Akerwebgateway 1.5.2 PT Manual 002

Verso 04/02/2013
Aker Security Solutions

2

ndice
ndice ......................................................................................................................... 2
ndice de Figuras ............................................................................................................... 4
1. Introduo ......................................................................................................11
2. Utilizando a Interface Remota .......................................................................16
2.1. Iniciando a interface remota ...................................................................................18
2.2. Finalizando a administrao remota .......................................................................34
2.3. Mudando sua senha de usurio .............................................................................34
2.4. Visualizando Informao de Sesso ......................................................................36
3. Administrando usurios ................................................................................39
3.1. Utilizando a Interface Remota ................................................................................39
3.2. Utilizando a Interface Texto ....................................................................................49
4. Configurando os parmetros configuraes do sistema ...........................54
4.1. Utilizando a Interface Remota ................................................................................54
4.2. Utilizando a Interface Texto ....................................................................................65
5. Cadastrando Entidades .................................................................................70
5.1. Planejando a instalao .........................................................................................70
5.2. Cadastrando entidades utilizando a Interface Remota ...........................................73
5.3. Utilizando a interface de texto ..............................................................................101
5.4. Utilizando o Assistente de Entidades ...................................................................104
6. Configurando as Aes do sistema ...........................................................111
6.1. Utilizando a Interface Remota ..............................................................................111
6.2. Utilizando a Interface Texto ..................................................................................115
7. Visualizando Eventos do sistema ..............................................................121
7.1. Utilizando a Interface Remota ..............................................................................122
7.2. Formato e significado dos campos das mensagens de eventos ..........................129
7.3. Utilizando a Interface Texto ..................................................................................130
8. Utilizando o Gerador de Relatrios ............................................................134
8.1. Acessando Relatrios ...........................................................................................134
8.2. Configurando os Relatrios ..................................................................................135
8.3. Lista dos relatrios disponveis.............................................................................141
9. Exportao Agendada de Eventos .............................................................143
9.1. Acessando a Exportao Agendada ....................................................................143


3

9.2. Configurando a Exportao ..................................................................................144
10. Configurando parmetros de autenticao ...............................................149
10.1. Utilizando a Interface Remota ...........................................................................149
10.2. Utilizando a Interface Texto ...............................................................................164
11. Perfil de Acesso de Usurios ......................................................................168
11.1. Planejando a instalao ....................................................................................168
11.2. Cadastrando perfis de acesso ...........................................................................169
11.3. Associando Usurios com Perfis de Acesso .....................................................190
12. Perfil de Acesso de Usurios ......................................................................196
12.1. Visualizando e Removendo Usurios Logados no Aker Web Gateway ............196
13. Quotas ..........................................................................................................202
13.1. Utilizando as quotas ..........................................................................................202
13.2. Editando os parmetros do Uso da Quota ........................................................203
14. Configurando Filtro Web .............................................................................208
14.2. Editando os parmetros do Filtro Web ..............................................................210
14.2.1. Editando os parmetros de Cache ....................................................................233
14.3. Editando os parmetros Sesses Web .............................................................235
15. Configurando o Proxy MSN ........................................................................238
15.2. Editando os parmetros do Proxy Messenger ..................................................239
16. Utilizando as Ferramentas da Interface Remota .......................................246
16.1. Chaves de Ativao ..........................................................................................246
16.2. Salvar configuraes .........................................................................................247
16.3. Carregar configuraes .....................................................................................248
16.4. DNS Reverso ....................................................................................................250
16.5. Atualizaes ......................................................................................................251
16.6. Janela de Alarmes.............................................................................................256
16.7. Visualizando o Estado dos Agentes Externos ...................................................258
16.8. Visualizando estatsticas do sistema .................................................................260
16.9. Utilizando a Interface Texto nas Chaves de Ativao .......................................262
17. Configuraes TCP/IP .................................................................................264


4

17.1. DHCP ................................................................................................................265
17.2. DNS ...................................................................................................................268
17.2.1. Interfaces de Rede ............................................................................................269
17.3. Roteamento .......................................................................................................274
17.3.1. Geral .................................................................................................................275
17.4. Utilizando a Interface Texto na Configurao TCP/IP .......................................276
18. Configurando Proxy SSL Reverso .............................................................283
18.1. Editando os parmetros de um contexto SSL ...................................................283
18.2. Configurando regras de Proxy SSL Reverso ....................................................287
19. Proteo de Flood ........................................................................................289
19.1. Utilizando a Interface Remota para Proteo de Flood .....................................290
20. Configurando o Web Gateway em Cluster .................................................293
20.1. Planejando a Instalao ....................................................................................293
20.2. Configurao do Cluster ....................................................................................294
20.3. Estatstica do Cluster ........................................................................................300
21. Aker Web Gateway .......................................................................................305
22. Apndica A Mensagens do Sistema ........................................................309
22.1. Mensagens dos eventos do Aker Web Gateway ...............................................309
22.1.1. Eventos gerados pelo Filtro Web ......................................................................323
22.1.2. Eventos gerados pelo Proxy MSN ....................................................................326

ndice de Figuras
Figura 1 - Acessando o Aker Control Center 2. ...........................................................18
Figura 2 - Janela de Acesso: Menu opes. ...............................................................19
Figura 3 - Tempo de sesso ociosa. ...........................................................................20
Figura 4 - Esconder regras. .........................................................................................20
Figura 5 - Desabilitar perguntas. .................................................................................20
Figura 6 - Escolha do idioma que deseja acessar o Aker Control Center. ..................21
Figura 7 - Cor de fundo do Aker Control Center. .........................................................21
Figura 8 - Selecionar cor. ............................................................................................22
Figura 9 - Boto: Padro. ............................................................................................22
Figura 10 - Aviso de sair do programa. .......................................................................22
Figura 11 - Menu Janelas............................................................................................23


5

Figura 12 - Janela de Acesso: dispositivo remoto. ......................................................23
Figura 13 - Janela de Acesso: Entidades. ...................................................................24
Figura 14 - Janela de Acesso: janelas. .......................................................................24
Figura 15 - Configurao Automtica de Atualizao. ................................................24
Figura 16 - Notificador de Atualizaes. .....................................................................25
Figura 17 - Notificador de Instalao de Atualizaes. ...............................................25
Figura 18 - Atualizaes prontas. ................................................................................26
Figura 19 - Informaes sobre o item: Sobre .............................................................26
Figura 20 - Janela de Acesso: Aker Web Gateway. ....................................................27
Figura 22 Boto: Criar novo dispositivo remoto. ......................................................28
Figura 25 cone utilizado para o carregamento de arquivo. .....................................31
Figura 26 - cone utilizado para mostrar informaes do certificado. ..........................31
Figura 27 - Tipos de autenticao (usurio, domnio e senha) para editar o Dispositivo
Remoto........................................................................................................................32
Figura 28 Boto Conectar. .......................................................................................33
Figura 31 Boto: Sair deste programa. ....................................................................34
Figura 32 AWG menu Ferramentas .........................................................................35
Figura 33 Mudar senha ............................................................................................35
Figura 34 AWG menu Informao ............................................................................36
Figura 35 Informao de sesso ..............................................................................37
Figura 0-16 AWG menu configuraes ....................................................................39
Figura 37 Usurios administradores ........................................................................40
Figura 38 Aba Agentes externos ..............................................................................44
Figura 39 Aba X.509 ................................................................................................46
Figura 40 Interface Texto .........................................................................................49
Figura 41 Incluso de usurio ..................................................................................50
Figura 42 Remoo de usurio ................................................................................51
Figura 43 Listagem de usurios ...............................................................................51
Figura 44 Compactao do arquivo de usurios ......................................................52
Figura 45 Menu Configuraes (Parmetros de configurao) ................................54
Figura 46 Aba Global ...............................................................................................55
Figura 47 Aba Log ....................................................................................................57
Figura 47 Aba SNMP ...............................................................................................60
Figura 48 Aba Servios ............................................................................................62
Figura 49 Data/Hora .................................................................................................64
Figura 50 Entidades .................................................................................................74
Figura 51 - Entidades ..................................................................................................74
Figura 52 Entidade tipo Mquina .............................................................................76
Figura 53 Entidade tipo Rede ...................................................................................77
Figura 54 Entidade tipo Conjunto .............................................................................78
Figura 55 Adicionando entidades .............................................................................80


6

Figura 56 - Lista de categorias ...................................................................................81
Figura 57 Lista de padres de Busca .......................................................................82
Figura 58 - Quota ........................................................................................................83
Figura 59 Lista de e-mails ........................................................................................84
Figura 60 Lista de e-mails (menu de opes) ..........................................................85
Figura 61 Agentes externos .....................................................................................86
Figura 62 Agente externo (Autenticador ) ................................................................88
Figura 63 Autoridade Certificadora ..........................................................................89
Figura 64 Pseudo-Grupo ..........................................................................................90
Figura 65 (Mdulo de antivrus e Servidor de log Remoto) ......................................91
Figura 66 Autenticador LDAP ...................................................................................92
Figura 67 Autenticador Radius .................................................................................94
Figura 68 - Servio ......................................................................................................96
Figura 69 Lista de tipos de arquivos ........................................................................98
Figura 70 Adicionando tipo de arquivo .....................................................................98
Figura 71 - Canais .......................................................................................................99
Figura 72 Assistente de Entidades .........................................................................105
Figura 73 Selecionando o tipo de entidade ............................................................106
Figura 74 Adicionando endereo IP .......................................................................107
Figura 75 Seleo de cone ...................................................................................108
Figura 76 Entidade esta pronta para ser utilizada ..................................................109
Figura 77 Aker Web Gateway ( Aes) ..................................................................111
Figura 78 Aba Mensagens de eventos ...................................................................112
Figura 79 Opes de aes ...................................................................................112
Figura 80 Aes (aba Parmetros) ........................................................................114
Figura 81 Auditoria (Eventos) .................................................................................122
Figura 82 Barra de ferramentas (Eventos) .............................................................122
Figura 83 Filtro de eventos .....................................................................................124
Figura 84 Eventos ..................................................................................................127
Figura 85 Janela de exportao .............................................................................129
Figura 86 Auditoria (Relatrio) ...............................................................................134
Figura 87 Relatrio .................................................................................................135
Figura 88 Configurao de relatrio aba Geral ......................................................136
Figura 89 Configurao de relatrio aba Sub-relatorio ..........................................137
Figura 90 Configurao de relatrio aba Mtodo de Publicao (FTP) .................139
Figura 91 Configurao de relatrio aba Mtodo de Publicao (SMTP) ..............140
Figura 92 Auditoria (Exportao agendada de eventos ) .......................................143
Figura 93 Exportao agendada de eventos ..........................................................144
Figura 94 Aba Geral ...............................................................................................145
Figura 95 Aba Mtodo de Publicao (FTP) ..........................................................146
Figura 96 ...................................................................................................................147


7

Figura 97 Configurao (Autenticao) ..................................................................149
Figura 98 Aba Controle de Acesso ........................................................................150
Figura 99 Autenticao de acesso: Listagem de grupos ou usurios ...................151
Figura 100 Autenticao de acesso: Escolha do perfil desejado. .........................152
Figura 101 Aba Mtodos ........................................................................................153
Figura 102 - Autenticao de acesso: Adicionar entidades ......................................155
Figura 103 - Autenticao de acesso: Remover entidades .......................................155
Figura 104 Aba Token ............................................................................................156
Figura 105 Aba PKI ................................................................................................157
Figura 106 Aba Autenticao para proxies ............................................................158
Figura 0-2 Aba Autenticao Local ........................................................................159
Figura 0-3 Menu para incluso de usurio .............................................................159
Figura 109 - Criar ou remover grupos .......................................................................160
Figura 110 Autenticao (Alterao de senha ou grupo) .......................................160
Figura 111 Aba Controle de Acesso por IP ............................................................161
Figura 112 Aba NTLM ............................................................................................162
Figura 113 Autenticao Java ................................................................................164
Figura 114 Configurao (Perfis) ...........................................................................169
Figura 115 Perfis ....................................................................................................170
Figura 116 Opes de configurao de perfil .........................................................171
Figura 117 Perfis (Geral) ........................................................................................172
Figura 118 Perfis (FTP/GOPHER) .........................................................................173
Figura 120 HTTP/HTTPS .......................................................................................177
Figura 121 Aplicao (Bloqueio de banners) .........................................................178
Figura 122 Bloqueio de banners .................................................................................
Figura 123 Aba Filtro de Url ...................................................................................181
Figura 124 Menu de opes (Filtro de Url) .............................................................182
Figura 125 Aba Arquivos Bloqueados ....................................................................184
Figura 126 Opes de operao ............................................................................185
Figura 127 MSM Messenger (Perfis) .....................................................................187
Figura 128 Menu de opes (MSN Messenger) .....................................................188
Figura 129 Configuraes (Autenticao) ..............................................................190
Figura 130 Autenticao ........................................................................................191
Figura 131 Escolha de usurio ...............................................................................192
Figura 132 Menu de opes ...................................................................................192
Figura 133 Autenticao (Aba Controle de Acesso) ..............................................193
Figura 134 Informao ( Usurios conectados) .....................................................196
Figura 135 Usurios conectados ............................................................................197
Figura 136 Informao (Uso de quotas) .................................................................203
Figura 137 Uso de quotas agrupamento por usurio ..........................................204
Figura 138 - Uso de quotas agrupamento por quota .............................................205


8

Figura 139 - Conexo (Internet, rede interna, firewall e DMZ. ..................................209
Figura 140 Aplicao (Filtro Web) ..........................................................................210
Figura 141 Filtro Web (aba Geral) ..........................................................................211
Figura 142 Filtro Web (aba Cliente de autenticao) .............................................215
Figura 143 Filtro web (aba Controle de contedo) .................................................217
Figura 144 Filtro web (aba Tipos de Arquivo) ........................................................220
Figura 145 Opes de operao ............................................................................223
Figura 146 Filtro web (aba Tipo de Arquivo AV On Line) ....................................224
Figura 147 Filtro web (aba Antivrus) .....................................................................225
Figura 148 Filtro web (aba SSL) ............................................................................228
Figura 149 Filtro web (aba Avanado - Filtro de navegador) .................................229
Figura 150 Filtro web (aba Avanado Reescrita de URLs) .................................230
Figura 151 Filtro web (aba Avanado Stripping do cabealho HTTP) .................231
Figura 152 Aplicao (Cache) ................................................................................233
Figura 153 - Cache ...................................................................................................233
Figura 154 Configurao do nodo de cache ..........................................................234
Figura 155 Sesses web ........................................................................................235
Figura 156 Aplicao (Proxy Messenger) ..............................................................239
Figura 157 Proxy Messenger (aba Tipo de Servio) ..............................................240
Figura 158 Proxy Messenger (aba Mensagens) ....................................................242
Figura 159 Proxy Messenger (aba Controle de Acesso) ........................................243
Figura 160 Proxy Messenger (aba Configuraes) ................................................243
Figura 161 Janela de ativao de Licena .............................................................247
Figura 162 Icone para salvar configuraes ..........................................................248
Figura 163 Janela para salvar configuraes .........................................................248
Figura 164 Icone para carregar configuraes .......................................................248
Figura 165 Janela para carregar configurao .......................................................249
Figura 166 Ferramentas (DNS reverso) .................................................................250
Figura 167 DNS reverso.........................................................................................251
Figura 168 Janela de atualizao do sistema ........................................................252
Figura 169 Janela para carregar um arquivo de atualizao .................................254
Figura 170 Sistema de Atualizao (aba Histrico) ...............................................255
Figura 171 Ferramentas (Janela de alarmes) ........................................................256
Figura 172 Janela de alarmes ................................................................................257
Figura 173 Informao (Agentes externos) ............................................................258
Figura 174 Agentes externos .................................................................................259
Figura 175 Informao (Estatsticas do sistema) ...................................................260
Figura 176 Estatstica do sistema ..........................................................................261
Figura 178 - DHCP. ...................................................................................................265
Figura 180 - Relay DHCP entre redes. .....................................................................267
Figura 181 - DNS. .....................................................................................................268


9

Figura 183 - Interfaces de rede. ................................................................................269
Figura 184 - Interfaces de redes. ..............................................................................270
Figura 185 - Menu: configurao ou modificao de endereo IP. ...........................271
Figura 188 - Roteamento. .........................................................................................274
Figura 190 Modulo de configurao para interfaces de rede .................................276
Figura 191 Configurao de interfaces ..................................................................277
Figura 192 Lista das interfaces de rede .................................................................277
Figura 193 Nome da interface ................................................................................278
Figura 194 Configurar uma interface vlan filha .......................................................278
Figura 195 - configurar lias para a interface ............................................................279
Figura 196 - configurar interface para os novos valores ...........................................279
Figura 197 Configurao de rotas estticas ...........................................................280
Figura 198 Confirmar nova configurao ...............................................................280
Figura 199 Configurao DNS ...............................................................................281
Figura 200 Configurao da rota padro ...............................................................281
Figura 201 Janela de propriedades de um contexto SSL aba Geral (F5-aba
servio)......................................................................................................................284
Figura 202 Aba Certificado .....................................................................................286
Figura 203 Configurando regras de proxy SSL reverso .........................................287
Figura 204 Configuraes (Proteo de flood) .......................................................290
Figura 205 Proteo de flood .................................................................................290
Figura 206 Configuraes (Configurao do cluster) .............................................295
Figura 207 Criar Cluster .........................................................................................296
Figura 208 Configurao do cluster .......................................................................297
Figura 209 Adicionar novo Web Gateway no cluster .............................................299
Figura 210 Informao (Estatstica do Cluster) ......................................................300
Figura 211 - Estatstica do Cluster (aba nod) ............................................................301
Figura 212 - Estatstica do Cluster (aba Grfico) .....................................................302


10

Introduo


11

1. Introduo
Este o manual do usurio da verso 1.5 do Aker Web Gateway. Nos prximos
captulos voc aprender como configurar esta poderosa ferramenta de proteo s
redes. Esta introduo tem como objetivo descrever a organizao deste manual e
tentar tornar sua leitura o mais simples e agradvel possvel. Aker Web Gateway
ser referenciado neste manual como AWG.

Como est disposto este manual.
Este manual est organizado em vrios captulos. Cada captulo mostrar um
aspecto da configurao do produto e todas as informaes relevantes ao aspecto
tratado.
Todos os captulos comeam com uma introduo terica sobre o tema a ser
tratado seguido dos aspectos especficos de configurao do Aker Web Gateway.
Juntamente com esta introduo terica, alguns mdulos possuem exemplos
prticos do uso do servio a ser configurado, em situaes hipotticas, porm
bastante prximas da realidade. Buscamos com isso tornar o entendimento das
diversas variveis de configurao o mais simples possvel.
Recomendamos que este manual seja lido pelo menos uma vez por inteiro, na
ordem apresentada. Posteriormente, se for necessrio, pode-se us-lo como fonte
de referncia (para facilitar seu uso como referncia, os captulos esto divididos em
tpicos, com acesso imediato pelo ndice principal. Desta forma, pode-se achar
facilmente a informao desejada).
Em vrios locais deste manual, aparecer o smbolo seguido de uma frase
escrita em letras vermelhas. Isto significa que a frase em questo uma observao
muito importante e deve ser totalmente entendida antes de prosseguir com a leitura
do captulo.
Interface Texto e Interface Remota
O Aker Web Gateway possui duas interfaces distintas para sua configurao: uma
Interface Remota e uma Interface Texto local.
A Interface Remota
A Interface Remota chamada de remota porque atravs dela possvel
administrar remotamente, via Internet, um Aker Web Gateway localizado em
qualquer parte do mundo. Esta administrao feita atravs de um canal seguro
entre a interface e o Aker Web Gateway, com um forte esquema de autenticao e
criptografia, de modo a torn-la totalmente segura.


12

A Interface Remota de uso bastante intuitivo e est disponvel para
plataformas Windows XP
TM
, Windows Vista
TM
, Windows 7
TM,
Windows 8
TM
e Linux e
sob demanda em outras distribuies Unix.
A Interface Texto
A Interface Texto uma interface orientada linha de comando que roda na
mquina onde o Aker Web Gateway est instalado. O seu objetivo bsico
possibilitar a automao de tarefas da administrao do Aker Web Gateway
(atravs da criao de scripts) e possibilitar uma interao de qualquer script escrito
pelo administrador com o Aker Web Gateway.
Praticamente todas as variveis que podem ser configuradas pela Interface Remota
podero ser configuradas tambm pela Interface Texto.
Como as duas interfaces tratam das mesmas variveis, a funcionalidade, os valores
e os comentrios destas tm validade tanto para Interface Remota quanto para a
Interface Texto. Devido a isso, os tpicos referentes Interface Texto normalmente
sero curtos e se limitaro a mostrar seu funcionamento. Caso tenha dvida sobre
algum parmetro, deve-se recorrer explicao do mesmo no tpico relativo
Interface Remota.
possvel o uso simultneo de vrias interfaces grficas para um mesmo AWG,
entretanto apenas o primeiro a se conectar ter acesso de administrao.
O Aker Web Gateway
A produtividade fundamental para todas as empresas. Para isso, buscam utilizar
de forma racional seus recursos de rede. Apesar de a Web ser uma incrvel
ferramenta de trabalho, ela tambm pode causar uma enorme queda na
produtividade. Definir algumas regras pode proteger seu negcio e seus
funcionrios.

Pginas Web contm programas que so usualmente inocentes e algumas vezes
teis - por exemplo, animaes e menus pop-up. Mas existem sites questionveis e
maliciosos que nem sempre esto com as melhores intenes. Ao navegar na Web,
operadores de sites podem identificar seu computador na Internet, dizer quais
pginas voc acessou, de que pgina voc veio, usar cookies para criar um perfil
seu e instalar spywares em seu computador - tudo sem o seu conhecimento. Worms
destrutivos podem ainda entrar em seu sistema atravs de seu navegador.

O Aker Web Gateway foi desenvolvido para permitir que as empresas aproveitem
todos os benefcios da Internet, sem correr estes riscos e sem perder a
produtividade dos seus funcionrios.
Cookies: so informaes que um servidor web pode armazenar temporariamente
junto a um browser. Os cookies so usados para manter informaes de estado


13

enquanto voc navega em pginas diferentes em um site da Web ou retorna ao site
da Web em um momento posterior.
;
Spywares: so programas de computador que, em vez de serem teis, tentam
rastrear alguma informao do computador, como os sites que so navegados,
programas que possui e outras informaes do seu computador;
Worms: um software que tem objetivos maliciosos. Neles se incluem: trojans,
vrus e spywares.
Alm de atividades maliciosas instigadas por usurios externos, os negcios podem
ser colocados em uma posio vulnervel por funcionrios que se engajarem em
uma atividade ilegal e/ou indesejvel durante o horrio de trabalho e usando
computadores da empresa.
Caractersticas do Aker Web Gateway?
Possui cache interno e permite a configurao hierrquica de cachs;
Realiza autenticao de usurios (via applet java ou outro mtodo);
Opera em modos transparente e no transparente;
Suporta os protocolos HTTP , FTP e HTTPS;
Possui antivrus interno;
Possibilidade em trabalhar com antivrus externo;
Faz a filtragem de categorias por usurios, grupos e endereos IP;
Suporta filtragem de categorias por horrio, possibilita a criao de novas
categorias pelo administrador do sistema;
Possibilita a criao de novas categorias pela Aker (que devero ser baixadas
automaticamente, sem a necessidade de realizao de upgrades ou instalao de
patches);
Permite a limitao da navegao por tempo (estimando o tempo de acesso de
cada pgina), kbytes e tempo de login (nmero de horas logado, mesmo sem
acessar nenhuma pgina);
Possui sistema de quota de navegao flexvel, com a opo da criao de cotas
dirias, semanais, mensais ou nicas ( uma cota fixa de navegao que uma vez
utilizada no renovada), por usurio, grupos ou endereos IP;
O produto gerenciado remotamente pelo Aker Control Center;


14

Permite a criao de diversos relatrios, por exemplo: categoria dos sites
acessados, MSN - Durao do chat , quota bytes consumidos, sites bloqueados por
usurio, downloads bloqueados por usurio, sites por usurio e categorias
bloqueadas por usurio;
Gera uma macro com a categoria de um site ao bloquear um acesso e redirecion-
lo para a pgina de bloqueio;
Permite que se tenha pginas de redirecionamento personalizado;
Filtragem de MSN Messenger;
Autenticao transparente via NTLM.

Copyrights do Sistema
Copyright (c) 1997-2003 Aker Security Solutions;
Utiliza a biblioteca SSL escrita por Eric Young (cay@mincon.oz.au). Copyright
1995 Eric Young;
Utiliza o algoritmo AES implementao do Dr. B. R. Gladman
(brg@gladman.uk.net);
Utiliza o algoritmo MD5 retirado da RFC 1321. Copyright 1991-2 RSA Data
Security, Inc;
Utiliza a biblioteca CMU SNMP. Copyright 1997 Carnegie Mellon University;
Utiliza a biblioteca de compresso Zlib. Copyright 1995-1998 Jean-loup Gailly and
Mark Adler;
Utiliza a biblioteca QWT escrita por Josef Wilgen. Copyright 1997;
Inclui software desenvolvido pela Universidade da California, Berkeley e seus
colaboradores;
Inclui software desenvolvido por Luigi Rizzo, Universita` di Pisa Portions Copyright
2000 Akamba Corp;
Inclui software desenvolvido por Niklas Hallqvist, Angelos D. Keromytis and Haan
Olsson;
Inclui software desenvolvido por Ericsson Radio Systems.


15

Utilizando a Interface Remota


16

2. Utilizando a Interface Remota
Neste captulo mostraremos como funciona a Interface Remota de administrao do
Aker Web Gateway. Aker Web Gateway ser referenciado neste manual como
AWG.
O que a administrao remota do Aker Web Gateway?
O Aker Web Gateway pode ser totalmente configurado e administrado remotamente
a partir de qualquer mquina que possua um sistema operacional compatvel com
uma das verses da interface remota, que tenha TCP/IP e que consiga acessar a
mquina na qual o AWG se encontra. Isto permite um alto grau de flexibilidade e
facilidade de administrao, possibilitando que um administrador monitore e
configure vrios Aker Web Gateways a partir de sua estao de trabalho.
Alm dessa facilidade, a administrao remota permite uma economia de recursos
na medida em que possibilita que a mquina que rode o Aker Web Gateway no
possua monitor e outros perifricos.
Como funciona a administrao remota do Aker Web Gateway?
Para possibilitar a administrao remota existe um processo rodando na mquina do
Aker Web Gateway responsvel por receber as conexes, validar os usurios e
executar as tarefas solicitadas por estes usurios. Quando um usurio inicia uma
sesso de administrao remota, a Interface Remota estabelece uma conexo com
o mdulo de administrao remota do Aker Web Gateway e mantm esta conexo
aberta at que o usurio finalize a sesso.
Toda a comunicao entre a interface remota e o Aker Web Gateway feita de
maneira segura, utilizando-se criptografia e autenticao. Para cada sesso so
geradas novas chaves de criptografia e autenticao. Alm disso, so empregadas
tcnicas de segurana para impedir outros tipos de ataques, como por exemplo:
ataques de repetio de pacotes.

Seguem comentrios sobre algumas observaes importantes sobre a
administrao remota:
1. S possvel a abertura de uma conexo de administrao remota em um
determinado instante. Se j existir uma interface conectada, pedidos
subsequentes de conexo iro assumir o status read-only e a interface remota
informar que j existe uma sesso ativa;
2. Cada um dos usurios que for utilizar a interface remota deve estar cadastrado
no sistema. O programa de instalao pode criar automaticamente um
administrador com poderes para cadastrar os demais administradores. Caso se
tenha eliminado este administrador ou perdido sua senha, necessrio o uso do
mdulo local da Interface Remota ou da Interface Texto para criar um novo


17

administrador. Detalhes de como fazer isso se encontram no captulo intitulado:
Administrando Usurios do Aker Web Gateway.
Como utilizar a interface
A interface bastante simples de ser utilizada, entretanto, existe uma observao
que deve ser comentada:
Os botes, esquerdo e direito do mouse, tem funes diferentes na interface. O
boto esquerdo usado para selecionar entradas em uma lista e para clicar em
botes. O boto direito tem como funo mostrar um menu de opes para uma
determinada lista.


18

2.1. Iniciando a interface remota
Para iniciar a execuo da Interface Remota deve-se executar um dos seguintes
passos:
Em mquinas Windows, clicar no menu Iniciar e selecionar o Aker
Control Center 2.
exibida a seguinte janela:

Figura 1 - Acessando o Aker Control Center 2.
Em Linux deve-se acessar o diretrio de instalao do Control Center e
executar o seguinte script: 'aker_control_center2_init.sh'.
A janela mostrada acima a principal do AWG e a partir dela que se tem acesso a
todas as opes de configurao, inclusive ativao da licena do Aker Web
Gateway (AWG). Sem ativao da licena no possvel realizar as configuraes
subsequentes.
No primeiro acesso, todos os dados referentes licena aparecem em branco e
habilitados para que o Administrador possa carreg-lo. A Licena de Uso consta em


19

um arquivo, que, ser indicado aps o boto Carregar ter sido clicado, e assim
que forem confirmados, os dados carregados, a janela abre com todos os dados da
licena atual, ento, surgir uma janela confirmando e reiniciando o dispositivo.
Portanto clique no boto Carregar, no canto superior direito da interface:
A Interface Remota composta de 4 menus descritos brevemente a seguir:
Opes
O menu Opes contm as configuraes relacionadas ao layout da Interface
Remota.

Figura 2 - Janela de Acesso: Menu opes.
Ao clicar neste menu, as seguintes opes aparecem:
Mostrar Tooltips: uma dica de contexto. aquela moldura pop up que
abre quando voc passa o mouse sobre um elemento HTML (normalmente
uma palavra em um texto) e que contm uma explicao adicional sobre
aquele elemento que recebeu o ponteiro do mouse sobre ele.
Sesso ociosa: Permite definir o tempo mximo, em minutos, que a interface
permanecer conectada ao AWG sem receber nenhum comando do
administrador. Assim que este tempo limite for atingido, a interface
automaticamente ser desconectada do AWG, permitindo que uma nova
sesso seja estabelecida. Seu valor pode variar entre 1 e 60. A caixa Sem
limite quando estiver marcada no desconectar a interface do AWG. O
Valor padro de 1 minuto. Aps alteraes clicar no boto OK, caso no
realize nenhuma alterao, clicar no boto Cancelar.


20

Figura 3 - Tempo de sesso ociosa.
Remoo: Caso deseje remover alguma regra, filtro, etc., ser enviado uma
mensagem com um a pergunta se deseja realmente remover o item
selecionado;
Suprimir plugins inexistentes: caso no tenha um plugin da Aker instalado,
ao clicar nessa opo, ser mostrada a mensagem do que est faltando.
Aker Web Gateways (Esta opo ter o nome que foi defino ao criar o
dispositivo remoto):Este menu serve para cadastrar mais Aker Web
Gateways na Interface Remota de modo que possibilite simultaneamente a
administrao de diversos Aker Web Gateways. Com a interface conectada a
mais de um Aker Web Gateway simultaneamente, possvel usar a facilidade
de arrastar-e-soltar as entidades e regras entre Aker Web Gateways, de
modo a facilitar a replicao de determinadas configuraes entre eles. Este
menu ser descrito em detalhes mais abaixo.

Figura 4 - Esconder regras.
Esconder regras: colapsa as politicas de regra.

Figura 5 - Desabilitar perguntas.
Desabilitar perguntas
Assistente de regras de filtragem: assistente para a criao de
regras de filtragem;
Assistente de Nat: cria regras de Nat;
Verificador de regras: checagem das regras de filtragem para
verificar se no h regras sobrepostas.


21

Idiomas: possvel escolher em qual idioma deseja acessar a Interface
Remota (Ingls ou Portugus).

Figura 6 - Escolha do idioma que deseja acessar o Aker Control Center.
Editar cor de fundo: possvel escolher com qual cor de fundo deseja-se
trabalhar. Posteriormente sero dados maiores explicaes;

Figura 7 - Cor de fundo do Aker Control Center.
o Formato: define o formato como deseja padronizar a tela do Aker Control Center

o Pontos: podem-se alterar as cores finais e iniciais. Basta escolher a cor e
clicar no boto OK.


22

Figura 8 - Selecionar cor.
o Opo Padro: Quando selecionada est opo a tela seguir com uma
configurao padro pr-determinada pela Aker.

Figura 9 - Boto: Padro.
Aps realizar as escolhas desejadas, clicar no boto OK.
Sair: Quando selecionada a opo sair surgir mensagem abaixo:

Figura 10 - Aviso de sair do programa.
Se clicar no boto Sim a Interface Remota ser fechada, se clicar no boto
No, a interface continua aberta.


23

Janelas
O Menu Janelas possui as funes de configurao das janelas abertas e da barra
de menu.

Figura 11 - Menu Janelas.
Barra de ferramentas: esta opo permite definir se a barra de ferramentas
na parte superior da janela principal ser mostrada ou no.
Janelas: mostra o item de dispositivos remotos (essa opo tambm pode
ser acessada pressionando o boto do teclado F9).

Figura 12 - Janela de Acesso: dispositivo remoto.

Entidades: mostra as entidades (pode tambm ser acessada pressionando o
boto F9 do teclado).


24

Figura 13 - Janela de Acesso: Entidades.
Lado a Lado: selecionando esta opo, as janelas abertas do lado direito da
Interface Remota se ajustam de forma que todas aparecem visveis.
Cascata: esta opo faz com que as janelas abertas no lado direito da
Interface Remota fiquem posicionadas em forma de cascata, uma na frente
da outra.

Janelas:

Figura 14 - Janela de Acesso: janelas.
Configurao de atualizao automtica: permite a configurao
automtica. Nesta janela possvel Habilitar atualizao automtica,
Baixar atualizaes automaticamente, e Habilitar atualizaes dos
manuais.

Figura 15 - Configurao Automtica de Atualizao.
Realizado as escolhas, basta clicar no boto OK.


25

Janelas de Atualizaes: neste menu encontram-se os itens Janelas de
Downloads que mostram as atualizaes que se deseja baixar.

Figura 16 - Notificador de Atualizaes.
A janela Notificador de Instalao de Atualizaes' permite selecionar as
atualizaes que se deseja instalar.

Figura 17 - Notificador de Instalao de Atualizaes.
Busca por atualizaes: Quando selecionada esta opo uma busca por
atualizaes pendentes realizada, conforme mostra imagem abaixo:


26

Figura 18 - Atualizaes prontas.
Sobre: mostra informaes sobre o Aker Control Center.

Figura 19 - Informaes sobre o item: Sobre
Para encerrar, clicar no boto OK.


27

Aker Web Gateway

Figura 20 - Janela de Acesso: Aker Web Gateway.
Inicialmente nem todas as opes dos menus se encontram habilitadas, por
funcionarem apenas quando houver uma conexo estabelecida. Para ter acesso s
demais opes devem estabelecer uma sesso de administrao remota com o
dispositivo que deseja administrar. Para tanto se devem seguir os seguintes passos:
Cadastrar o Aker Web Gateway selecionando o menu Aker Web Gateway e a
opo Novo dispositivo remoto.
Selecionar o dispositivo com o qual se deseja conectar;
Clicar na opo Conectar.
Novo Dispositivo Remoto: Cadastra um novo disposto
Editar: realiza edies;
Excluir: exclui dispositivo;
Conectar ao dispositivo selecionado: conecta ao dispositivo;
Reiniciar dispositivo: reinicia o mesmo;
Desligar dispositivo: desliga o dispositivo remoto;
Salva backup automaticamente: os backups sero salvos.
Os itens descritos acima sero abordados nas prximas pginas.


28

Textos nos botes: marcando esta opo ser mostrada juntamente com
cada cone a ao correspondente do boto. Desmarcando esta opo, ser
mostrado apenas o cone.
Dicas para Entidades: quando esta opo estiver ativada, uma pequena
caixa com a descrio de cada entidade ir aparecer quando o mouse for
passado sobre seu cone.

Figura 21 - Caixa de descrio de entidade.
Mostrar cones nos botes: esta opo, se ativada, faz com que sejam
mostrados cones nos botes OK, Cancelar e Aplicar das janelas.
Janelas: esta opo permite mostrar ou no as janelas padro do sistema: ajuda,
AWG e entidades.

Cadastrando Gateways
Nesta seo demonstramos como cadastrar um ou mais AWGs quando
selecionamos a opo Novo dispositivo remoto dentro do menu Gateway ou no
cone Criar dispositivo remoto.

Figura 22 Boto: Criar novo dispositivo remoto.
Aparecer a seguinte janela Editar Dispositivo remoto. Nessa janela, possvel
escolher o tipo de autenticao desejada. De acordo com cada opo a janela ser
alterada, mostrando os campos correspondentes.
Tipo de Autenticao: Usurio/Senha


29

Figura 23 - Caixa de edio do dispositivo remoto.
Modo de demonstrao: Quando selecionada essa opo, ser criado um AWG de
demonstrao com uma configurao padronizada. Nenhuma conexo real ser
feita ao tentar se conectar neste dispositivo, podendo-se criar quantos AWGs de
demonstrao for desejado, cada um com a configurao distinta um do outro;
Nome: cadastrar o nome pelo qual o dispositivo ser referenciado na Interface
Remota;
Nome da mquina: Caso o servidor do AWG no qual se deseja conectar possua
um nome associado ao IP da mquina, basta colocar este nome nesta opo para
que o Control Center resolva o DNS automaticamente e se conecte no servidor;
Endereo IPv4 e IPv6: cadastrar o endereo IP para conectar no AWG;
Usurio: esse campo identifica o usurio que acessar o AWG. Este campo grava o
usurio, onde aparecer todas as vezes que o AWG for acessado.
Senha: a senha do usurio. Caso deixe a caixa Salvar Senha marcada, no ser
necessrio digitar a senha quando fizer a conexo (a senha aparecer na tela como
vrios asteriscos *). Caso ela esteja desmarcada, este campo estar desabilitado.
A cada 3 tentativas invlidas, o cliente bloqueado de acessar a Control Center por
3 minutos. A cada tentativa invlida gera-se um evento Excesso de tentativas invalidas
do mdulo Daemons do AWG.


30

No final basta clicar em OK e o dispositivo estar cadastrado, como o tipo de
autenticao selecionado. No caso de cancelar o cadastro do dispositivo, basta
clicar em Cancelar.

Tipo de Autenticao: X.509

Figura 24 - Informaes requeridas para Editar o Dispositivo Remoto.
Essa opo permite autenticao com certificao digital X509.
Certificado da CA: representa o certificado raiz da autoridade certificadora, mostra
o Domnio (C.N) desse certificado.


31

Ao clicar no cone mostrado abaixo, carrega-se um arquivo com extenso *.cer/*.crt
que contm o certificado.

Figura 25 cone utilizado para o carregamento de arquivo.
O cone a seguir, mostra um resumo das informaes do certificado.

Figura 26 - cone utilizado para mostrar informaes do certificado.
Certificado do Usurio: essa opo permite carregar um pacote de certificado no
formato PKCS#12. Ele desmembra o pacote em dois arquivos, um com o certificado
e outro com a chave. Carrega um certificado com uma senha e a outra senha para
salvar o arquivo da chave, salvando assim, de forma encriptada.
Senha: Senha com a qual a chave primria foi salva. Se informar (cadastro), decifra
a chave e manda para o AWG fazer a autenticao. Caso deixe a caixa Salvar
Senha marcada, no ser necessrio digitar a senha quando fizer a conexo (a
senha aparecer na tela como vrios asteriscos *). Caso ela esteja desmarcada,
este campo estar desabilitado.
Alterar Senha: Altera a senha cadastrada no campo senha.
Salvar Senha: Permite que a senha seja salva automaticamente.


32

Tipo de Autenticao: Agente externo usurio/senha

Figura 27 - Tipos de autenticao (usurio, domnio e senha) para editar o Dispositivo Remoto.
Essa opo permite autenticao por meio de Agentes Externos.
Usurio: O usurio que acessar o AWG. Este campo grava o usurio, onde
aparecer todas as vezes que o AWG for acessado.
Domnio: Nome do domnio no qual o agente externo est rodando
Senha: A senha do usurio. Caso deixe a caixa Salvar Senha marcada, no ser
necessrio digitar a senha quando fizer a conexo (a senha aparecer na tela como
vrios asteriscos *). Caso ela esteja desmarcada, este campo estar desabilitado.
Fingerprint: um resumo da identificao do certificado digital do AWG. Essa
opo possibilita ao usurio identificar quando tem uma mudana do AWG que se
costuma conectar.
Observao: Na primeira vez que h a tentativa da conexo no haver a
identificao do AWG. A partir da segunda vez todas s vezes que conectado vai
comparar com o fingerprint.


33

Eraser Fingerprint: Zera e comea do estado inicial. Se h uma troca do AWG a
identificao ser diferente, ento no ser possvel conexo, somente se clicar
no erase fingerprint.
Depois de cadastrarmos o dispositivo, pode-se clicar duas vezes no cone do AWG
criado, no lado esquerdo da janela, ou clicar uma vez para selecion-lo e, em
seguida, no boto Conectar.

Figura 28 Boto Conectar.
Ele far com que a interface se conecte ao dispositivo escolhido, como mostrado na
figura abaixo:

Figura 29 - Interface conectada ao AWG escolhido.


34

2.2. Finalizando a administrao remota
Existem trs formas de finalizar a administrao remota do Aker Web Gateway:
Finalizando a sesso clicando com o boto direito do mouse no AWG conectado e
selecionando Desconectar do dispositivo remoto;

Figura 30 - Desconectar do dispositivo remoto.
Clicando em Desconectar do dispositivo remoto na barra de ferramentas
ou fechando a Interface Remota. Neste caso voc perder a conexo com todos os
dispositivos que estiverem conectados.
Caso queira sair do programa, deve-se clicar no boto Sair, na barra de
ferramentas da janela principal ou clicar no x no canto superior direito da janela.

Figura 31 Boto: Sair deste programa.

2.3. Mudando sua senha de usurio
possvel para qualquer usurio do AWG alterar a sua senha sempre que
desejado. Para tanto se deve primeiro estabelecer uma sesso de administrao
(como mostrado no tpico Iniciando a interface remota) e aps isso executar os
seguintes passos:


35

Figura 32 AWG menu Ferramentas
Selecionar o Web Gateway a ser configurado.
Clicar em Ferramentas.
Clicar duas vezes em Mudar senha.
Ser mostrada ento a seguinte janela:

Figura 33 Mudar senha
Deve-se digitar a senha anterior no campo Senha antiga e digitar a nova senha nos
campos Nova senha e Confirmar a nova senha (as senhas aparecero na tela
como vrios asteriscos "*").
Aps preencher os campos, deve-se pressionar o boto OK, para alterar a senha ou
o boto Cancelar, caso no queira mud-la.


36

2.4. Visualizando Informao de Sesso
possvel a qualquer momento visualizar algumas informaes sobre a sesso de
administrao ativa. Para isso existe uma janela especfica que mostra informaes
teis como: login, nome e direitos do usurio que est administrando o Web
Gateway e a verso e o release do AWG que estiver sendo administrado. So
mostradas tambm a hora de incio da conexo e h quanto tempo ela est ativa.
Para abrir esta janela, execute os seguintes passos:

Figura 34 AWG menu Informao
Selecionar o Aker Web Gateway a ser configurado;
Clicar em Informao;
Clicar duas vezes em Informao de sesso.
Ser mostrada ento a seguinte janela:


37

Figura 35 Informao de sesso


38

Administrando usurios


39

3. Administrando usurios
Neste captulo mostraremos como criar os usurios que iro administrar
remotamente o Aker Web Gateway. Aker Web Gateway ser referenciado neste
manual como AWG.

Quem so os usurios do Aker Web Gateway?
Para que alguma pessoa consiga administrar remotamente o Aker Web Gateway
preciso ser reconhecida e validada pelo sistema. Esta validao feita na forma de
senhas, sendo que cada um dos administradores dever ser previamente
cadastrado com um login e uma senha, j definindo as suas atribuies.
Alm disso, o Aker Web Gateway permite a existncia de vrios administradores
distintos, cada um responsvel por uma determinada tarefa da administrao. Isso,
alm de facilitar a administrao, permite um maior controle e uma maior segurana.
3.1. Utilizando a Interface Remota
Para ter acesso janela de administrao de usurios, na interface remota deve-se:

Figura 6 AWG menu configuraes
Clicar em Configuraes da janela do Aker Web Gateway que quer administrar
Selecionar o item Usurios Administrativos


40

Esta opo s estar habilitada se o usurio que estiver com a sesso aberta na
interface remota, tiver autoridade para gerenciar usurios. Isso ser comentado em
detalhes no prximo tpico.

A janela de Usurios Administrativos
Aba usurios internos

Figura 37 Usurios administradores
Esta janela consiste de uma lista de todos os usurios atualmente definidos para
acesso administrao do Aker Web Gateway, alm de um segredo compartilhado
(ou senha), para administrao centralizada pelo Aker Configuration Manager. No
havendo o segredo compartilhado, a configurao ser apenas efetuado pelos
usurios cadastrados.
Para cada usurio, mostrado seu login, seu nome completo e suas permisses:


41

O boto OK far com que a janela de administrao de usurios seja fechada e as
modificaes salvas;
O boto Aplicar far com que as alteraes realizadas sobre um determinado
usurio sejam aplicadas, isto , realizadas permanentemente, sem fechar a janela;
O boto Cancelar fechar a janela de administrao de usurios e descartar todas
as alteraes efetuadas;
Quando um usurio for selecionado, os seus atributos completos sero mostrados
nos campos Permisses.
Para alterar os atributos de um usurio, deve-se proceder da seguinte forma:
1. Selecionar o usurio a ser alterado clicando sobre seu nome com o boto
esquerdo do mouse. Neste momento sero mostrados os seus atributos nos
campos aps a listagem de usurios;
2. Alterar o valor dos atributos desejados e clicar no boto Aplicar ou no boto OK.
A partir deste momento as alteraes sero efetivadas.
Para incluir um usurio na lista, deve-se proceder da seguinte forma:
1. Clicar com o boto direito do mouse em qualquer lugar da rea reservada para
mostrar a lista (aparecer o boto Inserir) e selecionar a opo Incluir no menu
pop-up ou clicar no cone que representa a incluso na barra de
ferramentas;
2. Preenche os campos do usurio a ser includo e clicar no boto Aplicar ou no
boto OK.
Para remover um usurio da lista, deve-se proceder da seguinte forma:
1. Selecionar o usurio a ser removido, clicando sobre seu nome com o boto
esquerdo do mouse e clicar no cone que representa a remoo na barra de
ferramentas;
ou
2. Clicar com o boto direito do mouse sobre o nome do usurio a ser removido e
selecionar a opo Excluir no menu pop-up.

Significado dos atributos de um usurio
Login
a identificao do usurio para o Aker Web Gateway. No podem existir dois
usurios com o mesmo login. Este login ser pedido ao administrador do Aker Web
Gateway quando este for estabelecer uma sesso de administrao remota.
O login deve ter entre 1 e 14 caracteres. No h diferenas entre letras maisculas
e minsculas neste campo.


42

Nome
Este campo contm o nome completo do usurio associado ao login. Os seus
objetivos so de informao, no sendo usado para qualquer validao.
Este nome deve ser um conjunto de caracteres de comprimento entre 0 e 40.
Senha
Este campo ser usado em conjunto com o campo login para identificar um usurio
perante o Aker Web Gateway. Ao digitar a senha, sero mostrados na tela
asteriscos "*" ao invs das letras.
O campo senha deve ter no mximo 14 caracteres. Seu tamanho mnimo
configurvel por meio da janela de parmetros da interface (para maiores
informaes veja o tpico Utilizando a interface remota ). Neste campo, letras
maisculas e minsculas so consideradas diferentes.
extremamente importante que as senhas usadas tenham um comprimento
grande, o mais prximo possvel do limite de 14 caracteres. Alm disso, deve-se
sempre utilizar uma combinao de letras minsculas, maisculas, nmeros e
caracteres especiais nas senhas (caracteres especiais so aqueles encontrados no
teclado dos computadores e que no so nmeros nem letras: "$", "&", "]", etc.).
Nunca use como senhas palavras em qualquer idioma ou apenas nmeros.
Confirmao
Este campo serve para confirmar a senha digitada no campo anterior, uma vez que
esta aparece como asteriscos.
Permisses
Este campo define o que um usurio pode fazer dentro do Aker Web Gateway. Ele
consiste de trs opes que podem ser marcadas independentemente.
O objetivo destas permisses possibilitar a criao de uma administrao
descentralizada para o Aker Web Gateway. possvel por exemplo, numa empresa
que possua vrios departamentos e vrios Aker Web Gateways, deixar um
administrador responsvel pela configurao de cada um dos produtos e um
responsvel central com a tarefa de supervisionar a administrao. Este supervisor
seria a nica pessoa capaz de apagar e alterar a configurao de log e eventos dos
Aker Web Gateways. Desta forma, apesar de cada departamento ter autonomia de
administrao possvel ter um controle central do que cada administrador alterou
na configurao e quando ele realizou cada alterao. Isto um recurso muito
importante para realizar auditorias internas, alm de aumentar a segurana da
administrao.


43

Caso um usurio no possua nenhum atributo de autoridade, ento, esse ter
permisso apenas para visualizar a configurao do Aker Web Gateway e
compactar os arquivos de log e de eventos.
Configurar Servidor
Se esta permisso estiver marcada, o usurio em questo poder administrar o Aker
Web Gateway, isto , alterar a configurao das entidades, regras de filtragem,
converso de endereos, criptografia, proxies e parmetros de configurao que
no estejam relacionados ao log.
Configurar Log
Se esta opo estiver marcada, o usurio em questo ter poderes para alterar os
parmetros relacionados ao log (como por exemplo, tempo de permanncia do log),
alterar a configurao da janela de aes (tanto as mensagens quanto os
parmetros) e apagar permanentemente o log e os eventos.
Administrar usurios
Se esta opo estiver marcada, o usurio em questo ter acesso janela de
administrao de usurios, podendo incluir, editar e excluir outros usurios.
Um usurio que possuir esta autoridade somente poder criar, editar ou excluir
usurios com autoridades iguais ou menores s que ele possuir (por exemplo, se
um usurio tiver poderes de gerenciar usurios e configurar log, ento ele poder
criar usurios que no possuam nenhuma autoridade, que somente possam
configurar o log, que somente possam criar novos usurios ou que possam
gerenciar usurios e configurar log. Ele no poder nunca criar, nem editar ou
excluir, um usurio que possa configurar o Aker Web Gateway).


44

Aba Agentes Externos

Figura 38 Aba Agentes externos
Esta aba consiste na configurao dos agentes externos que sero utilizados para a
autenticao dos usurios que administram o Aker Web Gateway, definindo assim
regras de autenticao para o acesso destes.
Habilitar autenticao via agentes externos
Ao selecionar essa opo permite a autenticao dos usurios, por meio dos
agentes externos que esto cadastrados no Aker Web Gateway. Permite definir o
autenticador externo, qual o usurio/grupo que ele pertence, quais as suas
permisses de acesso e a definio das entidades que o usurio utilizar para
conectar ao Aker Web Gateway.
Autenticador
Ao clicar com o boto direito em cima da opo autenticador, poder selecionar um
autenticador (agente externo) habilitados na Janela autenticao aba Mtodos. Esse


45

autenticador ser responsvel por intermediar o processo de autenticao da
interface com o Aker Web Gateway.
Usurio/Grupo
Os usurios e os grupos estaro relacionados ao autenticador escolhido. Pode-se
associar um usurio somente ou um grupo deles.
Permisses
Este campo define o que um usurio pode fazer dentro do Aker Web Gateway . Ele
consiste de trs opes que podem ser marcadas independentemente.
O objetivo destas permisses possibilitar a criao de uma administrao
descentralizada para o Aker Web Gateway. possvel por exemplo, numa empresa
que possua vrios departamentos e vrios Aker Web Gateways, deixar um
administrador responsvel pela configurao de cada um dos Aker Web Gateways e
um responsvel central com a tarefa de supervisionar a administrao. Este
supervisor seria a nica pessoa capaz de apagar e alterar a configurao de log e
eventos dos Aker Web Gateways. Desta forma, apesar de cada departamento ter
autonomia de administrao possvel ter um controle central do que cada
administrador alterou na configurao e quando ele realizou cada alterao. Isto
um recurso muito importante para realizar auditorias internas, alm de aumentar a
segurana da administrao.
Entidades
As Entidades so representaes de objetos do mundo real para o Aker Web
Gateway. Atravs delas, podem-se representar mquinas, redes, servios a serem
disponibilizados, entre outros. Nessa opo permite definir de qual entidade o
usurio se conectar ao Aker Web Gateway.
Servidor Fingerprint
um resumo da identificao do certificado digital do Aker Web Gateway. Essa
opo possibilita ao usurio identificar quando tem uma mudana do Aker Web
Gateway que se costuma conectar.


46

Aba Autenticao X509

Figura 39 Aba X.509
Essa aba consiste no mtodo de autenticao com certificao digital X509. O
Certificado Digital pode ser considerado como a verso eletrnica (digital) de uma
cdula de identidade, associa uma chave pblica com a identidade real de um
indivduo, de um sistema servidor, ou de alguma outra entidade. Um certificado
digital normalmente usado para ligar uma entidade a uma chave pblica. Para
garantir a integridade das informaes contidas neste arquivo ele assinado
digitalmente, no caso de uma Infraestrutura de Chaves Pblicas (ICP), o certificado
assinado pela Autoridade Certificadora (AC) que o emitiu e no caso de um modelo
de Teia de Confiana ( Web of trust ) como o PGP o certificado assinado pela
prpria entidade e assinado por outros que dizem confiar naquela entidade. Em
ambos os casos as assinaturas contidas em um certificado so atestamentos feitos
por uma entidade que diz confiar nos dados contidos naquele certificado.

Um certificado normalmente inclui:


47

Informaes referentes entidade para o qual o certificado foi emitido (nome,
email, CPF/CNPJ, PIS etc.);
A chave pblica referente chave privada de posse da entidade especificada
no certificado;
O perodo de validade;
A localizao do "centro de revogao" (uma URL para download da CRL, ou
local para uma consulta OCSP;
A(s) assinatura(s) da(s) AC/entidade(s) que afirma que a chave pblica
contida naquele certificado confere com as informaes contidas no mesmo;

Um certificado padro X.509 um outro formato de certificado muito comum. Todos
os certificados X.509 obedecem o padro internacional ITU-T X.509; assim
(teoricamente) certificados X.509 criados para uma aplicao podem ser usados por
qualquer aplicao que obedece X.509.
Um certificado exige algum para validar que uma chave pblica e o nome do dono
da chave vo juntos. Com certificados de PGP, qualquer um pode representar o
papel de validador. Com certificados X.509, o validador sempre uma Autoridade
de Certificao ou algum designado por uma CA.
Um certificado X.509 uma coleo de um conjunto padro de campos contendo
informaes sobre um usurio ou dispositivo e sua correspondente chave pblica. O
padro X.509 define qual informao vai no certificado, e descreve como codificar
isto(o formato dos dados). Todos certificados X.509 tm os seguintes dados:
O nmero da verso do X.509 que identifica qual o padro aplicado na
verso do X.509 para este certificado, o que afeta e qual informao pode ser
especificada neste;
A chave pblica do possuidor do certificado junto com um algoritmo de
identificao, especifica qual sistema de criptografia pertence chave e
quaisquer parmetros associados.
Abaixo, seguem os campos que contm a aba:
Habilitar autenticao X.509: Ao selecionar essa opo permite habilitar a
autenticao do usurio via certificado digital x.509;
Certificado CN do Servidor: Nessa opo mostra qual certificado o Aker
Web Gateway est utilizando na sua autenticao;
Importa Certificado: Ao clicar nesse cone, permite a incluso de um novo
certificado, ou seja carrega-se o certificado cadastrado no arquivo e
incluindo-o no Aker Web Gateway;
Exporta Certificado: Gravam os dados do certificado, para transport-lo
para uma futura aplicao desse certificado. Tira uma cpia do certificado;


48

Remove Certificado: Ao clicar nesse cone, permite a remoo do
certificado que foi includo. Com isso o Aker Web Gateway fica sem nenhum
certificado;
Mostra detalhes dos certificados: Mostra todas as informaes contidas no
certificado habilitado;
Autoridade Certificadora: A autoridade certificadora (CA- certificate
authority) deve garantir ao usurio, atravs da assinatura de seus
certificados, que tais entidades so realmente quem dizem ser. Ento, a CA
tem um papel bsico de garantir a correspondncia entre a identidade e a
chave pblica de uma determinada entidade, sabendo que tal chave pblica
corresponde a uma chave privada que permanece sob guarda exclusiva
dessa entidade.
Para tanto, a CA deve ser capaz de realizar todos os processos de emisso de
certificados, verificao de validade, armazenamento, publicao ou acesso on-line,
revogao e arquivamento para verificao futura.
Em consequncia, uma autoridade certificadora constitui-se de um sistema
computacional completo, com capacidade de comunicao processamento e
armazenamento. Alm disso, tanto as comunicaes envolvendo esse sistema,
assim como o prprio sistema, devem ser tambm protegidos e a prpria identidade
do sistema deve ser garantida, necessidades estas que so atendidas por
intermdio da publicao de uma chave pblica pertencente prpria autoridade
certificadora. Como tal chave deve tambm ser garantida com um certificado digital,
ento, em geral, uma autoridade certificadora deposita sua chave pblica junto
outra autoridade certificadora, formando uma estrutura de certificao onde algumas
CA funcionam como autoridades certificadoras para outras CAs.
Essa opo permite selecionar uma autoridade a qual o usurio est vinculado.

Pseudo-Grupos: Corresponde aos grupos de certificados, relacionados
autoridade certificadora selecionada na opo acima. Este campo no editvel.

Permisses: Esse campo das permisses editvel, podendo, para cada CA
selecionada relacionar as permisses para cada grupo.
Nessa opo, uma vez escolhida uma Autoridade Certificadora e definidos os
nveis/permisses de acesso para cada grupo, ao trocar de CA todos as permisses
relacionadas outra CA sero perdidos.


49

3.2. Utilizando a Interface Texto
Alm da Interface Remota de administrao de usurios, existe uma interface local
orientada a caracteres que possui praticamente as mesmas capacidades da
Interface Remota. A nica funo no disponvel a de alterao das permisses
dos usurios. Essa Interface Texto, ao contrrio da maioria das demais interfaces
orientadas a caracteres do Aker Web Gateway, interativa e no recebe
parmetros da linha de comando.
Localizao do programa: /aker/bin/awg/admin
Ao ser executado, o programa mostrar a seguinte tela:

Figura 40 Interface Texto
Para executar qualquer uma das opes mostradas, basta digitar a letra mostrada
em negrito. Cada uma das opes ser mostrada abaixo, em detalhes:
Inclui um novo usurio
Esta opo permite a incluso de um novo usurio que poder administrar o Aker
Web Gateway remotamente. Ao ser selecionada, ser mostrada uma tela pedindo
as diversas informaes do usurio. Aps todas as informaes serem preenchidas,
ser pedida uma confirmao para a incluso do usurio.


50

Figura 41 Incluso de usurio
Observaes importantes:
1. Nos campos onde aparecem as opes (S/N), deve-se digitar apenas S, para sim e
N para no.
2. A senha e a confirmao das senhas no sero mostradas na tela.
Remove um usurio existente
Esta opo, remove um usurio existente que esteja cadastrado no sistema. Ser
pedido o login do usurio a ser removido caso o usurio esteja cadastrado, ser
pedida a seguir uma confirmao para realizar a operao.


51

Figura 42 Remoo de usurio
Para prosseguir com a remoo, deve-se digitar S, caso contrrio digita-se N.
Lista usurios cadastrados
Esta opo mostra uma lista com o nome e as permisses de todos os usurios
autorizados a administrar remotamente o Aker Web Gateway. Um exemplo de uma
possvel listagem de usurios a seguinte:

Figura 43 Listagem de usurios


52

O campo permisses consiste de 3 possveis valores: CF, CL, e GU, que
correspondem respectivamente s permisses de: Configura Aker Web Gateway,
Configura Log e Gerencia Usurios. Se um usurio possuir uma permisso, ela ser
mostrada com o cdigo acima, caso contrrio ser mostrado o valor --, indicando
que o usurio no a possui.
Compacta arquivo de usurios

Figura 44 Compactao do arquivo de usurios
Esta opo no est presente na Interface Remota e no possui uso frequente. Ela
serve para compactar o arquivo de usurios, removendo entradas no mais usadas.
Ele somente deve ser usada quando for removido um grande nmero de usurios
do sistema.
Ao ser selecionada, o arquivo ser compactado e ao final ser mostrada uma
mensagem indicando que a operao foi completada (a compactao do arquivo
costuma ser uma operao bastante rpida, durando poucos segundos).
Sai do admin
Esta opo encerra o programa admin e retorna para a linha de comando.


53

Configurando os parmetros
do sistema


54

4. Configurando os parmetros configuraes do sistema
Neste captulo ser mostrado como configurar as variveis que iro influenciar nos
resultados de todo o sistema. Estes parmetros de configurao atuam em aspectos
como a segurana, log do sistema e tempos de inatividade das conexes. Aker Web
Gateway ser referenciado neste manual como AWG.

Para ter acesso a janela de configurao de parmetros deve-se:

Figura 45 Menu Configuraes (Parmetros de configurao)
Clicar no menu Configuraes do Sistema da janela do Aker Web Gateway que quer
administrar;
Selecionar o item Parmetros de Configurao;


55

A janela de Parmetros de configurao:

Figura 46 Aba Global
O boto OK far com que a janela de configurao de parmetros seja fechada e as
alteraes que foram efetuadas sejam aplicadas;
O boto Cancelar far com que a janela seja fechada porm as alteraes
efetuadas no sejam aplicadas;
O boto Aplicar enviar para o Aker Web Gateway todas as alteraes feitas porm
manter a janela aberta.
Significado dos parmetros
Aba Global
Nesta janela, estes parmetros so utilizados pelo filtro de estados e pelo conversor
de endereos. Eles consistem dos seguintes campos:
- Valor padro: Configurado durante a instalao do Aker Web Gateway pelo
administrador;


56

- Tempo limite TCP: Define o tempo mximo, em segundos, que uma conexo TCP
pode permanecer sem trfego e ainda ser considerada ativa pelo Aker Web
Gateway. Seu valor pode variar de 0 a259200 (72 horas);
Valor padro: 900 segundos;
- Tempo limite UDP: Define o tempo mximo, em segundos, que uma conexo
UDP pode permanecer sem trfego e ainda ser considerada ativa pelo Aker Web
Gateway. Seu valor pode variar de 0 a259200 (72 horas) - Valor padro: 180
segundos;
Estes campos so de vital importncia para o correto funcionamento do Aker
Web Gateway: valores muito altos podero causar problemas de segurana para
servios baseados no protocolo UDP, faro com que o sistema utilize mais memria
e o tornaro mais lento. Valores muito baixos podero causar constantes quedas de
sesso e o mau funcionamento de alguns servios.
- Tamanho mnimo de senha: Define o nmero mnimo de caracteres que as
senhas dos administradores devem ter para serem aceitas pelo sistema. Seu valor
pode variar entre 4 e 14 caracteres - Valor padro: 6 caracteres;
importante que este valor seja o maior possvel, de modo a evitar a utilizao de
senhas que possam ser facilmente quebradas;
- Servidor NTP (Network Time Protocol): Define o servidor de tempo que ser
utilizado pelo Aker Web Gateway para sincronizar seu relgio
interno. (Este campo s aparece para o Aker Web Gateway);
-Endereos fixos de configurao remota: So endereos que,
independentemente de regras e de extrapolao dos limites de licenas,
podem administrar o Aker Web Gateway (isto conectar na porta 1020). Eles
servem como medida de preveno anti-bloqueio do
Aker Web Gateway, uma vez que s podem ser configurados via Interface Texto;
- Restringir conexo de configurao: Esta opo, quando selecionada, permite
ao administrador especificar, de forma clara, quais entidades
tero acesso configurao do Web Gateway. Automaticamente, as opes abaixo
descritas, ficam habilitadas;
- Aceitar entidades: Esta opo especifica que as entidades listadas no campo
IP/Rede podero ter acesso para configurao ao web gateway;

- Bloquear entidades: Esta opo especifica que as entidades listadas no campo
IP/Rede no podero ter acesso para configurao ao web gateway;
- IP/Rede: Este componente utilizado para a especificao das entidades que
sero utilizadas no bloqueio/liberao do acesso de configurao do web gateway.


57

Aba Log

Figura 47 Aba Log
Local: Indica que os eventos devem ser salvos em um disco local, na mquina onde
o AWG estiver rodando.
Tempo de vida no eventos /: Os registros de eventos do AWG so mantidos em
arquivos dirios. Esta configurao define o nmero mximo de arquivos que sero
mantidos pelo sistema, em caso de log local. Os valores possveis vo de 1 a 365
dias.
Valor padro: 7 dias
Tamanho (GB) eventos: Os arquivos de eventos sero limitados em tamanho total
em disco, ou seja, caso o total de logs em disco ultrapasse o valor estipulado, os
logs mais antigos sero apagados.


58

Exemplo da nova rotao de logs do AWG

ANTES ATUAL
Perodo de
rotao
01 vez por dia 01 vez por hora ou arquivo
atual atingindo o tamanho
mximo configurado.
Controles para
excluso dos
arquivos
Ultrapassando o
tempo limite
configurado.
Ultrapassando o tempo ou
tamanho limite configurado.

Exemplo:
Configurao do ambiente:
Tempo limite: 07 dias tamanho mximo de log de 2,4 GB
So gerados 100 MB de arquivos de log por hora.
s 11:59 do 1 dia, haver aproximadamente 2,4 GB de arquivos de log.
meia-noite do 2 dia, o AWG rotacionar os logs.
Isso far com que o primeiro arquivo de log de 100 MB, criado no 1 dia, seja
excludo do HD, fazendo com que este fique com 2,3 GB de arquivos de log.
Depois disso, o AWG recebeu um ataque de flood e comeou a gerar 3,4 GB de log
por hora.
Quando o arquivo de log (APENAS O ARQUIVO QUE EST SENDO ESCRITO,
SEM CONTAR OS OUTROS) alcanar 2,4 GB (neste momento o diretrio ter 4,7
GB de log), o AWG rotacionar os logs, excluindo TODOS os registros de log,
inclusive o arquivo de 2,4 GB. Na sequncia, criar outro arquivo zerado e
comear a gravar os logs nele.
O evento acima aconteceu um pouco antes do natal, em uma sexta-feira, e a
empresa resolveu dar folga a semana toda para emendar com o ano novo. O
arquivo de log, aps o ataque de flood, ficou um 01 GB de tamanho e o AWG
passou a produzir 1 KB de log por hora.
06 dias, 23 horas e 59 minutos se passaram e o AWG criou vrios arquivos de log,
completando um tamanho total de 1,000160217 GB. meia-noite, aps 07 dias, o


59

AWG rotacionou os logs excluindo apenas o arquivo de 1 GB, criado uma semana
atrs, e deixando apenas 0,000160217 GB de arquivos de log.

- Servidor Remoto: Esta opo indica o servidor de log remoto para o qual o log
ser enviado;
- Logar syslog do Unix: Habilita o envio do log e dos eventos do Aker Web
Gateway para o daemon de log do Unix, o syslogd - Valor padro: No envia log
para o syslogd;
Ao habilitar essa opo, os registros de log sero enviados para a fila local0 e os de
eventos para a fila local1;
Esta opo no altera em nada o registro interno do log e dos eventos realizado
pelo prprio Aker Web Gateway.


60

Aba SNMP

Figura 47 Aba SNMP
- Comunidade de leitura: Este parmetro indica o nome da comunidade que est
autorizada a ler dados do Aker Web Gateway via SNMP. Caso este campo esteja
em branco, nenhuma mquina estar autorizada a l-los - Valor padro: campo em
branco;
- Comunidade de escrita: Este parmetro indica o nome da comunidade que est
autorizada a alterar dados do Aker Web Gateway via SNMP. Caso este campo
esteja em branco, nenhuma mquina estar autorizada a alter-los - Valor padro:
campo em branco;
Mesmo com uma comunidade de escrita definida, por razes de segurana,
somente podero ser alterados algumas variveis do grupo system.
- Descrio: Tipo de servio que a mquina ira disponibilizar para o usurio;


61

- Contato: Tipo de contato (e-mail, home page) que o administrador disponibiliza
para o usurio;
- Nome: Nome abreviado do sistema que o identifica na rede, ex: DNS;
- Local: Local fsico onde a mquina est instalada;
O SNMPv3 inclui trs importantes servios: autenticao (authentication) ,
privacidade (privacy) e controle de acesso (access control).
- Habilita SNMPv3: Ao selecionar essa opo permite definir o tipo de permisso de
um usurio e qual o nvel de segurana que ele estar relacionado;
- Nome do usurio: Nome do usurio que ter permisso para conferir ou modificar
as informaes;
- Tipo de permisso: Permite a escolha do tipo de permisso do usurio. Poder
ter acesso de somente leitura dos dados ou de leitura e escrita;
- Nvel de segurana: Permite a escolha do tipo de segurana dos dados. Pode-se
optar por nenhuma autenticao, com autenticao ou autenticao com cifragem.
Caso a escolha seja com autenticao, as opes Mtodo de autenticao e senha
de autenticao sero habilitados. Caso a escolha seja autenticao com cifragem,
as opes Mtodo de cifragem e senha de cifragem sero habilitados;
- Mtodo de autenticao: Possuem dois mtodos de autenticao, um com o
algoritmo MD5 e o outro com o algoritmo SHA;
- Senha de autenticao: Deve ser informada uma senha para autenticao, com
no mnimo 8 caracteres;
- Mtodo de encriptao: Possuem dois mtodos de cifragem dos dados, um por
meio do algoritmo DES e o outro por meio do algoritmo AES;
- Senha de encriptao: Deve ser informada uma senha para cifragem, com no
mnimo 8 caracteres;
- Ramo de acesso: Permite restringir, por meio de subrvores, quais os grupos de
dados/informaes que o usurio ter acesso.


62

Aba Servios

Figura 48 Aba Servios
Esta aba servios permite configurar quais so as portas (servios), que devem ser
redirecionadas para o Proxy HTTP, isso significa que pode ser definido quais as
portas (servios) o Web Gateway filtra o protocolo HTTP.
Ao selecionar a opo Filtro Web Habilitado, permite a filtragem do trfego HTTP
das entidades selecionadas. Nesse campo aparecero as entidades servios
criadas.
Ao selecionar essa opo Restringir redes e mquinas do filtro web, permite
filtrar as entidades do tipo mquinas/redes que vo passar pelo filtro web.
Se a opo Filtrar entidades abaixo estiver selecionado, significa que as entidades
que no estiverem listadas tero todo acesso liberado.


63

Caso a opo No filtrar as entidades abaixo estiver selecionada, significa que as
entidades que estiverem listadas tero o acesso liberado.
- Suporte ao MSN: Habilita o suporte para o MSN Messenger - Valor padro:
Suporte ao MSN Messenger est habilitado.
O MSN Messenger um protocolo de mensagens instantneas que permite a
comunicao entre duas ou mais pessoas ao mesmo tempo. Este parmetro faz
com que o Aker Web Gateway trate o Messenger de forma especial possibilitando
que seu uso seja controlado por meio dos perfis de acesso.
A opo Habilitar proxy ativo permite utilizar o AWG como proxy ativo. Para isso,
deve-se configurar o browser com o mesmo endereo IP e Porta de sada do AWG,
que no caso, ser a porta 80. Caso esta opo no esteja habilitada, o usurio
poder utilizar apenas proxy transparente.
Aba Prox SSL Reverso

Consulte o captulo Configurando Proxy SSL Reverso.


64

Data e Hora

Figura 49 Data/Hora
Esta opo permite ao administrador verificar e alterar a data e a hora do Web
Gateway. A data e hora configuradas corretamente so essenciais para o
funcionamento da tabela de horrio das regras e dos perfis de acesso WWW
(WORLD WIDE WEB) e eventos.
Data e hora
Esta janela consiste de dois campos que mostram o valor da data e hora
configurado no Web Gateway. Para alterar qualquer um destes valores, basta
colocar o valor desejado no campo correspondente. Para escolher o ms pode-
se utilizar as setas de navegao.
Fuso Horrio
Escolha o fuso horrio que mais se aproxima da regio aonde o Web Gateway
ser instalado.


65

O boto Aplicar alterar a data e hora e manter a janela aberta.
O boto OK far com que a janela seja fechada e as alteraes salvas.
O boto Cancelar fechar a janela e descartar as modificaes
efetuadas.
Servidor NTP (Network Time Protocol)
Define o servidor de tempo que ser utilizado pelo Web Gateway para
sincronizar seu relgio interno.
A Interface Texto de configurao de parmetros bastante simples de ser utilizada
e possui exatamente as mesmas capacidades da Interface Remota.
Ela possui entretanto a possibilidade, no disponvel na Interface Remota, de
adicionar at trs mquinas possveis de administrarem o Aker Web Gateway
remotamente, mesmo sem a existncia de uma regra liberando sua conexo. O
objetivo desta funcionalidade permitir que, mesmo que um administrador tenha
feito uma configurao equivocada que impea sua conexo, ainda assim ele
poder continuar administrando remotamente o Aker Web Gateway. Este
parmetro chama-se end_remoto. E possvel usar todos os comandos sem o
prefixo FW, para isso execute o comando fwshell, ento todos os comando
podero ser acessados sem o prefixo FW).
Nome do programa: par
Sintaxe:
Uso: fwpar [mostra | ajuda]
fwpar [tempo_limite_tcp | tempo_limite_udp] <segundos>
fwpar interface_externa <nome>
fwpar [ip_direcionado] <sim | nao>
fwpar [suporte_ftp | suporte_real_audio | suporte_rtsp | suporte_pptp ] <si
m | nao>
fwpar [suporte_h323 | suporte_msn | suporte_sip | suporte_dce_rpc | manter_
cons_exp ] <sim | nao>
fwpar [loga_conversao | loga_syslog] <sim | nao>
fwpar [permanencia_log | permanencia_event | permanencia_stat] <dias>


66

fwpar [tamanho_log | tamanho_event | tamanho_stat] <GB>
fwpar [serv_log_remoto <nome>]
fwpar [end_remoto <n> <end>]
fwpar [snmp] [rocommunidade | rwcommunidade | descricao | contato | nome |
local] [nome]

mostra = mostra a configuraco atual
ajuda = mostra esta mensagem
tempo_limite_tcp = tempo mximo de inatividade para conexes TCP
tempo_limite_udp = tempo mximo de inatividade para conexes UDP
suporte_msn = habilita suporte ao procotolo MSN Messenger
interface_externa = configura o nome da interface externa (conexes que
vierem por esta interface nao contam na licenca)
ip_direcionado = aceita pacotes IP direcionados
suporte_ftp = habilita suporte ao protocolo FTP
suporte_real_audio = habilita suporte ao protocolo Real Audio
suporte_rtsp = habilita suporte ao protocolo RTSP
suporte_pptp = habilita suporte ao protocolo Microsoft(R) PPTP
suporte_h323 = habilita suporte ao protocolo H.323
suporte_sip = habilita suporte ao protocolo SIP
suporte_dce_rpc = habilita suporte ao protocolo DCE-RPC sobre TCP
manter_cons_exp = mantem conexes de regras expiradas
loga_conversao = registra mensagens de converso de endereos
loga_syslog = envia mensagens de log e eventos para o syslogd


67

permanencia_log = tempo de permanncia (dias) dos registros de log
permanencia_stat = tempo de permanncia (dias) das estatsticas
permanencia_event = tempo de permanncia (dias) dos registros de evento
tamanho_log = tamanho mximo (GB) dos registros de log
tamanho_stat = tamanho mximo (GB) das estatsticas
tamanho_event = tamanho mximo (GB) dos registros de evento
serv_log_remoto = servidor de log remoto (nome da entidade)
end_remoto = endereo dos trs controladores remotos
snmp = configuraes de SNMP
Exemplo 1: (visualizando a configurao):
par mostra
# Parmetros globais:
-------------------
tempo_limite_tcp : 900 segundos
tempo_limite_udp : 180 segundos
suporte_msn : nao
end_remoto : 1) 10.4.0.31 2) 10.4.0.3 3)
Parmetros de configurao de log:
----------------------------------
permanencia_event : 7 dias
Parmetros de configurao de SNMP:
-----------------------------------
rocommunidade :
rwcommunidade :
descrio :
contato :
nome :
local :
Exemplo 2: (configurando endereo para controle remoto):
#par end_remoto 1 10.4.0.21


68

Exemplo 3: (configurando o nome da comunidade de leitura SNMP):
#/aker/bin/awg/par comunidade_leitura public
Exemplo 4: (apagando o nome da comunidade de escrita SNMP):
#/aker/bin/awg/par comunidade_escrita


69

Cadastrando ntidades


70

5. Cadastrando Entidades
Ser mostrado neste captulo o que so, para que servem e como cadastrar
entidades no Aker Web Gateway. Aker Web Gateway ser referenciado neste
manual como AWG.

5.1. Planejando a instalao

O que so e para que servem as entidades?
Entidades so representaes de objetos do mundo real para o Aker Web Gateway.
Atravs delas, podem ser representados mquinas, redes, servios a serem
disponibilizados, entre outros.
A principal vantagem da utilizao de entidades para representar objetos reais que
a partir do momento em que so definidas no Aker Web Gateway, elas podem ser
referenciadas como se fossem os prprios objetos, propiciando uma maior facilidade
de configurao e operao. Todas as alteraes feitas em uma entidade sero
automaticamente propagadas para todos os locais onde ela referenciada.
Pode-se definir, por exemplo, uma mquina chamada de Servidor WWW (WORLD
WIDE WEB), com o endereo IP de 10.0.0.1. A partir deste momento, no mais
necessrio se preocupar com este endereo IP. Em qualquer ponto onde seja
necessrio referenciar esta mquina, a referncia ser feita pelo nome. Caso
futuramente seja necessrio alterar seu endereo IP, basta alterar a definio da
prpria entidade que o sistema automaticamente propagar esta alterao para
todas as suas referncias.
Definindo entidades
Antes de explicar como cadastrar entidades no Aker Web Gateway necessrio
uma breve explicao sobre os tipos de entidades possveis e o que caracteriza
cada uma delas.
Existem 6 tipos diferentes de entidades no Aker Web Gateway: mquinas, redes,
conjuntos, servios, autenticadores e interfaces.
As entidades do tipo mquina e rede, como o prprio nome j diz, representam
respectivamente mquinas individuais e redes. Entidades do tipo conjunto
representam uma coleo de mquinas e redes, em qualquer nmero. Entidades do
tipo servio representam um servio a ser disponibilizado atravs de um protocolo
qualquer que rode em cima do IP. Entidades do tipo autenticador, representam um
tipo especial de mquina que pode ser utilizada para realizar autenticao de


71

usurios e as entidades do tipo interface, representam uma interface de rede do
Aker Web Gateway.
Por definio, o protocolo IP, exige que cada mquina possua um endereo
diferente. Normalmente estes endereos so representados da forma byte a byte,
como por exemplo 172.16.17.3. Desta forma, pode-se caracterizar unicamente uma
mquina em qualquer rede IP, incluindo a Internet, com apenas seu endereo.
Para definir uma rede deve-se utilizar uma mscara alm do endereo IP. A
mscara serve para definir quais bits do endereo IP sero utilizados para
representar a rede (bits com valor 1) e quais sero utilizados para representar as
mquinas dentro da rede (bits com valor 0). Assim, para representar a rede cujas
mquinas podem assumir os endereos IP de 192.168.0.1 a 192.168.0.254, deve-se
colocar como rede o valor 192.168.0.0 e como mscara o valor 255.255.255.0. Esta
mscara significa que os 3 primeiros bytes sero usados para representar a rede e
o ltimo byte ser usado para representar a mquina.
Para verificar se uma mquina pertence a uma determinada rede, basta fazer um E
lgico da mscara da rede, com o endereo desejado e comparar com o E lgico do
endereo da rede com sua mscara. Se eles forem iguais, a mquina pertence
rede, se forem diferentes no pertence. Vejamos dois exemplos:
Suponha que desejamos verificar se a mquina 10.1.1.2 pertence rede 10.1.0.0,
mscara 255.255.0.0. Temos:
10.1.0.0 E 255.255.0.0 = 10.1.0.0 (para a rede)

10.1.1.2 E 255.255.0.0 = 10.1.0.0 (para o endereo) Temos ento que os dois
endereos so iguais aps a aplicao da mscara, portanto a mquina 10.1.1.2
pertence rede 10.1.0.0.
Suponha agora que desejamos saber se a mquina 172.16.17.4 pertence rede
172.17.0.0, mscara 255.255.0.0. Temos:
172.17.0.0 E 255.255.0.0 = 172.17.0.0 (para a rede)

172.16.17.4 E 255.255.0.0 = 172.16.0.0 (para o endereo) Como os endereos
finais so diferentes, temos que a mquina 172.16.17.4 no pertence rede
172.17.0.0
Caso seja necessrio definir uma rede onde qualquer mquina seja considerada
como pertencente a ela (ou para especificar qualquer mquina da Internet), deve-se
colocar como endereo IP desta rede o valor 0.0.0.0 e como mscara o valor
0.0.0.0. Isto bastante til na hora de disponibilizar servios pblicos, onde todas as
mquinas da Internet tero acesso.


72

Toda a vez que ocorre uma comunicao entre duas mquinas, usando o protocolo
IP, esto envolvidos no apenas os endereos de origem e destino, mas tambm
um protocolo de nvel mais alto (nvel de transporte) e algum outro dado que
identifique a comunicao unicamente. No caso dos protocolos TCP e UDP (que
so os dois mais utilizados sobre o IP), uma comunicao identificada por dois
nmeros: a Porta Origem e a Porta Destino.
A porta destino um nmero fixo que est associado, geralmente, a um servio
nico. Assim, temos que o servio Telnet est associado com o protocolo TCP na
porta 23, o servio FTP com o protocolo TCP na porta 21 e o servio SNMP com o
protocolo UDP na porta 161, por exemplo.
A porta origem um nmero sequencial escolhido pelo cliente de modo a
possibilitar que exista mais de uma sesso ativa de um mesmo servio em um dado
instante. Assim, uma comunicao completa nos protocolos TCP e UDP pode ser
representada da seguinte forma:
10.0.0.1 1024 -> 10.4.1.2 23 TCP
-------------------------------------------------------------------------
Endereo origem Porta origem Endereo destino Porta destino Protocolo
Para um Aker Web Gateway, a porta de origem no importante, uma vez que ela
randmica. Devido a isso, quando se define um servio, leva-se em considerao
apenas a porta de destino.
Alm dos protocolos TCP e UDP, existe um outro protocolo importante: o ICMP.
Este protocolo utilizado pelo prprio IP para enviar mensagens de controle,
informar sobre erros e testar a conectividade de uma rede.
O protocolo ICMP no utiliza o conceito de portas. Ele usa um nmero que varia de
0 a 255 para indicar um Tipo de Servio. Como o tipo de servio caracteriza
unicamente um servio entre duas mquinas, ele pode ser usado como se fosse a
porta destino dos protocolos, TCP e UDP, na hora de definir um servio.
Por ltimo, existem outros protocolos que podem rodar sobre o protocolo IP e que
no so TCP, UDP ou ICMP. Cada um destes protocolos tem formas prprias para
definir uma comunicao e nenhum deles utilizado por um grande nmero de
mquinas. Ainda assim, o Aker Web Gateway optou por adicionar suporte para
possibilitar ao administrador o controle sobre quais destes protocolos podem ou no
passar atravs do Aker Web Gateway.
Para entender como isso feito, basta saber que cada protocolo tem um nmero
nico que o identifica para o protocolo IP. Este nmero varia de 0 a 255. Desta
forma, podemos definir servios para outros protocolos usando o nmero do
protocolo como identificao do servio.
O que Qualidade de Servio (QoS)


73

A qualidade de servio pode ser compreendida de duas formas: do ponto de vista
da aplicao ou da rede.
Para uma aplicao oferecer seus servios com qualidade, tem que atender s
expectativas do usurio em relao ao tempo de resposta e da qualidade do servio
que est sendo provido. Por exemplo, no caso de uma aplicao de vdeo,
fidelidade adequada do som e/ou da imagem sem rudos nem congelamentos.
A qualidade de servio da rede depende das necessidades da aplicao, ou seja, do
que ela requisita da rede a fim de que funcione bem e atenda, por sua vez, s
necessidades do usurio. Estes requisitos so traduzidos em parmetros
indicadores do desempenho da rede como, por exemplo, o atraso mximo sofrido
pelo trfego da aplicao entre o computador origem e destino.
O Aker Web Gateway implementa um mecanismo com o qual possvel definir uma
banda mxima de trfego para determinadas aplicaes. Atravs de seu uso,
determinadas aplicaes que tradicionalmente consomem muita banda, podem ter
seu uso controlado. As entidades do tipo Canal so utilizadas para este fim e sero
explicadas logo abaixo.

5.2. Cadastrando entidades utilizando a Interface Remota

Para ter acesso janela de cadastro de entidades deve-se:
Clicar no menu Janelas do Aker Web Gateway da janela do Aker Web Gateway que
se quer administrar;
Selecionar o item Entidades (a janela ser mostrada abaixo da janela com os menus
de configurao dos Aker Web Gateways).
A janela de cadastro de entidades:


74

Figura 50 Entidades

Figura 51 - Entidades
A janela de cadastro de entidades onde so cadastradas todas as entidades do
Aker Web Gateway, independente do seu tipo. Esta janela, por ser constantemente
utilizada em praticamente todas as demais configuraes do Aker Web Gateway,
normalmente mostrada sempre aberta na horizontal, abaixo da janela com os
menus de configurao de cada Aker Web Gateway.
Dica: Possui uma janela nica para todos os Aker Web Gateways abertos. A janela
continuar a mesma, s mudar o contedo que ser referente ao Aker Web
Gateway selecionado. Os tipos de entidades mais usados ficam nicos na aba. As
entidades menos utilizadas aparecem no menu.
Dica: possvel posicionar a janela de entidades como se fosse uma janela comum,
bastando para isso clicar sobre sua barra de ttulo e arrast-la para a posio
desejada.
Dica: Para criar uma nova entidade, caso a lista de entidades criadas esteja cheia,
deve-se clicar em cima da aba que fica na parte inferior da janela.


75

Nesta janela esto desenhados oito cones, em forma de rvore, que representam
os oito tipos de entidades possveis de serem criados.
Dica: Para visualizar as entidades criadas s clicar no sinal de '+' e as entidades
ficaro listadas logo abaixo do logotipo, ou clicar sobre a aba correspondente a
entidade que se deseja visualizar.
Para cadastrar uma nova entidade, deve-se proceder da seguinte forma:
Clicar uma vez no cone correspondente entidade do tipo que deseja criar com o
boto direito do mouse e selecionar a opo Inserir no menu pop-up
ou,
Clicar no cone correspondente entidade do tipo que deseja criar e pressionar a
tecla Insert.
Para editar ou excluir uma entidade, deve-se proceder da seguinte forma:
Selecionar a entidade a ser editada ou excluda (se necessrio, expande-se a lista
do tipo de entidade correspondente)
Clicar com o boto direito do mouse e selecionar a opo Editar ou Apagar,
respectivamente, no menu pop-up que aparecer.
ou
Clicar no cone correspondente entidade do tipo que deseja criar e pressionar a
tecla Delete.
No caso das opes Editar ou Incluir, aparecer janela de edio de parmetros
da entidade a ser editada ou includa. Esta janela ser diferente para cada um dos
tipos possveis de entidades.
O cone , localizado na parte inferior da janela aciona o assistente de
cadastramento de entidades que ser descrito no final deste captulo.


76

Incluindo / editando mquinas

Figura 52 Entidade tipo Mquina
Para cadastrar uma entidade do tipo mquina deve-se preencher os seguintes
campos:
Nome: o nome pelo qual a mquina ser sempre referenciada pelo Aker Web
Gateway. possvel especificar este nome manualmente ou deixar que ele seja
atribudo automaticamente. A opo Automtico permite escolher entre estes dois
modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso
contrrio, manual.
Letras maisculas e minsculas so consideradas diferentes nos nomes das
entidades. Desta forma, possvel a existncia de vrias entidades compostas de
nomes com as mesmas letras, porm com combinaes distintas de maisculas e
minsculas. As entidades Aker, AKER e aker so, portanto, consideradas diferentes.
cone : o cone que aparecer associado mquina em todas as referncias.
Para alter-lo, basta clicar sobre o desenho do cone atual. O Aker Web Gateway
ento mostrar uma lista com todos os possveis cones para representar mquinas.
Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no
queira alter-lo aps ver a lista, basta clicar no boto Cancelar.
Endereo IP: o endereo IP da mquina a ser criada.
Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para
realizar a incluso ou alterao da mquina. Para cancelar as incluses ou
alteraes realizadas deve pressionar o boto Cancelar.
Para facilitar a incluso de vrias mquinas seguidamente, existe um boto
chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este


77

boto far com que a mquina inclua os dados preenchidos e mantenha aberta a
janela de incluso de mquinas onde estar pronta para uma nova incluso. Desta
forma possvel cadastrar rapidamente um grande nmero de mquinas.
Incluindo / editando redes

Figura 53 Entidade tipo Rede
Para cadastrar uma entidade do tipo rede deve-se preencher os seguintes campos:
- Nome: o nome pelo qual a rede ser sempre referenciada pelo Aker Web
contrrio, manual.
minsculas. As entidades Aker, AKER e aker so consideradas diferentes.
- cone : o cone que aparecer associado rede em todas as referncias.
Para alter-lo deve clicar sobre o desenho do cone atual. O Aker Web Gateway
ento mostrar uma lista com todos os possveis cones para representar redes.
Para escolher entre eles tem que clicar no cone desejado e no boto OK. Caso no
- Endereo IP: o endereo IP da rede a ser criada.
- Mscara de Rede: Define quais bits do endereo IP sero utilizados para
representar a rede (bits com valor 1) e quais sero utilizados para representar as
mquinas dentro da rede (bits com valor 0)


78

- Intervalo: Este campo mostra a faixa de endereo IP a que pertence rede e
realiza uma crtica quanto mscara que est sendo cadastrada, ou seja no
permite cadastramento de mscaras erradas.
Aps estarem todos os campos preenchidos, deve-se clicar no boto OK para
realizar a incluso ou alterao da rede. Para cancelar as alteraes realizadas ou a
incluso, deve-se pressionar o boto Cancelar.
Para facilitar a incluso de vrias redes seguidamente, existe um boto chamado
Nova (que no estar habilitado durante uma edio). Ao clicar neste boto far
com que sejam includos os dados preenchidos e manter aberta a janela de
incluso de redes onde estar pronta para uma nova incluso. Desta forma
possvel cadastrar rapidamente um grande nmero de redes.
Incluindo / editando conjuntos

Figura 54 Entidade tipo Conjunto
Para cadastrar uma entidade do tipo conjunto deve-se preencher os seguintes
campos:
- Nome: o nome pelo qual o conjunto ser sempre referenciado pelo Aker Web


79

modos de operao: caso ela esteja marcada, a atribuio ser automtica se no,
manual.
- cone : o cone que aparecer associado ao conjunto em todas as
referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O Aker Web
Gateway ento mostrar uma lista com todos os possveis cones para representar
conjuntos. Para escolher entre eles basta clicar no cone desejado e no boto OK.
Caso no queira alter-lo aps ver a lista, basta clicar no boto Cancelar.
Aps preencher o nome e escolher o cone para o conjunto, deve-se definir quais
mquinas e redes faro parte do mesmo. Abaixo esto os passos que devero ser
seguidos.
Clicar com o boto direito do mouse no campo em branco e selecionar a opo
Adicionar Entidades (a entidade pode ser adicionada clicando-se duas vezes sobre
ela ou clicando uma vez e logo abaixo em Adicionar).
ou
Clicar sobre a entidade que deseja incluir, com isso deve arrast-la e solt-la dentro
da janela de entidades do conjunto.


80

Figura 55 Adicionando entidades
Para remover uma rede ou mquina do conjunto, deve-se proceder da seguinte
forma:
Clicar com o boto direito do mouse sobre a entidade a ser removida e selecionar a
opo Remover.
ou
Clicar na mquina ou rede a ser removida e pressionar a tecla Delete.
Aps todos os campos estarem preenchidos e todas as redes e mquinas que
devem fazer parte do conjunto selecionadas, deve-se clicar no boto OK para
realizar a incluso ou alterao do conjunto. Para cancelar as alteraes realizadas
ou a incluso, deve-se pressionar o boto Cancelar.
Para facilitar a incluso de vrios conjuntos seguidamente, existe um boto
chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este
boto far com que o conjunto cujos dados foram preenchidos seja includo e a


81

janela de incluso de conjuntos mantida aberta, pronta para uma nova incluso.
Desta forma possvel cadastrar rapidamente um grande nmero de conjuntos.
Incluindo/Editando lista de categorias

Figura 56 - Lista de categorias
Para definir uma lista de categorias necessrio proceder da seguinte forma:
1- Selecionar a opo Automtico, caso queira atribuir um nome padro a lista;
2- Preencher o campo nome, onde pode definir um nome especfico para a lista de
categorias.
O boto atualiza permite buscar as categorias no Aker Web Gateway caso tenha
havido alguma atualizao.
Ao selecionar a opo Tentar recuperar categorias pelo critrio nome quando o
Analisador de Contexto for trocado, permite identificar as categorias pelos nomes
que foram cadastradas, pois ao trocar o analisador de contexto muitas categorias
podem ser perdidas.


82

Incluindo/Editando Lista de Padres de Busca

Figura 57 Lista de padres de Busca
Para definir um padro de pesquisa necessrio proceder da seguinte forma:
Selecionar a opo Automtico, caso queira atribuir um nome padro ao tipo de
pesquisa.
Preencher o campo Nome, onde pode definir um nome especfico para a pesquisa.
Os campos, Padro e Texto, permitem definir qual ser a string ou os parmetros
que sero pesquisados na URL acessada e qual operao a ser efetuada.


83

Incluindo/Editando Quota

Figura 58 - Quota
Esta janela permite definir, vrios tipos de quotas de acesso do usurio rede.
Para criar uma quota pode-se selecionar a opo automtico para que seja atribudo
um nome padro ao tipo de quota a ser definido ou ento preencher o campo nome,
onde pode atribuir um nome especfico para a lista de quotas.
A opo Tipo de Quota, permite escolher se a quota definida ser atribuda
diariamente, semanalmente ou mensalmente. Ao marcar qual o tipo de quota
desejada, pode associar a ela o limite de tempo de acesso e/ou o limite de volume
de dados.
A opo Limitar Tempo pode ser definida em dias e/ou horas. Por exemplo,
diariamente s vai ser liberado 3 horas de acesso Internet, ou semanalmente 3
dias ou at mesmo semanalmente liberado 7 dias. A opo Limitar Volume,
permite especificar a quantidade do volume de dados em Kbytes, Mbytes e Gbytes
que cada usurio poder manipular.
A contagem de tempo funciona da seguinte forma: quando o usurio acessa
uma pgina, conta um relgio de 31 segundos, se o usurio acessar uma outra
pgina, comea a contar do zero, mas no deixar de contar, por exemplo, os 10
segundos que o usurio gastou ao acessar a pgina anterior.


84

Para o consumo de quota, funciona da seguinte forma: no MSN, para cada janela
de conversao, o tempo contato separadamente, j na WEB ser tiver acessando
10 sites, ser contato somente o tempo de um.

Incluindo / editando Lista de e-mails
Listas de e-mails so entidades usadas no proxy MSN com o objetivo de definir com
quais pessoas um determinado usurio pode conversar atravs do MSN Messenger.

Figura 59 Lista de e-mails
Para cadastrar uma entidade do tipo lista de e-mails deve-se preencher os seguintes
campos:
- Nome: o nome pelo qual a lista de e-mails ser sempre referenciado pelo aker
web gateway. possvel especificar este nome manualmente ou deixar que ele seja
contrrio, manual.


85

- Domnio de E-mail: Este campo composto pelos e-mails ou domnios que faro
parte da lista. possvel especificar um e-mail completo ou utilizar o smbolo * para
representar um caractere qualquer. As seguintes opes so e-mails vlidos:
*@* - Corresponde a qualquer e-mail
*@aker.com.br - Corresponde a todos os e-mails do domnio aker.com.br
Para executar qualquer operao sobre um e-mail ou domnio, deve-se clicar sobre
ele com o boto direito e a seguir escolher a opo desejada no menu que ser
mostrado. As seguintes opes esto disponveis:

Figura 60 Lista de e-mails (menu de opes)
- Incluir: Esta opo permite incluir um novo endereo
- Excluir: Esta opo remove da lista o endereo selecionado.
- Importar: Esta opo importa a lista de e-mails a partir de um arquivo .ctt (formado
de contatos do Messenger) ou .txt (arquivo texto com um e-mail por linha)
Exportar: Esta opo exporta a lista de e-mails para um arquivo .ctt (formado de
contatos do Messenger) ou .txt (arquivo texto com um e-mail por linha)
Incluindo / Editando agentes externos
Agentes externos so utilizados para a definio de programas complementares ao
Aker Web Gateway. So responsveis por funes especficas que podem estar
rodando em mquinas distintas. Quando houver necessidade de realizao de uma


86

determinada tarefa por um dos agentes externos, ou vice-versa, o Aker Web
Gateway se comunicar com eles e requisitar sua execuo.

Figura 61 Agentes externos
Existem 8 diferentes tipos de agentes externos, cada um responsvel por um tipo
distinto de tarefas:
Autenticadores
Os agentes de autenticao so utilizados para fazer a autenticao de usurios no
Aker Web Gateway utilizando usurios/senhas de bases de dados de diversos
sistemas operacionais (Windows NT, Linux, etc).
Autenticadores LDAP
O autenticador LDAP permite ao Aker Web Gateway autenticar usurio usando uma
base LDAP compatvel com o protocolo X500.
Autenticador Radius
O autenticador Radius utilizado para fazer autenticao de usurios no Aker Web
Gateway a partir de uma base Radius.
Autenticadores Token
Os autenticadores token so utilizados para fazer autenticao de usurios no Aker
Web Gateway utilizando SecurID(R) , Alladin e outros.
Autoridades certificadoras
Autoridades certificadoras so utilizadas para fazer autenticao de usurios atravs
de PKI, com o uso de Smart Cards e para autenticao de Aker Web Gateways com
criptografia IPSEC.
Mdulos de antivrus


87

Os agentes antivrus so utilizados pelo proxy SMTP, POP3 e Proxy WWW
(WORLD WIDE WEB) para realizarem a checagem e a desinfeco de vrus de
forma transparente em e-mails e nos downloads FTP e HTTP.
Servidores remotos de log
Os servidores de log remoto so utilizados pelo Aker Web Gateway para enviar o
log para armazenamento em uma mquina remota.
possvel a instalao de diversos agentes externos em uma mesma mquina,
desde que sejam distintos.
Para cadastrar um agente externo deve-se inicialmente selecionar seu tipo, abrindo
o diretrio de Agentes Externos.
Independente de seu sub-tipo, todos os agentes externos possuem os seguintes
campos (os demais campos sero ento modificados de acordo com o tipo do
agente a ser cadastrado):
- Nome: o nome pelo qual o agente ser sempre referenciado pelo Aker Web
contrrio, manual.
- cone: o cone que aparecer associado ao agente em todas as referncias.
ento mostrar uma lista com todos os possveis cones para representar agentes
do sub-tipo selecionado. Para escolher entre eles basta clicar no cone desejado e
no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto
Cancelar.
Para cadastrar um agente externo do tipo Autenticador ou Autenticador Token,
necessrio preencher os seguintes campos adicionais:


88

Figura 62 Agente externo (Autenticador )
- IP: o endereo IP da mquina onde o agente est rodando.
- Backup 1 e Backup 2: Estes campos permitem com que seja especificado at
dois endereos de outras mquinas que tambm estaro rodando o agente e que
serviro como backup no caso de quedas da mquina principal.

A mquina principal e as de backup devero compartilhar uma mesma base de
usurios, ou seja, elas devero ser controladoras de domnio primrias e de backup
(PDCs e BDCs), no caso de redes Windows, ou vrias mquinas Unix utilizando
NIS.
- Senha: a senha utilizada para gerar as chaves de autenticao e criptografia
usadas na comunicao com o agente. Esta senha dever ser igual configurada
no agente.
- Confirmao: Este campo utilizado apenas para verificar se a senha foi digitada
corretamente. Deve-se digit-la exatamente como no campo Senha.
- Tempo limite de uso da cache: Todas as vezes que realizada uma
autenticao com sucesso, o Aker Web Gateway mantm em memria os dados
recebidos do usurio e do agente. Nas autenticaes seguintes, o Aker Web
Gateway possui todos os dados necessrios e no mais precisa consultar o agente.
Isso permite um grande ganho de performance.
Este parmetro permite definir em segundos o tempo em que o Aker Web Gateway
deve manter as informaes de autenticao em memria.


89

Para cadastrar um agente externo do tipo Autoridade Certificadora, deve-se
preencher os seguintes campos adicionais:

Figura 63 Autoridade Certificadora
Localizao da publicao da lista de certificados revogados (CRL): a URL da
qual ser baixada a lista de certificados revogados da CA (CRL). Esta URL deve ser
obrigatoriamente do protocolo HTTP e deve ser especificada sem o http:// na sua
frente.
O boto Importar certificado raiz permite carregar o certificado root da CA no Aker
Web Gateway. Ao ser clicado, a interface abrir uma janela para que especificar o
nome do arquivo com o certificado a ser importado.
necessrio importar um certificado raiz para cada Autoridade Certificadora
criada, caso contrrio no ser possvel autenticar usurios por meio dela.
O Campo Pseudo-grupos permite definir grupos para usurios que se autenticarem
por meio da autoridade certificadora, da mesma forma como define grupos em um
sistema operacional. Desta maneira, possvel criar pseudo-grupos que
representem todos os usurios de uma determinada empresa, departamento,
cidade, etc. Aps serem criados os pseudo-grupos, eles podem ser associados a


90

perfis de acesso, da mesma forma como se faz com grupos de autenticadores ou
autenticadores token.
Clicando com o boto direito podemos selecionar as seguintes opes:

-Inserir: Esta opo permite incluir um novo pseudo-grupo.

- Excluir: Esta opo remove da lista o pseudo-grupo selecionado.

- Editar: Esta opo abre a janela de edio para o pseudo-grupo selecionado.
Ao clicar no boto Inserir ou Editar, a seguinte janela ser mostrada:

Figura 64 Pseudo-Grupo
- Nome: Campo de preenchimento obrigatrio o campo que, indicar o nome pelo
qual o pseudo-grupo ser referenciado pelo Aker Web Gateway. Os demais campos
representam dados que sero comparados com os dados presentes no certificado
X509 de cada usurio autenticado. Se um determinado campo estiver em branco
ento qualquer valor ser aceito no campo correspondente do certificado, se no
apenas certificados que possurem o campo igual ao valor informado sero
considerados como parte do grupo.
- Domnio: Nome da pessoa certificada;
- E-mail: Endereo de e-mail da pessoa certificada;


91

- Empresa: Nome da empresa onde trabalha a pessoa certificada;
- Departamento: Departamento dentro da empresa onde trabalha a pessoa
certificada;
- Cidade: Cidade onde se localiza a empresa onde trabalha a pessoa certificada;
- Estado: Estado onde se localiza a empresa onde trabalha a pessoa certificada;
- Pas: Pas onde se localiza a empresa onde trabalha a pessoa certificada.
Os campos: Domnio, E-mail, Empresa, Departamento, Cidade, Estado e Pas
se referem pessoa que o certificado foi emitido;
Para que um usurio autenticado atravs da autoridade certificadora seja
considerado como membro de um pseudo-grupo, todos os campos de seu
certificado X509 devem ser iguais aos valores dos campos correspondentes do
pseudo-grupo. Campos em branco de um pseudo-grupo so ignorados na
comparao e, portanto, quaisquer valores do certificado para estes campos sero
aceitos.
Para cadastrar um agente externo do tipo Antivrus ou Servidor de Log Remoto,
deve-se preencher os seguintes campos adicionais:

Figura 65 (Mdulo de antivrus e Servidor de log Remoto)


92

- Backup 1 e Backup 2: Estes campos permitem especificar at dois endereos de
outras mquinas que tambm estaro rodando o agente e que serviro como
backup no caso de quedas da mquina principal.
- Senha: a senha utilizada para gerar as chaves de autenticao e criptografia
usadas na comunicao com o agente. Esta senha deve ser igual configurada no
agente.
- Confirmao: Este campo utilizado apenas para verificar se a senha foi digitada
corretamente. Deve-se digit-la exatamente como no campo Senha.
Para cadastrar um agente externo do tipo Autenticador LDAP deve-se preencher os
seguintes campos:

Figura 66 Autenticador LDAP
- Backup 1 e Backup 2: Estes campos permitem especificar at dois endereos de
outras mquinas que tambm estaro rodando o servidor LDAP e que serviro
como backup no caso de quedas da mquina principal.
- Tempo limite da cache: Todas as vezes que uma autenticao realizada com
sucesso, o Aker Web Gateway mantm em memria os dados recebidos do usurio
e do agente. Nas autenticaes seguintes, o Aker Web Gateway possui todos os


93

dados necessrios e no mais precisa consultar o agente. Isso permite um grande
ganho de performance.
Este parmetro permite definir em segundos o tempo que o Aker Web Gateway
- Configuraes LDAP: Neste conjunto de campos deve-se especificar as
configuraes do servidor LDAP que ser utilizado para a realizao das
autenticaes. A descrio de cada campo pode ser vista a seguir:
- DN Root de conexo: DN do usurio utilizado pelo Aker Web Gateway para as
consultas;
- Senha Root de conexo: a senha deste usurio;
- DN Base: DN para comear a busca;
- ObjectClass da Conta: valor de objectclass que identifica objetos de contas
vlidas;
- Atributo nome do usurio: o atributo onde encontra o nome do usurio;
- Atributo senha: o atributo onde se encontra a senha do usurio;
- Atributo grupo: o atributo onde se encontra o grupo do usurio
- Permitir senha em branco: permite senhas em branco para o usurio quando
marcado;
- Mtodo de Autenticao: Este campo especifica se o Aker Web Gateway deve
buscar a senha ou deve se conectar na base LDAP com as credenciais do usurio
para valid-lo;
- Conexo LDAP segura: Este campo especifica se a conexo ao servidor LDAP
ser encriptada ou no. Ele consiste das seguintes opes:
- SSL: especifica que o Aker Web Gateway usar conexo encriptada via SSL;
- TLS: especifica que o Aker Web Gateway usar conexo encriptada via TLS;
- Nenhuma: especifica que o Aker Web Gateway no usar criptografia ao se
conectar ao servidor LDAP.
Para cadastrar um agente externo do tipo Autenticador Radius deve-se preencher
os seguintes campos adicionais:


94

Figura 67 Autenticador Radius
- Porta: Nmero da porta onde o servidor RADIUS estar escutando as requisies
de autenticao.
- 1 Backup: Este campo permite com que se especifique outra mquina que
tambm estar rodando o servidor RADIUS e que servir como backup no caso de
queda da mquina principal.
- Segredo: o segredo compartilhado utilizado no servidor RADIUS.
- Confirmao: Este campo utilizado apenas para se verificar se o segredo foi
digitado corretamente. Deve-se digit-lo exatamente como no campo Segredo.
- Tempo limite de uso da cache: Todas as vezes que realizado uma
autenticao com sucesso, o Aker Web Gateway mantm em memria os dados
recebidos do usurio e do agente. Nas autenticaes seguintes, o Aker Web
Gateway possui todos os dados necessrios e no mais precisa consultar o agente.
Isso permite um grande ganho de performance.
Este parmetro permite definir o tempo, em segundos, que o Aker Web Gateway


95

- Usurios: Este campo serve para que se possa cadastrar e posteriormente
associar usurios especficos RADIUS com perfis de acesso do Aker Web Gateway,
uma vez que com este protocolo no possvel para o Aker Web Gateway
conseguir a lista completa de usurios. Somente necessrio realizar o
cadastramento dos usurios que queira se associar com perfis especficos.
- Grupos: Este campo serve para cadastrar e posteriormente associar grupos
especficos RADIUS com perfis de acesso do Aker Web Gateway, uma vez que com
este protocolo no possvel para o Aker Web Gateway conseguir a lista completa
de grupos. Somente necessrio realizar o cadastramento dos grupos que quer
associar com perfis especficos.
Existe um grupo chamado de RADIUS USERS, gerado automaticamente pelo
Aker Web Gateway que pode ser utilizado para a associao de usurios RADIUS
com um perfil de acesso especfico. Todos os usurios autenticados em um
determinado servidor RADIUS so considerados como pertencentes a este grupo.
Desta forma, caso queira utilizar um nico perfil de acesso para todos os usurios,
no necessrio o cadastramento de nenhum usurio e/ou grupo.
realizar a incluso ou alterao do agente externo. Para cancelar as alteraes
realizadas ou a incluso, deve-se pressionar o boto Cancelar.
Para facilitar a incluso de vrios agentes seguidamente, existe um boto chamado
Nova (que no estar habilitado durante uma edio). Ao clicar, neste boto far
com que o dados preenchidos do agente, sejam includos e a janela de incluso de
agentes mantida aberta, pronta para uma nova incluso. Desta forma, possvel
cadastrar rapidamente um grande nmero de agentes.
Para facilitar a incluso de vrios agentes seguidamente, existe um boto chamado
Nova


96

Incluindo / editando Servio

Figura 68 - Servio
Para cadastrar uma entidade do tipo servio deve-se preencher os seguintes
campos:
- Nome: o nome pelo qual o servio ser sempre referenciado pelo Aker Web
contrrio, manual.
- cone : o cone que aparecer associado ao servio em todas as
referncias. Para alter-lo, deve-se clicar sobre o desenho do cone atual. O Aker
Web Gateway ento mostrar uma lista com todos os possveis cones para
representar servios. Para escolher entre eles basta clicar no cone desejado e no
boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto Cancelar.
- Protocolo: o protocolo associado ao servio. (TCP, UDP, ICMP ou OUTROS)
- Servio: o nmero que identifica o servio. No caso dos protocolos TCP e UDP,
este nmero a porta destino. No caso de ICMP o tipo de servio e no caso de
outros protocolos o nmero do protocolo. Para cada protocolo, o Aker Web
Gateway possui uma lista dos valores mais comuns associados a ele, de modo a


97

facilitar a criao do servio. Entretanto, possvel colocar valores que no faam
parte da lista, simplesmente digitando-os neste campo.
Caso queira especificar uma faixa de valores, ao invs de um nico valor, deve-se
clicar no boto ao lado dos nomes De e Para e especificar o menor valor da faixa
em De e o maior em Para. Todos os valores compreendidos entre estes dois,
inclusive, sero considerados como fazendo parte do servio.
- Proxy: Este campo s se encontra habilitado para os protocolos TCP e UDP e
permite especificar se a conexo que se enquadrar neste servio, ser
automaticamente desviada para um dos proxies transparentes do Aker Web
Gateway Aker ou no. O valor padro
Sem Proxy, que significa que a conexo no deve ser desviada para nenhum proxy.
Quando o protocolo TCP est selecionado, a outra opo o proxy SSL.
O servio Telnet est associado porta 23, o SMTP porta 25, o FTP porta
21, o HTTP porta 80 e o POP3 porta 110. possvel especificar que conexes
de quaisquer outras portas sejam desviadas para um destes proxies, entretanto, isto
no o comportamento padro e no deve ser feito a no ser que tenha
conhecimento de todas as possveis implicaes.
Caso tenha especificado que a conexo deve ser desviada para um proxy, pode ser
necessrio definir os parmetros do contexto que ser utilizado pelo proxy para este
servio. Caso isso seja necessrio, no momento em que o proxy for selecionado, a
janela ser expandida para mostrar os parmetros adicionais que devem ser
configurados.
realizar a incluso ou alterao do servio. Para cancelar as alteraes realizadas
ou a incluso, deve-se pressionar o boto Cancelar.
Para facilitar a incluso de vrios servios seguidamente, existe um boto chamado
Nova (que no estar habilitado durante uma edio). Ao ser clicado, este boto
far com que o servio, cujos dados foram preenchidos, seja includo e a janela de
incluso de servios mantida aberta, pronta para uma nova incluso. Desta forma
possvel cadastrar rapidamente um grande nmero de servios.
Incluindo / editando Listas de tipos de arquivo
Listas de tipos de arquivos so entidades usadas no proxy MSN com o objetivo de
definir quais tipos de arquivos podem ser enviados e recebidos, atravs do MSN
Messenger.


98

Figura 69 Lista de tipos de arquivos
Para cadastrar uma entidade do tipo lista de arquivos deve-se preencher os
seguintes campos:
- Nome: o nome pelo qual a lista de tipos de arquivos ser sempre referenciado
pelo Aker Web Gateway. possvel especificar este nome manualmente ou deixar
que ele seja atribudo automaticamente. A opo Automtico permite escolher entre
estes dois modos de operao: caso ela esteja marcada, a atribuio ser
automtica, caso contrrio, manual.
entidades. Desta forma possvel a existncia de vrias entidades compostas de
Para executar qualquer operao sobre uma entrada da lista, deve-se clicar sobre
ela com o boto direito e a seguir escolher a opo desejada no menu que ser
mostrado. As seguintes opes esto disponveis:

Figura 70 Adicionando tipo de arquivo


99

- Incluir: Incluir um novo tipo de arquivo;

- Excluir: Remover da lista o tipo de arquivo selecionado.
Duplicar: Criar uma nova entrada na lista, idntica entrada selecionada, sendo
indicada para criar vrios tipos com a mesma descrio.

Para cada entrada, os seguintes campos devem ser preenchidos:
- Extenso: Extenso do arquivo sem o ponto. Ex.: zip, exe, etc.
- Descrio: Breve descrio do tipo associado extenso.

Incluindo / editando Canais
Canais so entidades usadas nas regras de filtragem com o objetivo de limitar a
banda de determinados servios, mquinas, redes e/ou usurios. Seu uso est
descrito no captulo: O Filtro de Estados.

Figura 71 - Canais


100

Para cadastrar uma entidade do tipo Canal deve-se preencher os seguintes campos:

- Nome: o nome pelo qual o canal ser sempre referenciado pelo Aker Web
atribudo automaticamente. A opo Nome automtico permite escolher entre estes
dois modos de operao: caso ela esteja marcada, a atribuio ser automtica,
caso contrrio, manual.
- cone : o cone que aparecer associado ao Canal em todas as referncias.
ento mostrar uma lista com todos os possveis cones para representar interfaces.
Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no
- Banda: um campo texto usado para designar a largura de banda (velocidade
mxima de transmisso em bits por segundo) deste Canal. Esta banda ser
compartilhada entre todas as conexes que usarem este Canal. Deve ser escolhida
a unidade de medida mais conveniente.
- Buffer: um campo texto usado para designar o tamanho do buffer (espao
temporrio de dados utilizado para armazenar pacotes que sero
transmitidos) utilizado por este Canal. Deve ser escolhido a unidade de medida.
possvel especificar este tamanho manualmente ou deixar que ele seja atribudo
automaticamente. A opo Automtico permite escolher entre estes dois modos de
operao: se ela estiver marcada, a atribuio ser automtica, seno manual.
realizar a incluso ou alterao do Canal. Para que as alteraes e as incluses
sejam canceladas deve-se pressionar o boto Cancelar.
Para facilitar a incluso de vrios Canais seguidamente, existe um boto chamado
Nova (que no estar habilitado durante uma edio). Ao clicar este boto far com
que os dados da canal que foram preenchidos sejam includos e mantida aberta a
janela de incluso de canais onde estar pronta para uma nova incluso. Desta
forma possvel cadastrar rapidamente um grande nmero de canais.


101

5.3. Utilizando a interface de texto

A utilizao da Interface Texto na configurao das entidades bastante simples e
possui praticamente todos os recursos da Interface Remota. As nicas opes no
disponveis so a criao de servios que utilizem proxies transparentes e a edio
de pseudo-grupos de uma autoridade certificadora. importante comentar,
entretanto, que na Interface Texto os agentes externos so mostrados e criados
diretamente pelo seu sub-tipo. E possvel usar todos os comandos sem o prefixo
FW, para isso execute o comando fwshell, ento todos os comando podero ser
acessados sem o prefixo FW).

Localizao do programa : /aker/bin/awg/fwent
Sintaxe:
Uso: ent ajuda
Aker Web Gateway
ent - Interface Texto para configuracao das entidades
Uso: fwent ajuda
ent mostra
ent remove <nome>
ent inclui maquina <nome> <IP>
ent inclui rede <nome> <IP> <mascara>
ent inclui conjunto <nome> [<entidade1> [<entidade2>] ...] ent inclui autenticador
<nome> <IP1> [<IP2>] [<IP3>] <senha> <t. cache>
ent inclui token <nome> <IP1> [<IP2>] [<IP3>] <senha> <t. cache>
ent inclui ldap <nome> <IP1> [<IP2>] [<IP3>] <root_dn> <root_pwd>
<base_dn> <act_class> <usr_attr> <grp_attr>
< <pwd_attr>|<-bind> > < <-ssl>|<-tls>|<-nenhuma> >
< <-no_pwd>|<-pwd> > <t.cache>
ent inclui radius <nome> <IP1> <porta1> [ <IP2> <porta2> ] <senha> <t.cache>
ent inclui anti-virus <nome> <IP1> [<IP2>] [<IP3>] <senha>
ent inclui servico <nome> TCP <valor>[..<valor>]
ent inclui ca <nome> <Arquivo com certificado root> <URL com CRLs>
ent inclui pipe <nome> <banda em Kbits/s> [ <banda_rev>
[<tamanho da fila> <bytes|pacts>] ]
ent inclui log_remoto <nome> <IP> [IP] [IP] <senha>
ent inclui quota <nome kbytes <max kbytes> ] [ segundos <max seconds> ]
<tipo>
mostra = mostra todas as entidades configuradas no sistema
inclui = inclui uma nova nova entidade


102

remove = remove uma entidade existente
Para remove / inclui temos:
nome = nome da entidade a ser criada ou removida
Para inclui temos:
IP = endereco IP da maquina ou da rede
mascara = mascara da rede
entidade = nome das entidades a serem acrescentadas no conjunto
(OBS: Somente podem fazer parte de um conjunto entidades
do tipo maquina ou rede)
senha = senha de acesso
t. cache = tempo em segundos de permanencia de uma entrada no cache de
autenticacao
TCP = servico utiliza protocolo TCP
Para inclui ldap temos:
root_dn = DN do usuario utilizado pelo aker web gateway para as consultas
root_pwd = a senha deste usuario
base_dn = DN para comecar a busca
act_class= valor de objectclass que identifica objetos de contas validas
usr_attr = o atributo onde se encontra o nome do usuario
grp_addr = o atributo onde se encontra o grupo do usuario
pwd_addr = o atributo onde se encontra a senha do usuario
-bind = nao tenta buscar a senha, em vez disso tenta conectar na base
LDAP com as credenciais do usuario para valida-lo
-ssl = usar conexao encriptada via ssl
-tls = usar conexao encriptada via tls
-nenhuma = nao usar conexao encriptada
-no_pwd = permite senhas em branco para o usuario
-pwd = nao permite senhas em branco para o usuario
Para inclui quota temos:
tipo = "mensal", "semanal" ou "diaria"
Exemplo 1:(visualizando as entidades definidas no sistema)
#ent mostra
Maquinas:
---------
cache 10.4.1.12
Aker Web Gateway 10.4.1.11


103

Redes:
------
AKER 10.4.1.0 255.255.255.0
Internet 0.0.0.0 0.0.0.0

Conjuntos:
----------
Maquinas Internas cache Aker Web Gateway

Autenticadores:
---------------
Autenticador NT 10.0.0.1 10.0.0.2 600
Unix 192.168.0.1 192.168.0.2 192.168.0.3 600
Autenticadores do tipo token:
-----------------------------
Autenticador token 10.0.0.1 10.0.0.2 600

Anti-Virus:
-----------
Anti-virus local 127.0.0.1

Servicos:
---------
echo reply ICMP 8
echo request ICMP 0
ftp TCP 21
snmp UDP 161
telnet TCP 23

Exemplo 2:(cadastrando uma entidade do tipo mquina)
#/aker/bin/awg/ent inclui maquina Servidor_1 10.4.1.4
Entidade incluida
Exemplo 3:(cadastrando uma entidade do tipo rede)
#/aker/bin/awg/ent inclui rede Rede_1 10.4.0.0 255.255.0.0
Entidade incluida
Exemplo 4:(cadastrando uma entidade do tipo servio)
#/aker/bin/awg/ent inclui servico DNS UDP 53
Entidade incluida
Exemplo 5:(cadastrando uma entidade do tipo autenticador)
#/aker/bin/awg/ent inclui autenticador "Autenticador Unix" 10.4.2.2 senha_123 900
Entidade incluida


104

O uso de "" ao redor do nome da entidade obrigatrio quando inclui ou remove
entidades cujo nome contm espaos.
Exemplo 6: (incluindo uma entidade do tipo conjunto, cujos membros so as
mquinas cache e Aker Web Gateway, previamente definidas)
#/aker/bin/awg/ent inclui conjunto "Conjunto de teste" cache Aker Web Gateway
Entidade incluida
Exemplo 7: (incluindo uma entidade do tipo autenticador token, utilizando uma
mquina primria e uma secundria, como backup)
#/aker/bin/awg/ent inclui token "Autenticador token" 10.0.0.1 10.0.0.2 senha 600
Entidade incluida
Exemplo 8: (removendo uma entidade)
#/aker/bin/awg/ent remove "Autenticador Unix"
Entidade includa

5.4. Utilizando o Assistente de Entidades
O assistente de criao de entidades pode ser invocado clicando-se no cone ,
localizado na parte inferior da janela de entidades. O seu intuito simplificar a tarefa
de criao das entidades, podendo ser utilizado sempre que desejado. Ele consiste
de vrias janelas mostradas em srie, dependendo do tipo de entidade a ser criada.
Seu uso extremamente simples e o exemplificaremos para a criao de uma
entidade do tipo mquina:


105

1 - A primeira janela mostrada uma breve explicao dos procedimentos a serem
realizados:

Figura 72 Assistente de Entidades


106

2 - Escolher tipo de entidade. Na segunda janela deve escolher o tipo de entidade a
ser cadastrada:

Figura 73 Selecionando o tipo de entidade


107

3 - Localizar o endereo IP. Para cadastrar uma mquina deve ser especificado o
endereo IP correspondente. Caso queira obter esse endereo, deve ser informado
o nome da mquina e logo em seguida clicar no boto Resolva:

Figura 74 Adicionando endereo IP


108

4 - Escolha do cone da entidade. Para escolher o cone da entidade deve-se clicar
em um dos cones que aparecem na janela. Observe que o cone selecionado ir
aparecer direita da janela:

Figura 75 Seleo de cone


109

5 - Finalizao do cadastramento. Ser mostrado um resumo dos dados da
entidade. Para cadastr-la deve-se clicar no boto Finalizar:

Figura 76 Entidade esta pronta para ser utilizada


110

Configurando as A!es do
Sistema


111

6. Configurando as Aes do sistema
Neste captulo ser mostrado como configurar as respostas automticas do sistema
para situaes pr-determinadas. Aker Web Gateway ser referenciado neste
manual como AWG.

O que so as aes do sistema?
O Aker Web Gateway possui um mecanismo que possibilita a criao de respostas
automticas para determinadas situaes. Estas respostas automticas so
configuradas pelo administrador em uma srie de possveis aes independentes
que sero executadas quando uma situao pr-determinada ocorrer.
Para que servem as aes do sistema?
O objetivo das aes possibilitar um alto grau de interao do Aker Web Gateway
com o administrador. Com o uso delas, possvel, por exemplo, que seja executado
um programa capaz de cham-lo atravs de um Pager quando a mquina detectar
que um ataque est em andamento. Desta forma, o administrador poder tomar
uma ao imediata, mesmo que ele no esteja no momento monitorando o
funcionamento do Aker Web Gateway.
Para ter acesso a janela de configurao das aes deve-se:

Figura 77 Aker Web Gateway ( Aes)


112

Expandir o item Configuraes do Sistema
Selecionar o item Aes
A janela de configurao das aes
Ao selecionar esta opo ser mostrada a janela de configurao das aes a
serem executadas pelo sistema. Para cada mensagem de log e de eventos e para
os pacotes que no se enquadrarem em nenhuma regra possvel determinar
aes independentes. A janela mostrada ter a seguinte forma:

Figura 78 Aba Mensagens de eventos
Para selecionar as aes a serem executadas para as mensagens mostradas na
janela, deve-se clicar com o boto direito do mouse sobre as mensagens. A cada
opo selecionada aparecer um cone correspondente.

Figura 79 Opes de aes


113

Se a opo estiver marcada com o cone aparente, a ao correspondente ser
executada pelo Aker Web Gateway quando a mensagem ocorrer. So permitidas
as seguintes aes:
Logar: Ao selecionar essa opo, todas as vezes que a mensagem correspondente
ocorrer, ela ser registrada pelo Aker Web Gateway;
Enviar email: Ao selecionar essa opo, ser enviado um e-mail todas as vezes
que a mensagem correspondente ocorrer (a configurao do endereo de e-mail
ser mostrada no prximo tpico);
Executar programa: Ao marcar essa opo, ser executado um programa definido
pelo administrador todas as vezes que a mensagem correspondente ocorrer (a
configurao do nome do programa a ser executado ser mostrada no prximo
tpico);
Disparar mensagens de alarme: Ao selecionar essa opo, o Aker Web Gateway
mostrar uma janela de alerta todas as vezes que a mensagem correspondente
ocorrer. Esta janela de alerta ser mostrada na mquina onde a Interface Remota
estiver aberta e, se a mquina permitir, ser emitido tambm um aviso sonoro. Caso
a Interface Remota no esteja aberta, no ser mostrada nenhuma mensagem e
esta opo ser ignorada (esta ao particularmente til para chamar a ateno
do administrador quando ocorrer uma mensagem importante);
Enviar trap SNMP: Ao selecionar essa opo, ser enviada uma Trap SNMP para o
gerente SNMP todas as vezes que a mensagem correspondente ocorrer (a
configurao dos parmetros de configurao para o envio das traps ser mostrada
no prximo tpico).
No possvel alterar as aes para a mensagem de inicializao do Aker Web
Gateway (mensagem nmero 43). Esta mensagem sempre ter como aes
configuradas apenas a opo Logar.
Significado dos botes da janela de aes
O boto OK far com que a janela de aes seja fechada e as alteraes efetuadas
aplicadas;
efetuadas no sero aplicadas;
O boto Aplicar, far com que as alteraes sejam aplicadas sem que a janela
feche.
A janela de configurao dos parmetros
Para que o sistema consiga executar as aes deve-se configurar certos
parmetros (por exemplo, para o Aker Web Gateway enviar um e-mail, o endereo
tem que ser configurado). Estes parmetros so configurados atravs da janela de
configurao de parmetros para as aes.
Esta janela mostrada ao selecionar Parmetros na janela de Aes. Ela tem o
seguinte formato:


114

Figura 80 Aes (aba Parmetros)
Significado dos parmetros:
Parmetros para executar um programa
Arquivo de programa: Este parmetro configura o nome do programa que ser
executado pelo sistema quando ocorrer uma ao marcada com a opo Programa.
Deve ser colocado o nome completo do programa, incluindo o caminho. Deve-se
atentar para o fato de que o programa e todos os diretrios do caminho devem ter
permisso de execuo pelo usurio que ir execut-lo (que configurado na
prxima opo).
O programa receber os seguintes parmetros pela linha de comando (na ordem
em que sero passados):
1. Nome do prprio programa sendo executado (isto um padro do sistema
operacional Unix);
2. Tipo de mensagem (1 - para log ou 2- para evento);
3. Prioridade (7 - depurao, 6 - informao, 5 - notcia, 4 - advertncia ou 3 -
erro);
4. Nmero da mensagem que provocou a execuo do programa ou 0 para
indicar a causa no foi uma mensagem. (neste caso, a execuo do
programa foi motivada por uma regra);
5. Cadeia de caracteres ASCII com o texto completo da mensagem (esta cadeia
de caracteres pode conter o caractere de avano de linha no meio dela).


115

No sistema operacional UNIX, usa-se a barra "/" para especificar o caminho de
um programa. Isto pode causar confuso para quem estiver acostumado com o
ambiente DOS/Windows, que usa a barra invertida "\".
Nome efetivo do usurio: Este parmetro indica a identidade com a qual o
programa externo ser executado. O programa ter os mesmos privilgios deste
usurio.
Este usurio deve ser um usurio vlido, cadastrado no FreeBSD ou Linux. No
se deve confundir com os usurios do Aker Web Gateway, que servem apenas para
a administrao do Aker Web Gateway.
Parmetros para enviar traps SNMP
Endereo IP do servidor SNMP: Este parmetro configura o endereo IP da
mquina gerente SNMP para a qual o Aker Web Gateway deve enviar as traps.
Comunidade SNMP: Este parmetro configura o nome da comunidade SNMP que
deve ser enviada nas traps.
As traps SNMP enviadas tero o tipo genrico 6 (enterprise specific) e o tipo
especfico 1 para log ou 2 para eventos. Elas sero enviadas com o nmero de
empresa (enterprise number) 2549, que o nmero designado pela IANA para a
Aker Consultoria e Informtica.
Existe um arquivo chamado /aker/bin/awg/mibs/AKER-MIB.TXT que traz as
informaes sobre a sub-rvore da Aker Consultoria e Informtica na rvore global.
Este arquivo est escrito na notao ASN.1.
Parmetros para enviar e-mail
Endereo de e-mail: Este parmetro configura o endereo de e-mail do usurio
para o qual devem ser enviados os e-mails. Este usurio pode ser um usurio da
prpria mquina ou no (neste caso deve-se colocar o endereo completo, por
exemplo user@aker.com.br).
Caso queira enviar e-mails para vrios usurios, pode-se criar uma lista e colocar o
nome da lista neste campo.
importante notar que caso algum destes parmetros esteja em branco, ao
correspondente no ser executada, mesmo que ela esteja marcada para tal.
A Interface Texto para a configurao das aes possui as mesmas capacidades da
Interface Remota e de fcil uso.


116

Localizao do programa: /aker/bin/awg/action
Sintaxe:
Aker Web Gateway
fwaction - Interface texto para a configuracao das acoes do sistema
Uso: fwaction ajuda
fwaction mostra
fwaction atribui <numero> [loga] [mail] [trap] [programa] [alerta]
fwaction <programa | usuario | comunidade> [nome]
fwaction ip [endereco IP]
fwaction e-mail [endereco]
mostra = lista as mensagens e as acoes configuradas para cada uma
atribui = configura as acoes para uma determinada mensagem
programa = define o nome do programa a ser executado
usuario = define o nome do usuario que executara o programa
comunidade = define o nome da comunidade SNMP para o envio das traps
ip = define o endereco IP do servidor SNMP que recebera as traps
e-mail = define o nome do usuario que recebera os e-mails
Para atribui temos:
numero = numero da mensagem a atribuir as acoes
(o numero de cada mensagem aparece na esquerda ao se
selecionar a opcao mostra)
loga = Loga cada mensagem que for gerada
mail = Manda um e-mail para cada mensagem que for gerada
trap = Envia uma trap SNMP para cada mensagem que for gerada


117

programa = Executa programa para cada mensagem que for gerada
alerta = Abre janela de alerta para cada mensagem que for geradaExemplo 1:
(configurando os parmetros para envio de e-mail e execuo de programa)
#action e-mail root
#action programa /etc/pager
#action usuario nobody
Exemplo 2: (mostrando a configurao completa das aes do sistema)
#action mostra
Condicoes Gerais:

Mensagens de eventos:
000 - Aker Web Gateway 1.5 - Inicializacao completa
>>>> Loga
001 - Erro de alocacao de memoria
>>>> Loga
002 - Dados invalidos recebidos pelo modulo do kernel
>>>> Loga
003 - Erro ao ler o arquivo de parametros
>>>> Loga
004 - Erro ao carregar perfis de acesso
>>>> Loga
005 - Erro ao carregar entidades
>>>> Loga
006 - Nome de perfil de acesso invalido
>>>> Loga
007 - Erro ao criar socket de conexao
>>>> Loga

(...)

100 - Erro carregando lista de categorias
>>>> Loga
101 - Erro de comunicacao com o servico de quotas
>>>> Loga
102 - Quota de bytes expirada
>>>> Loga
103 - Quota de bytes insuficiente para a operacao
>>>> Loga
104 - Quota de tempo expirada
>>>> Loga


118

105 - Consumo de quota
>>>> Loga
Parametros de configuracao:
programa :
usuario :
e-mail :
comunidade:
ip
Devido ao grande nmero de mensagens, s esto sendo mostradas as
primeiras e as ltimas. O programa real mostrar todas ao ser executado.
Exemplo 3: (atribuindo as aes para o Erro de alocao de memoria e mostrando
as mensagens)
#action atribui 1 loga mail alerta
#action mostra
Condies Gerais:

000 - Aker Web Gateway 1.5 - Inicializao completa
>>>> Loga
001 - Erro de alocao de memoria
>>>> Loga Mail Alerta
Devido ao grande nmero de mensagens, s esto sendo mostradas as
primeiras e as ltimas. O programa real mostrar todas as mensagens, ao ser
executado.
Exemplo 4: (cancelando todas as aes para a mensagem de Erro ao carregar
entidades e mostrando as mensagens)
#action atribui 5
#action mostra
Condies Gerais:

003 - Erro ao ler o arquivo de parmetros
>>>> Loga
004 - Erro ao carregar perfis de acesso
>>>> Loga
>>>>
006 - Nome de perfil de acesso invalido
>>>> Loga


119

Devido ao grande nmero de mensagens, s esto sendo mostradas as primeiras e
as ltimas. O programa real mostrar todas ao ser executado.


120

"isualizando #entos do
Sistema


121

7. Visualizando Eventos do sistema
Neste captulo ser mostrado como visualizar os eventos do sistema, um recurso
muito til para acompanhar o funcionamento do Aker Web Gateway e detectar
possveis ataques e erros de configurao. Aker Web Gateway ser referenciado
neste manual como AWG.

O que so os eventos do sistema?
Eventos so as mensagens do Aker Web Gateway de nvel mais alto, ou seja, no
relacionadas diretamente a pacotes (como o caso do log). Nos eventos, podem
aparecer mensagens geradas por qualquer um dos trs grandes mdulos (filtro de
pacotes, conversor de endereos e autenticao/criptografia) e por qualquer outro
componente como por exemplo os proxies e os processos servidores encarregados
de tarefas especficas.
Basicamente, o tipo de informao mostrada varia desde mensagens teis para
acompanhar o funcionamento do sistema (uma mensagem gerada todas as vezes
que a mquina reinicializada e todas as vezes que algum estabelece uma sesso
com o Aker Web Gateway, etc) at mensagens provocadas por erros de
configurao ou de execuo.
O que um filtro de eventos?
Mesmo que o sistema tenha sido configurado para registrar todos os possveis
eventos, muitas vezes est interessado em alguma informao especfica (por
exemplo, suponha que queira ver todas as mensagens do dia de ontem). O filtro de
eventos um mecanismo oferecido pelo Aker Web Gateway para criar vises do
conjunto total de mensagens, possibilitando que obtenha as informaes desejadas
facilmente.
O filtro s permite a visualizao de informaes que tiverem sido registradas nos
eventos. Caso queira obter uma determinada informao deve-se inicialmente
configurar o sistema para registr-la e ento utilizar um filtro para visualiz-la.


122

Para ter acesso a janela de eventos deve-se:

Figura 81 Auditoria (Eventos)
Clicar no menu Auditoria do Aker Web Gateway que se deseja visualizar os
eventos;
Selecionar a opo Eventos.
A barra de ferramentas de Eventos
Todas as vezes que a opo Eventos selecionada, mostrada automaticamente a
barra de ferramentas de Eventos. Esta barra, que estar ao lado das outras barras,
poder ser arrastada e ficar flutuando acima das informaes dos Eventos. Ela tem
o seguinte formato:

Figura 82 Barra de ferramentas (Eventos)
Significado dos cones:
Abre a janela de filtragem do Aker Web Gateway.
Este cone somente ir aparecer quando o Aker Web Gateway estiver fazendo
uma procura nos Eventos. Ele permite interromper a busca do programa.
Exporta os Eventos para diversos formatos de arquivos.


123

Apaga os Eventos do Aker Web Gateway.
Permite fazer uma atualizao da tela de logs dentro de um determinado
perodo definido no campo seguinte.
Define o tempo que o Aker Web Gateway ir atualizar a janela com
informaes de log.
Percorre os Eventos para frente e para trs.
Expande as mensagens de Eventos, mostrando as mesmas com o
mximo de informao.
Ao clicar no cone de filtragem a seguinte janela ser mostrada:


124

A janela de filtro de eventos

Figura 83 Filtro de eventos
Na parte superior da janela, encontram-se os botes Salvar, Remover e Novo. O
boto Salvar permite que seja salvo os campos de um filtro de forma a facilitar sua
aplicao posterior e o boto excluir permite que seja excludo um filtro salvo no
mais desejado.
Para salvar um filtro de eventos, deve-se proceder da seguinte forma:
1. Preencher todos os seus campos da forma desejada;
2. Definir, no campo Filtros, o nome pelo qual ele ser referenciado;
3. Clicar no boto Salvar.
Para aplicar um filtro salvo, deve-se selecionar seu nome no campo Filtros e todos
os campos sero automaticamente preenchidos com os dados salvos.


125

Para excluir um filtro que no mais seja desejado, deve-se proceder da seguinte
forma:
1. Selecionar o filtro a ser removido, no campo Filtros;
2. Clicar no boto Excluir.
O filtro padro configurado para mostrar todos as mensagens do dia atual. Para
alterar a visualizao para outros dias, pode-se configurar a Data Inicial e a Data
Final para os dias desejados (a faixa de visualizao compreende os registros da
data inicial data final, inclusive).
Alm de especificar as datas possvel tambm determinar quais mensagens
devem ser mostradas. A opo Filtrar por permite escolher entre a listagem de
mensagens ou de prioridades.
Filtragem por mensagens
Ao selecionar filtragem por mensagens, ser mostrado na lista do lado esquerdo da
janela o nome de todos os mdulos que compem o Aker Web Gateway. Ao clicar
em um destes mdulos, ser mostrada na lista direita as diferentes mensagens
que podem ser geradas por ele.
Dica: Para selecionar todas as mensagens de um mdulo, deve-se clicar sobre a
caixa esquerda do nome do mdulo.
Filtragem por prioridade
Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for
prioridade associada a um determinado registro, mais importncia deve-se dar a ele.
Ao selecionar filtragem por prioridade, ser mostrado na lista do lado esquerdo da
janela o nome de todos os mdulos que compem o Aker Web Gateway. Ao clicar
em um destes mdulos, ser mostrada na lista direita as diferentes prioridades
das mensagens que podem ser geradas por ele.
Abaixo est a lista com todas as prioridades possveis, ordenada da mais importante
para a menos (caso tenha configurado o Aker Web Gateway para mandar uma
cpia dos eventos para o syslog, as prioridades com as quais as mensagens sero
geradas no syslog so as mesmas apresentadas abaixo):
Erro
Os registros que enquadrem nesta prioridade indicam algum tipo de erro de
configurao ou de operao do sistema (por exemplo, falta de memria).
Mensagens desta prioridade so raras e devem ser tratadas imediatamente.


126

Alerta
Os registros que se enquadrarem nesta prioridade indicam que algum tipo de
situao sria e no considerada normal ocorreu (por exemplo, uma falha na
validao de um usurio ao estabelecer uma sesso de administrao remota).
Aviso
Enquadram-se nesta prioridade registros que trazem informaes que so
consideradas importantes para o administrador do sistema, mas esto associadas a
uma situao normal (por exemplo, um administrador iniciou uma sesso remota de
administrao).
Informao
Os registros desta prioridade acrescentam informaes teis mas no to
importantes para a administrao do Aker Web Gateway (por exemplo, uma sesso
de administrao remota foi finalizada).
Depurao
Os registros desta prioridade no trazem nenhuma informao realmente
importante, exceto no caso de uma auditoria. Nesta prioridade encaixam as
mensagens geradas pelo mdulo de administrao remota todas as vezes que
feita uma alterao na configurao do Aker Web Gateway e uma mensagem
gerada todas as vezes que o Aker Web Gateway reinicializado.
Como ltima opo de filtragem, existe o campo Encontrar complemento para.
Este campo permite que seja especificado um texto que deve existir nos
complementos de todas as mensagens para que elas sejam mostradas. Desta
forma, possvel, por exemplo, visualizar todas as pginas WWW (WORLD WIDE
WEB) acessadas por um determinado usurio, bastando para isso que coloque seu
nome neste campo.
O boto OK aplicar o filtro escolhido e mostrar a janela de eventos, com as
informaes selecionadas;
O boto Cancelar far com que a operao de filtragem seja cancelada e a janela
de eventos ser mostrada com as informaes anteriores.


127

A janela de eventos

Figura 84 Eventos
A janela de eventos ser mostrada aps a aplicao de um filtro novo. Ela consiste
de uma lista com vrias mensagens. Normalmente, cada linha corresponde a uma
mensagem distinta, porm existem mensagens que podem ocupar 2 ou 3 linhas. O
formato das mensagens ser mostrado na prxima seo.

Observaes importantes:
As mensagens sero mostradas de 100 em 100;
S sero mostradas as primeiras 10.000 mensagens que so enquadradas no filtro
escolhido. As demais podem ser vistas exportando os eventos para um arquivo ou
utilizando um filtro que produza um nmero menor de mensagens;
No lado esquerdo de cada mensagem, ser mostrado um cone colorido
simbolizando sua prioridade. As cores tm o seguinte significado:


128

Azul Depurao
Verde Informao
Amarelo Notcia
Vermelho Advertncia
Preto Erro
Ao clicar com o boto esquerdo sobre uma mensagem, aparecer na parte inferior
da tela uma linha com informaes adicionais sobre ela.
Ao apagar todos os eventos, no existe nenhuma maneira de recuperar as
informaes anteriores. A nica possibilidade de recuperao a restaurao de
uma cpia de segurana.
O boto Salvar, localizado na barra de ferramentas, gravar todas as informaes
selecionadas pelo filtro atual em um arquivo em formato texto ou em formatos que
permitem sua importao pelos analisadores de log da Aker e da WebTrends
(R)
. Os
arquivos consistiro de vrias linhas de contedo igual ao mostrado na janela.
Se a opo Expande mensagens estiver marcada e se tiver escolhido a opo
de exportao em formato texto, os eventos sero exportados com as mensagens
complementares; caso contrrio, os eventos sero exportados sem elas.
Esta opo bastante til para enviar uma cpia do log para alguma outra pessoa,
para guardar uma cpia em formato texto de informaes importantes ou para
importar os eventos por um analisador de log citado acima. Ao ser clicado, ser
mostrada a seguinte janela:


129

Figura 85 Janela de exportao
Para exportar o contedo dos eventos, basta fornecer o nome do arquivo a ser
criado, escolher seu formato e clicar no boto Salvar. Para cancelar a operao,
clique em Cancelar.
Se j existir um arquivo com o nome informado ele ser apagado.
O boto Prximos 100, representado como uma seta para a direita na barra de
ferramentas, mostrar as ltimas 100 mensagens selecionadas pelo filtro. Se no
existirem mais mensagens, esta opo estar desabilitada;
O boto ltimos 100, representado como uma seta para a esquerda na barra de
ferramentas, mostrar as 100 mensagens anteriores. Se no existirem mensagens
anteriores, esta opo estar desabilitada;
O boto Ajuda mostrar a janela de ajuda especfica para a janela de eventos.
7.2. Formato e significado dos campos das mensagens de eventos
Abaixo segue a descrio do formato das mensagens, seguido de uma descrio de
cada um de seus campos. A listagem completa de todas as possveis mensagens e
seus significados se encontra no Apndice A.
Formato do registro:


130

<Data> <Hora> <Mensagem> [Complemento]
[Mensagem complementar 1]
[Mensagem complementar 2]
Descrio dos campos:
Data: Data em que o registro foi gerado.
Hora: Hora em que o registro foi gerado.
Mensagem: Mensagem textual que relata o acontecimento.
Complemento: Este campo traz informaes complementares e pode ou no
aparecer, dependendo da mensagem. Na Interface Texto, caso ele aparea, vir
entre parnteses.
Mensagem complementar 1 e 2: Estes complementos s existem no caso de
mensagens relacionadas conexes tratadas pelos proxies transparentes e no-
transparentes e so mostrados sempre na linha abaixo da mensagem a que se
referem. Nestas mensagens complementares, se encontram o endereo origem da
conexo e, no caso dos proxies transparentes, o endereo destino.
A Interface Texto para o acesso aos eventos tem funcionalidade similar da
Interface Remota. Todas as funes da Interface Remota esto disponveis, exceto
a opo de filtragem de mensagens e o fato de que atravs da Interface Texto no
tem acesso s informaes complementares que so mostradas quando
selecionada uma mensagem de eventos na Interface Remota ou quando se ativa a
opo Expande mensagens. E possvel usar todos os comandos sem o prefixo
FW, para isso execute o comando fwshell, ento todos os comando podero ser
acessados sem o prefixo FW).
O programa que faz a Interface Texto com os eventos o mesmo usado para a
interface com o log e foi mostrado tambm no captulo anterior.
Localizao do programa: /aker/bin/awg/fwlog
Sintaxe:
Aker Web Gateway
Uso: fwlog ajuda
fwlog apaga eventos [<data_inicio> <data_fim>]
fwlog mostra eventos [<data_inicio> <data_fim>] [prioridade]

fwlog - Interface texto para visualizar log e eventos
mostra = lista os registros do tipo especificado


131

apaga = apaga todos os registros do tipo especificado

Para mostra temos:
data_inicio = data a partir da qual os registros serao mostrados
data_fim = data ate onde mostrar os registros
(As datas devem estar no formato dd/mm/aaaa)
(Se nao forem informadas as datas, mostra os registros de
hoje)
prioridade = campo opcional. Se for informado deve ter um dos seguintes
valores: ERRO, ADVERTENCIA, NOTICIA, INFORMACAO ou
DEPURACAO
(Ao selecionar uma prioridade, somente serao listados
registros cuja prioridade for igual a informada)
Exemplo 1: (mostrando os eventos do dia 05/01/2007 ao dia 06/01/2007)
#log mostra eventos 05/01/2007 06/01/2007

06/01/2007 11:39:35 Sessao de administracao finalizada
06/01/2007 09:13:09 Sessao de administracao estabelecida (administrador, CF CL
GU)
06/01/2007 09:13:09 Pedido de conexao de administracao (10.4.1.14)
06/01/2007 09:09:49 Operacao sobre o arquivo de log (Compactar)
05/01/2007 10:27:11 Aker Web Gateway v1.5 - Inicializacao completa
05/01/2007 08:57:11 Tabela de converso UDP cheia
Exemplo 2: (mostrando os eventos do dia 05/01/2007 ao dia 06/01/2007, apenas
prioridade depurao)
#log mostra eventos 05/01/2007 06/01/2007 depuracao

06/01/2007 09:09:49 Operacao sobre o arquivo de log (Compactar)
05/01/2007 10:27:11 Aker Web Gateway v1.5 - Inicializacao completa
Exemplo 3: (removendo todo o contedo do arquivo de eventos)


132

#log apaga eventos 21/01/2007 23/01/2007

Remocao dos registros foi solicitada ao servidor


133

Utilizando o $erador de
Relat%rios


134

8. Utilizando o Gerador de Relatrios
Visando disponibilizar informaes a partir de dados presentes nos registros de log
e eventos, bem como apresentar uma viso sumarizada dos acontecimentos para a
gerncia do Web Gateway, foi desenvolvida mais esta ferramenta. Neste contexto
trataremos dos relatrios que nutriro as informaes gerenciais. Aker Web
Gateway ser referenciado neste manual como AWG.
Os relatrios so gerados nos formatos HTML, TXT ou PDF, publicados via FTP em
at trs sites distintos ou enviados atravs de e-mail para at trs destinatrios
distintos. Podem ser agendados das seguintes formas: "Dirio", "Semanal",
"Quinzenal", "Mensal", "Especfico" e tambm em tempo real de execuo.
8.1. Acessando Relatrios
Para ter acesso janela de Relatrios deve-se:

Figura 86 Auditoria (Relatrio)
Clicar no menu Auditoria da janela de administrao do Aker Web Gateway;
Selecionar o item Relatrio.


135

8.2. Configurando os Relatrios

Figura 87 Relatrio
Esta janela composta pelos tipos de agendamentos: "Dirio", "Semanal", "Mensal",
"Quinzenal", "Especfico" e em tempo real. Em todos ser necessrio escolher quais
sub-relatrios sero includos.
Para executar qualquer relatrio, deve-se clicar com o boto direito do mouse sobre
ele. Aparecer o seguinte menu: (este menu ser acionado sempre que for
pressionado o boto direito, mesmo que no exista nenhum relatrio selecionado.
Neste caso, somente as opo Inserir estar habilitada); inclusive podendo ser
executada a partir da barra de ferramentas.
Inserir: Esta opo permite incluir um novo relatrio.
Ao tentar inserir um novo relatrio constar trs abas:


136

Aba Geral
Nesta aba sero configurados os seguintes campos:

Figura 88 Configurao de relatrio aba Geral
Ttulo do Relatrio: Atribuir nome ao relatrio.
Agendamento: Definir hora que ser gerado o relatrio.
Formato do Relatrio: Define em qual formato ser gerado o relatrio. As
opes de formato so:
TXT: Ao selecionar esta opo gerado um arquivo chamado report.txt
que contm o relatrio;
HTML: Ao selecionar esta opo gerado um arquivo chamado
index.html que contm o relatrio;
PDF: Ao selecionar esta opo gerado um arquivo chamado report.pdf
que contm o relatrio.


137

Em ambos os casos, o navegador ser aberto automaticamente, exibindo o
contedo do arquivo correspondente ao relatrio.

Aba Sub-relatrio
Um sub-relatrio oferecido para que os nveis de detalhamento possam ser
evidenciados e a informao que compe o relatrio, seja mais objetiva.

Figura 89 Configurao de relatrio aba Sub-relatorio
Esta aba composta por duas colunas, onde ser necessrio indicar filtros para
ambas.
Na coluna de "Subrelatrio" dever ser includo qual tipo de subrelatrio e como
ser agrupado, por exemplo: "No agrupar", "Quota", "Usurio". Esta opo varia


138

conforme o tipo de subrelatrio selecionado. possvel definir relacionamentos com
lgica "E" ou "OU" e um limite para TOP.
Mtodos de Publicao
Mtodo FTP
Nesta aba, o usurio poder indicar at trs servidores para onde sero enviados os
relatrios via FTP.
Como utilizar:
Selecione o(s) servidor (es);
Digite o usurio;
Digite a senha de acesso;
Digite o caminho de destino do relatrio.


139

Figura 90 Configurao de relatrio aba Mtodo de Publicao (FTP)

Mtodo SMTP
Nesta aba o usurio poder indicar at trs destinatrios, para onde sero enviados
os relatrios atravs de e-mail.
Como utilizar:
Digite o endereo do remetente ("De");
Digite o endereo do destinatrio ("Para");


140

Digite o "Assunto";
Caso deseje possvel incluir uma mensagem, no campo "Mensagem".

Figura 91 Configurao de relatrio aba Mtodo de Publicao (SMTP)

Mtodo Tempo Real
Esta opo permite a gerao de relatrio em tempo real, ou seja, o administrador
do Web Gateway pode gerar relatrios no momento em que desejar. O produto
continuar funcionando normalmente. Quando o relatrio estiver pronto, salve-o em
um diretrio conforme desejado, logo em seguida ser exibido uma janela
mostrando o relatrio.


141

8.3. Lista dos relatrios disponveis
Abaixo segue os tipos de relatrios possveis de serem gerados:
1. Quantidade de acessos web por usurios do autenticador;
2. Quantidade de acessos web por grupos do autenticador;
3. Quantidade de acessos web por perfis de acesso;
4. Quantidade de acessos web por endereo IP origem;
5. Quantidade de acessos web por endereo IP destino;
6. Quantidade de acesso por pginas Web (domnio), com possibilidade de seleo
das N pginas mais acessadas;
7. Quantidade de acesso por pginas Web (domnio), com possibilidade de seleo
das N pginas mais acessadas por grupos do autenticador;
8. Quantidade de acesso, relacionando conjunto de usurios e respectivas pginas
web mais acessadas;
9. Quantidade de acessos bloqueados por usurios, com possibilidade de seleo dos
N usurios com maior nmero de requisies a pginas proibidas;
10. Quantidade de downloads realizados (HTTP e FTP), com possibilidade de seleo
dos N arquivos mais baixados;
11. Categoria dos sites;
12. Downloads;
13. Sites bloqueados;
14. Categorias bloqueadas;
15. Downloads bloqueados;
16. IPs web;
17. IPs web bloqueados;
18. Quota - consumo de bytes;
19. Quota - consumo de tempo;
20. MSN - durao do chat;
21. Contabilidade de trfego web - upload consumido;
22. Contabilidade de trfego web - download consumido;
23. Contabilidade de trfego web - tempo consumido;
24. Contabilidade de trfego de downloads - upload consumido;
25. Contabilidade de trfego de downloads - download consumido;
26. Contabilidade de trfego de downloads - tempo consumido;
27. Contabilidade de trfego de FTP - upload consumido;
28. Contabilidade de trfego de FTP - download consumido;
29. Usurios que acessaram um site;
30. Usurios que foram bloqueados tentando acessar um site.


142

&portao Agendada de
#entos


143

9. Exportao Agendada de Eventos
Este captulo mostrar como configurar a exportao automtica de Eventos. Aker
Web Gateway ser referenciado neste manual como AWG.

Os registros de Eventos so exportados nos formatos TXT ou CSV, publicados via
FTP em at trs sites distintos ou localmente em uma pasta do prprio Web
Gateway. Podem ser agendados das seguintes formas: "Dirio", "Semanal" e/ou
Mensal.
9.1. Acessando a Exportao Agendada
Para ter acesso janela de Exportao Agendada de Logs e Eventos deve-se:

Figura 92 Auditoria (Exportao agendada de eventos )
Clicar no menu Auditoria da janela de administrao do Aker Web Gateway;
Selecionar o item Exportao Agendada de Eventos.


144

9.2. Configurando a Exportao

Figura 93 Exportao agendada de eventos
Esta janela composta pelos tipos de agendamentos: "Dirio", "Semanal" e
"Mensal".
Para executar qualquer exportao, deve-se clicar com o boto direito do mouse
sobre ele. Aparecer o seguinte menu: (este menu ser acionado sempre que for
pressionado o boto direito, mesmo que no exista nenhum relatrio selecionado.
Neste caso, somente as opo Inserir estar habilitada); inclusive podendo ser
executada a partir da barra de ferramentas.
Inserir: Esta opo permite incluir um novo agendamento.
Ao tentar inserir um novo relatrio constar duas abas:


145

Aba Geral
Nesta aba sero configurados os seguintes campos:

Figura 94 Aba Geral
Ttulo: Atribuir nome a exportao.
Formato do Relatrio: Define em qual formato ser gerado o relatrio. As
opes de formato so:
TXT;
CSV.
Tipo: Define qual informao ser exportada:
Eventos.
Agendamento: Definir hora que ser realizada a exportao.


146

Aba Mtodo de Publicao
Tipo de publicao FTP
Nesta aba, o usurio poder indicar at trs servidores para onde sero enviados os
dados via FTP.
Como utilizar:
Selecione o(s) servidor (es);
Digite o usurio;
Digite a senha de acesso;
Digite o caminho de destino do relatrio

Figura 95 Aba Mtodo de Publicao (FTP)


147

Tipo de publicao Local
Nesta aba, o usurio poder indicar em qual pasta local do Aker Web Gateway
deseja salvar os dados exportados.

Figura 96


148

Configurando parmetros de
autenticao


149

10. Configurando parmetros de autenticao
Neste captulo sero mostrados quais so e como devem ser configurados os
parmetros de autenticao, essenciais para que seja possvel a autenticao de
usurios pelo Aker Web Gateway. Aker Web Gateway ser referenciado neste
manual como AWG.

O que so os parmetros de autenticao ?
Os parmetros de autenticao servem para informar ao Aker Web Gateway quais
as formas de autenticao que so permitidas, quais autenticadores devem ser
pesquisados na hora de autenticar um determinado usurio e em qual ordem. Alm
disso, eles controlam a forma com que a pesquisa feita, permitindo uma maior ou
menor flexibilidade para as autenticaes.

Figura 97 Configurao (Autenticao)
Clicar no menu Configurao da janela Aker Web Gateways;
Selecionar o item Autenticao.
Essa janela consiste de quatro partes distintas:
a primeira aba corresponde ao Controle de Acesso onde os usurios e grupos
de autenticadores so associados com perfis de acesso. A configurao desta
aba ser vista em detalhes em Perfis de Acesso de Usurios;
na segunda aba escolhe-se os Mtodos de Autenticao onde se determina os
parmetros relativos autenticao de usurios por meio de nomes/senhas e se


150

configuram os parmetros de autenticao por token (SecurID) e Autoridade
Certificadora (PKI);
a terceira aba configura-se a Autenticao para Proxies;
Na quarta e ltima aba configurado o Controle de Acesso por IP que tambm
ser visto com mais detalhes em Perfis de Acesso de Usurios.
O boto OK far com que a janela de configurao de parmetros seja fechada e as
alteraes feitas mantero a janela aberta
efetuadas no sejam aplicadas.
Para ter acesso a janela de parmetros de autenticao deve-se:
Aba Controle de Acesso

Figura 98 Aba Controle de Acesso

A janela de controle de acesso permite que seja criada a associao de
usurios/grupos com um perfil de acesso.
Na parte inferior da janela existe um campo chamado Perfil Padro onde possvel
selecionar o perfil que ser associado aos usurios, que no se enquadrem em
nenhuma regra de associao.


151

A ltima coluna, quando preenchida, especifica redes e mquinas onde a
associao vlida. Se o usurio se encaixar na regra, mas estiver em um
endereo IP fora das redes e mquinas cadastradas, ento a regra ser pulada,
permitindo a atribuio de outro perfil ao usurio. Esse tipo de restrio muito til
para permitir acesso reas sensveis da rede apenas de alguns locais fsicos com
segurana aumentada.
Para associar um usurio ou grupo com um determinado perfil de acesso, deve-se
proceder da seguinte maneira:
1. Clicar com o boto direito do mouse na lista de regras e selecionar a opo
Inserir;
2. Selecionar o autenticador do qual se deseja obter a lista de usurios ou grupos,
clicando-se com o boto direito no campo Autenticador;
3. Clicar com o boto direito sobre o campo Usurio/Grupo e selecionar entre
listagem de usurios ou grupos e sua lista ser montada automaticamente a
partir do autenticador selecionado. A partir da lista selecionar o usurio ou grupo
desejado.

Figura 99 Autenticao de acesso: Listagem de grupos ou usurios
4. Clicar com o boto direito sobre o campo Perfil para selecionar o perfil desejado,
conforme o menu abaixo:


152

Figura 100 Autenticao de acesso: Escolha do perfil desejado.
5. Caso queira, arraste algumas entidades mquina, rede ou conjuntos para o
campo entidades. Se o usurio estiver fora dessas entidades, a regra ser
pulada.
Para remover uma regra entre um usurio/grupo e um perfil, deve-se proceder da
seguinte maneira:
1. Clicar na regra a ser removida, na lista da janela;
2. Clicar no boto Apagar.
Para alterar a posio de uma regra dentro da lista, deve-se proceder da seguinte
forma:
1. Clicar na regra a ser movida de posio;
2. Arrastar para a posio desejada.
A ordem das associaes na lista de fundamental importncia. Quando um
usurio se autenticar, o Aker Web Gateway pesquisar a lista a partir do incio
procurando pelo nome desse usurio ou por um grupo de que ele faa parte. To
logo um desses seja encontrado, o perfil associado ao mesmo ser utilizado.


153

Aba Mtodos

Figura 101 Aba Mtodos

Usurio/ Senha
Habilita autenticao usurio/senha: Essa opo indica se o Aker Web Gateway
aceitar ou no autenticao de usurios por meio de nomes/senhas. Caso ela
esteja ativa, deve-se configurar os demais parmetros relativos a esse tipo de
autenticao:
Pesquisar todos autenticadores: Este parmetro indica se o Aker Web Gateway
deve tentar validar um usurio nos prximos autenticadores da lista no caso de um
autenticador retornar uma mensagem de senha invlida.
Se esta opo estiver marcada, o Aker Web Gateway percorre todos os
autenticadores da lista, um a um, at receber uma resposta de autenticao correta
ou at a lista terminar. Caso ela no esteja marcada, a pesquisa ser encerrada no
primeiro autenticador que retornar uma mensagem de autenticao correta ou de
senha invlida.
Esta opo s usada para respostas de senha invlida. Caso um autenticador
retorne uma resposta indicando que o usurio a ser validado no est cadastrado
na base de dados de sua mquina, o Aker Web Gateway continuar a pesquisa no
prximo autenticador da lista, independentemente do valor desta opo.


154

Pesquisar autenticador interno: Este parmetro indica se a base de usurios
locais do Aker Web Gateway - definida na pasta Autenticao Local - deve ser
consultada para validar a senha dos usurios. Se sim, tambm deve escolher no
combo box ao lado se essa base deve ser consultada antes ou depois dos demais
autenticadores.
Permitir domnios especificados pelo usurio: Este parmetro indica se o
usurio na hora de se autenticar pode informar ao Aker Web Gateway em qual
autenticador ele deseja ser validado.
Se esta opo estiver marcada, o usurio pode acrescentar juntamente ao seu
nome, um sufixo formado pelo smbolo / e um nome de autenticador, fazendo com
que a requisio de autenticao seja enviada diretamente para o autenticador
informado. Caso ela no esteja marcada, a autenticao ser feita na ordem dos
autenticadores configurada pelo administrador.
O uso desta opo no obriga o usurio a informar o nome do autenticador,
apenas permite que ele o faa, se desejar. Caso o usurio no informe, a
autenticao seguir na ordem normal.
Para ilustrar a especificao de domnio, pode-se tomar como base um sistema no
qual existam dois autenticadores configurados, chamados de Unix e Windows
Server. Neste sistema, se um usurio chamado administrador desejar se autenticar
na mquina Windows Server, ento ele dever entrar com o seguinte texto, quando
lhe for solicitado seu login ou username: administrador/Windows Server. Caso ele
no informe o sufixo, o Aker Web Gateway tentar autentic-lo inicialmente pela
mquina Unix e caso no exista nenhum usurio cadastrado com este nome ou a
opo Pesquisa em todos os autenticadores estiver marcada, ele ento tentar
autenticar pela mquina Windows Server.
O nome do autenticador informado pelo usurio deve estar obrigatoriamente na
lista de autenticadores a serem pesquisados.
Desabilita insero automtica de regras de IDS: Ao selecionar esse campo, as
regras utilizadas para identificar invases ao sistema no sero aplicadas de forma
automtica.
Autenticadores a pesquisar
Para incluir um autenticador na lista de autenticadores a serem consultados, deve-
se proceder da seguinte forma:
1. Clicar com o boto direito do mouse onde aparecer um menu suspenso (figura
abaixo) ou arrastando a entidade autenticador para o local indicado.


155

Figura 102 - Autenticao de acesso: Adicionar entidades
2. Seleciona-se o a opo Adicionar entidades e o autenticador a ser includo, na
lista mostrada direita.
Para remover um autenticador da lista de pesquisa, deve-se proceder da seguinte
forma:
1. Selecionar o autenticador a ser removido e apertar a tecla delete ou
2. Clicar no boto direito do mouse e selecionar no menu suspenso o item Apagar

Figura 103 - Autenticao de acesso: Remover entidades
Para mudar a ordem de pesquisa dos autenticadores, deve-se proceder da seguinte
forma:
1. Selecionar o autenticador a ser mudado de posio na ordem de pesquisa;
2. Clicar em um dos botes direita da lista: o boto com o desenho da seta para
cima far com que o autenticador selecionado suba uma posio na lista. O
boto com a seta para baixo far com que ele seja movido uma posio para
baixo na lista.


156

Dica: A adio ou remoo dos autenticadores pode ser feita diretamente com o
mouse, bastando clicar e arrastar os mesmos para a janela correspondente,
soltando em seguida.
Os autenticadores sero pesquisados na ordem que se encontram na lista, de
cima para baixo.

Token

Figura 104 Aba Token
Habilita autenticao por token: Essa opo indica se o Aker Web Gateway
aceitar ou no a autenticao de usurios por meio de tokens. Caso ela esteja
ativa, deve-se configurar o nome do autenticador token a ser consultado para validar
os dados recebidos.
Autenticador token a pesquisar: Este campo indica o autenticador token para o
qual os dados a serem validados sero repassados.


157

PKI

Figura 105 Aba PKI
Habilita autenticao PKI: Essa opo indica se o Aker Web Gateway aceitar ou
no a autenticao de usurios por meio de smart cards. Caso ela esteja ativa,
deve-se configurar as autoridades certificadoras nas quais o Aker Web Gateway
confia.
Autoridades Certificadoras Confiveis
Para incluir uma autoridade certificadora na lista de autoridades certificadoras
confiveis, deve-se proceder da seguinte forma:
1. Clicar com o boto direito do mouse e escolher a opo Incluir Entidades;
2. Selecionar a autoridade a ser includa;
3. Clique em Incluir;
4. Pode-se tambm clicar em uma autoridade certificadora e arrast-la para
posio desejada.
Para remover uma autoridade certificadora da lista de autoridades confiveis, deve-
se proceder da seguinte forma:
1. Selecionar a autoridade a ser removida e apertar a tecla delete ou


158

2. Clicar no boto direito do mouse sobre a entidade a ser removida e escolher a
opo Apagar

Aba Autenticao para proxies

Figura 106 Aba Autenticao para proxies
Estes parmetros indicam que tipos de autenticao sero aceitas nos proxies e em
que ordem sero validadas. Isso importante pois quando um usurio autenticado
atravs de um browser, por exemplo, no possvel que ele especifique se est
utilizando token ou usurio/senha. As opes possveis da configurao so:
Autenticador Token antes da autenticao usurio/senha;
Autenticao usurio/senha antes do autenticador token;
Somente autenticao por Token;
Somente autenticao usurio/senha.


159

Aba Autenticao Local

Figura Aba Autenticao Local
Nessa pasta possvel cadastrar uma srie de usurios e associar um grupo a cada
um deles. Se a opo de usar a base local de usurios estiver habilitada, ento
esses usurios tambm sero verificados como se estivessem em um autenticador
remoto. Eles compem o autenticador local.
Para incluir um usurio necessrio clicar com o boto da direita e escolher a
opo inserir, ou ento usar a barra de ferramentas e at mesmo o boto insert do
teclado.

Figura Menu para incluso de usurio

Para alterar o nome do usurio e seu nome completo, basta dar um duplo clique no
campo correspondente:


160

Figura 109 - Criar ou remover grupos

Para alterar a senha ou o grupo a que est associado o usurio, use o menu de
contexto sobre o item, clicando com o boto direito do mouse.

Figura 110 Autenticao (Alterao de senha ou grupo)

Para criar ou remover grupos, o procedimento o mesmo, mas na lista lateral
direita.


161

Aba Controle de Acesso por IP

Figura 111 Aba Controle de Acesso por IP
O Aker Web Gateway pode controlar os acessos por intermdio de endereos IP
conhecidos juntamente com perfis criados para este fim. Esta aba permite a
habilitao e a desabilitao individual das regras que configuram a autenticao
por IP, no sendo mais necessrio ter que remov-las para desabilit-las, podendo
ser habilitada ou desabilitada por meio da opo no menu suspenso ou por meio do
boto localizado na barra de tarefas.
necessrio escolher uma entidade rede ou uma entidade mquina, que definiro a
origem do trfego e associ-las ao perfil, de forma que o trfego originrio dessas
entidades no precisaro de autenticao por usurio.
O Acesso por IP estar habilitado sempre que houver pelo menos uma regra
habilitada nesta aba.


162

Aba NTLM

Figura 112 Aba NTLM
A janela acima tem a funo de configurar a integrao do Aker Web Gateway ao
Microsoft Active Directory (AD) e utilizar o login automaticamente, sem que seja
solicitada a digitao no browser.
Esta integrao realizada atravs do Kerberos, Winbind e Samba e o
comportamento deste autenticador ser idntico aos outros tipos de autenticaes
suportadas pelo Aker Web Gateway podendo listar os usurios e grupos para a
vinculao com os perfis de acesso.
Habilitar NTLM: ativando esta opo, uma entidade com o nome NTLM_Auth,
estar disponvel para a configurao na Aba Mtodos da janela de Autenticao.
Active directory:
Endereo IPv4: endereo IP do servidor com o Microsoft Active Directory;
Hostname: nome netbius do servidor com o Microsoft Active Directory, obtido
a partir do comando hostname executado neste servidor.


163

Autenticao
Usurio: usurio com privilgios de administrao do domnio para
integrao.
Senha: senha do usurio citado acima.
Status/Atualizar status: Informa o status da integrao e logs em caso de falhas.

Para o bom funcionamento da integrao o Web Gateway com o servidor com o
Microsoft Active Directory devem estar com a data e horas sincronizados atravs de
um servidor NTP.
Para que a integrao funcione o domnio configurado no Aker Web Gateway na
janela Configurao do Sistema, TCP/IP, aba DNS, deve ser o mesmo domnio do
Microsoft Active Directory.
Esta integrao est disponvel somente para o Filtro Web, em prximas verses
a integrao se estender para todas as funcionalidades do Aker Web Gateway.
Os usurios que no estiverem cadastrados no domnio do Microsoft Active
Directory a autenticao ser realizada atravs de um POP-UP no browser do
usurio que ser solicitada a cada 15 minutos. A janela que ser apresentada a
estes usurios:


164

Figura 113 Autenticao Java
A autenticao transparente est disponvel somente para o Filtro Web e Modo
PROXY ATIVO, em prximas verses a integrao se estender para todas as
funcionalidades do Aker Web Gateway.

A Interface Texto permite configurar qual o tipo de autenticao ser realizada e a
ordem de pesquisa dos autenticadores. (E possvel usar todos os comandos sem o
prefixo FW, para isso execute o comando fwshell, ento todos os comando
podero ser acessados sem o prefixo FW).
Localizao do programa: /aker/bin/awg/fwauth
Sintaxe:
Aker Web Gateway
fwauth - Configura parametros de autenticacao
Uso: fwauth [mostra | ajuda]
fwauth [habilita | desabilita] [usuario/senha | pki | token]
fwauth [inclui | remove] [ca | token | autenticador] <entidade>


165

fwauth [dominio | pesquisa_todos] [sim | nao]
fwauth local [primeiro | ultimo | nao]
fwauth proxy [token | senha] [sim | nao]
fwauth proxy primeiro [token | senha]

mostra = mostra a configuracao atual
habilita = habilita a autenticacao
desabilita = desabilita a autenticacao
inclui = inclui entidade na lista de autenticadores ativos
remove = remove entidade da lista de autenticadores ativos
dominio = configura se o usuario pode ou nao especificar dominio
local = indica se o autenticador local deve ser consultado antes
dos demais autenticadores (primeiro), depois de todos
(ultimo) ou se nao deve ser utilizado (nao)
pesquisa_todos = configura se deve pesquisar em todos os autenticadores
proxy senha = habilita autenticacao por proxies do tipo usuario/senha
proxy token = habilita autenticacao por proxies do tipo Token
proxy primeiro = configura qual tipo de autenticacao sera usada primeiro
Exemplo 1: (mostrando os parmetros de autenticao)
#auth mostra
AUTENTICACAO USUARIO/SENHA
---------------------------
Pesquisa em todos autenticadores: nao
Usuario pode especificar dominio: nao
Autenticador local: primeiro
Nao ha autenticadores cadastrados


166

AUTENTICACAO PKI
-----------------
AUTENTICACAO TOKEN
-----------------------
Exemplo 2: (incluindo um autenticador na lista de autenticadores ativos)
#auth inclui autenticador "agente 10.0.0.12"
Autenticador incluido


167

'erfil de Acesso de Usurios


168

11. Perfil de Acesso de Usurios
Neste captulo mostraremos para que servem e como configurar perfis de acesso no
Aker Web Gateway.

O que so perfis de acesso?
O Aker Web Gateway baseia a sua proteo e o seu controle de acesso a partir de
mquinas, atravs de seus endereos IP. O AWG alm desse tipo de controle
permite tambm o controle de acesso por usurios. Desta forma, possvel que
determinados usurios tenham seus privilgios e restries garantidos,
independentemente de qual mquina estejam utilizando em um determinado
momento. Isso oferece o mximo em flexibilidade e segurana.
Para possibilitar este controle de acesso a nvel de usurios, o Aker Web Gateway
introduziu o conceito de perfis de acesso. Perfis de acesso representam os direitos
a serem atribudos a um determinado usurio no Aker Web Gateway. Estes direitos
de acesso englobam todos os servios suportados pelo Aker Web Gateway, o
controle de pginas WWW (WORLD WIDE WEB) e o controle de acesso atravs do
proxy SOCKS. Desta forma, a partir de um nico local, consegue definir exatamente
o que pode e no pode ser acessado.
Como funciona o controle com perfis de acesso?
Para utilizar os perfis de acesso, inicialmente cadastra-se os perfis desejados e
posteriormente associa-se estes perfis com usurios e grupos de um ou mais
autenticadores. A partir deste momento, todas as vezes que um usurio se logar no
Aker Web Gateway com o Aker Client ou outro produto que oferea funcionalidade
equivalente, o Aker Web Gateway identificar o perfil de acesso correspondente a
este usurio e configurar as permisses de acesso de acordo com este perfil. Tudo
feito de forma completamente transparente para o usurio final.
Para que seja possvel o uso de perfis de acesso necessrio que o Cliente de
Autenticao ou o Cliente de Criptografia Aker estejam instalados em todas as
mquinas clientes ou que se use a opo de autenticao por Java no proxy HTTP.
Caso contrrio, s ser possvel a utilizao de controle de acesso a pginas WWW
(WORLD WIDE WEB) ou a servios atravs do proxy SOCKS. A autenticao de
usurios atravs dos proxies WWW (WORLD WIDE WEB) (sem Java) e SOCKS
possvel na medida em que eles solicitaro um nome de usurio e uma senha e
pesquisaro o perfil correspondente quando no identificarem uma sesso ativa
para uma determinada mquina.


169

11.2. Cadastrando perfis de acesso
Os perfis de acesso do Aker Web Gateway definem quais pginas WWW (WORLD
WIDE WEB) podem ser visualizadas e quais tipos de servio podem ser acessados.
Para cada pgina WWW ou servio, existe uma tabela de horrios associada,
atravs da qual possvel definir os horrios nos quais o servio ou pgina podem
ser acessados.
Para ter acesso janela de perfis de acesso deve-se:

Figura 114 Configurao (Perfis)
Clicar no menu Configurao da janela de administrao do Aker Web Gateway;
Selecionar o item Perfis.


170

A janela de Perfis

Figura 115 Perfis
A janela de perfis contm todos os perfis de acesso definidos no Aker Web
Gateway. Ela consiste de uma lista onde cada perfil mostrado em uma linha
separada.
O boto OK far com que a janela de perfis seja fechada;
O boto Aplicar enviar para o Aker Web Gateway todas as alteraes feitas
porm manter a janela aberta.
Para executar qualquer operao sobre um determinado perfil, deve-se clicar sobre
ele e a seguir clicar na opo correspondente na barra de ferramentas. As
seguintes opes esto disponveis:


171

Figura 116 Opes de configurao de perfil
Inserir perfil filho: Incluir um novo perfil que filho do perfil atual, i.e.,
estabelece uma hierarquia de perfis;
Inserir: Permitir a incluso de um novo perfil na lista;
Copiar: Copiar o perfil selecionado para uma rea temporria;
Colar: Copiar o perfil da rea temporria para a lista;
Excluir: Remover da lista o perfil selecionado.
Todas as opes mostradas acima podem ser executadas a partir da barra de
ferramentas, bem como a opo de relatrio dos Perfis, todos localizados logo
acima da lista. Neste caso, primeiro seleciona-se os itens para relatrio, e em
seguida indica o caminho e clique no boto Gerar.
Relatrio dos perfis: Gera relatrio da lista de perfis em um documento HTML.
Para excluir um perfil de acesso, ele no poder estar associado a nenhum
usurio (para maiores informaes veja o tpico Associando Usurios com Perfis
de Acesso.
O perfil filho, criado com a opo Inserir perfil filho herdar automaticamente as
configuraes do perfil pai.
Na parte superior de ambas as pastas, se encontra o campo Nome do Perfil, que
serve para especificar o nome que identificar unicamente o perfil de acesso. Este
nome ser mostrado na lista de perfis e na janela de controle de acesso. No
podem existir dois perfis com o mesmo nome.
Cada perfil de acesso composto de sete tpicos diferentes. Dependendo do tpico
selecionado em um momento, a parte direita da janela mudar de modo a mostrar
as diferentes opes. Os tpicos de configurao so:


172

Geral

Figura 117 Perfis (Geral)
As opes gerais de filtragem so definidas pelos seguintes campos:
Prioridade das Regras: Permite definir a prioridade entre as regras do perfil e as
regras de seus perfis filhos.
Configura a prioridade para as regras dos perfis filhos: Se esta opo
estiver marcada, as regras dos perfis filhos iro aparecer acima das regras
dos perfis pais, isto , elas tero prioridade sobre as regras do pai. Caso
contrrio, as regras do perfil pai tero prioridade sobre as regras dos seus


173

perfis filhos. Ou seja, nos perfis filhos, as regras herdadas do pai iro
aparecer acima de suas regras.
Isso se aplica s Regras de FTP, GOPHER, HTTP/HTTPS e MSN
Messenger.
Horrio padro: Esta tabela define o horrio padro para as regras de filtragem
WWW (WORLD WIDE WEB). Posteriormente, ao incluir as regras de filtragem
WWW, existe uma opo para utilizar este horrio padro ou especificar um horrio
diferente.
As linhas representam os dias da semana e as colunas as horas. Caso queria que a
regra seja aplicvel em determinada hora ento o quadrado deve ser preenchido,
caso contrrio o quadrado deve ser deixado em branco. Para facilitar sua
configurao, pode-se clicar com o boto esquerdo do mouse sobre um quadrado e
a seguir arrast-lo, mantendo o boto pressionado. Isto faz com que o a tabela seja
alterada na medida em que o mouse se move.

FTP/GOPHER

Figura 118 Perfis (FTP/GOPHER)
A pasta de filtragem FTP/GOPHER permite a definio de regras de filtragem de
URLs para os protocolos FTP e Gopher. Ela consiste de uma lista onde cada regra
mostrada em uma linha separada.


174

Na parte inferior da pasta existe um grupo que define a ao a ser executada caso o
endereo que o cliente desejou acessar no se encaixe em nenhuma regra de
filtragem. Este grupo chamado de Ao padro para o protocolo e consiste de
trs opes.
Permitir: Se esta opo for a selecionada, ento o Aker Web Gateway aceitar as
URLs que no se enquadrarem em nenhuma regra.
Bloquear: Se esta opo for a selecionada, ento o Aker Web Gateway rejeitar as
Para executar qualquer operao sobre uma determinada regra, basta clicar sobre
ela e a seguir clicar na opo correspondente na barra de ferramentas. As seguintes
opes esto disponveis:

Figura 119 Menu de opes (Perfis)

Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova ser inserida na posio da regra selecionada. Caso
contrrio, a nova regra ser includa no final da lista.
Excluir: Remover da lista a regra selecionada.
Copiar: Copiar a regra selecionada para uma rea temporria.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver
selecionada, a nova ser copiada para a posio da regra selecionada. Caso
contrrio ela ser copiada para o final da lista.
Dica: A posio de cada regra pode ser alterada, bastando clicar e arrastar a
mesma para a nova posio desejada, soltando em seguida. Observe que o cursor
de indicao do mouse ir mudar para uma mo segurando um basto.
A ordem das regras na lista de regras de filtragem WWW (WORLD WIDE WEB)
de fundamental importncia. Ao receber uma solicitao de acesso a um endereo,
o Aker Web Gateway pesquisar a lista a partir do incio, procurando por uma regra
na qual o endereo se encaixe. To logo uma seja encontrada, a ao associada a
ela ser executada.
Cada regra de filtragem consiste de uma operao, que indica que tipo de pesquisa
ser feita e, o texto a ser pesquisado. As seguintes opes de operao esto
disponveis:
CONTM: A URL deve conter o texto informado em qualquer posio.


175

NO CONTM: A URL no pode conter o texto informado.
: O contedo da URL deve ser exatamente igual ao texto informado.
NO : O contedo da URL deve ser diferente do texto informado.
COMEA COM: O contedo da URL deve comear com o texto informado.
NO COMEA COM: O contedo da URL no pode comear com o texto
informado.
TERMINA COM: O contedo da URL deve terminar com o texto informado.
NO TERMINA COM: O contedo da URL no pode terminar com o texto
informado.
Expresso Regular: O campo a ser pesquisado dever ser uma expresso
regular.
TUDO: Aceitara todo contedo da URL

Seguem as definies dos campos da janela:
N: Nmero da regra de filtragem.
Limite da busca: Esse campo permite escolher em qual parte da URL ser feito a
busca, sendo que os parmetros a serem pesquisados foram definidos no campo
padres de texto.
Padres de Textos: Ao clicar com o boto direito do mouse nesse campo, permite
selecionar uma entidade lista de padres criada anteriormente. Com isso, ser
possvel associar a regra uma entidade padro de pesquisa, permitindo definir
qual ser a string ou os parmetros que sero pesquisados na URL acessada e qual
operao a ser efetuada.
Ao: Define a ao a ser executada caso o endereo que o usurio desejou
acessar no se encaixe em nenhuma regra de filtragem. Consiste em duas opes.
Categorias: Nesse campo, permite associar alguma entidade categoria regra que
est sendo criada.
Canal: Usado nas regras de filtragem com o objetivo de limitar a banda de
determinados servios, mquinas, redes e/ou usurios.
Quota: As Quotas so utilizadas para controlar e racionalizar o tempo gastos pelos
funcionrios, com acesso sites da WEB. Assim as quotas so os limites em
termos de tempo de acesso e volume de dados, por usurio. Nessa opo permite
associar ao usurio alguma entidade quota criada.


176

Tempo: Perodo em que a regra aplicada. Dia da semana e horrio. Exemplo:
Permite definir que nas segundas-feiras e nas quartas-feiras o usurio ter acesso a
Internet somente das 12:00 s 14:00.
Perodo de validade: Perodo de validade e aplicao da regra. definido em ms
e ano.


177

HTTP/HTTPS Aba Geral

Figura 120 HTTP/HTTPS

Bloquear: Este campo define as opes de bloqueio em sites WWW (WORLD
WIDE WEB). So elas:
URLs com endereo IP: Se esta opo estiver marcada, no ser permitido o
acesso a URLs com endereos IP ao invs de nome (por exemplo,
http://127.0.0.1/index.html), ou seja, somente ser possvel se acessar URLs por
nomes.
Caso tenha configurado o proxy WWW (WORLD WIDE WEB) para fazer filtragem
de URLs, deve-se configurar esta opo de modo que o usurio no possa acessar
atravs de endereos IP, caso contrrio, mesmo com o nome bloqueado, o usurio
continuar podendo acessar a URL atravs de seu endereo IP. possvel
acrescentar endereos IP nas regras de filtragem WWW (WORLD WIDE WEB) do


178

perfil (caso queria realizar filtragem com esta opo ativa), entretanto, devido a
estes sofrerem mudanas e ao fato de muitos servidores terem mais de um
endereo IP, isto se torna extremamente difcil.
Por outro lado, muitos administradores percebem que sites mal configurados
(especialmente os de webmail) utilizam redirecionamento para servidores pelo seu
endereo IP, de forma que, com esta opo desmarcada, tais sites ficam
inacessveis.
Java, Javascript e Activex: Este campo permite definir uma filtragem especial
para pginas WWW, bloqueando, ou no, tecnologias consideradas perigosas ou
incmodas para alguns ambientes. Ela possui quatro opes que podem ser
selecionadas independentemente: Javascript, Java e ActiveX.
A filtragem de Javascript, Java e ActiveX feita de forma com que a pgina
filtrada seja visualizada como se o browser da mquina cliente no tivesse suporte
para a(s) linguagem(ns) filtrada(s). Em alguns casos, isto pode fazer com que as
pginas percam sua funcionalidade.
Banners: Esta opo realiza o bloqueio de banners publicitrios em pginas
Web. Caso ela esteja marcada, o Aker Web Gateway substituir os banners por
espaos vazios na pgina, diminuindo o seu tempo de carga.
Uma vez configurado que se deve realizar o bloqueio, o mesmo ser feito atravs
de regras globais, iguais para todos os perfis. Para configurar estas regras de
bloqueio de banners, basta:

Figura 121 Aplicao (Bloqueio de banners)
Clicar no menu Aplicao da janela principal
Selecionar o item Bloqueio de banners
A janela abaixo ir ser mostrada:


179

Esta janela formada por uma srie de regras no formato de expresso regular.
Caso uma URL se encaixe em qualquer regra, a mesma ser considerada um
banner e ser bloqueada.
URL Bloqueada:
Permitir a configurao de qual ao deve ser executada pelo Web Gateway
quando um usurio tentar acessar uma URL no permitida. Ela consiste das
seguintes: opes:
Mostra mensagem padro ao bloquear URL: Ao selecionar essa opo, o
Web Gateway mostrar uma mensagem de erro informando que a URL que
se tentou acessar se encontra bloqueada.
Redireciona URL bloqueada: Ao selecionar essa opo, o Web Gateway
redirecionar todas as tentativas de acesso a URLs bloqueadas para uma
URL especificada pelo administrador. Nesse caso, deve-se especificar a URL
para quais os acessos bloqueados sero redirecionados (sem o prefixo
http://) no campo abaixo.
Mostrar: Essa opo permite definir a pgina que ser mostrada ao usurio,
quando a tentativa de acesso a uma URL for bloqueada. Ento pode-se optar
em mostrar a pgina padro ou redirecionar para a pgina escolhida, que
ser personalizada de acordo com os chekboxes selecionados. Segue abaixo
a descrio de cada opo e o detalhamento das variveis criadas.
Cada um checkbox selecionado, um parmetro. Isso utilizado para
identificar aonde e porque a pgina foi bloqueada, por exemplo, se a pgina
foi bloqueada porque caiu em alguma categoria, passar por parmetro qual a
categoria que causou o bloqueio da pgina.
Domnio: Ao selecionar essa opo ser mostrada o domnio da URL.
Exemplo: Na url www.aker.com.br, o seu domnio seria aker.com.br.
Ao selecionar o domnio, criada a varivel domain.
Mtodo: Informa qual o mtodo utilizado pelo protocolo HTTP. Ex: GET, PUT,
POST. Ao selecionar o Mtodo criada a varivel method.
Nome do Perfil: Nome dado, pelo usurio, ao perfil escolhido. Ao selecionar
essa opo criada a varivel perfil.
Ip do usurio: Endereo IP do usurio que tentou acessar a URL que foi
bloqueada. Ao selecionar o Mtodo criada a varivel ip.
Razes: Ao selecionar a Razo criada a varivel reason. Ao habilitar essa
opo ser mostrada a razo do bloqueio do site. Por exemplo, temos as
seguintes razes:


180

"categoria da URL",
"regra de bloqueio",
"quota bytes excedidos",
"quota bytes insuficientes",
"quota tempo excedido",
"tipo de objeto nao permitido",
"tipo de arquivo nao permitido globalmente",
"tipo de arquivo nao permitido no perfil",
"connect para a porta especificada nao permitido"

Nome da Categoria: Nome da Categoria que a URL foi associada. Ao
selecionar a Categoria criada a varivel cats.
Nome do Usurio: Nome do usurio que tentou acessar a URL. Ao
selecionar o nome do usurio criada a varivel user.
Nmero da regra: Nmero da Regra de Filtragem que a URL se enquadrou.
Ao selecionar o nmero da regra criada a varivel rule.
Site da URL bloqueado: Mostra a URL que o usurio tentou acessar e foi
bloqueada. Ao selecionar o Site da URL bloqueado criada a varivel url.
No preview, aparece como ser a URL e o que ser enviado via mtodo
GET.


181

HTTP/HTPS Aba Filtro de URL

Figura 123 Aba Filtro de Url
A pasta de filtragem HTTP/HTTPS permite a definio de regras de filtragem de
URLs para os protocolos HTTP e HTTPS. Ela consiste de uma lista onde cada regra
mostrada em uma linha separada.
O protocolo HTTPS, para a URL inicial filtrado como se fosse o protocolo
HTTP. Alm disso, uma vez estabelecida a comunicao no mais possvel para o
Aker Web Gateway filtrar qualquer parte de seu contedo, j que a criptografia
realizada diretamente entre o cliente e o servidor.
Na parte inferior da pasta existe um grupo que define a ao a ser executada caso o
endereo que o cliente desejou acessar no se encaixe em nenhuma regra de
filtragem. Este grupo chamado de Ao padro para o protocolo e consiste de
trs opes.
Para executar qualquer operao sobre uma determinada regra, basta clicar sobre
ela e a seguir clicar na opo correspondente na barra de ferramentas. As seguintes
opes esto disponveis:


182

Figura 124 Menu de opes (Filtro de Url)
Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova ser inserida na posio da regra selecionada. Caso
contrrio, a nova regra ser includa no final da lista.
Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver
selecionada, a nova ser copiada para a posio da regra selecionada. Caso
contrrio ela ser copiada para o final da lista.
Dica: A posio de cada regra pode ser alterada, bastando clicar e arrastar a
mesma para a nova posio desejada, soltando em seguida. Observe que o cursor
de indicao do mouse ir mudar para uma mo segurando um basto.
A ordem das regras na lista de regras de filtragem WWW de fundamental
importncia. Ao receber uma solicitao de acesso a um endereo, o Aker Web
Gateway pesquisar a lista a partir do incio, procurando por uma regra na qual o
endereo se encaixe. To logo uma seja encontrada, a ao associada a ela ser
executada.
Cada regra de filtragem consiste de uma operao, que indica que tipo de pesquisa
ser feita e, o texto a ser pesquisado. As seguintes opes de operao esto
disponveis:
CONTM: A URL deve conter o texto informado em qualquer posio.
NO CONTM: A URL no pode conter o texto informado.
: O contedo da URL deve ser exatamente igual ao texto informado.
NO : O contedo da URL deve ser diferente do texto informado.
COMEA COM: O contedo da URL deve comear com o texto informado.
NO COMEA COM: O contedo da URL no pode comear com o texto
informado.
TERMINA COM: O contedo da URL deve terminar com o texto informado.
NO TERMINA COM: O contedo da URL no pode terminar com o texto
informado.
Expresso Regular: O campo a ser pesquisado dever ser uma expresso
regular.
TUDO: Aceitara todo contedo da URL


183

Seguem as definies dos campos da janela:
N: Nmero da regra de filtragem.
Limite da busca: Esse campo permite escolher em qual parte da URL ser feito a
busca, sendo que os parmetros a serem pesquisados foram definidos no campo
padres de texto.
Padres de Textos: Ao clicar com o boto direito do mouse nesse campo, permite
selecionar uma entidade lista de padres criada anteriormente. Com isso, ser
possvel associar a regra uma entidade padro de pesquisa, permitindo definir
qual ser a string ou os parmetros que sero pesquisados na URL acessada e qual
operao a ser efetuada.
Ao: Define a ao a ser executada caso o endereo que o usurio desejou
Categorias: Nesse campo, permite associar alguma entidade categoria regra que
est sendo criada.
Canal: Usado nas regras de filtragem com o objetivo de limitar a banda de
determinados servios, mquinas, redes e/ou usurios.
Quota: As Quotas so utilizadas para controlar e racionalizar o tempo gastos pelos
Tempo: Perodo em que a regra aplicada. Dia da semana e horrio. Exemplo:
Permite definir que nas segundas-feiras e nas quartas-feiras o usurio ter acesso a
Internet somente das 12:00 s 14:00.
Perodo de validade: Perodo de validade e aplicao da regra. definido em ms
e ano.


184

Aba Arquivos Bloqueados

Figura 125 Aba Arquivos Bloqueados

Especificar os arquivos que sero bloqueados pelo perfil juntamente com o Filtro
Web.
possvel utilizar dois critrios complementares para decidir se um arquivo
transferido deve ser bloqueado: a extenso do arquivo ou seu tipo MIME. Se um
destes critrios for atendido, em outras palavras, se a extenso do arquivo estiver
entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre
aqueles a serem bloqueados, ento o arquivo dever ser bloqueado pelo Web
Gateway.
O tipo MIME usado para indicar o tipo de dado que est no corpo de uma resposta
em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo
e o segundo indica o subtipo. O navegador usa esta informao para decidir como
mostrar a informao que ele recebeu do mesmo modo como o sistema operacional
usa a extenso do nome do arquivo.


185

Sites Excludos:
Deve-se escolher a operao e o texto a ser includo para anlise. Sites que se
enquadrarem na lista de excludos no sero analisados.
Opes de operao:

Figura 126 Opes de operao
URL Bloqueada:
Permitir a configurao de qual ao deve ser executada pelo Web Gateway
quando um usurio tentar acessar uma URL no permitida. Ela consiste das
seguintes: opes:
Web Gateway mostrar uma mensagem de erro informando que a URL que
se tentou acessar se encontra bloqueada.
Redireciona URL bloqueada: Ao selecionar essa opo, o Web Gateway
redirecionar todas as tentativas de acesso a URLs bloqueadas para uma
URL especificada pelo administrador. Nesse caso, deve-se especificar a URL
para quais os acessos bloqueados sero redirecionados (sem o prefixo
http://) no campo abaixo.


186

ser personalizada de acordo com os chekboxs selecionados. Segue abaixo
Cada um desses checkbox selecionado, um parmetro. Isso utilizado para
seguintes razes:

"categoria da URL",



187

GET.
MSN Messenger

Figura 127 MSM Messenger (Perfis)
Essa pasta permite configurar as opes de uso do MSN Messenger e seus
servios. Para mais informaes, veja o captulo Configurando o Proxy MSN. As
Permite Messenger: Se esta opo estiver desmarcada, os usurios que
pertencerem a este perfil no podero acessar o Messenger, mesmo que exista
uma regra de filtragem permitindo este acesso.
fundamental que o tipo mime do Messenger esteja bloqueado no proxy HTTP,
caso contrrio poder ser possvel acessar o Messenger atravs deste servio. Esta
opo de bloqueio j vem configurada como padro, mas importante atentar a isso
caso se realize configuraes no proxy HTTP.
No Filtrado: Esta opo s estar disponvel caso a caixa Permite Messenger
esteja ativa. Ela indica que o usurio poder usar MSN Messenger, sem nenhum
tipo de filtragem (ex: tempo de conversao, etc.).
Filtrado: Esta opo s estar disponvel caso a caixa Permite Messenger esteja
ativa. Ela indica que o usurio poder usar o MSN Messenger, porm de forma
controlada, ou seja, definida atravs das regras de filtragem para este servio.


188

Permite notificaes do Hotmail: Esta opo (que s estar ativa caso o acesso
filtrado ao MSN Messenger tenha sido selecionado) permite que o usurio receba
notificaes de mensagens disponveis no Hotmail.
Incluir conversas nos registros de log: Esta opo registrar todas as conversas
entre os usurios.
Bloquear verso: Estas opes permitem que sejam bloqueadas as verses
especficas do cliente MSN Messenger.
Caso tenha selecionado a opo de acesso controlado ao Messenger, necessrio
criar uma ou mais regras para definir que tipo de acesso ser permitido. Para
executar qualquer operao sobre uma regra, basta clicar sobre ela com o boto
direito e a seguir escolher a opo desejada no menu que ir aparecer. As

Figura 128 Menu de opes (MSN Messenger)
Inserir: Permitir a incluso de uma nova regra na lista.
Colar: Copiar a regra da rea temporria para a lista.
Desabilitar: Ativar ou desativar a regra selecionada na lista.
Cada regra MSN consiste das seguintes opes:
Origem: Endereo de e-mail do usurio que enviou a mensagem, ou seja que
iniciou a conversa.
Destino: Nesta coluna pode-se controlar com quem os usurios internos iro
conversar, para isso deve-se inserir uma ou mais entidades do tipo Lista de e-mails
(para maiores informaes veja o captulo (Cadastrando entidades), contendo a
lista de e-mails ou domnios liberados.
Tipos de Arquivos Permitidos: Nesta coluna pode-se definir que tipos de arquivos
podem ser enviados/recebidos atravs do Messenger. Para isso deve-se inserir uma
ou mais entidades do tipo Lista de Tipo de Arquivo (para maiores informaes veja o
captulo Cadastrando entidades), contendo a lista de tipos de arquivos permitidos.
Servios Permitidos: Nesta coluna pode-se especificar quais servios adicionais
podem ser utilizados atravs do Messenger. A definio dos tipos de servios


189

possveis feita dentro da configurao do proxy MSN. Para maiores informaes
veja o captulo Configurando o proxy MSN.
Log: Se estiver marcado, informao sobre as conversas de todos os usurios
sero registradas. Os seguintes dados estaro disponveis no log: logon/logoff de
usurio, transferncia de arquivos, utilizao de servio adicional e incio e fim de
conversa.

Pastas compartilhadas: Nesta opo opta por permitir ou no que o usurio
compartilhe pastas no MSN.
Tabela de Horrios: Horrio em que o usurio poder utilizar o servio Messenger,
dividido nas 24 horas do dia. Caso seja desejado possvel copiar o horrio padro
do perfil de acesso, clicando-se com o boto direito sobre a tabela de horrios e
selecionando-se a opo Usar tabela de horrio padro do perfil.
Ao: Define a ao a ser executado caso o endereo que o usurio desejou
Permitir: Se esta opo for a selecionada, ento o Web Gateway aceitar as URLs
que no se enquadrarem em nenhuma regra.
Bloquear: Se esta opo for a selecionada, ento o Web Gateway rejeitar as URLs
que no se enquadrarem em nenhuma regra.
Quota: As Quotas so utilizadas para controlar e racionalizar o tempo gasto pelos


190

11.3. Associando Usurios com Perfis de Acesso
Uma vez que os perfis de acesso esto criados, torna-se necessrio associ-los a
usurios e grupos de um ou mais autenticadores ou autoridades certificadoras do
Aker Web Gateway. Isto feito atravs da janela de controle de acesso.
Para ter acesso a janela de controle de acesso deve-se:

Figura 129 Configuraes (Autenticao)
Clicar no menu Configuraes da janela principal
Selecionar o item Autenticao
Selecionar a pasta Controle de Acesso


191

Aba Controle de Acesso

Figura 130 Autenticao
A janela de controle de acesso permite que seja criada a associao de
usurios/grupos com um perfil de acesso.
Na parte inferior da janela existe um campo chamado Perfil Padro onde possvel
selecionar o perfil que ser associado aos usurios, que no se enquadrem em
nenhuma regra de associao.
A ltima coluna, quando preenchida, especifica redes e mquinas onde a
associao vlida. Se o usurio se encaixar na regra, mas estiver em um
endereo IP fora das redes e mquinas cadastradas, ento a regra ser pulada,
permitindo a atribuio de outro perfil ao usurio. Esse tipo de restrio muito til
para permitir acesso reas sensveis da rede apenas de alguns locais fsicos com
segurana aumentada.
Para associar um usurio ou grupo com um determinado perfil de acesso, deve-se
proceder da seguinte maneira:
1. Clicar com o boto direito do mouse na lista de regras e selecionar a opo
Inserir.
2. Selecionar o autenticador do qual se deseja obter a lista de usurios ou grupos,
clicando-se com o boto direito no campo Autenticador. Para maiores


192

informaes sobre os autenticadores, veja o captulo intitulado Configurando
parmetros de autenticao.
3. Clicar com o boto direito sobre o campo Usurio/Grupo e selecionar entre
listagem de usurios ou grupos e sua lista ser montada automaticamente a
partir do autenticador selecionado. A partir da lista selecionar o usurio ou grupo
desejado.

Figura 131 Escolha de usurio

4. Clicar com o boto direito sobre o campo Perfil para selecionar o perfil desejado,
conforme o menu abaixo:

Figura 132 Menu de opes


193

5. Caso deseje, arraste algumas entidades mquina, rede ou conjuntos para o
campo entidades. Se o usurio estiver fora dessas entidades, a regra ser
pulada.
Para remover uma regra entre um usurio/grupo e um perfil, deve-se proceder
da seguinte maneira:
1. Clicar na regra a ser removida, na lista da janela.
2. Clicar no boto Apagar.
Para alterar a posio de uma regra dentro da lista, deve-se proceder da seguinte
forma:
1. Clicar na regra a ser movida de posio.
2. Arrastar para a posio desejada.
A ordem das associaes na lista de fundamental importncia. Quando um
usurio se autenticar, o Aker Web Gateway pesquisar a lista a partir do incio
procurando pelo nome desse usurio ou por um grupo de que ele faa parte. To
logo um desses seja encontrado o perfil associado ao mesmo ser utilizado.
Aba Controle de Acesso por IP

Figura 133 Autenticao (Aba Controle de Acesso)


194

O Aker Web Gateway pode controlar os acessos por intermdio de endereos IP
conhecidos juntamente com perfis criados para este fim. Esta aba permite a
habilitao e a desabilitao individual das regras que configuram a autenticao
por Ip, no sendo mais necessrio ter que remov-las para desabilit-las, podendo
ser habilitada ou desabilitada por meio da opo no menu suspenso ou por meio do
boto localizado na barra de tarefas.
preciso escolher uma entidade rede ou uma entidade mquina, que definiro a
origem do trfego e associ-las ao perfil, de forma que o trfego originrio dessas
entidades no precisaro de autenticao por usurio.
O Acesso por IP estar habilitado sempre que houver pelo menos uma regra
habilitada nesta aba.


195

"isualizando Usurios
Conectados


196

12. Perfil de Acesso de Usurios
Neste captulo mostraremos a opo de visualizar os usurios conectados no Aker
Web Gateway.
12.1. Visualizando e Removendo Usurios Logados no Aker Web Gateway
possvel visualizar a qualquer momento os usurios que possuem sesso
estabelecida com o Aker Web Gateway, atravs do cliente de autenticao, e
remover uma destas sesses. Isto feito atravs da janela de usurios logados.
Para ter acesso a janela de usurios logados deve-se:

Figura 134 Informao ( Usurios conectados)
Clicar no menu Informao da janela de administrao do Aker Web Gateway
Selecionar Usurios Conectados


197

A janela de Usurios Conectados

Figura 135 Usurios conectados
Esta janela consiste de uma lista com uma entrada para cada usurio. Na parte
inferior da janela mostrada uma mensagem informando o nmero total de usurios
com sesses estabelecidas um determinado instante. Para os usurios logados via
Secure Roaming, sero mostrados tambm os dados da conexo (endereo IP e
portas) junto com o estado de estabelecimento da mesma.
O boto OK faz com que a janela de usurios seja fechada.
O boto Cancelar fecha a janela.
A caixa Itens selecionados no topo coloca os itens que foram selecionados
para o topo da janela de usurios conectados.
Barra de Ferramentas de Usurios Conectados:
O boto Atualiza faz com que as informaes mostradas sejam atualizadas
periodicamente de forma automtica ou no. Clicando-se sobre ele, alterna-se entre
os dois modos de operao. O intervalo de atualizao pode ser configurado
mudando-se o valor logo a direita deste campo.
O boto Buscar, localizado na barra de ferramentas, permite remover uma sesso
de usurio. Para tal deve-se primeiro clicar sobre a sesso que deseja remover e a


198

seguir clicar neste boto (ele estar desabilitado enquanto no existir nenhuma
sesso selecionada).
O boto DNS, localizado na barra de ferramentas, acionar o servio de nomes
(DNS) para resolver os nomes das mquinas cujos endereos IPs aparecem
listados. Cabem ser observados os seguintes pontos:
1. A resoluo de nomes muitas vezes um servio lento e, devido a isso, a
traduo dos nomes feita em segundo plano.
2. Muitas vezes, devido a problemas de configurao do DNS reverso (que o
utilizado para resolver nomes a partir de endereos IP), no ser possvel a
resoluo de certos endereos. Neste caso, os endereos no resolvidos sero
mantidos na forma original e ser indicado ao seu lado que eles no possuem
DNS reverso configurado.
possvel ordenar a lista das sesses por qualquer um de seus campos, bastanto
para isso clicar no ttulo do campo. O primeiro click produzir uma ordenao
ascendente e o segundo uma ordenao descendente.

Significado dos campos de uma sesso de usurio ativa
Cada linha presente na lista de sesses de usurios representa uma sesso. O
significado de seus campos o seguinte:
cone: mostrado a esquerda do nome de cada usurio e pode assumir trs formas
distintas:
Cadeado: Este cone indica que o usurio se logou atravs do cliente de criptografia
apenas.
Usurio: Este cone indica que o usurio se logou atravs do cliente de
autenticao apenas.
Usurio dentro do cadeado: Este cone indica que o usurio se logou atravs do
cliente de autenticao e de criptografia.
Mquina: Endereo IP ou nome (caso o DNS esteja ativo) da mquina na qual a
sesso foi estabelecida.
Nome: Nome do usurio que estabeleceu a sesso.
Domnio: Nome do domnio, i.e. autenticador, no qual o usurio se autenticou. Caso
o usurio no tenha especificado domnio ao se logar, este campo aparecer em
branco.
Perfil: Qual o perfil de acesso correspondente a esta sesso. Se este campo est
em branco, o usurio se autenticou antes de a tabela de perfis ser alterada, de
forma que ele est utilizando um perfil que no existe mais.


199

Incio: Hora de abertura da sesso.
A Interface Texto para acesso lista de usurios logados possui as mesmas
capacidades da Interface Remota e simples de ser utilizado. Ele o mesmo
programa que produz a lista de conexes ativas TCP e UDP, mostrado
anteriormente. E possvel usar todos os comandos sem o prefixo FW, para isso
execute o comando fwshell, ento todos os comando podero ser acessados sem
o prefixo FW).
Localizao do programa: /aker/bin/awg/fwlist
Sintaxe:
Aker Web Gateway
fwlist - Lista e remove conexoes TCP/UDP e sessoes ativas
Uso: fwlist ajuda
fwlist mostra [[-w] [TCP]] | [UDP]
fwlist mostra [sessoes | roaming | bloqueados | quotas | www]
fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destino
fwlist remove sessao IP_origem [usuario]
fwlist remove bloqueado IP_origem
fwlist reinicia [ usuario <nome> ] [ quota <nome> ] [tempo] [volume]

mostra = lista as conexoes ou sessoes ativas
remove = remove uma conexao ou sessao ativa
reinicia = reinicia a quota dos usuarios
Exemplo 1: (listando as sesses de usurios logados no Aker Web Gateway)
#list mostra sessoes
Nome/Dominio Perfil IP origem Inicio
-------------------------------------------------------------------------------


200

administrador/BSB Admin 10.20.1.1 08:11:27
jose.silva/GOA Padrao5 10.45.1.1 07:39:54
joao.souza/POA Padrao3 10.57.1.1 07:58:10
josemaria/GRU Padrao3 10.78.1.1 08:01:02
angelam/BSB 1 Restrito 10.22.1.1 08:48:31
marciam/POA Restrito 10.235.1.1 10:49:44
antonioj/POA Especial 10.42.2.1 06:02:19
operador/BSB Padrao 10.151.2.1 20:44:34
Exemplo 2: (removendo a sesso do usurio logado a partir da mquina 10.19.1.1)
#list remove sessao 10.19.1.1
A remocao da sessao foi solicitada ao servidor de usuarios


201

(uotas


202

13. Quotas
Neste captulo mostraremos como so utilizadas as quotas.

13.1. Utilizando as quotas

O que so quotas?
A produtividade dos funcionrios de fundamental importncia para o
desenvolvimento e o crescimento de uma empresa. Portanto, os seus recursos de
rede devem ser utilizados de forma racional. A partir dessa necessidade, o Aker
Web Gateway tornou-se uma ferramenta indispensvel para o controle de acesso s
pginas web, que so visitadas pelos empregados de uma corporao. Com o uso
desse produto, os usurios s tero acesso sites dentro dos limites estabelecidos
pelas quotas de acesso. As Quotas so utilizadas para controlar e racionalizar o
tempo gasto pelos funcionrios, com acesso sites da WEB. Assim as quotas so
os limites em termos de tempo de acesso e volume de dados, por usurio. Estes
limites so definidos na seguinte forma:
Quanto a periodicidade de acesso, pode ser definido diariamente, semanalmente
e mensalmente;
Quanto a quantidade de horas e de dias disponveis;
Quanto ao volume de dados de bytes trafegados.
Observao 1: A contagem do tempo funciona da seguinte forma: quando o usurio
acessa uma pgina, conta um relgio de 31 segundos, se o usurio acessar uma
outra pgina, comea a contar do zero, mas no deixar de contar, por exemplo, os
10 segundos que o usurio gastou ao acessar a pgina anterior.
Observao 2: Para o consumo de quota, funciona da seguinte forma: no MSN,
para cada janela de conversao, o tempo contado separadamente, j na WEB se
tiver acessando 10 sites, ser contato somente o tempo de um.


203

13.2. Editando os parmetros do Uso da Quota

Figura 136 Informao (Uso de quotas)
Clicar no menu Informao da janela do Aker Web Gateway
Selecionar o item Uso da quota


204

Visualizao do Uso da quota
Agrupamento por usurio

Figura 137 Uso de quotas agrupamento por usurio
Esta janela permite mostrar todas as informaes de quota de acesso, especificadas
por usurio.
Reinicia tempo de todas as quotas do usurio: Ao clicar com o boto direito do
mouse em cima do usurio e ao selecionar essa opo zera toda a quota de tempo
de acesso para todas as quotas desse usurio. Caso clique em cima da quota, s
ser zerado aquela quota especfica referente a esse usurio.
Reinicia trfego de todas as quotas do usurio: Ao clicar com o boto direito do
mouse em cima do usurio e ao selecionar essa opo opta em zerar todas as
quotas de volume de dados desse usurio. Caso clique em cima da quota, s ser
zerado aquela quota especfica referente a esse usurio.
Reinicia tempo e trfego de todas as quotas do usurio: Ao clicar com o boto
direito do mouse em cima do usurio e ao selecionar essa opo opta em zerar toda


205

quota de tempo de acesso e a quota de volume, para esse usurio. Caso clique em
cima da quota, s ser zerado aquela quota especfica referente a esse usurio.
Usurio: Usurio para qual foi aplicado a quota.
Quota: Nome da quota criada.
Tempo: Tempo gasto da quota.
Volume: Quantidade de bytes trafegados.
Regularidade: Perodo que a quota vai ser aplicada, se diariamente,
semanalmente ou mensalmente.
Mostra valores relativos: Mostra em forma de porcentagem as quotas gastas.
Agrupamento por quota

Figura 138 - Uso de quotas agrupamento por quota
Esta janela permite mostrar todas as informaes de quota de acesso, especificados
por quota.


206

Reinicia tempo do usurio: Ao clicar com o boto direito do mouse em cima do
usurio e ao selecionar essa opo zera toda a quota de tempo de acesso para
todas as quotas desse usurio. Caso clique em cima da quota, s ser zerado
aquela quota especfica referente a esse usurio.
Reinicia trfego do usurio: Ao clicar com o boto direito do mouse em cima do
usurio e ao selecionar essa opo opta em zerar todas as quotas de volume de
dados desse usurio. Caso clique em cima da quota, s ser zerado aquela quota
especfica referente a esse usurio.
Reinicia hora e trfego do usurio: Ao clicar com o boto direito do mouse em
cima do usurio e ao selecionar essa opo opta em zerar toda quota de tempo de
acesso e a quota de volume, para esse usurio. Caso clique em cima da quota, s
ser zerado aquela quota especfica referente a esse usurio.
Quota: Nome da quota criada.
Usurio: Usurio para qual foi aplicado a quota.
Tempo: Tempo gasto da quota.
Volume: Quantidade de bytes trafegados.
Regularidade: Perodo que a quota vai ser aplicada, se diariamente,
semanalmente ou mensalmente.
Mostra valores relativos: Mostra em forma de porcentagem os valores das quotas.


207

Configurando )iltro *e+


208

14. Configurando Filtro Web
Neste captulo mostraremos para que serve e como configurar o Filtro Web.

O que o Filtro Web do Aker Web Gateway?
O Filtro Web um programa especializado do Aker Web Gateway feito para
trabalhar com os protocolos que compem a chamada WWW (World Wide Web).
Dentre entre estes protocolos, esto o HTTP, HTTPS, FTP e Gopher.
Este produto possui como principal funo controlar o acesso dos usurios internos
Internet, definindo quais pginas os usurios podero acessar e se podem ou no
transferir arquivos, por exemplo. Alm disso, ele pode bloquear tecnologias
consideradas perigosas para algumas instalaes como o Active-X
TM
, scripts
(JavaScript) e at applets Java
TM
. Mais ainda, ele possibilita a remoo dos banners
das pginas, de forma a aumentar a sua velocidade de carga e reduzir a utilizao
do link.
Ele um proxy simultaneamente transparente (apenas para HTTP) e no
transparente (para maiores informaes, veja o captulo intitulado Trabalhando
com proxies), facilitando a instalao do sistema.
Quando utilizado da forma transparente, o proxy normalmente mais rpido de
ser configurado do que quando utilizado como um proxy normal, no necessitando
de configurao extra nos clientes. Por outro lado, a capacidade de filtrar URLs para
os protocolos HTTPS, FTP e GOPHER s existe no proxy normal.
Para que o proxy no transparente tenha a mesma performance do transparente,
necessrio que os browsers suportem o envio de requisies HTTP 1.1 via
proxies.
O que um servidor de cache WWW?
Um servidor de cache um programa que visa aumentar o velocidade de acesso s
pginas da Internet. Para conseguir isso, ele armazena internamente as pginas
mais utilizadas pelas diversas mquinas clientes e todas as vezes que recebe uma
nova solicitao, ele verifica se a pgina desejada j se encontra armazenada. Caso
a pgina esteja disponvel, ela retornada imediatamente, sem a necessidade de
consultar o servidor externo, caso contrrio a pgina carregada normalmente do
servidor desejado e armazenada, fazendo com que as prximas requisies a esta
pgina sejam atendidas rapidamente.


209

O Filtro Web do Aker Web Gateway trabalhando com um servidor de cache
O Aker Web Gateway no implementa por si s um servidor de cache no seu proxy
WWW, entretanto ele pode ser configurado para trabalhar com qualquer um que
siga os padres de mercado. Este servidor de cache pode estar rodando na prpria
mquina onde o Aker Web Gateway se encontra ou em uma mquina separada.
Caso utilize-se de um servidor de cache em uma mquina separada (modo de
instalao recomendado), esta mquina deve ficar em uma sub-rede diferente de
onde esto as mquinas clientes, caso contrrio todo o controle de segurana pode
ser facilmente ultrapassado. Este tipo de configurao pode ser visualizado na
seguinte figura:

Figura 139 - Conexo (Internet, rede interna, firewall e DMZ.
Neste tipo de instalao, para assegurar uma total proteo, basta configurar o
servidor de Cache para permitir conexes com origem somente do Aker Web
Gateway e no permitir que as mquinas clientes no possam abrir conexes em
sua direo. Feito isso, configura-se todas as mquinas clientes para utilizarem o
proxy WWW do Aker Web Gateway e configura-se o Aker Web Gateway para
utilizar o cache na mquina desejada.
Utilizando o Filtro Web
Para se utilizar o Filtro web do Aker Web Gateway no modo no transparente
(normal), necessria a seguinte sequncia de passos:
1. Criar os perfis de acesso desejados e os associar com os usurios e grupos
desejados. Isso foi descrito no captulo chamado Perfis de acesso de usurios.


210

2. Editar os parmetros de configurao do proxy WWW (isso ser mostrado no
tpico chamado Editando os parmetros do Filtro Web).
O proxy WWW no transparente escuta conexes na porta 80, utilizando o
protocolo TCP. Caso seja necessrio, pode-se alterar este valor para qualquer
porta, bastando para isso acrescentar o parmetro -p porta, onde porta o nmero
da porta que queira que ele escute, na hora de inici-lo. Esta chamada se encontra
no arquivo /aker/Bin/awg/rc.aker, e deve ser alterada de /aker/bin/awg/fwhttppd
para /aker/bin/awg/fwhttppd -p 8080, por exemplo.
Somente ser gerado eventos de acesso a sites seguros (https) quando
estivermos utilizando o Aker Web Gateway como Proxy WWW Ativo, nos browsers
dos usurios, para os clientes que utilizam o Aker Web Gateway como proxy WWW
Transparente o nico log gerado o de acesso ao host e a porta tcp 443 (https).
14.2. Editando os parmetros do Filtro Web
Para utilizar o proxy www, necessrio a definio de alguns parmetros que
determinaro caractersticas bsicas de seu funcionamento. Esta definio feita
na janela de configurao do Filtro Web. Para acess-la, deve-se:

Figura 140 Aplicao (Filtro Web)
Clicar no menu Aplicao da janela do Aker Web Gateway
Selecionar o item Filtro Web

A janela de configurao de parmetros do Filtro Web


211

Figura 141 Filtro Web (aba Geral)
O boto OK far com que a janela de configurao do Filtro Web seja fechada e
as alteraes salvas.
O boto Cancelar, far com que todas as alteraes feitas sejam desprezadas e
a janela seja fechada.
O boto Retornar Configurao Inicial - Desconsidera as configuraes
personalizadas e retorna ao padro; aplicvel em todas as abas e encontra-se na
barra de ferramentas do Aker Web Gateway, bem como o boto Assistente.
Aba geral
Cache
Cache Interno Habilitado: Esta opo permite o AWG funcionar como servidor
de cache.


212

Cache externo Habilitado: Esta opo permite definir se o filtro web ir
redirecionar suas requisies para um servidor de cache. Caso esta opo esteja
habilitada, todas as requisies recebidas sero repassadas para o servidor de
cache, no endereo IP e porta especificados.
IP: Este campo especifica o endereo IP dos servidores de cache para onde
todos os pedidos sero encaminhados se a opo Cache Externo Habilitado
estiver ativa.
Porta: Este campo especifica a porta na qual o servidor de cache ir esperar
por conexes se a opo Cache Externo Habilitado estiver ativa.
Parmetros
Esta pasta possibilita ajustar o funcionamento do filtro web para situaes
especiais. Ela consiste dos seguintes campos:
Autenticar usurios WWW: Este campo ativa ou no a autenticao de
usurios do filtro web. Caso ele esteja marcado, ser solicitada ao usurio uma
identificao e uma senha todas as vezes que ele tentar iniciar uma sesso e
esta somente ser iniciada caso ele seja autenticado por algum dos
autenticadores.
Utiliza cliente de autenticao em Java: Esta opo instrui o proxy a utilizar o
cliente de autenticao em Java, mesmo quando operando de modo no
transparente. A vantagem deste cliente permitir que a autenticao do usurio
seja completa (como quando se usa o cliente de autenticao para Windows, e
no apenas para o filtro web).
Caso o usurio esteja utilizando o Cliente de Autenticao Aker para Windows
e esteja com uma sesso estabelecida com o Aker Web Gateway, ento no
ser solicitado nome nem senha, ou seja, o proxy se comportar como se no
estivesse realizando autenticao de usurios, mas ele est de fato fazendo-o.
Se a sesso do Cliente de Autenticao for finalizada, ento o proxy solicitar
um nome de usurio e senha no prximo acesso.
Para o cliente de autenticao em Java funcionar em seu browser, ele deve
ter o suporte a Java instalado e habilitado, alm de permitir o uso do protocolo
UDP para applets Java. Apenas o Internet Explorer da Microsoft traz esta opo
desabilitada por padro, e, para habilit-la voc deve escolher configuraes
personalizadas de segurana para Java e liberar o acesso a todos os endereos
de rede para applets no assinados.
Forar autenticao: Se esta opo estiver marcada o proxy obrigar a
autenticao do usurio, ou seja, somente permitir acesso para usurios
autenticados. Se ela estiver desmarcada e um usurio desejar se autenticar, ele
poder faz-lo (para ganhar um perfil diferente do padro), mas acessos no
identificados sero permitidos.


213

Tempos Limite
Leitura: Definir o tempo mximo, em segundos, que o proxy aguarda por uma
requisio do cliente, a partir do momento que uma nova conexo for
estabelecida. Caso este tempo seja atingido sem que o cliente faa uma
requisio, a conexo ser cancelada.
Resposta: Definir o tempo mximo, em segundos, que o proxy aguarda por uma
resposta de uma requisio enviada para o servidor WWW remoto ou para o
servidor de cache, caso a opo habilita cache esteja ativa. Caso este tempo
seja atingido sem que o servidor comece a transmitir uma resposta, a conexo
com o servidor ser cancelada e o cliente receber uma mensagem de erro.
HTTPS: Definir o tempo mximo, em segundos, que o proxy pode ficar sem
receber dados do cliente ou do servidor em uma conexo HTTPS, sem que ele
considere a conexo inativa e a cancele.
Manter ativo: Definir quanto tempo um usurio pode manter uma conexo keep-
alive (HTTP 1.1) com o proxy inativa, antes que o proxy a encerre, liberando o
processo para outro usurio. Recomenda-se manter este tempo bastante baixo,
para evitar o uso desnecessrio de todos os processos do sistema.
Timeout das sesses web: Indica quanto tempo uma sesso web vai ficar sendo
monitorada, permitindo ao administrador do Aker Web Gateway saber quais so
as sesses web ativas do seu Aker Web Gateway.
Exemplo: Se for marcado 30 segundos nesse campo, a janela de sesses web
(information > web sessions) s vai mostrar as sesses ativas dos ltimos 30
segundos.
Performance
Nmero de processos: Definir o nmero de processos do proxy WWW que vo
permanecer ativos aguardando conexes. Como cada processo atende uma
nica conexo, este campo tambm define o nmero mximo de requisies que
podem ser atendidas simultaneamente.
No permitir transferncias comprimidas (menos CPU, maior largura de
banda): Permite que o Aker Web Gateway no aceite transferncias do Filtro
Web que tenham dados compactados.
Em uma requisio HTTP, pode ser especificado que os dados venham
compactados. Caso os dados venham comprimidos, caso exista ActiveX, java ou
Java script compactados, o Aker Web Gateway precisa descompact-los para
fazer a anlise dos dados, por isso que nesses casos, essa opo bastante
importante. O mais aconselhado deixar esta opo desmarcada, pois o
padro da janela.


214

Logar toda URL aceita: Permite que o Web Gateway logue todas as URL que
so realizadas um mtodo (GET, POST e etc), sendo assim teremos um volume
de logs muito maior para gerao de relatrios e contabilizao de Quotas.
Exemplo: com esta opo desmarcado o acesso ao endereo
http://www.terra.com.br ser gerado apenas um log informando o acesso ao
portal, j com a opo marcada ser gerado logs para cada GET que o browser
faz para receber todo o site.

Por razes de performance, os processos do proxy WWW ficaro ativos
sempre, independente de estarem ou no atendendo requisies. Isto feito
com o objetivo de aumentar a performance.
Normalmente, deve-se trabalhar com valores entre 5 e 60 neste campo,
dependendo do nmero de mquinas clientes que utilizaro o proxy (cabe
ressaltar que uma nica mquina costuma abrir at 4 conexes simultneas ao
acessar uma nica pgina WWW). O valor 0 inviabiliza a utilizao do proxy.

Quotas

Interromper transferncias caso a quota seja excedida: Essa opo permite
interromper a transferncia dos arquivos caso a quota tenha excedido. Caso
essa opo no esteja marcada o Aker Web Gateway vai verificar a quota do
usurio antes que ele comece a fazer download.
Exemplo: Se o usurio tiver 50 MB de quota, e quer fazer um download de um
arquivo de 100 MB, com certeza ele no ir conseguir finalizar
essa transferncia. Todas s vezes que essa opo estiver marcada, e for mais
de um download simultneo ou um download que seu tamanho no foi
informado, o Aker Web Gateway vai deixar ele fazer o download mas vai
interromper antes do trmino.

Contabilizar durao de download: Permite que o tempo da quota seja "gasto"
enquanto durar o tempo do download, por exemplo, se o usurio quiser fazer o
download de uma arquivo de 100 MB e esse download levar 30 minutos, vo ser
gastos 100 MB de volume e 30 minutos de tempo da quota, caso essa opo
no esteja marcada, s vo ser gastos 100 MB, e no os 30 minutos.
Normalmente o tempo de quota s utilizado quando o usurio fica navegando,
mandando mensagens pelo MSN e etc. Quando ele est fazendo o download de
um arquivo grande, no gasto o tempo de sua quota, somente o volume de
bytes.


215

Arquivos

Permitir a retomada de transferncia de arquivo: Est opo dever ser
selecionada caso o usurio queira permitir, que um download continue de onde
havia parado.
Aba Cliente de Autenticao

Figura 142 Filtro Web (aba Cliente de autenticao)

Esta aba serve para compor o Layout da janela de autenticao do Aker Web
Gateway.
Ttulo da janela de autenticao: Este campo ir aparecer como ttulo da
aplicao de autenticao Java.
Autenticao: Este campo composto por duas opes que sero disponibilizadas
para o usurio quando do logon no Aker Web Gateway; e poder se conectar
habilitando-o:


216

Mostrar boto S/Key - Esta opo permite que os usurios se autentiquem
usando S/Key
Mostrar campo domnio - O usurio informar o domnio para logar-se no
proxy www.
Logotipo
Usar logo personalizado: Neste caso ao marcar esta opo, ser preciso
indicar o caminho que se encontra a logotipo. Sendo possvel acompanhar
as mudanas na Visualizao.
Mostrar tela de splash antes da janela de autenticao: Ao selecionar
esse campo, opta-se por mostrar uma tela de apresentao que antecede
a janela de autenticao.
Mostrar tela de splash antes da janela de autenticao: Esta opo exibe uma
janela com a URL especificada aps solicitar a autenticao do usurio atravs do
cliente de autenticao em Java.
URL: Nesse campo informado o link da tela de splash.


217

Aba controle de contedo

Figura 143 Filtro web (aba Controle de contedo)
Analisador de URL: Especificar o agente analisador de URLs que ser utilizado
para categorizar as pginas da Internet. Esse agente deve ter sido previamente
cadastrado no Aker Web Gateway. Para maiores informaes veja o captulo
intitulado Cadastrando entidades.
Ignorar erros do analisador de URL (pode permitir a passagem de dados no
autorizados): Quando este campo estiver selecionado, havendo um erro de
categorizao de URLs, o AWG permitir o acesso URL que originou o erro, caso
contrrio, se o campo estiver desmarcado, o AWG bloquear o acesso URL.
URL Bloqueada: Permitir a configurao de qual ao deve ser executada pelo
Aker Web Gateway quando um usurio tentar acessar uma URL no permitida. Ela
consiste das seguintes opes:


218

Mostra mensagem dafault ao bloquear URL: Ao selecionar essa opo, o
Aker Web Gateway mostrar uma mensagem de erro informando que a URL
que se tentou acessar se encontra bloqueada.
Redirecionar URL bloqueada: Ao selecionar essa opo, o Aker Web
Gateway redirecionar todas as tentativas de acesso as URLs bloqueadas
para uma URL especificada pelo administrador. Nesse caso, deve-se
especificar a URL para qual os acessos bloqueados sero redirecionados
(sem o prefixo http://) no campo abaixo.
quando a tentativa de acesso a uma URL for bloqueada. Ento pode-se optar em
mostrar a pgina padro ou redirecionar para a pgina escolhida, que ser
personalizada de acordo com os chekboxs selecionados. Segue abaixo a descrio
de cada opo e o detalhamentos das variveis criadas.
identificar aonde e porque a pgina foi bloqueada, por exemplo, se a pgina foi
bloqueada porque caiu em alguma categoria, passar por parmetro qual a categoria
que causou o bloqueio da pgina.
Exemplo: Na url www.aker.com.br, o seu domnio seria aker.com.br. Ao selecionar
o domnio, criada a varivel domain.
Nome do Perfil: Nome dado, pelo usurio, ao perfil escolhido. Ao selecionar essa
opo criada a varivel profile.
Razes: Ao selecionar a Razo criada a varivel reason. Ao habilitar essa opo
ser mostrada a razo do bloqueio do site. Por exemplo temos as seguintes razes:
"categoria da URL",

Nome da Categoria: Nome da Categoria que a URL foi associada. Ao selecionar a
Categoria criada a varivel cats.


219

Nome do Usurio: Nome do usurio que tentou acessar a URL. Ao selecionar o
Nome do usurio criada a varivel user.

Nmero da regra: Nmero da Regra de Filtragem que a URL se enquadrou. Ao
selecionar o nmero da regra criada a varivel rule.

URL do site bloqueado: Mostra a URL que o usurio tentou acessar e foi

No preview, aparece como ser a URL e o que ser enviado via mtodo GET.


220

Aba tipos de arquivos

Figura 144 Filtro web (aba Tipos de Arquivo)
Opo Arquivos Bloqueados
Especificar os arquivos que sero bloqueados pelo Filtro Web.
transferido deve ser bloqueado: a extenso do arquivo ou seu tipo MIME. Se um
destes critrios for atendido, em outras palavras, se a extenso do arquivo estiver
entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre
aqueles a serem bloqueados, ento o arquivo dever ser bloqueado pelo Aker web
Gateway.
O tipo MIME usado para indicar o tipo de dado que est no corpo de uma resposta
em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo
e o segundo indica o subtipo. O navegador usa esta informao para decidir como
mostrar a informao que ele recebeu do mesmo modo como o sistema operacional
usa a extenso do nome do arquivo.


221

URL Bloqueada: Permitir a configurao de qual ao deve ser executada pelo
Web Gateway quando um usurio tentar acessar uma URL no permitida. Ela
consiste das seguintes: opes:
Aker Web Gateway mostrar uma mensagem de erro informando que a URL
que se tentou acessar se encontra bloqueada.
Redireciona URL bloqueada: Ao selecionar essa opo, o Aker Web
Gateway redirecionar todas as tentativas de acesso a URLs bloqueadas
para uma URL especificada pelo administrador. Nesse caso, deve-se
especificar a URL para quais os acessos bloqueados sero redirecionados
(sem o prefixo http://) no campo abaixo.
ser personalizada de acordo com os chekboxs selecionados. Segue abaixo
seguintes razes:

"categoria da URL",


222



GET.
Opo Downloads
Especificar os arquivos que sero analisados contra vrus pelo Download
manager do Aker Web Gateway, ou seja, para os quais o Aker Web Gateway
mostrar ao usurio uma pgina web com o status do download do arquivo e
realizar seu download em background. Esta opo interessante para arquivos
potencialmente grandes (arquivos compactados, por exemplo) ou para arquivos
que normalmente no so visualizveis de forma on-line pelo navegador.
transferido deve ser analisado: a extenso do arquivo e seu tipo MIME. Se um
destes critrios for atendido, em outras palavras, se a extenso do arquivo
estiver entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver
entre aqueles a serem analisados, ento o arquivo dever ser analisado pelo
Aker Web Gateway.
O tipo MIME usado para indicar o tipo de dado que est no corpo de uma
resposta em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro
indica o tipo e o segundo indica o subtipo. O navegador usa esta informao
para decidir como mostrar a informao que ele recebeu, do mesmo modo como
o sistema operacional usa a extenso do nome do arquivo.
Sites Excludos:
Deve-se escolher a operao e o texto a ser includo para anlise. Sites que se
enquadrarem na lista de excludos no sero analisados.


223

Opes de operao:

Figura 145 Opes de operao
Configuraes:
Anexos Encriptados: Deve-se escolher entre aceitar ou rejeitar um anexo
encriptado.
Anexos Corrompidos: Deve-se escolher entre aceitar ou rejeitar um anexo
corrompidos.
Opo Av Online
Da mesma maneira que em downloads o administrador do Aker Web Gateway deve
escolher os tipos MIME e as extenses. Na configurao padro do Aker Web
Gateway so cadastrados os seguintes tipos conforme a figura abaixo:


224

Figura 146 Filtro web (aba Tipo de Arquivo AV On Line)
As demais opes so iguais aos campos descritos na aba download.


225

Aba Antivrus

Figura 147 Filtro web (aba Antivrus)
Habilitar antivrus: Ao selecionar essa caixa, permitir que o Aker Web Gateway
faa a verificao antivrus dos contedos que tiverem sendo baixados.
O boto Retornar configurao padro restaura a configurao original do Aker
Web Gateway para esta pasta.
Agente antivrus utilizado: Permitir a escolha de um agente antivrus previamente
cadastrado para realizar a verificao de vrus. Esse agente deve ter sido
previamente cadastrado no Aker Web Gateway. Para maiores informaes veja o
captulo intitulado Cadastrando entidades.
Ignorar erros online do antivrus (podem permitir a passagem de anexos
contaminados): Quando este campo estiver selecionado, se houver um erro de
anlise do antivrus no trfego on-line, o mesmo no bloquear o contedo,
permitindo a transferncia dos dados. Caso o campo no esteja marcado, a
transferncia de dados ser bloqueada.


226

Ignorar erros de download do antivrus (pode permitir a passagem de anexos
contaminados): Quando este campo estiver selecionado, se houver erro de anlise
do antivrus no trfego on-line, o mesmo no bloquear o download, permitindo a
transferncia dos dados. Caso o campo no esteja marcado, o download ser
bloqueado.
Habilitar janela de progresso do antivrus: Esta opo permite desabilitar o
Download manager do Aker Web Gateway.
Intervalo de atualizao do status: Esta opo determina o tempo em a pgina de
download exibida pelo Aker Web Gateway deve ser atualizada.
Nmero de tentativas: Nmero mximo de tentativas de download para cada
arquivo, caso seja necessrio tentar mais de uma vez.
Nmero mximo de downloads simultneos: Configura o nmero mximo de
downloads simultneos que o Aker Web Gateway ir permitir.
Anlise de Vrus: Esta opo utilizada para mostrar uma pgina caso seja
encontrado um vrus durante a anlise do antivrus. A pgina poder ser a do
prprio Aker Web Gateway ou personalizada pelo usurio. possvel personalizar a
mensagem para cada tipo de vrus encontrado, bastando utilizar a string {VIR} que
ser substituda pelo nome do vrus.
Mostrar URL padro quando um vrus for encontrado: Quando marcada,
esta opo determina que, quando um vrus for encontrado, a pgina web
ser redirecionada para uma pgina padro do Aker Web Gateway.

Redirecionar para: Ao selecionar esta opo, permite determinar que
quando um vrus for encontrado, a pgina web ser redirecionada para uma
pgina especificada pelo usurio. Caso a url informada possua o texto
"{VIR}", este texto ser substitudo pelo nome do vrus encontrado,
possibilitando que seja mostrada uma pgina personalizada, de acordo com o
vrus encontrado.
O Aker Antivrus Module suporta diversas opes de varredura de vrus, worms,
dialers, hoax, cavalo de troia e analise heursticas, abaixo segue uma lista de
opes suportadas:
Opes de anlise: Utilizado para selecionar quais os tipos de bloqueio que devem
ser realizados (Spywares, Jokes, Dialers, Ferramentas Hacker) e se ser ou no
utilizado um mtodo de deteco heurstico (caso seja marcado, poder ser utilizado
s opes baixo, mdio ou alto);
Habilitar anlise heurstica: A Heurstica um conjunto de regras e
mtodos que podem levar o parceiro instalado a detectar um vrus sem a
necessidade de uma base de assinaturas de vrus, ou seja, um algoritmo


227

capaz de detectar programas maliciosos baseando-se em seu
comportamento;
Detectar Malware: Habilita a analise de programas maliciosos e ferramentas
hackers.
Varredura de Arquivos:
Habilitado: Permite habilitar a anlise do contedo de arquivos
compactados;
Nvel Mximo de profundidade: Define o nvel mximo de recurso ao
analisar um arquivo compactado;
Tamanho mximo do Arquivo: Define o tamanho mximo permitido de um
arquivo a ser analisado dentro de um arquivo compactado;
Nmero Mximo de Arquivos: Define a quantidade mxima de arquivos a
serem analisados dentro de um arquivo compactado.
O Aker Antivrus Module suporta a analise de arquivos compactados das
seguintes extenses: ZIP, ARJ, LHA, Microsoft CAB, ZOO, ARC, LZOP, RAR,
BZIP2, UPX, AsPack, PEPack, Petite, Telock, FSG, Crunch, WWWPack32, DOC,
PDF, TAR, QUAKE, RTF, CHM, 7Zip, CPIO, Gzip, MS OLE2, MS Cabinet Files (+
SFX), MS SZDD compression format, BinHex, SIS (SymbianOS packages), AutoIt,
NSIS, InstallShield.


228

Aba SSL

Figura 148 Filtro web (aba SSL)

Controle SSL(proxy Ativo): Permitir a definio das portas de conexo segura
(https) que sero aceitas pelo Aker Web Gateway. Caso um cliente tente abrir uma
conexo para uma porta no permitida, o Aker Web Gateway mostrar uma
mensagem de erro e no possibilitar o acesso.
Caso queira utilizar apenas a porta padro (443), deve-se selecionar a primeira
opo. Essa a configurao a ser utilizada na grande maioria dos sistemas.
A opo Permite HTTPS para todas as portas indica ao Aker Web Gateway que
ele deve aceitar conexes HTTPS para quaisquer portas. Essa configurao no
recomendada para nenhum ambiente que necessite de um nvel de segurana
razovel, j que possvel para um usurio utilizar o proxy para acessar servios
no permitidos simulando uma conexo HTTPS.
Por ltimo, existe a opo Permite HTTPS para as entidades abaixo que
possibilita ao administrador definir exatamente quais portas sero permitidas. Nesse


229

caso devem ser cadastradas as entidades correspondentes aos servios desejados.
Para maiores informaes, veja o captulo intitulado Cadastrando Entidades.
Aba Avanado
Filtro de Navegador

Figura 149 Filtro web (aba Avanado - Filtro de navegador)
Ao selecionar a opo Filtro de navegador habilitado, permite ao usurio aceitar
ou rejeitar os navegadores inseridos na lista.

Essa lista criada pelo prprio usurio e nela devem ser inseridos os vrios tipos de
navegadores que se deseja bloquear ou liberar, abaixo segue um exemplo de como
devem ser includos:
Internet Explorer 6: " MSIE 6.0 ";
Internet Explorer 7: " MSIE 7.0";
Internet Explorer (qualquer um): " MSIE ";
Media Player: " Windows-Media-Player ";
Firefox: " Firefox ";
Firefox 2: " Firefox/2 ".


230

A validao do browser feita ANTES do header stripping, assim sendo
possvel substituir verso por uma string fixa sem perder esta filtragem.
Reescrita de URLs

Figura 150 Filtro web (aba Avanado Reescrita de URLs)
A reescrita de URL semelhante ao redirecionamento de sites. um processo
interno ao servidor web que funciona de forma transparente resolvendo os
problemas com links quebrados no site web.
No campo URL anterior como o prprio o nome j diz deve ser informado o
endereo que ser traduzido para um novo endereo informado no campo. URL
reescrita.
Por exemplo:
URL anterior: www.aker.com.br
URL reescrita: www.aker.security.com.br
Stripping do cabealho HTTP


231

Figura 151 Filtro web (aba Avanado Stripping do cabealho HTTP)
Essa opo permite remover e modificar partes do Header. Potencialmente aumenta
a segurana interna, evitando que informaes internas sejam enviadas para fora.
Por exemplo: cookies e verso do navegador do usurio.
O Header stripping funciona da seguinte forma, todas as linhas do header HTTP so
comparadas individualmente com todas as expresses cadastradas. Caso uma se
encaixe, a linha substituda e a prxima linha tratada. A primeira linha (com a
requisio) no filtrada (ou seja, no comparada com as expresses). O Header
Stripping funciona apenas na remoo do header do cliente para o servidor;
O Header Stripping realizado imediatamente aps a verso do browser cliente ser
verificada e ANTES de todos os demais processamentos do proxy HTTP, sendo
assim, o proxy tratar a verso modificada do header (caso ele tenha sido) como o
que foi enviado pelo cliente;
Seguem abaixo, exemplos de como preencher os campos: O que procurar e o
Substituir por:
Para a remoo de cookies (sem as aspas):
Procurar: " Cookie: * " - Substituir por: "" (nada).


232

Para esconder a verso dos browsers dos clientes:
Procurar: " User-Agent: *\r\n " - Substituir por: " User Agent: Mozilla/4.0\r\n".

A configurao do Header Stripping deve ser feita com muito cuidado j que ele
pode potencialmente inviabilizar o uso da Internet.

Deve-se tomar o cuidado de SEMPRE acrescentar um \r\n no final de uma
substituio que envolva uma linha.


233

14.2.1. Editando os parmetros de Cache
Para configurar as caches cadastradas necessrio a definio de alguns
parmetros que determinaro caractersticas bsicas de seu funcionamento. Esta
definio feita na janela de configurao da cache. Para acess-la, deve-se:

Figura 152 Aplicao (Cache)
Ao selecionar a opo Habilita Cache Hierrquico, permite configurar as caches
cadastradas, dentro do campo Lista de Caches Remotos.

Figura 153 - Cache


234

Ao clicar dentro da rea branca que se refere a Lista de Caches Remotos, e
selecionar a opo insere, aparecer a seguinte tela:

Figura 154 Configurao do nodo de cache
Para configurar as caches cadastradas necessrio preencher os seguintes
campos:
Nome do host: Define o endereo da cache.
Tipo: Define a hierarquia de cache, podendo optar pelo "Pai" e pelo "Filho".
Porta de Cache: Nmero da porta pelo qual o proxy atende aos seus pedidos.
Porta ICP: Utilizada para perguntar a sua vizinhana sobre o estado dos objetos.
Logar na cache: Permite definir um usurio e senha, para logar na cache pai e nas
caches filhos, para que assim possa obter informaes sobre o estado dos objetos,
atravs do protocolo ICP.
No buscar na cache os domnios: Nessa opo permite restringir quais os
domnios estaro relacionados para cada cache.


235

14.3. Editando os parmetros Sesses Web

Sesses Web

Figura 155 Sesses web
Esta janela permite ao administrador do Aker Web Gateway, visualizar as sesses
ativas, verificando o que foi acessado e por quem, no tempo definido na janela de
Filtro Web, opo Sesses web.
As informaes sero visualizadas e distribudas nos seguintes campos:
Tempo: Indica o dia e horrio e a URL que foi acessada.
Mquina: Indica a mquina de onde foi acessada a URL.
Usurio: Indica o usurio que acessou a URL.
Perfil: Indica qual o perfil de acesso que o usurio caiu quando tentou acessar a
URL.


236

Regra: Indica qual a regra de acesso que a URL se enquadrou.
Categoria: Indica qual a categoria que a URL se enquadrou.
Ao: Indica se as Sesses web que passaram pelo Aker Web Gateway foram
aceitas ou rejeitadas.


237

Configurando pro&y ,S-


238

15. Configurando o Proxy MSN
Neste captulo mostraremos para que serve e como configurar o Proxy MSN.


O que o MSN Messenger?
MSN Messenger, ou apenas MSN, um programa de mensagens instantneas
criado pela Microsoft Corporation. O programa permite que um usurio da Internet
converse com outro, que tenha o mesmo programa em tempo real, por meio de
conversas de texto, voz ou at com vdeo. Ele uma ferramenta gratuita com um
grande nmero de funcionalidades, algumas potencialmente prejudiciais ao
ambiente coorporativo.
O que o proxy MSN - Messenger do Aker Web Gateway?
Este proxy possui como funo principal controlar um importante canal de trnsito
de informaes que o MSN Messenger, possibilitando que no se abra mo de
seu uso, ao mesmo tempo em que se evita a perda de produtividade. Integrado ao
sistema de perfis de acesso, esse sistema se adaptar realidade das corporaes,
onde cada usurio ter privilgios distintos.
As funcionalidades do produto baseiam-se em:
Estar integrado ao sistema de perfil de acesso (permitindo controle por usurios
e grupos);
Definir white-lists e black-lists, por perfil;
Controlar o horrio de uso;
Controlar o tempo de uso por dia (configurado no perfil) para cada usurio;
Controlar o envio/recebimento de arquivo (inclusive por tipo);
Controlar convites para outros servios (vdeo, udio, games, etc..).
Realizar um log de sesses.
Utilizando o proxy MSN
O MSN Messenger por padro trabalha na porta TCP 1863, porm tambm pode se
conectar aos servidores atravs do protocolo HTTP e SOCKS. O Proxy MSN da
Aker controla os dados que trafegaro atravs de um proxy transparente (ver mais
detalhes em Trabalhando com proxies).
Para utilizar o proxy MSN do Aker Web Gateway necessrio a seguinte sequncia
de passos:
1. Definir os parmetros genricos do proxy MSN;


239

2. Criar os perfis de acesso desejados e associ-los aos usurios e grupos
desejados. (Isso foi descrito no captulo chamado Perfis de acesso de
usurios);
3. Associar uma regra de filtragem possibilitando que os usurios possam
utilizar o servio MSN.
15.2. Editando os parmetros do Proxy Messenger
Para utilizar o proxy MSN necessrio a definio de alguns parmetros que
determinaro caractersticas bsicas de seu funcionamento. Esta definio feita
na janela de configurao do proxy MSN. Para acess-la, deve-se:

Figura 156 Aplicao (Proxy Messenger)
Clicar no menu Aplicao da janela de administrao do Aker Web Gateway
Selecionar o item Proxy Messenger


240

A janela de configurao de parmetros do proxy Messenger

Figura 157 Proxy Messenger (aba Tipo de Servio)
O boto OK far com que a janela de configurao do proxy MSN seja fechada e
as alteraes salvas.
O boto Cancelar, far com que todas as alteraes feitas sejam desprezadas e
a janela seja fechada.
Essa nova configurao permite com que os usurios do AWG ou do web gateway
possam usar o Microsoft Messenger sem precisar se autenticar no agente de
autenticao. Com isso especificado qual o perfil vinculado ao login.
Exemplo: Quando o login do msn for jose.silva@aker.com.br , o perfil a ser usado
deve ser o "Desenvolvimento", assim as restries e as regras estaro associadas
ao perfil.
Esta janela composta por quatro abas:
Aba Tipo de Servios
Esta aba define os servios adicionais e as operaes que podero ser utilizados
atravs de uma conexo MSN. Estes servios podero posteriormente ser
controlados a partir das regras dos perfis de cada usurio. composta dos
seguintes campos:


241

Nome: Esse campo indica o nome do servio, so informaes definidas pelo
usurio.
Descrio: Nesse campo o usurio vai informar o tipo de servio relacionado ao
campo nome.
GUID de aplicao: o cdigo que indica o servio. So cdigos do prprio MSN,
o usurio pode cadastrar novos cdigos caso ele encontre um que j no seja
cadastrado.

Exemplo de preenchimento da aba:
Nome: Cmera
Descrio: Controle de webcam no MSN
Aplicao da GUID: 2A23868E- B45F- 401D-B8B0-1E16B774A5B7
Para inserir um novo tipo de servio, deve-se clicar com o boto direito e selecionar
a opo Nova.
Para remover um tipo de servio, deve-se clicar com o boto direito sobre o servio
a ser removido e escolher a opo Remover.
Para editar qualquer um dos campos de um servio basta clicar com o boto direito
sobre a coluna cujo valor se deseja alterar e modificar o dado diretamente no menu
que ir aparecer.
possvel adicionar automaticamente vrios servios pr-configurados, bastando
para isso clicar no cone , localizado na barra de tarefas.


242

Aba Mensagens

Figura 158 Proxy Messenger (aba Mensagens)
Esta aba permite configurar as mensagens que sero mostradas aos usurios
internos e externos quando eles no tiverem permisso de executar uma
determinada ao atravs do proxy Messenger. So mensagens que aparecem no
meio do chat podendo ser customizadas pelo usurio.
Aba de Controle de Acesso
Essa aba controla o acesso dos usurios, por meio da vinculao de um login a um
perfil.
No campo Passport, seleciona-se uma entidade do tipo lista de e-mails, essa
entidade ser associada a algum perfil definido no Web Gateway.
Por exemplo: *@aker.com.br --> perfil "Teste", isso significa que todos os usurios
que tiverem o login no msn terminando por @aker.com.br ir automaticamente cair
no perfil teste.


243

!i"#ra 159 $ %ro&' (essen"er )a*a Controle de Acesso+

Aba de Configuraes

Figura 160 Proxy Messenger (aba Configuraes)


244

Essa aba permite configurar a quantidade mxima de socket e/ou arquivos que o
processo do proxy MSN pode abrir. O valor padro de 1024, mas pode chegar em
at 8192 no mximo.
O Aker Web Gateway conta com a anlise de vrus para arquivos transferidos. Para
ativar essa verificao marque a opo Habilitar Antivrus no MSN caso deseje
que o Web Gateway analise os arquivos.
A opo Permitir a passagem de arquivos se ocorrer erro no Antivrus permite
transferncia de arquivos infectados, caso o servidor de antivrus estiver
indisponvel.
Marque "Usar Antivrus Local" para que o Web Gateway utilize o antivrus j includo
nele, caso contrrio, inclua a autenticao e o endereo de IP do seu servidor
Antivrus.


245

Utilizando as )erramentas da
Interface Remota


246

16. Utilizando as Ferramentas da Interface Remota
Neste captulo ser mostrada a funo das diversas ferramentas presentes na
Interface Remota do Aker Web Gateway.

O que so as ferramentas da Interface Remota do Aker Web Gateway?
As ferramentas so um conjunto de utilitrios presentes apenas na Interface Remota
do Aker Web Gateway. Elas servem para facilitar a administrao do Aker Web
Gateway, provendo uma srie de funes bastante teis no dia-a-dia.
16.1. Chaves de Ativao
Esta opo permite atualizar a chave de ativao do Aker Web Gateway e dos
demais produtos que possam estar instalados juntos como o Aker Antivrus
Module e o Aker Web Content Analyzer.
Para visualizar ou atualizar a licena, deve-se:
Clicar no boto Licena na barra de tarefas do Aker Web Gateway que estiver
conectado.


247

A janela de licena de ativao

Figura 161 Janela de ativao de Licena
Esta janela apenas informativa. Nela so mostrados todos os produtos que esto
instalados junto com o Aker Web Gateway e os dados referentes licena de cada
um deles. Entre estes dados pode-se verificar a data de expirao, nmero de
licenas, etc, para cada produto.
Caso se deseje inserir uma nova licena, deve-se clicar no boto Carregar,
localizado na barra de tarefas. Esta opo abrir um dilogo onde se pode
especificar o arquivo de onde a nova chave ser carregada. No caso do Aker Web
Gateway, caso exista mais de um produto instalado junto com o Aker Web Gateway,
as chaves dos produtos adicionais tambm sero atualizadas.
16.2. Salvar configuraes
Esta opo permite salvar a configurao completa do Aker Web Gateway na
mquina onde est administrando. No caso de algum desastre, pode-se facilmente
restaurar esta configurao posteriormente.
Para realizar uma cpia de segurana, deve-se:


248

Figura 162 Icone para salvar configuraes
Clicar no Aker Web Gateway para o qual ser salva a cpia de segurana
Selecionar a opo Salvar configuraes na barra de ferramentas ou no menu
com o nome do Aker Web Gateway selecionado
A janela para salvar configuraes:

Figura 163 Janela para salvar configuraes
Aps digitar o nome do arquivo salvo, deve-se clicar no boto Salvar. Caso no
queira mais gravar a cpia de segurana, deve-se clicar no boto Cancelar.
16.3. Carregar configuraes
Esta opo permite restaurar a cpia de segurana da configurao completa do
Aker Web Gateway realizada atravs da opo anterior.
Para restaurar uma cpia de segurana, deve-se:

Figura 164 Icone para carregar configuraes


249

Clicar no Aker Web Gateway para o qual ser carregada a cpia de segurana
Selecionar o item Carregar configuraes na barra de ferramentas ou no menu
com o nome do Aker Web Gateway selecionado
A janela para carregar configuraes:

Figura 165 Janela para carregar configurao
Esta janela permite escolher o nome do arquivo de onde a configurao ser
restaurada. Aps seu nome ser especificado, o Aker Web Gateway ler todo seu
contedo, far vrios testes de consistncia e se o seu contedo estiver vlido ser
carregado.
O boto Abrir far com que a cpia seja carregada e a configurao do Aker
Web Gateway imediatamente atualizada.
O Boto Cancelar far com que a janela seja fechada porm a cpia de
segurana no seja carregada.


250

16.4. DNS Reverso
DNS reverso utilizado para resolver nomes de mquinas a partir de endereos IP.
A janela de resoluo de DNS reverso do Aker Web Gateway serve para prover
resoluo de endereos sem a necessidade de utilizao de programas adicionais.
Para ter acesso a janela de resoluo de DNS reverso, deve-se:

Figura 166 Ferramentas (DNS reverso)
Clicar no menu Ferramentas da janela de administrao do Aker Web Gateway
Selecionar o item DNS Reverso


251

A janela de resoluo de DNS reverso

Figura 167 DNS reverso
Esta janela consiste de um campo para digitar o endereo IP que deseja resolver e
uma lista com os endereos IP j resolvidos anteriormente.
O boto OK far com que a janela seja fechada.
A opo Mostrar tudo, se estiver marcada, far com que sejam mostrados todos
os endereos j resolvidos na lista na parte inferior da janela.
Para resolver um endereo, deve-se digit-lo no campo e pressionar o boto DNS.
Neste momento o endereo ser mostrado na lista na parte inferior da janela, junto
com o status da resoluo. Aps algum tempo, ser mostrado o nome da mquina
correspondente ao endereo ou uma indicao de que o endereo informado no
possui DNS reverso configurado.

16.5. Atualizaes

O que so atualizaes e onde consegui-las?
Como todo software, o Aker Web Gateway pode eventualmente apresentar bugs em
seu funcionamento. medida que estes problemas so resolvidos, a Aker produz


252

um arquivo que permite a atualizao de seu Aker Web Gateway e a eliminao
destes erros. Algumas vezes tambm so adicionadas determinadas caractersticas
novas em uma verso j existente, de modo a aumentar sua performance ou
aumentar sua flexibilidade.
Em ambos os casos, os arquivos de atualizao ou correo so disponibilizados de
forma gratuita no site da Aker: basta procurar o menu Download e selecionar a
opo Correes e Atualizaes. Estes arquivos so sempre cumulativos, ou seja,
necessrio apenas baixar a ltima verso disponvel e esta incluir as correes
presentes nos arquivos de correo/atualizao anteriores.
A janela de atualizaes
Esta opo permite aplicar uma atualizao ou correo do Aker Web Gateway
remotamente, atravs da Interface Remota. possvel tambm atualizar
completamente a verso do produto. Para ter acesso janela de atualizaes deve-
se clicar no cone localizado na barra de ferramentas. Automaticamente a janela
ser aberta, para que sejam escolhidas as atualizaes a serem aplicadas.
Essa janela se divide em duas abas: Atualizao e Histrico, conforme explicadas
a baixo:
Aba Atualizao

Figura 168 Janela de atualizao do sistema


253

Por meio dessa janela possvel visualizar o status atual das
atualizaes/correes aplicadas no Web Gateway. Caso se trate de cluster a janela
apresentar as informaes das mquinas que o compem. Possui os seguintes
campos:

Id: Refere-se identificao das mquinas que compe o cluster.
Nome: Refere-se ao apelido atribudo s mquinas.
Restaurao: Este campo informa se a ltima atualizao aplicada pode ser
desfeita.
As atualizaes aplicadas por meio dos Patches e dos Hotfixes so alteraes que
podem ser desfeitas. Essa opo permite desfazer a ltima atualizao aplicada na
mquina, seja hotfix ou patch. Deve-se observar que as alteraes so desfeitas
uma por uma, ou seja, se a verso j estiver no Patch 3, e deseja-se voltar a verso
inicial, deve ser desfeito o patch 3, depois o patch 2, e assim por diante.
ltima atualizao: Identificao do ltimo patch aplicado no membro do cluster.
Hotfixes: Lista de hotfixes aplicados dentro do patch. Nessa lista, mostra a ordem
direta de aplicao dos hotfixes.
O hotfix uma pequena atualizao ou correo feita para um patch especfico.
Pode ser aplicado independente da ordem, o que no acontece com o patch, que
deve ser aplicado na ordem sequencial de atualizao.
Caso a atualizao ou correo sejam destinadas a uma verso diferente de
sistema operacional ou de verso do Aker Web Gateway, ento o boto Aplicar
ficar desabilitado, no permitindo sua aplicao.
Para carregar um arquivo de atualizao ou correo deve-se clicar no cone
que se encontra na barra de ferramentas. Com isso aberta uma janela, que
permite carregar um arquivo de atualizao do patch ou do hotfix, conforme mostra
a figura abaixo.


254

Figura 169 Janela para carregar um arquivo de atualizao
Para aplicar o arquivo de atualizao/correo, deve-se primeiramente selecionar
uma mquina na aba Patch, e logo em seguida clicar no cone para que o patch ou
o hotfix seja aplicado.
Caso queira aplicar o rollback, pelo menos uma mquina deve ser selecionada na
aba Patch, e logo em seguida deve-se clicar no cone , sendo que essas
alteraes sero desfeitas uma a uma, na sequncia que foram atualizadas.
Para aplicar rollback em mais de uma mquina ao mesmo tempo, as mesmas
devem estar com a mesma atualizao, por exemplo: todas esto com a verso
patch 3, e quer voltar para o patch 1.


255

Aba Histrico

Figura 170 Sistema de Atualizao (aba Histrico)
Essa aba permite, visualizar todo o histrico das aplicaes dos patches e hotfixes.
A aba composta dos seguintes campos:
ID: Mostra a identificao da mquina de onde foi feita a atualizao.

Usurio: Indica o usurio que aplicou a atualizao.
Restaurao: Indica se pode ser ou no desfeito a atualizao.
Data: Indica a data que foi feita alguma aplicao de patch ou hotfix.
A expresso "Verso Corrente" significa que no foi aplicado nenhuma patch. Ao
clicar no boto OK, o Patch ou o Hotfix no so aplicados, somente fechada a
janela.


256

16.6. Janela de Alarmes
Esta opo permite visualizar os alarmes gerados pelo Aker Web Gateway, quando
esta opo estiver marcada nas regras de filtragem ou na janela de aes.
Para ter acesso janela de alarmes deve-se:

Figura 171 Ferramentas (Janela de alarmes)
Clicar no menu Ferramentas da janela de administrao do Aker Web Gateway
Selecionar o item Janela de alarmes


257

A janela de alarmes

Figura 172 Janela de alarmes
Esta janela consiste de um campo de descrio com as entradas correspondentes a
ao executada pela regra de filtragem.
O boto Fechar far com que a janela seja fechada.
A opo No mostrar essa janela automaticamente da prxima vez, se
estiver marcada, far com que a janela no seja mostrada automaticamente
quando ocorrer um evento.
O boto Salvar grava as entradas em um arquivo de log do tipo texto.
O boto Apagar limpa todas as entradas contidas na janela.
Na parte superior da janela so mostradas as informaes de uso do CPU. Essas
informaes esto dividas em trs partes: porcentagem ociosa, porcentagem
dedicada ao sistema e porcentagem sendo usada por programas iniciados pelo
usurio. A parte inferior da janela mostra a situao da memria do sistema em
Megabytes. Tambm est dividida em trs partes: quantidade de memria livre,
quantidade de memria sendo usada e quantidade de memria armazenando
informaes em forma de cache.


258

A quantidade de memria no afeta de forma significativa a performance do Aker
Web Gateway. Entretanto, pode ocorrer queda de desempenho se o sistema possuir
rea de memria swap e estiver fazendo muito uso dessa, o que ir afetar apenas
os proxies.
importante observar que a memria cache no considerada memria usada.
Ela acessada apenas quando o sistema precisa reabrir um programa. Caso esse
programa ainda esteja em cache, a reabertura ser mais rpida. Porm, se o
sistema precisar de uma quantidade maior de memria livre, a rea usada para
cache liberada.

16.7. Visualizando o Estado dos Agentes Externos
A janela de estado dos agentes externos puramente informativa e serve para
indicar ao administrador o estado dos Agentes Externos. Isso muito til quando se
quer configurar um novo agente externo ou para detectar a ocorrncia de possveis
problemas.
Para ter acesso janela de estado dos agentes externos deve-se:

Figura 173 Informao (Agentes externos)
Clicar no menu Informao da janela de administrao do Aker Web Gateway
Selecionar o item Agentes Externos


259

A janela de agentes externos

Figura 174 Agentes externos
Esta janela consiste de uma lista com o nome de todos os agentes externos ativos
que sejam um dos seguintes tipos: Agentes de Antivrus, Analisadores de URL,
Autenticadores (Usurio/Senha, Token, RADIUS e LDAP) e Servidores de Log.
Para cada agente listado sero mostradas as seguintes informaes:
Nome: Nome da entidade do agente externo
Tipo: Tipo do agente externo.
Status: Informa o estado atual da conexo com o agente externo. Os seguintes
estados podem ser mostrados nesta coluna:
Estado indefinido: Ainda no existem informaes disponveis sobre o estado
deste agente.
Conectado ao principal: O Aker Web Gateway conectou-se com sucesso ao IP
principal do agente externo.
Conectado ao primeiro backup: O Aker Web Gateway conectou-se com
sucesso ao IP do 1 backup do agente externo. Por alguma razo ele no
conseguiu inicialmente conectar-se ao principal
Conectado ao segundo backup: O Aker Web Gateway conectou-se com
sucesso ao IP do 2 backup do agente externo. Por alguma razo ele no
conseguiu inicialmente conectar-se ao principal nem ao 1 backup.
Erro de conexo: Existe um problema de comunicao com o agente externo.
Verifique os eventos para maiores informaes.


260

Erro interno: No foi possvel conectar-se ao agente externo por um problema
interno. Verifique os eventos para maiores informaes.
Vrus no detectado: Este estado s aparece nos agentes de antivrus e indica
que embora o Aker Web Gateway tenha conseguido se conectar corretamente
ao agente, ele no foi capaz de detectar o vrus de teste que o Aker Web
Gateway enviou. Verifique a configurao do antivrus.
IP do servidor: Endereo(s) IP(s) do agente externo no qual(s) o Aker Web
Gateway est conectado.
Para os servidores de log, alm dos estados Conectado ou Erro, haver mais um
estado: parcialmente conectado, que ocorrer quando mais de um servidor estiver
disponvel (primeiro e segundo backup) porm o agente no est conectado a todos
eles.
16.8. Visualizando estatsticas do sistema
A janela de estatsticas do sistema possui informaes sobre uso do processador e
uso de memria do sistema. Para ter acesso essa janela, deve-se:

Figura 175 Informao (Estatsticas do sistema)


261

A janela a seguir aparecer:

Figura 176 Estatstica do sistema
Na parte superior da janela so mostradas as informaes de uso do CPU. Essas
informaes esto dividas em trs partes: porcentagem ociosa, porcentagem
dedicada ao sistema e porcentagem sendo usada por programas iniciados pelo
usurio. A parte inferior da janela mostra a situao da memria do sistema em
Megabytes. Tambm est divida em trs partes: quantidade de memria livre,
quantidade de memria sendo usada e quantidade de memria armazenando
informaes em forma de cache.


262

A quantidade de memria no afeta de forma significativa a performance do Web
Gateway. Entretanto, pode ocorrer queda de desempenho se o sistema possuir rea
de memria swap e estiver fazendo muito uso dessa, o que ir afetar apenas os
proxies.
importante observar que a memria cache no considerada memria usada.
Ela acessada apenas quando o sistema precisa
reabrir um programa. Caso esse programa ainda esteja em cache, a reabertura ser
mais rpida. Porm, se o sistema precisar de uma quantidade maior de memria
livre, a rea usada para cache liberada.
16.9. Utilizando a Interface Texto nas Chaves de Ativao
possvel configurar as Chaves de Ativao pela Interface Texto.
Localizao do programa: /aker/bin/awg/fwkey arquivo
Arquivo: Caminho completo do arquivo com a chave de ativao a ser substituda.
Aps a execuo do programa a chave ser instalada com sucesso.


263

Configura!es .C'/I'


264

17. Configuraes TCP/IP

Neste captulo mostraremos realizar configuraes TCP/IP.
Esta opo permite configurar todos os parmetros de TCP/IP do gateway atravs
da Interface Remota. possvel configurar os endereos de interfaces de rede, DNS
e roteamento bsico e avanado, bem como as opes de PPPoE, e Servidor/Relay
DHCP.

Para ter acesso janela de configurao TCP/IP deve-se:

Figura 177 - TCP/IP.
Clicar no menu TCP/IP na janela de administrao do gateway.


265

17.1. DHCP

Para ter acesso janela de configurao DHCP, deve-se:

Figura 178 - DHCP
Clicar no menu TCP/IP na janela do gateway que queira administrar.
Escolher o item DHCP


266

A janela abaixo ser exibida:

Figura 179 - Servidor DHCP.
Nesta aba so definidas as opes do gateway em relao ao servio DHCP. Ela
consiste das seguintes opes:
No est usando DHCP: Ao selecionar essa opo, o gateway no atuar como
servidor DHCP nem efetuar relay entre redes conectadas a ele.
Relay DHCP entre redes: Permitir que se defina que o gateway realizar o relay de
pacotes DHCP entre as redes selecionadas. Ela utilizada quando se possui
apenas um servidor DHCP e se deseja que ele fornea endereos para mquinas
localizadas em sub-redes distintas, conectadas diretamente ao gateway.


267

Figura 180 - Relay DHCP entre redes.
Ao selecion-la, deve-se especificar em Interfaces de Escuta as interfaces nas
quais o gateway escutar broadcasts DHCP e os encaminhar para os servidores,
especificados em Servidores DHCP. No caso de haver mais de um servidor, o
gateway encaminhar as requisies para todos e retornar ao cliente a primeira
resposta recebida.
Servidor DHCP Interno: Esta opo designada para redes pequenas que no
possuem um servidor DHCP ou que possuam em um modem ADSL. Ela permite
que o gateway atue como um servidor DHCP.


268

17.2. DNS

Para ter acesso janela de configurao DNS deve-se

Figura 181 - DNS.
Clicar no menu TCP/IP do gateway que queria administrar.
Escolher o item DNS.

Figura 182 - TCP/IP - DNS
Nesta pasta so configuradas todas as opes relacionadas com a resoluo de nomes ou
DNS. Ela consiste dos seguintes campos:


269

Mquina: Nome da mquina na qual o gateway est rodando.
Domnio: Nome do domnio no qual o gateway est rodando.
DNS Ativo: Esta opo deve ser marcada para ativar a resoluo de nomes via
DNS e desmarcada para desativ-la.
Servidor primrio: Definir o servidor DNS primrio que ser consultado para se
resolver um nome. Ele obrigatrio se a opo DNS ativo estiver marcada.

Servidor secundrio: Definir o servidor DNS secundrio que ser consultado se o
primrio estiver fora do ar. Ele opcional.
Servidor tercirio: Definir o servidor DNS tercirio que ser consultado se o
primrio e o secundrios estiverem fora do ar. Ele opcional.

17.2.1. Interfaces de Rede

Para ter acesso janela de configurao Interfaces de rede deve-se:

Figura 183 - Interfaces de rede.
Clicar no menu TCP/IP do gateway que queira administrar.
Escolher o item Interfaces de rede.



270

Figura 184 - Interfaces de redes.
Nesta aba podem ser configurados os endereos IP atribudos a todas as interfaces
de rede reconhecidas pelo gateway. Ela consiste de uma lista onde so mostrados
os nomes de todas as interfaces e os endereos IP e mscaras de cada uma (
possvel configurar at 31 endereos distintos para cada interface). Caso uma
interface no tenha um endereo IP configurado, os campos correspondentes ao
endereo e mscara sero mostrados em branco. Possui os seguintes campos:
IPv4
IP: Endereo da rede. No pode ser informado um endereo auto-configurado.

Mscara de rede: Informa o endereo da mscara de rede.
Ponto a ponto: Configurao ponto a ponto

Alias
Para configurar ou modificar o endereo IP ou mscara de uma interface e at
mesmo atribuir um alias para a interface, deve-se clicar sobre a entrada do
dispositivo correspondente e usar o menu suspenso que ir surgir:


271

Figura 185 - Menu: configurao ou modificao de endereo IP.
VLAN
Para criar uma VLAN associada a uma interface, deve-se clicar na interface
desejada no lado esquerdo da janela. Aparecer o seguinte menu suspenso:

Figura 186 - Menu de criao: VLAN.
Uma VLAN usa o sistema de VLAN tagging (802.1q) para permitir que, com uma
conexo somente o switch tenha acesso a todas as suas VLANs, inclusive
controlando o acesso entre elas. Para cada uma, uma interface virtual ser criada
dentro do gateway.
Nesse menu tambm permite habilitar o monitoramento e escolher a opo
Habilitar monitoramento, possibilita monitorar todas as interfaces de rede do
cluster e detalhes de replicao de sesso, identificando possveis falhas, caso uma
interface de algum no do cluster falhe "falta de conectividade ou falha de rota, ou
etc." o no do cluster ir desativar todas as outras interfaces e fazer com que outro n
assuma, permitindo assim uma maior disponibilidade dos links.
PPPoE
A opo Usar PPPoE permite definir que esta interface trabalhe com PPPoE (usado
basicamente para a conexo com modems ADSL). Ao ser selecionada, a seguinte
janela ser mostrada:


272

Figura 187 - Configurao PPPoE.
Nome do dispositivo: Este campo indica o nome do dispositivo interno que ser
utilizado na comunicao PPPoE. importante que no caso de que haja mais de
uma interface trabalhando em PPPoE, que eles sejam distintos.

Ativar no boot: Se esta opo estiver marcada, o AWG ativar o PPPoE
automaticamente, ao iniciar a maquina.
Servio PPPoE ativado sob demanda: Se esta opo estiver marcada, o AWG
ativar o servio PPPoE apenas quando houver trfico de rede direcionado atravs
desta interface de rede.
Nome do Usurio: Nome do usurio que ser utilizado na autenticao durante o
estabelecimento da sesso PPPoE.
Senha: Senha que ser utilizada na autenticao durante o estabelecimento da
sesso PPPoE.
Confirmao: Confirmao da senha que ser utilizada na autenticao durante o
estabelecimento da sesso PPPoE.
Provedor: o provedor do servio de PPPoE.

O protocolo IP permite a fragmentao de pacotes, possibilitando que um
datagrama seja dividido em pedaos, cada um pequeno o suficiente para poder ser


273

transmitido por uma conexo com o MTU menor que o datagrama original. Esta
fragmentao acontece na camada IP (camada 3 do modelo OSI) e usa o parmetro
MTU da interface de rede que ir enviar o pacote pela conexo. O processo de
fragmentao marca os fragmentos do pacote original para que a camada IP do
destinatrio possa montar os pacotes recebidos, reconstituindo o datagrama
original.O protocolo da Internet define o "caminho MTU" de uma transmisso
Internet como o menor valor MTU de qualquer um dos hops do IP do path" desde o
endereo de origem at ao endereo de destino. Visto de outro modo, o "caminho
MTU" define o maior valor de MTU que pode passar pelo caminho sem que os seus
pacotes sofram posterior fragmentao.
S possvel configurar endereos IP de interfaces de rede reconhecidas pelo
sistema operacional no qual o gateway est rodando. Caso tenha acrescentado uma
nova interface de rede e seu nome no aparea na lista de interfaces, necessrio
configurar o sistema operacional de forma a reconhecer esta nova interface antes de
tentar configur-la nesta pasta. Valor padro de 1500.
O IP e o prefixo tm que ser informados juntos.
No ser possvel ao usurio remover ou editar os endereos auto-configurados
(que so derivados dos endereos MAC).
As interfaces que estiverem em vermelho, indicam que no esto presentes em
todos os nodos do cluster.


274

17.3. Roteamento

Para acessar a janela de configurao de Roteamento deve-se:

Figura 188 - Roteamento.
Click no menu TCP/IP do AWG que queria administrar.
Selecione o item Roteamento.


275

17.3.1. Geral

Figura 189 - Roteamento - Geral.
Esta janela possibilita configurar rotas IPv4.
A configurao do endereamento IPv4 e consiste dos seguintes campos:
Rede: Configurao dos endereos IP
Mscara de rede: Informa o endereo da mscara de rede
Gateway: Nesse campo deve ser informado o endereo IP do roteador.
Mtrica: o valor de distncia da rede. A distncia pode ser medida, por nmero de
dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por
um valor associado velocidade do link.
Rota Padro: Pode-se especificar o roteador padro, por qual todos os pacotes
sero encaminhados.


276

Para a incluso de uma nova rota, basta clicar no boto direito do mouse e ir
aparecer o menu .
Para remover ou editar uma rota, basta clicar com o boto direito sobre ela.

17.4. Utilizando a Interface Texto na Configurao TCP/IP
possvel configurar os parmetros do TCP/IP pela Interface Texto.
Localizao do programa: /aker/bin/commom/akinterface
O programa interativo e as opes de configurao so as descritas abaixo:

Figura 190 Modulo de configurao para interfaces de rede
Analogamente a configurao da Interface Remota, a Interface Texto possui 6
opes conforme visualizado na figura acima.
Na janela abaixo possvel visualizar, configurar e desconfigurar uma interface de
rede


277

Figura 191 Configurao de interfaces
Na tela abaixo apresentada a opo de listar interfaces

Figura 192 Lista das interfaces de rede
Para configurar uma interface deve-se digitar o nome da mesma. A tecla <enter>
retorna ao menu anterior


278

Figura 193 Nome da interface
Nesta tela apresentada a opo de cadastrar VLAN

Figura 194 Configurar uma interface vlan filha
Aps a digitao dos valores de configurao perguntado se deseja configurar
lias para a interface.


279

Figura 195 - configurar lias para a interface
Com os dados j digitados perguntado se deseja configurar interface para os
novos valores.

Figura 196 - configurar interface para os novos valores
Aps a digitao da Opo 2 da tela principal, possvel realizar a configurao de
rotas estticas.


280

Figura 197 Configurao de rotas estticas
Aps as informaes terem sido digitadas perguntado se deseja gravar as novas
configuraes.

Figura 198 Confirmar nova configurao
Aps a digitao da Opo 3 da tela principal, possvel realizar a configurao dos
Servidores DNS.


281

Figura 199 Configurao DNS
Aps a digitao da Opo 4 da tela principal, possvel realizar a configurao
da rota padro.

Figura 200 Configurao da rota padro


282

Configurando 'ro&y SS0
Re#erso


283

18. Configurando Proxy SSL Reverso
Neste captulo ser mostrado para que servem e como configurar o Proxy SSL no
Aker Web Gateway.

O que um Proxy SSL?
Um Proxy SSL uma VPN cliente-awg, feita atravs do protocolo SSL, e que tem
como principal caracterstica a utilizao do suporte nativo a este protocolo que est
presente em vrias aplicaes: navegadores, leitores de e-mail, emuladores de
terminal, etc. Devido ao suporte nativo destas aplicaes, no necessria a
instalao de nenhum cliente para o estabelecimento da VPN.
O seu funcionamento simples: de um lado o cliente se conecta ao Aker Web
Gateway atravs do protocolo SSL, autenticando-se atravs de certificados X.509
(caso seja o desejo do administrador que a autenticao seja demandada) e o Aker
Web Gateway ento se conecta em claro ao servidor interno. Dessa forma, o cliente
enxerga uma conexo SSL com o servidor e, este, enxerga uma conexo em claro
(transparente) com o cliente.
Utilizando um Proxy SSL
Para utilizar um Proxy SSL em uma comunicao, necessrio executar uma
sequncia de 2 passos:
1. Criar um servio que ser interceptado pelo proxy SSL e edita-se os parmetros
do contexto a ser usado por este servio (para maiores informaes, veja o
captulo intitulado Cadastrando Entidades;
2. Acrescentar servios de perfis SSL, permitindo o uso do servio criado no passo
1, para as redes ou mquinas desejadas (para maiores informaes, veja o item
Configurando regras de Proxy SSL Reverso.
18.1. Editando os parmetros de um contexto SSL
A janela de propriedades de um contexto SSL ser mostrada quando a opo Proxy
SSL for selecionada. Atravs dela possvel definir o comportamento do proxy SSL
quando este for lidar com o servio em questo.


284

A janela de propriedades de um contexto SSL

Figura 201 Janela de propriedades de um contexto SSL aba Geral (F5-aba servio)

Na janela de propriedades so configurados todos os parmetros de um contexto
associado a um determinado servio. Ela consiste de duas abas distintas: a primeira
permite a configurao dos parmetros e a segunda permite a definio do
certificado que ser apresentado ao cliente no estabelecimento da VPN.
Aba Geral
Porta do servidor: Este campo indica a porta que o servidor estar esperando
receber a conexo, em claro, para o servio em questo.
Permitir autenticao de usurio: Este campo, se estiver marcado, indica que os
usurios podem se autenticar no estabelecimento dos Proxies SSL. Caso ele esteja
desmarcado, somente sesses annimas sero autorizadas, o que implica na
utilizao do perfil de acesso padro sempre.


285

Forar autenticao de usurio: Se este campo estiver marcado, no sero
aceitas sesses de Proxy SSL nas quais o usurio no tenha apresentado um
certificado X.509 vlido.
Inatividade do cliente: Este campo indica o tempo mximo em segundos que o
Web Gateway manter a sesso de Proxy SSL ativa (desde que a sesso j tenha
sido estabelecida) sem o recebimento de dados por parte do cliente.
Conexo: Este campo indica o tempo mximo em segundos que o Aker Web
Gateway aguardar pelo estabelecimento da conexo com o servidor.
Autenticao SSL: Este campo indica o tempo mximo em segundos que o Aker
Web Gateway aguardar para que o cliente realize, com sucesso, uma autenticao
SSL.
Avanado: Este boto permite o acesso aos parmetros de configurao que no
so normalmente utilizados. So eles:
Permitir um usurio acessar de IPs diferentes ao mesmo tempo: Este campo,
se estiver marcado, permite que um mesmo usurio estabelea sesses
simultneas a partir de mquinas diferentes. Caso esteja desmarcado, se um
usurio j possuir uma sesso em uma mquina, as tentativas de abertura a partir
de outras mquinas sero recusadas.
Tempo de manuteno de sesso: Como no existe o conceito de sesso em um
Proxy SSL, necessrio que o proxy simule uma sesso, mantendo um usurio
logado por algum tempo aps o fechamento da ltima conexo, caso seja
necessrio impedir que um mesmo usurio acesse simultaneamente mquinas
diferentes. O que este campo especifica por quanto tempo, em segundos, o Web
Gateway deve considerar um usurio como logado aps o fechamento da ltima
conexo.
Permitir o uso de SSL v2: Este campo indica se o Aker Web Gateway deve ou no
aceitar uma conexo SSL usando a verso 2 deste protocolo.
A verso 2 do protocolo SSL possui srios problemas de segurana e
recomendado que ela no seja utilizada, a no ser que isso seja estritamente
necessrio.


286

Aba Certificado

Figura 202 Aba Certificado
Esta aba utilizada para especificar o certificado X.509 que ser apresentado ao
cliente quando ele tentar estabelecer um Proxy SSL. possvel criar uma requisio
que posteriormente ser enviada para ser assinada por uma CA ou importar um
certificado X.509 j assinado, em formato PKCS#12.
Criar requisio:
Este boto permite que seja criada uma requisio que posteriormente ser enviada
a uma CA para ser assinada. Ao ser clicado, sero mostrados os campos do novo
certificado a ser gerado e que devem ser preenchidos. Aps o preenchimento deve-
se clicar no boto OK, que far com que a janela seja alterada para mostrar os
dados da requisio recm criada bem como dois botes para manipul-la: O boto
Salvar em arquivo permite salvar a requisio em um arquivo para que ela seja
ento enviada a uma CA que ir assin-la. O boto Instalar esta requisio
permite importar o certificado j assinado pela CA.
Importar certificado PKCS#12:
Este boto provocar o aparecimento de um dilogo onde pode especificar o nome
do arquivo com o certificado X.509 que ser importado.


287

18.2. Configurando regras de Proxy SSL Reverso

Figura 203 Configurando regras de proxy SSL reverso

Esta aba permite que pessoas que esto externamente rede acessem o servidor
interno por meio de uma conexo SSL.
Servio Proxy SSL: Este campo possibilita o cadastro de um servio que ser
interceptado pelo proxy SSL.
Inicia uma conexo segura que vai comear no Aker Web Gateway. As opes
disponveis nesse campo esto relacionadas s entidades servios criadas.

Na entidade servio, a configurao deve ser feita optando pelo Proxy SSL.
Destino: Indica o servidor interno que ser mapeado. O Aker Web Gateway se
conecta em claro ao servidor interno. Dessa forma, o cliente enxerga uma conexo
SSL com o servidor e este, enxerga uma conexo em claro (transparente) com o
destino.


288

'roteo )lood


289

19. Proteo de Flood
Neste captulo ser mostrado para que servem e como configurar a Proteo de
Flood no Aker Web Gateway.

O que um ataque de Flood?
Os ataques de Flood se caracterizam por existir um elevado nmero de conexes
abertas e estabelecidas contra servidores web, FTP, smtp e etc, a partir de outras
mquinas existentes na Internet que foram invadidas e controladas para perpetrar
ataques de negao de servio (DoS).
A proteo tambm til para evitar abuso do uso de determinados servios (sites
de download, por exemplo) e evitar estragos maiores causados por vrus, como o
NIMDA, que fazia com que cada mquina infectada abrisse centenas de conexes
simultaneamente.
Como funciona a proteo contra Flood do Aker Web Gateway?
O Aker Web Gateway possui um mecanismo que visa impedir que um ataque de
Flood seja bem sucedido. Seu funcionamento baseia na limitao de conexes que
possam ser abertas simultaneamente a partir de uma mesma mquina para uma
entidade que est sendo protegida.
O administrador do Web Gateway deve estimar este limite dentro do funcionamento
cotidiano de cada servidor ou rede a ser protegida.


290

19.1. Utilizando a Interface Remota para Proteo de Flood

Figura 204 Configuraes (Proteo de flood)
Clicar no menu Segurana na janela do Web Gateway.
Escolher o item Proteo de Flood.

A janela de configurao da proteo de Flood

Figura 205 Proteo de flood


291

O boto OK far com que os parmetros de configurao sejam atualizados e a
janela fechada.
O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e
a janela fechada.
O boto Aplicar enviar para o Web Gateway todas as alteraes feitas porm
manter a janela aberta.
Significado dos campos da janela:
Nmero: Corresponde ao nmero da regra de Proteo de Flood.
Origem: Neste campo pode ser uma rede ou mquina de onde poder ser originado
um ataque de DDoS.
Destino: Incluir neste campo mquinas ou redes que deseja proteger.
Servios: Portas de servios que desejam-se proteger. Poder ser includo no
campo mais de uma entidade.
Conexes Mximas: Campo numrico onde deve informar o nmero mximo de
conexes que a entidade pode receber a partir de uma mesma origem.
A quantidade mxima de conexes nas regras de proteo de flood no a
quantidade agregada de conexes a partir da origem especificada, mas sim a
quantidade, por endereo IP nico que encaixa na origem informada, de conexes
simultneas. Desta forma, por exemplo, havendo a necessidade de limitar o nmero
de downloads simultneos por usurio em 2, esse nmero dever ser 2,
independentemente do nmero de usurios que faam os downloads.


292

Configurando o *e+ $ate1ay
em Cluster


293

20. Configurando o Web Gateway em Cluster
Neste captulo mostraremos como configurar a tolerncia a falhas do Aker Web
Gateway.

20.1. Planejando a Instalao

O que um sistema de tolerncia s falhas?
Quanto mais os computadores ganham espao nas empresas, nos escritrios e na
vida das pessoas em geral, mais se ouve falar em "alta disponibilidade". Por um
simples e bom motivo: nenhum usurio quer que a sua mquina pare de funcionar
ou que os recursos de rede no possam mais ser acessados. justamente a alta
disponibilidade que vai garantir a continuidade de operao do sistema na prestao
de servios de rede, armazenamento ou processamento, mesmo se houver falhas
em um ou mais de seus elementos.
Assim, alta disponibilidade hoje um assunto que interessa a um nmero cada vez
maior de usurios. Tornou-se um requisito fundamental para os sistemas que ficam
no ar 24 horas por dia, sete dias por semana, ou que no possam ficar fora do ar
por at mesmo alguns minutos. Afinal, paradas no planejadas podem
comprometer, no mnimo, a qualidade do servio, sem contar os prejuzos
financeiros.
Tolerncia s falhas nada mais que um agrupamento de recursos que fornece ao
sistema a iluso de um recurso nico. A maioria dos seus componentes, encontram-
se duplicados, desta forma, mesmo que um componente individual apresente falhas
o servio no comprometido. Para possibilitar a redundncia de recursos
necessrio um mecanismo de gerncia, de forma a tornar seu funcionamento
transparente.
Como trabalha a Tolerncia s Falhas do Aker Web Gateway?
A tolerncia s falhas do Aker Web Gateway composta por dois sistemas
idnticos, ou seja, duas mquinas com o mesmo Sistema Operacional, mesmas
placas de rede e com a mesma verso do software, conectadas entre si. A
exigncia de se usar o mesmo sistema operacional se d pelo fato de poder aplicar
correes atravs da Interface Remota e essas correes serem replicadas
automaticamente de uma mquina para a outra.
Alm de estarem conectadas entre si, o que deve ser feito por uma interface de
rede, necessrio que todas as placas de rede correspondentes das duas
mquinas estejam conectadas em um mesmo hub ou switch, de forma que ambos
os web gateways tenham acesso s mesmas mquinas e roteadores.


294

20.2. Configurao do Cluster

O que um sistema de tolerncia s falhas?
Quanto mais os computadores ganham espao nas empresas, nos escritrios e na
vida das pessoas em geral, mais se ouve falar em "alta disponibilidade". Por um
simples e bom motivo: nenhum usurio quer que a sua mquina pare de funcionar
ou que os recursos de rede no possam mais ser acessados. justamente a alta
disponibilidade que vai garantir a continuidade de operao do sistema na prestao
de servios de rede, armazenamento ou processamento, mesmo se houver falhas
em um ou mais de seus elementos.
Assim, alta disponibilidade hoje um assunto que interessa a um nmero cada vez
maior de usurios. Tornou-se um requisito fundamental para os sistemas que ficam
no ar 24 horas por dia, sete dias por semana, ou que no possam ficar fora do ar
por at mesmo alguns minutos. Afinal, paradas no planejadas podem
comprometer, no mnimo, a qualidade do servio, sem contar os prejuzos
financeiros.
Tolerncia s falhas nada mais que um agrupamento de recursos que fornece ao
sistema a iluso de um recurso nico. A maioria dos seus componentes, encontram-
se duplicados, desta forma, mesmo que um componente individual apresente falhas
o servio no comprometido. Para possibilitar a redundncia de recursos
necessrio um mecanismo de gerncia, de forma a tornar seu funcionamento
transparente.
Para que possa ser iniciada a configurao do Cluster, necessrio que
previamente exista uma licena de cluster e que j tenha sido aplicada no Web
Gateway.
Para se ter acesso a janela de Configurao do Cluster deve-se:


295

Figura 206 Configuraes (Configurao do cluster)

Clicar no menu Configurao do Sistema na janela de Administrao do Web
Gateway.
Clicar no item Configurao do Cluster.
Caso o usurio opte em configurar, dever clicar no boto "sim", e automaticamente
aparecer a seguinte tela:


296

Figura 207 Criar Cluster
Essa janela permite a criao de um novo cluster. O usurio dever preencher os
seguintes campos:
Nome: Nesse campo deve ser informado o nome do Web Gateway no cluster.
Peso: Esse campo indica o balanceamento do trfego. O administrador poder
escolher o valor mais apropriado.
Interface: Esse campo permite a escolha de uma entidade que representa uma
interface de controle do cluster. Essa entidade ser usada pelo Web Gateway para
controle do cluster.
Boto Ok: Ao trmino da escolha das opes, deve-se clicar no boto Ok. Se a
licena tiver sido aplicada anteriormente, o cluster ser habilitado, caso tenha algum
problema, aparecer uma mensagem informando que no foi possvel habilit-lo.
Se a criao do cluster tiver sido feita com sucesso a Interface Remota ser
desconectada para garantir que toda a configurao seja recarregada, assim o
usurio dever conectar novamente.
Caso o usurio deseje fazer alguma alterao nas configuraes do cluster criado,
dever acessar a Janela de Configurao de Cluster. Abaixo seguem as descries
dos campos:


297

Figura 208 Configurao do cluster
Informaes Gerais
Nessa parte da janela so mostradas informaes gerais do cluster criado.
Tipo de Cluster: Esta opo permite selecionar o tipo de cluster desejado ou
desabilit-lo.
Interface de Controle: Essa informao definida na hora da habilitao do
cluster, no podendo ser alterada posteriormente. Todos os seus outros membros
utilizaro essa mesma entidade.
Informaes dos Membros
Nessa parte da Janela mostra todas as informaes sobre os membros do cluster.
Identificao: Esse campo informa o ID do Cluster. gerado aleatoriamente, no
podendo ser alterado.
Nome: Indica o nome do Web Gateway do cluster.


298

Estado: Permite visualizar o status do cluster, se est ativado ou desativado
Interfaces
Nessa parte da janela permite a visualizao das caractersticas de configurao
das interfaces de rede dos membros do cluster. Essas caractersticas pertencem a
todos os membros, incluindo os ativados, desativados e os que vierem a ser
includos.
Interface: Nesse componente permite adicionar uma nova interface.
Virtual IP: o IP virtual que representa as mquinas do cluster para a rede atual.
Dever ser definido apenas nos casos de cluster cooperativos.
Modo: Esse campo informa o modo como os pacotes so redistribudos dentro de
um grupo de mquinas. O modo UNICAST o padro, mas pode ser alterado para
o modo Multicast ou Multicast com IGMP.
IP Multicast : As informaes contidas nesse campo, so alteradas de acordo com
o modo indicado/escolhido, mas s poder ser editado quando for escolhido o modo
multicast IGMP.
Mac: Esse campo indica o endereo fsico da placa de rede. Pode ser informado
quando o modo escolhido for o Multicast. Caso no seja especificado o cluster,
vai ser utilizado o endereo que consta na placa, se for escolhido o modo Multicast
IGMP o MAC no ser configurado, ou seja, no poder ser editado.
A opo de adicionar um IP virtual s vlida quando se tratar de cluster
cooperativo.
Observao: Deve haver no mnimo um membro ativo.
Nessa janela pode-se incluir um novo membro do cluster. Para inclu-lo, clique com
o boto direito do mouse no componente que mostra as informaes dos membros.
Clique no cone , e a janela abaixo ser exibida:


299

Figura 209 Adicionar novo Web Gateway no cluster

Nesta janela deve ser preenchida todas as informao do Web Gateway que ser
adicionado ao cluster. Abaixo segue a descrio dos campos:
Informao da conexo
IP: o endereo IP do Web Gateway a ser adicionado ao cluster.
Usurio: Usurio de administrao do Web Gateway.
Senha: Senha do usurio administrador do Web Gateway.
Informao do Web Gateway
Nome: Nome do Web Gateway no cluster
Hierarquia: Permite definir o status do cluster em mestre, escravo e nenhum.
Podendo ser definido previamente qual status funcione (mestre ou escavo) ou
selecionado a opo nenhum (para ser escolhido automaticamente).


300

O membro do cluster, tambm pode ser includo por meio do cone
presente na barra de ferramentas.

20.3. Estatstica do Cluster

A janela de estatstica do Cluster permite a visualizao das informaes de cada
n do cluster.
Para se ter acesso a janela de Estatstica do Cluster deve-se:

Figura 210 Informao (Estatstica do Cluster)
Clicar no menu Informao na janela de Administrao do Web Gateway.
Clicar no item Estatstica do Cluster.
Aba Web Gateway 1

A janela possui dois tipos de informaes: as informaes estticas se referem ao
nome do nodo, o identificador e o peso. As outras informaes que constam na
janela so estatsticas do trfego de redes que permite, por exemplo, a visualizao
da quantidade de pacotes trafegados na rede.
Os valores so acumulativos, a cada segundo os dados so somados ao valor
anterior.


301

Figura 211 - Estatstica do Cluster (aba nod)

Aba Grfico
Esta janela permite a visualizao grfica das informaes referentes ao tratamento
dado, aos pacotes dos nodos, pelo Web Gateway. Esse grfico permite a
visualizao de at 8 nodos.
As informaes do trfego de cada nodo so mostradas em porcentagem. Esta aba
possui vrios tipos de filtros, permitindo ao usurio, para uma eventual comparao
de dados, filtrar informaes em percentual, das atividades de cada Web Gateway.


302

Figura 212 - Estatstica do Cluster (aba Grfico)


A utilizao da Interface Texto na configurao da tolerncia s falhas bastante
simples. E possvel usar todos os comandos sem o prefixo FW, para isso execute
o comando fwshell, ento todos os comando podero ser acessados sem o prefixo
FW).
Localizao do programa: /aker/bin/awg/fwcluster
Sintaxe:
fwcluster [ajuda | mostra]
fwcluster interface_controle <if>
fwcluster peso <peso>
fwcluster <habilita | desabilita>


303

fwcluster <inclui | remove> <if> [maquina | -f]
fwcluster <modo> <if> [multicast [igmp <ip>] [mac <mac>] | unicast]
Ajuda do programa:
Web Gateway
Uso: fwcluster [ajuda | mostra]
fwcluster tipo <off | failover | ha>
fwcluster interface_controle <if>
fwcluster peso <peso>
fwcluster nome <nome>
fwcluster <habilita | desabilita> [master / slave] [ -f ]
fwcluster <inclui | remove> <if> <maquina> [ -f ]
fwcluster <modo> <if> [multicast [igmp <ip>] [mac <mac>] | unicast]
fwcluster limpa [ -f ]


304

Aker *e+ $ate1ay


305

21. Aker Web Gateway
Neste captulo, mostraremos os comandos que podem ser utilizados no shell do
Aker Web Gateway.

O Aker Web Gateway
O Aker Web Gateway composto por um sistema integrado de hardware e
software. A grande vantagem dessa plataforma que ela dispensa maiores
conhecimentos de sistemas operacionais. Alm disso, por no possuir disco rgido e
por ser formada por um hardware industrial, a plataforma apresenta potencialmente
maior resistncia contra danos, especialmente picos de energia, o que acaba por
possibilitar um funcionamento ainda mais estvel.
O Aker Web Gateway est disponvel em diversos modelos, que visam atender as
necessidades de pequenas, mdias e grandes empresas.
A lista completa dos modelos disponveis freqentemente atualizada e est
disponvel em:
http://www.aker.com.br/node/70
Como funciona o shell do Aker Web Gateway ?
Ao conectar-se um terminal serial comum configurado a 9600 bps porta serial
correspondente no Aker Web Gateway, ser possvel utilizar a interface de linha de
comando do mesmo, isto , seu shell.
Ao se realizar esse procedimento, primeiro ser necessrio apertar a tecla Enter at
que aparea o pedido de senha, que inicialmente '123456'. Entrando-se
corretamente a senha, o prompt seguinte aparecer:
Aker >
Caso tenha perdido a senha de acesso local ao Aker Web Gateway, deve-se
entrar em contato com o suporte tcnico, para realizar o procedimento de reset da
mesma.
No prompt do shell, podem ser digitados todos os comandos normais do Aker Web
Gateway, conforme documentados nos tpicos relativos Interface Texto de cada
captulo. Alm desses, existem comandos especficos ao Aker Web Gateway que
esto documentados abaixo.
possvel digitar os comandos do Aker Web Gateway no shell sem o prefixo
fw, isto , entrar com o comando ent ao invs de fwent. Para isso entre com o


306

comando Akshell, antes de fazer qualquer operao, assim todos os comandos
estaro disponveis sem o prefixo FW.
Para sair do shell, pode-se ou digitar os comandos exit ou quit ou simplesmente
apertar as teclas Ctrl + D.
Comandos especficos do Aker Web Gateway
Comando
quit
exit
Descrio Encerram a sesso de administrao no shell

Comando
help
?
Descrio Mostram uma tela com a lista de comandos vlidos

Comando shutdown
Descrio
Paralisa o Aker Web Gateway, para que ele possa ser
desligado

Comando reboot
Descrio Reinicia o Aker Web Gateway

Comando ping [-c n_pkt] [-i interv] ip_destino
Descrio
Envia pacotes ping para e espera a resposta do hosts
ip_destino
A opo -c especifica o nmero de pacotes a serem enviados
A opo -i especifica o intervalo de transmisso entre os
pacotes em milisegundos (ms)


307

Comando password
Descrio Troca a senha de acesso ao console do Aker Web Gateway

Comando date <mostra> | <dd/mm/aaaa>
Descrio
Com o parmetro mostra , informa a data do sistema.
Seno, acerta a data para a informada.

Comando time <mostra> | <hh:mm[:ss]>
Descrio
Com o parmetro mostra , informa a hora do sistema.
Seno, acerta o relgio para o horrio informado.

Comando hd <-habilita | -desabilita>
Descrio Habilita ou desabilita o uso de um disco rgido

Comando hd_format
Descrio Permite formatar o disco.

Comando hd_check
Descrio
Permite a checagem do disco, procura por erros e, caso os
encontrem, corrige-os.


308

Ap2ndice A 3 ,ensagens do
Sistema


309

22. Apndica A Mensagens do Sistema
Neste apndice esto listadas as mensagens do sistema.

22.1. Mensagens dos eventos do Aker Web Gateway

000 - Aker Web Gateway - Inicializao completa
Esta mensagem tem carter puramente informativo, servindo para determinar os
horrios que o Aker Web Gateway entrou em funcionamento. Ela ser produzida a
cada reinicializao da mquina.
001 - Erro de alocao de memria
Esta mensagem indica que algum mdulo do Aker Web Gateway tentou alocar
memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com pouca
memria RAM utilizando converso de endereos com um grande nmero de
conexes simultneas ou com um grande nmero de conexes ativas passando
pelos proxies do Aker Web Gateway.
Soluo: Adquira mais memria RAM ou aumente as parties de swap.
002- Dados invlidos recebidos pelo mdulo do Kernel
Esta mensagem indica que o pacote de carga de dados que foi enviado para o
kernel invlido.
003- Erro ao ler o arquivo de parmetros
Esta mensagem produzida por qualquer um dos mdulos externos ao tentar ler o
arquivo de parmetros do sistema e constatar que este no existe ou no pode ser
lido.
Soluo: Reinicialize a mquina, que o programa de inicializao ir recriar o
arquivo de parmetros. Se isso no funcionar, contate o suporte tcnico.
004- Erro ao carregar perfis de acesso
Esta mensagem indica que o servidor de autenticao ou o servidor de login de
usurios no conseguiu carregar a lista de perfis de acesso cadastrados no sistema.
Soluo: Contate o suporte tcnico.


310

Esta mensagem indica que algum processo servidor do Aker Web Gateway no
conseguiu carregar a lista de entidades cadastradas no sistema.
006- Nome de perfil de acesso invlido
Esta mensagem indica que o servidor de autenticao ao procurar o perfil de acesso
de um usurio constatou que o mesmo no se encontra cadastrado no sistema.
007 - Erro ao criar socket de conexo
Esta mensagem indica que algum dos mdulos externos tentou criar um socket e
no conseguiu.
Soluo: Verifique o nmero de arquivos que podem ser abertos por um processo e
o nmero total para o sistema. Se necessrio aumente estes valores. Para maiores
informaes de como fazer isso, contate o suporte tcnico.
008 - Tamanho da linha excessivo
Esta mensagem indica que algum proxy do Aker Web Gateway recebeu uma linha
com um nmero excessivo de caracteres e devido a isso, derrubou a conexo. A
informao complementar entre parnteses indica o endereo IP da mquina que
causou o problema.
Soluo: Esta mensagem causada por um servidor ou cliente fora dos padres
das RFCs. A nica soluo possvel para o problema contatar o administrador da
mquina causadora da mensagem.
009 - URL aceita
Esta mensagem indica que o proxy WWW aceitou um pedido de uma URL feito por
um usurio. A mensagem complementar entre parnteses indica o nome do usurio
que fez a requisio. A linha de mensagem seguinte indica o endereo IP da
mquina da qual a requisio se originou e a terceira linha indica qual URL foi
acessada.
Esta mensagem somente ser produzida para URLs do protocolo HTTP quando
elas resultarem em cdigo HTML. Para os protocolos FTP e Gopher, ela ser
gerada para cada requisio aceita, independente do seu tipo.
010 - URL rejeitada
Esta mensagem indica que o proxy WWW rejeitou um pedido de uma URL feito por
um usurio. A mensagem complementar entre parnteses indica o nome do usurio
que fez a requisio. A linha de mensagem seguinte indica o endereo IP da


311

mquina da qual a requisio se originou e a terceira linha indica qual URL que o
usurio tentou acessar.
011 - Banner removido
Esta mensagem indica que o proxy WWW substitui uma requisio por uma imagem
em branco, visto que a URL se encaixou nas regras de filtragem de banners. A
mensagem complementar entre parnteses indica o nome do usurio que fez a
requisio. A linha de mensagem seguinte indica o endereo IP da mquina da qual
a requisio se originou e a terceira linha indica qual URL que o usurio tentou
acessar.
012 - Erro ao comunicar com servidor de autenticao
Esta mensagem indica que um dos proxies no conseguiu se comunicar com o
servidor de autenticao quando tentou realizar a autenticao de um usurio.
Devido a isso, o usurio no foi autorizado a continuar e a sua conexo foi
recusada.
Soluo: Verifique se o processo do servidor de autenticao est ativo no Aker
Web Gateway. Para fazer isso, execute o comando
#ps -ax | grep fwauthd | grep -v grep. Caso o processo no aparea, execute-o
com o comando /etc/AWCA Gateway/fwauthd. Se o processo estiver ativo ou se
este problema voltar a ocorrer, contate o suporte tcnico.
013 - Erro ao conectar com agente de autenticao
Esta mensagem indica que o servidor de autenticao no conseguiu se conectar
ao agente de autenticao que estaria rodando em uma determinada mquina. A
mensagem complementar indica o nome do agente de autenticao que no pode
ser conectado e o endereo IP que ele supostamente estaria rodando.
Soluo: Verifique se o endereo IP da mquina onde o agente estaria rodando est
correto na definio do autenticador (para maiores informaes, veja o captulo
intitulado Cadastrando Entidades e que o agente est realmente sendo executado
na mquina em questo.
014 - Erro de comunicao com agente de autenticao
Esta mensagem indica que o servidor de autenticao conseguiu se conectar ao
agente de autenticao, porm no conseguiu estabelecer uma comunicao. A
mensagem complementar indica o nome do agente de autenticao que provocou o
problema.
Soluo: Verifique se a senha de acesso na definio do autenticador est igual a
senha colocada na configurao do agente de autenticao. Para maiores
informaes, veja o captulo intitulado Cadastrando Entidades.


312

015 - Erro ao conectar com servidor de antivrus
Esta mensagem indica que o Aker Web Gateway no conseguiu se conectar ao
servidor de antivrus que estaria rodando em uma determinada mquina. A
mensagem complementar indica o nome do servidor que no pode ser conectado e
o endereo IP que ele supostamente estaria rodando.
Soluo: Verifique se o endereo IP da mquina onde o agente estaria rodando est
correto na definio da entidade (para maiores informaes, veja o captulo
intitulado Cadastrando Entidades e que o agente est realmente sendo executado
na mquina em questo.
016 - Erro de comunicao com servidor de anti-vrus
Esta mensagem indica que o Aker Web Gateway conseguiu se conectar ao servidor
de anti-vrus porm no conseguiu estabelecer uma comunicao. A mensagem
complementar indica o nome do agente anti-vrus que provocou o problema e o
endereo IP da mquina onde ele est rodando.
Soluo: Verifique se a senha de acesso na definio da entidade est igual a
senha colocada na configurao do agente anti-vrus. Para maiores informaes,
veja o captulo intitulado Cadastrando Entidades.
017 - Erro ao conectar com Web Content Analyzer
Esta mensagem indica que o Aker Web Gateway no conseguiu se conectar ao
Web Content Analyzer que estaria rodando em uma determinada mquina. A
mensagem complementar indica o nome do analisador que no pode ser conectado
e o endereo IP que ele supostamente estaria rodando.
Soluo: Verifique se o endereo IP da mquina onde o analisador estaria rodando
est correto na definio da entidade (para maiores informaes, veja o captulo
intitulado Cadastrando Entidades e que ele est realmente sendo executado na
mquina em questo.
018 - Erro de comunicao com Web Content Analyzer
Esta mensagem indica que o Aker Web Gateway conseguiu se conectar no Web
Content Analyzer porm no conseguiu estabelecer uma comunicao. A
mensagem complementar indica o nome do analisador que provocou o problema e
o endereo IP da mquina onde ele est rodando.
Soluo: Verifique se a senha de acesso na definio da entidade est igual a
senha colocada na configurao do Web Content Analyzer. Para maiores
informaes, veja o captulo intitulado Cadastrando Entidades.
019 - Falha de autenticao para proxy


313

Esta mensagem indica que um usurio informou uma senha invlida ao tentar
autenticar-se em um determinado proxy. As mensagens complementares indicam o
nome do usurio e as mquinas de origem e destino (no caso de proxy
transparente) da conexo.
020 - Usurio no cadastrado para proxy
Esta mensagem indica que um usurio no cadastrado tentou se autenticar em um
determinado proxy. A mensagem complementar indica as mquinas de origem e
destino (no caso de proxy transparente) da conexo.
021- Erro ao enviar dados para o kernel do Aker Web Gateway
Esta mensagem indica que algum dos mdulos externos tentou enviar informaes
para os mdulos do Aker Web Gateway que rodam dentro do kernel e no
conseguiu. Se existir uma mensagem complementar entre parnteses, esta indicar
quais informaes estavam sendo enviadas.
022 - Falha de autenticao para perfil de acesso
Esta mensagem indica que um usurio informou uma senha invlida ao tentar se
logar no Aker Web Gateway utilizando o Cliente de Autenticao Aker. As
mensagens complementares indicam o nome do usurio e a mquina de origem da
requisio.
023 - Usurio no cadastrado para perfil de acesso
Esta mensagem indica que um usurio no cadastrado tentou se logar no Aker Web
Gateway utilizando o Cliente de Autenticao Aker. A mensagem complementar
indica a mquina de origem da requisio.
024 - Sesso de perfil de acesso estabelecida
Esta mensagem indica que um usurio se logou corretamente no Aker Web
Gateway utilizando o Cliente de Autenticao Aker. As mensagens complementares
indicam o nome do usurio que estabeleceu a sesso e a mquina a partir da qual a
sesso foi estabelecida.
025 - Sesso de perfil de acesso finalizada
Esta mensagem indica que um usurio finalizou uma sesso no Aker Web Gateway
estabelecida atravs do Cliente de Autenticao Aker. As mensagens
complementares indicam o nome do usurio que finalizou a sesso e a mquina a
partir da qual a sesso foi finalizada.
026 - Requisio de perfil de acesso invlida
Esta mensagem, que pode ter vrias causas, indica que o servidor de login de
usurios recebeu uma requisio invlida de um Cliente de Autenticao Aker.


314

As mensagens complementares indicam qual a causa do problema e o endereo da
mquina de origem da requisio.
027- Conflito de verso de cliente de autenticao
Esto sendo usadas duas verses diferentes de cliente de autenticao no mesmo
IP: uma que suporta mltiplos usurios logados e outra que no.
028- Erro ao carregar pseudo-grupos
Esta mensagem indica que o Aker Web Gateway no conseguiu carregar a lista de
pseudo-grupos das autoridades certificadoras.
Soluo: Contate o suporte tcnico
029- Erro ao carregar certificado
Esta mensagem gerada quando no foi possvel carregar um certificado X509.
030- Erro ao baixar CRL
Essa mensagem indica que o Aker Web Gateway no conseguiu baixar a lista de
certificados revogados (CRL) de uma autoridade certificadora. As mensagens
complementares mostram a razo pela qual no foi possvel baixar a lista e a URL
da qual se tentou baix-la.
Soluo: Verifique que a URL informada na definio da entidade do tipo autoridade
certificadora est correta e que o servio est no ar. possvel fazer isso digitando-
se a URL em um browser e verificando se possvel se receber o arquivo.
031 - Nmero de processos excessivo no sistema
Esta mensagem indica que algum dos mdulos externos do Aker Web Gateway, ao
tentar criar uma nova instncia de si prprio para tratar uma conexo, detectou que
o nmero de processos executando no sistema est prximo do limite mximo
permitido. Diante disso, a criao do novo processo foi cancelada e a conexo que
deveria ser tratada pelo novo processo foi abortada.
Soluo: Aumente o nmero mximo de processos no sistema. Para maiores
informaes, consulte o Apndice B - Perguntas e respostas.
032 - Pedido de conexo de administrao
Esta mensagem gerada pelo mdulo de administrao remota do Aker Web
Gateway todas as vezes que este recebe um pedido de abertura de conexo. Na
mensagem complementar mostrado o endereo IP da mquina que solicitou a
abertura de conexo.
033 - Sesso de administrao estabelecida


315

Esta mensagem gerada pelo mdulo de administrao remota do Aker Web
Gateway quando um usurio consegue se autenticar corretamente e iniciar uma
sesso de administrao. Na mensagem complementar mostrado o login do
usurio que estabeleceu a sesso e os seus direitos.
Os direitos do usurio so representados atravs de trs siglas independentes.
Caso o usurio possua um determinado direito ser mostrada a sigla
correspondente a ele, caso contrrio ser mostrado o valor "--". As siglas e seus
significados so os seguintes:
CF - Configura Aker Web Gateway
CL - Configura Log
GU - Gerencia usurios
034- Sesso de administrao finalizada
Esta mensagem indica que a sesso de administrao estabelecida anteriormente
foi terminada a pedido do cliente.
035- Usurio no cadastrado para administrao
Esta mensagem indica que um usurio no cadastrado no sistema tentou
estabelecer uma sesso de administrao.
036 - Erro de confirmao de sesso de administrao
Esta mensagem indica que um usurio cadastrado no sistema tentou estabelecer
uma sesso de administrao remota porm sua senha estava incorreta. A
mensagem complementar mostra o nome do usurio em questo.
037 - Aker Web Gateway sendo administrado por outro usurio
Esta mensagem indica que um usurio conseguiu se autenticar corretamente para
estabelecer uma sesso de administrao remota, porm j existia um outro usurio
com uma sesso aberta para a mesma mquina e por isso a conexo foi recusada.
A mensagem complementar indica qual o usurio que teve sua sesso recusada.
038 - Alterao de parmetro
Esta mensagem indica que o administrador que estava com a sesso de
administrao aberta alterou algum parmetro de configurao do sistema. A
mensagem complementar indica o nome do parmetro que foi alterado.
039 - Alterao da configurao de SNMP
administrao aberta alterou os parmetros de configurao do agente SNMP.
040- Alterao dos perfis de acesso


316

administrao aberta alterou a lista de perfis de acesso.
041 - Alterao da lista de controle de acesso
administrao aberta alterou a lista de controles de acesso.
042 - Alterao de parmetros de autenticao
administrao aberta alterou os parmetros globais de autenticao.
043 - Alterao de entidades
administrao aberta alterou a lista de entidades do sistema.
044 - Alterao de parmetros WWW
administrao aberta alterou os parmetros WWW.
045 - Remoo de sesso de usurio ativa
administrao aberta removeu uma das sesses de usurios que estavam logados
no Aker Web Gateway atravs do Cliente de Autenticao Aker.
046 - Operao sobre o arquivo de eventos
administrao aberta realizou uma operao sobre o arquivo de eventos. As
operaes possveis so Compactar e Apagar. A mensagem complementar indica
qual destas operaes foi executada.
047 - Operao sobre o arquivo de usurios
administrao aberta realizou uma operao sobre o arquivo de usurios. As
operaes possveis so Incluir, Excluir e Alterar. A mensagem complementar indica
qual destas operaes foi executada e sobre qual usurio.
048 - Alterao na data/hora do Sistema
administrao aberta alterou a data e/ou a hora do Aker Web Gateway.
049 - Alterao nos certificados


317

administrao aberta alterou a lista de certificados das entidades certificadoras ou
de revogao do Aker Web Gateway.
050 - Alterao da configurao de TCP/IP
administrao aberta alterou a configurao de TCP/IP do AWCA Gateway
(hostname, configurao de DNS, configurao de interfaces ou rotas).
051- Alterao nas licenas de ativao
A licena de ativao de um ou mais produtos foi alterada.
052 - Queda de sesso de administrao por erro
Esta mensagem indica que a sesso de administrao que estava ativa foi
interrompida devido a um erro de protocolo de comunicao.
Soluo: Experimente estabelecer a conexo novamente. Se o problema voltar a
ocorrer, consulte o suporte tcnico.
053 - Queda de sesso de administrao por inatividade
Quando uma interface remota estabelece uma conexo de administrao, ela passa
a enviar periodicamente pacotes para o Aker Web Gateway indicando que ela
continua ativa. Estes pacotes so enviados mesmo que usurio no execute
nenhuma operao.
Esta mensagem indica que a sesso de administrao que estava ativa foi
interrompida devido a um tempo limite ter sido atingido, sem o servidor ter recebido
nenhum pacote da interface remota. A sua causa mais provvel uma queda na
mquina que rodava a interface grfica ou uma queda na rede.
054 - Erro na operao anterior
Esta mensagem indica que a ltima operao executada pelo servidor de
comunicao remota no foi executada com sucesso.
Soluo: Verifique se existe espao disponvel no diretrio '/' do Aker Web Gateway.
Isto pode ser feito atravs do comando "$df -k". Se este comando mostrar o
diretrio '/' com 100% de espao utilizado, ento isto a causa do problema. Caso
exista espao disponvel e ainda assim este erro aparea, consulte o suporte
tcnico.
055 - Usurio sem direito de acesso
Esta mensagem indica que o usurio tentou realizar uma operao que no lhe era
permitida.


318

Soluo: Esta mensagem no deve ser mostrada em condies normais de
funcionamento do Aker Web Gateway. Se ela aparecer, contate o suporte tcnico.
056 - Pacote no reconhecido
Esta mensagem indica que o servidor de comunicao do Aker Web Gateway
recebeu uma requisio de servio desconhecida.
057 - Pedido de fluxo inexistente
Esta mensagem indica que uma inconsistncia interna ocorreu, de forma que um
fluxo de dados para controle de banda (QoS), no foi encontrado.
058 - Pedido de pipe inexistente
Esta mensagem indica que uma inconsistncia interna ocorreu, de forma que um
pipe para controle de banda (QoS), no foi encontrado.
059 - Erro executando shell
Esta mensagem informa que um erro grave de configurao foi encontrado que
impede o login no console do Aker Web Gateway. Contate o suporte tcnico de seu
revendedor.
060 - Erro lendo licena
Esta mensagem indica que as informaes de licena do Aker Web Gateway esto
com algum problema srio que impedem sua leitura. Reinsira a chave de ativao
no Aker Web Gateway.
061 - Tentativa de login (console) frustada por senha incorreta
Esta mensagem indica que algum tentou efetuar login no console do Aker Web
Gateway, mas no tinha a senha correta.
062 - Sistema com defeito irremedivel. Contate o revendedor
Esta mensagem informa que um erro grave de configurao foi encontrado que
impede o login no console do Aker Web Gateway. Contate o suporte tcnico de seu
revendedor.
063 - Login no console efetuado
Esta mensagem registra o fato de algum operador ter efetuado login no console do
Aker Web Gateway.
064 - Arquivo com vrus desinfectado


319

Esta mensagem indica que um arquivo analisado pelo Aker Web Gateway estava
com vrus mas foi desinfectado.
065 - Arquivo com vrus bloqueado
Esta mensagem indica que um arquivo estava com vrus e no pode ser removido,
por isso o arquivo foi bloqueado.
066 - Arquivo no pode ser analisado pois estava corrompido
Esta mensagem indica que o antivrus do Aker Web Gateway no pode analisar o
arquivo pois o mesmo estava corrompido.
067 - Arquivo no pode ser analisado pois estava cifrado
Esta mensagem indica que o antivrus do Aker Web Gateway no pode analisar o
arquivo pois o mesmo estava cifrado.
068 - Mensagem do sistema operacional
Esta mensagem utilizada para reportar mensagens produzidas pelo kernel do
sistema operacional, que normalmente seriam mostradas no console.
069 - Erro ao criar processo
Esta mensagem indica que o Aker Web Gateway tentou criar um novo processo
para cuidar de uma determinada tarefa e no conseguiu. Possveis causas de erro
so memria insuficiente no Aker Web Gateway ou nmero de processos ativos
excessivamente alto.
070 - Processo recriado
Esta mensagem indica que o processo de monitoramento do Aker Web Gateway
recriou um processo crtico do sistema que no estava mais rodando. Se esta
mensagem aparecer frequentemente, necessrio contatar o suporte tcnico para
determinar a causa do problema.
071 - Processo foi interrompido
Esta mensagem indica que o processo de monitoramento do Aker Web Gateway
detectou que um processo crtico do sistema no estava mais rodando. Se esta
mensagem aparecer frequentemente, necessrio contatar o suporte tcnico para
determinar a causa do problema.
072 - Erro de rede
Esta uma mensagem genrica para erros de rede. Favor verificar os
complementos para maiores informaes sobre sua causa.


320

073 - Conexo TCP aceita pelo proxy reverso SSL
Esta mensagem indica que o Aker Web Gateway recebeu uma conexo de Proxy
Reverso SSL e a aceitou.
074 - Conexo TCP recusada pelo proxy reverso SSL
Esta mensagem indica que o Aker Web Gateway recebeu uma conexo de Proxy
Reverso SSL e a recusou.
075 - Conversao do MSN Messenger iniciada
Esta mensagem gerada quando um usurio abre a janela de conversao no MSN
Messenger, passando atravs do Aker Web Gateway.
076 - Conversao do MSN Messenger finalizada
Esta mensagem gerada quando um usurio fecha a janela de conversao no
MSN Messenger, passando atravs do Aker Web Gateway.
077 - Tempo dirio de uso de MSN Messenger excedido
Esta mensagem indica que o tempo dirio de conversa atravs do MSN Messenger
para o usurio em questo foi exercido. Este usurio no mais poder acessar o
Messenger no dia corrente.
078 - Convite para transferncia de arquivo via MSN Messenger permitido
Esta mensagem gerada quando um pedido de transferncia de arquivo atravs do
Messenger foi recebido e aceito pelo Aker Web Gateway.
079 - Transferncia de arquivo via MSN Messenger bloqueada
Esta mensagem gerada quando um pedido de transferncia de arquivo atravs do
Messenger foi recebido e rejeitado pelo Aker Web Gateway.
080 - Convite para uso de aplicativo via MSN Messenger permitido
Esta mensagem gerada quando um pedido de uso de aplicativo (jogos, video, etc)
atravs do Messenger foi recebido e aceito pelo Aker Web Gateway.
081 - Uso de aplicativo via MSN Messenger no permitido
Esta mensagem gerada quando um pedido de uso de aplicativo (jogos, video, etc)
atravs do Messenger foi recebido e rejeitado pelo Aker Web Gateway.
082 - Conexo encerrada por timeout


321

Esta mensagem indica que uma conexo com um servidor do servio MSN
Messenger foi encerrada por timeout. Verifique se o acesso Internet est
funcionando corretamente.
083 - Erro analisando a mensagem
Esta mensagem indica que o Aker Web Gateway detectou um erro de parser em
uma mensagem do MSN Messenger. Caso esta mensagem aparea, favor contatar
o suporte tcnico.
084- Servidor MSN Messenger no responde
Esta mensagem indica que os servidores do servio MSN Messenger no esto
respondendo. Verifique se a conexo com a Internet est funcionando corretamente.
085 - Usurio entrou no MSN Messenger
Esta mensagem gerada todas as vezes que um usurio se autentica no servio
MSN Messenger atravs do Aker Web Gateway.
086 - Usurio saiu do MSN Messenger
Esta mensagem gerada todas as vezes que um usurio sai do servio MSN
Messenger, passando atravs do Aker Web Gateway.
087 - Usurio sem permisso tentou entrar no MSN Messenger
Esta mensagem gerada todas a vezes que um usurio sem permisso tenta
acessar o servio MSN Messenger passando atravs do Aker Web Gateway.
088 - Mensagem de debug do Antivrus
Esta uma mensagem com prioridade de depurao gerada pelo antivrus.
Verifique os complementos para maiores informaes.
089 - Informao do Antivrus
Esta uma mensagem com prioridade de informao gerada pelo antivrus.
Verifique os complementos para maiores informaes.
090 - Aviso importante do Antivrus
Esta uma mensagem com prioridade de aviso gerada pelo antivrus. Verifique os
complementos para maiores informaes.
091 - Mensagem de alerta do Antivrus


322

Esta uma mensagem com prioridade de alerta gerada pelo antivrus. Verifique os
092 - O Antivrus encontrou um erro
Esta uma mensagem com prioridade de erro gerada pelo antivrus. Verifique os
093 - Mensagem de debug do Web Content Analyzer
Esta uma mensagem com prioridade de depurao gerada pelo Aker Web Content
Analyzer. Verifique os complementos para maiores informaes.
094 - Informao do Web Content Analyzer
Esta uma mensagem com prioridade de informao gerada pelo Aker Web
Content Analyzer. Verifique os complementos para maiores informaes.
095 - Aviso importante do Web Content Analyzer
Esta uma mensagem com prioridade de aviso gerada pelo Aker Web Content
096 - Mensagem de alerta do Web Content Analyzer
Esta uma mensagem com prioridade de alerta gerada pelo Aker Web Content
097 - O Web Content Analyzer encontrou um erro
Esta uma mensagem com prioridade de erro gerada pelo Aker Web Content
098 - Relatrio gerado e publicado com sucesso
Esta mensagem indica que um relatrio que estava agendado foi gerado e
publicado com sucesso pelo Aker Web Gateway.
099- Erro conectando ao servio de quotas
No foi possvel se conectar ao servidor de quotas.
100- Erro carregando lista de categorias
No foi possvel carregar uma entidade do tipo lista de categorias.
101- Erro de comunicao como o servio de quotas
O servidor de quotas no est respondendo.


323

102- Quota de bytes expirada
A quota de trfego de um usurio expirou.
103- Quota de bytes insuficiente para a operao
No existe quota suficiente para um usurio fazer a transferncia que ele tentou
realizar (o tamanho do arquivo a ser transferido maior do que a quota).
104- Quota de tempo expirada
A quota de tempo de navegao de um usurio expirou.
105- Consumo de quotas
Esta mensagem gerada periodicamente pelo servio de quotas quando um
usurio utilizou parte de sua quota de trfego ou tempo. Ela posteriormente usada
pelo gerador de relatrios para traar grficos de uso de quotas.

22.1.1. Eventos gerados pelo Filtro Web

TAG MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO
DA MENSAGEM, MSG1, MSG2
ERRO_AUTH_PROXY Usuario/Autenticado ip Origem
16/01/2010,15:28:51,Info,340, Proxy HTTP, Falha de autenticacao para proxy
,rodrigo.aranha/AD,source: 10.4.0.186

NAO_CADASTRADO_PROXY NULL ORIGEM 16/01/2010,15:28:51,Info,340,
Proxy HTTP, Usuario nao cadastrado para proxy, , source: 10.4.0.186

HTTP_VIRUS_CLEANED NOME DO VIRUS URL do virus
20/01/2010,10:43:17,Warning,246,Proxy HTTP,Arquivo com virus
desinfectado,EICAR_Test,http://www.eicar.org/download/eicarcom2.zip

HTTP_VIRUS_BLOCKED NOME DO VIRUS URL do virus
20/01/2010,10:43:17,Warning,247,Proxy HTTP,Arquivo com virus
bloqueado,EICAR_Test,http://www.eicar.org/download/eicarcom2.zip


324

HTTP_VIRUS_NS_CORRUPT NULL URL do Virus
20/01/2010,10:43:17,Warning,248,Proxy HTTP,Arquivo nao pode ser
analisado pois estava corrompido,,http://www.eicar.org/download/eicarcom2.zip

HTTP_VIRUS_NS_CRYPT NULL URL do Virus
20/01/2010,10:43:17,Warning,249,Proxy HTTP,Arquivo nao pode ser
analisado pois estava cifrado,,http://www.eicar.org/download/eicarcom2.zip

HTTP_DOWNLOAD_ACCOUNTING Usuario/Autenticado - Perfil Origem IP -
Destino IP e URL 19/01/2010,08:41:05,Info,341, Proxy HTTP,Contabilidade de
trafego HTTP (downloads),recepcao/AD - 0.102 s,Up 175 B - Dw 285 B URL:
http://www.google.com/

HTTP_WWW_ACCOUNTING Usuario/Autenticado - Perfil Origem IP -
Destino IP e URL 16/01/2010,15:28:51,Info,340, Proxy HTTP, Contabilidade de
trafego HTTP (WWW),rodrigo.aranha/AD - 0.933 s,Up 424 B - Dw 562 B URL:
http://www.google.com/

QUOTA_EXPIRED_BYTES Usuario/Autenticado - Perfil Origem IP -
Destino IP e URL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de bytes
expirado,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229 Destino: 74.125.45.86
URL: http://www.google.com

QUOTA_EXPIRED_TIME Usuario/Autenticado - Perfil Origem IP - Destino IP e
URL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de tempo
expirada,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229 Destino: 74.125.45.86
URL: http://www.google.com

QUOTA_INSUFFICIENT_BYTES Usuario/Autenticado - Perfil Origem IP -
Destino IP e URL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de bytes
insuficiente para a operacao,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229
Destino: 74.125.45.86 URL: http://www.google.com


325

URL_ACEITA Usuario/Autenticado, Perfil ip Origem,host
19/01/2010,13:45:31,Info,095,Proxy HTTP,URL aceita,thiago.chaves/AD
,Suporte Tcnico,10.2.0.243,http://189.22.237.40/

URL_REJEITADA Usuario/Autenticado, Perfil ip Origem,host
19/01/2010,13:43:34,Notice,097 Proxy HTTP,URL rejeitada,lidia.silva/AD
,Adminsitrativo,10.0.0.229,http://www.google.com

URL_BANNER Usurio/Autenticaao - Perfil Origem: IP Destino: IP URL:
URL 19/01/2010,08:49:19,Notice,098, Proxy HTTP,Banner
removido,apoio.administrativo/AD - Adminsitrativo,Origem: 10.0.0.234 Destino:
64.233.163.149 URL:
http://ad.doubleclick.net/adi/gna.br/homepage;tile=4;sz=234x100;ord=196681?area

ERRO_CON_ANALISADOR IP do analizador NULL
27/01/2010,19:38:24,Error,119, Proxy HTTP,Erro ao conectar com Web
Content Analyzer,127.0.0.1,

QUOTA_COMM_ERR quota read: retorno e erro NULL
19/01/2010,18:42:01,Warning,324,Proxy HTTP,Erro de comunicacao com o
servico de quotas,quota read: -3 25,

NAO_LEU_ACL NULL NULL 19/01/2010,18:42:01,Error,64,Proxy HTTP,Erro ao
carregar perfis de acesso,,

NAO_LEU_CATLIST Retorno da funo e errno NULL
19/01/2010,18:16:01,Error,323,Erro carregando lista de categorias, -2 34

QUOTA_INIT_ERR socket, errno NULL 20/01/2010,11:28:56,Error,318,Proxy MSN
Messenger,Erro conectando ao servico de quotas, 7 13,


326

ERRO_SERV_AUTH connect (errno) NULL
20/01/2010,11:28:56,Error,109,Proxy MSN Messenger,Erro ao comunicar
com servidor de autenticacao,connect(10),
v_auth NULL 20/01/2010,11:28:56,Error,109,Proxy MSN
Messenger,Erro ao comunicar com servidor de autenticacao,v_auth,

22.1.2. Eventos gerados pelo Proxy MSN

MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA
MENSAGEM, MSG1, MSG2

IP Profiao Passaportes Usuario->com quem [Tempo de conversa ]\nNome do
Usuario\Autenticao 27/01/2010,19:03:34,Info,279, Proxy MSN
Messenger,Conversacao do MSN Messenger finalizada,IP: 192.168.222.254 - Prof:
Suporte Tcnico,Passports: diogo.falcomer@gmail.com ->
pablo_viana@hotmail.com [ 00:01:15 ] Username: diogo.falcomer/AD

IP Profiao Passaporte [Tempo de conversa] \nNome do Usuario\Autenticao
27/01/2010,19:23:24,Info,290, Proxy MSN Messenger,Usuario saiu do MSN
Messenger,IP: 10.3.0.6 - Prof: Suporte Tcnico,Passport:
edilson.moura@aker.com.br [ 00:07:53 ] Username: edilson.moura/AD

Cant connect Server : IP 27/01/2010,19:23:30,Warning,350,Proxy MSN
Messenger,Erro no antivirus,Cant Connect, Server:xxx.xxx.xxx.xxx
av_auth Unable to auth 27/01/2010,19:23:30,Warning,350,Proxy MSN
Messenger,Erro no antivirus,av_auth,Unable to auth
av_greeting_h Can't receive server greeting header
27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro no
antivirus,av_greeting_h,Can't receive server greeting headert
av_greeting_b Can't receive server greeting body
antivirus,av_greeting_b,Can't receive server greeting body
av_send_file Can't send file to AV 27/01/2010,19:23:30,Warning,350,Proxy
MSN Messenger,Erro no antivirus,av_send_file,Can't send file to AV


327

av_get_answer Can't get answer from AV
antivirus,av_get_answer, Can't get answer from AV
av_get_answer Error on answer received
27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro no antivirus,
Error on answer received

IP: - TimeOut: Passaporte: \nNome do Usuario\Autenticao
27/01/2010,18:18:30,Notice,286, Proxy MSN Messenger,Conexao encerrada
por timeout,IP: 10.2.0.217 - Timeout: 600 s,Passport: edilson.moura@aker.com.br
Username: edilson.moura/AD

sendto Error: inteiro Errno: inteiro 20/01/2010,12:38:49,Warning,109, Proxy
MSN Messenger,Erro ao comunicar com servidor de autenticacao,sendto,error: -3
errno: 11
find Prof: nome da profiao 20/01/2010,12:38:49,Warning,109, Proxy MSN
Messenger,Erro ao comunicar com servidor de autenticacao,find,Suporte Tcnico

IP Profiao Passaporte: \nNome do Usuario\Autenticao
20/01/2010,12:36:44,Info,289,Proxy MSN Messenger,Usuario entrou no MSN
Messenger,IP: 10.0.0.232 - Prof: Adminsitrativo,Passport:
diego.fernandes@aker.com.br Username: recepcao/AD

From Cliente ou Servidor , Ret: erro Mensagem
15/01/2010,17:39:57,Error,287,Proxy MSN Messenger,Erro analisando a
mensagem,from server, ret = -43,MSG madanovavida2009@hotmail.com
[i][b]Mada..."HOJE%20tudo%20SER<83><81>%20para%20SEMPRE..."[/b][/i]
248^M

File infected FILENAME 20/01/2010,12:36:44,Warning,348,Proxy MSN
Messenger,Arquivo infectado foi bloqueado,File Infected,trojan.exe

File clean FILENAME 20/01/2010,16:16:58,Info,349,Proxy MSN
Messenger,Arquivo nao tem virus,File clean,chines.TXT


328

session id: SESSION ID 25/01/2010,19:34:35,Warning,345,Proxy MSN
Messenger,Pacote de transferencia de arquivo nao consta na lista de transferencias
ativas,session id:,2628610983

nome da funo Empty File! Sess_d: ID 20/01/2010,16:16:59,Error,346,Proxy
MSN Messenger,Erro interno no proxy messenger,msn_get_msnp2p_data,Empty
file! Sess_id: 26192345
nome da funo Out of order packet! Current: pkg, Expected: pkg
20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxy
messenger,msn_get_msnp2p_data,Out of order packet! Current:current_pkg
Expected: Expected_
nome da funo "Error on fork! Numero da Linha
20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxy
messenger,msn_get_msnp2p_data,Error on fork! Line: 2736

unable to write on disk! errno: INTEIRO 20/01/2010,16:16:59,Error,347,Proxy
MSN Messenger,Proxy messenger nao pode salvar o arquivo em disco,unable to
write on disk, errno: 34

Nome do arquivo (tamanho) Prof: profissao. Passaportes Usuario->com quem
\nNome do Usuario\Autenticao 20/01/2010,11:43:39,Info,282,Proxy MSN
Messenger,Convite para transferencia de arquivo via MSN Messenger
permitido,'messages_20jan10.RAR' (87976 bytes) - Prof: Suporte T,Passports:
victor.aker@hotmail.com -> thiago.divino@gmail.com Username: victor.rossi/AD

Nome do arquivo (tamanho) Prof: profissao. Passaportes Usuario->com quem
\nNome do Usuario\Autenticao 20/01/2010,15:45:42,Notice,283,Proxy MSN
Messenger,Transferencia de arquivo via MSN Messenger bloqueada,'VPNs.DOC'
(569856 bytes) - Prof: Suporte Tcnico,Passports: edilson.moura@aker.com.br ->
lucas.pereira@aker.com.br Username: edilson.moura/AD

id de um servio do msn Prof: Profio Passaportes Usuario->com quem
\nNome do Usuario\Autenticao 20/01/2010,15:45:42,Info,283,Convite para uso de
aplicativo via MSN Messenger permitido,transferencia de arquivo - Prof: Suporte


329

Tcnico,Passports: edilson.moura@aker.com.br -> lucas.pereira@aker.com.br
Username: edilson.moura/AD

id de um servio do msn Prof: Profio Passaportes Usuario->com quem
\nNome do Usuario\Autenticao 20/01/2010,15:45:42,Notice,284,Uso de aplicativo
via MSN Messenger nao permitido, jogo - Prof: Suporte Tcnico,Passports:
edilson.moura@aker.com.br -> lucas.pereira@aker.com.br Username:
edilson.moura/ADse

IP Profiao Passaportes Usuario->com quem \nNome do Usuario\Autenticao
20/01/2010,11:28:56,Notice,278,Proxy MSN Messenger,Conversacao do
MSN Messenger bloqueada,IP: 10.0.0.234 - Prof: Adminsitrativo,Passports:
josimar_hip@yahoo.com -> recepcao@aker.com.br Username:
apoio.administrativo/AD

IP Profiao Passaportes Usuario->com quem \nNome do Usuario\Autenticao
20/01/2010,11:27:44,Info,277,Proxy MSN Messenger,Conversacao do MSN
Messenger iniciada,IP: 10.2.0.204 - Prof: Suporte Tcnico,Passports:
victor.aker@hotmail.com -> vlandemir@msn.com Username: victor.rossi/AD

IP Profiao Passaporte do Usuario \nNome do Usuario\Autenticao
20/01/2010,11:27:44,Notice,291,Proxy MSN Messenger,Usuario sem
permissao tentou entrar no MSN Messenger,10.4.0.19 Prof: Estagirio,
bruno.lobo@aker.com.br bruno.lobo/AD

IP Profiao Passaporte do Usuario \nNome do Usuario\Autenticao
20/01/2010,11:27:44,Notice,281,Proxy MSN Messenger,Notificacao do
Hotmail bloqueada,10.4.0.19 Prof: Estagirio, bruno.lobo@aker.com.br
bruno.lobo/AD

NULL IP do servidor : porta do servidor 19/01/2010,18:42:01,Warning,288,Proxy
MSN Messenger,Servidor MSN Messenger nao responde, ,65.54.52.254:1863


330

clfwquota_test_and_consume(): retorno e erro NULL
19/01/2010,18:42:01,Warning,324,Proxy MSN Messenger,Erro de
comunicacao com o servico de quotas,clfwquota_test_and_consume(): -3 25,
clfwquota_read(): NULL 19/01/2010,18:42:01,Warning,324,Proxy MSN
Messenger,Erro de comunicacao com o servico de quotas,clfwquota_read(): -3 25,

NULL NULL 20/01/2010,11:28:56,Notice,314,Proxy MSN Messenger,Quota de
bytes expirada,,

NULL NULL 20/01/2010,11:28:56,Notice,316,Proxy MSN Messenger,Quota de
tempo expirada,,

socket, errno NULL 20/01/2010,11:28:56,Error,318,Proxy MSN Messenger,Erro
conectando ao servico de quotas, 7 13,


331

Ap2ndice 4 3 Copyrig5ts e
6isclaimers


332

23. Apndica B Copyrights e Disclaimers
Neste apndice esto listados os disclaimers das bibliotecas e cdigos fontes de
terceiros utilizadas no Aker Web Gateway. Estes disclaimers se aplicam apenas s
partes explicitamente citadas e no ao Aker Web Gateway como um todo. Eles
esto citados aqui devido a exigncias das entidades desenvolvedoras:
Biblioteca SNMP
Copyright 1997 by Carnegie Mellon University All Rights Reserved
Permission to use, copy, modify, and distribute this software and its documentation
for any purpose and without fee is hereby granted, provided that the above copyright
notice appear in all copies and that both that copyright notice and this permission
notice appear in supporting documentation, and that the name of CMU not be used
in advertising or publicity pertaining to distribution of the software without specific,
written prior permission.
CMU DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE,
INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS,
IN NO EVENT SHALL CMU BE LIABLE FOR ANY SPECIAL, INDIRECT OR
CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING
FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF
CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF
OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.

Algoritmo MD5
Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. All rights reserved.

License to copy and use this software is granted provided that it is identified as the
"RSA Data Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning
referencing this software or this function.
License is also granted to make and use derivative works provided that such works
are identified as "derived from the RSA Data Security, Inc. MD5 Message-Digest
Algorithm" in all material mentioning or referencing the derived work.
RSA Data Security, Inc. makes no representations concerning either the
merchantability of this software or the suitability of this software for any particular
purpose. It is provided "as is" without express or implied warranty of any kind.

These notices must be retained in any copies of any part of this documentation
and/or software.


333

Agente SNMP
Copyright (c) 1996,1997 Wes Hardaker and the University of California at Davis
COPYRIGHT
Many portions of the code in this package were distributed by Carnegie Mellon
University.
All other code and changes to the original code written by Wes Hardaker at the
University of California at Davis is copyrighted under the following copyright:
Permission is granted to use, copy, modify and distribute this software and
documentation. This software is distributed freely and usage of it is not subject to
fees of any kind. It may be included in a software compact disk set provided that the
author is contacted and made aware of its distribution.

Akerwebgateway 1.5.2 PT Manual 002

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Akerwebgateway 1.5.2 PT Manual 002

Uploaded by

Copyright:

Available Formats

Verso 04/02/2013

Aker Security Solutions

You might also like