Manual Firewall AKER
of 474
-
Upload
kleber-santana -
Category
Documents
-
view
609 -
download
2
Transcript of Manual Firewall AKER
Firewall AkerManual de Configurao da Verso 5.0 Introduo pg. 05 1-0 Instalando o Firewall Aker pg. 06 1-1 Requisitos de hardware software - pg. 06 1-2 Instalando o firewall - pg. 10 1-3 Instalando a interface remota em plataformas Windows, Linux e FreeBSD - pg. 21 2-0 Utilizando a interface remota - pg. 22 2-1 Iniciando a interface remota - pg. 25 2-2 Finalizando a administrao remota - pg. 30 2-3 Mudando sua senha de usurio - pg. 31 2-4 Visualizando informaes da sesso - pg. 32 2-5 Utilizando a ajuda on-line pg. 33 3-0 Administrando usurios do firewall - pg. 34 3-1 Utilizando a interface grfica pg. 35 3-2 Utilizando a interface texto pg. 39 4-0 Configurando os parmetros do sistema pg. 43 4-1 Utilizando a interface grfica pg. 43 4-2 Utilizando a interface texto pg. 52 5-0 Cadastrando Entidades - pg. 54 5-1 Planejando a instalao - pg. 54 5-2 Cadastrando entidades utilizando a interface grfica - pg. 58 5-3 Utilizando a interface texto - pg. 80 5-4 Assistente de Entidades - pg. 84 6-0 O Filtro de Estados - pg. 90 6-1 Planejando a instalao - pg. 90 6-2 Editando uma lista de regras usando a interface grfica - pg. 95 6-3 Trabalhando com Polticas de Filtragem - pg. 100 6-4 Utilizando a interface texto - pg. 104 6-5 Utilizando o assistente de regras - pg. 107 7-0 Configurando a Converso de Endereos - pg. 115 7-1 Planejando a instalao - pg. 115 7-2 Utilizando a interface grfica - pg. 123 7-3 Utilizando a interface texto - pg. 136 7-4 Utilizando o Assistente de NAT - pg. 139 8-0 Criando canais de criptografia - pg. 147 8-1 Planejando a instalao - pg. 147 8-2 Carregando certificados Aker-CDP - pg. 159 8-3 Carregando certificados IPSEC - pg. 162 8-4 Configurando canais Firewall-Firewall - pg. 165 8-5 Utilizando a interface texto - pg. 173 9-0 Configurando criptografia Cliente-Firewall - pg. 180 9-1 Planejando a Instalao - pg. 180 9-2 Configurando o firewall utilizando a interface grfica - pg. 182 9-3 Configurando o firewall utilizando a interface texto - pg. 185 9-4 Instalando o cliente de criptografia Aker - pg. 188 9-5 Configurando o cliente de criptografia - pg. 190 2
10-0 Integrao dos mdulos do Firewall - pg. 197 10-1 O fluxo de pacotes no Firewall Aker - pg. 197 10-2 Integrao do filtro com a converso de endereos - pg. 200 10-3 Integrao do filtro com a converso e a criptografia - pg. 201 11-0 Configurando a Segurana - pg. 202 11-1 Proteo contra SYN Flood - pg. 203 11-2 Utilizando a interface grfica para Proteo contra SYN Flood - pg. 204 11-3 Proteo de Flood - pg. 206 11-4 Utilizando a interface grfica para Proteo de Flood - pg. 207 11-5 Proteo Anti Spoofing - pg. 209 11-6 Utilizando a interface grfica para Anti Spoofing - pg. 211 11-7 Sistema de Deteco de Intruso (IDS) - pg. 213 11-8 Configurando o suporte para o agente de deteco de intruso - pg. 214 11-9 Instalando o Plugin para agentes IDS no Windows NT - pg. 216 11-10 Utilizando a interface texto - Syn Flood - pg. 222 11-11 Utilizando a interface texto - Proteo de Flood - pg. 223 11-12 Utilizando a interface texto - Anti Spoofing - pg. 224 11-13 Utilizando a interface texto - IDS - pg. 225 12-0 Configurando as aes do sistema - pg. 227 12-1 Utilizando a interface grfica - pg. 228 12-2 Utilizando a interface texto - pg. 232 13-0 Visualizando o log do sistema - pg. 235 13-1 Utilizando a interface grfica - pg. 237 13-2 Formato e significado dos campos dos registros do log - pg. 246 13-3 Utilizando a interface texto - pg. 250 14-0 Visualizando os eventos do sistema - pg. 252 14-1 Utilizando a interface grfica - pg. 253 14-2 Formato e significado dos campos das mensagens de eventos - pg. 259 14-3 Utilizando a interface texto - pg. 260 15-0 Visualizando estatsticas - pg. 262 15-1 Utilizando a interface grfica - pg. 263 15-2 Utilizando a interface texto - pg. 268 16-0 Visualizando e removendo conexes - pg. 270 16-1 Utilizando a interface grfica - pg. 270 16-2 Utilizando a interface texto - pg. 275 17-0 Trabalhando com proxies - pg. 277 17-1 Planejando a instalao - pg. 277 17-2 Instalando o agente de autenticao em plataformas Unix - pg. 282 17-3 Instalando o agente de autenticao em Windows NT/2000 - pg. 285 18-0 Configurando parmetros de autenticao - pg. 290 18-1 Utilizando a interface grfica - pg. 290 18-2 Utilizando a interface texto - pg. 298 19-0 Perfis de acesso de usurios - pg. 300 19-1 Planejando a instalao - pg. 301 19-2 Cadastrando perfis de acesso - pg. 302 19-3 Associando usurios com perfis de acesso - pg. 310 20-0 O cliente de autenticao Aker - pg. 314
3
20-1 Planejando a instalao - pg. 314 20-2 Instalando o cliente de autenticao Aker - pg. 315 20-3 Configurando o cliente de autenticao - pg. 317 20-4 Visualizando e removendo usurios logados no firewall - pg. 324 20-5 Utilizando a interface texto - pg. 327 21-0 Configurando o proxy SMTP - pg. 329 21-1 Editando os parmetros de um contexto SMTP - pg. 331 22-0 Configurando o proxy Telnet - pg. 346 22-1 Editando os parmetros de um contexto Telnet - pg. 347 23-0 Configurando o proxy FTP - pg. 350 23-1 Editando os parmetros de um contexto FTP - pg. 351 24-0 Configurando o proxy POP3 - pg. 353 24-1 Editando os parmetros de um contexto POP3 - pg. 355 25-0 Configurando o proxy WWW - pg. 360 25-1 Planejando a instalao - pg. 360 25-2 Editando os parmetros do proxy WWW - pg. 363 26-0 Configurando o proxy SOCKS - pg. 372 26-1 Planejando a instalao - pg. 372 26-2 Editando os parmetros do proxy SOCKS - pg. 373 27-0 Utilizando as ferramentas da interface grfica - pg. 375 27-1 Chaves de ativao - pg. 375 27-2 Salvar cpia de segurana - pg. 377 27-3 Carregar cpia de segurana - pg. 379 27-4 DNS Reverso - pg. 381 27-5 Data e Hora - pg. 383 27-6 Varredura de regras - pg. 385 27-7 Relatrios - pg. 388 27-8 Atualizaes - pg. 390 27-9 Configurao TCP/IP - pg. 392 27-10 Reinicializar firewall - pg. 396 27-11 Localizar entidades - pg. 397 27-12 Janela de Alarmes - pg. 399 27-13 Utilizando a interface texto na Configurao TCP/IP - pg. 401 27-14 Utilizando a interface texto nas Chaves de Ativao - pg. 407 28-0 Configurando o Firewall em Cluster - pg. 409 28-1 Planejando a Instalao - pg. 409 28-2 Utilizando a interface texto - pg. 411 29-0 Arquivos do sistema e backup - pg. 413 29-1 Arquivos do sistema - pg. 413 29-2 Backup do Firewall - pg. 418 30-0 Firewall Aker Box - pg. 420 Apndice A - Mensagens do sistema - pg. 423 Mensagens do log do Firewall - pg. 423 Mensagens dos eventos do Firewall - pg. 429 Apndice B - Perguntas e respostas - pg. 456 Apndice C - Copyrights e Disclaimers - pg. 467 Apndice D - Novidades da verso 5.0 - pg. 472
4
IntroduoEste o manual do usurio da verso 5.0 do Firewall Aker. Nos prximos captulos voc aprender como configurar esta poderosa ferramenta de proteo redes. Esta introduo tem como objetivo descrever a organizao deste manual e tentar tornar sua leitura o mais simples e agradvel possvel.
Como est disposto este manual.Este manual est organizado em vrios captulos. Cada captulo mostrar um aspecto da configurao do produto e todas as informaes relevantes ao aspecto tratado. Todos os captulos comeam com uma introduo terica sobre o tema a ser tratado seguido dos aspectos especficos de configurao do Firewall Aker. Juntamente com esta introduo terica, alguns mdulos possuem exemplos prticos do uso do servio a ser configurado, em situaes hipotticas porm bastante prximas da realidade. Buscamos com isso tornar o entendimento das diversas variveis de configurao o mais simples possvel. Recomendamos que este manual seja lido pelo menos uma vez por inteiro, na ordem apresentada. Posteriormente, se for necessrio, pode-se us-lo como fonte de referncia (para facilitar seu uso como referncia, os captulos esto divididos em tpicos, com acesso imediato pelo ndice principal. Desta forma, pode-se achar facilmente a informao desejada). Em vrios locais deste manual, aparecer o smbolo seguido de uma frase escrita em letras vermelhas. Isto significa que a frase em questo uma observao muito importante e deve ser totalmente entendida antes de se prosseguir com a leitura do captulo.
Interface texto vs. Interface GrficaO Firewall Aker possui duas interfaces distintas para sua configurao: uma interface grfica remota e uma interface texto local.
A interface grfica A interface grfica chamada de remota porque atravs dela possvel se administrar remotamente, via Internet, um Firewall Aker localizado em qualquer parte do mundo. Esta administrao feita atravs de um canal seguro entre a interface e o firewall, com um forte esquema de autenticao e criptografia, de modo a torn-la totalmente segura. A interface grfica de uso bastante intuitivo e esta disponvel para plataformas Windows 95TM, Windows 98TM, Windows NTTM, Windows 2000TM , Windows XPTM , Linux , FreeBSD e sob demanda em outros sabores de Unixes. 5
A interface texto
A interface texto uma interface totalmente orientada linha de comando que roda na mquina onde o firewall est instalado. O seu objetivo bsico possibilitar a automao de tarefas da administrao do Firewall Aker (atravs da criao de scripts) e possibilitar uma interao de qualquer script escrito pelo administrador com o Firewall. Praticamente todas as variveis que podem ser configuradas pela interface grfica podero ser configuradas tambm pela interface texto. Como as duas interfaces tratam das mesmas variveis, a funcionalidade, os valores e os comentrios destas tm validade tanto para interface grfica quanto para a interface texto. Devido a isso, os tpicos referentes interface texto normalmente sero curtos e se limitaro a mostrar seu funcionamento. Caso se tenha dvida sobre algum parmetro, deve-se recorrer explicao do mesmo no tpico relativo interface grfica. No possvel o uso simultneo de vrias interfaces grficas para um mesmo Firewall, nem o uso da interface texto enquanto existir uma interface grfica aberta.
Copyrights do Sistema
Copyright (c) 1997-2003 Aker Security Solutions. utiliza a biblioteca SSL escrita por Eric Young ([email protected]). Copyright 1995 Eric Young. utiliza o algoritmo AES implementao do Dr. B. R. Gladman ([email protected]). utiliza o algoritmo MD5 retirado da RFC 1321. Copyright 1991-2 RSA Data Security, Inc. utiliza a biblioteca CMU SNMP. Copyright 1997 Carnegie Mellon University. utiliza a biblioteca de compresso Zlib. Copyright 1995-1998 Jean-loup Gailly and Mark Adler. utiliza a biblioteca QWT escrita por Josef Wilgen. Copyright 1997. inclui software desenvolvido pela Universidade da California, Berkeley e seus colaboradores. inclui software desenvolvido por Luigi Rizzo, Universita` di Pisa Portions Copyright 2000 Akamba Corp. inclui software desenvolvido por Niklas Hallqvist, Angelos D. Keromytis and Haan Olsson. inclui software desenvolvido por Ericsson Radio Systems.
6
1-0 Instalando o Firewall AkerMostraremos neste captulo todos os passos e requisitos necessrios para se instalar o Firewall Aker.
1-1 Requisitos de hardware e softwarePara o firewallO Firewall Aker 5.0 roda sobre os sistemas operacionais Linux Red Hat 7.3 e Conectiva 9 e FreeBSD verses 4.7 e 4.9, em plataformas Intel ou compatveis. Devido ao fato de quanto o Linux quanto o FreeBSD serem sistemas gratuitos, eles so distribudos juntamente com a mdia de instalao do Firewall Aker. Desta forma, todo o software necessrio para rodar o firewall j vem includo com o mesmo. No necessria a compra de nenhum outro software adicional. Quanto ao hardware, para que o Firewall Aker execute de maneira satisfatria, necessria a seguinte lista (todos os componentes do hardware devem ser suportados pelo FreeBSD ou pelo Linux, em alguma das verses suportadas pelo firewall):
Computador Pentium ou compatvel 200 Mhz ou superior
Caso se utilize um link com alta taxa de transferncia ou caso se pretenda utilizar criptografia em um link com velocidade relativamente alta necessrio o uso de um computador mais potente.
128 Mbytes de memria RAM
Caso se pretenda fazer um grande uso dos servios de proxy e de criptografia, provavelmente ser necessrio 256 Mbytes ou mais.
4 Gbytes de espao em disco
Pode ser necessrio o uso de um disco maior caso se pretenda armazenar os logs do sistema por um grande espao de tempo.
Leitor de CD-ROM, monitor, mouse e teclado
Isso s necessrio durante a instalao ou caso se pretenda utilizar a interface texto a partir do console, entretanto altamente recomendado em todos os casos.
Placa(s) de rede
No existe um nmero mximo de placas de rede que podem ser colocadas no Firewall. A nica limitao existente a limitao do prprio hardware. Caso se necessite de um grande nmero de interfaces de rede, pode-se optar por placas com mais de uma sada na mesma interface.
7
importante frisar que todos os dispositivos de hardware devem ser suportados pelo FreeBSD ou pelo Linux. Antes de adquirir qualquer componente, necessrio primeiro se verificar se um destes sistemas operacionais, nas verses suportadas pelo Firewall Aker, aceita este componente. Para maiores informaes sobre os sistemas operacionais Linux ou FreeBSD ou para se verificar se um componente ou no suportado por eles, sugerimos um dos seguintes endereos:
WWW
http://www.br.freebsd.org (FreeBSD - portugus) http://www.freebsd.org (FreeBSD - ingls) http://www.linux.org (Linux - ingls) http://www.kernel.org (Linux - ingls) http://www.redhat.com (Linux - ingls) http://www.conectiva.com.br (Linux - portugus)
[email protected] (lista de discusso de FreeBSD em portugus) [email protected] (lista de discusso de FreeBSD em ingls) [email protected] (lista de discusso do Linux) A Aker Security Solutions no se responsabiliza por nenhum problema de configurao, operao, compatibilidade ou informao relativa aos sistemas operacionais Linux ou FreeBSD.
Para a interface grficaA interface grfica de adminstrao do Firewall Aker roda em plataformas Windows 95 ou superiores, Linux Red Hat 7.3, 8 e 9 e Conectiva 8 e 9; FreeBSD verses 4.7 e 4.9, em plataformas Intel ou compatveis. Quanto ao hardware, para que a interace grfica execute de maneira satisfatria, necessria a seguinte lista (todos os componentes do hardware devem ser suportados pelo sistema operacional na qual a interface ser instalada, em alguma das verses suportadas pelo produto):
Computador Pentium II ou compatvel 450 Mhz ou superior 128 Mbytes de memria RAM 4 Gbytes de espao em disco Monitor Mouse Teclado Placa de rede
8
Para o servidor de log remotoO servidor de log remoto do Firewall Aker roda em plataformas Windows NT ou superiores, Linux nas distribuies Red Hat 7.3, 8 e 9 e Conectiva 8 e 9; FreeBSD verses 4.7 e 4.9, em plataformas Intel ou compatveis. Quanto ao hardware, para que o servidor de log execute de maneira satisfatria, necessria a seguinte lista (todos os componentes do hardware devem ser suportados pelo sistema operacional na qual o servidor ser instalado, em alguma das verses suportadas pelo produto):
Computador Pentium III ou compatvel 1 Ghz ou superior Sistema de armazenagem com velocidade igual ou superior a um Ultra-ATA 66 64 Mbytes de memria RAM (recomenda-se 128 Mbytes) 40 Gbytes de espao em disco Monitor Mouse Teclado Placa(s) de rede
9
1-2 Instalando o firewallO Firewall Aker pode ser adquirido na forma de appliance. Sendo comprado desta forma, o produto j vem instalado e pr-configurado. Caso se tenha optado por comprar apenas o software, necessrio instal-lo na mquina escolhida, o que ser explicado neste tpico. Para instalar o Firewall Aker, necessrio primeiro se instalar o sistema operacional Linux ou FreeBSD. A instalao de ambos simples, porm recomenda-se que ela seja feita por algum que possua algum conhecimento do sistema operacional Unix. O procedimento bsico de instalao do FreeBSD e do Linux se encontra no seus CDROMs. Caso surjam problemas, sugerimos recorrer s fontes de informao mostradas no tpico anterior. Aps instalado o FreeBSD ou o Linux deve-se proceder com a instalao do Firewall Aker. Para instal-lo, necessrio montar o CD-ROM de instalao na mquina que se deseja instalar ou copiar o contedo do diretrio de instalao do CD-ROM para algum diretrio temporrio na mquina que se deseja instalar o produto ( possvel se realizar esta cpia via FTP ou NFS, caso no se possua um leitor de CD-ROM na mquina na qual o produto deve ser instalado). Aps se realizar a montagem do CD-ROM, ou a cpia dos arquivos para um diretrio qualquer, deve-se executar o seguinte comando:#/diretorio_de_instalacao/br/firewall/plataforma/fwinst
Onde diretrio_de_instalao o diretrio onde se encontram os arquivos de instalao e plataforma a plataforma na qual o firewall ser instalado, por exemplo, se o CDROM estivesse montando no diretrio /cdrom e a instalao fosse feita no FreeBSD, ento o comando a ser digitado seria: /cdrom/br/firewall/freebsd/fwinst O smbolo # representa o prompt do shell quando executado como root, ele no deve ser digitado como parte do comando.
Instalando o Firewall no sistema operacional FreeBSDO programa fwinst o responsvel por efetuar a instalao e a configurao do sistema para a execuo do Firewall Aker. Ao ser executado, ele mostrar a seguinte tela:
Firewall Aker v5 - Programa de Instalacao Este programa realiza a instalacao do Firewall Aker 5 e da interface texto de configuracao local. A instalacao pode ser feita a partir de um kernel pre-compilado fornecido junto com o firewall, pode-se compilar um kernel especifico para esta maquina ou se utilizar o kernel atual (contanto que a versao 5 ou superior ja
10
tenha sido instalada anteriormente). O kernel pre-compilado possui suporte para 3 placas de rede isa e um numero ilimitado de placas de rede PCI. Para maiores informacoes, sobre quais placas sao suportadas, quais suas configuracoes de endereco de E/S e IRQ e como alterar estes valores, veja a documentacao que acompanha o produto. Caso se resolva compilar um kernel especifico, antes de executar este programa e' necessario a criacao de um arquivo de configuracao do kernel chamado de FIREWALL. Este arquivo deve estar localizado no diretorio /usr/src/sys/i386/conf. Deseja prosseguir com a instalacao do firewall (S/N) ?
Caso j se tenha criado o arquivo de configurao do kernel chamado de FIREWALL ou se deseje utilizar o kernel pr-compilado ou o atual , deve-se responder S, seguido de Enter, para continuar com a instalao. Caso se queira compilar um novo kernel e este arquivo ainda no tenha sido criado, deve-se digitar N e cri-lo, antes de se continuar. Em caso de compilao de um novo kernel, existe um arquivo chamado de FIREWALL, no diretrio de instalao, que pode ser utilizado como base para se gerar o arquivo customizado, apenas copiando-o para o diretrio /usr/src/sys/i386/conf e removendo ou adicionando os componentes desejados. Para maiores informaes sobre este arquivo, consulte a documentao do FreeBSD. Caso se tenha feito a instalao do Firewall Aker com o kernel pr-compilado, ele estar configurado com suporte para at 10 (dez) VLANs, atravs do protocolo 802.1q . A configurao das VLANs pode ser feita posteriormente utilizando-se a interface grfica. Para mais informaes leia a seo intitulada Configurao TCP/IP Aps se responder Sim, o programa de instalao mostrar a licena de uso do Firewall Aker. Para se prosseguir, necessrio aceitar todos os termos e condies contidas na licena. Caso sejam aceitos, o programa prosseguir com a instalao mostrando a seguinte tela:
Firewall Aker v5 - Programa de Instalacao Iniciando a instalacao: Voce deseja utilizar o kernel (P)re-compilado, (C)ompilar um novo kernel ou usar o kernel (A)tual para a instalacao do firewall ? (P/C/A)
11
Caso se deseje utilizar o kernel pr-compilado, basta se digitar P, seguido de Enter. Caso se deseje utilizar o kernel atual, digita-se A. Caso contrrio, digita-se C. Recomenda-se a utilizao do kernel pr-compilado, principalmente caso no se possua experincia prvia com o FreeBSD. A nica necessidade de se compilar um novo kernel para se utilizar uma verso mais otimizada do mesmo. S possvel se utilizar o kernel atual caso j se tenha instalado o Firewall Aker verso 5.0 na mquina anterioremente. Caso contrrio deve-se escolher uma das duas outras opes. Independente da opo escolhida, o programa iniciar a instalao propriamente dita. Ele mostrar o seu progresso atravs de uma srie de mensagens auto-explicativas. Deve-se atentar para o fato do programa de instalao substituir o arquivo/etc/rc. Caso se tenha feito alguma alterao neste arquivo necessrio faz-la
novamente aps a instalao. Aps terminar de copiar os arquivos, o programa de instalao far algumas perguntas de modo a realizar a configurao especfica para cada sistema. A primeira destas configuraes ser a da chave de ativao do produto. Esta chave o que habilita o produto para seu funcionamento. Sem ela nenhum mdulo do firewall funcionar. Ser mostrada a seguinte tela:
Firewall Aker v5 - Programa de Instalacao Configuracao do sistema completada. E' necessario agora ativar a copia Instalada atraves da digitacao da chave de ativacao que foi entregue ao se adquirir o produto. A chave de ativacao, o nome da empresa e o endereco IP da interface externa deverao ser digitados exatamente como constam no documento entregue pela Aker Consultoria e Informatica ou seu representante. Pressione enter para continuar
Aps digitar enter, o programa mostrar uma tela solicitando que se digite as informaes contidas no documento fornecido pela Aker Security Solutions ou pelo seu representante autorizado de vendas. Deve-se atentar para digitar todos os campos exatamente como constam no documento. A chave deve ser digitada com os hfens '-' que aparecem no documento original. No nome da empresa, letras maisculas e minsculas so consideradas diferentes e devem ser digitadas exatamente como se encontram no documento original. 12
Um exemplo da entrada dos dados se encontra na tela mostrada abaixo:
Firewall Aker versao 5 Modulo de configuracao da chave de ativacao Nome da empresa: Aker Security Solutions IP da interface externa: 10.0.0.1 Chave de ativacao: 2DBDC612-FA4519AA-BBCD0FF1-129768D3-89BCA59C
Caso a chave seja vlida, o programa prosseguir com a instalao. Caso a chave ou o nome da empresa tenham sido digitados com erro, o programa pedir que sejam novamente digitados. O endereo IP digitado deve ter sido previamente configurado em alguma interface do sistema, caso contrrio o programa no prosseguir com a instalao. Caso a chave tenha sido aceita, a instalao prosseguir. Neste ponto, o programa de instalao procurar por arquivos de configurao da verso 4.50 do Firewall Aker. Caso seja encontrado algum destes arquivos, a seguinte tela ser mostrada:
Firewall Aker v5 - Programa de Instalacao Atualizando arquivos da versao 4.50 do Firewall Aker... Atualizando Atualizando Atualizando Atualizando Atualizando Atualizando Atualizando Atualizando Atualizando Atualizando Atualizando mensagens e parametros... OK entidades... OK regras de filtragem... OK regras de criptografia... OK conversao de enderecos... OK contextos SMTP... OK perfis de acesso... OK parametros de autenticacao parametros HTTP... OK protecao contra SYN Flood... OK criptografia de clientes... OK
Atualizacao completa. Os arquivos de configuracao da versao 4.50 foram removidos do sistema. Pressione enter para continuar
A atualizao dos arquivos feita automaticamente e de forma a manter toda a configurao existente inalterada. Aps realizada, os arquivos de configurao originais sero removidos do sistema e a seguinte tela ser mostrada:
13
Firewall Aker v5 - Programa de Instalacao Criando servicos e regras padrao... OK Voce deseja permitir que o firewall envie e receba 'pings', assim como permitir que esses pacotes o atravessem para executar testes iniciais de conectividade (S/N)?
Caso se responda no esta pergunta, o firewall ser instalado atravs de uma poltica deny-all, ou seja, bloqueia todo o trfego de rede, exceto o necessrio para a administrao remota. Aps respondida esta pergunta, uma nova tela ser mostrada:
Firewall Aker v5 - Programa de Instalacao E' necessario se definir o nome da interface de rede externa do firewall Os enderecos IP que se originarem desta interface nao serao contabilizados no numero maximo de licencas do produto. A interface externa deve assumir um dos seguintes valores: fxp0 fxp1 de0 Entre a interface externa:
A configurao da interface externa usada apenas para o controle de licenas do firewall. Deve-se informar o nome da interface que estar conectada Internet. A especificao da interface externa no possui nenhuma implicao de segurana. Nenhum controle de acesso feito levando-se em conta esta interface.
Firewall Aker v5 - Programa de Instalacao Ativacao do sistema completada. Vamos agora para a configuracao de alguns parametros do Firewall Aker: Eu posso cadastrar automaticamente um administrador capaz de gerenciar remotamente o firewall. Este administrador tera plenos poderes em relacao firewall e a partir dele novos usuarios poderao ser cadastrados.
14
Obs: Se voce nao cadastrar um administrador nao podera administrar o firewall a partir da interface grafica, apenas atraves da interface texto local. Voce deseja criar este administrador (S/N) ?
Para que seja possvel se administrar o firewall a partir da interface grfica, necessrio se cadastrar um administrador, devendo-se responder S a esta pergunta. De qualquer forma, possvel se cadastrar posteriormente outros administradores atravs das interfaces locais de administrao. A explicao de como fazer isso, se encontra no captulo intitulado Administrando usurios do firewall. Caso se tenha optado por incluir um novo administrador, ser mostrada a tela pedindo os dados do administrador a ser cadastrado. Um exemplo desta tela se encontra abaixo (cabe mencionar que a senha do administrador a ser cadastrado no ser mostrada na tela).
Firewall Aker versao 5 Modulo de administracao de usuarios remotos Inclusao de usuario Entre o login Entre o nome completo Entre a senha Confirme a senha : administrador : Administrador do Firewall Aker : :
Confirma inclusao do usuario ? (S/N)
Aps se ter ou no includo o administrador e caso se tenha definido que se ir compilar um novo kernel, o programa de instalao mostrar uma ltima tela informando que ele iniciar a compilao de um novo kernel para a mquina, com base no arquivo de configurao do kernel chamado /usr/src/sys/i386/conf/FIREWALL.
Firewall Aker v5 - Programa de Instalacao Irei agora realizar a compilacao do kernel para instalar o Firewall Aker nesta maquina. Esta compilacao pode levar de 5 a 40 minutos, dependendo sua configuracao e da velocidade de sua maquina. Pressione enter para continuar
15
Ao se pressionar enter, o programa iniciar a compilao do novo kernel. Aps compilar e instalar o novo kernel, ele solicitar que a mquina seja reinicializada para ativar o Firewall Aker. Ao se reinicializar a mquina, o firewall j entrar em funcionamento automaticamente e poder ser configurado remotamente.
Instalando o Firewall no sistema operacional LinuxO programa fwinst o responsvel por efetuar a instalao e a configurao do sistema para a execuo do Firewall Aker. Ao ser executado, ele mostrar a seguinte tela:
Firewall Aker v5 - Programa de Instalacao Este programa realiza a instalacao do Firewall Aker 5 e da interface texto de configuracao local. O Firewall Aker 5 pode ser instalado no kernel distribuido junto com o Linux Red Hat 7.3 ou Conectiva 8 e 9. Desta forma, nao e' necessario recompila-lo. Deseja prosseguir com a instalacao do firewall (S/N) ?
Aps se responder Sim, o programa de instalao mostrar a licena de uso do Firewall Aker. Para se prosseguir, necessrio aceitar todos os termos e condies contidas na licena. Caso sejam aceitos, o programa prosseguir com a instalao mostrando seu progresso atravs de uma srie de mensagens auto-explicativas. Aps terminar de copiar os arquivos, o programa de instalao far algumas perguntas de modo a realizar a configurao especfica para cada sistema. A primeira destas configuraes ser a da chave de ativao do produto. Esta chave o que habilita o produto para seu funcionamento. Sem ela nenhum mdulo do firewall funcionar. Ser mostrada a seguinte tela:
Firewall Aker v5 - Programa de Instalacao Configuracao do sistema completada. E' necessario agora ativar a copia Instalada atraves da digitacao da chave de ativacao que foi entregue ao se adquirir o produto. A chave de ativacao, o nome da empresa e o endereco IP da interface externa deverao ser digitados exatamente como constam no documento entregue pela Aker Consultoria e Informatica ou seu representante.
16
Pressione enter para continuar
Aps digitar enter, o programa mostrar uma tela solicitando que se digite as informaes contidas no documento fornecido pela Aker Security Solutions ou pelo seu representante autorizado de vendas. Deve-se atentar para digitar todos os campos exatamente como constam no documento. A chave deve ser digitada com os hfens '-' que aparecem no documento original. No nome da empresa, letras maisculas e minsculas so consideradas diferentes e devem ser digitadas exatamente como se encontram no documento original. Um exemplo da entrada dos dados se encontra na tela mostrada abaixo:
Firewall Aker versao 5 Modulo de configuracao da chave de ativacao Nome da empresa: Aker Security Solutions IP da interface externa: 10.0.0.1 Chave de ativacao: 2DBDC612-FA4519AA-BBCD0FF1-129768D3-89BCA59C
Caso a chave seja vlida, o programa prosseguir com a instalao. Caso a chave ou o nome da empresa tenham sido digitados com erro, o programa pedir que sejam novamente digitados. O endereo IP digitado deve ter sido previamente configurado em alguma interface do sistema, caso contrrio o programa no prosseguir com a instalao. Caso a chave tenha sido aceita, a instalao prosseguir. Neste ponto, o programa de instalao procurar por arquivos de configurao da verso 4.5 do Firewall Aker. Caso seja encontrado algum destes arquivos, a seguinte tela ser mostrada:
Firewall Aker v5.0 - Programa de Instalacao Atualizando arquivos da versao 4.5 do Firewall Aker... Atualizando Atualizando Atualizando Atualizando Atualizando Atualizando Atualizando Atualizando Atualizando mensagens e parametros... OK entidades... OK regras de filtragem... OK regras de criptografia... OK conversao de enderecos... OK contextos SMTP... OK perfis de acesso... OK parametros de autenticacao... OK parametros HTTP... OK
17
Atualizando protecao contra SYN Flood... OK Atualizando criptografia de clientes... OK Atualizacao completa. Os arquivos de configuracao da versao 4.5 foram removidos do sistema. Pressione enter para continuar
A atualizao dos arquivos feita automaticamente e de forma a manter toda a configurao existente inalterada. Aps realizada, os arquivos de configurao originais sero removidos do sistema e a seguinte tela ser mostrada:
Firewall Aker v5 - Programa de Instalacao Criando servicos e regras padrao... OK Voce deseja permitir que o firewall envie e receba 'pings', assim como permitir que esses pacotes o atravessem para executar testes iniciais de conectividade (S/N)?
Caso se responda no esta pergunta, o firewall ser instalado atravs de uma poltica deny-all, ou seja, bloqueia todo o trfego de rede, exceto o necessrio para a administrao remota. Aps respondida esta pergunta, uma nova tela ser mostrada:
Firewall Aker v5 - Programa de Instalacao E' necessario se definir o nome da interface de rede externa do firewall Os enderecos IP que se originarem desta interface nao serao contabilizados no numero maximo de licencas do produto. A interface externa deve assumir um dos seguintes valores: eth0 eth1 eth2 Entre a interface externa:
A configurao da interface externa usada apenas para o controle de licenas do firewall. Deve-se informar o nome da interface que estar conectada Internet.
18
A especificao da interface externa no possui nenhuma implicao de segurana. Nenhum controle de acesso feito levando-se em conta esta interface.
Firewall Aker v5 - Programa de Instalacao Ativacao do sistema completada. Vamos agora para a configuracao de alguns parametros do Firewall Aker: Eu posso cadastrar automaticamente um administrador capaz de gerenciar remotamente o firewall. Este administrador tera plenos poderes em relacao firewall e a partir dele novos usuarios poderao ser cadastrados. Obs: Se voce nao cadastrar um administrador nao podera administrar o firewall a partir da interface grafica, apenas atraves da interface texto local. Voce deseja criar este administrador (S/N) ?
Para que seja possvel se administrar o firewall a partir da interface grfica, necessrio se cadastrar um administrador, devendo-se responder S a esta pergunta. De qualquer forma, possvel se cadastrar posteriormente outros administradores atravs das interfaces locais de administrao. A explicao de como fazer isso, se encontra no captulo intitulado Administrando usurios do firewall. Caso se tenha optado por incluir um novo administrador, ser mostrada a tela pedindo os dados do administrador a ser cadastrado. Um exemplo desta tela se encontra abaixo (cabe mencionar que a senha do administrador a ser cadastrado no ser mostrada na tela).
Firewall Aker versao 5 Modulo de administracao de usuarios remotos Inclusao de usuario Entre o login Entre o nome completo Entre a senha Confirme a senha : administrador : Administrador do Firewall Aker : :
Confirma inclusao do usuario ? (S/N)
19
Aps se ter ou no includo o administrador, ser mostrada uma mensagem indicando o trmino da instalao e solicitando que a mquina seja reinicializada para ativar o Firewall Aker. Ao se reinicializar a mquina, o firewall j entrar em funcionamento automaticamente e poder ser configurado remotamente.
20
1-3 Instalando a interface remotaEm plataformas WindowsPara instalar a interface remota nas plataformas Windows 95, 98, Me, NT, 2000 ou XP, deve-se colocar o CD-ROM do Aker Security Suite no drive e seguir as instrues que aparecero na tela. Caso a opo de auto-execuo esteja desabilitada, ento necessrio se executar os seguintes passos: 1. Clicar no menu Iniciar 2. Selecionar a opo Executar 3. Ao ser perguntado sobre qual programa executar, digitar D:\br\firewall\gui\instalar. (Caso o leitor de CD-ROM seja acessado por uma letra diferente de D, substitu-la pela letra equivalente, no comando anterior). Ao trmino da instalao, ser criado um grupo chamado Aker, no menu Iniciar. Para executar a interface remota, basta selecionar a opo Firewall 5 GUI dentro deste grupo.
Em plataformas LinuxPara instalar a interface remota em plataformas Linux necessrio que os pacotes da biblioteca QT estejam previamente instalados. A interface grfica para plataformas Linux distribuda em pacotes RPM. Para installa, proceda da seguinte forma: 1. Coloque o CD-ROM no drive e monte-o, atravs do comando mount/mnt/cdrom
2. Execute o comando: rpm -ivh /mnt/cdrom/br/firewall/gui/fwgui-brlinux-5.0_1.rpm
3. Aps a apresentao de cerquilhas a interface estar instalada. Os nome do pacote a ser instalado pode mudar conforme a verso do Linux no qual a interface ser instalada. Verifique o contedo do diretrio /mnt/cdrom/br/firewall/gui/ para ver os nomes de todos os pacotes e selecionar o mais adequado.
Em plataformas FreeBSDPara instalar a interface remota em plataformas FreeBSD necessrio que os pacotes da biblioteca QT estejam previamente instalados. A interface grfica para o FreeBSD ser distribuda em pacotes tbz. Para instalar a interface neste sistema operacional proceda da seguinte forma:
21
1. Coloque o CD-ROM no drive e monte-o, atravs do comando mount /cdrom 2. Execute o comando: pkg_add /cdrom/br/firewall/gui/fwgui-brfreebsd49-5.0_1.tbz
3. Aps o retorno do prompt de comando a interface estar instalada. O nome do pacote a ser instalado pode mudar conforme a verso do FreeBSD no qual a interface ser instalada. Verifique o contedo do diretrio /cdrom/br/firewall/gui/ para ver os nomes de todos os pacotes e selecionar o mais adequado.
22
2-0 Utilizando a Interface RemotaNeste captulo mostraremos como funciona a interface grfica remota de administrao do Firewall Aker.
O que a administrao remota do Firewall Aker ?O Firewall Aker pode ser totalmente configurado e administrado remotamente, a partir de qualquer mquina que possua um sistema operacional compatvel com uma das verses da interface remota, que tenha TCP/IP e que consiga acessar a mquina na qual o firewall se encontra. Isto permite um alto grau de flexibilidade e facilidade de administrao, possibilitando que um administrador monitore e configure vrios firewalls a partir de sua estao de trabalho. Alm dessa facilidade, a administrao remota permite uma economia de recursos na medida em que possibilita que a mquina que rode o firewall no possua monitor e outros perifricos.
Como funciona a administrao remota do Firewall Aker ?Para possibilitar a administrao remota, existe um processo rodando na mquina do firewall responsvel por receber as conexes, validar os usurios e executar as tarefas solicitadas por estes usurios. Quando um usurio inicia uma sesso de administrao remota, a interface grfica estabelece uma conexo com o mdulo de administrao remota do firewall e mantm esta conexo aberta at que o usurio finalize a sesso. Toda a comunicao entre a interface remota e o firewall feita de maneira segura, utilizando-se criptografia e autenticao. Para cada sesso, so geradas novas chaves de criptografia e autenticao. Alm disso, so empregadas tcnicas de segurana para impedir outros tipos de ataques, como por exemplo, ataques de repetio de pacotes. Existem algumas observaes importantes sobre a administrao remota que devem ser comentadas: 1. Para que a interface remota consiga se conectar ao firewall, necessrio a adio de uma regra liberando o acesso TCP para a porta 1020 a partir da mquina que deseja se conectar. Informaes de como fazer isso se encontram no captulo intitulado O Filtro de Estados. 2. S possvel a abertura de uma conexo de administrao remota em um determinado instante. Se j existir uma interface conectada, pedidos subseqentes de conexo sero recusados e a interface remota informar que j existe uma sesso ativa. 3. Cada um dos usurios que for utilizar a interface remota deve estar cadastrado no sistema. O programa de instalao pode criar automaticamente um administrador com poderes para cadastrar os demais administradores. Caso se tenha eliminado este administrador ou perdido sua senha, necessrio o uso do mdulo local da interface grfica ou da interface texto para criar um novo
23
administrador. Detalhes de como fazer isso se encontram no captulo intitulado Administrando Usurios do Firewall.
Como utilizar a interfaceA interface bastante simples de ser utilizada, entretanto, existe uma observao que deve ser comentada: Os botes esquerdo e direito do mouse tem funes diferentes na interface. O boto esquerdo usado para se selecionar entradas em uma lista e para se clicar em botes. O boto direito tem como funo mostrar um menu de opes para uma determinada lista.
24
2-1 Iniciando a interface remotaPara iniciar a execuo da interface grfica remota deve-se executar um dos seguintes passos:
Em mquinas Windows, clicar no menu Iniciar, selecionar o grupo Aker, dentro deste grupo selecionar o sub-grupo Firewall 5 GUI e clicar no cone Firewall Aker 5.0. Em FreeBSD ou Linux, deve-se executar o comando 'fwgui' a partir do prompt do shell ou clicar no cone criado na rea de trabalho (apenas para KDE).
Ser mostrada a seguinte janela:
A janela mostrada acima a janela principal do Firewall Aker. a partir dela que se tem acesso a todas as opes de configurao. Ela consiste de 4 menus, descritos brevemente abaixo (quando existe um firewall selecionado, um quinto menu mostrado com opes especficas para o firewall selecionado):
Opes
O menu Opes contm as configuraes relacionadas ao layout da interface grfica. Ao se clicar neste menu, aparecero as seguintes opes:
25
- Rtulos de Botes: marcando esta opo ser mostrada juntamente com cada cone a ao correspondente do boto. Desmarcando esta opo, ser mostrado apenas o cone. - Dicas para Entidades: quando esta opo estiver ativada uma pequena caixa com a descrio de cada entidade ir aparecer quando o mouse for passado sobre seu cone, conforme a figura abaixo.
- Ajuda Rpida: esta opo ativa o help contextual automtico para cada janela. - Mostrar cones nos botes: esta opo, se ativada, faz com que sejam mostrados cones nos botes Ok, Cancelar e Aplicar das janelas. - Sair: fecha a janela da interface grfica.
Firewalls
Este menu serve para se cadastrar mais firewalls na interface grfica de modo a possibilitar a administrao de diversos Firewalls Aker simultaneamente. Com a interface conectada a mais de um firewall simultaneamente, possvel se usar a facilidade de arrastar-e-soltar as entidades e regras entre firewalls, de modo a facilitar a replicao de determinadas configuraes entre eles. Este menu ser descrito em detalhes mais abaixo.
Janelas
Este menu possui as funes de configurao das janela abertas e da barra de menu. - Barra de ferramentas: esta opo permite que se defina se a barra de ferramentas na parte superior da janela principal ser mostrada ou no. - Janelas: esta opo permite que se mostre ou no as janelas padro do sistema: ajuda, firewalls e entidades. - Lado a Lado: selecionando esta opo, as janelas abertas do lado direito da interface grfica se ajustam de forma que todas aparecem visveis. - Cascata: esta opo faz com que as janelas abertas no lado direito da interface grfica fiquem posicionadas em forma de cascata, uma na frente da outra. Inicialmente, nem todas as opes dos menus se encontram habilitadas, por funcionarem apenas quando houver uma conexo estabelecida. Para se ter acesso s demais opes necessrio que se estabelea uma sesso de administrao remota com o firewall que se deseja administrar. Para tanto deve-se seguir os seguintes passos:
Cadastrar o firewall selecionando-se o menu Firewalls e a opo Novo Firewall (veja o item Cadastrando Firewalls logo a seguir) 26
Selecionar o firewall com o qual se desejar conectar Clicar na opo Conectar
Cadastrando Firewalls Nesta seo demonstraremos como podemos cadastrar um (ou mais) firewalls. Quando selecionamos a opo Novo Firewall dentro do menu Firewalls ou no cone "Criar novo Firewall" aparecer a seguinte janela:
- Modo de demonstrao: caso esta opo for marcada, ser criado um firewall de demonstrao, com uma configurao padronizada. Nenhuma conexo real ser feita ao se tentar conectar neste firewall, podendo-se criar quantos firewall de demonstrao for desejado, cada um com sua configurao distinta do outro; - Nome: este campo usado para se cadastrar o nome pelo qual o firewall ser referenciado na interface grfica; - Endereo: campo para cadastrar o endereo IP o qual nos conectaremos no firewall; - Usurio: o usurio que acessar o firewall. Este campo serve para que no precisemos digitar o usurio quando quisermos acessar o firewall, j que ficar gravado. - Senha: a senha do usurio. Caso deixe a caixa Salvar senha marcada, no ser necessrio digitar a senha quando fizer a conexo (a senha aparecer na tela como vrios asteriscos "*"). Caso ela esteja desmarcada, este campo estar desabilitado. No final basta clicar em Ok e o firewall estar cadastrado. No caso de cancelar o cadastro do firewall, basta clicar em Cancelar.
27
Depois de cadastrarmos o firewall, podemos clicar duas vezes no cone do firewall criado, no lado esquerdo da janela, ou clicar uma vez para selecion-lo e, em seguida, no boto Conectar que far com que a interface se conecte ao firewall escolhido, como mostrado na figura abaixo:
Caso no seja possvel estabelecer a sesso de administrao, ser mostrada uma janela com o erro que impossibilitou sua abertura. Neste caso, existem vrias mensagens possveis. Abaixo esto listadas as mensagens de erro mais comuns:
Aker j sendo utilizado por outra interface
O Firewall Aker s permite a existncia de uma sesso de administrao em um determinado instante. Se esta mensagem for mostrada, significa que j existe uma outra interface remota conectada ou um mdulo de administrao local sendo utilizado.
Erro de rede ou conexo encerrada pelo servidor
Este um erro genrico e pode ter uma srie de causas. A sua causa mais comum um erro na digitao do login ou da senha. Se o login do usurio no estiver cadastrado ou sua senha estiver errada, o servidor encerrar a conexo. Verifique primeiramente se seu login e sua senha foram digitados corretamente. Caso o erro continue, siga a seguinte seqncia de passos:
28
1. Verifique se o usurio que est tentando se conectar est cadastrado no sistema e a sua senha est correta (para fazer isso, utilize o mdulo local de administrao de usurios. Veja o captulo intitulado Administrando usurios do firewall). 2. Verifique se a rede est funcionando corretamente. possvel se fazer isso de vrias formas, uma delas utilizando o comando ping. (No se esquea de acrescentar uma regra liberando os servios ICMP echo request e echo reply para a mquina que se est testando em direo ao firewall, caso se v utilizar o ping. Para aprender como fazer isso, veja o captulo intitulado O Filtro de Estados). Se isso no funcionar, ento a rede est com problemas de conectividade e isto deve ser corrigido antes de se tentar a administrao remota. Caso funcione, veja o passo 3. 3. Verifique se existe uma regra cadastrada liberando o acesso a partir da mquina que se deseja conectar para o firewall, utilizando o servio Aker (TCP, porta 1020). Caso no exista, insira esta regra (para aprender como fazer isso, veja o captulo intitulado O Filtro de Estados)
29
2-2 Finalizando a administrao remotaExistem trs formas de finalizar a administrao remota do Firewall Aker: - Finalizando a sesso clicando com o boto direito do mouse no firewall conectado e selecionando Desconectar do firewall;
- Clicando em Desconectar do firewall na barra de ferramentas ou - Fechando a interface grfica remota. Neste caso voc perder a conexo com todos os firewalls que estiverem conectados. Caso se deseje sair do programa, basta clicar no boto Sair na barra de ferramentas da janela principal ou clicar no "x" no canto superior direito da janela.
30
2-3 Mudando sua senha de usurio possvel para qualquer usurio do Firewall Aker alterar a sua senha sempre que desejado. Para tanto deve-se primeiro estabelecer uma sesso de administrao (como mostrado no tpico Iniciando a interface remota) e aps isso executar os seguintes passos:
Selecionar o firewall a ser configurado Clicar em Ferramentas Clicar duas vezes em Mudar senha.
Ser mostrada ento a seguinte janela:
Deve-se digitar a senha anterior no campo Senha antiga e digitar a nova senha nos campos Nova senha e Confirmar a nova senha (as senhas aparecero na tela como vrios asteriscos "*"). Aps preencher os campos, deve-se pressionar o boto OK, para alterar a senha ou o boto Cancelar, caso no se deseje mud-la.
31
2-4 Visualizando informaes da sesso possvel a qualquer momento visualizar algumas informaes sobre a sesso de administrao ativa. Para isso existe uma janela especfica que mostra informaes teis como: login, nome e direitos do usurio que est administrando o firewall e a verso e o release do Firewall Aker que estiver sendo administrado. So mostradas tambm a hora de incio da conexo e a quanto tempo ela est ativa. Para abrir esta janela, execute os seguintes passos:
Selecionar o firewall a ser configurado Clicar em Informao Clicar duas vezes em Informao de sesso.
Ser mostrada ento a seguinte janela:
32
2-5 Utilizando a ajuda on-line e a Ajuda-RpidaO Firewall Aker possui uma ajuda on-line bastante completa. Ela mostrada em uma janela ao final da interface grfica. Esta janela pode ser escondida ou mostrada, sendo possvel se escolher qual das duas formas atravs do menu Janelas, Sub-menu Janelas, opo Ajuda. A ajuda on-line consiste do contedo deste manual mostrado de forma sensvel ao contexto em relao janela de configurao do firewall ativa, ou seja, ser mostrada a parte do manual que seja relevante para a janela que se esteja configurando. A Ajuda-Rpida consiste em uma breve explicao sobre cada um dos itens dos menus de configurao. Esta explicao mostrada em uma pequena janela, abaixo dos menus, como destacado abaixo:
possvel se mostrar ou esconder a Ajuda-Rpida, bastando clicar sobre seu cone.
33
3-0 Administrando Usurios do FirewallNeste captulo mostraremos como criar os usurios que iro administrar remotamente o Firewall Aker.
O que so usurios do Firewall Aker ?Para que alguma pessoa consiga administrar remotamente o Firewall Aker, necessrio que esta seja reconhecida e validada pelo sistema. Esta validao feita na forma de senhas e, para que ela seja possvel, cada um dos administradores dever ser previamente cadastrado com um login e uma senha. Alm disso, o Firewall Aker permite a existncia de vrios administradores distintos, cada um responsvel por uma determinada tarefa da administrao. Isto alm de facilitar a administrao, permite um maior controle e uma maior segurana. no cadastro de usurios que se define as atribuies de cada um dos administradores.
34
3-1 Utilizando a interface grficaPara ter acesso a janela de administrao de usurios na interface remota basta:
Clicar em Configuraes do Sistema da janela do firewall que se quer administrar Selecionar o item Administrao de Usurios
Esta opo s estar habilitada se o usurio que estiver com a sesso aberta na interface remota tiver autoridade para gerenciar usurios. Isto ser comentado em detalhes no prximo tpico.
A janela de administrao de usurios
35
Esta janela consiste de uma lista de todos os usurios atualmente definidos para acesso administrao do firewall. Para cada usurio, mostrado seu login, seu nome completo e suas permisses.
O boto OK far com que a janela de administrao de usurios seja fechada e as modificaes salvas. O boto Aplicar far com que as alteraes realizadas sobre um determinado usurio sejam aplicadas, isto , realizadas permanentemente, sem fechar a janela. O boto Cancelar fechar a janela de administrao de usurios e descartar todas as alteraes efetuadas. Quando um usurio for selecionado, os seus atributos completos sero mostrados nos campos Permisses.
Para se alterar os atributos de um usurio, deve-se proceder da seguintes forma: 1. Seleciona-se o usurio a ser alterado clicando sobre seu nome com o boto esquerdo do mouse. Neste momento sero mostrados os seus atributos nos campos aps a listagem de usurios. 2. Altera-se o valor dos atributos desejados e clica-se no boto Aplicar ou no boto OK. A partir deste momento as alteraes sero efetivadas. Para se incluir um usurio na lista, deve-se proceder da seguinte forma: 1. Clica-se com o boto direito do mouse em qualquer lugar da rea reservada para mostrar a lista (aparecer o boto Inserir) e seleciona-se a opo Incluir no menu pop-up ou clica-se no cone que representa a incluso na barra de ferramentas. 2. Preenche-se os campos do usurio a ser includo e clica-se no boto Aplicar ou no boto OK. Para se remover um usurio da lista, deve-se proceder da seguinte forma: 1. Seleciona-se o usurio a ser removido, clicando sobre seu nome com o boto esquerdo do mouse, e clica-se no cone que representa a remoo na barra de ferramentas. ou 2. Clica-se com o boto direito do mouse sobre o nome do usurio a ser removido e seleciona-se a opo Excluir no menu pop-up. Significado dos atributos de um usurio
Acesso
a identificao do usurio para o firewall. No podem existir dois usurios com o mesmo login. Este login ser pedido ao administrador do firewall quando este for estabelecer uma sesso de administrao remota. O login deve ter entre 1 e 14 caracteres. No h diferenas entre letras maisculas e minsculas neste campo. 36
Nome
Este campo contm o nome completo do usurio associado ao login. Ele tem objetivos puramente informacionais, no sendo usado para qualquer validao. Este nome deve ser um conjunto de caracteres de comprimento entre 0 e 40.
Senha
Este campo ser usado em conjunto com o campo login para identificar um usurio perante o Firewall Aker. Ao se digitar a senha, sero mostrados na tela asteriscos "*" ao invs das letras. O campo senha deve ter no mximo 14 caracteres. Seu tamanho mnimo configurvel atravs da janela de parmetros da interface (para maiores informaes veja o tpico Configurando os parmetros da interface). Neste campo, letras maisculas e minsculas so consideradas diferentes. extremamente importante que as senhas usadas tenham um comprimento grande, o mais prximo possvel do limite de 14 caracteres. Alm disso, deve-se sempre utilizar uma combinao de letras minsculas, maisculas, nmeros e caracteres especiais nas senhas (caracteres especiais so aqueles encontrados no teclado dos computadores e que no so nmeros nem letras: "$", "&", "]", etc). Nunca use como senhas palavras em qualquer idioma ou apenas nmeros.
Confirmao
Este campo serve para que se confirme a senha digitada no campo anterior, uma vez que esta aparece como asteriscos.
Permisses
Este campo define o que um usurio pode fazer dentro do Firewall Aker. Ele consiste de trs opes que podem ser marcadas independentemente. O objetivo destas permisses possibilitar a criao de uma administrao descentralizada para o firewall. possvel por exemplo, numa empresa que possua vrios departamentos e vrios firewalls, deixar um administrador responsvel pela configurao de cada um dos firewalls e um responsvel central com a tarefa de supervisionar a administrao. Este supervisor seria a nica pessoa capaz de apagar e alterar a configurao de log e eventos dos firewalls. Desta forma, apesar de cada departamento ter autonomia de administrao, possvel se ter um controle central do que cada administrador alterou na configurao e quando ele realizou cada alterao. Isto um recurso muito importante para se realizar auditorias internas, alm de aumentar a segurana da administrao. Caso um usurio no possua nenhum atributo de autoridade ento este ter permisso apenas para visualizar a configurao do firewall e compactar os arquivos de log e de eventos. 37
Configurao do Firewall
Se esta permisso estiver marcada, o usurio em questo poder administrar o firewall, isto , alterar a configurao das entidades, regras de filtragem, converso de endereos, criptografia, proxies e parmetros de configurao que no estejam relacionados ao log.
Configurao do Log
Se esta opo estiver marcada, o usurio em questo ter poderes para alterar os parmetros relacionados ao log (como por exemplo, tempo de permanncia do log), alterar a configurao da janela de aes (tanto as mensagens quanto os parmetros) e apagar permanentemente o log e os eventos.
Controle de Usurios
Se esta opo estiver marcada, o usurio em questo ter acesso janela de administrao de usurios, podendo incluir, editar e excluir outros usurios. Um usurio que possuir esta autoridade somente poder criar, editar ou excluir usurios com autoridades iguais ou menores s que ele possuir (por exemplo, se um usurio tiver poderes de gerenciar usurios e configurar log, ento ele poder criar usurios que no possuam nenhuma autoridade, que somente possam configurar o log, que somente possam criar novos usurios ou que possam gerenciar usurios e configurar log. Ele no poder nunca criar, nem editar ou excluir, um usurio que possa configurar o firewall)
38
3-2 Utilizando a interface textoAlm da interface grfica de administrao de usurios, existe uma interface local orientada caracteres que possui praticamente as mesmas capacidades da interface grfica. A nica funo no disponvel a de alterao das permisses dos usurios. Esta interface texto, ao contrrio da maioria das demais interfaces orientadas caracteres do Firewall Aker, interativa e no recebe parmetros da linha de comando. Localizao do programa: /etc/firewall/fwadmin Ao ser executado, o programa mostrar a seguinte tela:
Para executar qualquer uma das opes mostradas, basta se digitar a letra mostrada em negrito. Cada uma das opes ser mostrada em detalhes abaixo:
Inclui um novo usurio
Esta opo permite a incluso de um novo usurio que poder administrar o Firewall Aker remotamente. Ao ser selecionada, ser mostrada uma tela pedindo as diversas informaes do usurio. Aps todas as informaes serem preenchidas, ser pedida uma confirmao para a incluso do usurio.
39
Observaes importantes: 1. Nos campos onde aparecem as opes (S/N), deve-se digitar apenas S, para sim e N para no. 2. A senha e a confirmao das senhas no sero mostradas na tela.
Remove um usurio existente
Esta opo remove um usurio que esteja cadastrado no sistema. Ser pedido o login do usurio a ser removido. Se o usurio realmente estiver cadastrado, ser pedida a seguir uma confirmao para realizar a operao.
Para prosseguir com a remoo, deve-se digitar S, caso contrrio digita-se N.
Altera senha de um usurio
40
Esta opo permite com que se altere a senha de um usurio j cadastrado no sistema. Ser pedido o login do usurio e caso este exista, sero pedidas a nova senha e a confirmao desta nova senha (conforme j comentado anteriormente, a senha e a confirmao no sero mostradas na tela).
Lista usurios cadastrados
Esta opo mostra uma lista com o nome e as permisses de todos os usurios autorizados a administrar remotamente o firewall. Um exemplo de uma possvel listagem de usurios a seguinte:
O campo permisses consiste de 3 possveis valores: CF, CL, e GU, que correspondem s permisses de Configura Firewall, Configura Log e Gerencia Usurios, respectivamente. Se um usurio possuir uma permisso, ela ser mostrada com o cdigo acima, caso contrrio ser mostrado o valor --, indicando que o usurio no a possui.
41
Compacta arquivo de usurios
Esta opo no est presente na interface grfica e no possui uso freqente. Ela serve para compactar o arquivo de usurios, removendo entradas no mais usadas. Ele somente deve ser usada quando for removido um grande nmero de usurios do sistema. Ao ser selecionada, o arquivo ser compactado e ao final ser mostrada uma mensagem indicando que a operao foi completada (a compactao do arquivo costuma ser uma operao bastante rpida, durando poucos segundos).
Sai do fwadmin
Esta opo encerra o programa fwadmin e retorna para a linha de comando
42
4-0 Configurando os parmetros do sistemaNeste captulo mostraremos como configurar as variveis que iro influenciar nos resultados de todo o sistema. Estes parmetros de configurao atuam em aspectos como a segurana, log do sistema e tempos de inatividade das conexes.
4-1 Utilizando a interface grficaPara ter acesso a janela de configurao de parmetros basta:
Clicar no menu Configuraes do Sistema da janela do firewall que se quer administrar. Selecionar o item Parmetros de Configurao
A janela de Parmetros de configurao
43
O boto OK far com que a janela de configurao de parmetros seja fechada e as alteraes efetuadas aplicadas. O boto Cancelar far com que a janela seja fechada porm as alteraes efetuadas no sejam aplicadas. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta
Significado dos parmetros
Aba Global
Nesta janela, estes parmetros so utilizados pelo filtro de estados e pelo conversor de endereos. Eles consistem dos seguintes campos: Interface Externa: Define o nome da interface externa do firewall. Conexes que vierem por esta interface no contaro na licena. Valor padro: Configurado durante a instalao do firewall pelo administrador.
44
Tempo limite TCP: Define o tempo mximo, em segundos, que uma conexo TCP pode permanecer sem trfego e ainda ser considerada ativa pelo firewall. Seu valor pode variar de 0 a 30000. Valor padro: 900 segundos. Tempo limite UDP: Define o tempo mximo, em segundos, que uma conexo UDP pode permanecer sem trfego e ainda ser considerada ativa pela firewall. Seu valor pode variar de 0 a 30000. Valor padro: 180 segundos. Estes campos so de vital importncia para o correto funcionamento do firewall: valores muito altos podero causar problemas de segurana para servios baseados no protocolo UDP, faro com que o sistema utilize mais memria e o tornaro mais lento. Valores muito baixos podero causar constantes quedas de sesso e o mau funcionamento de alguns servios. GUI Tempo limite de sesso: Define o tempo mximo, em segundos, que a interface permanecer conectada ao firewall sem receber nenhum comando do administrador. Assim que este tempo limite for atingido, a interface automaticamente se desconectar do firewall, permitindo que uma nova sesso seja estabelecida. Seu valor pode variar entre 30 e 3600. A caixa "Sem limite" quando estiver marcada no desconectar a interface do firewall. Valor padro: 600 segundos. Tamanho mnimo de senha: Define o nmero mnimo de caracteres que as senhas dos administradores devem ter para serem aceitas pelo sistema. Seu valor pode variar entre 4 e 14 caracteres. Valor padro: 6 caracteres. importante que este valor seja o maior possvel, de modo a evitar a utilizao de senhas que possam ser facilmente quebradas. Servidor NTP (Network Time Protocol): Define o servidor de tempo que ser utilizado pelo firewall para sincronizar seu relgio interno. (Este campo s aparece para os Firewall Box) Endereos fixos de configurao remota: So endereos que, independentemente de regras e de extrapolao dos limites de licenas, podem administrar o firewall (isto conectar na porta 1020). Eles servem como medida de preveno anti-bloqueio do firewall, uma vez que s podem ser configurados via interface texto. Aba Log
45
Local: Indica que o log/eventos/estatsticas devem ser salvos em um disco local, na mquina onde o firewall estiver rodando. Tempo de vida no log / eventos / estatstica: Os registros de log, eventos e estatsticas do firewall so mantidos em arquivos dirios. Esta configurao define o nmero mximo de arquivos que sero mantidos pelo sistema, em caso de log local. Os valores possveis vo de 1 a 365 dias. Valor padro: 7 dias No caso de utilizao de log remoto essas opes estaro desabilitadas e devero ser configuradas no prprio servidor remoto Remoto: Esta opo indica que o log/eventos/estatsticas devero ser enviados para um servidor de log remoto ao invs de serem gravados no disco local. Com isso, o controle de diversos firewalls pode ser centralizado, facilitando a auditoria. Servidor de Log Remoto: Esta opo indica o servidor de log remoto para o qual o log/eventos/estatsticas sero enviados. Logar Traduo de Endereo de Rede (NAT): Habilita o registro no log do sistema das converses de endereos feitas pelo firewall. Valor padro: Converses de endereo no devem ser logadas
46
Mesmo com esta opo ativa, somente sero logados os pacotes convertidos atravs das converses 1:N e N:1. As converses por outros tipos de regras no sero registradas. A ativao desta opo no traz nenhuma informao importante e deve ser utilizada apenas para fim de testes ou para se tentar resolver problemas. Logar syslog do Unix: Habilita o envio do log e dos eventos do firewall para o daemon de log do Unix, o syslogd. Valor padro: No envia log para o syslogd Caso se habilite esta opo, os registros de log sero enviados para a fila local0 e os de eventos para a fila local1. Esta opo no altera em nada o registro interno do log e dos eventos realizado pelo prprio firewall. Aba Segurana
Parmetros de Segurana Permitir pacotes de roteamento por origem: Habilita a passagem de pacotes que tenham a opo de registro de rota ou de roteamento dirigido. Se esta opo estiver desmarcada, pacotes com alguma destas opes no podero trafegar. Valor padro: Pacotes IP direcionados no so permitidos.
47
Cabe ressaltar que a aceitao de pacotes com qualquer uma das opes mostradas acima pode causar uma falha sria de segurana. A no ser que se tenha uma razo especfica para deix-los passar, deve-se manter esta opo desmarcada. Suporte FTP: Habilita o suporte especfico para o protocolo FTP. Valor padro: Suporte FTP est habilitado Este parmetro faz com que o firewall trate o protocolo FTP de forma especial, de modo a permitir que ele funcione transparentemente para todas as mquinas clientes e servidoras, internas ou externas. A menos que no se pretenda usar FTP atravs do firewall, esta opo deve estar marcada. Suporte Real Audio: Habilita o suporte para os protocolos Real Audio e Real Video. Valor padro: Suporte Real Audio est habilitado Este parmetro faz com que o firewall trate o protocolo Real Audio / Real Video de forma especial, de modo a permitir que ele funcione transparentemente usando conexes TCP e UDP. A menos que no se pretenda usar o Real Audio ou se pretenda utiliz-lo apenas com conexes TCP, esta opo deve estar marcada. Suporte a RTSP: Habilita o suporte para o protocolo RTSP. Valor padro: Suporte RTSP est habilitado O RTSP (Real Time Streaming Protocol) um protocolo que atua a nvel de aplicao e ajuda a prover um certo arranjo que permite a entrega controlada de dados de tempo real, como udio e vdeo. Fontes de dados podem incluir programas ao vivo (com udio e vdeo) ou algum contedo armazenado (eventos pr-gravados). Ele projetado para trabalhar com protocolos como o RTP, HTTP e/ou outro que de suporte a mdia continuas sobre a Internet. Ele suporta trfego multicast bem como unicast. E tambm suporta interoperabilidade entre clientes e servidores de diferentes fabricantes. Este parmetro faz com que o firewall trate o protocolo de forma especial, de modo a permitir que ele funcione transparentemente usando conexes TCP e UDP.
Aba SNMP
48
Parmetros de SNMP
Comunidade de leitura: Este parmetro indica o nome da comunidade que est autorizada a ler dados do firewall via SNMP. Caso este campo esteja em branco, nenhuma mquina estar autorizada a l-los. Valor padro: campo em branco Comunidade de escrita: Este parmetro indica o nome da comunidade que est autorizada a alterar dados do firewall via SNMP. Caso este campo esteja em branco, nenhuma mquina estar autorizada a alter-los. Valor padro: campo em branco Mesmo com uma comunidade de escrita definida, por razes de segurana, somente podero ser alterados algumas variveis do grupo system. Aba Monitoramento
49
Quando se utiliza converso 1-N, ou seja, balanceamento de canal, possvel se configurar o tipo de monitoramento a ser realizado pelo firewall para verificar se as mquinas participantes do balanceamento esto no ar. Os parmetros de monitoramento permitem que se modifique os intervalos de tempo de monitoramento, de modo a ajustlos melhor a cada ambiente. Monitoramento via ping Esses parmetros configuram os tempos utilizados pelo firewall para realizar o monitoramento via pacotes ICMP Echo Request e Echo Reply. So eles: Intervalo de ping: Esse campo define de quanto em quanto tempo, em segundos, ser enviado um ping para as mquinas sendo monitoradas. Seu valor pode variar entre 1 e 60 segundos. Valor padro: 2 segundos. Tempo limite de resposta: Esse campo define o tempo mximo, em segundos, que uma mquina pode permanecer sem responder aos pacotes de ping enviados pelo firewall e ainda ser considerada ativa. Seu valor pode variar entre 2 e 120 segundos. Valor padro: 8 segundos. Tempo de ativao: Esse campo define o tempo, em segundos, que o firewall ir esperar, aps receber um pacote de resposta de uma mquina anteriormente fora do ar, 50
at consider-la novamente ativa. Esse intervalo de tempo necessrio pois normalmente uma mquina responde a pacotes ping antes de estar com todos os seus servios ativos. Seu valor pode variar entre 1 e 60 segundos. Valor padro: 10 segundos. Monitoramento via http Esses parmetros configuram os tempos utilizados pelo firewall para realizar o monitoramento via requisies HTTP. So eles: Tempo limite de requisio: Esse campo define de quanto em quanto tempo, em segundos, o firewall requisitar a URL especificada pelo administrador para cada mquina sendo monitorada. Seu valor pode variar entre 1 e 300 segundos. Valor padro: 5 segundos. Tempo limite de resposta: Esse campo define o tempo mximo, em segundos, que uma mquina sendo monitorada poder levar para responder requisio do firewall e ainda ser considerada ativa. Seu valor pode variar entre 2 e 300 segundos. Valor padro: 15 segundos.
51
4-2 Utilizando a interface textoA interface texto de configurao de parmetros bastante simples de ser utilizada e possui exatamente as mesmas capacidades da interface grfica. Ela possui entretanto a possibilidade, no disponvel na interface grfica, de adicionar at trs mquinas possveis de administrarem o firewall remotamente, mesmo sem a existncia de uma regra liberando sua conexo. O objetivo desta funcionalidade permitir que, mesmo que um administrador tenha feito uma configurao equivocada que impea sua conexo, ainda assim ele poder continuar administrando remotamente o firewall. Este parmetro chama-se end_remoto. Localizao do programa: /etc/firewall/fwpar Sintaxe:fwpar - mostra/altera parametros de configuracao Uso: fwpar [mostra | ajuda] fwpar interface_externa fwpar [tempo_limite_tcp | tempo_limite_udp] fwpar [ip_direcionado] fwpar [suporte_ftp | suporte_real_audio | suporte_rtsp] fwpar [loga_conversao | loga_syslog] fwpar [permanencia_log | permanencia_event | permanencia_stat] fwpar [serv_log_remoto ] fwpar [end_remoto ] fwpar [comunidade_leitura | comunidade_escrita] [nome] mostra = mostra a configuracao atual ajuda = mostra esta mensagem interface_externa = configura o nome da interface externa (conexoes que vierem por esta interface nao contam na licenca) tempo_limite_tcp = tempo maximo de inatividade para conexoes TCP tempo_limite_udp = tempo maximo de inatividade para conexoes UDP ip_direcionado = aceita pacotes IP direcionados suporte_ftp = habilita suporte ao protocolo FTP suporte_real_audio = habilita suporte ao procotolo Real Audio suporte_rtsp = habilita suporte ao procotolo RTSP loga_conversao = registra mensagens de conversao de enderecos loga_syslog = envia mensagens de log e eventos para o syslogd permanencia_log = tempo de permanencia (dias) dos registros de log permanencia_event = tempo de permanencia (dias) dos registris de eventos permanencia_stat = tempo de permanencia (dias) das estatisticas serv_log_remoto = servidor de log remoto (nome da entidade) end_remoto = endereco dos tres controladores remotos comunidade_leitura = nome da comunidade de leitura para SNMP comunidade_escrita = nome da comunidade de escrita para SNMP
Exemplo 1: (visualizando a configurao)# fwpar mostra Parametros globais: ------------------tempo_limite_tcp : 900 segundos tempo_limite_udp : 180 segundos interface_externa : lnc0 Parametros de seguranca:
52
-----------------------ip_direcionado : nao suporte_ftp : sim suporte_real_audio: sim suporte_rtsp : sim end_remoto : 1) 10.0.0.1 Parametros de configuracao de log: ---------------------------------loga_conversao : nao loga_syslog : nao permanencia_log : 7 dias permanencia_event : 7 dias permanencia_stat : 7 dias Parametros de configuracao de SNMP: ----------------------------------comunidade_leitura: comunidade_escrita:
2) 10.0.0.2
3)10.0.0.3
Exemplo 2: (habilitando pacotes IP direcionados)#/etc/firewall/fwpar ip_direcionado sim
Exemplo 3: (configurando o nome da comunidade de leitura SNMP)#/etc/firewall/fwpar comunidade_leitura public
Exemplo 4: (apagando o nome da comunidade de escrita SNMP)#/etc/firewall/fwpar comunidade_escrita
53
5-0 Cadastrando EntidadesMostraremos aqui o que so, para que servem e como se cadastrar entidades no Firewall Aker
5-1 Planejando a instalaoO que so e para que servem as entidades ?Entidades so representaes de objetos do mundo real para o Firewall Aker. Atravs delas, pode-se representar mquinas, redes, servios a serem disponibilizados, entre outros. A principal vantagem da utilizao de entidades para representar objetos reais que a partir do momento em que so definidas no Firewall, elas podem ser referenciadas como se fossem os prprios objetos, propiciando uma maior facilidade de configurao e operao. Todas as alteraes feitas em uma entidade sero automaticamente propagadas para todos os locais onde ela referenciada. Pode-se definir, por exemplo, uma mquina chamada de Servidor WWW, com o endereo IP de 10.0.0.1. A partir deste momento, no mais necessrio se preocupar com este endereo IP. Em qualquer ponto onde seja necessrio referenciar esta mquina, a referncia ser feita pelo nome. Caso futuramente seja necessrio alterar seu endereo IP, basta alterar a definio da prpria entidade que o sistema automaticamente propagar esta alterao para todas as suas referncias.
Definindo entidadesAntes de explicar como cadastrar entidades no Firewall Aker, necessrio uma breve explicao sobre os tipos de entidades possveis e o que caracteriza cada uma delas. Existem 6 tipos diferentes de entidades no Firewall Aker: mquinas, redes, conjuntos, servios, autenticadores e interfaces. As entidades do tipo mquina e rede, como o prprio nome j diz, representam mquinas individuais e redes, respectivamente; entidades do tipo conjunto representam uma coleo de mquinas e redes, em qualquer nmero; entidades do tipo servio representam um servio a ser disponibilizado atravs de um protocolo qualquer que rode em cima do IP; entidades do tipo autenticador representam um tipo especial de mquina que pode ser utilizada para realizar autenticao de usurios; por ltimo, entidades do tipo interface representam uma interface de rede do firewall. Por definio, o protocolo IP, exige que cada mquina possua um endereo diferente. Normalmente, estes endereos so representados da forma byte a byte, como por exemplo 172.16.17.3. Desta forma, pode-se caracterizar unicamente uma mquina em qualquer rede IP, incluindo a Internet, com apenas seu endereo.
54
Para definir uma rede, necessrio uma mscara alm do endereo IP. A mscara serve para definir quais bits do endereo IP sero utilizados para representar a rede (bits com valor 1) e quais sero utilizados para representar as mquinas dentro da rede (bits com valor 0). Assim, para representar a rede cujas mquinas podem assumir os endereos IP de 192.168.0.1 a 192.168.0.254, deve-se colocar como rede o valor 192.168.0.0 e como mscara o valor 255.255.255.0. Esta mscara significa que os 3 primeiros bytes sero usados para representar a rede e o ltimo byte ser usado para representar a mquina. Para se verificar se uma mquina pertence a uma determinada rede, basta fazer um E lgico da mscara da rede, com o endereo desejado e comparar com o E lgico do endereo da rede com sua mscara. Se eles forem iguais, a mquina pertence rede, caso contrrio no. Vejamos dois exemplos: Suponha que desejamos verificar se a mquina 10.1.1.2 pertence rede 10.1.0.0, mscara 255.255.0.0. Temos:10.1.0.0 E 255.255.0.0 = 10.1.0.0 (para a rede) 10.1.1.2 E 255.255.0.0 = 10.1.0.0 (para o endereo)
Temos ento que os dois endereos so iguais aps a aplicao da mscara, portanto a mquina 10.1.1.2 pertence rede 10.1.0.0. Suponha agora que desejamos saber se a mquina 172.16.17.4 pertence rede 172.17.0.0, mscara 255.255.0.0. Temos:172.17.0.0 E 255.255.0.0 = 172.17.0.0 (para a rede) 172.16.17.4 E 255.255.0.0 = 172.16.0.0 (para o endereo)
Como os endereos finais so diferentes, temos que a mquina 172.16.17.4 no pertence rede 172.17.0.0 Caso seja necessrio definir uma rede onde qualquer mquina seja considerada como pertencente a ela (ou para especificar qualquer mquina da Internet), basta-se colocar como endereo IP desta rede o valor 0.0.0.0 e como mscara o valor 0.0.0.0. Isto bastante til na hora de se disponibilizar servios pblicos, onde todas as mquinas da Internet tero acesso. Toda a vez que ocorre uma comunicao entre duas mquinas, usando o protocolo IP, esto envolvidos no apenas os endereos de origem e destino, mas tambm um protocolo de nvel mais alto (nvel de transporte) e algum outro dado que identifique a comunicao unicamente. No caso dos protocolos TCP e UDP (que so os dois mais utilizados sobre o IP), uma comunicao identificada por dois nmeros: a Porta Origem e a Porta Destino. A porta destino um nmero fixo que est associada, geralmente, a um servio nico. Assim, temos que o servio Telnet est associado com o protocolo TCP na porta 23, o servio FTP com o protocolo TCP na porta 21 e o servio SNMP com o protocolo UDP na porta 161, por exemplo. A porta origem um nmero sequencial escolhido pelo cliente de modo a possibilitar que exista mais de uma sesso ativa de um mesmo servio em um dado instante. Assim,
55
uma comunicao completa nos protocolos TCP e UDP pode ser representada da seguinte forma:10.0.0.1 1024 -> 10.4.1.2 23 TCP ---------------------------------------------------------------------Endereo origem Porta origem Endereo destino Porta destino Protocolo
Para um firewall, a porta de origem no importante, uma vez que ela randmica. Devido a isso, quando se define um servio, leva-se em considerao apenas a porta de destino. Alm dos protocolos TCP e UDP, existe um outro protocolo importante, o ICMP. Este protocolo utilizado pelo prprio IP para enviar mensagens de controle, informar sobre erros e testar a conectividade de uma rede. O protocolo ICMP no utiliza o conceito de portas. Ele usa um nmero que varia de 0 a 255 para indicar um Tipo de Servio. Como o tipo de servio caracteriza unicamente um servio entre duas mquinas, ele pode ser usado como se fosse a porta destino dos protocolos TCP e UDP na hora de definir um servio. Por ltimo, existem outros protocolos que podem rodar sobre o protocolo IP e que no so TCP, UDP ou ICMP. Cada um destes protocolos tem formas prprias para definir uma comunicao e nenhum deles utilizado por um grande nmero de mquinas. Ainda assim, o Firewall Aker optou por adicionar suporte para possibilitar ao administrador controle sobre quais destes protocolos podem passar atravs do firewall e quais no. Para entender como isso feito, basta se saber que cada protocolo tem um nmero nico que o identifica para o protocolo IP. Este nmero varia de 0 a 255. Desta forma, podemos definir servios para outros protocolos usando o nmero do protocolo como identificao do servio.
O que Qualidade de Servio (QoS)Qualidade de servio pode ser compreendida de duas formas: do ponto de vista da aplicao ou da rede. Para uma aplicao, oferecer seus servios com qualidade significa atender s expectativas, muitas vezes subjetivas, do usurio em termos do tempo de resposta e da qualidade do servio que est sendo provido. Por exemplo, no caso de uma aplicao de vdeo, fidelidade adequada do som e/ou da imagem sem rudos nem congelamentos. A qualidade de servio da rede depende das necessidades da aplicao, ou seja, do que ela requisita da rede a fim de que funcione bem e atenda, por sua vez, s necessidades do usurio. Estes requisitos so traduzidos em parmetros indicadores do desempenho da rede como, por exemplo, o atraso mximo sofrido pelo trfego da aplicao entre o computador origem e destino. O Firewall Aker implementa um mecanismo com o qual possvel se definir uma banda mxima de trfego para determinadas aplicaes. Atravs de seu uso, determinadas
56
aplicaes que tradicionalmente consomem muita banda, podem ter seu uso controlado. As entidades do tipo Canal so utilizadas para este fim e sero explicadas logo abaixo.
57
5-2 Cadastrando entidades utilizando a interface grficaPara ter acesso janela de cadastro de entidades basta:
Clicar no meu Configurao do Firewall da janela do firewall que se quer administrar; Selecionar o item Entidades (a janela ser mostrada abaixo da janela com os menus de configurao dos firewalls).
A janela de cadastro de entidades
58
A janela de cadastro de entidades onde so cadastradas todas as entidades do Firewall Aker, independente do seu tipo. Esta janela, por ser constantemente utilizada em praticamente todas as demais configuraes do firewall, normalmente mostrada sempre aberta, abaixo da janela com os menus de configurao de cada firewall. Dica: possvel se posicionar a janela de entidades como se fosse uma janela comum, bastando para isso clicar sobre sua barra de ttulo e arrast-la para a posio desejada. Nesta janela esto desenhados oito cones, em forma de rvore, que representam os oito tipos de entidades possveis de serem criados. Dica: Para visualizar as entidades criadas s clicar no sinal de + e as entidades ficaro listadas logo abaixo do logotipo. Para se cadastrar uma nova entidade, deve-se proceder da seguinte forma: 1. Clica-se uma vez no cone correspondente entidade do tipo que se deseja criar com o boto direito do mouse e seleciona-se a opo Nova no menu pop-up ou 2. Clica-se no cone correspondente entidade do tipo que se deseja criar e pressiona-se a tecla Insert. Para se editar ou excluir uma entidade, deve-se proceder da seguinte forma: 1. Seleciona-se a entidade a ser editada ou excluda (se necessrio, expande-se a lista do tipo de entidade correspondente) 2. Clica-se com o boto direito do mouse e seleciona-se a opo Editar ou Excluir, respectivamente, no menu pop-up que aparecer. ou 3. Clica-se no cone correspondente entidade do tipo que se deseja criar e pressiona-se a tecla Delete. No caso das opes Editar ou Incluir, aparecer a janela de edio de parmetros da entidade a ser editada ou includa. Esta janela ser diferente para cada um dos tipos possveis de entidades.
59
O cone , localizado na parte inferior da janela aciona o assistente de cadastramento de entidades que ser descrito no final deste captulo. A janela de alerta de excluso de entidades
Sempre que uma entidade estiver prestes a ser apagada, o sistema ir checar se existe alguma dependncia da mesma na configurao, de modo a manter a integridade do firewall. Se existir qualquer dependencia, ser mostrada uma lista de aes que sero executadas automaticamente pelo sistema, de modo a possibilitar que o administrador decida se quer proceder ou no com a remoo.
Incluindo / editando mquinas
Para se cadastrar uma entidade do tipo mquina, necessrio preencher os seguintes campos: Nome: o nome atravs do qual a mquina ser referenciada daqui em diante pelo firewall. possvel se especificar este nome manualmente ou deixar que o ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois 60
modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so, portanto, consideradas diferentes. cone: o cone que aparecer associado mquina em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento mostrar uma lista com todos os possveis cones para representar mquinas. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no se deseje alter-lo aps ver a lista, basta clicar no boto Cancelar. IP: o endereo IP da mquina a ser criada. Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao da mquina. Para cancelar as alteraes realizadas ou a incluso, deve-se pressionar o boto Cancelar. Para facilitar a incluso de vrias mquinas seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que a mquina cujos dados foram preenchidos seja includa e a janela de incluso de mquinas mantida aberta, pronta para uma nova incluso. Desta forma, possvel se cadastrar rapidamente um grande nmero de mquinas.
Incluindo / editando redes
Para se cadastrar uma entidade do tipo rede, necessrio preencher os seguintes campos: Nome: o nome atravs do qual a rede ser referenciada daqui em diante pelo firewall. possvel se especificar este nome manualmente ou deixar que o ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual.
61
Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so, portanto, consideradas diferentes. cone: o cone que aparecer associado rede em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento mostrar uma lista com todos os possveis cones para representar redes. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no se deseje alter-lo aps ver a lista, basta clicar no boto Cancelar. IP: o endereo IP da rede a ser criada. Mscara: a mscara da rede a ser definida. Intervalo: Este campo mostra a faixa de endereo IP a que pertence a rede e realiza uma crtica quanto a mscara que est sendo cadastrada, ou seja no permite cadastramento de mscaras erradas. Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao da rede. Para cancelar as alteraes realizadas ou a incluso, devese pressionar o boto Cancelar. Para facilitar a incluso de vrias redes seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que a rede cujos dados foram preenchidos seja includa e a janela de incluso de redes mantida aberta, pronta para uma nova incluso. Desta forma, possvel se cadastrar rapidamente um grande nmero de redes.
Incluindo / editando conjuntos
62
Para se cadastrar uma entidade do tipo conjunto, necessrio preencher os seguintes campos: Nome: o nome atravs do qual o conjunto ser referenciado daqui em diante pelo firewall. possvel se especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so, portanto, consideradas diferentes. cone: o cone que aparecer associado ao conjunto em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento mostrar uma lista com todos os possveis cones para representar conjuntos. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no se deseje alter-lo aps ver a lista, basta clicar no boto Cancelar. Aps preencher o nome e escolher o cone para o conjunto, necessrio se definir quais mquinas e redes faro parte do mesmo, atravs dos seguintes passos: 1. Clica-se com o boto direito do mouse no campo em branco e seleciona-se a opo Adicionar Entidades (a entidade pode ser adicionada clicando-se duas vezes sobre ela ou clicando uma vez e logo abaixo em Adicionar). ou 2. Clica-se e sobre a entidade que se desejar incluir, arrasta-se e solta-se ela dentro da janela de entidades do conjunto.
63
Para se remover uma rede ou mquina do conjunto, deve-se proceder da seguinte forma: 1. Clica-se com o boto direito do mouse sobre a entidade a ser removida e seleciona-se a opo Remover. ou 2. Clica-se na mquina ou rede a ser removida e pressiona-se a tecla Delete. Aps todos os campos estarem preenchidos e todas as redes e mquinas que devem fazer parte do conjunto selecionadas, deve-se clicar no boto OK para realizar a incluso ou alterao do conjunto. Para cancelar as alteraes realizadas ou a incluso, deve-se pressionar o boto Cancelar. Para facilitar a incluso de vrios conjuntos seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que o conjunto cujos dados foram preenchidos seja includo e a janela de incluso de conjuntos mantida aberta, pronta para uma nova incluso. Desta forma, possvel se cadastrar rapidamente um grande nmero de conjuntos.
Incluindo / Editando agentes externosAgentes externos so utilizados para a definio de programas complementares ao Firewall Aker, responsveis por funes especficas, que podem estar rodando em mquinas distintas. Quando houver necessidade de realizao de uma determinada tarefa por um dos agentes externos, ou vice-versa, o firewall se comunicar com eles e requisitar sua execuo.
64
Existem 8 diferentes tipos de agentes externos, cada um responsvel por um tipo distinto de tarefas:
Agentes Antivrus
Os agentes antivrus so utilizados pelo proxy SMTP, POP3 e Proxy WWW para realizar a checagem e desinfeco de virus de forma transparente em e-mails e nos downloads FTP e HTTP.
Agentes IDS
Os agentes IDS (Intrusion Detection Systems - Sistemas detetores de intruso) so sistemas que ficam monitorando a rede em tempo real procurando por padres conhecidos de ataques ou abusos. Ao detectar uma destas ameaas, ele pode incluir uma regra no firewall que bloquear imediatamente o acesso do atacant
