Manual de configuraes do Conectividade Social Empresa/Empregador

ndice
1. Condies para acesso 2. Requisitos para conexo 3. Pr-requisitos para utilizao do Applet Java com Internet Explorer verso 5.01 a 6.x 4. Configurar o Internet Exporer 5. Consideraes para configurao do Proxy para acesso ao CSE 6. Configurao do Microsoft Proxy Server utilizado para acesso ao CSE 7. Configurao do sistema operacional GNU-Linux para acesso ao CSE 2 2 2 5 6 7 15

1 Condies para acesso

Para acessar o aplicativo, o Empregador dever atender as seguintes condies:

- Ter acesso Internet; - Estar certificado no aplicativo Conectividade Social; - Estar certificado com o tipo de identificao 01-CNPJ ou 02-CEI; - Possui o perfil de usurio igual a 01-Cliente Empresa.

2 Requisitos para conexo

- Conexo Internet; - Internet Explorer 5.0 ou superior - Microsoft Java Virtual Machine ativada; - Para conexo internet via PROXY (item vide abaixo); - Applet Java instalada; - Para cada acesso ser solicitada a certificao eletrnica do empregador.

3 Pr-requisitos para a utilizao da Applet Java Com Internet Explorer da verso 5.01 a 6.x.
3.1 Cliente CNS Empresa A Applet Java no pode ser executada ao mesmo tempo que o Aplicativo CNS EM-PRESA, assim como no poder ser utilizada de forma concorrente com qualquer outro aplicativo que utilize a mesma porta 80, tais como programas de CHAT (Mes-senger, ICQ), WEB Server entre outros. 3.2 Limpeza dos arquivos pertinentes as verses anteriores da Applet Java A Nova verso da Applet Java compatvel com o IE 6.x diferente da anterior, desta forma, necessrio desinstalar a antiga para que se possa utilizar a nova. Para ex-cluso da Applet siga os passos descritos abaixo : No internet Explorer acessar a opo FERRAMENTAS > OPES DA INTERNET, que ser apresentada a tela baixo:

Em seguida selecionar a opo CONFIGURAES..., onde ser exibida a tela con-forme figurao abaixo:

Para finalizar, ser necessrio clicar no boto EXIBIR OBJETOS onde ser mostrada a tela com a lista dos itens instalados, incluindo a opo PRIVATEWIRE que repre-senta a instalao da APPLET. Para desinstalar, ser necessrio selecionar o item PRIVATEWIRE e remove-lo.

3.3 Conexo Internet: Conexo direta com a Internet ou utilizando Proxies ou Firewalls que permitam um tnel de conexes (Connect).Por definio os Proxies recebem a requisio de conexo HTTP do usurio, processam essa requisio e resgatam os dados do Host requisitado e repassam estes dados (Cache) para o usurio. Esta soluo no adequada para o uso da conexo com o Applet Java j que os dados que o Proxy recebe so Criptografados e so interpretados como Dados corrompidos pelo Proxy, necessria uma conexo direta ao Host sem que o Proxy utilize outros mecanismos de controle e cache para a conexo. 3.4 Direitos do Usurio: Usurio deve ter permisso de Administrador ou equivalente no sistema Operacional a ser instalada a Applet Java.O Usurio deve ter este alto nvel de permisso no s para instalar o Applet mas tambm para que possam ser efetuadas as configuraes pertinentes ao Item 3.5 Navegador Internet: Internet Explorer da verso 5.01 a verso 6.01 com a VM (Virtual Machine) Para que o Internet Explorer 6.x funcione corretamente ele dever ter sido instalado posteriormente a verso 5.01 ou 5.0 para que a VM (Virtual Machine) esteja funcionando corretamente.A Applet Java necessita ainda das configuraes abaixo descritas:

4 Configurar o Internet Explorer

- Siga opo Ferramentas do menu superior do seu Internet Explorer - Selecione Opes da Internet - Selecione a aba Segurana - Selecione o cone Sites Confiveis e clique em Sites - Em <Adicionar este Site da WEB a Zona :> Digite o texto : *.caixa.gov.br - Desabilite a caixa de dialogo < Exigir verificao do Servidor (https ) para todos os sites desta Zona> conforme a figura abaixo e tecle OK.

- Selecione o cone Internet e clique em Nvel Personalizado - Procure pelo grupo Plug-ins e controles ActiveX e pela opo Inicializar e exe-cutar scripts de controles ActiveX no marcados como seguros

- Voc ser questionado se deseja realmente modificar as configuraes de segurana para esta zona. Clique em Sim. (Realizar o mesmo procedimento selecionado a opo INTRANET) - Selecione a aba Avanado - Procure pelo grupo Microsoft VM ou simplesmente VM

- Habilite todas as trs opes - Clique em Aplicar - Clique em OK - Reinicie a mquina para que as novas configuraes surtam efeito - Digite no browser a URL para acesso ao CS/E e tecle Enter - Assim que voc teclar Enter, caso a Applet no tenha sido instalada ou tenha desinsta-lada, esta tela ser exibida - (Essa tela um pedido de permisso para a instalao dinmica da applet assina-da na sua mquina) - Ela necessria para a autenticao e criptografia da comunicao com o site social - Clique no boto Yes Obs: Mquinas com poltica de segurana aplicada exigem do usurio o fato dele ser administrador da mesma.

A fim de verificar se a Applet Java Conexo Segura est funcionando corretamente, basta digitar o caminho do seu certificado e clicar o boto i. Uma pequena janela com informaes do seu certificado deve aparecer. Caso isto no ocorra, re-verifique os pr-requisitos acima. O prximo passo tentar acessar o CS/E. Se voc estiver utilizando uma conexo discada ou uma estao que esteja em uma rede internet (IP vlido), voc no deve encontrar problemas. Ao clicar

em Login, uma nova janela ser aberta com a aplicao Conectividade Social Empregador. Mas se voc estiver em uma mquina que esteja na Intranet, voc pode ter problemas. Se a janela abrir, timo, mas se uma mensagem de erro (Falha ao trocar mensagens com o Gateway) aparecer, atente para os procedimentos abaixo.

5 Consideraes para configurao do Proxy para acesso ao CSE

A Applet precisa de uma conexo direta ao servidor. Os proxies no podem utilizar suas configuraes padro para este aplicativo. Por definio os proxies recebem uma requisio de conexo HTTP do usurio, proces-sam essa requisio, resgatam os dados do servidor e repassam estes dados para o usurio (Cache). Esta soluo no adequada para o uso da conexo com o Applet Java j que os dados que o proxy recebe do cliente so criptografados e sero interpretados como dados corrompidos sendo descartados em seguida. Para que isto no ocorra necessria uma conexo direta entre cliente e servidor, com o proxy realizando a nica tarefa de repassar os pacotes entre os peers. Mecanismos de controle (filtro HTTP) e cache para esta conexo devem permanecer desativados. Existem alguns softwares que exigem a instalao de uma infra-estrutura cliente para este tipo de configurao. Isto no um empecilho, mas devemos atentar para o fato de que tal infra-estrutura deve suportar conexes winsock. Configuraes para Proxy/Firewall Alguns proxies possuem funces de firewall, assim como alguns firewalls possuem um proxy embutido. Inde-pendente do produto utilizado, a conexo direta deve ser criada. A poro proxy deve se encarregar do repas-se de pacotes enquanto a poro firewall deve criar o tnel entre a subnet intranet e a subnet Conectividade. Configuraes para Firewall A Applet Java utiliza a porta 80 para se comunicar com a parte servidora da aplicao, mas ao contrrio do que parece, o protocolo utilizado no o HTTP. Por este motivo, necessrio se criar um tnel pelo firewall que interligue uma subnet na intranet(IPs invlidos) a rede conectividade defina por um range de IPs de mscara 200.201.174.0. Neste tnel, no pode ser aplicado nenhum tipo de filtro HTTP j que o protocolo utilizado no HTTP e sim um protocolo proprietrio baseado em SSLv2.

Este documento destina-se a informar aos administradores de rede dos clientes sobre o funcionamento e como configurar seus servidores de proxy, Microsoft Proxy Server, para acesso ao Site Conectividade Social (CNS) da CAIXA. Para que o cliente tenha acesso ao Site Conectividade Social da CAIXA, sua rede dever suportar: - Uso do servio WinSock Proxy do Microsoft Proxy Server ou;

- Transparent Proxy, ou; - Socks Proxy, ou; - NAT Network Address Translation. - ISA SERVER - Internet Security and Acceleration.

No acesso ao Site Conectividade Social da CAIXA, o mdulo de segurana tem, dentre outras, a funo de prover um nvel de criptografia forte com chaves de sesso de 128 bits e chaves de autenticao de 1024 bits, em ambas direes. Esta criptografia de baixo nvel faz a segurana dos dados no pacote TCP do CNS que transita entre o programa cliente e os servidores CNS. Assim sendo, o aplicativo do CNS no funciona caso sua rede local no suporte um servio de proxy como descrito no pargrafo anterior. O que acontece que, caso na rede dos clientes as estaes possuam endereos IP privados, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, e o acesso Internet seja feito apenas via cache proxy, o usurio no poder fazer acesso ao Site Conectividade Social (CNS) da CAIXA pela caracterstica de criptografia e segurana que ele implementa. No caso anterior o cliente apenas poder fazer acesso Internet para usar Web (http), https, ftp. Para permitir que o cliente faa acesso ao Site Conectividade Social (CNS) da CAIXA, sua rede dever permitir o uso de um dos servios descritos anteriormente, podendo ser configurada na modalidade de 1:n, ou seja, os endereos internos da rede continuam escondidos e inacessveis da Internet.

6 Configurao do Microsoft Proxy Server utilizado para acesso ao CSE.

O Microsoft Proxy Server tem ambas funcionalidades de proxy em um nico produto, ou seja, possui a funo de cache proxy, a qual configurada atravs do servio Web Proxy e responsvel pelo armazenamento intermedirio de pginas Web (http), ftp, https e gopher, e tambm possui a funo de transparent proxy, a qual configurada atravs do servio Winsock Proxy e a de interesse aqui. A seguir ser exemplificada a configurao do servio Winsock Proxy do Microsoft Proxy Server verso 2.0, instalado em um servidor Windows NT 4.0 US International, com o Option Pack igualmente instalado, para acessar o Site Conectividade Social (CNS) da CAIXA, o qual se utiliza a porta TCP / 80. 1. Inicialize a console de gerenciamento do Microsoft Proxy Server conforme a tela seguinte.

2. A seguinte janela ento surgir.

3. Inicialize a configurao do servio Winsock Proxy conforme a tela seguinte.

4. A seguinte janela ento surgir.

5. Selecione o tab Protocols. A seguinte janela ento surgir.

6. Pressione o boto Add. A seguinte janela ento surgir, porm com os campos vazios. Preencha-os conforme mostrado. E ento pressione o boto OK.

7. A seguinte tela ento surgir. Pressione o boto Apply.

8. Selecione o tab Permissions. Utilize a caixa Protocol para selecionar o protocolo CAIXA_OBS criado nos passos anteriores. A seguinte janela ento surgir.

9. Pressione o boto Edit. A seguinte janela ento surgir.

10. Pressione o boto Add. A seguinte janela ento surgir. Selecione o grupo de usurios desejado, aqui AuthenticatedUsers, ou um usurio especfico pressionando o boto ShowUsers para mostr-los. Ento pressione o boto Add.

11. A seguinte janela ento surgir com o grupo, ou usurio, selecionado. Pressione o boto OK.

12. A seguinte janela ento surgir exibindo o grupo, ou usurio, autorizado. Pressione o boto OK.

13. A seguinte janela ento surgir exibindo o grupo, ou usurio, autorizado. Pressione o boto OK.

14. A janela da console de gerenciamento do Microsoft Proxy Server novamente surgir. Feche-a, pois as configuraes necessrias j estam realizadas.

As configuraes no precisam ser exatamente iguais as descritas acima, a qual um exemplo, pois, caso existam diretrios a mais, o Site Conectividade Social (CNS) da CAIXA funciona sem problemas, mas caso falte algum diretrio o Site Conectividade Social (CNS) da CAIXA pode no funcionar. A partir deste momento, o Microsoft Proxy Server est apto a funcionar para acesso ao Site Conectividade Social (CNS) da CAIXA, bastando que cada cliente da rede interna, utilizando o ambiente Microsoft Windows, seja ele 3.x, 9x, NT, 2000, ou ME, instale o Microsoft Proxy Client, disponvel num compartilhamento default de seu servidor proxy, por exemplo \\SRVPROXY\mspclnt\SetUp.exe".

7 Configurao do sistema operacional GNU-Linux para o CNS

Existem vrios tipos de proxies e a nomenclatura pode variar, conforme o sistema operacional ou os pacotes utilizados. No caso do sistema operacional GNU-Linux, ser abordado a funcionalidade IP Masquerading do kernel. Fazendo uma comparao com o produto Microsoft Proxy Server, seria similar ao servio Socks Proxy. Um dos componentes do Mdulo de Segurana utilizado para acessar o CNS da CAIXA o Private Wire. Sua finalidade criptografar a comunicao entre o computador do cliente e o servidor. Como a comunicao entre cliente e servidor criptografada, os proxies do tipo cache, que se baseiam no contedo dessa comunicao para funcionar, no so capazes de fazer a intermediao entre cliente e servidor. J os proxies do tipo socks, ou transparent, funcionam porque eles no manipulam o contedo da comunicao, mas apenas os endereos IP e nmeros das portas, e esses dados no so criptografados pelo Private Wire. O objetivo deste documento prover, ao administrador de um sistema GNU-Linux j instalado, as informaes necessrias para que ele possa implementar e configurar, inclusive na mesma mquina que j executa o cache proxy, a funcionalidade de socks proxy. Note-se que possvel implementar esta funcionalidade e manter, ou mesmo aumentar, o nvel de segurana existente numa configurao onde se tem somente o cache proxy operando. Estas instrues foram preparadas e baseadas num servidor GNU-Linux com o kernel 2.0.34.

Essas instrues so vlidas, de um modo geral, para um kernel 2.0.*. 7.1 SISTEMA GNU-LINUX CONFIGURADO PARA SER SIMILAR A UM SOCKS PROXY

Para obter a funcionalidade similar a de um socks proxy no sistema GNU-Linux, necessrio um ker-nel compilado com a opo "CONFIG_IP_MASQUERADE" habilitada. Esta opo faz com que o kernel possa operar como se fosse um NAT Network Address Translator , embora um NAT normalmente opere com vrios IPs do lado de fora, ao passo que o sistema GNU-Linux aqui configurado vai operar apenas com uma faixa de IP a do CNS . Se voc nunca compilou um kernel, procure ajuda especializada. Agora que o seu novo kernel est rodando, execute o seguinte comando para habilitar o NAT para o CNS:

ipfwadm -F -i accept -m -P tcp -S 10.0.0.0/8 1024:65535 -D 200.201.174.202/209 80

A regra acima para o caso da rede local ser 10.0.0.0 com mascara de rede 255.0.0.0, e ela s ser aplicada no caso de conexes originadas a partir de algum cliente na rede local e destinadas ao intervalo de endereos IP de 200.201.174.202 at 200.201.174.209, com protocolo tcp e porta 80. Isto suficiente para acessar os servidores do CNS da CAIXA.

7.2 A COMBINAO DE UM CACHE PROXY E DE UM SOCKS PROXY

O Apache Web Server com cacheproxy, ou o Squid, pode estar rodando na mesma mquina que im-plementa o NAT e, eventualmente, o firewall. No entanto, necessrio analisar o conjunto de regras definido com o "ipfwadm" no sentido de evitar que outras regras mais restritivas sejam tratadas antes da regra descrita acima, que habilita a funcionalidade NAT para os servidores da CAIXA.