi os dever o estar configurados no Firewall Aker Na configura o do Cliente SNA e na op o Advanced certifique se que todas as caixas de op o estejam desmarcadas e o nome do dom nio NT de autentica o esteja preenchido Tenho um gateway MS SNA na rede interna de classe inv lida e n o consigo acess lo utilizando a convers o de endere os para o referido servidor O MS SNA sempre retorna o n mero IP do servidor em que ser feita a transa o com o gateway a partir da porta 1478 tcp E necess rio que seja feita uma modifica o no registro do cliente que est se utilizando Para alterar as configura es do registry de cada tipo de cliente dever ser modificado da seguinte forma No Windows NT 1 V para a subtree HKEY LOCAL MACHINE na seguinte subchave System CurrentControlSet Services SnaBase Parameters SnaTcp 2 Adicione a seguinte informa o todas as chaves sao case sensitive Value Name Fi
356. metro de configura o do sistema A mensagem complementar indica o nome do par metro que foi alterado 143 Altera o das regras de filtragem Esta mensagem indica que o administrador que estava com a sess o de administra o aberta alterou a tabela de regras de filtragem do firewall 144 Altera o da convers o Esta mensagem indica que o administrador que estava com a sess o de administra o aberta alterou algum par metro da convers o de endere os ou a tabela de convers o de servidores A mensagem complementar indica exatamente o que foi alterado 145 Altera o da tabela de criptografia Esta mensagem indica que o administrador que estava com a sess o de administra o aberta alterou a tabela de criptografia do firewall 146 Altera o na configura o de SYN Flood Esta mensagem indica que o administrador que estava com a sess o de administra o aberta alterou algum par metro da prote o contra SYN Flood A mensagem complementar indica exatamente o que foi alterado 147 Altera o de contextos Esta mensagem indica que o administrador que estava com a sess o de administra o aberta alterou contextos de um dos proxies transparentes do Firewall A mensagem complementar indica qual o proxy que teve seus contextos modificados 148 Altera o da configura o de SNMP Esta mensagem indica que o administrador que estava com a sess o de administra o aberta alterou os par metros de configura
357. metros do agente IDS externo Uso fwids habilita desabilita mostra limpa ajuda fwids agente lt entidade gt fwids bloqueia origem lt ip origem gt destino lt ip destino gt servico lt servico protocolo gt tempo habilita habilita o funcionamento de agentes IDS externos desabilita desabilita o funcionamento de agentes IDS externos mostra mostra a configuracao atual bloqueia inclui uma regra de bloqueio temporaria limpa remove todas as regras de bloqueio temporarias agente especifica nome da entidade com dados do agente ajuda mostra esta Mensagem Para bloqueia temos origem Especifica que deve se bloquear conexoes originadas no endereco IP especificado destino Especifica que deve se bloquear conexoes destinadas ao endereco IP especificado servico Especifica que deve se bloquear conexoes que utilizem o servico especificado Neste caso deve se especificar o servico como a porta para os protocolos TCP e UDP O tipo de servico para ICMP ou o numero do protocolo no caso de outros protocolos ex 23 tcp 53 udp S77 Outro tempo tempo em segundos no qual a regra permanecera ativa No caso de nao ser especificado a regra ficara ativa ate a proxima inicializacao do firewall Exemplo 1 Habilitando o suporte a detec o de intrus o etc firewall fwids habilita Exemplo 2 Definindo o agente IDS etc firewall fwids agente Agente IDS II SA entidade Agente IDS deve ter sido p
358. ministra o do firewall e Selecionar o item Data e Hora A pasta de data e hora e Data e hora Firewall Verde Seles Data Hora Fuso Hor rio Gi setembro 2004 11 Seg Ter Qua Qui Sex Sab Dom 293 30 Of U3 04 05 Ub 07 DE dio q1 od 13 14 15 EE i 15 24 td 22 25 eh ef 20 29 E 3 4 F E g 10 Data 17 03 2004 4 Hora 14 03 40 2 Esta janela consiste de dois campos que mostram o valor da data e hora configurados no firewall Para se alterar qualquer um destes valores basta se colocar o valor desejado no campo correspondente Para escolher o m s pode se usar as setas de navega o A pasta de Fuso Hor rio a Data e hora Firewall Verde Seles Data Hora Fuso Hor rio Fuso Hor rio E America Buenos Ares Sao Paulo B Europe London Paris Atual fuso hor rio do firewall n o for ajustado ainda af Aplicar T Dr 4 Cancelar Escolha o fuso hor rio que mais se aproxima da regi o aonde o firewall ser instalado e O bot o Aplicar alterar a data e hora e manter a janela aberta e O bot o OK far com que a janela seja fechada e as altera es salvas e O bot o Cancelar fechar a janela e descartar as modifica es efetuadas 29 6 Simula o de Regras de Filtragem As varreduras de regras permitem ao administrador testar a configura o das regras de filtragem do firewall atrav s de uma simula o de tentativas de conex es Ao analisar o resultado desta simula o poss ve
359. move lt pos gt fwnat inclui lt pos gt 1 1 lt origem gt lt destino gt lt entidade virtual gt bal lt ev 1 gt lt ev 2 gt fwnat inclui lt pos gt n 1 lt origem gt lt destino gt lt entidade virtual gt bal lt sev gt ev 25 fwnat inclui lt pos gt servicos lt origem gt lt destino gt lt entidade virtual bal lt ev 1 gt lt ev 2 gt lt servicol gt lt servico2 gt fwnat inclui lt pos gt sem conversao lt origem gt lt destino gt fwnat inclui lt pos gt 1 n lt origeml gt lt origem2 gt lt destino gt lt entidade virtual gt bal lt ev 1 gt lt ev 2 gt lt round robin randomico gt lt persist gt lt nenhum ping HTTP lt URL gt gt ativa ativa conversao de enderecos desativa desativa conversao de enderecos mostra mostra todas as regras da tabela de conversao Ine Lia inclui uma nova regra de conversao habilita habilita uma regra de conversao desabilitada desabilita desabilita uma regra de conversao existente remove remove uma regra de conversao existente ajuda mostra esta mensagem Para inclui temos pos posicao onde incluir a nova regra na tabela Pode ser um inteiro positivo ou a palavra FIM para incluir no final da tabela CSI realiza conversao de servidores Neste caso a origem deve ser obrigatoriamente uma entidade do tipo maquina p realiza conversao de clientes servicos realiza conversao apenas para os servicos cita
360. mplementa o quanto a origem da conex o pela Internet Os DNS devem ter entradas duplas de IP e devem trabalhar em modo Round Robin O problema est quando um link de determinada operadora cai o firewall n o tem como desviar as conex es que s o originadas pela Internet Para contornar este problema o administrador poderia utilizar de scripts para remover do DNS o IP da operadora que esteja fora do ar pois o firewall passa para o log de eventos esta informa o NAT Firewall Azul Balanceamento de Link Ativar NAT Servi os Servi o Virtual Balanceamento de link Desabilitado Habilitado Origem Destino M quina Virtual Hs Rede Intema 688 Rede DMZ s Rede Interna BB Rede DMZ 3 serverl Ai Sem convers o 1 200 214 20 23 link embratel z 9 200 200 45 20 link intelig L 200 214 20 15 link embratel g 200 200 45 70 link intelig R 200 214 20 25 link embratel g 200 200 45 80 link intelig Habilitado gt Coneio SMTP Intenet servidor web aker x Internet Habilitado RA 200 214 20 20 link embratel Habiltad 200 200 45 65 link intelig cere tz Internet Ge Internet 200 214 20 16 link embratel Habilitad 200 200 45 10 link intelig abilitado d s Rede_Interna Comentario 7 3 Utilizando a interface texto A interface texto de configura o da convers o de endere os relativamente simples e tem as mesmas capacidade
361. na Sempre L Coment rio We es ni 4 A z 3 No caso de desabilitar uma pol tica todas as regras que ela cont m tamb m ser o desabilitadas 6 4 Utilizando a interface texto A utiliza o da interface texto na configura o das regras de filtragem traz uma dificuldade gerada pela grande quantidade de par metros que devem ser passados pela linha de comando N o poss vel se configurar a tabela de hor rios nem se especificar coment rios para as regras atrav s da interface texto Tamb m n o poss vel se especificar mais de uma entidade para origem ou destino da regra Todas as regras acrescentadas por esta Interface s o consideradas aplic veis em todas as horas da semana Localiza o do programa etc firewall fwrule Sintaxe Uso fwrule ajuda mostra fwrule habilita desabilita remove lt pos gt fwrule inclui forca lt pos gt lt origem gt lt destino gt lt aceita rejeita descarta gt pipe lt pipe gt lt peso gt acumulador lt acumulador gt loga mail trap programa alerta encriptado usuario lt servico gt Ajuda do programa Firewall Aker Versao 5 1 fwrule Configura tabela de regras do filtro de estados Uso fwrule ajuda mostra fwrule habilita desabilita remove lt pos gt fwrule inclui forca lt pos gt lt origem gt lt destino gt mostra sake op Habili
362. na direita 7 Este tela ira permitir que mais servidores sejam configurados Assistente NAT Servidor configurado Parabens voc configurou satishatoramente o acesso esterno da Internet aos seus servidores Agora voc pode finalizaro assistente ou configurar mais servidores acess veis externamente voc deseja tornar mais algum servidor acessivel para a Internet O Sim N o Para continuar pressione Pr ximo ou Cancelar para abortar 8 Tela de finaliza o do Assistente e regras que foram criadas pelo mesmo Assistente NAT Finalizar Parab ns voc completou sabisfatoramente o Assistente de Configura o NAT Quando voc clicar em Terminar as seguintes regras ser o adicionadas na janela de NAT Aviso Uualquer regra previamente existente sera desabilitada N Entidades Ungem Entidades Destino Op es Entidades Wirtuals p m gt Correio SMTP Gl Internet a W 200 120 210 166 y E Fa R suis Interna Ja Hene Interna N Nenu eo Coren SMTF Correio SMTP EA Rede Interna YA Intemet een W 200 120 210 15 Fara aceitar as regras pressione Finalizar ou ent o pressione Cancelar para abortar e descartar todas as altera es 3 0 Criando Canais de Criptografia Mostraremos aqui como configurar as regras que propiciar o a cria o de canais seguros de comunica o na Internet Estes canais seguros s o usados para interligar institui es pela Internet de forma com que os dados fluam entre
363. na lista de cima para baixo Habilita autentica o por token Essa op o indica se o firewall aceitar ou n o autentica o de usu rios por meio de tokens Caso ela esteja ativa deve se configurar o nome do autenticador token a ser consultado para validar os dados recebidos I gt Autentica o Firewall Azul Seles a ET TT j de Controle de acesso i M todos i3 Autentica o para Prosies E Controle de Acesso por IF R Autentica o local Habilitar autentica o Token Usu rio Sernha ee j Autenticador Token a pesquisar ES Token Zo R Gere Autenticador token a pesquisar Este campo indica o autenticador token para o qual os dados a serem validados ser o repassados Habilita autentica o PKI Essa op o indica se o firewall aceitar ou n o autentica o de usu rios por meio de smart cards Caso ela esteja ativa deve se configurar as autoridades certificadoras nas quais o firewall confia Ls Autentica o Firewall Azul DER ie Controle de acesso 1 M todos 1 Autentica o para FProsies l Controle de Acesso por IF amp Autentica o local Habilitar autentica o PKI Usu rio Senha Autoridades Cerficadoras Confi veis EICP Brasil ae a 7 x Autoridades Certificadoras Confi
364. nciada daqui em diante pelo firewall poss vel se especificar este nome manualmente ou deixar que o ele seja atribu do automaticamente A op o Autom tico permite escolher entre estes dois modos de opera o caso ela esteja marcada a atribui o ser autom tica caso contr rio manual il 5 Letras mai sculas e min sculas s o consideradas diferentes nos nomes das entidades Desta forma poss vel a exist ncia de v rias entidades compostas de nomes com as mesmas letras por m com combina es distintas de mai sculas e min sculas As entidades Aker AKER e aker s o portanto consideradas diferentes cone o cone que aparecer associado rede em todas as refer ncias Para alter lo basta clicar sobre o desenho do cone atual O firewall ent o mostrar uma lista com todos os poss veis cones para representar redes Para escolher entre eles basta clicar no cone desejado e no bot o OK Caso n o se deseje alter lo ap s ver a lista basta clicar no bot o Cancelar IP E o endere o IP da rede a ser criada M scara E a m scara da rede a ser definida Intervalo Este campo mostra a faixa de endere o IP a que pertence a rede e realiza uma cr tica quanto a m scara que est sendo cadastrada ou seja n o permite cadastramento de m scaras erradas Ap s todos os campos estarem preenchidos deve se clicar no bot o OK para realizar a inclus o ou altera o da rede Para cancelar as altera es r
365. ncionalidade similar da interface gr fica Todas as fun es da Interface gr fica est o dispon veis exceto a op o de verificar os dados atrav s de gr fico e de se verificar em quais regras os acumuladores de uma determinada estat stica est o presentes A tabela de hor rio visualizada da seguinte forma O s mbolo dois pontos informa que a regra valida para os dois dias da semana que aparecem separados por Ex Dom Seg O s mbolo ponto informa que a regra so v lida para o dia da semana que segue o caractere Ex Dom Seg Seg O s mbolo acento informa que a regra so v lida para o dia da semana que antecede o caractere Ex Dom Seg Dom Localiza o do programa etc firewall fwstat Sintaxe fwstat ajuda mostra c lt estatistica gt lt data inicial gt lt data final gt inclui lt estatistica gt lt periodo gt lt acumuladorl gt acumulador2 remove lt estatistica gt desabilita lt estatistica gt lt dia gt lt hora gt habilita lt estatistica gt lt dia gt lt hora gt Ajuda do programa Firewall Aker Versao 5 1 Uso fwstat ajuda mostra c lt estatistica gt lt data inicial gt lt data final gt inclui lt estatistica gt lt periodo gt lt acumulador1l1 gt lacumuladerZ xw remove lt estatistica gt desabilita lt estatistica gt lt dia gt lt hora gt habilita lt estatistica gt lt dia gt lt hora gt ajuda mostra
366. nco a a o correspondente n o ser executada mesmo que ela esteja marcada para tal 13 2 Utilizando a interface texto A interface texto para a configura o das a es possui as mesmas capacidades da interface gr fica e de f cil uso Localiza o do programa etc firewall fwaction Sintaxe fwaction ajuda twae Lom mostra fwaction atribui lt numero gt loga mail trap programa alerta fwaction lt programa usuario comunidade gt nome fwaction ip endereco IP fwaction e mail endereco Ajuda do programa fwaction Interface texto para a configuracao das acoes do sistema Uso fwaction ajuda fwaction mostra fwaction atribui lt numero gt loga mail trap programa alerta fwaction lt programa usuario comunidade gt nome fwaction ip endereco IP fwaction e mail endereco ajuda mostra esta mensagem mostra lista as mensagens e as acoes configuradas para cada uma atribui configura as acoes para uma determinada mensagem programa define o nome do programa a ser executado usuario define o nome do usuario que executara o programa comunidade define o nome da comunidade SNMP para o envio das traps hj define o endereco IP do servidor SNMP que recebera as Craps e mail define o nome do usuario que recebera os e mails Para atribui temos numero numero da mensagem a atribuir as acoes o numero de cada mensagem aparece na esquerda ao se selecionar a opcao mostra
367. ndere o IP da m quina onde ele est rodando Solu o Verifique se a senha de acesso na defini o da entidade est igual a senha colocada na configura o do analisador de URLs Para maiores informa es veja o cap tulo intitulado Cadastrando Entidades 104 Nova maquina detectada no cluster Esta mensagem indica que uma nova maquina foi anexada ao sistema de cluster do firewall 105 Maquina participante do cluster fora do ar Esta mensagem indica que uma das maquinas participantes do cluster esta fora do ar Verifique a situa o da maquina de modo a solucionar o problema da mesma 106 Pacote de heartbeat invalido Esta mensagem indica que um pacote de verifica o do cluster foi recebido incorretamente Verifique se o segmento de comunica o dos firewall esta funcionando corretamente 107 Converg ncia do cluster completada com sucesso Esta mensagem indica que todos os firewalls do cluster est o funcionando corretamente 108 Chave de ativa o do firewall repetida Esta mensagem indica que dois firewalls possuem a mesma licen a instalada Para o trabalho dos firewalls cooperativos e necess rio que cada um dos firewalls possua a sua pr pria licen a 109 Falha de autentica o para proxy Esta mensagem indica que um usu rio informou uma senha inv lida ao tentar se autenticar em um determinado proxy As mensagens complementares indicam o nome do usu rio e as m quinas de origem e destino no caso de proxy
368. ndo pacotes IP direcionados etc firewall fwpar ip direcionado sim Exemplo 3 configurando o nome da comunidade de leitura SNMP t etc firewall fwpar comunidade leitura public Exemplo 4 apagando o nome da comunidade de escrita SNMP etc firewall fwpar comunidade escrita 5 0 Cadastrando Entidades Mostraremos aqui o que s o para que servem e como se cadastrar entidades no Firewall Aker 5 1 Planejando a instala o WO que s o e para que servem as entidades Entidades s o representa es de objetos do mundo real para o Firewall Aker Atrav s delas pode se representar m quinas redes servi os a serem disponibilizados entre outros A principal vantagem da utiliza o de entidades para representar objetos reais que a partir do momento em que s o definidas no Firewall elas podem ser referenciadas como se fossem os pr prios objetos propiciando uma maior facilidade de configura o e opera o Todas as altera es feitas em uma entidade ser o automaticamente propagadas para todos os locais onde ela referenciada Pode se definir por exemplo uma m quina chamada de Servidor WWW com o endere o IP de 10 0 0 1 A partir deste momento n o mais necess rio se preocupar com este endere o IP Em qualquer ponto onde seja necess rio referenciar esta m quina a refer ncia ser feita pelo nome Caso futuramente seja necess rio alterar seu endere o IP basta alterar a defini o da pr pria entidade que o s
369. ndo uma configura o padr o na instala o do cliente Al m de instalar o cliente automaticamente poss vel tamb m distribuir uma configura o padr o que ser utilizada tanto na instala o autom tica quanto na Interativa Desta forma o administrador de um firewall pode deixar toda a configura o do Cliente de Autentica o Aker pronta de forma que os usu rios finais n o necessitem de realizar qualquer tipo de configura o Para instalar o cliente com uma configura o padr o basta se configur lo em uma m quina da forma desejada e a seguir copiar um arquivo para o diret rio de onde as vers es padronizadas ser o instaladas O programa de instala o detectar que o arquivo existe e automaticamente os copiar para o diret rio onde o programa ser Instalado O seguinte arquivo pode ser copiado firewalls clp Lista de firewalls nos quais o cliente tentar efetuar o logon 21 3 Configurando o Cliente de Autentica o O Cliente de Autentica o Aker roda sempre em segundo plano Para configur lo necess rio executar o programa de configura o descrito no na se o acima O programa de configura o consiste de 3 pastas cada uma respons vel por uma tarefa distinta S o elas O Firewalls Cliente de Autentica o Firewall Aker Firewalls Log Sobre Nenhum usu rio logado no Firewall Aker Especificar autenticador padr o Server aut aap Funcionar apenas com o Cliente
370. ndows NT 2000 SecurID ACE Server Se essa op o estiver marcada o agente realizar autentica o de usu rios consultando o servidor SecurID e Pasta de log Em Agente de Autentica o Aker loj x Firewall ker Log Sobre M Usar visualizador de Eventos E fv Depura o E 4 Informa o OM Noticia E Advert ncia mv Ero o ml Apagar Salvar Autentica o go Dominio NT 2000 ALE Server Mensagem Complemento qart VAZA e121 VAZA e121 VAZA 18 33 29 Af 18 33 28 fe 183328 AA 183318 Ae 18 32 50 A 1832 47 fy Listagem de grupos req Listagem de grupos req Listagem de grupos req Listagem de grupos req Conex o com Firewall e Autentica o da comun Grupos Grupos Grupos Grupos 10 0 0 124 10 0 0 124 Aplicar Fechar Esta pasta muito til para se acompanhar o funcionamento do agente de autentica o Ela consiste de uma lista com diversas mensagens ordenadas pela hora Ao lado de cada mensagem existe um cone colorido simbolizando sua prioridade As cores tem o seguinte significado Verde Depura o Azul Informa o Amarelo Not cia Vermelho Advert ncia Preto Erro Caso n o se deseje que uma determinada prioridade de mensagens seja gerada basta desmarcar a op o a sua esquerda A op o Usar visualizador de eventos se estiver marcada faz com que as mensagens sejam enviadas para o visualizador de eventos do Window
371. ne o bot o de seta gt para que os firewall selecionados apare am na lista da direita da janela O bot o de Flush utilizado para apagar as regras din micas adicionadas pelos IDS nos firewalls selecionados Ap s se realizar todas as modifica es deve se clicar no bot o Aplicar Caso se esteja utilizando o Real Secure ser ent o mostrada uma janela informando que os Global Responses do Real Secure ser o alterados e pedindo uma confirma o para continuar Deve se clicar no bot o Sim para se salvar a nova configura o SLog NM Configura o de IDS Todos os bloqueios enviados pelo IDS ser o registrados nesta janela Eventos MM Configura o de IDS Configura o Log Eventos Sobre Salvar Remover tempo informa o Es Esta pasta muito til para se acompanhar o funcionamento do agente Ela consiste de uma lista com diversas mensagens ordenadas pela hora Ao lado de cada mensagem existe um cone colorido simbolizando sua prioridade Sobre MM Configura o de IDS Configura o Log Eventos Sobre Agente IDS vers o 1 0 Build 1 Copyrights Este produto utiliza 03 algoritmos DES e 3DES retirados da biblioteca SSL escrita por Enc Young caylimincon oz au Copyright c 1995 Eric Young Utiliza algoritmo MOS retirado da AFC 1321 Copyright 0 1991 2 RSA Data Security Ine Utiliza biblioteca CMU SHMF Copyright 1997 c Camegie Mellon University
372. neas ativas utilizando o mesmo endere o A nica limita o desta tecnologia que ela n o permite que as m quinas internas sejam acessadas externamente Todas as conex es devem ser iniciadas internamente e I1 N Este tipo de convers o tamb m chamado de balanceamento de carga e possibilita que v rios servidores sejam colocados atr s de um nico endere o IP v lido Cada vez que uma uma nova conex o aberta para esse endere o ela redirecionada para um dos servidores Internos A grande vantagem dessa tecnologia possibilitar que servi os que demandam uma grande quantidade de recursos possam ser separados em v rias m quinas e serem acessados de forma transparente atrav s de um nico endere o No caso de quedas de algumas dessas m quinas as novas conex es s o automaticamente repassadas para as m quinas que ainda estiverem no ar implantando com isso mecanismo de toler ncia a falhas Aplica es da convers o de endere os com o Firewall Aker O Firewall Aker permite que qualquer tipo de convers o seja realizada n o se limitando apenas ao endere o v lido da interface externa do firewall mas sim dando total flexibilidade ao administrador em utilizar qualquer endere o dentro da rede inclusive fazendo a convers o entre redes inv lidas Suponhamos que uma determinada organiza o receba uma endere o classe com o formato A B C 0 Este endere o um endere o v lido que suporta no m ximo 254 m qu
373. ns de log sejam enviadas para o Visualizador de eventos do Windows 3 O log do Cliente de Autentica o Aker armazenado apenas durante a execu o do cliente Caso a m quina seja reinicializada todas as suas informa es ser o descartadas Sobre Je Cliente de Autentica o Firewall Aker Firewalls Log Sobre Cliente de Autentica o Aker vers o 2 0 Release 1 Build 22 Copyrights Este produto utiliza og algoritmos DES e 3DES retirados da biblioteca SSL escrita por Eric Young cayimincoan oz au Copyright 2 1995 Eric Young Mtiliza algoritmo MOS retirado da RFC 1321 Copyright c 1991 2 ASA Data Security Ine Copyright c 1997 2002 Aker Security Solutions Esta uma pasta meramente informativa e serve para que se obtenha algumas informa es do cliente Dentre as informa es teis se encontram sua vers o e release 21 4 Visualizando e Removendo Usu rios Logados no Firewall E poss vel se visualizar a qualquer momento os usu rios que possuem sess o estabelecida com o firewall atrav s do cliente de autentica o e remover uma destas sess es Isto feito atrav s da janela de usu rios logados Para ter acesso a janela de usu rios logados basta Dispositivos remotos Configuration Managers E O Firewalls Ah Firewall Azul ll Firewall Verde E S Configura o do Firewall E3 ty Configura es do Sistema E a Criptografia Ferramentas E t Informa o W Conex es
374. nsideradas como sendo iguais lly 5 Os campos Campo Pesquisa e Texto aparecem 3 vezes Desta forma poss vel se definir at 3 condi es distintas que uma mensagem deve cumprir para que seja enquadrada pela regra Caso n o se deseje especificar tr s condi es basta deixar as demais com o valor NENHUM no par metro campo Ativa o dos filtros Este campo s tem sentido quando se especifica mais de uma condi o Ele indica que tipo de opera o ser usada para relacion las e Somente se ambos s o verdadeiros Para que uma mensagem se enquadre na regra necess rio que ela satisfa a todas as condi es e Se qualquer um for verdadeiro Para que uma mensagem se enquadre na regra basta ela satisfazer uma das condi es A o Este campo indica se as mensagens que se enquadrarem na regra devem ser aceitas ou rejeitadas pelo proxy SMTP Registrar na lista de eventos Este campo indica se as mensagens que se enquadrarem na regra devem ou n o ser registradas na lista de eventos Enviar c pia Para toda mensagem que se enquadrar na regra independentemente de ter sido aceita ou rejeitada poss vel se enviar uma c pia completa dela para um endere o de e mail qualquer Este campo indica se deve ou n o ser enviada esta c pia Caso ele esteja marcado deve se escolher uma das seguintes op es de envio e Padr o A c pia da mensagem enviada para o e mail padr o e e mail A c pia da mensagem enviada
375. ntar agentes do sub tipo selectionado Para escolher entre eles basta clicar no cone desejado e no bot o OK Caso n o se deseje alter lo ap s ver a lista basta clicar no bot o Cancelar e Para se cadastrar um agente externo do tipo Autenticador ou Autenticador Token necess rio preencher os seguintes campos adicionais L Autenticador backup Sema Do Tempo limite da cache a Cancela IP o endere o IP da m quina onde o agente est rodando Backup e Backup 2 Estes campos permitem com que se especifique at dois endere os de outras m quinas que tamb m estar o rodando o agente e que servir o como backup no caso de quedas da m quina principal li SA maquina principal e as de backup deverao compartilhar uma mesma base de usu rios ou seja elas dever o ser controladoras de dominio prim rias e de backup PDCs e BDCs no caso de redes Windows ou v rias m quinas Unix utilizando NIS Senha a senha utilizada para gerar as chaves de autentica o e criptografia usadas na comunica o com o agente Esta senha deve ser igual configurada no agente Para maiores informa es veja o cap tulo intitulado Trabalhando com proxies Confirma o Este campo utilizado apenas para se verificar se a senha foi digitada corretamente Deve se digit la exatamente como no campo Senha Tempo limite de uso da cache Todas as vezes que realiza uma autentica o com sucesso o firewall mant m em mem ria os
376. ntaxe Uso fwipseccert ajuda fwipseccert mostra requisicao certificado fwipseccert remove requisicao certificado lt numero gt fwipseccert requisita lt local remoto gt lt 1024 2048 gt lt email gt lt pals gt lt estado gt lt cidade gt lt organizacao gt lt unid org gt lt dominio gt use email imprime fwipseccert instala lt local remoto gt lt certificado gt fwipseccert exporta lt certificado gt lt arquivo PKCS12 gt lt senha gt fwipseccert importa lt arquivo PKCS12 gt lt senha gt Ajuda do programa Firewall Aker Versao 5 1 fwipseccert Criacao e manejamento de requisicoes e certificados E 509 Uso fwipseccert ajuda fwipseccert mostra requisicao certificado fwipseccert remove requisicao certificado lt numero gt fwipseccert requisita lt local remoto gt lt 1024 2048 gt lt email gt lt pals gt lt estado gt lt cidade gt lt organizacao gt lt unid org gt lt dominio gt use email imprime fwipseccert instala lt local remoto gt lt certificado gt fwipseccert exporta lt certificado gt lt arquivo PKCS12 gt lt senha gt fwipseccert importa lt arquivo PKCS12 gt lt senha gt ajuda mostra esta mensagem mostra mostra uma lista contendo as requisicoes pendentes ou os certificados instalados remove remove uma requisicao ou certificado de acordo com seu numero requisita cria um par de chaves publicas e privadas juntamente com uma requisicao d
377. nte sequ ncia de passos 1 Verifique se o usu rio que est tentando se conectar est cadastrado no sistema e a sua senha est correta para fazer isso utilize o m dulo local de administra o de usu rios Veja o cap tulo intitulado Administrando usu rios do firewall 2 Verifique se a rede est funcionando corretamente poss vel se fazer isso de v rias formas uma delas utilizando o comando ping N o se esque a de acrescentar uma regra liberando os servi os ICMP echo request e echo reply para a m quina que se est testando em dire o ao firewall caso se v utilizar o ping Para aprender como fazer 1sso veja o cap tulo intitulado O Filtro de Estados Se isso n o funcionar ent o a rede est com problemas de conectividade e isto deve ser corrigido antes de se tentar a administra o remota Caso funcione veja o passo 3 3 Verifique se existe uma regra cadastrada liberando o acesso a partir da m quina que se deseja conectar para o firewall utilizando o servi o Aker TCP porta 1020 Caso n o exista insira esta regra para aprender como fazer isso veja o cap tulo intitulado O Filtro de Estados 2 2 Finalizando a administra o remota Existem tr s formas de finalizar a administra o remota do Firewall Aker Finalizando a sess o clicando com o bot o direito do mouse no firewall conectado e selecionando Desconectar do dispositivo remoto Mi Colapsar a Desconectar do dispositivo remoto Ckr ShiF
378. nte de Autentica o Para se executar a configura o do cliente de autentica o basta selecionar a op o Configurar Cliente de Autentica o dentro deste grupo Instalando o cliente atrav s de scripts Para facilitar a instala o do Cliente de Autentica o Aker em um grande n mero de m quinas poss vel automatiz la e realiz la de forma n o interativa Com isso pode se escrever um script de logon por exemplo que instale o cliente caso ele j n o esteja instalado A Instala o autom tica n o interativa acionada atrav s de um outro programa chamado de setupbat localizado no mesmo diret rio do programa de instala o descrito acima Ele recebe as op es de instala o atrav s da linha de comando sendo que as seguintes op es est o dispon veis a Executa instala o autom tica d diret rio Especifica diret rio de instala o f Instala cliente mesmo se j detectar uma Instala o anterior e Instala cliente sem a interface de configura o Ally J Caso n o se tenha especificado a op o d diret rio o cliente ser instalado em C Arquivos de Programaslakerlaker authenticator 9 Cao a op o e tenha sido especificada necess rio se criar um arquivo de configura o para ser distribu do junto com o cliente j que n o ser poss vel configur lo atrav s da interface gr fica Os procedimentos de cria o desse arquivo est o descritos abaixo Distribui
379. nte ser necess rio 256 Mbytes ou mais e 4 Gbytes de espa o em disco Pode ser necess rio o uso de um disco maior caso se pretenda armazenar os logs do sistema por um grande espa o de tempo e Leitor de CD ROM monitor mouse e teclado Isso s necess rio durante a instala o ou caso se pretenda utilizar a interface texto a partir do console entretanto altamente recomendado em todos os casos e Placa s de rede N o existe um n mero m ximo de placas de rede que podem ser colocadas no Firewall A nica limita o existente a limita o do pr prio hardware Caso se necessite de um grande n mero de interfaces de rede pode se optar por placas com mais de uma sa da na mesma Interface importante frisar que todos os dispositivos de hardware devem ser suportados pelo FreeBSD ou pelo Linux Antes de adquirir qualquer componente necess rio primeiro se verificar se um destes sistemas operacionais nas vers es suportadas pelo Firewall Aker aceita este componente Para maiores informa es sobre os sistemas operacionais Linux ou FreeBSD ou para se verificar se um componente ou n o suportado por eles sugerimos um dos seguintes endere os e WWW http www br freebsd org FreeBSD portugu s http www freebsd org FreeBSD ingl s http www linux org Linux ingl s http www kernel org Linux ingl s http www redhat com Linux ingl s http www conectiva com br Linux portugu s
380. nterface gr fica ser replicada automaticamente para o outro firewall 30 2 Utilizando a interface texto A utiliza o da interface texto na configura o da toler ncia a falhas bastante simples Localiza o do programa etc firewall fwcluster Sintaxe fwcluster ajuda mostra fwcluster interface controle lt if gt fwcluster peso lt peso gt fwcluster lt habilita desabilita gt fweluster lt inclui remove gt lt if gt maquina f fwcluster lt modo gt lt if gt multicast igmp lt ip gt mac lt mac gt unicast Ajuda do programa Firewall Aker Versao 5 1 Uso fwcluster ajuda mostra EFwCluster anterrace controle lt if gt fwcluster peso lt peso gt fwcluster lt habilita desabilita gt fwcluster lt inclui remove gt lt if gt maquina f fwcluster lt modo gt lt if gt multicast igmp lt ip gt mac lt mac gt unicast onde ac entidade interface peso peso deste firewall no cluster maquina endereco IP virtual a remover ou incluir entidade maquina Exemplo 1 mostrando a configura o Como efeito did tico ser explanada a topologia de uma rede com tr s firewalls em cluster e duas redes rede 192 e rede 10 IP 10 0 0 xx Fire nal E Flre wall A Firewall 172 16 0 1 ITD 160 3 f2 168 1 3 WE IF 32 168 i xI GW 152 165 1 4 Antes que se Inicie a montagem do cluster primeiramente devem ser cadastradas todas as interfaces lem
381. nterligados atrav s da Internet ou de outro meio qualquer Os pontos de entrada e sa da do canal s o os dois firewalls o que significa que toda a criptografia feita transparentemente por eles e nenhum software adicional necessita ser instalado em nenhuma m quina cliente A nica limita o desta solu o que ela exige a presen a de dois firewalls um na entrada de cada rede para que o canal seguro possa ser criado e Canais seguros Cliente Firewall Estes canais s o suportados pelo Firewall Aker a partir da vers o 3 10 Eles permitem com que uma m quina cliente Windows 95 Windows 98 Windows NT ou Windows 2000 estabele a um canal seguro diretamente com um Firewall Aker Para tanto necess ria a instala o de um programa chamado de cliente de criptografia Aker em cada uma destas m quinas A principal vantagem desta tecnologia possibilitar com que clientes acessem uma rede coorporativa atrav s de linhas discadas com total seguran a e transpar ncia transpar ncia na medida em que as aplica es que estejam rodando na m quina com o cliente de criptografia instalado desconhecem sua exist ncia e continuam funcionando normalmente Apesar de bastante til esta tecnologia possui algumas desvantagens e limita es e necess rio a instala o de um software cliente de criptografia Aker em todas as m quinas clientes e O cliente de criptografia n o est dispon vel para todas as plataf
382. nternas s ser o aceitos pacotes das entidades cadastradas e das externas somente pacotes cujo IP origem n o se encaixe em nenhuma entidade cadastrada nas redes internas todas O administrador do firewall deve ent o fazer o levantamento destas redes criar as entidades correspondentes e utilizar a interface gr fica para montar a prote o 12 6 Utilizando a interface gr fica para Anti Spoofing Dispositivos remotos Configuration Managers E O Firewalls ly Firewall Azul ll Firewall Verde E S Configura o do Firewall 4 Sy Configura es do Sistema Criptografia E Ferramentas GE Informa o alps t Prote o de Flood not SYN Flood Anti Spoofing Configura o controle anti spooting e egress filtenng do firewall e Clicar no menu Seguran a na janela do Firewall e Escolher o item Anti Spoofing A janela de configura o de Anti Spoofing Anti Spoofing Firewall Verde Atrra o do controle anti spoofing IP do Firewall 192 168 1 45 IF do Cliente 192 168 115 Interface Status Tipo Entidades dE Protected E Rede DMZ oA Rede Verde 1 gi Protected EA Rede Interna Cancelar e O bot o OK far com que os par metros de configura o sejam atualizados e a janela fechada e O Bot o Cancelar far com que todas as altera es feitas sejam desprezadas e a janela fechada e O bot o Aplicar enviar para o firewall todas as altera es feitas por m manter a janela a
383. ntica o s o permitidas quais autenticadores devem ser pesquisados na hora de autenticar um determinado usu rio e em qual ordem Al m disso eles controlam a forma com que a pesquisa feita permitindo uma maior ou menor flexibilidade para as autentica es 19 1 Utilizando a interface gr fica Para ter acesso a janela de par metros de autentica o basta Dispositivos remotos Configuration Managers E O Firewalls ly Firewall Azul E Configura o do Firewall A Autentica o 4 Bloqueio de Banners Entidades SH NAT ef Perfis E Proxy Socks we Prop Wiha Regras de filtragem pai Confiqura es do Sistema Criptografia vd Ferramentas Informa o ee Seguran a dh Firewall Verde Autentica o Configura o subsistema de autentica o de usu rios do firewall e Clicar no menu Configura o do Firewall da janela Firewalls e Selecionar o item Autentica o A aba de Controle de Acesso I gt Autentica o Firewall Azul q 4 E ie Controle de acesso i Metodos i Autentica o para Proxies sl Controle de Acesso por IP amp Autentica o local Es a j Autenticador l U suano Grupo Perfil Entidades E Perfil Padr o e8 Perfil Essa janela consiste de quatro partes distintas a primeira aba corresponde ao Controle de Acesso onde os usuarios e grupos de autenticadores sao associados com perfis de acesso A configura o desta aba ser
384. ntidades compostas de nomes com as mesmas letras por m com combina es distintas de mai sculas e min sculas As entidades Aker AKER e aker s o portanto consideradas diferentes cone o cone que aparecer associado ao servi o em todas as refer ncias Para alter lo basta clicar sobre o desenho do cone atual O firewall ent o mostrar uma lista com todos os poss veis cones para representar servi os Para escolher entre eles basta clicar no cone desejado e no bot o OK Caso n o se deseje alter lo ap s ver a lista basta clicar no bot o Cancelar Protocolo o protocolo associado ao servi o TCP UDP ICMP ou OUTROS Servi o o n mero que identifica o servi o No caso dos protocolos TCP e UDP este n mero a porta destino No caso de ICMP o tipo de servi o e no caso de outros protocolos o n mero do protocolo Para cada protocolo o firewall possui uma lista dos valores mais comuns associados a ele de modo a facilitar a cria o do servi o Entretanto poss vel colocar valores que n o fa am parte da lista simplesmente digitando os neste campo Caso se deseje especificar uma faixa de valores ao inv s de um nico valor basta se clicar no bot o ao lado dos nomes De e Para e especificar o menor valor da faixa em De e o maior em Para Todos os valores compreendidos entre estes dois Inclusive ser o considerados como fazendo parte do servi o Proxy Este campo s se encontra habilit
385. ntro de um determinado per odo definido no campo seguinte d0 8 9 Define o tempo que o firewall ir atualizar a janela com informa es de log iN al q Percorre o Log para frente e para tr s Expandir ae Exp Expande as mensagens de Log mostrando as mesmas com o m ximo de informa o Ao clicar no cone de filtro a janela abaixo ira aparecer A Janela de Filtragem de Log Filtro de Log Filtros os Salvar Remover Novo Data Hora De 23 10 2003 19 49 36 At Endere o Origem do pacote Destino do pacote Entidade Entidade IF a i IF Mascara M scara Porta fg Avaricada Filtragem o Prordade M dulo Protocolo Aceito nail Aviso Filtragem TCP Rejeitado a Nota Convers o CYH Descartado a 4 Informa o Criptografia UDP Convertido wi Depura o IPSEC ICMP Clustering Finke Na parte superior da janela encontram se os bot es Salvar Remover e Novo Permite gravar um perfil de pesquisa que poder ser usado posteriormente pelo administrador Para salvar um filtro de log deve se proceder da seguinte forma 1 Preenche se todos os seus campos da forma desejada 2 Define se no campo Filtros o nome pelo qual ele ser referenciado 3 Clica se no bot o Salvar Para se aplicar um filtro salvo basta selecionar seu nome no campo Fi
386. nviadas e usr src sys objs cont m os objetos pr compilados do firewall usados para gerar um novo kernel para o sistema apenas no FreeBSD Programas execut veis Programas que podem ser executados pelos administradores do Firewall Aker e etc firewall fwadmin Interface texto para administra o de usu rios e etc firewall fwaction Interface texto para configura o das a es do sistema e etc firewall fwblink Interface texto para configura o do balanceamento de links e etc firewall fwchave Interface texto para configurar chave de ativa o do sistema e etc firewall fwcert Interface texto para configurar os certificados de criptografia e etc firewall fwclient Interface texto para a configura o do acesso dos clientes de criptografia e etc firewall fwcluster Interface texto para a configura o da toler ncia a falhas e etc firewall fwcripto Interface texto para configura o da criptografia e autentica o lt gt etc firewall fwedpwd Interface texto para configura o das bases de dados para autentica o local e etc firewall fwent Interface texto para a cria o de entidades e etc firewall fwflood Interface texto para configura o da prote o contra SYN flood e etc firewall fwids Interface texto para a configura o do suporte a agentes de detec o de intrus o e etc firewall fwaccess Interface texto para a configura o das associa es de perfis de acesso e et
387. o Ally Caso um usu rio n o possua nenhum atributo de autoridade ent o este ter permiss o apenas para visualizar a configura o do firewall e compactar os arquivos de log e de eventos e Configura o do Firewall Se esta permiss o estiver marcada o usu rio em quest o poder administrar o firewall Isto alterar a configura o das entidades regras de filtragem convers o de endere os criptografia proxies e par metros de configura o que n o estejam relacionados ao log e Configura o do Log Se esta op o estiver marcada o usu rio em quest o ter poderes para alterar os par metros relacionados ao log como por exemplo tempo de perman ncia do log alterar a configura o da janela de a es tanto as mensagens quanto os par metros e apagar permanentemente o log e os eventos e Controle de Usu rios Se esta op o estiver marcada o usu rio em quest o ter acesso janela de administra o de usu rios podendo incluir editar e excluir outros usu rios 3 Um usuario que possuir esta autoridade somente podera criar editar ou excluir usuarios com autoridades iguais ou menores as que ele possuir por exemplo se um usuario tiver poderes de gerenciar usuarios e configurar log entao ele podera criar usuarios que nao possuam nenhuma autoridade que somente possam configurar o log que somente possam criar novos usu rios ou que possam gerenciar usu rios e configurar log Ele n o poder
388. o TCP stad a Permiss es e Servi o hp E Criar Diret rio C Upload de Arquivo O Inicio 7 echo Rn EA C Apagar Diret rio Apagar Arquivo Fim echo eae ES Listar diret rio Reromear arquivo Proxy FTP C Download de arquivo Na janela de propriedades s o configurados todos os par metros de um contexto associado a um determinado servi o Ela consiste dos seguintes campos Somente aceita conex es de m quinas com DNS reverso v lido Se esta op o estiver marcada somente ser o aceitas conex es de m quinas cujo DNS reverso esteja configurado e aponte para um nome v lido N mero m ximo de conex es simult neas Este campo define o n mero m ximo de sess es FTP que podem estar ativas simultaneamente neste contexto Caso o n mero de sess es abertas atinja este limite os usu rios que tentarem estabelecer novas conex es ser o informados que o limite foi atingido e que devem tentar novamente mais tarde Tempo limite de inatividade Este campo define o tempo m ximo em segundos que o proxy pode ficar sem receber dados da sess o FTP e ainda consider la ativa O valor deste campo deve ser menor ou igual ao valor configurado no campo Tempo limite TCP nos par metros de configura o globais para maiores informa es veja o cap tulo intitulado Configurando os par metros do sistema Criar diret rio Se esta op o estiver desmarcada n o ser poss vel a cria o de diret rios atra
389. o algumas entradas ser o precedidas por uma mensagem especial em formato de texto que trar informa es adicionais sobre o registro o significado de cada tipo de registro ser mostrado no pr ximo t pico Observa es importantes e Os registros ser o mostrados de 100 em 100 e S ser o mostrados os primeiros 10 000 registros que se enquadrem no filtro escolhido Os demais podem ser vistos exportando o log para um arquivo ou utilizando um filtro que produza um n mero menor de registros e No lado esquerdo de cada mensagem ser mostrado um cone colorido simbolizando sua prioridade As cores tem o seguinte significado Azul Depura o Verde Informa o Amarelo Nota Vermelho Aviso e Ao se clicar com o bot o esquerdo sobre uma mensagem aparecer na parte Inferior da tela uma linha com informa es adicionais sobre o registro lly 5 Ao se apagar todo o log nao existe nenhuma maneira de se recuperar as informa es anteriores A nica possibilidade de recupera o a restaura o de uma c pia de seguran a il 3 Se a op o Expande mensagens estiver marcada e se tiver escolhido a op o de exporta o em formato texto o log ser exportado com as mensagens complementares caso contr rio o log ser exportado sem elas Esta op o bastante til para se enviar uma c pia do log para alguma outra pessoa para se guardar uma c pia em formato texto de informa es importantes ou para se importar
390. o os campos correspondentes ao endere o e m scara ser o mostrados em branco Para se configurar ou modificar o endere o IP ou m scara de uma interface deve se clicar sobre a entrada do dispositivo correspondente e usar o menu suspenso que ir surgir Inserir Aliases Ea Inserir YLAN E Usar PPPoE Neste mesmo menu pode se atribuir um alias para a interface ou criar uma VLAN associada a esta interface Uma VLAN usa o sistema de VLAN tagging 802 1q para permitir que com uma conex o somente ao switch se tenha acesso a todas as suas VLANs inclusive controlando o acesso entre elas Para cada uma uma interface virtual ser criada dentro do Firewall Este menu tamb m possui a op o Usar PPPoE Esta op o permite que se defina que esta interface trabalhar com PPPoE usado basicamente para a conex o com modems ADSL Ao ser selecionada a seguinte janela ser mostrada Configura es PPPoE sad Mome do dispositive pppl Usar a rota padr o do servidor Servi o PPPoE ativado sob demanda Mome do usu rio Senha Confirma o Nome do dispositivo Este campo indica o nome do dispositivo interno que ser utilizado na comunica o PPPoE E importante que no caso de que haja mais de uma interface trabalhando em PPPoE que eles sejam distintos Usar a configura o de DNS do servidor Se esta op o estiver marcada o firewall utilizar como servidor de DNS o valor recebido atrav s
391. o Aker Firewall como balanceamento de link e de carga do servidor Aviso Todas as regras existentes ser o desabilitadas se voc completar este assistente 2 Informe as redes que necessitar o acessar a Internet Assistente NAT Redes necessitando acessar a Internet Por favor selecione as redes que precisar o acessar a Internet compartilhando um endere o IP pass vel de roteamento Isso ser feito atrav s de uma regra NAT do tipo H 1 i e mascaramento de IF Redes disponiveis Coluna 1 Coluna 2 Adicionar Fede Rede 255 255 255 255 0 0 0 0 z a Inclur Excluir Redes que ir o acessar a Internet utilizando HAT Coluna 1 Colunas afy Rede Interna Rede 65 5555 567255 255 255 0 3 Escolha o IP da Maquina virtual para realizar a convers o N 1 Assistente NAT Redes necessitando acessar a Internet Por favor selecione a entidade que cont m o endere o IP que suas redes ir o utilizar quando acessarem a Internet Maquina virtual Adicionar Maquina Todas as redes listadas esquerda ao acessar a Internet utilizando a maquina virtual indicada na direita Uma maquina virtual um endere o IP valido que ser utilizado por todas as redes listadas quando estas se conectarem a servidores da Internet Entidade D ESCTII O arg Rede Interna Rede 55 55 55 55 255 255 255 0 Maquina Virtual Jeg l CS 200120 21015 SUA aa ae 4 Escolha a op o Sim caso queira
392. o alguma m quina interna da rede for administrar o firewall o seu endere o n o convertido e a administra o seja poss vel Estaria tamb m correto em especificar as m quinas que s o administradoras Entidade Origem e a Interface por onde iremos administrar o firewall Entidade de Destino com a op o de Sem tradu o Na regra 2 o servidor serverl far uma convers o de 1 1 para o endere o 200 120 210 15 ou seja caso algu m da Internet procure pelo IP 200 120 210 15 ser enviado para o servidor serverl IP 10 20 0 50 Do mesmo modo caso o servidor serverl originar conex o para Internet o seu IP ser 200 120 210 15 A regra 3 por analogia e identica a regra 2 o servidor servidor web aker far convers o de 1 1 para o endere o 200 120 210 25 A regra 4 o exemplo de balanceamento de carga Algu m da Internet procurando pela m quina 200 120 210 20 ser enviado para o NT3 NT2 ou NTI Isto depender do c lculo a ser realizado pelo firewall No caso abaixo os pesos s o diferentes portanto a m quina NT3 que possui o peso 4 a que receber a maior quantidade de conex es Caso as m quinas NT tenham de originar conex es para Internet elas tamb m ter o seus endere os convertidos para 200 120 210 20 A regra 5 de convers o de N 1 ou seja qualquer m quina da Rede Interna 10 20 0 0 com m scara 255 255 255 0 ter o seu endere o convertido para 200 120 210 16 quando as mesmas originarem conex o para a
393. o atendendo requisi es Isto feito com o objetivo de aumentar a performance Wily Normalmente deve se trabalhar com valores entre 5 e 60 neste campo dependendo do n mero de m quinas clientes que utilizar o o proxy cabe ressaltar que uma nica m quina costuma abrir at 4 conex es simult neas ao acessar uma nica p gina WWW O valor O inviabiliza a utiliza o do proxy e Bloqueio Essa op o permite se configurar qual a o deve ser executada pelo firewall quando um usu rio tentar acessar uma URL n o permitida Ela consiste das seguintes op es Mostra mensagem padr o ao bloquear URL Se essa op o estiver selecionada o firewall mostrar uma mensagem de erro informando que a URL que se tentou acessar se encontra bloqueada Redireciona URL bloqueada Se essa op o estiver selecionada o firewall redirecionar todas as tentativas de acesso a URLs bloqueadas para uma URL especificada pelo administrador Nesse caso deve se especificar a URL para qual os acessos bloqueados ser o redirecionados sem o prefixo http no campo abaixo Pasta controle de conte do Proxy WWW Firewall Verde DEI A Ativar Proxy WPA Geral Controle de Conte do Antivirus Tipos de Arguivo Analizador de URL Analsador de URL a ser utilizado W Analizador e Bloqueio Mostrar a mensagem padr o ao bloquear uma URL Redirecionar URL bloqueada http un aker com br Controle 55L Permitir HTTPS apenas
394. o comando sysctl com a seguinte sintaxe neste caso deve se aumentar o numero de processos e de descritores de arquivos este ultimo deve ser duas vezes maior que o primeiro sysctl w kern maxproc xxxxx sysctl w kern maxfiles 2 xxxxx No Linux s existe uma op o recompilar o kernel Nesse caso deve se aumentar a vari vel NR TASKS para um valor maior o Maximo 8192 e o default 512 Essa vari vel esta localizada no arquivo usr include linux tasks h Muitas vezes necess rio testar as m quinas por interm dio dos comandos tracert do Windows ou traceroute nos Unix para tanto como seria as configura es necess rias nas regras do firewall para que estes comandos possam ser executados e os resultados chegarem na m quina de origem Para possibilitar que os pacotes de tracert ou traceroute tenham a passagem liberada no firewall fa a o seguinte 1 Cadastre a entidade Traceroute servi o englobando um intervalo de portas UDP entre 30 000 e 40 000 2 Crie regras habilitando a passagem dos pacotes de acordo com a configura o abaixo Origem Internet Destino Rede a partir da qual se vai realizar o traceroute ou tracert Servi os Echo Reply Destination Unreachable Time Exceeded A o Aceita Origem Rede a partir da qual se vai realizar o traceroute ou tracert Destino Internet Servi os Echo Request Traceroute A o Aceita ATEN O O uso do intervalo de porta de 30 000 at 40 000 neces
395. o de regra No caso da figura abaixo foi criado um canal de 500K bits e aplicado nas regras 8 e 9 O servidor Correio SMTP possui prioridade no tr fego pois a prioridade para ele no canal est como Muito alto Regras de filtragem Firewall Azul N Orom Desio Senicos cundda Cama J o Mesi es log How A A Geral do Firewall A Fluxo Interna gt DHZ a Fluxo DHZ gt Interna 8 es Correio SMTP sa server SMTP limite500 Muito a gt E server imite500 Normal 3 a todos ICMP todos Outros todos TCP todos UDP Coment rio Libera ftp para WT 2 V 104 Rede DMZ dy Rede Intema Para ajustes de prioridade de canal basta clicar como o bot o direito na entidade Canal e escolher a prioridade pelo bot o deslizando Veja a figura abaixo Regras de filtragem Firewall Azul Seles Origem Destino Servings Acumuladar Canal A o Restri es Log Hora 4 g 4 Correio SMTP El server ES SMTP SA intern Muito mS E B a A 9 SENT E server ES FTP SA inie ns JE todos ICMP x Apagar 10g Rede DMZ Rede Intema S todos Outros Copiar E todos TCP l todos UDP Es Colar Fluxo Interna gt Internet 1 Desabiltado Alt 5hift E l Tempo real Prioridade do canal amp Fluxo DMZ gt Internet Nenhuma Muito alta Fluxo Internet gt DMZ gt limite500 pe Alta E E Coment rio Libera ftp para NT L gt Normal v Baixa selar Muito
396. o de pacotes de abertura de conex o com um endere o de origem forjado para um determinado servidor Este endere o de origem forjado para o de uma m quina inexistente muitas vezes se usa um dos endere os reservados descritos no cap tulo sobre convers o de endere os O servidor ao receber estes pacotes coloca uma entrada na fila de conex es em andamento envia um pacote de resposta e fica aguardando uma confirma o da m quina cliente Como o endere o de origem dos pacotes falso esta confirma o nunca chega ao servidor O que acontece que em um determinado momento a fila de conex es em andamento do servidor fica lotada A partir da todos os pedidos de abertura de conex o s o descartados e o servi o inutilizado Esta inutiliza o persiste durante alguns segundos pois o servidor ao descobrir que a confirma o est demorando demais remove a conex o em andamento da lista Entretanto se o atacante persistir em mandar pacotes seguidamente o servi o ficar inutilizado enquanto ele assim o fizer WI e Nem todas as m quinas s o pass veis de serem atingidas por ataques de SYN Flood Implementa es mais modernas do protocolo TCP possuem mecanismos pr prios para inutilizarem ataques deste tipo Como funciona a prote o contra SYN flood do Firewall Aker O Firewall Aker possui um mecanismo que visa impedir que um ataque de SYN flood seja bem sucedido Seu funcionamento se baseia nos seguintes pass
397. o de usuario Entre o login administrador Entre o nome completo Administrador do Firewall Aker Entre a senha Confirme a senha Confirma inclus o do usuario 7 S N Ap s se ter ou n o inclu do o administrador ser mostrada uma mensagem perguntando sobre o cadastro de um segredo compartilhado para administra o do Firewall atrav s do Aker Configuration Manager Se voc n o tem este produto responda n o caso contr rio consulte o manual do mesmo Caso se tenha definido que se ira compilar um novo kernel o programa de instala o mostrar uma ltima tela informando que ele iniciar a compila o de um novo kernel para a m quina com base no arquivo de configura o do kernel chamado usr src sys 1386 conf FIREWALL Firewall Aker v5 1 Programa de Instalacao Irei agora realizar a compilacao do kernel para instalar o Firewall Aker nesta maquina Esta compilacao pode levar de 5 a 40 minutos dependendo Sua configuracao e da velocidade de sua maquina Pressione enter para continuar AO se pressionar enter o programa iniciar a compila o do novo kernel Ap s compilar e Instalar o novo kernel ele solicitar que a m quina seja reinicializada para ativar o Firewall Aker Ao se reinicializar a m quina o firewall j entrar em funcionamento automaticamente e poder ser configurado remotamente Instalando o Firewall no sistema operacional Linux O programa fwinst o respons vel por efetuar a insta
398. o deve ter o nome netbios do servidor e seu n mero IP Exemplo exchange 200 200 20 35 Para verificar se o mesmo esta correto de um lt ping exchange gt o qual ser feita a resolu o para o nome informado Compartilho o meu proxy SQUID do meu departamento com outros proxies tamb m SQUID dentro da minha empresa sendo o meu PARENT dos outros O problema que os proxies filhos n o completam as requisi es web Todos os outros departamentos tamb m s o protegidos pelo Firewall Aker Como resolver O SQUID utiliza normalmente a porta 3128 para receber as transa es web ou outra que o administrador configurar entretanto quando formado uma array ou um parentesco entre os proxies SQUID para melhor utiliza o dos caches necess rio que seja liberado a transa o de pacotes ICP na porta 3130 Estes pacotes levam as informa es dos ndices dos caches Para resolver o problema atente para os seguintes casos 1 Caso o seu squid seja o pai e n o haja registro nas suas configura es de quais s o os filhos basta apenas acrescentar na regra que libera o acesso ao proxy o servi o ICP j cadastrado de f brica 2 Caso haja o registro de parentesco no seu SQUID PARENT e SIBLING devem existir regras permitindo o envio e o recebimento dos pacotes icp para as m quinas em quest o Como enviar as mensagens do firewall para um pager via e mail 1 Instale na sua m quina Firewall Aker os seguintes os pacotes tcl tk e
399. o disco local Com isso o controle de diversos firewalls pode ser centralizado facilitando a auditoria Servidor de Log Remoto Esta op o indica o servidor de log remoto para o qual o log eventos estat sticas ser o enviados Logar Tradu o de Endere o de Rede NAT Habilita o registro no log do sistema das convers es de endere os feitas pelo firewall Valor padr o Convers es de endere o n o devem ser logadas Mesmo com esta op o ativa somente ser o logados os pacotes convertidos atrav s das convers es 1 N e N 1 As convers es por outros tipos de regras n o ser o registradas A ativa o desta op o n o traz nenhuma informa o importante e deve ser utilizada apenas para fim de testes ou para se tentar resolver problemas Logar syslog do Unix Habilita o envio do log e dos eventos do firewall para o daemon de log do Unix o syslogd Valor padr o N o envia log para o syslogd Caso se habilite esta op o os registros de log ser o enviados para a fila local e os de eventos para a fila locall WI 5 Esta op o n o altera em nada o registro interno do log e dos eventos realizado pelo pr prio firewall e Aba Seguran a Par metros de configura o Firewall Azul ts Global Log Seguran a W SNMP Monitoramento Permitir pacotes com rota para origem Suporte FTP Suporte ao Real Audio Suporte RTSP Z ok ada e Par metros de Seguran a Permitir pacotes co
400. o do agente SNMP 149 Altera o dos perfis de acesso Esta mensagem indica que o administrador que estava com a sess o de administra o aberta alterou a lista de perfis de acesso 150 Altera o da lista de controle de acesso Esta mensagem indica que o administrador que estava com a sess o de administra o aberta alterou a lista de controles de acesso 151 Altera o de par metros de autentica o Esta mensagem indica que o administrador que estava com a sess o de administra o aberta alterou os par metros globais de autentica o 152 Altera o de entidades Esta mensagem indica que o administrador que estava com a sess o de administra o aberta alterou a lista de entidades do sistema 153 Altera o de par metros WWW Esta mensagem indica que o administrador que estava com a sess o de administra o aberta alterou os par metros WWW 154 Altera o da configura o do proxy SOCKS Esta mensagem indica que o administrador que estava com a sess o de administra o aberta alterou algum dos par metros de configura o do proxy SOCKS 155 Remo o de conex o ativa Esta mensagem indica que o administrador que estava com a sess o de administra o aberta removeu uma das conex o ativas A mensagem complementar indica se a conex o removida era TCP ou UDP 156 Remo o de sess o de usu rio ativa Esta mensagem indica que o administrador que estava com a sess o de administra
401. o do cabe alho da mensagem e sua utilidade bastante limitada Pesquisa Tipo de pesquisa a ser executada no campo definido acima S o elas e CONT M O campo a ser pesquisado deve conter o texto informado em qualquer posi o e N O CONT M O campo a ser pesquisado n o pode conter o texto informado e O conte do do campo a ser pesquisado deve ser exatamente igual ao texto informado e N O O conte do do campo a ser pesquisado deve ser diferente do texto informado e COME A COM O conte do do campo a ser pesquisado deve come ar com o texto informado e N O COME A COM O conte do do campo a ser pesquisado n o pode come ar com o texto Informado e TERMINA COM O conte do do campo a ser pesquisado deve terminar com o texto informado e N O TERMINA COM O conte do do campo a ser pesquisado n o pode terminar com o texto informado e CONT M PALAVRAS Neste tipo de pesquisa o texto informado considerado como formado por palavras individuais separadas por espa os ao inv s de um texto cont nuo Para se enquadrar na pesquisa o campo em quest o deve conter todas as palavras informadas independente de sua posi o Texto Texto a ser pesquisado Este campo tratado como um texto cont nuo que ser comparado com o campo especificado exceto no caso da pesquisa CONT M PALAVRAS quando ele tratado como diversas palavras separadas por espa os Em ambos os casos letras mai sculas e min sculas s o co
402. o esque a de tornar esse arquivo execut vel deste modo chmod x cheque 14 Fa a um teste para ver se o script est funcionando cheque gt dever chegar um email na sua caixa postal como o exemplo PROGRESS validating integrity of bin STATUS passed PROGRESS validating integrity of etc STATUS passed PROGRESS validating integrity of lib STATUS passed PROGRESS validating integrity of sbin STATUS passed 15 Para finalizar fa a este script rodar tantas vezes quanto voc queira utilizando o crontab De os seguintes comandos crontab e tecle 1 digite lt 20 00 0 7 usr local sbin cheque gt roda o comando todo dia 00 20 tecle lt gt e depois lt wq gt para gravar as configura es crontab usa vi 16 Pronto o firewall agora possui mais uma ferramenta para evitar qualquer surpresa Ap ndice C Copyrights e Disclaimers Neste ap ndice est o listados os disclaimers das bibliotecas e c digos fontes de terceiros utilizadas no Firewall Aker Estes disclaimers se aplicam apenas s partes explicitamente citadas e n o ao Firewall Aker como um todo Eles est o citados aqui devido a exig ncias das entidades desenvolvedoras Biblioteca DES Copyright C 1995 Eric Young eay mincom oz au All rights reserved This library and applications are FREE FOR COMMERCIAL AND NON COMMERCIAL USE as long as the following conditions are aheared to Copyright remains Eric
403. o funcionamento de uma m quina ou de um servi o espec fico No caso do SYN Flood consegue se inutilizar quaisquer servi os baseados no protocolo TCP Para se entender este ataque necess rio primeiro se entender o funcionamento do protocolo TCP no que diz respeito ao estabelecimento de conex es O protocolo TCP utiliza um esquema de 3 pacotes para estabelecer uma conex o 1 A maquina cliente envia um pacote para a m quina servidora com um flag especial chamado de flag de SYN Este flag indica que a m quina cliente deseja estabelecer uma conex o 2 m quina servidora responde com um pacote contendo os flags de SYN e ACK Isto significa que ela aceitou o pedido de conex o e est aguardando uma confirma o da m quina cliente para marcar a conex o como estabelecida 3 A m quina cliente ao receber o pacote com SYN e ACK responde com um pacote contendo apenas o flag de ACK Isto indica para a m quina servidora que a conex o foi estabelecida com sucesso Todos os pedidos de abertura de conex es recebidas por um servidor ficam armazenados em uma fila especial que tem um tamanho pr determinado e dependente do sistema operacional at que o servidor receba a comunica o da m quina cliente de que a conex o est estabelecida Caso o servidor receba um pacote de pedido de conex o e a fila de conex es em andamento estiver cheia este pacote descartado O ataque consiste basicamente em se enviar um grande n mer
404. o log por um analisadores de log citados acima Ao ser clicado ser mostrada a seguinte janela Exportar para Look ir D NeFgLog l tut NeFgLog00t tst E setting tet E teste tet Cancel File name nave Origem 10 23 2003 2407 Destino 10 23 2003 25 59 Exportando dados Por favor aguarde Atual 10 23 2005 23 56 Cancelar Para exportar o conte do do log basta fornecer o nome do arquivo a ser criado escolher seu formato e clicar no bot o Salvar Para cancelar a opera o clique em Cancelar il 5 Se ja existir um arquivo com o nome informado ele ser apagado e O bot o Pr ximos representado como uma seta para a direita na barra de ferramentas mostrar os pr ximos 100 registros selecionados pelo filtro Se n o existirem mais registros esta op o estar desabilitada e O bot o ltimos representado como uma seta para a esquerda na barra de ferramentas mostrar os 100 registros anteriores Se n o existirem registros anteriores esta op o estar desabilitada e O bot o Ajuda mostrar a janela de ajuda espec fica para a janela de log 14 2 Formato e significado dos campos dos registros do log Abaixo segue a descri o do formato de cada registro seguido de uma descri o de cada um dos campos O formato dos registros o mesmo para a interface gr fica e para
405. o momento que uma nova conex o for estabelecida Caso este tempo seja atingido sem que o cliente fa a uma requisi o a conex o ser cancelada resposta Este par metro define o tempo m ximo em segundos que o proxy aguarda por uma resposta de uma requisi o enviada para o servidor WWW remoto ou para o servidor de cache caso a op o habilita cache esteja ativa Caso este tempo seja atingido sem que o servidor comece a transmitir uma resposta a conex o com o servidor ser cancelada e o cliente receber uma mensagem de erro HTTPS Este par metro define o tempo m ximo em segundos que o proxy pode ficar sem receber dados do cliente ou do servidor em uma conex o HTTPS sem que ele considere a conex o inativa e a cancele keep alive Este par metro define quanto tempo um usu rio pode manter uma conex o keep alive HTTP 1 1 com o proxy inativa antes que o proxy a encerre liberando o processo para outro usu rio Recomenda se manter este tempo bastante baixo para evitar o uso desnecess rio de todos os processos do sistema e Performance N mero de processos Este campo define o n mero de processos do proxy WWW que v o permanecer ativos aguardando conex es Como cada processo atende uma nica conex o este campo tamb m define o n mero m ximo de requisi es que podem ser atendidas simultaneamente il 3 Por raz es de performance os processos do proxy WWW ficar o ativos sempre independente de estarem ou n
406. o proxy POP3 transparente encontrou um erro ao gravar a mensagem em espa o de armazenamento tempor rio 216 Falta de espa o gravando arquivo Esta mensagem indica que faltou espa o em disco para o proxy POP3 transparente gravar as mensagens recebidas 217 Erro de sintaxe no email POP3 erro de parser Esta mensagem indica que o proxy POP3 transparente recebeu uma mensagem incorretamente formatada e a descartou por n o poder analis la 218 Entrando em modo STLS nenhuma analise poss vel Esta mensagem indica que o firewall entrou em modo STLS Entre em contato com o suporte t cnico para a solu o 219 Erro recebendo dados do firewall servidor Esta mensagem indica que o firewall servidor do cluster n o esta recebendo os dados corretamente Verifique o segmento de rede de troca informa o dos firewalls cooperativos 220 Erro enviando dados do firewall servidor Esta mensagem indica que o firewall servidor do cluster n o esta enviando os dados corretamente Verifique o segmento de rede de troca informa o dos firewalls cooperativos 221 Erro de processamento no firewall servidor Esta mensagem indica que o firewall servidor do cluster n o esta processando os dados corretamente Verifique o firewall servidor quanto a espa o em disco e processador 222 Erro alterando a configura o do firewall Esta mensagem indica que o firewall servidor do cluster n o esta conseguindo alterar as configura es dos o
407. ocia o de chaves IPSEC fwiked n o esta conseguindo se comunicar com os m dulos do Firewall que executam dentro do kernel do sistema operacional para inserir uma regra de libera o da comunica o com seus pares 183 Sucesso ativando a SA negociada Esta mensagem indica que o daemon de negocia o de chaves IPSEC fwiked estabeleceu e instalou nos demais m dulos do Firewall um canal de criptografia IPSEC corretamente 184 Negocia o de IKE falhou olhar mensagens complementares Esta mensagem indica que houve um problema durante a negocia o de chaves IPSEC Verifique as mensagens complementares para obter mais detalhes Geralmente uma pequena mudan a de configura o resolve rapidamente o problema 185 Erro lendo mudanca de estado do cluster Esta mensagem indica que houve um erro quando da leitura do estado do cluster dentro do trabalho cooperativo Verifique o segemento de rede onde estao instalados os firewalls 186 Erro enviando mudanca de estado ao cluster Esta mensagem indica que houve um erro quando enviando mudanca do estado do cluster dentro do trabalho cooperativo Verifique o segemento de rede onde estao instalados os firewalls 187 Notifica o do fwiked olhar mensagens complementares Estam mensagem uma mensagem gen rica de notifica o do daemon de negocia o de chaves IPSEC Verifique as mensagens complementares para obter mais detalhes 188 Aviso do fwiked olhar mensagens comple
408. odigo ele sera substituido revogacao carrega um certificado de revogacao que sera usado para invalidar um certificado de negociacao comprometido arquivo nome do arquivo do qual o certificado sera carregado f se estiver presente faz com que o programa nao confirme ao substituir um certificado Para remove temos codigo codigo da entidade certificadora a ser removida f se estiver presente faz com que o programa nao confirme ao remover um certificado Exemplo 1 carregando o certificado local etc firewall fwcert carrega local tmp firewall crt Carregando certificado OK Exemplo 2 mostrando os certificados de entidades certificadoras etc firewall fwcert mostra ca Nome Aker Security Solutions Codigo 1 Nome Entidade certificadora autorizada Codigo 2 Exemplo 3 carregando um novo certificado de entidade certificadora t etc firewall fwcert carrega ca tmp novo ca ca Certificado incluido Exemplo 4 removendo um certificado de entidade certificadora sem confirma o etc firewall fwcert remove 2 f Entidade certificadora removida WConfigurando canais Firewall Firewall A utiliza o da interface texto na configura o das regras de criptografia e de autentica o firewall firewall traz uma dificuldade gerada pela grande quantidade de par metros que devem ser passados na linha de comando Esta Interface texto possui as mesmas capacidades da interface gr fica com a exce o de que atrav s de
409. ografia especificado n o implementado Esta mensagem indica que foi negociado um canal de criptografia com um algoritmo n o implementado Escolha outros algoritmos veja se o Configurando canais Firewall Firewall 172 Falhou a expans o da chave criptogr fica Esta mensagem indica que o m dulo IPSEC teve dificuldades em tratar a chave negociada para um canal criptogr fico Esta situa o an mala e n o deve acontecer Por favor contate o suporte t cnico se o Firewall gerar esta mensagem 173 Kernel repassou pacote inv lido Esta mensagem indica que o sistema operacional passou um pacote incorreto para o Firewall Ela ocorre apenas no sistema operacional Linux 174 Falhou ao inserir SA no kernel Esta mensagem indica que foi negociado um canal que j n o existe mais Para solucionar o problema recrie o canal ou aguarde at que todos os m dulos do Firewall saibam da n o exist ncia deste canal 175 Estabelecendo VPN IPSEC para o tr fego Esta mensagem indica que o daemon de negocia o de chaves IPSEC fwiked iniciou o estabelecimento de um canal por necessidade imediata de seu uso 176 fwiked falhou ao iniciar Esta mensagem indica que o daemon de negocia o de chaves IPSEC fwiked n o conseguiu ler suas configura es Recrie as configura es de criptografia para solucionar o problema veja se o Configurando canais Firewall Firewall 177 Erro processando configura o Esta mensagem ind
410. om que se realize filtragems a partir de parte do nome do arquivo anexado Ao ser marcado deve se especificar o tipo de pesquisa a ser efetuada e o texto a ser pesquisado As seguintes op es de pesquisa est o dispon veis e CONT M O nome deve conter o texto informado em qualquer posi o e N O CONT M O nome n o pode conter o texto informado e O conte do do nome deve ser exatamente igual ao texto informado e N O O conte do do nome deve ser diferente do texto informado e COME A COM O conte do do nome deve come ar com o texto informado e N O COME A COM O conte do do nome n o pode come ar com o texto informado e TERMINA COM O conte do do nome deve terminar com o texto informado e N O TERMINA COM O conte do do nome n o pode terminar com o texto informado e CONT M PALAVRAS Neste tipo de pesquisa o texto informado considerado como formado por palavras individuais separadas por espa os ao inv s de um texto continuo Para se enquadrar na pesquisa o nome deve conter todas as palavras informadas independente de sua posi o Ativa o do filtro Caso se tenha especificado filtragem por tipo MIME e por nome esse campo permite especificar se a regra deve ser aplicada Somente se ambos s o verdadeiros valor E ou Se qualquer um for verdadeiro valor OU A o Indica qual a a o a ser tomada pelo firewall quando um arquivo se enquadrar na regra Ela consiste de tr s op es e
411. onado ir aparecer direita da janela Assistente de Entidades Icone da entidade Para facilitar o reconhecimento de uma entidade associe um ICONE 0 icone selecionado val aparecer sempre pr ximo da nova entidade Sele o 6 Finaliza o do cadastramento Ser mostrado um resumo com os dados da entidade Basta se clicar no bot o Finalizar para cadastrar a entidade Assistente de Entidades Parabens Assistente finalizado com sucesso nova entidade descrita logo abaixo est pronta para ser criada servidor web aker IP Address 200 101 15 3 i Vota 6 0 O Filtro de Estados Mostraremos aqui como configurar as regras que propiciar o a aceita o ou n o de conex es pelo firewall Este m dulo o cora o do sistema e onde normalmente se gasta o maior tempo de configura o 6 1 Planejando a instala o WO que um filtro de pacotes Um filtro de pacotes o m dulo que ira decidir se um determinado pacote poder passar atrav s do firewall ou n o Deixar um pacote passar implica em aceitar um determinado servi o Bloquear um pacote significa Impedir que este servi o seja utilizado Para decidir a a o a ser tomada para cada pacote que chega ao firewall o filtro de pacotes possui um conjunto de regras configurado pelo administrador do sistema Para cada pacote que chega o filtro de pacotes percorre este conjunto de regras na ordem em que foi criado verificando se este se encai
412. or removido Se essa op o estiver marcada o firewall enviar uma c pia de todos os arquivos removidos para o administrador Caso ela esteja marcada deve se escolher uma das seguintes op es de envio e E mail Padr o A c pia da mensagem enviada para o e mail padr o definido na janela de propriedades do contexto e outro A c pia da mensagem enviada para o endere o especificado no campo a direita 26 0 Configurando o proxy WWW Neste cap tulo mostraremos para que serve e como configurar o proxy WWW 26 1 Planejando a instala o SO que 0 proxy WWW do Firewall Aker O proxy WWW um programa especializado do Firewall Aker feito para trabalhar com os protocolos que comp em a chamada WWW World Wide Web Dentre entre estes protocolos est o o HTTP HTTPS FTP e Gopher Este proxy WWW possui como principal fun o controlar o acesso dos usu rios Internos Internet definindo quais usu rios podem acessar quais p ginas ou quais podem ou n o transferir arquivos por exemplo Al m disso ele pode bloquear tecnologias consideradas perigosas para algumas instala es como o Active X scripts JavaScript e at applets Java Mais ainda ele possibilita a remo o dos banners das p ginas de forma a aumentar a sua velocidade de carga e reduzir a utiliza o do link Ele um proxy simultaneamente transparente apenas para HTTP e n o transparente para maiores informa es veja o cap tulo intitulado T
413. orb e DSBL Para saber mais acesse o endere o http dsbl org Black list do usu rio S o listas negras configur veis pelo administrador do firewall Ela consiste de uma lista de listas negras cada uma com os seguintes campos Nome Nome pelo qual se se deseja chamar a blacklist URL URL explicativa para ser mostrada para o usu rio que tiver seus e mails recusados Zona a zona completa de DNS que dever ser consultada pelo firewall Caso um endere o IP esteja presente nessa zona e mails vindos dele ser o recusados li S Alguns servicos de black list costumam ter seu funcionamento interrompido temporariamente devido a problemas de natureza judicial Quando isto acontece ou eles se tornam inefetivos ou bloqueiam mais e mails do que deveriam Por favor verifique o funcionamento correto da black list desejada antes de coloca la em uso e Pasta Avancado Z Se rvicos C Autom tico E By ER Nome SMTP Proxy Editar Inserir Apagar Copiar Colar Protocolo TCP BEL DNS Anexos REL Avan ado Servi o 25 smtp _ Inicio 7 Te Permite cabe alho imcompleto sim ae N mero de processos Tempo limite de resposta do cliente Proxy EMTP Tempo limte de resposta do servidor Inicial HELO MAIL REPT DATA DATA END QUIT RESET Configura es Tamanho m ximo da mensagem lo E bytes Ilimitado Registrar na lista de eventos C Envia c pia de todas as mensagens Checagem de DNS
414. ormas e Seo cliente de criptografia est atr s de um firewall acessando a rede protegida por um outro firewall com o qual o canal seguro ser estabelecido a configura o deste ltimo deve ser alterada para possibilitar a passagem do tr fego do canal seguro Neste caso o firewall diretamente na frente do cliente n o ter como controlar seu tr fego seletivamente uma vez que este est encriptado Isso poder acarretar problemas de funcionamento de alguns Servi os Definindo um canal seguro firewall firewall Para definirmos um canal seguro firewall firewall teremos que primeiro escolher dois grupos de m quinas que ir o trocar informa es entre si de forma segura Estes grupos de m quinas ter o seus pacotes autenticados e caso desejado criptografados necess rio que exista um firewall nas duas extremidades do canal Estes firewalls ser o respons veis por autenticar verificar e criptografar decriptar os dados a serem transmitidos e recebidos respectivamente Para se definir os grupos de m quinas ser utilizado o conceito de entidades mostrado no cap tulo intitulado Cadastrando Entidades Pode se utilizar entidades do tipo m quina rede ou conjunto nesta defini o Caso n o se esteja utilizando o protocolo Aker CDP al m das entidades necess rio tamb m se definir o algoritmo que ser usado na autentica o e se for o caso na criptografia Tamb m ser necess rio se definir as chaves de autentica
415. orte rtsp loga conversao loga_syslog syslogd permanencia_log log permanencia_event eventos permanencia_stat serv log remoto end remoto comunidade leitura comunidade escrita fwpar mostra Parametros globais tempo maximo de inatividade para conexoes tempo maximo de inatividade para conexoes aceita pacotes IP direcionados habilita suporte ao protocolo FTP habilita suporte ao procotolo Real Audio habilita suporte ao procotolo RTSP registra mensagens de conversao de enderecos envia mensagens de log e eventos para o tempo de tempo de tempo de servidor endereco permanencia dias dos permanencia dias dos permanencia dias das de log remoto nome da dos tres controladores registros de registris de estatisticas entidade remotos nome da comunidade de leitura para SNMP nome da comunidade de escrita para SNMP Exemplo 1 visualizando a configura o tempo limite tcp 900 segundos tempo limite udp 180 segundos interface externa nco Parametros de seguranca 1p direcionado n o suporte ftp gt Sim suporte real audio sim suporte rtsp gt Sim end remoto s Mp AO Orie d Parametros de configuracao de log loga_conversao nao LOGaA Sys LOG nao permanencia_log sass permanencia_event 7 dias permanencia_stat 7 dias Parametros de configuracao de SNMP comunidade leitura comunidade escrita PA Oi Os Overr So L020 Uea Exemplo 2 habilita
416. os 1 Ao chegar um pacote de abertura de conex o pacote com flag de SYN mostrado no t pico acima para uma m quina servidora a ser protegida o firewall registra 1sso em uma tabela e deixa o pacote passar evidentemente ele s deixar o pacote passar se este comportamento for autorizado pelas regras de filtragem configuradas pelo administrador Para maiores detalhes veja o cap tulo intitulado O filtro de estados 2 Quando chegar a resposta do servidor dizendo que a conex o foi aceita pacote com os flags SYN e ACK o firewall imediatamente enviar um pacote para o servidor em quest o confirmando a conex o e deixar o pacote de resposta passar em dire o m quina cliente A partir deste momento ser acionado um rel gio interno no firewall que marcar o intervalo de tempo m ximo em que o pacote de confirma o do cliente dever chegar 3 Se a abertura de conex o for uma abertura normal dentro de um intervalo de tempo menor que o m ximo permitido a m quina cliente responder com um pacote confirmando o estabelecimento da conex o Este pacote far o firewall considerar v lido o pedido de abertura de conex o e desligar o rel gio interno 4 Caso a m quina cliente n o responda dentro do tempo m ximo permitido o firewall mandar um pacote especial para a m quina servidora que far com que a conex o seja derrubada Com estes procedimentos o firewall consegue impedir que a fila de conex es em andamento na
417. otal de todas as m quinas Persist ncia de Sess o Esse campo permite que se defina o tempo de persist ncia da sess o em protocolos ou aplicativos que utilizem mais de uma conex o em tempos diferentes ou seja o tempo m ximo de espera por uma nova conex o ap s o t rmino da primeira Neste intervalo de tempo as novas conex es ser o direcionadas pelo firewall ao mesmo servidor Observa es sobre a montagem das regras E altamente recomend vel que as regras de convers o sejam colocadas na seguinte ordem Regras de N o Convers o Regras de Convers o de Servi os Regras de Convers o 1 1 Regras de Convers o de Servi os 1 N Regras de Convers o 1 N Regras de Convers o N 1 EN A O SE necessario a inclusao de uma regra de Nao Conversao com origem nas redes Internas e destino nas pr prias redes internas caso se pretenda administrar o firewall por uma m quina interna que participar de qualquer tipo de convers o Essa regra dever estar antes das demais regras de convers o Exemplos Cen rio 1 Convers o de Endere os Suponha que uma empresa possua as m quinas e servi os abaixo e deseja implementar a convers o de endere os A empresa possui uma conex o dedicada com a Internet e seu provedor distribuiu uma faixa de endere os IP v lidos na Internet de 200 120 210 0 at 200 120 210 63 Na regra 1 colocamos as redes internas da empresa DMZ e Interna em n o tradu o Est regra possibilita que cas
418. ou acessar 086 Banner removido Esta mensagem indica que o proxy WWW substitui uma requisi o por uma imagem em branco visto que a URL se encaixou nas regras de filtragem de banners A mensagem complementar entre par nteses indica o nome do usu rio que fez a requisi o A linha de mensagem seguinte indica o endere o IP da m quina da qual a requisi o se originou e a terceira linha indica qual URL que o usu rio tentou acessar 087 Pacote fora das regras do proxy SOCKS Essa mensagem indica que o proxy SOCKS recebeu uma solicita o de abertura de conex o TCP ou de envio de pacote UDP e a mesma n o se encaixou em nenhuma regra de filtragem do perfil de acesso correspondente Devido a isso a solicita o foi recusada As mensagens complementares indicam o nome do usu rio que enviou a requisi o se a autentica o de usu rios estiver habilitada o endere o do cliente o endere o destino da requisi o e seu protocolo 088 Pacote UDP aceito pelo proxy SOCKS Essa mensagem indica que o proxy SOCKS recebeu uma solicita o de envio de um pacote UDP e o mesmo foi enviado devido a exist ncia de uma regra no perfil de acesso correspondente indicando que o proxy poderia faz lo As mensagens complementares indicam o nome do usu rio que enviou o pacote se a autentica o de usu rios estiver habilitada o endere o do cliente e o endere o destino 089 Pacote UDP recusado pelo proxy SOCKS Essa mensagem ind
419. over entidade removida 2 Pode se utilizar a op o Remover Entidade para eliminar v rias entidades de uma vez e Par metros da regra Al m das especifica es b sicas de uma regra como entidades de origem entidades de destino e servi os devemos levar em conta outros par metros de configura o Acumulador Define qual o acumulador para os pacotes da regra A op o nenhum desativa a contabiliza o dos pacotes que se encaixem nesta regra Se for escolhido um acumulador ser o adicionados a ele a quantidade de bytes e pacotes encaixados nesta regra Canal Define o canal que ser utilizado para controlar a banda para a regra A op o nenhum desativa a utiliza o de controle de banda para esta regra A o Este campo define qual a a o a ser tomada para todos os pacotes que se encaixem nesta regra Ela consiste nas seguintes op es Aceita Significa que os pacotes que se encaixarem neste regra ser o autorizados a passar atrav s do firewall Rejeita Significa que os pacotes que se encaixarem nesta regra n o passar o pelo firewall e ser enviado um pacote ICMP para a m quina de origem do pacote dizendo que o destino inating vel Esta op o n o funciona para alguns tipos de servi o ICMP devido a uma caracter stica inerente a este protocolo Descarta Significa que os pacotes que se encaixarem nesta regra n o passar o pelo firewall mas n o ser enviado nenhum pacote para a m quina de origem
420. oxy Editar Inserir Apagar Copiar Colar Protocolo TCP Belay Regras DNS Anexos FEL Avan ado Servi o 25 smtp O Inicio Lista de dominios autorizados a receber e mail echo Mi akercombr O00000 O O Fim echo is 2 Ss Proxy SMTP w L Configura es Tamanho m ximo da mensagem o bytes 7 Ilimitado Registrar na lista de eventos Envia c pia de todas as mensagens Checagem de DNS reverso habilitada E mail padr o FREEZA L Jadmin aker com br Esta pasta serve para se especificar uma lista de dom nios v lidos para recebimento de e mails E mails destinados a quaisquer dominios n o listados ser o rejeitados antes mesmo que se comece sua transmiss o illy 3 Caso a lista de dom nios esteja em branco o firewall n o far controle de relay ou seja aceitar e mails destinados a quaisquer dom nios 3 Diferentemente do controle de relay de servidores SMTP o firewall apenas pode basear seu controle no destinat rio dos e mails e n o no remetente uma vez que n o possui a lista de usu rios v lidos do servidor SMTP protegido e Pasta de Regras Z Se rvicos Autom tico Ge Nome SMTP_Proxy Protocolo TCP Servi o 25 smtp a PRE pea a CS Inicio echo Firn 7 echo Prog SMTP Editar Inserir Copiar Colar Relay Hegras INS Anesos FEL Avan ado ER z E Home Filtros
421. para a lista de hosts e redes a proteger e Abre se o menu de contexto na janela na lista de hosts e redes a proteger com o bot o direito do mouse ou com a tecla correspondente no teclado e seleciona se Adicionar entidades para ent o escolher aquelas que ser o efetivamente incluidas na lista Para se remover uma entidade da lista de prote o deve se marc la e pressionar a tecla delete ou escolher a op o correspondente no menu de contexto acionado com o bot o direito do mouse ou com a tecla correspondente li J Deve se colocar na lista de entidades a serem protegidas todas as m quinas servidoras de algum servi o TCP pass vel de ser utilizado por m quinas externas N o se deve colocar o endere o do pr prio firewall nesta lista uma vez que os sistemas operacionais FreeBSD e Linux n o s o suscept veis a ataques de SYN flood 12 3 Prote o de Flood WO que um ataque de Flood Os ataques de Flood se caracterizam por existir um elevado n mero de conex es abertas e estabelecidas contra servidores web ftp smtp e etc a partir de outras m quinas existentes na Internet que foram invadidas e controladas para perpetrar ataques de nega o de servi o DoS A prote o tamb m til para evitar abuso do uso de determinados servi os sites de download por exemplo e evitar estragos maiores causados por v rus como o NIMDA que fazia com que cada m quina infectada abrisse centenas de conex es simultaneamente
422. para o endere o especificado no campo a direita e Pasta de DNS E Servi os PI Autom tico p x amp Nome SMTP Proxy Editar Insert Apagar Copiar Colar Protocolo TCF Relay Regas DNS Anexos RBL Avan ado Servi o 25 smtp Nome Filtro O Inicio T echo lzpammer Cont m propag cam br Fim echo Proxy SMTP A o padr o Aceita Rejeita Configura es Tamanho m ximo da mensagem o bytes E Ilimitada Regi trar na lista de eventos Envia c pia de todas as mensagens Checagem de DNS reverso habilitada E mail padr o admintBiaker com br Nesta pasta s o mostradas todas as regras de filtragem de DNS para o contexto Estas regras possibilitam que o administrador configure filtros de e mails baseados no nome retornado pelo DNS reverso do servidor SMTP que estiver enviando a mensagem Para se executar qualquer opera o sobre uma determinada regra basta clicar com o bot o direito do mouse sobre ela Aparecer o seguinte menu este menu ser acionado sempre que se pressionar o bot o direito mesmo que n o exista nenhuma regra selecionada Neste caso somente as op es Incluir e Colar estar o habilitadas Inserir Editar x Apagar Agr Renomear e Inserir Esta op o permite se incluir uma nova regra na lista Se alguma regra estiver selecionada a nova ser Inserida na posi o da regra selecionada Caso contr rio a nova regra ser inclu d
423. para realizar o controle de uma transfer ncia de arquivos necess rio se executar uma sequ ncia de 2 passos 1 Cria se um servi o que ser desviado para o proxy FTP e edita se os par metros do contexto a ser usado por este servi o para maiores informa es veja o cap tulo intitulado Cadastrando Entidades 2 Acrescenta se uma regra de filtragem permitindo o uso do servi o criado no passo 1 para as redes ou m quinas desejadas para maiores informa es veja o cap tulo intitulado Filtro de Estados 3 O proxy FTP n o realiza autentica o de usu rios Para possibilitar que certos usu rios tenham privil gios diferentes necess rio criar servi os do proxy FTP com contextos distintos e associar cada um destes servi os com um perfil de acesso Para maiores informa es sobre perfis de acesso verifique o cap tulo chamado Perfis de acesso de usu rios 24 1 Editando os par metros de um contexto FTP A janela de propriedades de um contexto FTP ser mostrada quando se selecionar a op o Proxy FTP na janela de edi o de servi os Atrav s dela poss vel se definir o comportamento do proxy FTP quando este for lidar com o servi o em quest o A janela de propriedades de um contexto FTP Ta Se rvicos Wr Automatica Somente aceita conex es de m quinas com DNS reverso v lido ts anal ha Nome FTP proxy M mero m ximo de conex es simult neas GOO Tempols limite de inatividade elis Protocol
424. para ser analisado contudo feita frequentemente modifica o no arquivo de regras do firewall ent o coloque a seguinte linha Exclusion etc firewall cont regras 350 filtro 9 Bem agora vamos rodar o programa para montar nosso banco de dados de arquivos para tal de o comando usr local sbin fcheck ca 10 Atente para o fato de que qualquer altera o feita nos arquivos que vc est analisando ter de ser rodado novamente o comando acima Para refor ar a seguran a de o comando lt ls l gt no diretorio lt data gt e anote a data e hora dos arquivos criados No meu caso ficou assim root beicudo etc Is l usr local data total 96 rw rw r l root root 3906 Jul 1 23 54 beicudo foo com br bin rw rw r l root root 24650 Jul 1 23 54 beicudo foo com br etc rw tw r l root root 61082 Jul 1 23 54 beicudo foo com br _lib_ rw rw r l root root 4889 Jul 1 23 54 beicudo foo com br sbm Press any key to continue 11 Agora hora de ativar o nosso guardi o e para facilitar as coisas vamos fazer um script para analisar os diret rios e enviar o resultado por email 12 Crie um arquivo de nome lt cheque gt de prefer ncia no usr local sbin com o conte do abaixo bin sh PATH usr lib bin usr local sbin usr bin DATE date echo To admin foo com br echo From BEICUDO echo Subject Analise de Seguranca do BEICUDO em DATE echo fcheck a 2 gt amp 1 usr lib sendmail t 13 N
425. pecifica o da interface externa n o possui nenhuma implica o de seguran a Nenhum controle de acesso feito levando se em conta esta interface Firewall Aker v5 1 Programa de Instalacao Ativacao do sistema completada Vamos agora para a configuracao de alguns parametros do Firewall Aker Eu posso cadastrar automaticamente um administrador capaz de gerenciar remotamente o firewall Este administrador tera plenos poderes em relacao firewall e a partir dele novos usuarios poderao ser cadastrados Obs Se voce nao cadastrar um administrador nao podera administrar o firewall a partir da interface grafica apenas atraves da interface texto local Voce deseja criar este administrador S N Para que seja poss vel se administrar o firewall a partir da interface gr fica necess rio se cadastrar um administrador devendo se responder S a esta pergunta De qualquer forma poss vel se cadastrar posteriormente outros administradores atrav s das interfaces locais de administra o A explica o de como fazer isso se encontra no cap tulo intitulado Administrando usu rios do firewall Caso se tenha optado por incluir um novo administrador ser mostrada a tela pedindo os dados do administrador a ser cadastrado Um exemplo desta tela se encontra abaixo cabe mencionar que a senha do administrador a ser cadastrado n o ser mostrada na tela Firewall Aker versao 5 Modulo de administracao de usuarios remotos Inclusa
426. perfil de acesso associado a ele Se a op o Utiliza perfil de acesso esteja marcada ent o ao ser validado no cliente de criptografia o usu rio ter os mesmos direitos que teria caso se autenticasse tamb m atrav s do cliente de autentica o Caso esta op o esteja desmarcada ent o o usu rio estabelecer um canal seguro por m n o ter nenhum perfil de acesso associado a ele esse ltimo o comportamento da vers o 3 52 e anteriores do firewall lly ME poss vel se utilizar o Cliente de Autentica o Aker em conjunto com o cliente de criptografia Desta forma caso se esteja utilizando autentica o por usu rio senha n o necess rio ao usu rio se autenticar novamente para o firewall Para maiores informa es sobre o cliente de autentica o veja o cap tulo intitulado O cliente de autentica o Aker QHabilitando e desabilitando algoritmos de criptografia poss vel para o administrador desabilitar algoritmos de criptografia de modo a impedir que estes sejam utilizados em canais seguros cliente firewall Para se fazer isso basta desmarcar a check box correspondente ao algor tmo no campo Algoritmos Dispon veis localizado na parte inferior da janela de criptografia cliente firewall 2 Cliente Firewall Firewall Azul Habilitar clientes PN Permitir canais seguros de qualquer maquina Permitir canais seguros somente das redes listadas O N o permitir canais seguros a partir das redes listada
427. pia dos eventos para o syslogd as prioridades com as quais as mensagens ser o geradas no syslog s o as mesmas apresentadas abaixo e Erro Os registros que se enquadram nesta prioridade indicam algum tipo de erro de configura o ou de opera o do sistema por exemplo falta de mem ria Mensagens desta prioridade s o raras e devem ser tratadas imediatamente e Alerta Os registros que se enquadrarem nesta prioridade indicam que algum tipo de situa o s ria e n o considerada normal ocorreu por exemplo uma falha na valida o de um usu rio ao estabelecer uma sess o de administra o remota e Aviso Se enquadram nesta prioridade registros que trazem informa es que s o consideradas importantes para o administrador do sistema mas est o associadas a uma situa o normal por exemplo um administrador iniciou uma sess o remota de administra o e Informa o Os registros desta prioridade acrescentam informa es teis mas n o t o importantes para a administra o do Firewall por exemplo uma sess o de administra o remota foi finalizada e Depura o Os registros desta prioridade n o trazem nenhuma informa o realmente importante exceto no caso de uma auditoria Nesta prioridade se encaixam as mensagens geradas pelo m dulo de administra o remota todas as vezes que feita uma altera o na configura o do firewall e uma mensagem gerada todas as vezes que o firewall reinicializado Como
428. pode estar rodando na pr pria m quina onde o firewall se encontra ou em uma m quina separada Caso se utilize um servidor de cache em uma m quina separada modo de instala o recomendado esta m quina deve ficar em uma sub rede diferente de onde est o as m quinas clientes caso contr rio todo o controle de seguran a pode ser facilmente ultrapassado Este tipo de configura o pode ser visualizado na seguinte figura DMZ Caminho Internet Internet Requisi o ao Cache Requisi o ao firewall Rede nterna Neste tipo de instala o para se assegurar uma total prote o basta se configurar o filtro de estados para maiores informa es veja o cap tulo intitulado O Filtro de Estados de forma a permitir que a m quina com o cache seja a nica que possa acessar os servi os ligados ao WWW e que as m quinas clientes n o possam abrir nenhuma conex o em dire o m quina onde se encontra o cache Feito isso configura se todas as m quinas clientes para utilizarem o proxy WWW do firewall e configura se o firewall para utilizar o cache na m quina desejada SUtilizando o proxy WWW Para se utilizar o proxy WWW do Firewall Aker no modo n o transparente normal necess ria a seguinte sequ ncia de passos 1 Cria se os perfis de acesso desejados e os associa se com os usu rios e grupos desejados Isso foi descrito no cap tulo chamado Perfis de acesso de usu rios 2 Edita se os par metros de con
429. posta para servidor Para cada um dos poss veis comandos v lidos do protocolo SMTP existe um tempo maximo de espera por uma resposta do servidor Caso n o receba nenhuma resposta dentro deste per odo o proxy assume que o servidor caiu e derruba a conex o Neste grupo poss vel ser configurar o tempo m ximo de espera em segundos para cada um destes comandos Todos os demais par metros se referem aos tempos limites de resposta para cada comando SMTP e n o devem ser modificados a n o ser que haja uma raz o espec fica para faz lo 23 0 Configurando o proxy Telnet Neste cap tulo ser mostrado como se configurar o proxy telnet para realizar autentica o de usu rios O O que 0 proxy Telnet O proxy Telnet um programa especializado do Firewall Aker feito para trabalhar com o protocolo Telnet que o protocolo utilizado para emula o de terminais remotos A sua fun o b sica possibilitar a realiza o de uma autentica o a n vel de usu rio para as sess es telnet a serem estabelecidas Este tipo de autentica o permite uma grande flexibilidade e um elevado n vel de seguran a Ele um proxy transparente para maiores informa es veja o cap tulo intitulado Trabalhando com proxies desta forma nem o servidor nem o cliente sabem de sua exist ncia Utilizando o proxy Telnet Para se utilizar o proxy Telnet para realizar autentica es em uma comunica o necess rio se executar uma sequ
430. que poderia provocar o aparecimento de caracteres estranhos em muitos terminais Al m disso seria muito inc modo para o usu rio se as op es fossem exigidas com acentos por exemplo ter que se digitar depura o ao inv s de depuracao na hora de se escolher a prioridade para se filtrar log ou eventos O Criptografia Estou configurando um canal seguro entre dois Firewalls Aker um com a vers o 3 01 e outro com a vers o igual ou superior a 3 10 Configurei troca de chaves via SKIP e coloquei o mesmo segredo compartilhado em ambos os firewalls entretanto recebo mensagens de Pacote n o passou pela autentica o todas as vezes que tento fazer os dois se comunicarem O que est errado A vers o 3 10 do Firewall Aker sofreu altera es em alguns pontos do algoritmo SKIP devido a problemas de compatibilidade com outros sistemas operacionais e o tornou incompat vel com as vers es anteriores A solu o para este problema atualizar todas as vers es anteriores 3 10 para a 3 10 ou superior que s o totalmente compat veis entre si SNMP Reparei que quando administro o Firewall Aker na plataforma Linux as comunidades de leitura e escrita SNMP da janela de par metros de configura o se encontram desabilitadas Por que isso acontece O sistema operacional Linux j vem com um agente SNMP pr instalado Desta forma optou se por n o Instalar o agente SNMP do Firewall Aker Para aprender como configurar as comuni
431. r com que a janela seja fechada e A op o Mostrar todos se estiver marcada far com que sejam mostrados todos os endere os j resolvidos na lista na parte inferior da janela Para se resolver um endere o deve se digit lo no campo e pressionar o bot o DNS Reverso Neste momento o endere o ser mostrado na lista na parte inferior da janela junto com o status da resolu o Ap s algum tempo ser mostrado o nome da m quina correspondente ao endere o ou uma Indica o de que o endere o informado n o possui DNS reverso configurado 29 5 Data e Hora Esta op o permite ao administrador verificar e alterar a data e a hora do firewall A data e hora configuradas corretamente s o essenciais para o funcionamento da tabela de hor rio das regras e dos perfis de acesso WWW das trocas de chaves atrav s do protocolo SKIP e dos sistema de log e eventos Para ter acesso a janela de configura o de data e hora basta Dispositivos remotos o Configuration Managers Firewalls dh Firewall Azul ll Firewall Verde i S Configura o do Firewall SI ys Configura es do Sistema Dj A es Administra o de Usu rios A AtivacSa da Licen a Sy Par metros de configura o BE TCPAP aC Criptografia val Ferramentas H t Informa o See Seguran a JE Data e hora gt Esta janela permite a configura o da data amp hora do firewall e Clicar no menu Configura es do Sistema da janela de ad
432. r mostrada Firewall Aker v5 1 Programa de Instalacao E necessario se definir o nome da interface de rede externa do firewall Os enderecos IP que se originarem desta interface nao serao contabilizados no numero maximo de licencas do produto A interface externa deve assumir um dos seguintes valores etho ethl eth2 Entre interface externa configura o da interface externa usada apenas para o controle de licen as do firewall Deve se informar o nome da interface que estar conectada Internet il 3 A especifica o da interface externa n o possui nenhuma implica o de seguran a Nenhum controle de acesso feito levando se em conta esta interface Firewall Aker v5 1 Programa de Instalacao Ativacao do sistema completada Vamos agora para a configuracao de alguns parametros do Firewall Aker Eu posso cadastrar automaticamente um administrador capaz de gerenciar remotamente o firewall Este administrador tera plenos poderes em relacao firewall e a partir dele novos usuarios poderao ser cadastrados Obs Se voce nao cadastrar um administrador nao podera administrar o firewall a partir da interface grafica apenas atraves da interface texto Local Voce deseja criar este administrador S N Para que seja poss vel se administrar o firewall a partir da Interface gr fica necess rio se cadastrar um administrador devendo se responder S a esta pergunta De qualquer forma poss vel se
433. r o s mbolo 9 seguido de uma frase escrita em letras vermelhas Isto significa que a frase em quest o uma observa o muito importante e deve ser totalmente entendida antes de se prosseguir com a leitura do cap tulo Interface texto vs Interface Gr fica O Firewall Aker possui duas interfaces distintas para sua configura o uma interface gr fica remota e uma interface texto local e A interface gr fica A interface gr fica chamada de remota porque atrav s dela poss vel se administrar remotamente via Internet um Firewall Aker localizado em qualquer parte do mundo Esta administra o feita atrav s de um canal seguro entre a interface e o firewall com um forte esquema de autentica o e criptografia de modo a torn la totalmente segura A interface gr fica de uso bastante intuitivo e esta dispon vel para plataformas Windows 95 Windows 98 Windows NT Windows 2000 Windows xp Linux FreeBSD e sob demanda em outros sabores de Unixes e A interface texto A interface texto uma interface totalmente orientada linha de comando que roda na m quina onde o firewall est instalado O seu objetivo b sico possibilitar a automa o de tarefas da administra o do Firewall Aker atrav s da cria o de scripts e possibilitar uma intera o de qualquer script escrito pelo administrador com o Firewall Praticamente todas as vari veis que podem ser configuradas pela interface gr
434. r rio n o ser poss vel o estabelecimento das sess es Wily 9 O cliente de autentica o n o funciona atrav s de convers o de endere os ou seja n o poss vel para uma m quina atr s de um firewall que realiza convers o de endere os estabelecer uma sess o com um firewall localizado no lado externo da convers o 21 2 Instalando o Cliente de Autentica o Aker O Cliente de Autentica o Aker funciona em plataformas Windows 9 NT 2000 XP Sua Instala o bastante simples entretanto ser necess rio reinicializar a maquina ap s a instala o para iniciar o cliente Para instalar o cliente de criptografia deve se colocar o CD ROM no drive e selecionar a op o Instalar Cliente de Autentica o dentro do menu Firewall na janela de apresenta o Caso a op o de auto execu o esteja desabilitada ent o necess rio se executar os seguintes passos 1 Clicar no menu Iniciar Selecionar a op o Executar 3 Ao ser perguntado sobre qual programa executar selecione a pasta D br firewall auth e execute o nico arquivo presente Caso o leitor de CD ROM seja acessado por uma letra diferente de D substitu la pela letra equivalente no comando anterior A janela de instala o ser mostrada Para prosseguir siga as Instru es apresentadas na tela Ao t rmino da Instala o ser criado um grupo chamado Firewall Aker no menu Iniciar Dentro deste grupo ser criado um novo grupo chamado de Clie
435. r 1 recebe aker cdp Entrada incluida na posicao 2 9 0 Configurando Criptografia Cliente Firewall Mostraremos aqui como configurar o firewall e o cliente de criptografia Aker de modo a propiciar a cria o de canais seguros entre m quinas clientes e um Firewall Aker 9 1 Planejando a instala o SO que um canal seguro Cliente Firewall Conforme j explicado no cap tulo anterior um canal seguro cliente firewall aquele estabelecido diretamente entre uma m quina cliente e um Firewall Aker Isto poss vel com a instala o de um programa chamado de Cliente de Criptografia Aker nas m quinas clientes Um canal de criptografia Cliente Firewall utiliza as mesmas tecnologias de criptografia autentica o e troca de chaves j mostradas para os canais seguros Firewall Firewall com a diferen a de que tudo negociado automaticamente pelas partes comunicantes Ao administrador poss vel apenas desabilitar determinados algoritmos de forma a assegurar que eles n o ser o utilizados Outra diferen a fundamental entre os canais seguros firewall firewall e cliente firewall da forma com que s o implementados no Firewall Aker que os primeiros s o sempre realizados ao n vel de pacotes IP onde cada pacote encriptado individualmente enquanto que os segundos s o feitos ao n vel de fluxo de dados encriptado somente as informa es contidas na comunica o e n o os demais dados do pacote IP WExig ncias p
436. r a m quina na qual o firewall se encontra Isto permite um alto grau de flexibilidade e facilidade de administra o possibilitando que um administrador monitore e configure v rios firewalls a partir de sua esta o de trabalho Al m dessa facilidade a administra o remota permite uma economia de recursos na medida em que possibilita que a m quina que rode o firewall n o possua monitor e outros perif ricos WComo funciona a administra o remota do Firewall Aker Para possibilitar a administra o remota existe um processo rodando na m quina do firewall respons vel por receber as conex es validar os usu rios e executar as tarefas solicitadas por estes usu rios Quando um usu rio Inicia uma sess o de administra o remota a Interface gr fica estabelece uma conex o com o m dulo de administra o remota do firewall e mant m esta conex o aberta at que o usu rio finalize a sess o Toda a comunica o entre a interface remota e o firewall feita de maneira segura utilizando se criptografia e autentica o Para cada sess o s o geradas novas chaves de criptografia e autentica o Al m disso s o empregadas t cnicas de seguran a para impedir outros tipos de ataques como por exemplo ataques de repeti o de pacotes Existem algumas observa es Importantes sobre a administra o remota que devem ser comentadas 1 Para que a interface remota consiga se conectar ao firewall necess rio a adi o
437. r est carregado no kernel No FreeBSD utilize o comando kldstat e no Linux o comando Ismod Em ambos os casos dever aparecer um m dulo com o nome aker firewall mod 115 Erro ao salvar certificados Esta mensagem indica que o firewall n o conseguiu salvar alguma lista de certificados de criptografia no disco Solu o Verifique se o existe espa o dispon vel no diret rio do firewall Isto pode ser feito atrav s do comando Sdf k Se este comando mostrar o diret rio com 100 de espa o utilizado ent o isto a causa do problema Caso exista espa o dispon vel e ainda assim este erro apare a consulte o suporte t cnico 116 Erro ao carregar certificados Esta mensagem indica que o firewall n o conseguiu carregar alguma lista de certificados de criptografia Solu o Contate o suporte t cnico 117 Certificado inv lido recebido Esta mensagem indica que o servidor de certificados do firewall recebeu um certificado inv lido Isso pode ter uma das seguintes causas e Assinatura do certificado inv lida e Entidade certificadora desconhecida e Certificado expirado As mensagens complementares indicam qual destes poss veis erros ocorreu e qual firewall emitiu o certificado inv lido 118 Certificado recebido e validado corretamente Esta mensagem indica que o servidor de certificados do firewall recebeu um certificado de negocia o ou revoga o v lido As mensagens complementares indicam que tipo de
438. r gt retorna ao menu anterior Firewall Aker Versao 5 1 Modulo de configuracao para interfaces de rede Entre com o nome da interface ou apenas pressione lt enter gt para voltar ao menu anterior Interfaces Inch sl Incl lpH faith vlan ulani vlan Ylang uland vlan vlan vlan Vland vlang lo ppp Nesta tela apresentada a op o de se cadastrar VLAN Firewall Aker Versao 5 1 Modulo de configuracao para interfaces de rede Configuracao de interfaces Deseja configurar uma interface vlan filha para sua interface s n Entre com os dados solicidos pressione lt enter gt para valor default Ap s a digita o dos valores de configura o perguntado se deseja configurar alias para a interface Firewall Aker Versao 5 1 Modulo de configuracao para interfaces de rede Configuracao de interfaces Interface Incl Endereco IP 180 8 0 3271 18 80 86 3 Mascara 255 755 255 8 255 755 755 848 Deseja configurar alias para sua interface s n E Entre com os dados solicidos pressione lt enter gt para valor default Com os dados j digitados perguntado se deseja configurar interface para os novos valores Firewall Aker Versao 5 1 Modulo de configuracao para interfaces de rede Configuracao de interfaces Interface Incl Endereco IP 18 0 0 371 185 6 8 3 Mascara 755 755 755 801 255 255 255 8 Deseja configurar alias para sua interface s n Confirma nova configuracao s n
439. r marcada nas regras de filtragem ou na janela de a es Para se ter acesso janela de alarmes basta Dispositivos remotos Configuration Managers E O Firewalls dh Firewall Azul ll Firewall Verde S Configura o do Firewall p Configura es do Sistema Criptografia cd Ferramentas Busca de entidade DNS reverso Janela de alarmes A Mudar senha i Simula o de Regras de Filtragem 4 Informa o See Seguran a E a Janela de alarmes PE Essa janela permite a usu rio observar e salvar as mensagens de alerta do firewall e Clicar no menu Ferramentas da janela de administra o do firewall e Selecionar o item Janela de alarmes A janela de alarmes d Janela de alarmes Firewall Verde Descri o 044 11 2003 21 EE 18 A ICMP 10 0 0 33 10 0 0 32 8IncO 04 1 2003 21 21 17 A h ICMP 10 0 0 33 10 0 0 32 inct La AW 2003 21 21 16 A A ICMP 10 0 0 33 10 0 0 32 8incD 04 11 2003 21 21 15 A ICMP 10 0 0 33 10 0 0 32 Blned O11 2003 2 20 H A TCP 19 00 33 3247 1 10 0 0 321 13 5 Inch N o mostrar esta janela automaticamente da pr xima vez Esta janela consiste de um campo de descricao com as entradas correspondentes a acao executada pela regra de filtragem e O bot o Fechar far com que a janela seja fechada e A op o N o mostrar essa janela automaticamente se estiver marcada far com que a janela nao seja mostrada automaticamente quando ocorrer um evento
440. r no qual o usu rio se deseja autenticar Este campo pode ser deixado em branco Para maiores informa es sobre os autenticadores veja o cap tulo entitulado Configurando par metros de autentica o e Autentica o por Token SecurID Usu rio E o nome do usu rio que deseja estabelecer a sess o PassCode a combina o do PIN do usu rio seguido pelo n mero mostrado no token SecurID e Autentica o por Smart Card Select a Schlumberger Cryptoflex Card aq x smart card has been selected Press OF to continue Details mart card readers Smart card inserted Schlumberger Lryptotlex dk oh aman card status Microsyst The card is in use exclusively by another NTOCESS Ok Cancel Details lt lt No caso de autentica o por Smart Cards a tela mostrada ser dependente do tipo de smart card que se est utilizando A mostrada acima apenas uma das possibilidades O bot o Aplicar serve para que as altera es rec m feitas sejam salvas se tornem permanentes Ao ser clicado todas as sess es que por ventura estejam ativas ser o derrubadas Na parte superior da pasta existe um campo que permite com que se especifique a forma com que o cliente de autentica o vai lidar com os autenticadores Essa op o s utilizada no caso de autentica o por Windows Logon e consiste de tr s op es N o especificar autenticador Esta op o informa ao cliente para
441. r vers o 5 1 Modulo de administracao de usuarios remotos Upcoes do Aker Configuration Manager Acesso pelo Aker Configuration Manager habilitado acesso pelo Configuration Manager Modifica shared secret do Configuration Manager Fetorna ao menu anterior e Desabilita acesso pelo Configuration Manager Ao selecionar essa op o n o ser mais poss vel acessar o Firewall Aker pelo Configuration Manager at que o usu rio habilite o acesso novamente e Modifica shared secret do Configuration Manager Permite alterar a shared secret E necess rio entrar com a nova senha e a confirma o da nova senha A senha e sua confirma o n o ser o mostradas na tela Firewall Aker versao 5 1 Modulo de administracao de Usuarios remotos Alteracao de senha do Aker Configuration Manager Entre a nova senha Confirme a nova senha Senha alterada com sucesso Pressione Enteri e Sai do fwadmin Esta op o encerra o programa fwadmin e retorna para a linha de comando 4 0 Configurando os par metros do sistema Neste cap tulo mostraremos como configurar as vari veis que ir o influenciar nos resultados de todo o sistema Estes par metros de configura o atuam em aspectos como a seguran a log do sistema e tempos de inatividade das conex es 4 1 Utilizando a interface gr fica Para ter acesso a janela de configura o de par metros basta Dispositivos remotos Configuration Managers Firewalls ly Firewall Azu
442. ra o do Firewall s Configura es do Sistema Criptografia cd Ferramentas Informa o MF Conex es TCP OOF Conex es UDP GiEstatisticas W Estat sticas do sistema Eventos a Gr fico da rede off Informa o de sess o hiat Log ad Toneis IPSEC WE Usu rios Conectados t Seguranca Conex es TCP as Esta janela mostra as conex es TCP atuais do firewall e Clicar no menu Informa o do firewall que se deseja visualizar e Selecionar Conex es TCP ou Conex es UDP A janela de conex es ativas A janela de conex es ativas onde s o mostradas todas as conex es que est o passando pelo firewall em um determinado instante As janelas para os protocolos TCP e UDP s o exatamente iguais com a exce o do campo chamado Status que somente existe na janela de conex es TCP Para simplificar o entendimento fala se de conex es TCP e UDP entretanto isto n o totalmente verdadeiro devido ao protocolo UDP ser um protocolo n o orientado conex o Na verdade quando se fala em conex es UDP refere se a sess es onde existe tr fego nos dois sentidos Cada sess o pode ser vista como o conjunto dos pacotes de requisi o e de resposta que fluem atrav s do firewall para um determinado servi o provido por uma determinada m quina e acessado por outra Essa janela se comp e de duas pastas na primeira mostrada uma lista com as conex es ativas e a segunda fornece um gr fico em tempo real das m quinas
443. ra que em downloads o administrador do firewall deve escolher os tipos MIME e as extens es Na configura o padr o do firewall cadastrados os seguintes tipos conforme a figura abaixo Proxy WWW Firewall Verde TH Ativar Proxy Www Controle de Conte do Antivirus Tipos de Arquivo On Line Sites Excluidos Opera o Texto Configura es Aneros encriptados 2 Aceita Rejeita Anexos corrompidos 2 Aceita Rejeita Aplicar Cancelar As demais op es s o an logas ao downloads 27 0 Configurando o proxy SOCKS Neste cap tulo mostraremos para que serve e como configurar o proxy SOCKS 27 1 Planejando a instala o WO que o proxy SOCKS do Firewall Aker O proxy SOCKS um programa especializado do Firewall Aker feito para trabalhar com programas que suportem o protocolo SOCKS nas vers es 4 ou 5 Este proxy possui como fun o principal prover uma melhor seguran a para protocolos passarem atrav s do firewall principalmente protocolos complexos que utilizam mais de uma conex o poss vel atrav s do uso do SOCKS 5 realizar autentica o de usu rios para quaisquer servi os que passem pelo firewall mesmo sem o uso do cliente de autentica o Ele um proxy n o transparente para maiores informa es veja o cap tulo intitulado Trabalhando com proxies desta forma os clientes que o forem utilizar devem ter suporte para trabalhar com proxies e devem ser conf
444. rabalhando com proxies facilitando a instala do sistema li SQuando utilizado da forma transparente o proxy normalmente mais r pido do que quando utilizado como um proxy normal al m de n o necessitar configura o extra nos clientes Por outro lado a capacidade de filtrar URLs para os protocolos HTTPS FTP e GOPHER s existe no proxy normal WI Para que o proxy nao transparente tenha a mesma performance do transparente necess rio que os browsers suportem o envio de requisi es HTTP 1 1 via proxies WO que um servidor de cache WWW Um servidor de cache um programa que visa aumentar o velocidade de acesso s p ginas da Internet Para conseguir isso ele armazena internamente as p ginas mais utilizadas pelas diversas m quinas clientes e todas as vezes que recebe uma nova solicita o ele verifica se a p gina desejada j se encontra armazenada Caso a p gina esteja dispon vel ela retornada imediatamente sem a necessidade de se consultar o servidor externo caso contr rio a p gina carregada normalmente do servidor desejado e armazenada fazendo com que as pr ximas requisi es a esta p gina sejam atendidas rapidamente SO proxy WWW do Firewall Aker trabalhando com um servidor de cache O Firewall Aker n o implementa por s1 s um servidor de cache no seu proxy WWW entretanto ele pode ser configurado para trabalhar com qualquer um que siga os padr es de mercado Este servidor de cache
445. ral direita J amp Autentica o Firewall Azul Seles FA Controle de acesso JP M todos DB Autentica o para Prosies E Controle de Acesso por IP Autentica o local ii a ll E Nome completo Nome do grupo Usu rio Usuario M mero Um E Grupot Usu rio Usu rio N mero Dol EE Grupo 7 dr Geese il 5 Grupos vazios nao serao mantidos pelo firewall apenas aqueles que contiverem ao menos um usuario 19 2 Utilizando a interface texto A interface texto permite configurar que tipo de autentica o ser realizada e a ordem de pesquisa dos autenticadores Localiza o do programa etc firewall fwauth Sintaxe Uso fwauth mostra ajuda fwauth inclui remove ca token autenticador lt entidade gt fwauth dominio pesquisa todos sim nao fwauth proxy token senha sim nao fwauth proxy primeiro token senha Ajuda do programa Firewall Aker Versao 5 1 fwauth Configura parametros autenticacao Uso fwauth mostra ajuda fwauth inclui remove ca token autenticador lt entidade gt fwauth dominio pesquisa todos sim nao fwauth proxy token senha sim nao fwauth proxy primeiro token senha mostra mostra a configuracao atual ajuda mostra esta mensagem Lie Lia inclui entidade na lista de autenticadores ativos remove remove entidade da lista de autenticadores ativos dominio configura se o
446. raticamente todos os recursos da interface gr fica As nicas op es n o dispon veis s o a cria o de servi os que utilizem proxies transparentes e a edi o de pseudo grupos de uma autoridade certificadora importante comentar entretanto que na interface texto os agentes externos s o mostrados e criados diretamente pelo seu sub tipo Localiza o do programa etc firewall fwent Sintaxe Uso fwent ajuda fwent mostra fwent remove lt nome gt fwent inclui maquina lt nome gt lt IP gt fwent inclui rede lt nome gt lt IP gt lt mascara gt fwent inclui conjunto lt nome gt lt entidadel gt lt entidade2 gt fwent inclui autenticador lt nome gt lt IP1 gt lt IP2 gt lt IP3 gt senha gt lt t cache gt fwent inclui token lt nome gt lt IP1 gt lt IP2 gt lt IP3 gt lt senha gt lt t cache gt twent inclua Ldap lt nome gt lt 1Pl gt lt 1PZ gt lt IPS gt lt roo0r_dne xroot pwd lt ase an gt lt act class gt lt sr attr lt gro attr gt lt Lowa atere lt bi nds gt lt lt ssil gt lt Els gt lt nenhuma gt gt lt lt no_pwd gt lt pwd gt gt lt t cache gt fwent inclui radius xnome gt SIPI gt sportal gt lt IP2 gt lt portaz2 gt lt senha gt lt t cache gt fwent inclui ids lt nome gt lt IP1 gt lt IP2 gt lt IP3 gt lt senha gt fwent inclui anti virus lt nome gt lt IP1 gt lt IP2 gt lt IP3 gt lt senha gt fwent inc
447. rdaker at the University of California at Davis 1s copyrighted under the following copyright Permission is granted to use copy modify and distribute this software and documentation This software is distributed freely and usage of it is not subject to fees of any kind It may be included in a software compact disk set provided that the author is contacted and made aware of its distribution Biblioteca de n meros extendidos LInteger LInteger Version 0 2 Source Code and Documentation Copyright C 1996 by Leonard Janke This source code and documentation may be used without charge for both commercial and non commercial use Modification of the source code or documentation is allowed provided any derivate work is clearly indentified as such and all copyright notices are retained unmodified Redistribution of the source code or documentation 1s unlimited except by the limits already mentioned provided that the redistribution 1s not for profit Those wishing to redistribute this source code or documentation or any work derived from either for profit must contact Leonard Janke Janke unixg ubc ca to work out an acceptable arrangement Anyone who wishes to distribute a program statically linked against the functions provided may do so providing that he or she includes a copy of this note with the program Distribution of libraries compiled from this source code is unlimited if the distribution 1s not for profit and this copyright notice is
448. reWall Data Type REG MULTI SZ Data lt Endere o IP da Convers o ou do Firewall Aker gt No Windows 95 1 V para a subtree HKREY LOCAL MACHINE na seguinte subchave Software Microsoft SnaBase Parameters SnaTcp 2 Adicione a seguinte informa o Value Name FireWall Data Type REG SZ Data lt Endere o IP da convers o ou do firewall Aker gt No Windows 3 x 1 Adicione a seguinte informa o no arquivo WIN INI abaixo da se o WNAP WNAP Fire Wall lt Endere o IP da convers o ou do firewall Aker gt Esta sendo logado a seguinte mensagem para a console do firewall x13 transmission error 90 x13 tx underrun increasing tx start threshold to 120 bytes x13 transmission error 90 x13 tx underrun increasing tx start threshold to 180 bytes Apareceu tamb m para a xl0 e xl2 Alguma explica o Estas mensagens s o normais Elas aparecem com alguma frequ ncia e n o causam nenhum problema no funcionamento do firewall na verdade o driver das xl e das de s o muito verbose e produzem muitas mensagens que assustam o administrador sem necessidade Nas a es do Firewall existe a seguinte mensagem 080 N mero de processos excessivo no sistema e como solu o est escrito Solu o Aumente o n mero m ximo de processos no sistema Como podemos fazer isto no FreeBSD e Linux No FreeBSD tem duas formas Recompilar o kernel setando a op o maxusers para um valor maior 200 500 etc Usar
449. rede bits com valor 1 e quais ser o utilizados para representar as m quinas dentro da rede bits com valor 0 Assim para representar a rede cujas m quinas podem assumir os endere os IP de 192 168 0 1 a 192 168 0 254 deve se colocar como rede o valor 192 168 0 0e como m scara o valor 255 255 255 0 Esta m scara significa que os 3 primeiros bytes ser o usados para representar a rede e o ltimo byte ser usado para representar a m quina Para se verificar se uma m quina pertence a uma determinada rede basta fazer um E l gico da m scara da rede com o endere o desejado e comparar com o E l gico do endere o da rede com sua m scara Se eles forem iguais a m quina pertence rede caso contr rio n o Vejamos dois exemplos Suponha que desejamos verificar se a maquina 10 1 1 2 pertence rede 10 1 0 0 m scara 255 255 0 0 Temos 10 1 0 0 E 255 255 0 0 10 1 0 0 para a rede 10 1 1 2 E 255 255 0 0 10 1 0 0 para o endere o Temos ent o que os dois endere os s o iguais ap s a aplica o da m scara portanto a m quina 10 1 1 2 pertence rede 10 1 0 0 Suponha agora que desejamos saber se a m quina 172 16 17 4 pertence rede 172 17 0 0 m scara 255 255 0 0 Temos 17 2 17 0 0 E 255 255 0 0 172 17 00 00 para a rede 1 2 16 17 4 E 255 255 0 0 172 16 0 0 para O endereco Como os endere os finais s o diferentes temos que a m quina 172 16 17 4 n o pertence rede 172 17 0 0 WI Caso seja ne
450. remove lt nome gt habilita desabilita max clientes lt valor gt autenticacao nenhuma autenticacao senha cartao token permite todos listados outros perfil lt sim nao gt lt algoritmo gt lt sim nao gt ativa suporte a canais seguros para clientes desativa suporte a canais seguros para clientes mostra a configuracao atual inclui uma entidade na lista de entidades remove uma das entidades da lista de entidades habilita o uso do algoritmo especificado desabilita o uso do algoritmos especificado configura o numero maximo de clientes simultaneos desativa ou seleciona os tipos de autenticacao de que serao aceitos para maquinas clientes canais seguros indica quais entidades poderao estabelecer canais com o firewall Habilita o uso de perfis de acesso para usuarios pelo cliente de criptografia mostra esta mensagem remove temos nome da entidade a ser incluida ou removida da Para max clientes temos valor numero numero maximo de clientes simultaneos deve ser um inteiro entre 0 e 1000 Para autenticacao temos nenhuma senha cartao token autenticacao de usuarios nao autenticacao por usuario senha nao autenticacao por smart card nao autenticacao por tokens nao exige aceita ou aceita ou aceita ou Para permite temos todos estabeleca um listados listados outros permite que qualquer maquina na Internet canal seguro com o firewall permite apenas a
451. resenta o nome da pessoa para a qual o certificado foi emitido E mail Representa o e mail da pessoa para a qual o certificado foi emitido Empresa Representa o nome da empresa onde trabalha a pessoa para a qual o certificado foi emitido Departamento Representa o departamento dentro da empresa onde trabalha a pessoa para a qual o certificado foi emitido Cidade Representa a cidade onde se localiza a empresa onde trabalha a pessoa para a qual o certificado foi emitido Estado Representa o estado onde se localiza a empresa onde trabalha a pessoa para a qual o certificado foi emitido Pa s Representa o pa s onde se localiza a empresa onde trabalha a pessoa para a qual o certificado foi emitido ll S Para que um usu rio autenticado atrav s da autoridade certificadora seja considerado como membro de um pseudo grupo todos os campos de seu certificado X509 devem ser iguais aos valores dos campos correspondentes do pseudo grupo Campos em branco de um pseudo grupo s o ignorados na compara o e portanto quaisquer valores do certificado para estes campos ser o aceitos e Para se cadastrar um agente externo do tipo Agente IDS Analisador de contexto Anti v rus ou Servidor de Log Remoto necess rio preencher os seguintes campos adicionais amp Antivirus C t backup 7 0 5 0 e backup 0 0 0 Senha Confirma o Cancela 1 backup E bac
452. reservado da m quina para a qual se far convers o de 1 1 Na Entidade Virtual deve se colocar uma entidade com o endere o para o qual o endere o interno ser convertido endere o v lido e que ser acessado pelas m quinas externas Convers o N 1 Esta op o indica ao firewall que quando qualquer m quina listada nas Entidades Origem for acessar acessar qualquer uma das m quinas pertencentes s Entidades Destino ela ter seu endere o convertido para o endere o da Entidade Virtual Este tipo de convers o til para possibilitar que um grande n mero de m quinas utilize apenas um endere o IP v lido para se comunicar atrav s da Internet entretanto ela n o permite com que m quinas externas listadas nas Entidades Destino iniciem qualquer comunica o com as m quinas internas listadas nas Entidades Origem il 3 Quando o m dulo de Cluster Cooperativo estiver funcionado na convers o de N 1 o IP da entidade virtual n o pode ser nenhum dos atribu dos as interfaces do firewall Convers o de Servi os Esta op o til para redes que disp em de apenas um endere o IP e necessitam disponibilizar servi os para a Internet Ela possibilita que determinados servi os ao serem acessados no firewall sejam redirecionados para m quinas internas No campo Entidades Origem deve se colocar o endere o IP interno real da m quina para a qual os servi os ser o redirecionados No campo Entidades Destino deve se coloc
453. reviamente cadastrada no sistema Para maiores informa es sobre como cadastrar entidades no Firewall Aker veja o cap tulo entitulado Cadastrando Entidades Exemplo 3 Mostrando a configura o atual etc firewall fwids mostra Parametros de configuracao Agente IDS externo habilitado Agente Agente IDS Exemplo 4 Acrescentando uma regra de bloqueio da m quina 192 168 0 25 para a m quina 10 0 0 38 no servi o WWW porta 80 do protocolo TCP por uma hora etc firewall fwids bloqueia origem 192 168 0 25 destino 10 0 0 38 servico 80 tcp 3600 13 0 Configurando as A es do Sistema Neste cap tulo mostraremos como configurar as respostas autom ticas do sistema para situa es pr determinadas J O que s o as a es do sistema O Firewall Aker possui um mecanismo que possibilita a cria o de respostas autom ticas para determinadas situa es Estas respostas autom ticas s o configuradas pelo administrador em uma s rie de poss veis a es independentes que ser o executadas quando uma situa o pr determinada ocorrer J Para que servem as a es do sistema O objetivo das a es possibilitar um alto grau de intera o do Firewall com o administrador Com o uso delas poss vel por exemplo que seja executado um programa capaz de cham lo atrav s de um pager quando a m quina detectar que um ataque est em andamento Desta forma o administrador poder tomar uma a o imediata mesmo que ele
454. rewall apenas ap s uma sess o dial up for estabelecida Essa op o particularmente til para clientes instalados em laptops M todos de autentica o suportados Esse campo indica quais m todos de autentica o ser o utilizados para validar um usu rio para o firewall Ele consiste das seguintes op es Windows logon Se essa op o estiver marcada o cliente de autentica o capturar o nome e a senha do usu rio que se logou no Windows e os utilizar para estabelecer a sess o com o firewall Nesse caso a autentica o ser totalmente transparente ou seja n o ser mostrada nenhuma nova tela para o usu rio Usu rio e senha Se essa op o estiver marcada ser mostrada uma tela para o usu rio a fim de que seja informado um nome e uma senha para o estabelecimento da sess o com o firewall SecurID Se essa op o estiver marcada ser mostrada uma tela para o usu rio a fim de que seja informado um nome um PIN e o c digo do token para o estabelecimento da sess o com o firewall Smart Card Se essa op o estiver marcada ser mostrada uma tela para o usu rio a fim de que seja informado o PIN do seu smart card para o estabelecimento da sess o com o firewall WI J Caso mais de uma op o esteja selecionada exceto a de Windows Logon ser mostrada uma tela onde o usu rio tem a possibilidade de escolher o m todo de autentica o desejado a cada nova sess o il 3 Caso se tenha escolhido au
455. rioridade d Autentica o Criptografia Mensagens 2 R Certificado do servidor R Algoritmo de autentica o inv lido RF Cluster Corporativo 2 Algoritmo de criptografia de chave R Controle de Dos Re Algoritmo de criptografia inv lido F Convers o de Endere o NAT Re Erro ao carregar algoritmo de cripto Re Criptografia IPSEC hf Erro de aloca o de mem ria 7 Daemon CLR Re Erro de comunica o com cliente c G ss sas di pads do Eidos R Numero de processos excessivo nt 4 U lt TT 4 Encontrar complemento para Na parte superior da janela encontram se os bot es Salvar Remover e Novo O bot o Salvar permite que se salve os campos de um filtro de forma a facilitar sua aplica o posterior e o bot o excluir permite que se exclua um filtro salvo n o mais desejado Para salvar um filtro de eventos deve se proceder da seguinte forma 1 Preenche se todos os seus campos da forma desejada 2 Define se no campo Filtros o nome pelo qual ele ser referenciado 3 Clica se no bot o Salvar Para se aplicar um filtro salvo basta selecionar seu nome no campo Filtros e todos os campos ser o automaticamente preenchidos com os dados salvos Para excluir um filtro que n o mais seja desejado deve se proceder da seguinte forma 1 Seleciona se o filtro a ser removido no campo Filtros 2 Clica se no bot o Excluir O filtro padr o configurado para mostrar todos as mensagens do dia atual Para se a
456. rir D br agente NT setup caso a unidade de CD ROM seja diferente de D substituir a letra D pela letra equivalente O programa inicialmente mostrar uma janela pedindo uma confirma o para prosseguir com a instala o Deve se responder Sim para continuar com a instala o A seguir ser mostrada uma janela com a licen a e por fim a janela onde se pode especificar o diret rio de instala o Essa janela possui o formato mostrado abaixo Instala o Agente de Autentica o Aker E EE x Selecione a unidade de disco e o diret rio para Instala o do programa Diret rio C NAanguivos de programas dk era TAA Procurar Espa o necess rio 4 bl A unidade C possui 1788 Mbytes disponiveis Sair da Instala o ge ltimo Ap s se selecionar o diret rio de instala o deve se pressionar o bot o Copiar arquivos que realizar toda a instala o do agente Esta instala o consiste na cria o de um diret rio chamado de fwntaa dentro do diret rio Arquivos de Programas com os arquivos do agente a cria o de um grupo chamado de Firewall Aker com as op es de configura o e remo o do agente e a cria o de um servi o chamado de Agente de autentica o do Firewall Aker Este servi o um servi o normal do Windows NT e pode ser interrompido ou iniciado atrav s do Painel de Controle no cone servi os il 5 O agente de autentica o escuta requisi es nas portas 1016 TCP
457. ro Porta destino Porta destino do pacote que gerou o registro Flags Flags do protocolo TCP presentes no pacote que gerou o registro Este campo consiste de uma a seis letras independentes A presen a de uma letra indica que o flag correspondente a ela estava presente no pacote O significado das letras o seguinte P PUSH R RST Reset U URG Urgent Pointer Interface Interface de rede do firewall por onde o pacote foi recebido e Protocolo UDP Formato do registro lt Data gt lt Hora gt lt Repeti o gt lt A o gt UDP lt Status gt lt IP origem gt lt Porta origem gt lt IP destino gt lt Porta destino gt lt Interface gt Descricao dos campos Data Data em que o registro foi gerado Hora Hora em que o registro foi gerado Repeti o N mero de vezes em que o registro se repetiu seguidamente Este campo mostrado entre par nteses na Interface texto Status Este campo que aparece entre par nteses na Interface texto consiste de uma a tr s letras independentes que possuem o significado abaixo A Pacote autenticado E Pacote encriptado S Pacote usando troca de chaves via SKIP ou AKER CDP A o Este campo indica qual foi a a o tomada pelo firewall com rela o ao pacote Ele pode assumir os seguintes valores A Indica que o pacote foi aceito pelo firewall D Indica que o pacote foi descartado R Indica que o pacote foi rejeitado IP origem Endere o IP de origem do pacote q
458. rodando Dom nio Nome do dom nio no qual o firewall est rodando DNS Ativo Esta op o deve ser marcada para ativar a resolu o de nomes via DNS e desmarcada para desativ la Servidor prim rio Este campo define o servidor DNS prim rio que ser consultado para se resolver um nome Ele obrigat rio se a op o DNS ativo estiver marcada Servidor secund rio Este campo define o servidor DNS secund rio que ser consultado se o prim rio estiver fora do ar Ele opcional Servidor terci rio Este campo define o servidor DNS terci rio que ser consultado se o prim rio e o secund rios estiverem fora do ar Ele opcional Interfaces de Rede TCP IP firewall aa Interfaces de Rede Dispositivos BE dum PE etho Ba eth PA eth E EM etha JE etha 0 E eth4 af Aplicar Nesta pasta pode se configurar os endere os IP atribu dos a todas as interfaces de rede reconhecidas pelo firewall Ela consiste de uma lista onde s o mostrados os nomes de todas as interfaces e os endere os IP e m scaras de cada uma poss vel se configurar IP 10 0 0 111 200 101 19 2 10 0 1 111 172 156 0 1 192 168 2 17 127 0 0 1 f Aplicar agora P E a M a Seles Y Rotas geo Mascara de Rede Ponto a ponto 299 255 255 0 255 255 255 246 299 255 255 0 295 255 255 0 255 255 255 0 255 0 0 0 at 31 endere os distintos para cada interface Caso uma interface n o tenha um endere o IP configurad
459. roteger Entidade Ej Server e Obot o OK far com que os par metros de configura o sejam atualizados e a janela fechada e O Bot o Cancelar far com que todas as altera es feitas sejam desprezadas e a janela fechada e O bot o Aplicar enviar para o firewall todas as altera es feitas por m manter a janela aberta Significado dos campos da janela Ativar prote o contra SYN flood Esta op o deve estar marcada para ativar a prote o contra SYN flood e desmarcada para desativ la ao se desabilitar a prote o contra SYN flood as configura es antigas continuam armazenadas mas n o podem ser alteradas Dura o m xima do handshake do TCP Esta op o define o tempo m ximo em unidades de 500 ms que o firewall espera por uma confirma o do fechamento das conex es por parte do cliente Se este intervalo de tempo for atingido ser enviado uma pacote para as m quinas servidoras derrubando a conex o 30 valor ideal deste campo pode variar para cada instala o mas sugere se valores entre 3 e 10 que correspondem a intervalos de tempo entre 1 5 e 5 segundos A lista de entidades a proteger A lista de entidades a proteger define as maquinas redes ou conjuntos que serao protegidos pelo firewall Para se incluir uma nova entidade na lista de prote o deve se proceder de um dos seguintes modos e Executa se uma opera o de drag n drop arrastar e soltar da janela de entidades diretamente
460. rreio eletr nico na Internet Este proxy possibilita que sejam realizadas filtragens de e mails baseadas em seus arquivos anexos Ele tamb m atua como uma barreira protegendo o servidor POP3 contra diversos tipos de ataques Ele um proxy transparente para maiores informa es veja o cap tulo intitulado Trabalhando com proxies desta forma nem o servidor nem o cliente sabem de sua exist ncia Ataques contra um servidor POP3 Existem diversos ataques pass veis de serem realizados contra um servidor POP3 S o eles e Ataques explorando bugs de um servidor Neste caso o atacante procura utilizar um comando ou par metros de um comando que conhecidamente provocam falhas de seguran a O proxy POP3 do Firewall Aker impede estes ataques na medida em que s permite a utiliza o de comandos considerados seguros e validando os par metros de todos os comandos e Ataques explorando estouro de reas de mem ria buffer overflows Estes ataques consistem em se enviar linhas de comando muito grandes fazendo com que um servidor que n o tenha sido corretamente desenvolvido apresente falhas de seguran a O proxy POP3 do Firewall Aker impede estes ataques na medida em que limita o tamanho m ximo das linhas de comando que podem ser enviadas para o servidor Utilizando o proxy POP3 Para se utilizar o proxy POP3 em uma comunica o necess rio se executar uma sequ ncia de 2 passos 1 Cria se um servi o que ser desviado
461. rvidores de log remoto s o utilizados pelo firewall para enviar o log para armazenamento em uma m quina remota lly SE poss vel a instala o de diversos agentes externos em uma mesma m quina desde que cada um seja de um tipo distinto Para se cadastrar um agente externo deve se inicialmente selecionar seu tipo abrindo o diret rio de Agentes Externos Independemente de seu sub tipo todos os agentes externos possuem os seguintes campos os demais campos ser o ent o modificados de acordo com o tipo do agente a ser cadastrado Nome o nome atrav s do qual o agente ser referenciado daqui em diante pelo firewall poss vel se especificar este nome manualmente ou deixar que o ele seja atribu do automaticamente A op o Autom tico permite escolher entre estes dois modos de opera o caso ela esteja marcada a atribui o ser autom tica caso contr rio manual WI J Letras mai sculas e min sculas s o consideradas diferentes nos nomes das entidades Desta forma poss vel a exist ncia de v rias entidades compostas de nomes com as mesmas letras por m com combina es distintas de mai sculas e min sculas As entidades Aker AKER e aker s o portanto consideradas diferentes cone o cone que aparecer associado ao agente em todas as refer ncias Para alter lo basta clicar sobre o desenho do cone atual O firewall ent o mostrar uma lista com todos os poss veis cones para represe
462. s e Pasta de sobre Agente de Autentica o Aker Firewall Aker Log Sobre Agente de Autentica o Aker vers o 2 0 Release 1 Build 2 Este produto utiliza os algoritmos DES e SDES retirados da biblioteca SSL escrita por Eric oung cayinincon oz au Copyright c 1995 Eric Young Bi Copyright c 1997 2001 Aker Security Solutions Aplicar Fechar Esta uma pasta meramente informativa e serve para que se obtenha algumas informa es do cliente Dentre as informa es teis se encontram sua vers o e release J Remocao do agente de autenticacao para NT Para facilitar a remo o do agente de autentica o para NT existe um utilit rio que a realiza automaticamente Para inici lo deve se clicar no menu Iniciar selecionar o grupo Firewall Aker e dentro deste grupo a op o Remover agente de autentica o Ao ser feito isso ser mostrada uma janela de confirma o Caso se deseje desinstalar o agente deve se clicar no bot o Sim caso contr rio deve se clicar no bot o N o que cancelar o processo de remo o 19 0 Configurando par metros de autentica o Neste cap tulo ser o mostrados quais s o e como devem ser configurados os par metros de autentica o essenciais para que seja poss vel a autentica o de usu rios pelo firewall O que s o os par metros de autentica o Os par metros de autentica o servem para informar ao firewall que formas de aute
463. s Rede ou M quina N mero m ximo de cones es simult neas Metodos de Autentica o i i o Algontmos Disponiveis Descri o FA Algoritmo 1 j Token SeculD E Algoritmo 2 Algoritmo 3 Smartcard p05 a E d maca fe Algoritmo 4 ce Use perfil de acesso e Algoritmo 5 Comprimento da chave developer 5 Desenvolvedor FOO vers o de Firewall 3 9 3 Configurando o Firewall utilizando a interface texto A interface texto de configura o de canais seguros Cliente Firewall de uso simples e possui as mesmas capacidades da interface gr fica Localiza o do programa etc firewall fwclient Sintaxe fwclient ativa desativa mostra ajuda fwclient inclui remove lt nome gt fwclient habilita desabilita lt algoritmo gt fwclient fwclient fwclient fwclient fwclient max clientes lt valor gt autenticacao nenhuma autenticacao permite perfil lt sim senha cartao token lt sim nao gt todos listados outros nao gt Ajuda do programa Firewall Aker Versao 5 0 fwclient Configura parametros de canais seguros para clientes fwclient fwclient fwclient twee brent fwclient fwclient fwclient fwclient Uso ativa desativa mostra meu remove habilita desabilita max clientes autenticacao usuarios estabelecerem permite seguros perfil validados ajuda Para inclua y nome lista ativa desativa mostra ajuda inclui
464. s Inserir e Apagar estar o presentes Inserir pagar 100003 nfs nfsprog e e Inserir Esta op o permite incluir um novo servi o na lista Se algum servi o estiver selecionado o novo ser Inserido na posi o selecionada Caso contr rio o novo servi o ser inclu do no final da lista e Apagar Esta op o remove da lista o servi o selecionado e Lista de servi os Cont m uma lista pr definida de servi os e seus respectivos n meros poss vel acrescentar servi os que n o estejam presentes nessa lista Para isso basta clicar no campo logo abaixo da op o Apagar e digitar o c digo do novo servi o Para alterar a a o aplicada a um servi o basta clicar com o bot o direito do mouse sobre ele na coluna A o e escolher uma das op es Aceita ou Rejeita que aparecer o no menu seguinte Inserir 29 0 Utilizando as Ferramentas da Interface Gr fica Neste cap tulo ser mostrada a fun o das diversas ferramentas presentes na interface gr fica do Firewall Aker WO que s o as ferramentas da interface gr fica do Firewall Aker As ferramentas s o um conjunto de utilit rios presentes apenas na interface gr fica do Firewall Aker Elas servem para facilitar a administra o do firewall provendo uma s rie de fun es bastante teis no dia a dia 29 1 Chaves de Ativa o Esta op o permite se atualizar a chave de ativa o do Firewall Aker e a chave de licen as adicionais p
465. s rio apenas para o traceroute unix O tracert n o faz uso dessas portas Como fa o para n o registrar as informa es de broadcast no log do firewall Suponhamos que um firewall proteja as seguintes redes Rede 1 10 0 1 0 255 255 255 0 Rede 2 200 200 20 0 255 255 255 0 Rede 3 10 0 20 0 255 255 255 0 Para se evitar que os broadcast sejam registrados no log do firewall fa a o seguinte 1 Cadastre tr s entidades tipo maquina Broadcast Rede 1 IP 10 0 1 255 Broadcast Rede 2 IP 200 200 20 255 Broadcast Rede 3 IP 10 0 20 255 2 Crie uma regra de prefer ncia no inicio da Lista de Regras de modo que fique da seguinte forma Origem Rede 1 Rede 2 Rede 3 Destino Broadcast Rede 1 Broadcast Rede 2 Broadcast Rede 3 Servicos Todos TCP Todos UDP Todos ICMP Acao Descarta Obs Certifique se que nenhuma op o do Log nos par metros da regra esteja marcado Muitas vezes temos de utilizar o cliente de correio Outlook 2000 do pacote Office para acessar as contas de correio que est o em um servidor Exchange contudo o nome netbios o usado por padr o nas configura es de clientes e na maioria das vezes a conex o originada da Internet n o consegue resolver o nome netbios Como resolver O m todo mais f cil para n o ter que ficar abrindo v rias portas do firewall para resolu o netbios criar um arquivo de nome lt hosts gt e coloc lo do diret rio c windows dos clientes Dentro deste arquiv
466. s se ativa faz com que a interface calcule e mostre a velocidade de cada conex o em bits s E poss vel se ordenar a lista das conex es por qualquer um de seus campos bastanto para isso clicar no t tulo do campo O primeiro click produzir uma ordena o ascendente e o segundo uma ordena o descendente Pasta de gr fico Conex es TCP Firewall Verde Conex es Gr fico 192 168 1 45 192 168 1 15 Servi os Esta pasta consiste de dois gr ficos o gr fico superior mostra os servi os mais utilizados e o gr fico inferior mostra as m quinas que mais acessam servi os ou que mais s o acessadas No lado direito existe uma lengenda mostrando que m quina ou servi o correspondem a que cor do gr fico WI JO intervalo de tempo no qual o gr fico atualizado o mesmo configurado na pasta de conex es Significado dos campos de uma conex o ativa Cada linha presente na lista de conex es ativas representa uma conex o O significado de seus campos o seguinte IP origem Endere o IP da m quina que iniciou a conex o Porta origem Porta usada pela m quina de origem para estabelecer a conex o IP destino Endere o IP da m quina para a qual a conex o foi efetuada Porta destino Porta para qual a conex o foi estabelecida Esta porta normalmente est associada a um servi o espec fico In cio Hora de abertura da conex o Inativo N mero de minutos e segundos de inatividade da conex
467. s a es definidas na regra para o pacote de abertura de conex o No caso do protocolo UDP todos os pacotes que forem enviados pela m quina cliente e se enquadrarem na regra por m n o os pacotes de resposta provocar o a execu o das a es Tabela de hor rios Esta tabela define as horas e dias da semana em que a regra aplic vel As linhas representam os dias da semana e as colunas as horas Caso se queira que a regra seja aplic vel em determinada hora o quadrado deve ser preenchido caso contr rio o quadrado deve ser deixado em branco Para facilitar sua configura o pode se clicar com o bot o esquerdo do mouse sobre um quadrado e a seguir arrast lo mantendo o bot o pressionado Isto faz com que o a tabela seja alterada na medida em que o mouse se move Per odo de validade Permite o cadastro de duas datas que delimitam um per odo fora do qual a regra n o tem validade um recurso muito til para por exemplo liberar o tr fego relacionado a um evento n o recorrente como um teste Se o per odo ainda n o tiver come ado ou estiver expirado o n mero da regra ser mostrado sobre um fundo vermelho lt gt Coment rio Reservado para se colocar um coment rio sobre a regra Muito til na documenta o e manuten o das informa es sobre a utilidade da regra Utiliza o dos Canais na Regra de Filtragem do Firewall Aker O administrador pode definir Qualidade de Servi o QoS diferenciada para cada tip
468. s aceitos pelo firewall e Depura o Os registros desta prioridade n o trazem nenhuma informa o realmente til exceto quando se est configurando o sistema Se enquadram nesta prioridade as mensagens de convers o de endere os M dulo Esta op o permite visualizar independentemente os registros gerados por cada um dos tr s grandes m dulos do sistema filtro de pacotes conversor de endere os m dulo de criptografia IPSEC e Clustering Protocolo Este campo permite que se especifique o protocolo dos registros a serem mostrados As seguintes op es s o permitidas e TCP Ser o mostrados os registros gerados a partir de pacotes TCP Se esta op o for marcada a op o TCP SYN ser automaticamente desmarcada e TCP SYN Ser o mostrados os registros gerados a partir de pacotes TCP de abertura de conex o pacotes com o flag de SYN ativo Se esta op o for marcada a op o TCP ser automaticamente desmarcada e UDP Serao mostrados os registros gerados a partir de pacotes UDP e ICMP Serao mostrados os registros gerados a partir de pacotes ICMP e Outro Serao mostrados registros gerados a partir de pacotes com protocolo diferente de TCP UDP e ICMP Pode se restringir mais 0 protocolo a ser mostrado especificando seu numero atrav s do campo Porta destino ou Tipo de Servico e QO bot o OK aplicar o filtro escolhido e mostrar a janela de log com as informa es selecionadas e O bot o Cance
469. s cujos endere os ser o convertidos para o endere o da Entidade Virtual descrita acima A convers o 1 1 ou convers o de servi os permitem que apenas uma entidade seja selecionada para este campo e esta entidade deve ser do tipo m quina Caso se esteja utilizando Convers o 1 N ou Convers o de Servi os 1 N ent o cada m quina pertencente a esse campo ter um pesso associado a ela mostrado entre par nteses direita do nome da entidade Para se alterar o peso de uma determinada m quina ou seja fazer com que ela receba mais conex es que as demais basta se clicar com o bot o direito sobre o nome da entidade na lista da direita selecionar a op o Alterar peso e escolher o novo valor 30 campo Entidade Origem deve sempre conter os endere os Internos reservados ou n o v lidos das m quinas participantes da convers o independentemente de seu tipo Entidade Destino Este campo serve para se especificar as entidades para as quais a convers o de endere os ser efetuada no caso da convers o N 1 ou as m quinas que acessar o as m quinas Internas atrav s do endere o contido no campo Entidade Virtual para os demais tipos de convers o Criando se v rias regras com valores distinos nesse campo faz se com que uma mesma m quina tenha seu endere o convertido para endere os distindos dependendo do destino da comunica o 30 valor mais comum para esse campo a especifica o da entidade Internet como destino
470. s da interface gr fica exceto pelo fato de n o ser poss vel se configurar os par metros de monitoramento Localiza o do programa etc firewall fwnat Sintaxe Firewall Aker Versao 5 1 fwnat Configura regras de conversao de enderecos Uso fwnat ajuda mostra ativa desativa fwnat habilita desabilita remove lt pos gt fwnat inclui lt pos gt 1 1 lt origem gt lt destino gt NAT lt entidade virtual gt bal lt ev 1 gt lt ev 2 gt lt pos gt n l1 lt origem gt bal lt ev 1 gt lt ev 2 gt fwnat inclui E unar incglu i virtual gt bal lt ev 1 gt lt ev 2 gt fwnat inclui bal lt ev_1 gt lt ev 2 gt fwnat inclui fwnat inclui lt entidade virtual gt bal lt ev_1 gt lt ev 2 gt lt persist gt lt nenhum ping lt destino gt lt pos gt servicos lt origem gt lt destino gt lt pos gt portas lt origem gt lt destino gt lt entidade virtual gt lt entidade lt servicol gt lt servico2 gt lt entidade virtual gt lt servico gt lt servico virtual gt lt pos gt sem_conversao lt origem gt lt destino gt lt pos gt l n lt origeml gt lt origem2 gt lt destino gt lt round robin randomico gt HTTP lt URL gt gt Ajuda do programa Firewall Aker Versao 5 1 fwnat Configura regras de conversao de enderecos NAT Uso fwnat ajuda mostra ativa desativa fwnat habilita desabilita re
471. s de uma combina o de nome e uma senha Esses dados ser o repassados a um ou mais servidores de autentica o que dever o valid los Esta op o a mais insegura por m n o depende de nenhum hardware adicional 2 Token SecurID O usu rio dever se autenticar mediante o fornecimento de um nome um PIN e um c digo presente em um Token SecurID que modificado a cada minuto Esses dados ser o repassados para o autenticador Token cadastrado no firewall para serem validados Essa op o bem mais segura que a anterior por m exige que cada usu rio possua um Token 3 Smartcard X509 O usu rio dever se autenticar atrav s do uso de certificados X509 por exemplo gravados em smart cards e emitidos por uma das autoridades certificadoras cadastradas no firewall Essa forma de autentica o a mais segura das tr s por exigir a senha de desboqueio da chave privada e a posse da mesma Permitir compress o de dados A compress o de dados importante para conex es lentas como as discadas Quando esta op o est marcada feita a compress o das Informa es antes de serem enviadas pela rede Isso permite um ganho de performance na velocidade de comunica o por m exige um maior processamento local Para redes mais r pidas melhor n o se utilizar a comprees o Porta TCP UDP Este controle permite configurar a porta usada pelo servidor para escutar conex es e dados de clientes respectivamente Por exemplo
472. s direitos do usu rio s o representados atrav s de tr s siglas independentes Caso o usu rio possua um determinado direito ser mostrada a sigla correspondente a ele caso contr rio ser mostrado o valor As siglas e seus significados s o os seguintes e CF Configura Firewall e CL Configura Log e GU Gerencia usuarios 138 Sess o de administra o finalizada Esta mensagem indica que a sess o de administra o estabelecida anteriormente foi terminada a pedido do cliente 139 Usu rio n o cadastrado para administra o Esta mensagem indica que um usu rio n o cadastrado no sistema tentou estabelecer uma sess o de administra o 140 Erro de confirma o de sess o de administra o Esta mensagem indica que um usu rio cadastrado no sistema tentou estabelecer uma sess o de administra o remota por m sua senha estava incorreta A mensagem complementar mostra o nome do usu rio em quest o 141 Firewall sendo administrado por outro usu rio Esta mensagem indica que um usu rio conseguiu se autenticar corretamente para estabelecer uma sess o de administra o remota por m j existia um outro usu rio com uma sess o aberta para a mesma m quina e por isso a conex o foi recusada A mensagem complementar indica qual o usu rio que teve sua sess o recusada 142 Altera o de par metro Esta mensagem indica que o administrador que estava com a sess o de administra o aberta alterou algum par
473. s maquinas redes ou conjuntos estabelecer canais seguros com o firewall permite a todas as maquinas na Internet menos as maquinas redes ou conjuntos listados estabelecerem canais seguros com o firewall Exemplo 1 mostrando a configura o etc firewall fwclient mostra Parametros de configuracao Suporte a canais seguros para clientes ativado Numero maximo de clientes simultaneos 25 Utiliza perfis de acesso sim Autenticacao de usuarios nenhuma NAO permite canais seguros apenas para as entidades abaixo hackerl Maquina rede teste Rede Algoritmos carregados DES habilitado 3 DES habilitado Blowfish 1268 habilitado Blowtrshn 256 habilitado Exemplo 2 ativando a autentica o de usu rios por usu rio senha e mostrando a nova configura o etc firewall fwclient autenticacao senha sim etc firewall fwclient mostra Parametros de configuracao Suporte a canais seguros para clientes ativado Numero maximo de clientes simultaneos 25 Utiliza perfis de acesso sim Autenticacao de usuarios Usuario senha sim Smart card nao Token gt nao NAO permite canals seguros apenas das entidades abaixo hackerl Maquina rede teste Rede Algoritmos carregados DES habilitado DES habilitado Blowfish 128 habilitado Blowfish 256 habilitado Exemplo 3 permitindo o estabelecimento de canais seguros de qualquer m quina e mostrando a nova configura o etc firewall fwcli
474. s pelo firewall e Convertido Mostra as mensagens relacionadas convers o de endere os Prioridade Diferentes tipos de mensagens possuem prioridades diferentes Quanto maior for a prioridade associada a um determinado registro mais import ncia deve se dar a ele Abaixo est a lista com as todas as prioridades poss veis ordenada da mais importante para a menos caso tenha se configurado o firewall para mandar uma c pia do log para o syslogd as prioridades com as quais as mensagens ser o geradas no syslog s o as mesmas apresentadas abaixo e Aviso Os registros que se enquadram nesta prioridade normalmente indicam que algum tipo de ataque ou situa o bastante s ria como por exemplo um erro na configura o dos fluxos de criptografia est ocorrendo Este tipo de registro sempre vem precedido de uma mensagem que fornece maiores explica es sobre ele e Nota Normalmente se enquadram nesta prioridade os pacotes que foram rejeitados ou descartados pelo sistema em virtude destes terem se encaixado em uma regra configurada para rejeit los ou descart los ou por n o terem se encaixado em nenhuma regra Em algumas situa es eles podem ser precedidos por mensagens explicativas e Informa o Os registros desta prioridade acrescentam informa es teis mas n o t o Importantes para a administra o do Firewall Estes registros nunca s o precedidos por mensagens explicativas Normalmente se enquadram nesta prioridade os pacote
475. s que cheguem de uma rede para a qual existe um canal seguro estejam vindo criptografados Caso um pacote venha de uma rede para a qual existe um canal de criptografia ou autentica o e este pacote n o estiver autenticado ou criptografado ele ser descartado Caso o pacote tenha sido validado com sucesso este ser repassado para o conversor de endere os e O conversor de endere os O conversor de endere os recebe um pacote e verifica se o endere o destino deste pacote um dos IPs virtuais Em caso positivo este endere o convertido para um endere o real Independente de ter sido convertido ou n o o pacote ser repassado para o filtro de pacotes e OQ filtro de pacotes O filtro de pacotes o ultimo m dulo do fluxo de fora para dentro Ele possui a fun o b sica de validar os pacotes recebidos de acordo com as regras definidas pelo administrador e a sua tabela de estados e decidir se este deve ou n o ser autorizado a trafegar pelo firewall Se ele decidir que o pacote pode trafegar este ser repassado para a m quina destino caso contr rio ele ser descartado 11 2 Integra o do filtro com a convers o de endere os Quando vai se configurar as regras de filtragem para serem usadas com m quinas cujos endere os ser o convertidos surge a seguinte d vida deve se usar os endere os reais das m quinas ou os endere os virtuais Esta d vida facilmente respondida ao se analisar o fluxo dos pacotes
476. s senhas Caso ela esteja ativa deve se configurar os demais par metros relativos a esse tipo de autentica o Pesquisa em todos os autenticadores Este par metro indica se o firewall deve tentar validar um usu rio nos pr ximos autenticadores da lista no caso de um autenticador retornar uma mensagem de senha inv lida Se esta op o estiver marcada o firewall percorre todos os autenticadores da lista um a um at receber uma resposta de autentica o correta ou at a lista terminar Caso ela n o esteja marcada a pesquisa ser encerrada no primeiro autenticador que retornar uma mensagem de autentica o correta ou de senha inv lida lI 3 Esta op o s usada para respostas de senha inv lida Caso um autenticador retorne uma resposta indicando que o usu rio a ser validado n o est cadastrado na base de dados de sua m quina o firewall continuar a pesquisa no pr ximo autenticador da lista independentemente do valor desta op o Pesquisa no autenticador local Est par metro indica se a base de usu rios locais do firewall definida na pasta Autentica o Local deve ser consultada para validar a senha dos usu rios Se sim tamb m se deve escolher no combo box ao lado se essa base deve ser consultada antes ou depois dos demais autenticadores Usu rio pode especificar dom nio Este par metro indica se o usu rio na hora de se autenticar pode informar ao firewall em qual autenticador ele deseja ser validado
477. sa n o possua uma faixa de endere os IP da Internet e sim um nico IP v lido Neste caso conveniente que se fa a a convers o de servi os Com este tipo de configura o poder ser feito um aproveitamento deste nico IP para diversos tipos de servi os No caso o IP o 200 120 210 15 A regra foi colocada pelos mesmos motivos citados no cen rio anterior Na regra 2 temos que algu m da Internet esteja procurando pela m quina 200 120 210 15 e na porta do servidor ftp 21 TCP Neste caso o firewall ir enviar a conex o para a maquina server Na regra 3 algu m da Internet est procurando pela mesma m quina 200 120 210 15 por m na porta do smtp 25 TCP O firewall ir mandar esta conex o para o endere o da entidade Correio SMTP J a regra 4 possibilita que o servidor web da empresa seja acessado pela porta http 80 TCP A regra 5 um exemplo do balanceamento de carga utilizando uma porta de servi o Neste caso algu m da Internet est procurando acesso ao IP 200 120 210 15 para o servi o web seguro 443 TCP sendo que h tr s servidores para atender a requisi o no caso NT1 NT2 e NT3 Os princ pios para atender estas conex es s o os mesmos ja explicados no cen rio anterior Finalizando a regra 6 permite que qualquer outra m quina origine conex o para Internet no caso sendo visualizado o IP 200 120 210 15 no destino Apesar de ser poss vel utilizar a convers o de servi os no caso do cen rio
478. se analisar o fluxo dos pacotes e No fluxo de ida de dentro para fora os pacotes passam primeiro pelo filtro depois possuem seus endere os convertidos se for o caso e por fim s o repassados para o m dulo de encripta o Devido a 1sso o m dulo de encripta o recebe os pacotes como se eles fossem originados dos endere os virtuais e No fluxo de volta de fora para dentro os pacotes passam primeiro pelo m dulo de decripta o e s o decriptados se for o caso A seguir s o enviados para o conversor de endere os que converte os IPs virtuais para reais e por fim s o enviados para o filtro de pacotes O m dulo de decripta o recebe os pacotes antes deles terem seu endere o convertido e portanto com os endere os virtuais Em ambos os casos o m dulo de criptografia recebe os pacotes como se eles tivessem origem ou destino nos IPs virtuais o que nos leva seguinte afirma o lly 3 Ao se criar fluxos de criptografia deve se prestar aten o convers o de endere os Os endere os de origem e destino devem ser colocados como se o fluxo se originasse ou tivesse como destino IPs virtuais 12 0 Configurando a Seguran a Mostraremos aqui como configurar a prote o contra ataques no m dulo de seguran a do Firewall Aker 12 1 Prote o contra SYN Flood WO que um ataque de SYN flood SYN Flood um dos mais populares ataques de nega o de servi o denial of service Esses ataques visam impedir
479. se os endere os da regra com os do pacote Caso estes endere os sejam iguais ap s a aplica o das m scaras passa se a comparar o protocolo e a porta destino no pacote com o protocolo e a lista de portas associados regra Se o protocolo for o mesmo e se for encontrada uma porta da regra igual porta do pacote esta regra por defini o se aplica ao pacote caso contr rio a pesquisa continua na pr xima regra Assim um conjunto de regras teria o seguinte formato Lala aa de Le A ud SS OA aU Za ra 0 UDP 33 DS a owe E D O ra 4G HS Aa dis ad We LD a Ao Dando TCE SO a RT o bz sd E LOS LD a DU TCP 2L 20 115 Lda Boe 0 O gt LO ZM amp 299 2 ows 0 ICMP O0 8 Montando regras de filtragem para o Firewall Aker Configurar as regras de filtragem no Firewall Aker algo muito f cil em fun o de sua concep o inteligente Toda a parte de endere os IP m scaras protocolos portas e interfaces configurada nas entidades para maiores informa es veja o cap tulo intitulado Cadastrando Entidades Devido a isso ao configurar uma regra n o necess rio se preocupar com qual porta um determinado servi o utiliza ou qual o endere o IP de uma rede Tudo isso j foi previamente cadastrado Para facilitar ainda mais todos os servi os mais utilizados na Internet j vem previamente configurados de f brica sendo desnecess rio perder tempo pesquisando os dados de cada um Basicamente para cadastrar uma regra o administrador
480. se seguran a ainda maior j que o cliente de criptografia utiliza certificados assinados e com isso consegue validar o firewall com o qual ele est se comunicando 1 9 Toda a comunica o entre o Cliente de Autentica o Aker e os firewalls criptografada mesmo se a op o Funcionar Apenas com o Cliente de Criptografia Aker estiver desmarcada A nica seguran a a mais acrescentada pelo cliente de criptografia o fato deste validar atrav s de certificados digitais assinados que o firewall com o qual se est comunicando realmente o firewall verdadeiro impedindo ataques do tipo men in the middle A op o Mostrar status na barra de tarefas se estiver marcada faz com que seja mostrado um cone na barra de tarefas da rea de trabalho que permite se verificar se existe ou n o uma sess o estabelecida Log amp Cliente de Autentica o Firewall Aker Ex Firewalls Log Sobre il Apagar Salvar W Ativar log Bi Depura o W Usar visualizador de Eventos Wiw Informa o Ol Not cia E Advert ncia Biv Erro Data 0211 2003 0211 2003 0211 2003 0271172003 0241 2003 02112003 02 11 2003 0211 2003 0241 2003 0271172003 02711 2003 s Hora 11 30 43 11 30 39 11 30 35 11 30 31 11 30 27 11 30 15 11 30 11 11 30 07 11 30 03 11 29 59 11 29 55 Mensagem Requisi o de certificado ao Firewall Hequisi o de certificado ao Firewall Hequisi
481. seguintes passos e Em m quinas Windows clicar no menu Iniciar selecionar o grupo Aker dentro deste grupo selecionar o sub grupo Aker Control Center e clicar no cone Aker Control Center e Em FreeBSD ou Linux deve se executar o comando fwgui a partir do prompt do shell ou clicar no icone criado na rea de trabalho apenas para KDE Ser mostrada a seguinte janela 1 Aker Control Center Op es Dispositivos Janelas Ajuda Oras as A E D D h Seli Gar Novo Editar Apagar Salar Carregar Connectar Efetuar mudan as Inserir Apagar Copiar Colar what s this Dispositivos remotos Configuration Managers BE amp Firewalls dli Demo Ay Firewalls Configura firewalls Aker remotamente A janela mostrada acima a janela principal do Firewall Aker a partir dela que se tem acesso a todas as op es de configura o Ela consiste de 4 menus descritos brevemente abaixo quando existe um firewall selecionado um quinto menu mostrado com op es espec ficas para o firewall selecionado e Op es O menu Op es cont m as configura es relacionadas ao layout da interface gr fica Ao se clicar neste menu aparecer o as seguintes op es Textos nos bot es marcando esta op o ser mostrada juntamente com cada cone a a o correspondente do bot o Desmarcando esta op o ser mostrado apenas o cone Dicas para Entidades quando esta op o estiver ativada uma pequena cai
482. seje utilizar um nico perfil de acesso para todos os usu rios n o necess rio o cadastramento de nenhum usu rio e ou grupo Ap s todos os campos estarem preenchidos deve se clicar no bot o OK para realizar a inclus o ou altera o do agente externo Para cancelar as altera es realizadas ou a inclus o deve se pressionar o bot o Cancelar Para facilitar a inclus o de v rios agentes seguidamente existe um bot o chamado Nova que n o estar habilitado durante uma edi o Ao ser clicado este bot o far com que o agente cujos dados foram preenchidos seja inclu do e a janela de inclus o de agentes mantida aberta pronta para uma nova inclus o Desta forma poss vel se cadastrar rapidamente um grande n mero de agentes Incluindo editando servi os ra Autom tico Protocolo TCP e Servi o Inicio Fim Para se cadastrar uma entidade do tipo servi o necess rio preencher os seguintes campos Nome o nome atrav s do qual o servi o ser referenciado daqui em diante pelo firewall poss vel se especificar este nome manualmente ou deixar que ele seja atribu do automaticamente A op o Autom tico permite escolher entre estes dois modos de opera o caso ela esteja marcada a atribui o ser autom tica caso contr rio manual Il SLetras maiusculas e minusculas sao consideradas diferentes nos nomes das entidades Desta forma possivel a exist ncia de varias e
483. ser enviada uma Trap SNMP para o gerente SNMP todas as vezes que a mensagem correspondente ocorrer a configura o dos par metros de configura o para o envio das traps ser mostrada no pr ximo t pico WI J N o poss vel alterar as a es para a mensagem de inicializa o do firewall mensagem n mero 43 Esta mensagem sempre ter como a es configuradas apenas a op o Loga Significado dos bot es da janela de a es e Obot o OK far com que a janela de a es seja fechada e as altera es efetuadas aplicadas e O bot o Cancelar far com que a janela seja fechada por m as altera es efetuadas n o ser o aplicadas e O bot o Aplicar far com que as altera es sejam aplicadas sem que a janela feche A janela de configura o dos par metros Para que o sistema consiga executar as a es necess rio que se configure certos par metros por exemplo para o Firewall enviar um e mail necess rio se configurar o endere o Estes par metros s o configurados atrav s da janela de configura o de par metros para as a es Esta janela mostrada ao se selecionar Par metros na janela de A es Ela tem o seguinte formato A es Firewall Verde Log de mensagens Mensagens de Evento Parametros Par metros para executar um programa Par metros para enviar traps SNMP Par metros para enviar e mail Z oK Coca Significado dos par metros e Par metros para executar
484. ser utilizado para se checar v rus dos arquivos anexados a mensagens de e mail Esse agente deve ter sido previamente cadastrado no firewall Para maiores informa es veja o cap tulo intitulado Cadastrando entidades e E mail padr o Indica o endere o de e mail padr o para o qual ser o enviadas as c pias das mensagens que n o se enquadrarem em nenhuma regra deste contexto se a op o Envia C pia estiver marcada Este e mail tamb m pode ser referenciado em qualquer regra de filtragem do contexto e N mero m ximo de processos Este campo indica o n mero m ximo de c pias do proxy que poder o estar ativas em um determinado momento Como cada processo trata uma conex o este n mero tamb m representa o n mero m ximo de mensagens que podem ser transmitidas simultaneamente para o contexto em quest o Caso o n mero de conex es ativas atinja este limite os clientes que tentarem enviar novas mensagens dever o repetir a tentativa posteriormente e Tempo limite de resposta Este par metro indica o tempo m ximo em segundos que o proxy espera a conex o em inatividade Caso este tempo seja atingido o proxy encerra a conex o e Permitir a passagem de anexos mal codificados Permite que anexos que estejam mal codificados passem pelo firewall e sejam entregues aos clientes de email Lista de regras Nessa lista s o especificadas as regras de tratamento de arquivos anexados que permitem que uma mensagem tenha seus arquivos ane
485. sibilitam 65 533 m quinas e os classe C que possibilitam 254 m quinas Devido ao grande crescimento apresentado pela Internet nos ltimos anos n o existem mais endere os classe A e B dispon veis Assim sendo qualquer rede que venha a se conectar receber um endere o classe C que permite o endere amento de apenas 254 m quinas Caso o n mero de m quinas seja maior do que isso deve se adquirir v rios endere os classe C dificultando o trabalho de administra o ou utilizar uma solu o de convers o de endere os convers o de endere os uma tecnologia que permite que os endere os das m quinas da rede interna sejam distribu dos como se desejar possivelmente usando endere os classe A e mesmo assim todas as m quinas possam acessar de forma simult nea e transparente a Internet O seu funcionamento simples todas as vezes que uma m quina com um endere o reservado tenta acessar a Internet o Firewall detecta e automaticamente traduz seu endere o para um endere o v lido Quando a m quina destino responde e envia dados para o endere o v lido o Firewall converte de volta este endere o para o reservado e repassa os dados para a m quina interna Da forma que 1sso feito nem as m quinas clientes nem as m quinas servidoras sabem da exist ncia de tal mecanismo Uma outra vantagem al m da apresentada acima que com a convers o de endere os todas as m quinas da sua rede interna ficam Invis veis para a re
486. so Texto Define o texto a ser pesquisado Registrar na lista de eventos Registra no log de eventos do firewall caso a regra tenha sido executada Verifica alias Se esta op o estiver marcada o firewall comparar todos os nomes retornados pelo DNS para verificar se algum deles se encaixa na regra A o A o a ser executada pelo firewall caso a regra seja atendida Ela pode ser Aceita ou Rejeita e Pasta de anexos Fa Se rvicos C Automatica 7 P x ES Nome SMTP Proxy Editar Insert Apagar Copiar Colar Protocolo ve Relay Regras DNS Anexos REL Avan ado Servi o Agente de antivirus para checagem dos arquivos A Panda Antivirus Inicio Nome Tipo MIME Nome do arquivo A o ae Fim checa vie Qualquer Qualquer Remove o anexo se estiver infectada Proxy SMTP Permitir a passagem de anexos mal codificados Configura es Tamanho m ximo da mensagem lo E butes Ilimitada Registrar na lista de eventos Envia c pia de todas as mensagens Checagem de DNS reverso habilitada E mail padr o admin aker com br Nessa pasta sao especificadas as regras de tratamento de arquivos anexados Essas regras permitem que caso uma mensagem tenha sido aceita ela tenha seus arquivos anexados removidos ou checados contra virus Elas permitem tamb m que se rejeite uma mensagem por completo caso ela contenha um arquivo anexo inaceitavel com v rus por exemplo Agente d
487. sparente em e mails e nos downloads FTP e HTTP e Agentes IDS Os agentes IDS Intrusion Detection Systems Sistemas detetores de intrus o s o sistemas que ficam monitorando a rede em tempo real procurando por padr es conhecidos de ataques ou abusos Ao detectar uma destas amea as ele pode incluir uma regra no firewall que bloquear imediatamente o acesso do atacante e Analisadores de contexto Os analisadores de contexto s o utilizados pelo proxy WWW para controlar o acesso a URLs baseados em diversas categorias pr configuradas e Autenticadores Os agentes de autentica o s o utilizados para se fazer autentica o de usu rios no firewall utilizando usuarios senhas de bases de dados de diversos sistemas operacionais Windows NT Linux etc e Autenticador Radius O autenticador Radius s o utilizados para se fazer autentica o de usu rios no firewall a partir de uma base Radius e Autenticadores Token Os autenticadores token s o utilizados para se fazer autentica o de usu rios no firewall utilizando SecurID Alladin e outros e Autoridade certificadora Autoridades certificadoras s o utilizadas para se fazer autentica o de usu rios atrav s de PKI com o uso de Smart Cards e para autentica o de firewalls com criptografia IPSEC e Autenticadores LDAP O autenticador LDAP permite ao firewall autenticar usuario usando uma base LDAP compativel com o protocolo X500 e Servidor de log remoto Os se
488. sponde a uma mensagem distinta por m existem mensagens que podem ocupar 2 ou 3 linhas O formato das mensagens ser mostrado na pr xima se o Observa es importantes e AS mensagens ser o mostradas de 100 em 100 e S ser o mostradas as primeiras 10 000 mensagens que se enquadrem no filtro escolhido As demais podem ser vistas exportando os eventos para um arquivo ou utilizando um filtro que produza um n mero menor de mensagens e No lado esquerdo de cada mensagem ser mostrado um icone colorido simbolizando sua prioridade As cores tem o seguinte significado Azul Depura o Verde Informa o Amarelo Not cia Vermelho Advert ncia Preto Erro e Ao se clicar com o bot o esquerdo sobre uma mensagem aparecer na parte inferior da tela uma linha com informa es adicionais sobre ela il 5 Ao se apagar todos os eventos n o existe nenhuma maneira de se recuperar as Informa es anteriores A nica possibilidade de recupera o a restaura o de uma c pia de seguran a e O bot o Salvar localizado na barra de ferramentas gravar todas as informa es selecionadas pelo filtro atual em um arquivo em formato texto ou em formatos que permitem sua importa o pelos analisadores de log da Aker e da WebTrends Os arquivos consistir o de v rias linhas de conte do igual ao mostrado na janela il 3 Se a op o Expande mensagens estiver marcada e se tiver escolhido a op o de exporta o em formato texto
489. ss vel oferecer uma seguran a adicional para certos servi os sem perda da flexibilidade e sem a necessidade de altera o de nenhuma m quina cliente ou servidora Al m disso poss vel se utilizar proxies transparentes em requisi es de dentro para fora e de fora para dentro indiferentemente Conexao para o servidor Conexao para o Servidor Cliente Redirecionamento Caminho original interrompido Proxies transparentes e contextos O Firewall Aker introduz uma novidade com rela o aos proxies transparentes os contextos Para entend los vamos inicialmente analisar uma topologia de rede onde sua exist ncia necess ria Suponha que exista um Firewall Aker conectado a tr s redes distintas chamadas de redes A Be C e que as redes A e B sejam redes de dois departamentos de uma mesma empresa e a rede C a Internet Suponha ainda que na rede A exista um servidor SMTP que seja utilizado tamb m pela rede B para enviar e receber correio eletr nico Isto est Ilustrado no desenho abaixo Contexto 2 Rede A Rede B AKER Contexto Suponha agora que se deseje configurar o firewall para desviar todas as conex es SMTP para o proxy SMTP de modo a assegurar uma maior prote o e um maior controle sobre este tr fego importante que exista um meio de se tratar diferentemente as conex es para A com origem em Be C a rede B utilizar o servidor SMTP de A como relay ao enviar seus e mails en
490. sso atrav s de uma s rie de mensagens auto explicativas Ally Deve se atentar para o fato do programa de instala o substituir o arquivo etc rc Caso se tenha feito alguma altera o neste arquivo necess rio faz la novamente ap s a instala o Ap s terminar de copiar os arquivos o programa de instala o far algumas perguntas de modo a realizar a configura o espec fica para cada sistema A primeira destas configura es ser a da chave de ativa o do produto Esta chave o que habilita o produto para seu funcionamento Sem ela nenhum m dulo do firewall funcionar Ser mostrada a seguinte tela Firewall Aker v5 1 Programa de Instalacao Configuracao do sistema completada E necessario agora ativar a copia Instalada atraves da digitacao da chave de ativacao que foi entregue ao se adquirir o produto A chave de ativacao o nome da empresa e o endereco IP da interface externa deverao ser digitados exatamente como constam no documento entregue pela Aker Consultoria e Informatica ou seu representante Pressione enter para continuar Ap s digitar enter o programa mostrar uma tela solicitando que se digite as informa es contidas no documento fornecido pela Aker Security Solutions ou pelo seu representante autorizado de vendas Deve se atentar para digitar todos os campos exatamente como constam no documento ily a A chave deve ser digitada com os h fens que aparecem no documento origina
491. ste caso o firewall far uma cr tica para verificar se o gateway realmente pertence a rede da operadora e Peso Um valor a ser atribu do ao link no caso peso maiores pressup e links mais r pidos e Verif 1 Cadastre uma entidade que tenha certeza que esteja logo a seguir do roteador da operadora de prefer ncia dentro de um ou dois saltos de seu roteador Esta entidade ser utilizada pelo firewall para determinar se o link est no ar ou n o Pode ser cadastrado um servidor DNS da operadora ou mesmo roteadores pr ximos e Verif2e Verif 3 Entidades de verifica o tamb m utilizadas pelo firewall N o mandat rio que estejam cadastrados as tr s entidades de verifica o contudo quanto mais melhor para o sistema de verifica o do firewall 4 NAT Firewall Azul e Mat Balanceamento de Link Home Gateway gt Gw embratel i a Gi Intelig Segunda Fase Montagem das Regras de NAT A segunda fase da montagem bem simples bastando colocar em cada regra de convers o duas ou mais entidades virtuais uma com endere o de cada prestador de servi o N o esque a de habilitar na coluna Balanceamento de links o cone correspondente para que o servi o possa ser realizado pelo firewall Cabe ressaltar que o firewall tamb m realizar uma cr tica para determinar se realmente a Entidade Virtual pertence a um link previamente cadastrado Uma limita o desta i
492. t muito pequeno Caso apare a um grande n mero destas mensagens seguidamente ent o provavelmente um ataque de SYN flood foi repelido pelo Firewall 011 Pacote sem informa o de autentica o Esta mensagem indica que pacote em quest o veio sem header de autentica o e a configura o do fluxo seguro correspondente indica que ele s deveria ser aceito autenticado ver o cap tulo intitulado Criando Canais de Criptografia Isto pode ser causado por uma configura o errada nos fluxos de autentica o possivelmente s configurando em um dos lados da comunica o ou por uma tentativa de ataque de falsifica o de endere os IP UP spoofing Para maiores informa es veja as RFCs 1825 e 1827 012 Pacote n o passou pela autentica o Esta mensagem indica que pacote em quest o n o foi validado com sucesso pelo m dulo de autentica o do Firewall Isto pode ser causado por uma configura o de chaves de autentica o inv lida por uma altera o indevida no conte do do pacote durante o seu tr nsito ou por uma tentativa de ataque de falsifica o de endere os IP IP spoofing Para maiores informa es veja as RFCs 1825 e 1827 013 Pacote sem informa o de criptografia Esta mensagem indica que pacote em quest o n o veio criptografado e a configura o do fluxo seguro correspondente indica que ele deveria vir ver o cap tulo intitulado Criando Canais de Criptografia Isto pode ser causado por uma configura
493. t o OK Assim que a digita o come a a chave antiga desaparece e o programa permite a visualiza o dos caracteres digitados Caso n o se deseje atualizar a chave deve se clicar no bot o Cancelar Laregar A barra de ferramentas possui um bot o para carregar a licen a a partir de um arquivo fornecido pela Aker il So nome da empresa o endere o IP e a s chave s devem ser digitadas exatamente conforme fornecidos pela Aker Security Solutions ou seu representante autorizado No campo empresa letras mai sculas e min sculas s o consideradas diferentes II J Caso a chave rec m atualizada possua par metros distintos da chave anterior como por exemplo habilita o da criptografia ou altera es no n mero de licen as de clientes de criptografia necess rio se finalizar a sess o de administra o remota e se conectar novamente no firewall para que a interface perceba a mudan a nestes par metros 29 2 Salvar configura es Esta op o permite salvar a configura o completa do firewall na m quina onde se est administrando No caso de algum desastre pode se facilmente restaurar esta configura o posteriormente Para se realizar uma c pia de seguran a deve se as 8 amp A Salvar Carregar Desconectar e Clicar no firewall para o qual ser salva a c pia de seguran a e Selecionar a op o Salvar configura es na barra de ferramentas ou no menu com o nome do firewall selecionado A janel
494. t rio tempor rio na m quina que se deseja instalar o produto poss vel se realizar esta c pia via FTP ou NFS caso n o se possua um leitor de CD ROM na m quina na qual o produto deve ser instalado Ap s se realizar a montagem do CD ROM ou a c pia dos arquivos para um diret rio qualquer deve se executar o seguinte comando H diretorio de instalacao br firewall plataforma fwinst Onde diret rio de instala o o diret rio onde se encontram os arquivos de instala o e plataforma a plataforma na qual o firewall ser instalado por exemplo se o CD ROM estivesse montando no diret rio cdrom e a instala o fosse feita no FreeBSD ent o o comando a ser digitado seria cdrom br firewall freebsd fwinst il 3 O s mbolo representa o prompt do shell quando executado como root ele n o deve ser digitado como parte do comando Instalando o Firewall no sistema operacional FreeBSD O programa fwinst o respons vel por efetuar a instala o e a configura o do sistema para a execu o do Firewall Aker Ao ser executado ele mostrar a seguinte tela Firewall Aker v5 1 Programa de Instalacao Este programa realiza a instalacao do Firewall Aker 5 e da interface texto de configuracao local A instalacao pode ser feita a partir de um kernel pre compilado fornecido junto com o firewall pode se compilar um kernel especifico para esta maquina ou se utilizar o kernel atual contanto que a versao 5 ou superior
495. t D A pagar Ctrl D Editar ctrl E Clicando em Desconectar do firewall na barra de ferramentas ou Fechando a interface gr fica remota Neste caso voc perder a conex o com todos os firewalls que estiverem conectados Caso se deseje sair do programa basta clicar no bot o Sair na barra de ferramentas da janela principal ou clicar no x no canto superior direito da janela 2 3 Mudando sua senha de usu rio poss vel para qualquer usu rio do Firewall Aker alterar a sua senha sempre que desejado Para tanto deve se primeiro estabelecer uma sess o de administra o como mostrado no t pico Iniciando a interface remota e ap s isso executar os seguintes passos Dispositivos remotos Configuration Managers Firewalls dli Demo E A Firewall vermelho S Configura o do Firewall G Sy Configura es do Sistema PAS Criptografia ql Ferramentas Busca de entidade DNS reverso Janela de alarmes HMudar senha 1 Simula o de Regras de Filtragem El Informa o See Seguran a RA Mudar senha Esta janela muda a senha do usu rio Selecionar o firewall a ser configurado Clicar em Ferramentas Clicar duas vezes em Mudar senha Ser mostrada ent o a seguinte janela Mudar senha Firewall Vermelho Z DX Novassa OOOO Conimarserra O J w YO Deve se digitar a senha anterior no campo Senha antiga e digitar a nova senha nos campos Nova senha e Confirmar a nova senha as s
496. t inclui interface Interface DMZ fxp0 Entidade incluida Exemplo 8 incluindo uma entidade do tipo autenticador token utilizando uma m quina prim ria e uma secund ria como backup eto tftire wall fwent inclua token Autenticador token 10 0 01 10 0 0 2 senha 600 Entidade incluida Exemplo 9 removendo uma entidade eto tirewell fwent remove Autrenticador Unix Entidade removida 5 4 Utilizando o Assistente de Entidades O assistente de cria o de entidades pode ser invocado clicando se no cone Ea localizado na parte inferior da janela de entidades Sua id ia simplificar a tarefa de cria o das entidades e pode ser utilizado sempre que desejado Ele consiste de v rias janelas mostradas em s rie a depender do tipo de entidade a ser criada Seu uso extremamente simples e o exemplificaremos para a cria o de uma entidade do tipo m quina A primeira janela mostrada uma breve explica o dos procedimentos a serem realizados Assistente de Entidades Benvindo Bem Vindo ao Assistente de Cria o de Entidades Este assistente guia voc na cria o de entidades Entidades s o objetos identificados por um nome que facilita o modo como seu firewall levando em considera o o fato de que voc n o precisa lidar constantemente com uma s rie de informa es encapsuladas como por exemplo o endere o IP da entidade Essa abstra o da Informa o real torna o processo de contqura o ma
497. ta desabilita remove ajuda Para inclui temos pos incluir aceita rejeita e envia origem descarta pacote ICMP pipe seja dado por acumulador seja peso normal loga mail regra trap regra programa na regra alerta enquadre encriptado usuario previamente no Por servico lt aceita rejeita descarta gt pipe lt pipe gt lt peso gt acumulador lt acumulador gt loga mail trap programa alerta encriptado usuario I lt servico gt mostra todas as entradas da tabela de regras inclui uma nova regra de filtragem habilita uma regra de filtragem desabilitada desabilita uma regra de filtragem existente remove uma regra existente mostra esta mensagem posicao onde incluir a nova regra na tabela Pode ser um inteiro positivo ou a palavra FIM para no final da tabela a regra aceita as conexoes que se enquadrarem nela a regra rejeita as conexoes que se enquadrarem nela pacote ICMP de destino inatingivel para maquina de a regra descarta os pacotes recebidos nao envia faz com que o trafego que se encaixe nesta regra direcionado ao pipe indicado com peso relativo faz com que o trafego que se encaixe nesta regra somado a entidade acumulador especificada ocioso im barro muito baixo oarxo alto m alto miato alto ou PEL tempo real loga os pacotes que se enquadrarem na regra envia e mail para cada pacote que se enquadre na gera
498. tabela de estados No caso de conex es UDP o firewall simplesmente remove a entrada de sua tabela de estados fazendo com que n o sejam mais aceitos pacotes para a conex o removida TCP Connections S O 25 Siseg Liesabiltar gr ficos Mostrar velocidade daz conex es DONS Atualiza O bot o Atualizar localizado na barra de ferramentas faz com que as informa es mostradas sejam atualizadas periodicamente de forma autom tica ou n o Clicando se sobre ele alterna se entre os dois modos de opera o O Intervalo de atualiza o pode ser configurado mudando se o valor logo direita deste campo O bot o DNS localizado na barra de ferramentas acionar o servi o de nomes DNS para resolver os nomes das m quinas cujos endere os IPs aparecem listados Cabem ser observados os seguintes pontos A resolu o de nomes muitas vezes um servi o lento e devido a isso a tradu o dos nomes feita em segundo plano Muitas vezes devido a problemas de configura o do DNS reverso que o utilizado para resolver nomes a partir de endere os IP n o ser poss vel a resolu o de certos endere os Neste caso os endere os n o resolvidos ser o mantidos na forma original e ser indicado ao seu lado que eles n o possuem DNS reverso configurado A op o Desabilitar gr ficos desabilita o desenho do gr fico de conex es sendo indicada para m quinas especialmente lentas A op o Mostrar velocidade das conex e
499. taques de relay deste que corretamente configurado Utilizando o proxy SMTP Para se utilizar o proxy SMTP em uma comunica o necess rio se executar uma sequ ncia de 2 passos 1 Cria se um servi o que ser desviado para o proxy SMTP e edita se os par metros do contexto a ser usado por este servi o para maiores informa es veja o cap tulo intitulado Cadastrando Entidades 2 Acrescenta se uma regra de filtragem permitindo o uso do servi o criado no passo 1 para as redes ou m quinas desejadas para maiores informa es veja o cap tulo intitulado Filtro de Estados 22 1 Editando os par metros de um contexto SMTP A janela de propriedades de um contexto SMTP ser mostrada quando a op o Proxy SMTP for selecionada Atrav s dela poss vel se definir o comportamento do proxy SMTP quando este for lidar com o servi o em quest o A janela de propriedades de um contexto SMTP Er Servi os HIEI C Autom tico E P x CE Home SMTP Proxy Editar Inserm Apagar Copiar Colar Poteca TCP J Belay Regras DNS Anexos REL Avan ado Servi o 25 smtp Lista de dom nios autorizados a receber e mails O Inicio 7 echo Fim Fecho Proxy SMTP Configura es Tamanho m ximo da mensagem p E Ilimitado Registrar na lista de eventos Envia c pia de todas as mensagens Checagem de DNS reverso habilitada E mail padr o Na janela de propriedades s o configurados todos os par
500. te o outro lado decripta a chave com o aux lio da chave mestra e a utiliza para decriptar o restante do pacote Os algoritmos utilizados para autenticar o pacote encript lo e encriptar a chave s o definidos pelo remetente e informados como parte do protocolo Desta forma n o necess rio se configurar estes par metros no recipiente A principal vantagem do SKIP a possibilidade de se utilizar o mesmo segredo compartilhado por anos sem a menor possibilidade de quebra das chaves por qualquer atacante uma vez que a troca de chaves efetuada em intervalos de poucos segundos a no m ximo uma hora dependendo do tr fego entre as redes comunicantes e Troca de chaves manual Neste caso toda a configura o de chaves feita manualmente Isto implica que todas as vezes que uma chave for trocada ambos os Firewall participantes de um canal seguro ter o que ser reconfigurados simultaneamente WTipos de canais seguros O Firewall Aker possibilita a cria o de dois tipos de canais seguros distintos chamados de Firewall Firewall e Cliente Firewall Cada um destes tipos de canais possuem objetivos e limita es diferentes e normalmente s o combinados para se atingir o m ximo de seguran a e flexibilidade e Canais seguros Firewall Firewall Este tipo de canal seguro o mais comum e suportado pelo Firewall Aker desde sua vers o 1 31 Ele consiste na utiliza o de criptografia e autentica o entre dois firewalls i
501. te exista ser o pedidas a nova senha e a confirma o desta nova senha conforme j comentado anteriormente a senha e a confirma o n o ser o mostradas na tela 0000000000 Firewall Aker vers o 5 1 Modulo de administracao de usuarios remotos Alteracao de senha de usuario Entre o login operador Entre a nova senha K Confirme a nova senha Senha alterada com sucesso Pressione Enterfl e Lista usu rios cadastrados Esta op o mostra uma lista com o nome e as permiss es de todos os usu rios autorizados a administrar remotamente o firewall Um exemplo de uma poss vel listagem de usu rios a seguinte DR Firewall Aker versao 5 1 Modulo de administracao de usuarios remotos Listagem de Usuarios Login Home Fermizz0es admin Administrador CF CL GU operador Operador do Firewall CF EL auditor Usuario Auditor Rn tae CF Configura Firewall CL Configura log GU Gerencia Usuarios Acesso pelo Aker Configuration Manager habilitado Final da listagem Pressione Enter para continuari O campo permiss es consiste de 3 poss veis valores CF CL e GU que correspondem as permiss es de Configura Firewall Configura Log e Gerencia Usu rios respectivamente Se um usu rio possuir uma permiss o ela ser mostrada com o c digo acima caso contr rio ser mostrado o valor indicando que o usu rio n o a possui e Compacta arquivo de usu rios Firewall Aker vers o 5 1 Modulo de administracao de us
502. tens caracteristicas Como funciona o shell do Aker Firewall Box Ao conectar se um terminal serial comum configurado a 9600 bps porta serial correspondente no Aker Firewall Box ser poss vel utilizar a interface de linha de comando do mesmo isto seu shell Ao se realizar esse procedimento primeiro ser necess rio apertar a tecla Enter at que apare a o pedido de senha que inicialmente 123456 Entrando se corretamente a senha o prompt seguinte aparecer Aker gt il 3 Caso se tenha perdido a senha de acesso local ao Firewall Aker Box deve se entrar em contato com o suporte t cnico para se realizar o procedimento de reset da mesma No prompt do shell podem ser digitados todos os comandos normais do Firewall Aker conforme documentados nos t picos relativos interface texto de cada cap tulo Al m desses existem comandos espec ficos ao firewall box que est o documentados abaixo ly 3 poss vel digitar os comandos do firewall no shell sem o prefixo fw isto ent ao inv s de fwent Para sair do shell pode se ou digitar os comandos exit ou quit ou simplesmente apertar as teclas Ctrl D 4 Comandos espec ficos do Aker Firewall Box Comando Descri o Comando Descri o Comando Descri o Comando Descri o Comando Descri o Comando Descri o Comando Descri o Comando Descri o Comando Descri o guie exit Encerram a s
503. tentica o por smart cards e n o exista um leitor de smart cards na m quina essa op o ser ignorada poss vel se exportar a configura o atual para um arquivo e import la posteriormente na mesma ou em outra m quina Para tal existem os bot es Importar e Exportar localizados na barra de ferramentas O bot o Importar salva a lista de firewalls e as demais op es da janela em um arquivo e o bot o Exportar carrega uma lista de firewalls e as demais op es a partir de um arquivo e acrescenta os firewalls na lista atual as novas entradas ser o acrescentadas ao final da lista atual O bot o Logoff faz com que o cliente encerre a sess o com o firewall selecionado Ele s estar habilitado caso se tenha selecionado um firewall com o qual exista uma sess o ativa O bot o Logar faz com que o cliente tente estabelecer uma sess o com o firewall selecionado Ele s estar habilitado caso se tenha selecionado um firewall com o qual ainda n o exista uma sess o ativa Ao ser clicado ele mostrar uma das janelas abaixo a depender do tipo de autentica o selecionado e Autentica o por usu rio senha Autentica o de Usuarios Estabelecenda zesz o com Firewall IF 192 165 1 1 Usuario joan 5 enha pas Autenticadar Server aut Cancelar Usu rio E o nome do usu rio que deseja estabelecer a sess o Senha E a senha do usu rio que deseja estabelecer a sess o Autenticador E o nome do autenticado
504. terface externa deverao ser digitados exatamente como constam no documento entregue pela Aker Consultoria e Informatica ou seu representante Pressione enter para continuar Ap s digitar enter o programa mostrar uma tela solicitando que se digite as informa es contidas no documento fornecido pela Aker Security Solutions ou pelo seu representante autorizado de vendas Deve se atentar para digitar todos os campos exatamente como constam no documento WI a A chave deve ser digitada com os h fens que aparecem no documento original No nome da empresa letras mai sculas e min sculas s o consideradas diferentes e devem ser digitadas exatamente como se encontram no documento original Um exemplo da entrada dos dados se encontra na tela mostrada abaixo Firewall Aker versao 5 Modulo de configuracao da chave de ativacao Nome da empresa Aker Security Solutions IP da interface externa 10 0 0 1 Chave de ativacao 2DBDC612 FA4519AA BBCDOFF1 129768D3 89BCA59C Caso a chave seja v lida o programa prosseguir com a instala o Caso a chave ou o nome da empresa tenham sido digitados com erro o programa pedir que sejam novamente digitados il 3 O endere o IP digitado deve ter sido previamente configurado em alguma interface do sistema caso contr rio o programa n o prosseguir com a Instala o Caso a chave tenha sido aceita a instala o prosseguir Neste ponto o programa de Instala o procurar por arqui
505. tica o usu rio senha e Autentica o usu rio senha antes do autenticador token e Somente autentica o por Token e Somente autentica o usu rio senha Autentica o Local Sait Nome completo Nome do grupa a Usu rio Usu rio M mero Ur E Grupo Usu rio Usu rio N mero Dois EE Grupo Nessa pasta se pode cadastrar uma s rie de usu rios e associar um grupo a cada um deles Se a op o de usar a base local de usu rios estiver habilitada ent o esses usu rios tamb m ser o verificados como se estivessem em um autenticador remoto Eles comp em o autenticador local Para incluir um usu rio clique com o bot o da direita e escolha inserir ou ent o use o toolbar e clique no bot o inserir Voc ainda pode usar o bot o insert no seu teclado Inserir Da c HS G Colar E Ea 8 Inserir Apagar Copiar Colar Ey Apagar Para alterar o nome do usu rio e seu nome completo basta dar um duplo clique no campo correspondente Ls Autentica o Firewall Azul fe Controle de acesso i Metodos i Autentica o para Promes Controle de Acesso por IF pia rr a a Il Home Home completo Grupo a Usu rio Usu rio N mero Um SE Grupo Para alterar a senha ou o grupo a que est associado o usu rio use o menu de contexto sobre o tem clicando com o bot o direito do mouse Inserir Para criar ou remover grupos o procedimento o mesmo mas na lista late
506. tino alguma m quina da rede externa fluxo de dentro para fora ou pacotes que s o gerados na rede externa e tem como destino alguma m quina da rede Interna fluxo de fora para dentro O fluxo de dentro para fora Todo o pacote da rede interna ao atingir o firewall passa pelos m dulos na seguinte ordem m dulo de montagem filtro de pacotes conversor de endere os e m dulo de encripta o Entrado do Pacote Encripia o r saida do Pacate e O m dulo de montagem O m dulo de montagem o respons vel por armazenar todos os fragmentos de pacotes IP recebidos at que estes possam ser montados e convertidos em um pacote completo Este pacote ser ent o entregue para os demais m dulos e OQ filtro de pacotes O filtro de pacotes possui a fun o b sica de validar um pacote de acordo com as regras definidas pelo administrador e a sua tabela de estados e decidir se este deve ou n o ser autorizado a trafegar pelo firewall Se ele decidir que o pacote pode trafegar este ser repassado para os demais m dulos caso contr rio ser descartado e o fluxo terminado e O conversor de endere os O conversor de endere os recebe um pacote j autorizado a trafegar e verifica de acordo com sua configura o se este deve ter o endere o de origem convertido Em caso positivo ele o converte do contr rio o pacote n o sofre quaisquer altera es Independente de ter sido convertido ou n o o pacote ser repassado p
507. tocolos o valor do protocolo O campo Dia Hora permite que o adminstrador teste as regras para uma determinada hora e dia da semana e Varredura por Entidades Quando a op o Varrer por Entidades estiver selecionada a janela de varreduras ter o seguinte formato Simula o de Regras de Filtragem Firewall Verde Ex ltimos resultados regras encontradas Uni d te l l Entidade Eid Endere o M A o Origens Destinos TE Origem 200 120 210 15 z Entidade 200 120 210 15 Destino 200 120 210 15 2 Q W Internet RA Internet B Aker Servi o TCP 1020 Birr ig FTP Origem 200 120 210 15 todos TCP Destino 200 120 210 15 3 Q TY inteme i interet 5 Pee Destino do pacote AE OE ER IUE ae aig Entidade o Entidade GW Embratel w Servico Entidade Entidade EM Aker ci Dia Hora Oe 17 09 2004 00 00 00 5 Simular O campo Origem do pacote permite que se especifique a entidade que ser usada na origem das conex es simuladas O campo Destino do pacote especifica para qual entidade as conex es simuladas devem se dirigir O campo Servi o permite que se especifique o protocolo e a faixa de portas a serem simuladas atrav s de uma entidade O campo Dia Hora permite que o adminstrador teste as regras para uma determinada hora e dia da semana WI 3 S poss vel se selecionar uma entidade como origem uma como destino e um servi o 29 7 Relat rios Esta op o poss
508. tografia IPSEC duplamente tunelado via ESP e AH Isto n o permitido 036 SA para este pacote n o foi negociada Esta mensagem indica que o Firewall recebeu um pacote cifrado com criptografia IPSEC para um canal n o negociado 037 Padding exigido muito grande Esta mensagem indica que o Firewall calculou um tamanho de preenchimento para o protocolo ESP maior que o permitido Provavelmente o tamanho de bloco do algoritmo de criptografia demasiado grande 038 Tamanho de padding decifrado incorreto Esta mensagem indica que o firewall decifrou um pacote que dizia ser maior do que efetivamente via criptografia IPSEC Provavelmente o pacote est corrompido ou houve erros na troca de chaves 039 Erro iniciando autentica o para o algoritmo especificado Esta mensagem indica que o Firewall n o conseguiu autenticar o pacote com o algoritmo HMAC Provavelmente o algoritmo de autentica o est com defeito 040 Erro finalizando autentica o com o algoritmo escolhido Esta mensagem indica que o Firewall n o conseguiu autenticar o pacote com o algoritmo HMAC Provavelmente o algoritmo de autentica o est com defeito 041 Final de conex o Esta mensagem apenas um registro de final de conex o e n o deve aparecer normalmente no log do firewall 042 Limite configurado de conex es a partir do endere o IP excedido Esta mensagem ocorre quando o limite m ximo de conex es configurado pelo modulo prote
509. tra o de usu rios seja fechada e as modifica es salvas e O bot o Aplicar far com que as altera es realizadas sobre um determinado usu rio sejam aplicadas isto realizadas permanentemente sem fechar a janela e O bot o Cancelar fechar a janela de administra o de usu rios e descartar todas as altera es efetuadas e Quando um usu rio for selecionado os seus atributos completos ser o mostrados nos campos Permiss es Para se alterar os atributos de um usu rio deve se proceder da seguintes forma 1 Seleciona se o usu rio a ser alterado clicando sobre seu nome com o bot o esquerdo do mouse Neste momento ser o mostrados os seus atributos nos campos ap s a listagem de usu rios 2 Altera se o valor dos atributos desejados e clica se no bot o Aplicar ou no bot o OK A partir deste momento as altera es ser o efetivadas Para se incluir um usu rio na lista deve se proceder da seguinte forma 1 Clica se com o bot o direito do mouse em qualquer lugar da rea reservada para mostrar a lista aparecer o bot o Inserir e seleciona se a op o Incluir no menu pop up ou clica se no cone que representa a inclus o na barra de ferramentas 2 Preenche se os campos do usu rio a ser inclu do e clica se no bot o Aplicar ou no bot o OK Para se remover um usu rio da lista deve se proceder da seguinte forma 1 Seleciona se o usu rio a ser removido clicando sobre seu nome com o bot o
510. trap SNMP para cada pacote que se enquadre na executa um programa para cada pacote que se enquadre abre uma janela de alerta para cada pacote que se na regra indica que a regra so e valida se os pacotes vierem encriptados indica que a regra so e valida se os pacotes vierem encriptados e o usuario tiver se autenticado firewall Esta condicao somente pode ser atendida conexoes originadas de clientes de criptografia lista de nomes dos servicos para a nova regra Para habilita desabilita remove temos pos removida numero da regra a ser habilitada desabilitada ou Exemplo 1 visualizando as regras de filtragem etc firewall fwrule mostra Regra 01 Origem Internet Destino gt firewall cache Acao Descarta Log Loga Trap Alerta Servicos gt todos tcp todos udp todos Leme Regra 02 Origem cache firewall Destino Internet Acao Aceita Log Loga Servicos HEED ftp Regra 03 Origem Internet Destino Mail server Acao Aceita Log Joga Servicos 2 smtp Regra 04 Origem Empresas externas Destino Aker Acao Aceita Log Loga Servicos gt Site Exemplo 2 removendo a quarta regra de filtragem etc firewall fwrule remove 4 Regra 4 removida Exemplo 3 incluindo uma nova regra no final da tabela etc firewall fwrule inclui fim Internet Mail server aceita loga smtp Regra incluida na posicao 4 il 3 As entidades Internet e Mail server bem como o servi o smtp deve
511. tras m quinas que tamb m estar o rodando o servidor LDAP e que servir o como backup no caso de quedas da m quina principal Tempo limite da cache Todas as vezes que realiza uma autentica o com sucesso O firewall mant m em mem ria os dados recebidos do usu rio e do agente Nas autentica es seguintes o firewall possui todos os dados necess rios e n o mais precisa consultar o agente Isso permite um grande ganho de performance Este par metro permite definir o tempo em segundos que o firewall deve manter as Informa es de autentica o em mem ria Para maiores informa es veja o cap tulo intitulado Trabalhando com proxies Configura es LDAP Neste conjunto de campos deve se especificar as configura es do servidor LDAP que ser utilizado para a realiza o das autentica es A descri o de cada campo pode ser vista a seguir DN Root de conex o DN do usu rio utilizado pelo firewall para as consultas Senha Root de conex o a senha deste usu rio DN Base DN para come ar a busca ObjectClass da Conta valor de objectclass que identifica objetos de contas v lidas Atributo nome do usu rio o atributo onde se encontra o nome do usu rio Atributo senha o atributo onde se encontra a senha do usu rio Atributo grupo o atributo onde se encontra o grupo do usu rio Permitir senha em branco permite senhas em branco para o usu rio quando marcado M todo de Autentica o Este campo especifica se o firew
512. tretanto este mesmo comportamento n o deve ser permitido a partir da rede C Pode se tamb m querer limitar o tamanho maximo das mensagens originadas na rede C para evitar ataques de nega o de servi o baseados em falta de espa o em disco sem ao mesmo tempo querer limitar tamb m o tamanho das mensagens originadas na rede B Para possibilitar este tratamento diferenciado foi criado o conceito de contextos Contextos nada mais s o que configura es diferenciadas para os proxies transparentes de modo a possibilitar comportamentos diferentes para conex es distintas No exemplo acima poderia se criar dois contextos um para ser usado em conex es de B para A e outro de C para A Os proxies do Firewall Aker O Firewall Aker implementa proxies transparentes para os servi os FTP Telnet SMTP POP3 HTTP e RPC e proxies nao transparentes para os servicos acessados atrav s de um browser WWW FTP Gopher HTTP e HTTPS e para clientes que suportem o protocolo SOCKS Para se utilizar os proxies nao transparentes necessario um cliente que possa ser configurado para tal Dentre os clientes que suportam este tipo de configura o pode se citar o Netscape Navigator e o Internet Explorer Os proxies transparentes podem ser utilizados tanto para controlar acessos externos s redes Internas quanto acessos de dentro para fora Os proxies n o transparentes somente podem ser usados de dentro para fora O Firewall Aker permite ainda imp
513. tros de configuracao Protecao contra SYN Flood ativada Tempo limite de espera 2 6 X 5300 ms Lista de entidades a serem protegidas NTL Maquina NT3 Maquina 12 11 Utilizando a interface texto Prote o de Flood Localiza o do programa etc firewall fwmaxconn Sintaxe Firewall Aker Versao 5 1 Uso fwmaxconn ajuda fwmaxconn mostra fwmaxconn inclui lt pos gt lt origem gt lt destino gt lt servic gt lt n conns gt fwmaxconn remove lt pos gt fwmaxconn lt habilita desabilita gt lt pos gt os parametros sao pos posicao da regra na tabela origem maquina rede de onde se origina as conexoes destino maquina rede a que se destinam as conexoes servico servico de rede para o qual existe a conexao n conns numero maximo de conexoes simultaneas de mesma origem Exemplo 1 visualizando a configura o etc firewall fwmaxconn mostra Regra 01 Origem gt Rede Internet Destino NTI Servicos HTTP Conexoes 5000 Regra 02 Origem gt Rede Internet Destino E NES Servicos FTP Conexoes 10000 Origem gt Rede Internet Destino Rede Interna Servicos Gopher Con xoes 100 12 12 Utilizando a interface texto Anti Spoofing Localiza o do programa etc firewall fwifnet Firewall Aker Versao 5 1 Uso fwifnet ajuda mostra fwifnet inclui interface lt nome 1f gt externa fwifnet inclui rede lt nome_if gt lt rede gt rede1 rede2 fwifnet remove f interfa
514. tual provided with the package Redistribution and use in source and binary forms with or without modification are permitted provided that the following conditions are met 1 Redistributions of source code must retain the copyright notice this list of conditions and the following disclaimer 2 Redistributions in binary form must reproduce the above copyright notice this list of conditions and the following disclaimer in the documentation and or other materials provided with the distribution 3 All advertising materials mentioning features or use of this software must display the following acknowledgement This product includes cryptographic software written by Eric Young eay cryptsoft com The word cryptographic can be left out if the rouines from the library being used are not cryptographic related 4 If you include any Windows specific code or a derivative thereof from the apps directory application code you must include an acknowledgement This product includes software written by Tim Hudson tjh cryptsoft com THIS SOFTWARE IS PROVIDED BY ERIC YOUNG AS IS AND ANY EXPRESS OR IMPLIED WARRANTIES INCLUDING BUT NOT LIMITED TO THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT INDIRECT INCIDENTAL SPECIAL EXEMPLARY OR CONSEQUENTIAL DAMAGES INCLUDING BUT NOT LIMITED TO PROCUREMENT OF SUBSTITUT
515. tualizando configuracoes do controle de acesso por 1p OK Atualizacao completa Os arquivos de configuracao da versao 5 0 foram removidos do sistema Pressione enter para continuar A atualiza o dos arquivos feita automaticamente e de forma a manter toda a configura o existente inalterada Ap s realizada os arquivos de configura o originais ser o removidos do sistema e a seguinte tela ser mostrada Firewall Aker v5 1 Programa de Instalacao Criando servicos e regras padrao OK Voce deseja permitir que o firewall envie e receba pings assim como permitir que esses pacotes o atravessem para executar testes iniciais de conectividade S N Caso se responda n o esta pergunta o firewall ser instalado atrav s de uma pol tica deny all ou seja bloqueia todo o tr fego de rede exceto o necess rio para a administra o remota Ap s respondida esta pergunta uma nova tela ser mostrada Firewall Aker v5 1 Programa de Instalacao E necessario se definir o nome da interface de rede externa do firewall Os enderecos IP que se originarem desta interface nao serao contabilizados no numero maximo de licencas do produto A interface externa deve assumir um dos seguintes valores xp0 Expl de 0 Entre a interface externa A configura o da interface externa usada apenas para o controle de licen as do firewall Deve se informar o nome da interface que estar conectada Internet il 3 A es
516. u a conex o A informa o complementar entre par nteses indica o endere o IP da m quina que causou o problema Solu o Esta mensagem causada por um servidor ou cliente fora dos padr es das RFCs A nica solu o poss vel para o problema contatar o administrador da m quina causadora da mensagem 057 Erro ao carregar contexto Esta mensagem indica que um dos proxies transparentes n o conseguiu carregar o contexto especificado Solu o Contate o suporte t cnico 058 Erro ao carregar tabela de criptografia Esta mensagem indica que um dos servidores do firewall n o conseguiu carregar a tabela de criptografia Solu o Contate o suporte t cnico 059 DNS reverso n o configurado Esta mensagem produzida por algum dos proxies se ele tiver sido configurado para somente receber conex es a partir de m quinas com DNS reverso v lido e n o tiver conseguido resolver o nome para o endere o IP de origem de uma conex o A mensagem complementar indica o endere o IP de origem da conex o 060 DNS direto e reverso conflitantes Quando um proxy do Firewall configurado para somente aceitar conex es a partir de m quinas com DNS reverso v lido ele utiliza uma t cnica que consiste em tentar resolver o nome para o endere o IP de origem da conex o Caso ele n o consiga ele Indica erro mostrando a mensagem anterior e n o permite a realiza o da conex o Caso resolva o nome ele faz uma outra pesquisa de
517. ual a interface ser referenciada daqui em diante pelo firewall poss vel se especificar este nome manualmente ou deixar que o ele seja atribu do automaticamente A op o Autom tico permite escolher entre estes dois modos de opera o caso ela esteja marcada a atribui o ser autom tica caso contr rio manual SLetras maiusculas e minusculas sao consideradas diferentes nos nomes das entidades Desta forma poss vel a exist ncia de varias entidades compostas de nomes com as mesmas letras por m com combina es distintas de mai sculas e min sculas As entidades Aker AKER e aker s o portanto consideradas diferentes cone o cone que aparecer associado interface em todas as refer ncias Para alter lo basta clicar sobre o desenho do cone atual O firewall ent o mostrar uma lista com todos os poss veis cones para representar interfaces Para escolher entre eles basta clicar no cone desejado e no bot o OK Caso n o se deseje alter lo ap s ver a lista basta clicar no bot o Cancelar Interface o nome do adaptador de rede que ser associado entidade interface Ser mostrada automaticamente uma lista com todos os adaptadores de rede configurados no firewall e o endere o IP de cada um se existir Coment rio um campo texto livre usado apenas para fins de documenta o Ap s todos os campos estarem preenchidos deve se clicar no bot o OK para realizar a inclus o ou altera
518. uarios remotos Compacta o do arquivo de usuarios Compactando arquivo aguarde Arquivo compactado com sucesso Pressione Enteri Esta op o n o esta presente na interface gr fica e n o possui uso freqiiente Ela serve para compactar o arquivo de usu rios removendo entradas n o mais usadas Ele somente deve ser usada quando for removido um grande n mero de usu rios do sistema Ao ser selecionada o arquivo ser compactado e ao final ser mostrada uma mensagem indicando que a opera o foi completada a compacta o do arquivo costuma ser uma opera o bastante r pida durando poucos segundos e Edita as op es do Configuration Manager Esta op o permite alterar as configura es do Aker Configuration Manager poss vel habilitar desabilitar acessos ao Firewall Aker pelo Configuration Manager e modificar a shared secret Se o acesso ao firewall n o estiver habilitado ser mostrada uma tela pedindo a cria o da shared secret necess rio preencher a senha e sua confirma o Essas n o ser o mostradas Firewall Aker versao 5 1 Modulo de administracao de usuarios remotos Upcoes do Aker Configuration Manager Acesso pelo Aker Configuration Manager desabilitado et oe RAN R EA N Oe A Se pe GHG VOCE ger Ci lar um sha rec Secret Para oc AM a Entre a senha Confirme a senha E Se o acesso ao firewall j estiver habilitado ser o mostradas novas op es de configura o Firewall Ake
519. ue gerou o registro Porta origem Porta de origem do pacote que gerou o registro IP destino Endere o IP destino do pacote que gerou o registro Porta destino Porta destino do pacote que gerou o registro Interface Interface de rede do firewall por onde o pacote foi recebido e Protocolo ICMP Formato do registro lt Data gt lt Hora gt lt Repeti o gt lt A o gt ICMP lt Status gt lt IP origem gt lt IP destino gt lt Tipo de servi o gt lt Interface gt Descri o dos campos Data Data em que o registro foi gerado Hora Hora em que o registro foi gerado Repeti o N mero de vezes em que o registro se repetiu seguidamente Este campo mostrado entre par nteses na Interface texto Status Este campo que aparece entre par nteses na interface texto consiste de uma a tr s letras independentes que possuem o significado abaixo A Pacote autenticado E Pacote encriptado S Pacote usando troca de chaves via SKIP ou AKER CDP A o Este campo indica qual foi a a o tomada pelo firewall com rela o ao pacote Ele pode assumir os seguintes valores A Indica que o pacote foi aceito pelo firewall D Indica que o pacote foi descartado R Indica que o pacote foi rejeitado IP origem Endere o IP de origem do pacote que gerou o registro IP destino Endere o IP destino do pacote que gerou o registro Tipo de servi o Tipo de servi o ICMP do pacote que gerou o registro Interface Interface de
520. ue n o possuem um servidor DHCP ou que possu am em um modem ADSL Ela permite que o firewall atue como um servidor DHCP Ao se selecion la deve se especificar o pool de endere os 1 e a faixa de endere os que ser o atribu dos aos clientes Ally O firewall enviar aos clientes seu endere o como o servidor de DNS e seu dominio como nome do dom nio para estes clientes 29 10 Reinicializar Firewall Esta op o serve para se reinicializar o firewall por m n o deve ser utilizada em condi es normais de opera o A nica opera o que exige a reinicializa o do firewall a carga de um algoritmo de criptografia externo Para se reinicializar o firewall basta Editar Firewall CErI E apagar firewall Ctrl D Salvar configura es Ctr S Carregar configura es Chrl o Relat rio do Firewall Ctrl F Desconectar do Firewall Ctrl 5hift 0 Reiniciar Firewall OX eso e Selecionar o firewall a ser reinicializado e Selecionar o item Reiniciar Firewall no menu com o mesmo nome do firewall selecionado 29 11 Busca Entidades Esta op o permite que se localize entidades que contenham um determinado endere o IP interface ou servi o bem como regras que contenham uma determinada entidade Para se ter acesso janela de localiza o de entidades basta Dispositivos remotos Configuration Managers Firewalls dh Firewall Azul l Firewall Verde Configura o do Firewall s Configura
521. ue o cliente estabele a uma conex o TCP para o servidor de Real Audio Al m desta conex o para conseguir uma melhor qualidade de som o servidor pode abrir uma conex o UDP para o cliente para uma porta rand mica informada em tempo real pelo cliente e o cliente tamb m pode abrir uma outra conex o UDP para o servidor tamb m em uma porta rand mica informada pelo servidor no decorrer da conex o Os filtros de pacotes tradicionais n o permitem o estabelecimento das conex es UDP do servidor para o cliente e vice versa uma vez que as portas n o s o conhecidas antecipadamente fazendo com que a qualidade do audio e v deo obtidas seja bastante Inferior O filtro de estados do Firewall Aker acompanha toda a negocia o do servidor Real Audio com o cliente de modo a determinar se as conex es UDP ser o abertas e para quais portas e acrescenta esta informa o em uma entrada na sua tabela de estados Esta entrada na tabela de estados s fica ativa enquanto a conex o de controle TCP estiver aberta propiciando um m ximo de seguran a O problema do protocolo Real Video RTSP O protocolo Real V deo suportado pelo firewall Da mesma maneira que o Real Audio as transa es s o controladas pelo firewall permitindo total seguran a do uso de aplica es de Real V deo JMontando regras de filtragem em um filtro de pacotes simples Antes de mostrar como funciona a configura o do filtro de estados do Firewall Aker Int
522. um programa Programa externo Este par metro configura o nome do programa que ser executado pelo sistema quando ocorrer uma a o marcada com a op o Programa Deve ser colocado o nome completo do programa incluindo o caminho Deve se atentar para o fato de que o programa e todos os diret rios do caminho devem ter permiss o de execu o pelo usu rio que ir execut lo que configurado na pr xima op o O programa receber os seguintes par metros pela linha de comando na ordem em que ser o passados 1 Nome do pr prio programa sendo executado isto um padr o do sistema operacional Unix 2 Tipo de mensagem 1 para log ou 2 para evento 3 Prioridade 7 depura o 6 informa o 5 not cia 4 advert ncia ou 3 erro 4 N mero da mensagem que provocou a execu o do programa ou 0 para indicar a causa n o foi uma mensagem neste caso a execu o do programa foi motivada por uma regra 5 Cadeia de caracteres ASCII com o texto completo da mensagem esta cadeia de caracteres pode conter o caractere de avan o de linha no meio dela il 3 No sistema operacional UNIX usa se a barra para especificar o caminho de um programa Isto pode causar confus o para quem estiver acostumado com o ambiente DOS Windows que usa a barra invertida Nome de usu rio efetivo Este par metro indica a identidade com a qual o programa externo ser executado O programa ter os mesmos privil gios dest
523. uma m quina para a outra Al m de estarem conectadas entre si o que deve ser feito por uma interface de rede necess rio que todas as placas de rede correspondentes das duas m quinas estejam conectadas em um mesmo hub ou switch de forma que ambos os firewalls tenham acesso s mesmas m quinas e roteadores Como trabalha o sistema Cooperativo do Firewall Aker Antes de tudo a diferen a b sica da configura o do cluster cooperativo e do failover esta vinculada licen a A licen a do cluster cooperativo faz com que a converg ncia de dois firewalls com pesos iguais seja de 50 para cada um j a licen a do failover faz com que ocorra converg ncia em apenas um dos firewalls WO que s o modos UNICAST e MULTICAST do sistema Cooperativo do Firewall Aker No Firewall Aker em modo cooperativo mais de um host os nodos do cluster precisam receber os mesmos pacotes para posteriormente cada um deles decidir se de sua responsabilidade ou n o Como os switches n o est o preparados nativamente para Isso uma de duas t cnicas precisa ser empregada primeira chamada de modo unicast implica em reconfigurar o switch para que ele saiba que um determinado endere o ethernet MAC est em duas ou mais portas simultaneamente significando que ele deve copiar o pacote com esse endere o destino em todas elas e jamais aprend lo como estando em uma porta apenas Nesse modo todos os firewalls do cluster usam o mesmo endere
524. usu rios e Agrupamento de regras de filtragem em pol ticas e Perfis de acesso hier rquicos e Mecanismo de prote o anti suicidio e Visualiza o de estat sticas do uso de CPU e mem ria da m quina onde o firewall est rodando atrav s da Interface gr fica em tempo real e Controle anti flood limitando o n mero m ximo de conex es originadas em uma determinada m quina para um determinado servi o servidor
525. utenticarem atrav s da autoridade certificadora da mesma forma como se define grupos em um sistema operacional Desta maneira poss vel se criar pseudo grupos que representem todos os usu rios de uma determinada empresa departamento cidade etc Ap s serem criados os pseudo grupos eles podem ser associados a perfis de acesso da mesma forma com que se faz com grupos de autenticadores ou autenticadores token Clicando com o bot o direito podemos selecionar as seguintes op es e Inserir Esta op o permite se incluir um novo pseudo grupo e Excluir Esta op o remove da lista o pseudo grupo selecionado e Editar Esta op o abre a janela de edi o para o pseudo grupo selecionado Ao se clicar no bot o Inserir ou Editar a seguinte janela ser mostrada Pseudo Grupo me O Dominio E mail E empresa Departamento 0U Po Cede Do Es Do pis O nico campo de preechimento obrigat rio o campo Nome que indicar o nome pelo qual o pseudo grupo ser referenciado pelo firewall Os demais campos representam dados que ser o comparados com os dados presentes no certificado X509 de cada usu rio autenticado Caso um determinado campo esteja em branco ent o qualquer valor ser aceito no campo correspondente do certificado caso contr rio apenas certificados que possu rem o campo igual ao valor informado ser o considerados como parte do grupo HHH O QUE SAO AS LETRAS ENTRE PARENTESES Dom nio Rep
526. utilizando o Cliente de Autentica o Aker para Windows e esteja com uma sess o estabelecida com o Firewall ent o n o ser solicitado nome nem senha ou seja o proxy se comportar como se n o estivesse realizando autentica o de usu rios mas ele est de fato fazendo o Se a sess o do Cliente de Autentica o for finalizada ent o o proxy solicitar um nome de usu rio e senha no pr ximo acesso Para maiores informa es sobre o Cliente de Autentica o Aker leia o cap tulo O cliente de autentica o Aker ly Para o cliente de autentica o em Java funcionar em seu browser ele deve ter o suporte a Java instalado e habilitado al m de permitir 0 uso do protocolo UDP para applets Java Apenas o Internet Explorer da Microsoft traz esta op o desabilitada por padr o e para habilit la voc deve escolher configura es personalizadas de seguran a para Java e liberar o acesso a todos os endere os de rede para applets n o assinados For ar autentica o Se esta op o estiver marcada o proxy obrigar a autentica o do usu rio ou seja somente permitir acesso para usu rios autenticados Se ela estiver desmarcada e um usu rio desejar se autenticar ele poder faz lo para ganhar um perfil diferente do padr o mas acessos n o identificados ser o permitidos e Tempos Limites leitura Este par metro define o tempo m ximo em segundos que o proxy aguarda por uma requisi o do cliente a partir d
527. utros firewalls Verifique o segmento de rede de troca informa o dos firewalls cooperativos 223 Erro ao replicar estado do cluster Esta mensagem indica que o firewall servidor do cluster n o esta conseguindo replicar o estado do cluster para os outros firewalls Verifique o segmento de rede de troca informa o dos firewalls cooperativos 224 Erro ao enviar arquivo ao cluster Esta mensagem indica que o firewall servidor do cluster nao esta conseguindo enviar arquivo ao cluster Verifique o segmento de rede de troca informa o dos firewalls cooperativos 225 Erro ao agrupar dados do cluster Esta mensagem indica que o firewall servidor do cluster n o esta conseguindo agrupar os dados do cluster Verifique o segmento de rede de troca informa o dos firewalls cooperativos 226 Arquivo com v rus desinfectado Esta mensagem indica que um arquivo analisado pelo firewall estava com v rus mas foi desinfectado 227 Arquivo com v rus bloqueado Esta mensagem indica que um arquivo estava com v rus e n o pode ser removido por isso O arquivo foi bloqueado 228 Arquivo n o pode ser analisado pois estava corrompido Esta mensagem indica que o antiv rus do firewall n o pode analisar o arquivo pois o mesmo estava corrompido 229 Arquivo n o pode ser analisado pois estava cifrado Esta mensagem indica que o antiv rus do firewall n o pode analisar o arquivo pois o mesmo estava cifrado 230 Host respondeu e foi m
528. v s das conex es FTP que se encaixarem neste contexto Apagar diret rio Se esta op o estiver desmarcada n o ser poss vel a remo o de diret rios atrav s das conex es FTP que se encaixarem neste contexto Listar diret rio Se esta op o estiver desmarcada n o ser poss vel a visualiza o do conte do de diret rios comandos DIR ou LS atrav s das conex es FTP que se encaixarem neste contexto Download de arquivos Se esta op o estiver desmarcada n o ser poss vel se fazer download de arquivos atrav s das conex es FTP que se encaixarem neste contexto Upload de arquivos Se esta op o estiver desmarcada n o ser poss vel se fazer upload de arquivos atrav s das conex es FTP que se encaixarem neste contexto Apagar arquivos Se esta op o estiver desmarcada n o ser poss vel se remover arquivos atrav s das conex es FTP que se encaixarem neste contexto Renomear arquivos Se esta op o estiver desmarcada n o ser poss vel se renomear arquivos atrav s das conex es FTP que se encaixarem neste contexto 25 0 Configurando o proxy POP3 Neste cap tulo ser o mostradas quais as fun es oferecidas pelo proxy POP3 e como realizar sua configura o SO que o proxy POP3 O proxy POP3 um programa especializado do Firewall Aker feito para trabalhar com correio eletr nico POP3 um anagrama para Post Office Protocol que o nome completo do servi o de download de mensagens de co
529. veja o cap tulo intitulado Filtro de Estados 26 1 Editando os par metros de um contexto RPC A janela de propriedades de um contexto RPC ser mostrada quando se selecionar o protocolo UDP e a op o Proxy RPC na janela de edi o de servi os Atrav s dela poss vel definir o comportamento do proxy RPC quando este for lidar com o servi o em quest o A Janela de propriedades de um contexto RPC Z Se rvicos a Autom tico E epee A o padr o Acela Rejeita S Nome RPC pros RPC A o Protocolo UDP Servi o a portmapper 3 100003 nfs nisprog echo Inicio Eim 7 echo 100005 mount showmount Proxy RPC A nn aa 100017 rex Na janela de propriedades sao configurados todos os parametros de um contexto associado a um determinado servico Ela consiste dos seguintes campos A o padr o Este campo indica a a o que ser aplicada a todos os servi os remotos que n o estiverem presentes na lista de permiss es O valor aceita permite que o servi o seja utilizado e o valor rejeita impede sua utiliza o Lista de permiss es Esta lista define de forma individual as permiss es de acesso aos servi os remotos Para executar qualquer opera o sobre um servi o na lista de permiss es basta clicar com o bot o direito do mouse sobre ele na coluna RPC Aparecer o seguinte menu Caso n o exista nenhum servi o selecionado somente as op e
530. ventos lt data_inicio gt lt data_fim gt fwlog mostra log eventos local cluster lt data_inicio gt lt data_fim gt prioridade fwlog Interface texto para visualizar log e eventos mostra lista o conteudo do log ou dos eventos Ele pode mostra apenas o log local ou todo o log do cluster apaga apaga todos os registro do log ou dos eventos ajuda mostra esta mensagem Para mostra temos data inicio data a partir da qual os registros serao mostrados data fim data ate onde mostrar os registros As datas devem estar no formato dd mm aaaa Se nao forem informadas as datas mostra os registros de hoje prioridade campo opcional Se for informado deve ter um dos seguintes valores ERRO ADVERTENCIA NOTICIA INFORMACAO ou DEPURACAO Ao selecionar uma prioridade somente serao listados registros cuja prioridade for igual a informada Exemplo 1 mostrando o log do dia 07 07 2003 tfwlog mostra log 07 07 2003 07 07 2003 OFF OT 2003 106254 OL D UDP AQUA 12 126 135 10 4 11 255 137 dev 07 07 2003 19 06 47 01 D UDP 10 44 120 136 10 4 14255 133 dev 07 07 2005 19 06 55 01 D UDP 1044410210 156 10 4 11 255 138 del OFFO 2003 490622 401 A TC IOGA ALA OZ Ol Ze ded OT OTS 2000 POLO 6271 02 Te ECP NOs Ae A 026 LO eT addi PS deo OO 20032 US DEZ 01 A TEME TOs oes TOA 1 7 del VELO 7172003 LOS 0 20 OL A TEMP 102 At toe do LOS Lots O del 07 07 2003 19206202 01 ALUDE W0w4e 145 LOS50
531. vos de configura o da vers o 5 0 do Firewall Aker Caso seja encontrado algum destes arquivos a seguinte tela ser mostrada Firewall Aker v5 1 Programa de Instalacao Atualizando arquivos da versao 5 0 do Firewall Aker Atualizando mensagens e parametros OK Atualizando regras de filtragem OK Atualizando perfis de acesso OK Atualizando parametros de autenticacao OK Atualizando configuracoes do controle de acesso OK Atualizando parametros HTTP OK Atualizando configuracoes do balanceamento de links OK Atualizando configuracoes do controle de acesso por ip OK Atualizacao completa Os arquivos de configuracao da versao 5 0 foram removidos do sistema Pressione enter para continuar A atualiza o dos arquivos feita automaticamente e de forma a manter toda a configura o existente inalterada Ap s realizada os arquivos de configura o originais ser o removidos do sistema e a seguinte tela ser mostrada Firewall Aker v5 1 Programa de Instalacao Criando servicos e regras padrao OK Voce deseja permitir que o firewall envie e receba pings assim como permitir que esses pacotes o atravessem para executar testes iniciais de conectividade S N Caso se responda n o esta pergunta o firewall ser instalado atrav s de uma pol tica deny all ou seja bloqueia todo o tr fego de rede exceto o necess rio para a administra o remota Ap s respondida esta pergunta uma nova tela se
532. wall do dia DD MM YYYY e var log fw 510 AAAAMMDD fwev Armazena os eventos do firewall do dia DD MM YYYY e var log stat 510 AAAAMMDD fws Armazena as estat sticas do firewall do dia DD MM YYYY 31 2 Backup do Firewall A vers o 3 0 do Firewall Aker incorporou a possibilidade da realiza o de c pias de seguran a e da recupera o completa de sua configura o remotamente Isto foi demonstrado no cap tulo intitulado Utilizando as ferramentas da interface gr fica Este procedimento remoto recomendado para a maioria das instala es em virtude de sua facilidade de uso e da possibilidade da grava o de toda a configura o do firewall em uma m quina remota Caso seja desejado entretanto poss vel realizar a opera o de backup manualmente como feito na vers o 2 0 e anteriores Neste t pico ser mostrado o procedimento necess rio para se realizar manualmente uma c pia de seguran a completa backup do Firewall Aker e como recuperar uma instala o ap s um desastre WArquivos a serem copiados e A parte mais importante a ser copiada s o os arquivos de configura o apresentados no t pico anterior Isto deve ser feito todas as vezes que se fizer alguma altera o na configura o do firewall e Outros arquivos importantes s o os de log e eventos Dependendo da necessidade de seguran a pode se fazer c pias di rias ou at mais freq entes destes arquivos Uma outra op o para aumentar a seguran a
533. xa com a descri o de cada entidade ira aparecer quando o mouse for passado sobre seu cone conforme a figura abaixo Firewall Aker Interno 172 16 0 1 Ajuda R pida esta op o ativa o help contextual autom tico para cada janela Mostrar cones nos bot es esta op o se ativada faz com que sejam mostrados cones nos bot es Ok Cancelar e Aplicar das janelas Tempo de sess o ociosa lt gt Permite definir o tempo maximo em minutos que a Interface permanecer conectada ao firewall sem receber nenhum comando do administrador Assim que este tempo limite for atingido a interface automaticamente se desconectar do firewall permitindo que uma nova sess o seja estabelecida Seu valor pode variar entre 1 e 60 A caixa Sem limite quando estiver marcada n o desconectara a Interface do firewall Valor padr o 1 minuto Sair fecha a janela da interface gr fica e Firewalls Este menu serve para se cadastrar mais firewalls na interface grafica de modo a possibilitar a administra o de diversos Firewalls Aker simultaneamente Com a Interface conectada a mais de um firewall simultaneamente poss vel se usar a facilidade de arrastar e soltar as entidades e regras entre firewalls de modo a facilitar a replica o de determinadas configura es entre eles Este menu ser descrito em detalhes mais abaixo e Janelas Este menu possui as fun es de configura o das janela abertas e da barra
534. xa em alguma das regras Se ele se encaixar em uma regra ent o a a o definida para ela ser executada Caso o filtro termine a pesquisa de todas as regras e o pacote n o se encaixar em nenhuma ent o a a o padr o ser executada SO que o filtro de estados do Firewall Aker Um filtro tradicional de pacotes baseia suas a es exclusivamente no conjunto de regras configurado pelo administrador Para cada pacote que poder passar pelo filtro o administrador tem que configurar uma regra que possibilite sua aceita o Em alguns casos Isto simples mas em outros isto n o poss vel de ser feito ou pelo menos n o poss vel de se fazer com a seguran a e flexibilidade necess rias O filtro de pacotes do Firewall Aker chamado de filtro de estados na medida em que armazena informa es do estado de todas as conex es que est o fluindo atrav s dele e usa estas Informa es em conjunto com as regras definidas pelo administrador na hora de tomar a decis o de permitir ou n o a passagem de um determinado pacote Al m disso diferentemente de um filtro de pacotes que baseia suas decis es apenas nos dados contidos no cabe alho do pacote o filtro de estados examina dados de todas as camadas e utiliza todos estes dados ao tomar uma decis o Vamos analisar como isso permite a solu o de diversos problemas apresentados pelos filtros de pacotes tradicionais O problema do protocolo UDP Para usar um servi o UDP a m qu
535. xados removidos ou checados contra v rus Para se executar qualquer opera o sobre uma determinada regra basta clicar com o bot o direito do mouse sobre ela Aparecer o seguinte menu este menu ser acionado sempre que se pressionar o bot o direito mesmo que n o exista nenhuma regra selecionada Neste caso somente as op es Incluir e Colar estar o habilitadas Inserir Editar x 4pagar m k Colar Agr Renomear e Inserir Esta op o permite se incluir uma nova regra na lista Se alguma regra estiver selecionada a nova ser Inserida na posi o da regra selecionada Caso contr rio a nova regra ser inclu da no final da lista e Editar Esta op o abre a janela de edi o para a regra selecionada e Apagar Esta op o remove da lista a regra selecionada e Copiar Esta op o copia a regra selecionada para uma rea tempor ria e Colar Esta op o copia a regra da rea tempor ria para a lista Se uma regra estiver selecionada a nova ser copiada para a posi o da regra selecionada Caso contr rio ela ser copiada para o final da lista e Renomear Esta op o renomeia a regra selecionada Dica Todas as op es mostradas acima podem ser executadas a partir da barra de ferramentas localizada logo acima da lista Neste caso primeiro seleciona se a regra clicando o com o bot o esquerdo e em seguida clica se na op o desejada Ally JA ordem das regras na lista de regras de filtr
536. xatamente que usu rios est o utilizando quais m quinas existe um programa chamado Cliente de Autentica o Aker que deve ser Instalado em todas as m quinas nas quais se pretende utilizar controle de acesso por usu rio Este programa que funciona de forma totalmente transparente para os usu rios finais intercepta o logon destes usu rios no dom nio ou solicita uma nova autentica o caso se esteja utilizando autentica o por token ou smart cards e envia esses dados de forma criptografada para o firewall O firewall ent o valida os dados recebidos utilizando seus agentes de autentica o autenticadores token ou autoridades certificadoras e caso o usu rio tenha sido validado corretamente estabelece uma sess o para o usu rio validado a partir da m quina na qual ele estabeleceu a sess o A partir deste momento o usu rio ter seu perfil de acesso configurado e ter acesso a todos os servi os liberados para ele Quando ele efetuar logoff o cliente de autentica o detectar este fato e informar ao firewall que o usu rio finalizou sua sess o Novamente tudo feito de forma transparente e autom tica li 3 O cliente de autentica o utilizar a porta 1022 UDP servi o Aker CL para se comunicar com os firewalls com os quais ele estabelecer as sess es de usu rios necess rio que exista pelo menos uma regra de filtragem liberando o acesso a partir das m quinas com o cliente instalado para o firewall caso cont
537. xto e 14 0 Visualizando o log do sistema o 14 1 Utilizando a interface gr fica o 14 2 Formato e significado dos campos dos registros do log o 14 3 Utilizando a interface texto e 15 0 Visualizando os eventos do sistema o 15 1 Utilizando a interface gr fica o 15 2 Formato e significado dos campos das mensagens de eventos o 15 3 Utilizando a interface texto e 16 0 Visualizando estat sticas o 16 1 Utilizando a interface gr fica o 16 2 Utilizando a interface texto e 17 0 Visualizando e removendo conex es o 17 1 Utilizando a interface gr fica o 17 2 Utilizando a interface texto e 18 0 Trabalhando com proxies o 18 1 Planejando a instala o o 18 2 Instalando o agente de autentica o em plataformas Unix o 18 3 Instalando o agente de autentica o em Windows NT 2000 e 19 0 Configurando par metros de autentica o o 19 1 Utilizando a interface gr fica o 19 2 Utilizando a interface texto e 20 0 Perfis de acesso de usu rios o 20 1 Planejando a instala o o 20 2 Cadastrando perfis de acesso o 20 3 Associando usuarios com perfis de acesso e 21 00 cliente de autentica o Aker e 13 21 1 Planejando a instala o 21 2 Instalando o cliente de autentica o Aker 21 3 Configurando o cliente de autentica o 21 4 Visualizando e removendo usu rios logados no firewall o 21 5 Utilizando a interface texto 22 0 Configurando o proxy SMTP o 22 1 Editando os par metros de um contexto SMTP 23 0 Configurando o proxy Telnet o 23 1 Editando os par
538. za se um algoritmo mais seguro no sentido mais cr tico Neste exemplo vamos supor que as redes 1 e 2 possuam dois endere os classe B A1 B1 0 0 e A2 B2 0 0 respectivamente e Configura o do Firewall Aker da rede 1 Entidades SUB REDE1 Endere o IP A1 B1 2 0 M scara 255 255 255 0 SUB REDE2 Endere o IP A2 B2 5 0 M scara 255 255 255 0 Regra de criptografia 1 Sentido do canal envia Entidades origem SUB REDEI Entidades destino SUB REDE2 Algoritmo de criptografia DES Algoritmo de autentica o MDS Chave de autentica o X1 Chave de criptografia X2 Regra de criptografia 2 Sentido do canal recebe Entidades origem SUB REDE2 Entidades destino SUB REDEI1 Algoritmo de criptografia 3DES Algoritmo de autentica o SHA Chave de autentica o X3 Chave de criptografia X4 e Configura o do Firewall Aker da rede 2 Entidades SUB REDE Endere o IP A1 B1 2 0 M scara 255 255 255 0 SUB REDE2 Endere o IP A2 B2 5 0 M scara 255 255 255 0 Regra de criptografia 1 Sentido do canal envia Entidades origem SUB REDE2 Entidades destino SUB REDEI1 Algoritmo de criptografia 3DES Algoritmo de autentica o SHA Chave de autentica o X3 Chave de criptografia X4 Regra de criptografia 2 Sentido do canal recebe Entidades origem SUB REDEI Entidades destino SUB REDE2 Algoritmo de criptografia DES Algoritmo de autentica o MDS Chave de autentica o X1 Chave de criptografia X2
539. zada 08 10 2003 09 13 09 Sessao de administracao estabelecida administrador CF CL GU 08 10 2003 09 13 09 Pedido de conexao de administracao 10 4 1 14 08 10 2003 09 09 49 Operacao sobre o arquivo de log Compactar 9771072003 10 27 11 Aker Firewall v5 1 Inicializa o completa 07 10 2003 08 57 11 Tabela de convers o UDP cheia Exemplo 2 mostrando os eventos do dia 07 10 2003 ao dia 08 10 2003 apenas prioridade depura o fwlog mostra eventos 07 10 2003 08 10 2003 depuracao 08 10 2003 09 09 49 Operacao sobre o arquivo de log Compactar 07 10 2003 10 27 11 Aker Firewall v5 1 Inicializacao completa Exemplo 3 removendo todo o conte do do arquivo de eventos fwlog apaga eventos 21 10 2003 23 10 2003 Remocao dos registros foi solicitada ao servidor de log 16 0 Visualizando estat sticas Neste cap tulo falaremos do que bem como as caracter sticas da janela de estat stica WO que a janela de estat sticas do Firewall Aker No Firewall as estat sticas s o um m todo de se medir o tr fego de dados atrav s de suas Interfaces Este tr fego se traduz em n meros que mostram a quantidade de pacotes enviados ou recebidos al m do tamanho total de bytes trafegados Utilizando se destas informa es o administrador consegue verificar o fluxo de dados de seus servi os podendo assim saber se o ambiente f sico da rede precisa ser melhorado ou expandido Outra utiliza o para este tipo de informa o
540. zada a alter los Valor padr o campo em branco Mesmo com uma comunidade de escrita definida por raz es de seguran a somente poder o ser alterados algumas vari veis do grupo system e Aba Monitoramento Par metros de configura o Firewall Azul a Global Log 2 Seguran a W SNMP Monitoramento Configure os par metros do monitoramento do balanceamento de carga Quando as convers es de endere o 1 N ou 1 N com servi os estiverem sendo usadas os servidores ser o monitorados de acordo com os par metros abaixo Ping Intervalo de Ping Tempo de Ativa o 520 HTTP Tempo limite dos pedidos seq Tempo limite de resposta seg Quando se utiliza convers o 1 N ou seja balanceamento de canal poss vel se configurar o tipo de monitoramento a ser realizado pelo firewall para verificar se as m quinas participantes do balanceamento est o no ar Os par metros de monitoramento permitem que se modifique os intervalos de tempo de monitoramento de modo a ajust los melhor a cada ambiente Monitoramento via ping Esses par metros configuram os tempos utilizados pelo firewall para realizar o monitoramento via pacotes ICMP Echo Request e Echo Reply S o eles Intervalo de ping Esse campo define de quanto em quanto tempo em segundos ser enviado um ping para as m quinas sendo monitoradas Seu valor pode variar entre 1 e 60 segundos Valor padr o 2 segundos Tempo limite de resposta Esse
Download Pdf Manuals
Related Search