ndice ndice ......................................................................................................................... 2 ndice de Figuras ............................................................................................................... 4 1. Introduo ......................................................................................................11 2. Utilizando a Interface Remota .......................................................................16 2.1. Iniciando a interface remota ...................................................................................18 2.2. Finalizando a administrao remota .......................................................................34 2.3. Mudando sua senha de usurio .............................................................................34 2.4. Visualizando Informao de Sesso ......................................................................36 3. Administrando usurios ................................................................................39 3.1. Utilizando a Interface Remota ................................................................................39 3.2. Utilizando a Interface Texto ....................................................................................49 4. Configurando os parmetros configuraes do sistema ...........................54 4.1. Utilizando a Interface Remota ................................................................................54 4.2. Utilizando a Interface Texto ....................................................................................65 5. Cadastrando Entidades .................................................................................70 5.1. Planejando a instalao .........................................................................................70 5.2. Cadastrando entidades utilizando a Interface Remota ...........................................73 5.3. Utilizando a interface de texto ..............................................................................101 5.4. Utilizando o Assistente de Entidades ...................................................................104 6. Configurando as Aes do sistema ...........................................................111 6.1. Utilizando a Interface Remota ..............................................................................111 6.2. Utilizando a Interface Texto ..................................................................................115 7. Visualizando Eventos do sistema ..............................................................121 7.1. Utilizando a Interface Remota ..............................................................................122 7.2. Formato e significado dos campos das mensagens de eventos ..........................129 7.3. Utilizando a Interface Texto ..................................................................................130 8. Utilizando o Gerador de Relatrios ............................................................134 8.1. Acessando Relatrios ...........................................................................................134 8.2. Configurando os Relatrios ..................................................................................135 8.3. Lista dos relatrios disponveis.............................................................................141 9. Exportao Agendada de Eventos .............................................................143 9.1. Acessando a Exportao Agendada ....................................................................143
Aker Security Solutions
3
9.2. Configurando a Exportao ..................................................................................144 10. Configurando parmetros de autenticao ...............................................149 10.1. Utilizando a Interface Remota ...........................................................................149 10.2. Utilizando a Interface Texto ...............................................................................164 11. Perfil de Acesso de Usurios ......................................................................168 11.1. Planejando a instalao ....................................................................................168 11.2. Cadastrando perfis de acesso ...........................................................................169 11.3. Associando Usurios com Perfis de Acesso .....................................................190 12. Perfil de Acesso de Usurios ......................................................................196 12.1. Visualizando e Removendo Usurios Logados no Aker Web Gateway ............196 12.2. Utilizando a Interface Texto ...............................................................................199 13. Quotas ..........................................................................................................202 13.1. Utilizando as quotas ..........................................................................................202 13.2. Editando os parmetros do Uso da Quota ........................................................203 14. Configurando Filtro Web .............................................................................208 14.1. Planejando a instalao ....................................................................................208 14.2. Editando os parmetros do Filtro Web ..............................................................210 14.2.1. Editando os parmetros de Cache ....................................................................233 14.3. Editando os parmetros Sesses Web .............................................................235 15. Configurando o Proxy MSN ........................................................................238 15.1. Planejando a instalao ....................................................................................238 15.2. Editando os parmetros do Proxy Messenger ..................................................239 16. Utilizando as Ferramentas da Interface Remota .......................................246 16.1. Chaves de Ativao ..........................................................................................246 16.2. Salvar configuraes .........................................................................................247 16.3. Carregar configuraes .....................................................................................248 16.4. DNS Reverso ....................................................................................................250 16.5. Atualizaes ......................................................................................................251 16.6. Janela de Alarmes.............................................................................................256 16.7. Visualizando o Estado dos Agentes Externos ...................................................258 16.8. Visualizando estatsticas do sistema .................................................................260 16.9. Utilizando a Interface Texto nas Chaves de Ativao .......................................262 17. Configuraes TCP/IP .................................................................................264
Aker Security Solutions
4
17.1. DHCP ................................................................................................................265 17.2. DNS ...................................................................................................................268 17.2.1. Interfaces de Rede ............................................................................................269 17.3. Roteamento .......................................................................................................274 17.3.1. Geral .................................................................................................................275 17.4. Utilizando a Interface Texto na Configurao TCP/IP .......................................276 18. Configurando Proxy SSL Reverso .............................................................283 18.1. Editando os parmetros de um contexto SSL ...................................................283 18.2. Configurando regras de Proxy SSL Reverso ....................................................287 19. Proteo de Flood ........................................................................................289 19.1. Utilizando a Interface Remota para Proteo de Flood .....................................290 20. Configurando o Web Gateway em Cluster .................................................293 20.1. Planejando a Instalao ....................................................................................293 20.2. Configurao do Cluster ....................................................................................294 20.3. Estatstica do Cluster ........................................................................................300 20.4. Utilizando a Interface Texto ...............................................................................302 21. Aker Web Gateway .......................................................................................305 22. Apndica A Mensagens do Sistema ........................................................309 22.1. Mensagens dos eventos do Aker Web Gateway ...............................................309 22.1.1. Eventos gerados pelo Filtro Web ......................................................................323 22.1.2. Eventos gerados pelo Proxy MSN ....................................................................326
ndice de Figuras Figura 1 - Acessando o Aker Control Center 2. ...........................................................18 Figura 2 - Janela de Acesso: Menu opes. ...............................................................19 Figura 3 - Tempo de sesso ociosa. ...........................................................................20 Figura 4 - Esconder regras. .........................................................................................20 Figura 5 - Desabilitar perguntas. .................................................................................20 Figura 6 - Escolha do idioma que deseja acessar o Aker Control Center. ..................21 Figura 7 - Cor de fundo do Aker Control Center. .........................................................21 Figura 8 - Selecionar cor. ............................................................................................22 Figura 9 - Boto: Padro. ............................................................................................22 Figura 10 - Aviso de sair do programa. .......................................................................22 Figura 11 - Menu Janelas............................................................................................23
Aker Security Solutions
5
Figura 12 - Janela de Acesso: dispositivo remoto. ......................................................23 Figura 13 - Janela de Acesso: Entidades. ...................................................................24 Figura 14 - Janela de Acesso: janelas. .......................................................................24 Figura 15 - Configurao Automtica de Atualizao. ................................................24 Figura 16 - Notificador de Atualizaes. .....................................................................25 Figura 17 - Notificador de Instalao de Atualizaes. ...............................................25 Figura 18 - Atualizaes prontas. ................................................................................26 Figura 19 - Informaes sobre o item: Sobre .............................................................26 Figura 20 - Janela de Acesso: Aker Web Gateway. ....................................................27 Figura 22 Boto: Criar novo dispositivo remoto. ......................................................28 Figura 25 cone utilizado para o carregamento de arquivo. .....................................31 Figura 26 - cone utilizado para mostrar informaes do certificado. ..........................31 Figura 27 - Tipos de autenticao (usurio, domnio e senha) para editar o Dispositivo Remoto........................................................................................................................32 Figura 28 Boto Conectar. .......................................................................................33 Figura 31 Boto: Sair deste programa. ....................................................................34 Figura 32 AWG menu Ferramentas .........................................................................35 Figura 33 Mudar senha ............................................................................................35 Figura 34 AWG menu Informao ............................................................................36 Figura 35 Informao de sesso ..............................................................................37 Figura 0-16 AWG menu configuraes ....................................................................39 Figura 37 Usurios administradores ........................................................................40 Figura 38 Aba Agentes externos ..............................................................................44 Figura 39 Aba X.509 ................................................................................................46 Figura 40 Interface Texto .........................................................................................49 Figura 41 Incluso de usurio ..................................................................................50 Figura 42 Remoo de usurio ................................................................................51 Figura 43 Listagem de usurios ...............................................................................51 Figura 44 Compactao do arquivo de usurios ......................................................52 Figura 45 Menu Configuraes (Parmetros de configurao) ................................54 Figura 46 Aba Global ...............................................................................................55 Figura 47 Aba Log ....................................................................................................57 Figura 47 Aba SNMP ...............................................................................................60 Figura 48 Aba Servios ............................................................................................62 Figura 49 Data/Hora .................................................................................................64 Figura 50 Entidades .................................................................................................74 Figura 51 - Entidades ..................................................................................................74 Figura 52 Entidade tipo Mquina .............................................................................76 Figura 53 Entidade tipo Rede ...................................................................................77 Figura 54 Entidade tipo Conjunto .............................................................................78 Figura 55 Adicionando entidades .............................................................................80
Aker Security Solutions
6
Figura 56 - Lista de categorias ...................................................................................81 Figura 57 Lista de padres de Busca .......................................................................82 Figura 58 - Quota ........................................................................................................83 Figura 59 Lista de e-mails ........................................................................................84 Figura 60 Lista de e-mails (menu de opes) ..........................................................85 Figura 61 Agentes externos .....................................................................................86 Figura 62 Agente externo (Autenticador ) ................................................................88 Figura 63 Autoridade Certificadora ..........................................................................89 Figura 64 Pseudo-Grupo ..........................................................................................90 Figura 65 (Mdulo de antivrus e Servidor de log Remoto) ......................................91 Figura 66 Autenticador LDAP ...................................................................................92 Figura 67 Autenticador Radius .................................................................................94 Figura 68 - Servio ......................................................................................................96 Figura 69 Lista de tipos de arquivos ........................................................................98 Figura 70 Adicionando tipo de arquivo .....................................................................98 Figura 71 - Canais .......................................................................................................99 Figura 72 Assistente de Entidades .........................................................................105 Figura 73 Selecionando o tipo de entidade ............................................................106 Figura 74 Adicionando endereo IP .......................................................................107 Figura 75 Seleo de cone ...................................................................................108 Figura 76 Entidade esta pronta para ser utilizada ..................................................109 Figura 77 Aker Web Gateway ( Aes) ..................................................................111 Figura 78 Aba Mensagens de eventos ...................................................................112 Figura 79 Opes de aes ...................................................................................112 Figura 80 Aes (aba Parmetros) ........................................................................114 Figura 81 Auditoria (Eventos) .................................................................................122 Figura 82 Barra de ferramentas (Eventos) .............................................................122 Figura 83 Filtro de eventos .....................................................................................124 Figura 84 Eventos ..................................................................................................127 Figura 85 Janela de exportao .............................................................................129 Figura 86 Auditoria (Relatrio) ...............................................................................134 Figura 87 Relatrio .................................................................................................135 Figura 88 Configurao de relatrio aba Geral ......................................................136 Figura 89 Configurao de relatrio aba Sub-relatorio ..........................................137 Figura 90 Configurao de relatrio aba Mtodo de Publicao (FTP) .................139 Figura 91 Configurao de relatrio aba Mtodo de Publicao (SMTP) ..............140 Figura 92 Auditoria (Exportao agendada de eventos ) .......................................143 Figura 93 Exportao agendada de eventos ..........................................................144 Figura 94 Aba Geral ...............................................................................................145 Figura 95 Aba Mtodo de Publicao (FTP) ..........................................................146 Figura 96 ...................................................................................................................147
Aker Security Solutions
7
Figura 97 Configurao (Autenticao) ..................................................................149 Figura 98 Aba Controle de Acesso ........................................................................150 Figura 99 Autenticao de acesso: Listagem de grupos ou usurios ...................151 Figura 100 Autenticao de acesso: Escolha do perfil desejado. .........................152 Figura 101 Aba Mtodos ........................................................................................153 Figura 102 - Autenticao de acesso: Adicionar entidades ......................................155 Figura 103 - Autenticao de acesso: Remover entidades .......................................155 Figura 104 Aba Token ............................................................................................156 Figura 105 Aba PKI ................................................................................................157 Figura 106 Aba Autenticao para proxies ............................................................158 Figura 0-2 Aba Autenticao Local ........................................................................159 Figura 0-3 Menu para incluso de usurio .............................................................159 Figura 109 - Criar ou remover grupos .......................................................................160 Figura 110 Autenticao (Alterao de senha ou grupo) .......................................160 Figura 111 Aba Controle de Acesso por IP ............................................................161 Figura 112 Aba NTLM ............................................................................................162 Figura 113 Autenticao Java ................................................................................164 Figura 114 Configurao (Perfis) ...........................................................................169 Figura 115 Perfis ....................................................................................................170 Figura 116 Opes de configurao de perfil .........................................................171 Figura 117 Perfis (Geral) ........................................................................................172 Figura 118 Perfis (FTP/GOPHER) .........................................................................173 Figura 120 HTTP/HTTPS .......................................................................................177 Figura 121 Aplicao (Bloqueio de banners) .........................................................178 Figura 122 Bloqueio de banners ................................................................................. Figura 123 Aba Filtro de Url ...................................................................................181 Figura 124 Menu de opes (Filtro de Url) .............................................................182 Figura 125 Aba Arquivos Bloqueados ....................................................................184 Figura 126 Opes de operao ............................................................................185 Figura 127 MSM Messenger (Perfis) .....................................................................187 Figura 128 Menu de opes (MSN Messenger) .....................................................188 Figura 129 Configuraes (Autenticao) ..............................................................190 Figura 130 Autenticao ........................................................................................191 Figura 131 Escolha de usurio ...............................................................................192 Figura 132 Menu de opes ...................................................................................192 Figura 133 Autenticao (Aba Controle de Acesso) ..............................................193 Figura 134 Informao ( Usurios conectados) .....................................................196 Figura 135 Usurios conectados ............................................................................197 Figura 136 Informao (Uso de quotas) .................................................................203 Figura 137 Uso de quotas agrupamento por usurio ..........................................204 Figura 138 - Uso de quotas agrupamento por quota .............................................205
Aker Security Solutions
8
Figura 139 - Conexo (Internet, rede interna, firewall e DMZ. ..................................209 Figura 140 Aplicao (Filtro Web) ..........................................................................210 Figura 141 Filtro Web (aba Geral) ..........................................................................211 Figura 142 Filtro Web (aba Cliente de autenticao) .............................................215 Figura 143 Filtro web (aba Controle de contedo) .................................................217 Figura 144 Filtro web (aba Tipos de Arquivo) ........................................................220 Figura 145 Opes de operao ............................................................................223 Figura 146 Filtro web (aba Tipo de Arquivo AV On Line) ....................................224 Figura 147 Filtro web (aba Antivrus) .....................................................................225 Figura 148 Filtro web (aba SSL) ............................................................................228 Figura 149 Filtro web (aba Avanado - Filtro de navegador) .................................229 Figura 150 Filtro web (aba Avanado Reescrita de URLs) .................................230 Figura 151 Filtro web (aba Avanado Stripping do cabealho HTTP) .................231 Figura 152 Aplicao (Cache) ................................................................................233 Figura 153 - Cache ...................................................................................................233 Figura 154 Configurao do nodo de cache ..........................................................234 Figura 155 Sesses web ........................................................................................235 Figura 156 Aplicao (Proxy Messenger) ..............................................................239 Figura 157 Proxy Messenger (aba Tipo de Servio) ..............................................240 Figura 158 Proxy Messenger (aba Mensagens) ....................................................242 Figura 159 Proxy Messenger (aba Controle de Acesso) ........................................243 Figura 160 Proxy Messenger (aba Configuraes) ................................................243 Figura 161 Janela de ativao de Licena .............................................................247 Figura 162 Icone para salvar configuraes ..........................................................248 Figura 163 Janela para salvar configuraes .........................................................248 Figura 164 Icone para carregar configuraes .......................................................248 Figura 165 Janela para carregar configurao .......................................................249 Figura 166 Ferramentas (DNS reverso) .................................................................250 Figura 167 DNS reverso.........................................................................................251 Figura 168 Janela de atualizao do sistema ........................................................252 Figura 169 Janela para carregar um arquivo de atualizao .................................254 Figura 170 Sistema de Atualizao (aba Histrico) ...............................................255 Figura 171 Ferramentas (Janela de alarmes) ........................................................256 Figura 172 Janela de alarmes ................................................................................257 Figura 173 Informao (Agentes externos) ............................................................258 Figura 174 Agentes externos .................................................................................259 Figura 175 Informao (Estatsticas do sistema) ...................................................260 Figura 176 Estatstica do sistema ..........................................................................261 Figura 178 - DHCP. ...................................................................................................265 Figura 180 - Relay DHCP entre redes. .....................................................................267 Figura 181 - DNS. .....................................................................................................268
Aker Security Solutions
9
Figura 183 - Interfaces de rede. ................................................................................269 Figura 184 - Interfaces de redes. ..............................................................................270 Figura 185 - Menu: configurao ou modificao de endereo IP. ...........................271 Figura 188 - Roteamento. .........................................................................................274 Figura 190 Modulo de configurao para interfaces de rede .................................276 Figura 191 Configurao de interfaces ..................................................................277 Figura 192 Lista das interfaces de rede .................................................................277 Figura 193 Nome da interface ................................................................................278 Figura 194 Configurar uma interface vlan filha .......................................................278 Figura 195 - configurar lias para a interface ............................................................279 Figura 196 - configurar interface para os novos valores ...........................................279 Figura 197 Configurao de rotas estticas ...........................................................280 Figura 198 Confirmar nova configurao ...............................................................280 Figura 199 Configurao DNS ...............................................................................281 Figura 200 Configurao da rota padro ...............................................................281 Figura 201 Janela de propriedades de um contexto SSL aba Geral (F5-aba servio)......................................................................................................................284 Figura 202 Aba Certificado .....................................................................................286 Figura 203 Configurando regras de proxy SSL reverso .........................................287 Figura 204 Configuraes (Proteo de flood) .......................................................290 Figura 205 Proteo de flood .................................................................................290 Figura 206 Configuraes (Configurao do cluster) .............................................295 Figura 207 Criar Cluster .........................................................................................296 Figura 208 Configurao do cluster .......................................................................297 Figura 209 Adicionar novo Web Gateway no cluster .............................................299 Figura 210 Informao (Estatstica do Cluster) ......................................................300 Figura 211 - Estatstica do Cluster (aba nod) ............................................................301 Figura 212 - Estatstica do Cluster (aba Grfico) .....................................................302
Aker Security Solutions
10
Introduo
Aker Security Solutions
11
1. Introduo Este o manual do usurio da verso 1.5 do Aker Web Gateway. Nos prximos captulos voc aprender como configurar esta poderosa ferramenta de proteo s redes. Esta introduo tem como objetivo descrever a organizao deste manual e tentar tornar sua leitura o mais simples e agradvel possvel. Aker Web Gateway ser referenciado neste manual como AWG.
Como est disposto este manual. Este manual est organizado em vrios captulos. Cada captulo mostrar um aspecto da configurao do produto e todas as informaes relevantes ao aspecto tratado. Todos os captulos comeam com uma introduo terica sobre o tema a ser tratado seguido dos aspectos especficos de configurao do Aker Web Gateway. Juntamente com esta introduo terica, alguns mdulos possuem exemplos prticos do uso do servio a ser configurado, em situaes hipotticas, porm bastante prximas da realidade. Buscamos com isso tornar o entendimento das diversas variveis de configurao o mais simples possvel. Recomendamos que este manual seja lido pelo menos uma vez por inteiro, na ordem apresentada. Posteriormente, se for necessrio, pode-se us-lo como fonte de referncia (para facilitar seu uso como referncia, os captulos esto divididos em tpicos, com acesso imediato pelo ndice principal. Desta forma, pode-se achar facilmente a informao desejada). Em vrios locais deste manual, aparecer o smbolo seguido de uma frase escrita em letras vermelhas. Isto significa que a frase em questo uma observao muito importante e deve ser totalmente entendida antes de prosseguir com a leitura do captulo. Interface Texto e Interface Remota O Aker Web Gateway possui duas interfaces distintas para sua configurao: uma Interface Remota e uma Interface Texto local. A Interface Remota A Interface Remota chamada de remota porque atravs dela possvel administrar remotamente, via Internet, um Aker Web Gateway localizado em qualquer parte do mundo. Esta administrao feita atravs de um canal seguro entre a interface e o Aker Web Gateway, com um forte esquema de autenticao e criptografia, de modo a torn-la totalmente segura.
Aker Security Solutions
12
A Interface Remota de uso bastante intuitivo e est disponvel para plataformas Windows XP TM , Windows Vista TM , Windows 7 TM, Windows 8 TM e Linux e sob demanda em outras distribuies Unix. A Interface Texto A Interface Texto uma interface orientada linha de comando que roda na mquina onde o Aker Web Gateway est instalado. O seu objetivo bsico possibilitar a automao de tarefas da administrao do Aker Web Gateway (atravs da criao de scripts) e possibilitar uma interao de qualquer script escrito pelo administrador com o Aker Web Gateway. Praticamente todas as variveis que podem ser configuradas pela Interface Remota podero ser configuradas tambm pela Interface Texto. Como as duas interfaces tratam das mesmas variveis, a funcionalidade, os valores e os comentrios destas tm validade tanto para Interface Remota quanto para a Interface Texto. Devido a isso, os tpicos referentes Interface Texto normalmente sero curtos e se limitaro a mostrar seu funcionamento. Caso tenha dvida sobre algum parmetro, deve-se recorrer explicao do mesmo no tpico relativo Interface Remota. possvel o uso simultneo de vrias interfaces grficas para um mesmo AWG, entretanto apenas o primeiro a se conectar ter acesso de administrao. O Aker Web Gateway A produtividade fundamental para todas as empresas. Para isso, buscam utilizar de forma racional seus recursos de rede. Apesar de a Web ser uma incrvel ferramenta de trabalho, ela tambm pode causar uma enorme queda na produtividade. Definir algumas regras pode proteger seu negcio e seus funcionrios.
Pginas Web contm programas que so usualmente inocentes e algumas vezes teis - por exemplo, animaes e menus pop-up. Mas existem sites questionveis e maliciosos que nem sempre esto com as melhores intenes. Ao navegar na Web, operadores de sites podem identificar seu computador na Internet, dizer quais pginas voc acessou, de que pgina voc veio, usar cookies para criar um perfil seu e instalar spywares em seu computador - tudo sem o seu conhecimento. Worms destrutivos podem ainda entrar em seu sistema atravs de seu navegador.
O Aker Web Gateway foi desenvolvido para permitir que as empresas aproveitem todos os benefcios da Internet, sem correr estes riscos e sem perder a produtividade dos seus funcionrios. Cookies: so informaes que um servidor web pode armazenar temporariamente junto a um browser. Os cookies so usados para manter informaes de estado
Aker Security Solutions
13
enquanto voc navega em pginas diferentes em um site da Web ou retorna ao site da Web em um momento posterior. ; Spywares: so programas de computador que, em vez de serem teis, tentam rastrear alguma informao do computador, como os sites que so navegados, programas que possui e outras informaes do seu computador; Worms: um software que tem objetivos maliciosos. Neles se incluem: trojans, vrus e spywares. Alm de atividades maliciosas instigadas por usurios externos, os negcios podem ser colocados em uma posio vulnervel por funcionrios que se engajarem em uma atividade ilegal e/ou indesejvel durante o horrio de trabalho e usando computadores da empresa. Caractersticas do Aker Web Gateway? Possui cache interno e permite a configurao hierrquica de cachs; Realiza autenticao de usurios (via applet java ou outro mtodo); Opera em modos transparente e no transparente; Suporta os protocolos HTTP , FTP e HTTPS; Possui antivrus interno; Possibilidade em trabalhar com antivrus externo; Faz a filtragem de categorias por usurios, grupos e endereos IP; Suporta filtragem de categorias por horrio, possibilita a criao de novas categorias pelo administrador do sistema; Possibilita a criao de novas categorias pela Aker (que devero ser baixadas automaticamente, sem a necessidade de realizao de upgrades ou instalao de patches); Permite a limitao da navegao por tempo (estimando o tempo de acesso de cada pgina), kbytes e tempo de login (nmero de horas logado, mesmo sem acessar nenhuma pgina); Possui sistema de quota de navegao flexvel, com a opo da criao de cotas dirias, semanais, mensais ou nicas ( uma cota fixa de navegao que uma vez utilizada no renovada), por usurio, grupos ou endereos IP; O produto gerenciado remotamente pelo Aker Control Center;
Aker Security Solutions
14
Permite a criao de diversos relatrios, por exemplo: categoria dos sites acessados, MSN - Durao do chat , quota bytes consumidos, sites bloqueados por usurio, downloads bloqueados por usurio, sites por usurio e categorias bloqueadas por usurio; Gera uma macro com a categoria de um site ao bloquear um acesso e redirecion- lo para a pgina de bloqueio; Permite que se tenha pginas de redirecionamento personalizado; Filtragem de MSN Messenger; Autenticao transparente via NTLM.
Copyrights do Sistema Copyright (c) 1997-2003 Aker Security Solutions; Utiliza a biblioteca SSL escrita por Eric Young (cay@mincon.oz.au). Copyright 1995 Eric Young; Utiliza o algoritmo AES implementao do Dr. B. R. Gladman (brg@gladman.uk.net); Utiliza o algoritmo MD5 retirado da RFC 1321. Copyright 1991-2 RSA Data Security, Inc; Utiliza a biblioteca CMU SNMP. Copyright 1997 Carnegie Mellon University; Utiliza a biblioteca de compresso Zlib. Copyright 1995-1998 Jean-loup Gailly and Mark Adler; Utiliza a biblioteca QWT escrita por Josef Wilgen. Copyright 1997; Inclui software desenvolvido pela Universidade da California, Berkeley e seus colaboradores; Inclui software desenvolvido por Luigi Rizzo, Universita` di Pisa Portions Copyright 2000 Akamba Corp; Inclui software desenvolvido por Niklas Hallqvist, Angelos D. Keromytis and Haan Olsson; Inclui software desenvolvido por Ericsson Radio Systems.
Aker Security Solutions
15
Utilizando a Interface Remota
Aker Security Solutions
16
2. Utilizando a Interface Remota Neste captulo mostraremos como funciona a Interface Remota de administrao do Aker Web Gateway. Aker Web Gateway ser referenciado neste manual como AWG. O que a administrao remota do Aker Web Gateway? O Aker Web Gateway pode ser totalmente configurado e administrado remotamente a partir de qualquer mquina que possua um sistema operacional compatvel com uma das verses da interface remota, que tenha TCP/IP e que consiga acessar a mquina na qual o AWG se encontra. Isto permite um alto grau de flexibilidade e facilidade de administrao, possibilitando que um administrador monitore e configure vrios Aker Web Gateways a partir de sua estao de trabalho. Alm dessa facilidade, a administrao remota permite uma economia de recursos na medida em que possibilita que a mquina que rode o Aker Web Gateway no possua monitor e outros perifricos. Como funciona a administrao remota do Aker Web Gateway? Para possibilitar a administrao remota existe um processo rodando na mquina do Aker Web Gateway responsvel por receber as conexes, validar os usurios e executar as tarefas solicitadas por estes usurios. Quando um usurio inicia uma sesso de administrao remota, a Interface Remota estabelece uma conexo com o mdulo de administrao remota do Aker Web Gateway e mantm esta conexo aberta at que o usurio finalize a sesso. Toda a comunicao entre a interface remota e o Aker Web Gateway feita de maneira segura, utilizando-se criptografia e autenticao. Para cada sesso so geradas novas chaves de criptografia e autenticao. Alm disso, so empregadas tcnicas de segurana para impedir outros tipos de ataques, como por exemplo: ataques de repetio de pacotes.
Seguem comentrios sobre algumas observaes importantes sobre a administrao remota: 1. S possvel a abertura de uma conexo de administrao remota em um determinado instante. Se j existir uma interface conectada, pedidos subsequentes de conexo iro assumir o status read-only e a interface remota informar que j existe uma sesso ativa; 2. Cada um dos usurios que for utilizar a interface remota deve estar cadastrado no sistema. O programa de instalao pode criar automaticamente um administrador com poderes para cadastrar os demais administradores. Caso se tenha eliminado este administrador ou perdido sua senha, necessrio o uso do mdulo local da Interface Remota ou da Interface Texto para criar um novo
Aker Security Solutions
17
administrador. Detalhes de como fazer isso se encontram no captulo intitulado: Administrando Usurios do Aker Web Gateway. Como utilizar a interface A interface bastante simples de ser utilizada, entretanto, existe uma observao que deve ser comentada: Os botes, esquerdo e direito do mouse, tem funes diferentes na interface. O boto esquerdo usado para selecionar entradas em uma lista e para clicar em botes. O boto direito tem como funo mostrar um menu de opes para uma determinada lista.
Aker Security Solutions
18
2.1. Iniciando a interface remota Para iniciar a execuo da Interface Remota deve-se executar um dos seguintes passos: Em mquinas Windows, clicar no menu Iniciar e selecionar o Aker Control Center 2. exibida a seguinte janela:
Figura 1 - Acessando o Aker Control Center 2. Em Linux deve-se acessar o diretrio de instalao do Control Center e executar o seguinte script: 'aker_control_center2_init.sh'. A janela mostrada acima a principal do AWG e a partir dela que se tem acesso a todas as opes de configurao, inclusive ativao da licena do Aker Web Gateway (AWG). Sem ativao da licena no possvel realizar as configuraes subsequentes. No primeiro acesso, todos os dados referentes licena aparecem em branco e habilitados para que o Administrador possa carreg-lo. A Licena de Uso consta em
Aker Security Solutions
19
um arquivo, que, ser indicado aps o boto Carregar ter sido clicado, e assim que forem confirmados, os dados carregados, a janela abre com todos os dados da licena atual, ento, surgir uma janela confirmando e reiniciando o dispositivo. Portanto clique no boto Carregar, no canto superior direito da interface: A Interface Remota composta de 4 menus descritos brevemente a seguir: Opes O menu Opes contm as configuraes relacionadas ao layout da Interface Remota.
Figura 2 - Janela de Acesso: Menu opes. Ao clicar neste menu, as seguintes opes aparecem: Mostrar Tooltips: uma dica de contexto. aquela moldura pop up que abre quando voc passa o mouse sobre um elemento HTML (normalmente uma palavra em um texto) e que contm uma explicao adicional sobre aquele elemento que recebeu o ponteiro do mouse sobre ele. Sesso ociosa: Permite definir o tempo mximo, em minutos, que a interface permanecer conectada ao AWG sem receber nenhum comando do administrador. Assim que este tempo limite for atingido, a interface automaticamente ser desconectada do AWG, permitindo que uma nova sesso seja estabelecida. Seu valor pode variar entre 1 e 60. A caixa Sem limite quando estiver marcada no desconectar a interface do AWG. O Valor padro de 1 minuto. Aps alteraes clicar no boto OK, caso no realize nenhuma alterao, clicar no boto Cancelar.
Aker Security Solutions
20
Figura 3 - Tempo de sesso ociosa. Remoo: Caso deseje remover alguma regra, filtro, etc., ser enviado uma mensagem com um a pergunta se deseja realmente remover o item selecionado; Suprimir plugins inexistentes: caso no tenha um plugin da Aker instalado, ao clicar nessa opo, ser mostrada a mensagem do que est faltando. Aker Web Gateways (Esta opo ter o nome que foi defino ao criar o dispositivo remoto):Este menu serve para cadastrar mais Aker Web Gateways na Interface Remota de modo que possibilite simultaneamente a administrao de diversos Aker Web Gateways. Com a interface conectada a mais de um Aker Web Gateway simultaneamente, possvel usar a facilidade de arrastar-e-soltar as entidades e regras entre Aker Web Gateways, de modo a facilitar a replicao de determinadas configuraes entre eles. Este menu ser descrito em detalhes mais abaixo.
Figura 4 - Esconder regras. Esconder regras: colapsa as politicas de regra.
Figura 5 - Desabilitar perguntas. Desabilitar perguntas Assistente de regras de filtragem: assistente para a criao de regras de filtragem; Assistente de Nat: cria regras de Nat; Verificador de regras: checagem das regras de filtragem para verificar se no h regras sobrepostas.
Aker Security Solutions
21
Idiomas: possvel escolher em qual idioma deseja acessar a Interface Remota (Ingls ou Portugus).
Figura 6 - Escolha do idioma que deseja acessar o Aker Control Center. Editar cor de fundo: possvel escolher com qual cor de fundo deseja-se trabalhar. Posteriormente sero dados maiores explicaes;
Figura 7 - Cor de fundo do Aker Control Center. o Formato: define o formato como deseja padronizar a tela do Aker Control Center
o Pontos: podem-se alterar as cores finais e iniciais. Basta escolher a cor e clicar no boto OK.
Aker Security Solutions
22
Figura 8 - Selecionar cor. o Opo Padro: Quando selecionada est opo a tela seguir com uma configurao padro pr-determinada pela Aker.
Figura 9 - Boto: Padro. Aps realizar as escolhas desejadas, clicar no boto OK. Sair: Quando selecionada a opo sair surgir mensagem abaixo:
Figura 10 - Aviso de sair do programa. Se clicar no boto Sim a Interface Remota ser fechada, se clicar no boto No, a interface continua aberta.
Aker Security Solutions
23
Janelas O Menu Janelas possui as funes de configurao das janelas abertas e da barra de menu.
Figura 11 - Menu Janelas. Barra de ferramentas: esta opo permite definir se a barra de ferramentas na parte superior da janela principal ser mostrada ou no. Janelas: mostra o item de dispositivos remotos (essa opo tambm pode ser acessada pressionando o boto do teclado F9).
Figura 12 - Janela de Acesso: dispositivo remoto.
Entidades: mostra as entidades (pode tambm ser acessada pressionando o boto F9 do teclado).
Aker Security Solutions
24
Figura 13 - Janela de Acesso: Entidades. Lado a Lado: selecionando esta opo, as janelas abertas do lado direito da Interface Remota se ajustam de forma que todas aparecem visveis. Cascata: esta opo faz com que as janelas abertas no lado direito da Interface Remota fiquem posicionadas em forma de cascata, uma na frente da outra.
Janelas:
Figura 14 - Janela de Acesso: janelas. Configurao de atualizao automtica: permite a configurao automtica. Nesta janela possvel Habilitar atualizao automtica, Baixar atualizaes automaticamente, e Habilitar atualizaes dos manuais.
Figura 15 - Configurao Automtica de Atualizao. Realizado as escolhas, basta clicar no boto OK.
Aker Security Solutions
25
Janelas de Atualizaes: neste menu encontram-se os itens Janelas de Downloads que mostram as atualizaes que se deseja baixar.
Figura 16 - Notificador de Atualizaes. A janela Notificador de Instalao de Atualizaes' permite selecionar as atualizaes que se deseja instalar.
Figura 17 - Notificador de Instalao de Atualizaes. Busca por atualizaes: Quando selecionada esta opo uma busca por atualizaes pendentes realizada, conforme mostra imagem abaixo:
Aker Security Solutions
26
Figura 18 - Atualizaes prontas. Sobre: mostra informaes sobre o Aker Control Center.
Figura 19 - Informaes sobre o item: Sobre Para encerrar, clicar no boto OK.
Aker Security Solutions
27
Aker Web Gateway
Figura 20 - Janela de Acesso: Aker Web Gateway. Inicialmente nem todas as opes dos menus se encontram habilitadas, por funcionarem apenas quando houver uma conexo estabelecida. Para ter acesso s demais opes devem estabelecer uma sesso de administrao remota com o dispositivo que deseja administrar. Para tanto se devem seguir os seguintes passos: Cadastrar o Aker Web Gateway selecionando o menu Aker Web Gateway e a opo Novo dispositivo remoto. Selecionar o dispositivo com o qual se deseja conectar; Clicar na opo Conectar. Novo Dispositivo Remoto: Cadastra um novo disposto Editar: realiza edies; Excluir: exclui dispositivo; Conectar ao dispositivo selecionado: conecta ao dispositivo; Reiniciar dispositivo: reinicia o mesmo; Desligar dispositivo: desliga o dispositivo remoto; Salva backup automaticamente: os backups sero salvos. Os itens descritos acima sero abordados nas prximas pginas.
Aker Security Solutions
28
Textos nos botes: marcando esta opo ser mostrada juntamente com cada cone a ao correspondente do boto. Desmarcando esta opo, ser mostrado apenas o cone. Dicas para Entidades: quando esta opo estiver ativada, uma pequena caixa com a descrio de cada entidade ir aparecer quando o mouse for passado sobre seu cone.
Figura 21 - Caixa de descrio de entidade. Mostrar cones nos botes: esta opo, se ativada, faz com que sejam mostrados cones nos botes OK, Cancelar e Aplicar das janelas. Janelas: esta opo permite mostrar ou no as janelas padro do sistema: ajuda, AWG e entidades.
Cadastrando Gateways Nesta seo demonstramos como cadastrar um ou mais AWGs quando selecionamos a opo Novo dispositivo remoto dentro do menu Gateway ou no cone Criar dispositivo remoto.
Figura 22 Boto: Criar novo dispositivo remoto. Aparecer a seguinte janela Editar Dispositivo remoto. Nessa janela, possvel escolher o tipo de autenticao desejada. De acordo com cada opo a janela ser alterada, mostrando os campos correspondentes. Tipo de Autenticao: Usurio/Senha
Aker Security Solutions
29
Figura 23 - Caixa de edio do dispositivo remoto. Modo de demonstrao: Quando selecionada essa opo, ser criado um AWG de demonstrao com uma configurao padronizada. Nenhuma conexo real ser feita ao tentar se conectar neste dispositivo, podendo-se criar quantos AWGs de demonstrao for desejado, cada um com a configurao distinta um do outro; Nome: cadastrar o nome pelo qual o dispositivo ser referenciado na Interface Remota; Nome da mquina: Caso o servidor do AWG no qual se deseja conectar possua um nome associado ao IP da mquina, basta colocar este nome nesta opo para que o Control Center resolva o DNS automaticamente e se conecte no servidor; Endereo IPv4 e IPv6: cadastrar o endereo IP para conectar no AWG; Usurio: esse campo identifica o usurio que acessar o AWG. Este campo grava o usurio, onde aparecer todas as vezes que o AWG for acessado. Senha: a senha do usurio. Caso deixe a caixa Salvar Senha marcada, no ser necessrio digitar a senha quando fizer a conexo (a senha aparecer na tela como vrios asteriscos *). Caso ela esteja desmarcada, este campo estar desabilitado. A cada 3 tentativas invlidas, o cliente bloqueado de acessar a Control Center por 3 minutos. A cada tentativa invlida gera-se um evento Excesso de tentativas invalidas do mdulo Daemons do AWG.
Aker Security Solutions
30
No final basta clicar em OK e o dispositivo estar cadastrado, como o tipo de autenticao selecionado. No caso de cancelar o cadastro do dispositivo, basta clicar em Cancelar.
Tipo de Autenticao: X.509
Figura 24 - Informaes requeridas para Editar o Dispositivo Remoto. Essa opo permite autenticao com certificao digital X509. Certificado da CA: representa o certificado raiz da autoridade certificadora, mostra o Domnio (C.N) desse certificado.
Aker Security Solutions
31
Ao clicar no cone mostrado abaixo, carrega-se um arquivo com extenso *.cer/*.crt que contm o certificado.
Figura 25 cone utilizado para o carregamento de arquivo. O cone a seguir, mostra um resumo das informaes do certificado.
Figura 26 - cone utilizado para mostrar informaes do certificado. Certificado do Usurio: essa opo permite carregar um pacote de certificado no formato PKCS#12. Ele desmembra o pacote em dois arquivos, um com o certificado e outro com a chave. Carrega um certificado com uma senha e a outra senha para salvar o arquivo da chave, salvando assim, de forma encriptada. Senha: Senha com a qual a chave primria foi salva. Se informar (cadastro), decifra a chave e manda para o AWG fazer a autenticao. Caso deixe a caixa Salvar Senha marcada, no ser necessrio digitar a senha quando fizer a conexo (a senha aparecer na tela como vrios asteriscos *). Caso ela esteja desmarcada, este campo estar desabilitado. Alterar Senha: Altera a senha cadastrada no campo senha. Salvar Senha: Permite que a senha seja salva automaticamente.
Aker Security Solutions
32
Tipo de Autenticao: Agente externo usurio/senha
Figura 27 - Tipos de autenticao (usurio, domnio e senha) para editar o Dispositivo Remoto. Essa opo permite autenticao por meio de Agentes Externos. Usurio: O usurio que acessar o AWG. Este campo grava o usurio, onde aparecer todas as vezes que o AWG for acessado. Domnio: Nome do domnio no qual o agente externo est rodando Senha: A senha do usurio. Caso deixe a caixa Salvar Senha marcada, no ser necessrio digitar a senha quando fizer a conexo (a senha aparecer na tela como vrios asteriscos *). Caso ela esteja desmarcada, este campo estar desabilitado. Fingerprint: um resumo da identificao do certificado digital do AWG. Essa opo possibilita ao usurio identificar quando tem uma mudana do AWG que se costuma conectar. Observao: Na primeira vez que h a tentativa da conexo no haver a identificao do AWG. A partir da segunda vez todas s vezes que conectado vai comparar com o fingerprint.
Aker Security Solutions
33
Eraser Fingerprint: Zera e comea do estado inicial. Se h uma troca do AWG a identificao ser diferente, ento no ser possvel conexo, somente se clicar no erase fingerprint. Depois de cadastrarmos o dispositivo, pode-se clicar duas vezes no cone do AWG criado, no lado esquerdo da janela, ou clicar uma vez para selecion-lo e, em seguida, no boto Conectar.
Figura 28 Boto Conectar. Ele far com que a interface se conecte ao dispositivo escolhido, como mostrado na figura abaixo:
Figura 29 - Interface conectada ao AWG escolhido.
Aker Security Solutions
34
2.2. Finalizando a administrao remota Existem trs formas de finalizar a administrao remota do Aker Web Gateway: Finalizando a sesso clicando com o boto direito do mouse no AWG conectado e selecionando Desconectar do dispositivo remoto;
Figura 30 - Desconectar do dispositivo remoto. Clicando em Desconectar do dispositivo remoto na barra de ferramentas ou fechando a Interface Remota. Neste caso voc perder a conexo com todos os dispositivos que estiverem conectados. Caso queira sair do programa, deve-se clicar no boto Sair, na barra de ferramentas da janela principal ou clicar no x no canto superior direito da janela.
Figura 31 Boto: Sair deste programa.
2.3. Mudando sua senha de usurio possvel para qualquer usurio do AWG alterar a sua senha sempre que desejado. Para tanto se deve primeiro estabelecer uma sesso de administrao (como mostrado no tpico Iniciando a interface remota) e aps isso executar os seguintes passos:
Aker Security Solutions
35
Figura 32 AWG menu Ferramentas Selecionar o Web Gateway a ser configurado. Clicar em Ferramentas. Clicar duas vezes em Mudar senha. Ser mostrada ento a seguinte janela:
Figura 33 Mudar senha Deve-se digitar a senha anterior no campo Senha antiga e digitar a nova senha nos campos Nova senha e Confirmar a nova senha (as senhas aparecero na tela como vrios asteriscos "*"). Aps preencher os campos, deve-se pressionar o boto OK, para alterar a senha ou o boto Cancelar, caso no queira mud-la.
Aker Security Solutions
36
2.4. Visualizando Informao de Sesso possvel a qualquer momento visualizar algumas informaes sobre a sesso de administrao ativa. Para isso existe uma janela especfica que mostra informaes teis como: login, nome e direitos do usurio que est administrando o Web Gateway e a verso e o release do AWG que estiver sendo administrado. So mostradas tambm a hora de incio da conexo e h quanto tempo ela est ativa. Para abrir esta janela, execute os seguintes passos:
Figura 34 AWG menu Informao Selecionar o Aker Web Gateway a ser configurado; Clicar em Informao; Clicar duas vezes em Informao de sesso. Ser mostrada ento a seguinte janela:
Aker Security Solutions
37
Figura 35 Informao de sesso
Aker Security Solutions
38
Administrando usurios
Aker Security Solutions
39
3. Administrando usurios Neste captulo mostraremos como criar os usurios que iro administrar remotamente o Aker Web Gateway. Aker Web Gateway ser referenciado neste manual como AWG.
Quem so os usurios do Aker Web Gateway? Para que alguma pessoa consiga administrar remotamente o Aker Web Gateway preciso ser reconhecida e validada pelo sistema. Esta validao feita na forma de senhas, sendo que cada um dos administradores dever ser previamente cadastrado com um login e uma senha, j definindo as suas atribuies. Alm disso, o Aker Web Gateway permite a existncia de vrios administradores distintos, cada um responsvel por uma determinada tarefa da administrao. Isso, alm de facilitar a administrao, permite um maior controle e uma maior segurana. 3.1. Utilizando a Interface Remota Para ter acesso janela de administrao de usurios, na interface remota deve-se:
Figura 6 AWG menu configuraes Clicar em Configuraes da janela do Aker Web Gateway que quer administrar Selecionar o item Usurios Administrativos
Aker Security Solutions
40
Esta opo s estar habilitada se o usurio que estiver com a sesso aberta na interface remota, tiver autoridade para gerenciar usurios. Isso ser comentado em detalhes no prximo tpico.
A janela de Usurios Administrativos Aba usurios internos
Figura 37 Usurios administradores Esta janela consiste de uma lista de todos os usurios atualmente definidos para acesso administrao do Aker Web Gateway, alm de um segredo compartilhado (ou senha), para administrao centralizada pelo Aker Configuration Manager. No havendo o segredo compartilhado, a configurao ser apenas efetuado pelos usurios cadastrados. Para cada usurio, mostrado seu login, seu nome completo e suas permisses:
Aker Security Solutions
41
O boto OK far com que a janela de administrao de usurios seja fechada e as modificaes salvas; O boto Aplicar far com que as alteraes realizadas sobre um determinado usurio sejam aplicadas, isto , realizadas permanentemente, sem fechar a janela; O boto Cancelar fechar a janela de administrao de usurios e descartar todas as alteraes efetuadas; Quando um usurio for selecionado, os seus atributos completos sero mostrados nos campos Permisses. Para alterar os atributos de um usurio, deve-se proceder da seguinte forma: 1. Selecionar o usurio a ser alterado clicando sobre seu nome com o boto esquerdo do mouse. Neste momento sero mostrados os seus atributos nos campos aps a listagem de usurios; 2. Alterar o valor dos atributos desejados e clicar no boto Aplicar ou no boto OK. A partir deste momento as alteraes sero efetivadas. Para incluir um usurio na lista, deve-se proceder da seguinte forma: 1. Clicar com o boto direito do mouse em qualquer lugar da rea reservada para mostrar a lista (aparecer o boto Inserir) e selecionar a opo Incluir no menu pop-up ou clicar no cone que representa a incluso na barra de ferramentas; 2. Preenche os campos do usurio a ser includo e clicar no boto Aplicar ou no boto OK. Para remover um usurio da lista, deve-se proceder da seguinte forma: 1. Selecionar o usurio a ser removido, clicando sobre seu nome com o boto esquerdo do mouse e clicar no cone que representa a remoo na barra de ferramentas; ou 2. Clicar com o boto direito do mouse sobre o nome do usurio a ser removido e selecionar a opo Excluir no menu pop-up.
Significado dos atributos de um usurio Login a identificao do usurio para o Aker Web Gateway. No podem existir dois usurios com o mesmo login. Este login ser pedido ao administrador do Aker Web Gateway quando este for estabelecer uma sesso de administrao remota. O login deve ter entre 1 e 14 caracteres. No h diferenas entre letras maisculas e minsculas neste campo.
Aker Security Solutions
42
Nome Este campo contm o nome completo do usurio associado ao login. Os seus objetivos so de informao, no sendo usado para qualquer validao. Este nome deve ser um conjunto de caracteres de comprimento entre 0 e 40. Senha Este campo ser usado em conjunto com o campo login para identificar um usurio perante o Aker Web Gateway. Ao digitar a senha, sero mostrados na tela asteriscos "*" ao invs das letras. O campo senha deve ter no mximo 14 caracteres. Seu tamanho mnimo configurvel por meio da janela de parmetros da interface (para maiores informaes veja o tpico Utilizando a interface remota ). Neste campo, letras maisculas e minsculas so consideradas diferentes. extremamente importante que as senhas usadas tenham um comprimento grande, o mais prximo possvel do limite de 14 caracteres. Alm disso, deve-se sempre utilizar uma combinao de letras minsculas, maisculas, nmeros e caracteres especiais nas senhas (caracteres especiais so aqueles encontrados no teclado dos computadores e que no so nmeros nem letras: "$", "&", "]", etc.). Nunca use como senhas palavras em qualquer idioma ou apenas nmeros. Confirmao Este campo serve para confirmar a senha digitada no campo anterior, uma vez que esta aparece como asteriscos. Permisses Este campo define o que um usurio pode fazer dentro do Aker Web Gateway. Ele consiste de trs opes que podem ser marcadas independentemente. O objetivo destas permisses possibilitar a criao de uma administrao descentralizada para o Aker Web Gateway. possvel por exemplo, numa empresa que possua vrios departamentos e vrios Aker Web Gateways, deixar um administrador responsvel pela configurao de cada um dos produtos e um responsvel central com a tarefa de supervisionar a administrao. Este supervisor seria a nica pessoa capaz de apagar e alterar a configurao de log e eventos dos Aker Web Gateways. Desta forma, apesar de cada departamento ter autonomia de administrao possvel ter um controle central do que cada administrador alterou na configurao e quando ele realizou cada alterao. Isto um recurso muito importante para realizar auditorias internas, alm de aumentar a segurana da administrao.
Aker Security Solutions
43
Caso um usurio no possua nenhum atributo de autoridade, ento, esse ter permisso apenas para visualizar a configurao do Aker Web Gateway e compactar os arquivos de log e de eventos. Configurar Servidor Se esta permisso estiver marcada, o usurio em questo poder administrar o Aker Web Gateway, isto , alterar a configurao das entidades, regras de filtragem, converso de endereos, criptografia, proxies e parmetros de configurao que no estejam relacionados ao log. Configurar Log Se esta opo estiver marcada, o usurio em questo ter poderes para alterar os parmetros relacionados ao log (como por exemplo, tempo de permanncia do log), alterar a configurao da janela de aes (tanto as mensagens quanto os parmetros) e apagar permanentemente o log e os eventos. Administrar usurios Se esta opo estiver marcada, o usurio em questo ter acesso janela de administrao de usurios, podendo incluir, editar e excluir outros usurios. Um usurio que possuir esta autoridade somente poder criar, editar ou excluir usurios com autoridades iguais ou menores s que ele possuir (por exemplo, se um usurio tiver poderes de gerenciar usurios e configurar log, ento ele poder criar usurios que no possuam nenhuma autoridade, que somente possam configurar o log, que somente possam criar novos usurios ou que possam gerenciar usurios e configurar log. Ele no poder nunca criar, nem editar ou excluir, um usurio que possa configurar o Aker Web Gateway).
Aker Security Solutions
44
Aba Agentes Externos
Figura 38 Aba Agentes externos Esta aba consiste na configurao dos agentes externos que sero utilizados para a autenticao dos usurios que administram o Aker Web Gateway, definindo assim regras de autenticao para o acesso destes. Habilitar autenticao via agentes externos Ao selecionar essa opo permite a autenticao dos usurios, por meio dos agentes externos que esto cadastrados no Aker Web Gateway. Permite definir o autenticador externo, qual o usurio/grupo que ele pertence, quais as suas permisses de acesso e a definio das entidades que o usurio utilizar para conectar ao Aker Web Gateway. Autenticador Ao clicar com o boto direito em cima da opo autenticador, poder selecionar um autenticador (agente externo) habilitados na Janela autenticao aba Mtodos. Esse
Aker Security Solutions
45
autenticador ser responsvel por intermediar o processo de autenticao da interface com o Aker Web Gateway. Usurio/Grupo Os usurios e os grupos estaro relacionados ao autenticador escolhido. Pode-se associar um usurio somente ou um grupo deles. Permisses Este campo define o que um usurio pode fazer dentro do Aker Web Gateway . Ele consiste de trs opes que podem ser marcadas independentemente. O objetivo destas permisses possibilitar a criao de uma administrao descentralizada para o Aker Web Gateway. possvel por exemplo, numa empresa que possua vrios departamentos e vrios Aker Web Gateways, deixar um administrador responsvel pela configurao de cada um dos Aker Web Gateways e um responsvel central com a tarefa de supervisionar a administrao. Este supervisor seria a nica pessoa capaz de apagar e alterar a configurao de log e eventos dos Aker Web Gateways. Desta forma, apesar de cada departamento ter autonomia de administrao possvel ter um controle central do que cada administrador alterou na configurao e quando ele realizou cada alterao. Isto um recurso muito importante para realizar auditorias internas, alm de aumentar a segurana da administrao. Entidades As Entidades so representaes de objetos do mundo real para o Aker Web Gateway. Atravs delas, podem-se representar mquinas, redes, servios a serem disponibilizados, entre outros. Nessa opo permite definir de qual entidade o usurio se conectar ao Aker Web Gateway. Servidor Fingerprint um resumo da identificao do certificado digital do Aker Web Gateway. Essa opo possibilita ao usurio identificar quando tem uma mudana do Aker Web Gateway que se costuma conectar.
Aker Security Solutions
46
Aba Autenticao X509
Figura 39 Aba X.509 Essa aba consiste no mtodo de autenticao com certificao digital X509. O Certificado Digital pode ser considerado como a verso eletrnica (digital) de uma cdula de identidade, associa uma chave pblica com a identidade real de um indivduo, de um sistema servidor, ou de alguma outra entidade. Um certificado digital normalmente usado para ligar uma entidade a uma chave pblica. Para garantir a integridade das informaes contidas neste arquivo ele assinado digitalmente, no caso de uma Infraestrutura de Chaves Pblicas (ICP), o certificado assinado pela Autoridade Certificadora (AC) que o emitiu e no caso de um modelo de Teia de Confiana ( Web of trust ) como o PGP o certificado assinado pela prpria entidade e assinado por outros que dizem confiar naquela entidade. Em ambos os casos as assinaturas contidas em um certificado so atestamentos feitos por uma entidade que diz confiar nos dados contidos naquele certificado.
Um certificado normalmente inclui:
Aker Security Solutions
47
Informaes referentes entidade para o qual o certificado foi emitido (nome, email, CPF/CNPJ, PIS etc.); A chave pblica referente chave privada de posse da entidade especificada no certificado; O perodo de validade; A localizao do "centro de revogao" (uma URL para download da CRL, ou local para uma consulta OCSP; A(s) assinatura(s) da(s) AC/entidade(s) que afirma que a chave pblica contida naquele certificado confere com as informaes contidas no mesmo;
Um certificado padro X.509 um outro formato de certificado muito comum. Todos os certificados X.509 obedecem o padro internacional ITU-T X.509; assim (teoricamente) certificados X.509 criados para uma aplicao podem ser usados por qualquer aplicao que obedece X.509. Um certificado exige algum para validar que uma chave pblica e o nome do dono da chave vo juntos. Com certificados de PGP, qualquer um pode representar o papel de validador. Com certificados X.509, o validador sempre uma Autoridade de Certificao ou algum designado por uma CA. Um certificado X.509 uma coleo de um conjunto padro de campos contendo informaes sobre um usurio ou dispositivo e sua correspondente chave pblica. O padro X.509 define qual informao vai no certificado, e descreve como codificar isto(o formato dos dados). Todos certificados X.509 tm os seguintes dados: O nmero da verso do X.509 que identifica qual o padro aplicado na verso do X.509 para este certificado, o que afeta e qual informao pode ser especificada neste; A chave pblica do possuidor do certificado junto com um algoritmo de identificao, especifica qual sistema de criptografia pertence chave e quaisquer parmetros associados. Abaixo, seguem os campos que contm a aba: Habilitar autenticao X.509: Ao selecionar essa opo permite habilitar a autenticao do usurio via certificado digital x.509; Certificado CN do Servidor: Nessa opo mostra qual certificado o Aker Web Gateway est utilizando na sua autenticao; Importa Certificado: Ao clicar nesse cone, permite a incluso de um novo certificado, ou seja carrega-se o certificado cadastrado no arquivo e incluindo-o no Aker Web Gateway; Exporta Certificado: Gravam os dados do certificado, para transport-lo para uma futura aplicao desse certificado. Tira uma cpia do certificado;
Aker Security Solutions
48
Remove Certificado: Ao clicar nesse cone, permite a remoo do certificado que foi includo. Com isso o Aker Web Gateway fica sem nenhum certificado; Mostra detalhes dos certificados: Mostra todas as informaes contidas no certificado habilitado; Autoridade Certificadora: A autoridade certificadora (CA- certificate authority) deve garantir ao usurio, atravs da assinatura de seus certificados, que tais entidades so realmente quem dizem ser. Ento, a CA tem um papel bsico de garantir a correspondncia entre a identidade e a chave pblica de uma determinada entidade, sabendo que tal chave pblica corresponde a uma chave privada que permanece sob guarda exclusiva dessa entidade. Para tanto, a CA deve ser capaz de realizar todos os processos de emisso de certificados, verificao de validade, armazenamento, publicao ou acesso on-line, revogao e arquivamento para verificao futura. Em consequncia, uma autoridade certificadora constitui-se de um sistema computacional completo, com capacidade de comunicao processamento e armazenamento. Alm disso, tanto as comunicaes envolvendo esse sistema, assim como o prprio sistema, devem ser tambm protegidos e a prpria identidade do sistema deve ser garantida, necessidades estas que so atendidas por intermdio da publicao de uma chave pblica pertencente prpria autoridade certificadora. Como tal chave deve tambm ser garantida com um certificado digital, ento, em geral, uma autoridade certificadora deposita sua chave pblica junto outra autoridade certificadora, formando uma estrutura de certificao onde algumas CA funcionam como autoridades certificadoras para outras CAs. Essa opo permite selecionar uma autoridade a qual o usurio est vinculado.
Pseudo-Grupos: Corresponde aos grupos de certificados, relacionados autoridade certificadora selecionada na opo acima. Este campo no editvel.
Permisses: Esse campo das permisses editvel, podendo, para cada CA selecionada relacionar as permisses para cada grupo. Nessa opo, uma vez escolhida uma Autoridade Certificadora e definidos os nveis/permisses de acesso para cada grupo, ao trocar de CA todos as permisses relacionadas outra CA sero perdidos.
Aker Security Solutions
49
3.2. Utilizando a Interface Texto Alm da Interface Remota de administrao de usurios, existe uma interface local orientada a caracteres que possui praticamente as mesmas capacidades da Interface Remota. A nica funo no disponvel a de alterao das permisses dos usurios. Essa Interface Texto, ao contrrio da maioria das demais interfaces orientadas a caracteres do Aker Web Gateway, interativa e no recebe parmetros da linha de comando. Localizao do programa: /aker/bin/awg/admin Ao ser executado, o programa mostrar a seguinte tela:
Figura 40 Interface Texto Para executar qualquer uma das opes mostradas, basta digitar a letra mostrada em negrito. Cada uma das opes ser mostrada abaixo, em detalhes: Inclui um novo usurio Esta opo permite a incluso de um novo usurio que poder administrar o Aker Web Gateway remotamente. Ao ser selecionada, ser mostrada uma tela pedindo as diversas informaes do usurio. Aps todas as informaes serem preenchidas, ser pedida uma confirmao para a incluso do usurio.
Aker Security Solutions
50
Figura 41 Incluso de usurio Observaes importantes: 1. Nos campos onde aparecem as opes (S/N), deve-se digitar apenas S, para sim e N para no. 2. A senha e a confirmao das senhas no sero mostradas na tela. Remove um usurio existente Esta opo, remove um usurio existente que esteja cadastrado no sistema. Ser pedido o login do usurio a ser removido caso o usurio esteja cadastrado, ser pedida a seguir uma confirmao para realizar a operao.
Aker Security Solutions
51
Figura 42 Remoo de usurio Para prosseguir com a remoo, deve-se digitar S, caso contrrio digita-se N. Lista usurios cadastrados Esta opo mostra uma lista com o nome e as permisses de todos os usurios autorizados a administrar remotamente o Aker Web Gateway. Um exemplo de uma possvel listagem de usurios a seguinte:
Figura 43 Listagem de usurios
Aker Security Solutions
52
O campo permisses consiste de 3 possveis valores: CF, CL, e GU, que correspondem respectivamente s permisses de: Configura Aker Web Gateway, Configura Log e Gerencia Usurios. Se um usurio possuir uma permisso, ela ser mostrada com o cdigo acima, caso contrrio ser mostrado o valor --, indicando que o usurio no a possui. Compacta arquivo de usurios
Figura 44 Compactao do arquivo de usurios Esta opo no est presente na Interface Remota e no possui uso frequente. Ela serve para compactar o arquivo de usurios, removendo entradas no mais usadas. Ele somente deve ser usada quando for removido um grande nmero de usurios do sistema. Ao ser selecionada, o arquivo ser compactado e ao final ser mostrada uma mensagem indicando que a operao foi completada (a compactao do arquivo costuma ser uma operao bastante rpida, durando poucos segundos). Sai do admin Esta opo encerra o programa admin e retorna para a linha de comando.
Aker Security Solutions
53
Configurando os parmetros do sistema
Aker Security Solutions
54
4. Configurando os parmetros configuraes do sistema Neste captulo ser mostrado como configurar as variveis que iro influenciar nos resultados de todo o sistema. Estes parmetros de configurao atuam em aspectos como a segurana, log do sistema e tempos de inatividade das conexes. Aker Web Gateway ser referenciado neste manual como AWG.
4.1. Utilizando a Interface Remota Para ter acesso a janela de configurao de parmetros deve-se:
Figura 45 Menu Configuraes (Parmetros de configurao) Clicar no menu Configuraes do Sistema da janela do Aker Web Gateway que quer administrar; Selecionar o item Parmetros de Configurao;
Aker Security Solutions
55
A janela de Parmetros de configurao:
Figura 46 Aba Global O boto OK far com que a janela de configurao de parmetros seja fechada e as alteraes que foram efetuadas sejam aplicadas; O boto Cancelar far com que a janela seja fechada porm as alteraes efetuadas no sejam aplicadas; O boto Aplicar enviar para o Aker Web Gateway todas as alteraes feitas porm manter a janela aberta. Significado dos parmetros Aba Global Nesta janela, estes parmetros so utilizados pelo filtro de estados e pelo conversor de endereos. Eles consistem dos seguintes campos: - Valor padro: Configurado durante a instalao do Aker Web Gateway pelo administrador;
Aker Security Solutions
56
- Tempo limite TCP: Define o tempo mximo, em segundos, que uma conexo TCP pode permanecer sem trfego e ainda ser considerada ativa pelo Aker Web Gateway. Seu valor pode variar de 0 a259200 (72 horas); Valor padro: 900 segundos; - Tempo limite UDP: Define o tempo mximo, em segundos, que uma conexo UDP pode permanecer sem trfego e ainda ser considerada ativa pelo Aker Web Gateway. Seu valor pode variar de 0 a259200 (72 horas) - Valor padro: 180 segundos; Estes campos so de vital importncia para o correto funcionamento do Aker Web Gateway: valores muito altos podero causar problemas de segurana para servios baseados no protocolo UDP, faro com que o sistema utilize mais memria e o tornaro mais lento. Valores muito baixos podero causar constantes quedas de sesso e o mau funcionamento de alguns servios. - Tamanho mnimo de senha: Define o nmero mnimo de caracteres que as senhas dos administradores devem ter para serem aceitas pelo sistema. Seu valor pode variar entre 4 e 14 caracteres - Valor padro: 6 caracteres; importante que este valor seja o maior possvel, de modo a evitar a utilizao de senhas que possam ser facilmente quebradas; - Servidor NTP (Network Time Protocol): Define o servidor de tempo que ser utilizado pelo Aker Web Gateway para sincronizar seu relgio interno. (Este campo s aparece para o Aker Web Gateway); -Endereos fixos de configurao remota: So endereos que, independentemente de regras e de extrapolao dos limites de licenas, podem administrar o Aker Web Gateway (isto conectar na porta 1020). Eles servem como medida de preveno anti-bloqueio do Aker Web Gateway, uma vez que s podem ser configurados via Interface Texto; - Restringir conexo de configurao: Esta opo, quando selecionada, permite ao administrador especificar, de forma clara, quais entidades tero acesso configurao do Web Gateway. Automaticamente, as opes abaixo descritas, ficam habilitadas; - Aceitar entidades: Esta opo especifica que as entidades listadas no campo IP/Rede podero ter acesso para configurao ao web gateway;
- Bloquear entidades: Esta opo especifica que as entidades listadas no campo IP/Rede no podero ter acesso para configurao ao web gateway; - IP/Rede: Este componente utilizado para a especificao das entidades que sero utilizadas no bloqueio/liberao do acesso de configurao do web gateway.
Aker Security Solutions
57
Aba Log
Figura 47 Aba Log Local: Indica que os eventos devem ser salvos em um disco local, na mquina onde o AWG estiver rodando. Tempo de vida no eventos /: Os registros de eventos do AWG so mantidos em arquivos dirios. Esta configurao define o nmero mximo de arquivos que sero mantidos pelo sistema, em caso de log local. Os valores possveis vo de 1 a 365 dias. Valor padro: 7 dias Tamanho (GB) eventos: Os arquivos de eventos sero limitados em tamanho total em disco, ou seja, caso o total de logs em disco ultrapasse o valor estipulado, os logs mais antigos sero apagados.
Aker Security Solutions
58
Exemplo da nova rotao de logs do AWG
ANTES ATUAL Perodo de rotao 01 vez por dia 01 vez por hora ou arquivo atual atingindo o tamanho mximo configurado. Controles para excluso dos arquivos Ultrapassando o tempo limite configurado. Ultrapassando o tempo ou tamanho limite configurado.
Exemplo: Configurao do ambiente: Tempo limite: 07 dias tamanho mximo de log de 2,4 GB So gerados 100 MB de arquivos de log por hora. s 11:59 do 1 dia, haver aproximadamente 2,4 GB de arquivos de log. meia-noite do 2 dia, o AWG rotacionar os logs. Isso far com que o primeiro arquivo de log de 100 MB, criado no 1 dia, seja excludo do HD, fazendo com que este fique com 2,3 GB de arquivos de log. Depois disso, o AWG recebeu um ataque de flood e comeou a gerar 3,4 GB de log por hora. Quando o arquivo de log (APENAS O ARQUIVO QUE EST SENDO ESCRITO, SEM CONTAR OS OUTROS) alcanar 2,4 GB (neste momento o diretrio ter 4,7 GB de log), o AWG rotacionar os logs, excluindo TODOS os registros de log, inclusive o arquivo de 2,4 GB. Na sequncia, criar outro arquivo zerado e comear a gravar os logs nele. O evento acima aconteceu um pouco antes do natal, em uma sexta-feira, e a empresa resolveu dar folga a semana toda para emendar com o ano novo. O arquivo de log, aps o ataque de flood, ficou um 01 GB de tamanho e o AWG passou a produzir 1 KB de log por hora. 06 dias, 23 horas e 59 minutos se passaram e o AWG criou vrios arquivos de log, completando um tamanho total de 1,000160217 GB. meia-noite, aps 07 dias, o
Aker Security Solutions
59
AWG rotacionou os logs excluindo apenas o arquivo de 1 GB, criado uma semana atrs, e deixando apenas 0,000160217 GB de arquivos de log.
- Servidor Remoto: Esta opo indica o servidor de log remoto para o qual o log ser enviado; - Logar syslog do Unix: Habilita o envio do log e dos eventos do Aker Web Gateway para o daemon de log do Unix, o syslogd - Valor padro: No envia log para o syslogd; Ao habilitar essa opo, os registros de log sero enviados para a fila local0 e os de eventos para a fila local1; Esta opo no altera em nada o registro interno do log e dos eventos realizado pelo prprio Aker Web Gateway.
Aker Security Solutions
60
Aba SNMP
Figura 47 Aba SNMP - Comunidade de leitura: Este parmetro indica o nome da comunidade que est autorizada a ler dados do Aker Web Gateway via SNMP. Caso este campo esteja em branco, nenhuma mquina estar autorizada a l-los - Valor padro: campo em branco; - Comunidade de escrita: Este parmetro indica o nome da comunidade que est autorizada a alterar dados do Aker Web Gateway via SNMP. Caso este campo esteja em branco, nenhuma mquina estar autorizada a alter-los - Valor padro: campo em branco; Mesmo com uma comunidade de escrita definida, por razes de segurana, somente podero ser alterados algumas variveis do grupo system. - Descrio: Tipo de servio que a mquina ira disponibilizar para o usurio;
Aker Security Solutions
61
- Contato: Tipo de contato (e-mail, home page) que o administrador disponibiliza para o usurio; - Nome: Nome abreviado do sistema que o identifica na rede, ex: DNS; - Local: Local fsico onde a mquina est instalada; O SNMPv3 inclui trs importantes servios: autenticao (authentication) , privacidade (privacy) e controle de acesso (access control). - Habilita SNMPv3: Ao selecionar essa opo permite definir o tipo de permisso de um usurio e qual o nvel de segurana que ele estar relacionado; - Nome do usurio: Nome do usurio que ter permisso para conferir ou modificar as informaes; - Tipo de permisso: Permite a escolha do tipo de permisso do usurio. Poder ter acesso de somente leitura dos dados ou de leitura e escrita; - Nvel de segurana: Permite a escolha do tipo de segurana dos dados. Pode-se optar por nenhuma autenticao, com autenticao ou autenticao com cifragem. Caso a escolha seja com autenticao, as opes Mtodo de autenticao e senha de autenticao sero habilitados. Caso a escolha seja autenticao com cifragem, as opes Mtodo de cifragem e senha de cifragem sero habilitados; - Mtodo de autenticao: Possuem dois mtodos de autenticao, um com o algoritmo MD5 e o outro com o algoritmo SHA; - Senha de autenticao: Deve ser informada uma senha para autenticao, com no mnimo 8 caracteres; - Mtodo de encriptao: Possuem dois mtodos de cifragem dos dados, um por meio do algoritmo DES e o outro por meio do algoritmo AES; - Senha de encriptao: Deve ser informada uma senha para cifragem, com no mnimo 8 caracteres; - Ramo de acesso: Permite restringir, por meio de subrvores, quais os grupos de dados/informaes que o usurio ter acesso.
Aker Security Solutions
62
Aba Servios
Figura 48 Aba Servios Esta aba servios permite configurar quais so as portas (servios), que devem ser redirecionadas para o Proxy HTTP, isso significa que pode ser definido quais as portas (servios) o Web Gateway filtra o protocolo HTTP. Ao selecionar a opo Filtro Web Habilitado, permite a filtragem do trfego HTTP das entidades selecionadas. Nesse campo aparecero as entidades servios criadas. Ao selecionar essa opo Restringir redes e mquinas do filtro web, permite filtrar as entidades do tipo mquinas/redes que vo passar pelo filtro web. Se a opo Filtrar entidades abaixo estiver selecionado, significa que as entidades que no estiverem listadas tero todo acesso liberado.
Aker Security Solutions
63
Caso a opo No filtrar as entidades abaixo estiver selecionada, significa que as entidades que estiverem listadas tero o acesso liberado. - Suporte ao MSN: Habilita o suporte para o MSN Messenger - Valor padro: Suporte ao MSN Messenger est habilitado. O MSN Messenger um protocolo de mensagens instantneas que permite a comunicao entre duas ou mais pessoas ao mesmo tempo. Este parmetro faz com que o Aker Web Gateway trate o Messenger de forma especial possibilitando que seu uso seja controlado por meio dos perfis de acesso. A opo Habilitar proxy ativo permite utilizar o AWG como proxy ativo. Para isso, deve-se configurar o browser com o mesmo endereo IP e Porta de sada do AWG, que no caso, ser a porta 80. Caso esta opo no esteja habilitada, o usurio poder utilizar apenas proxy transparente. Aba Prox SSL Reverso
Consulte o captulo Configurando Proxy SSL Reverso.
Aker Security Solutions
64
Data e Hora
Figura 49 Data/Hora Esta opo permite ao administrador verificar e alterar a data e a hora do Web Gateway. A data e hora configuradas corretamente so essenciais para o funcionamento da tabela de horrio das regras e dos perfis de acesso WWW (WORLD WIDE WEB) e eventos. Data e hora Esta janela consiste de dois campos que mostram o valor da data e hora configurado no Web Gateway. Para alterar qualquer um destes valores, basta colocar o valor desejado no campo correspondente. Para escolher o ms pode- se utilizar as setas de navegao. Fuso Horrio Escolha o fuso horrio que mais se aproxima da regio aonde o Web Gateway ser instalado.
Aker Security Solutions
65
O boto Aplicar alterar a data e hora e manter a janela aberta. O boto OK far com que a janela seja fechada e as alteraes salvas. O boto Cancelar fechar a janela e descartar as modificaes efetuadas. Servidor NTP (Network Time Protocol) Define o servidor de tempo que ser utilizado pelo Web Gateway para sincronizar seu relgio interno. 4.2. Utilizando a Interface Texto A Interface Texto de configurao de parmetros bastante simples de ser utilizada e possui exatamente as mesmas capacidades da Interface Remota. Ela possui entretanto a possibilidade, no disponvel na Interface Remota, de adicionar at trs mquinas possveis de administrarem o Aker Web Gateway remotamente, mesmo sem a existncia de uma regra liberando sua conexo. O objetivo desta funcionalidade permitir que, mesmo que um administrador tenha feito uma configurao equivocada que impea sua conexo, ainda assim ele poder continuar administrando remotamente o Aker Web Gateway. Este parmetro chama-se end_remoto. E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW). Nome do programa: par Sintaxe: Uso: fwpar [mostra | ajuda] fwpar [tempo_limite_tcp | tempo_limite_udp] <segundos> fwpar interface_externa <nome> fwpar [ip_direcionado] <sim | nao> fwpar [suporte_ftp | suporte_real_audio | suporte_rtsp | suporte_pptp ] <si m | nao> fwpar [suporte_h323 | suporte_msn | suporte_sip | suporte_dce_rpc | manter_ cons_exp ] <sim | nao> fwpar [loga_conversao | loga_syslog] <sim | nao> fwpar [permanencia_log | permanencia_event | permanencia_stat] <dias>
mostra = mostra a configuraco atual ajuda = mostra esta mensagem tempo_limite_tcp = tempo mximo de inatividade para conexes TCP tempo_limite_udp = tempo mximo de inatividade para conexes UDP suporte_msn = habilita suporte ao procotolo MSN Messenger interface_externa = configura o nome da interface externa (conexes que vierem por esta interface nao contam na licenca) ip_direcionado = aceita pacotes IP direcionados suporte_ftp = habilita suporte ao protocolo FTP suporte_real_audio = habilita suporte ao protocolo Real Audio suporte_rtsp = habilita suporte ao protocolo RTSP suporte_pptp = habilita suporte ao protocolo Microsoft(R) PPTP suporte_h323 = habilita suporte ao protocolo H.323 suporte_sip = habilita suporte ao protocolo SIP suporte_dce_rpc = habilita suporte ao protocolo DCE-RPC sobre TCP manter_cons_exp = mantem conexes de regras expiradas loga_conversao = registra mensagens de converso de endereos loga_syslog = envia mensagens de log e eventos para o syslogd
Aker Security Solutions
67
permanencia_log = tempo de permanncia (dias) dos registros de log permanencia_stat = tempo de permanncia (dias) das estatsticas permanencia_event = tempo de permanncia (dias) dos registros de evento tamanho_log = tamanho mximo (GB) dos registros de log tamanho_stat = tamanho mximo (GB) das estatsticas tamanho_event = tamanho mximo (GB) dos registros de evento serv_log_remoto = servidor de log remoto (nome da entidade) end_remoto = endereo dos trs controladores remotos snmp = configuraes de SNMP Exemplo 1: (visualizando a configurao): par mostra # Parmetros globais: ------------------- tempo_limite_tcp : 900 segundos tempo_limite_udp : 180 segundos suporte_msn : nao end_remoto : 1) 10.4.0.31 2) 10.4.0.3 3) Parmetros de configurao de log: ---------------------------------- permanencia_event : 7 dias Parmetros de configurao de SNMP: ----------------------------------- rocommunidade : rwcommunidade : descrio : contato : nome : local : Exemplo 2: (configurando endereo para controle remoto): #par end_remoto 1 10.4.0.21
Aker Security Solutions
68
Exemplo 3: (configurando o nome da comunidade de leitura SNMP): #/aker/bin/awg/par comunidade_leitura public Exemplo 4: (apagando o nome da comunidade de escrita SNMP): #/aker/bin/awg/par comunidade_escrita
Aker Security Solutions
69
Cadastrando ntidades
Aker Security Solutions
70
5. Cadastrando Entidades Ser mostrado neste captulo o que so, para que servem e como cadastrar entidades no Aker Web Gateway. Aker Web Gateway ser referenciado neste manual como AWG.
5.1. Planejando a instalao
O que so e para que servem as entidades? Entidades so representaes de objetos do mundo real para o Aker Web Gateway. Atravs delas, podem ser representados mquinas, redes, servios a serem disponibilizados, entre outros. A principal vantagem da utilizao de entidades para representar objetos reais que a partir do momento em que so definidas no Aker Web Gateway, elas podem ser referenciadas como se fossem os prprios objetos, propiciando uma maior facilidade de configurao e operao. Todas as alteraes feitas em uma entidade sero automaticamente propagadas para todos os locais onde ela referenciada. Pode-se definir, por exemplo, uma mquina chamada de Servidor WWW (WORLD WIDE WEB), com o endereo IP de 10.0.0.1. A partir deste momento, no mais necessrio se preocupar com este endereo IP. Em qualquer ponto onde seja necessrio referenciar esta mquina, a referncia ser feita pelo nome. Caso futuramente seja necessrio alterar seu endereo IP, basta alterar a definio da prpria entidade que o sistema automaticamente propagar esta alterao para todas as suas referncias. Definindo entidades Antes de explicar como cadastrar entidades no Aker Web Gateway necessrio uma breve explicao sobre os tipos de entidades possveis e o que caracteriza cada uma delas. Existem 6 tipos diferentes de entidades no Aker Web Gateway: mquinas, redes, conjuntos, servios, autenticadores e interfaces. As entidades do tipo mquina e rede, como o prprio nome j diz, representam respectivamente mquinas individuais e redes. Entidades do tipo conjunto representam uma coleo de mquinas e redes, em qualquer nmero. Entidades do tipo servio representam um servio a ser disponibilizado atravs de um protocolo qualquer que rode em cima do IP. Entidades do tipo autenticador, representam um tipo especial de mquina que pode ser utilizada para realizar autenticao de
Aker Security Solutions
71
usurios e as entidades do tipo interface, representam uma interface de rede do Aker Web Gateway. Por definio, o protocolo IP, exige que cada mquina possua um endereo diferente. Normalmente estes endereos so representados da forma byte a byte, como por exemplo 172.16.17.3. Desta forma, pode-se caracterizar unicamente uma mquina em qualquer rede IP, incluindo a Internet, com apenas seu endereo. Para definir uma rede deve-se utilizar uma mscara alm do endereo IP. A mscara serve para definir quais bits do endereo IP sero utilizados para representar a rede (bits com valor 1) e quais sero utilizados para representar as mquinas dentro da rede (bits com valor 0). Assim, para representar a rede cujas mquinas podem assumir os endereos IP de 192.168.0.1 a 192.168.0.254, deve-se colocar como rede o valor 192.168.0.0 e como mscara o valor 255.255.255.0. Esta mscara significa que os 3 primeiros bytes sero usados para representar a rede e o ltimo byte ser usado para representar a mquina. Para verificar se uma mquina pertence a uma determinada rede, basta fazer um E lgico da mscara da rede, com o endereo desejado e comparar com o E lgico do endereo da rede com sua mscara. Se eles forem iguais, a mquina pertence rede, se forem diferentes no pertence. Vejamos dois exemplos: Suponha que desejamos verificar se a mquina 10.1.1.2 pertence rede 10.1.0.0, mscara 255.255.0.0. Temos: 10.1.0.0 E 255.255.0.0 = 10.1.0.0 (para a rede)
10.1.1.2 E 255.255.0.0 = 10.1.0.0 (para o endereo) Temos ento que os dois endereos so iguais aps a aplicao da mscara, portanto a mquina 10.1.1.2 pertence rede 10.1.0.0. Suponha agora que desejamos saber se a mquina 172.16.17.4 pertence rede 172.17.0.0, mscara 255.255.0.0. Temos: 172.17.0.0 E 255.255.0.0 = 172.17.0.0 (para a rede)
172.16.17.4 E 255.255.0.0 = 172.16.0.0 (para o endereo) Como os endereos finais so diferentes, temos que a mquina 172.16.17.4 no pertence rede 172.17.0.0 Caso seja necessrio definir uma rede onde qualquer mquina seja considerada como pertencente a ela (ou para especificar qualquer mquina da Internet), deve-se colocar como endereo IP desta rede o valor 0.0.0.0 e como mscara o valor 0.0.0.0. Isto bastante til na hora de disponibilizar servios pblicos, onde todas as mquinas da Internet tero acesso.
Aker Security Solutions
72
Toda a vez que ocorre uma comunicao entre duas mquinas, usando o protocolo IP, esto envolvidos no apenas os endereos de origem e destino, mas tambm um protocolo de nvel mais alto (nvel de transporte) e algum outro dado que identifique a comunicao unicamente. No caso dos protocolos TCP e UDP (que so os dois mais utilizados sobre o IP), uma comunicao identificada por dois nmeros: a Porta Origem e a Porta Destino. A porta destino um nmero fixo que est associado, geralmente, a um servio nico. Assim, temos que o servio Telnet est associado com o protocolo TCP na porta 23, o servio FTP com o protocolo TCP na porta 21 e o servio SNMP com o protocolo UDP na porta 161, por exemplo. A porta origem um nmero sequencial escolhido pelo cliente de modo a possibilitar que exista mais de uma sesso ativa de um mesmo servio em um dado instante. Assim, uma comunicao completa nos protocolos TCP e UDP pode ser representada da seguinte forma: 10.0.0.1 1024 -> 10.4.1.2 23 TCP ------------------------------------------------------------------------- Endereo origem Porta origem Endereo destino Porta destino Protocolo Para um Aker Web Gateway, a porta de origem no importante, uma vez que ela randmica. Devido a isso, quando se define um servio, leva-se em considerao apenas a porta de destino. Alm dos protocolos TCP e UDP, existe um outro protocolo importante: o ICMP. Este protocolo utilizado pelo prprio IP para enviar mensagens de controle, informar sobre erros e testar a conectividade de uma rede. O protocolo ICMP no utiliza o conceito de portas. Ele usa um nmero que varia de 0 a 255 para indicar um Tipo de Servio. Como o tipo de servio caracteriza unicamente um servio entre duas mquinas, ele pode ser usado como se fosse a porta destino dos protocolos, TCP e UDP, na hora de definir um servio. Por ltimo, existem outros protocolos que podem rodar sobre o protocolo IP e que no so TCP, UDP ou ICMP. Cada um destes protocolos tem formas prprias para definir uma comunicao e nenhum deles utilizado por um grande nmero de mquinas. Ainda assim, o Aker Web Gateway optou por adicionar suporte para possibilitar ao administrador o controle sobre quais destes protocolos podem ou no passar atravs do Aker Web Gateway. Para entender como isso feito, basta saber que cada protocolo tem um nmero nico que o identifica para o protocolo IP. Este nmero varia de 0 a 255. Desta forma, podemos definir servios para outros protocolos usando o nmero do protocolo como identificao do servio. O que Qualidade de Servio (QoS)
Aker Security Solutions
73
A qualidade de servio pode ser compreendida de duas formas: do ponto de vista da aplicao ou da rede. Para uma aplicao oferecer seus servios com qualidade, tem que atender s expectativas do usurio em relao ao tempo de resposta e da qualidade do servio que est sendo provido. Por exemplo, no caso de uma aplicao de vdeo, fidelidade adequada do som e/ou da imagem sem rudos nem congelamentos. A qualidade de servio da rede depende das necessidades da aplicao, ou seja, do que ela requisita da rede a fim de que funcione bem e atenda, por sua vez, s necessidades do usurio. Estes requisitos so traduzidos em parmetros indicadores do desempenho da rede como, por exemplo, o atraso mximo sofrido pelo trfego da aplicao entre o computador origem e destino. O Aker Web Gateway implementa um mecanismo com o qual possvel definir uma banda mxima de trfego para determinadas aplicaes. Atravs de seu uso, determinadas aplicaes que tradicionalmente consomem muita banda, podem ter seu uso controlado. As entidades do tipo Canal so utilizadas para este fim e sero explicadas logo abaixo.
5.2. Cadastrando entidades utilizando a Interface Remota
Para ter acesso janela de cadastro de entidades deve-se: Clicar no menu Janelas do Aker Web Gateway da janela do Aker Web Gateway que se quer administrar; Selecionar o item Entidades (a janela ser mostrada abaixo da janela com os menus de configurao dos Aker Web Gateways). A janela de cadastro de entidades:
Aker Security Solutions
74
Figura 50 Entidades
Figura 51 - Entidades A janela de cadastro de entidades onde so cadastradas todas as entidades do Aker Web Gateway, independente do seu tipo. Esta janela, por ser constantemente utilizada em praticamente todas as demais configuraes do Aker Web Gateway, normalmente mostrada sempre aberta na horizontal, abaixo da janela com os menus de configurao de cada Aker Web Gateway. Dica: Possui uma janela nica para todos os Aker Web Gateways abertos. A janela continuar a mesma, s mudar o contedo que ser referente ao Aker Web Gateway selecionado. Os tipos de entidades mais usados ficam nicos na aba. As entidades menos utilizadas aparecem no menu. Dica: possvel posicionar a janela de entidades como se fosse uma janela comum, bastando para isso clicar sobre sua barra de ttulo e arrast-la para a posio desejada. Dica: Para criar uma nova entidade, caso a lista de entidades criadas esteja cheia, deve-se clicar em cima da aba que fica na parte inferior da janela.
Aker Security Solutions
75
Nesta janela esto desenhados oito cones, em forma de rvore, que representam os oito tipos de entidades possveis de serem criados. Dica: Para visualizar as entidades criadas s clicar no sinal de '+' e as entidades ficaro listadas logo abaixo do logotipo, ou clicar sobre a aba correspondente a entidade que se deseja visualizar. Para cadastrar uma nova entidade, deve-se proceder da seguinte forma: Clicar uma vez no cone correspondente entidade do tipo que deseja criar com o boto direito do mouse e selecionar a opo Inserir no menu pop-up ou, Clicar no cone correspondente entidade do tipo que deseja criar e pressionar a tecla Insert. Para editar ou excluir uma entidade, deve-se proceder da seguinte forma: Selecionar a entidade a ser editada ou excluda (se necessrio, expande-se a lista do tipo de entidade correspondente) Clicar com o boto direito do mouse e selecionar a opo Editar ou Apagar, respectivamente, no menu pop-up que aparecer. ou Clicar no cone correspondente entidade do tipo que deseja criar e pressionar a tecla Delete. No caso das opes Editar ou Incluir, aparecer janela de edio de parmetros da entidade a ser editada ou includa. Esta janela ser diferente para cada um dos tipos possveis de entidades. O cone , localizado na parte inferior da janela aciona o assistente de cadastramento de entidades que ser descrito no final deste captulo.
Aker Security Solutions
76
Incluindo / editando mquinas
Figura 52 Entidade tipo Mquina Para cadastrar uma entidade do tipo mquina deve-se preencher os seguintes campos: Nome: o nome pelo qual a mquina ser sempre referenciada pelo Aker Web Gateway. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so, portanto, consideradas diferentes. cone : o cone que aparecer associado mquina em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O Aker Web Gateway ento mostrar uma lista com todos os possveis cones para representar mquinas. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto Cancelar. Endereo IP: o endereo IP da mquina a ser criada. Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao da mquina. Para cancelar as incluses ou alteraes realizadas deve pressionar o boto Cancelar. Para facilitar a incluso de vrias mquinas seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este
Aker Security Solutions
77
boto far com que a mquina inclua os dados preenchidos e mantenha aberta a janela de incluso de mquinas onde estar pronta para uma nova incluso. Desta forma possvel cadastrar rapidamente um grande nmero de mquinas. Incluindo / editando redes
Figura 53 Entidade tipo Rede Para cadastrar uma entidade do tipo rede deve-se preencher os seguintes campos: - Nome: o nome pelo qual a rede ser sempre referenciada pelo Aker Web Gateway. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so consideradas diferentes. - cone : o cone que aparecer associado rede em todas as referncias. Para alter-lo deve clicar sobre o desenho do cone atual. O Aker Web Gateway ento mostrar uma lista com todos os possveis cones para representar redes. Para escolher entre eles tem que clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto Cancelar. - Endereo IP: o endereo IP da rede a ser criada. - Mscara de Rede: Define quais bits do endereo IP sero utilizados para representar a rede (bits com valor 1) e quais sero utilizados para representar as mquinas dentro da rede (bits com valor 0)
Aker Security Solutions
78
- Intervalo: Este campo mostra a faixa de endereo IP a que pertence rede e realiza uma crtica quanto mscara que est sendo cadastrada, ou seja no permite cadastramento de mscaras erradas. Aps estarem todos os campos preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao da rede. Para cancelar as alteraes realizadas ou a incluso, deve-se pressionar o boto Cancelar. Para facilitar a incluso de vrias redes seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao clicar neste boto far com que sejam includos os dados preenchidos e manter aberta a janela de incluso de redes onde estar pronta para uma nova incluso. Desta forma possvel cadastrar rapidamente um grande nmero de redes. Incluindo / editando conjuntos
Figura 54 Entidade tipo Conjunto Para cadastrar uma entidade do tipo conjunto deve-se preencher os seguintes campos: - Nome: o nome pelo qual o conjunto ser sempre referenciado pelo Aker Web Gateway. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois
Aker Security Solutions
79
modos de operao: caso ela esteja marcada, a atribuio ser automtica se no, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so consideradas diferentes. - cone : o cone que aparecer associado ao conjunto em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O Aker Web Gateway ento mostrar uma lista com todos os possveis cones para representar conjuntos. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto Cancelar. Aps preencher o nome e escolher o cone para o conjunto, deve-se definir quais mquinas e redes faro parte do mesmo. Abaixo esto os passos que devero ser seguidos. Clicar com o boto direito do mouse no campo em branco e selecionar a opo Adicionar Entidades (a entidade pode ser adicionada clicando-se duas vezes sobre ela ou clicando uma vez e logo abaixo em Adicionar). ou Clicar sobre a entidade que deseja incluir, com isso deve arrast-la e solt-la dentro da janela de entidades do conjunto.
Aker Security Solutions
80
Figura 55 Adicionando entidades Para remover uma rede ou mquina do conjunto, deve-se proceder da seguinte forma: Clicar com o boto direito do mouse sobre a entidade a ser removida e selecionar a opo Remover. ou Clicar na mquina ou rede a ser removida e pressionar a tecla Delete. Aps todos os campos estarem preenchidos e todas as redes e mquinas que devem fazer parte do conjunto selecionadas, deve-se clicar no boto OK para realizar a incluso ou alterao do conjunto. Para cancelar as alteraes realizadas ou a incluso, deve-se pressionar o boto Cancelar. Para facilitar a incluso de vrios conjuntos seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que o conjunto cujos dados foram preenchidos seja includo e a
Aker Security Solutions
81
janela de incluso de conjuntos mantida aberta, pronta para uma nova incluso. Desta forma possvel cadastrar rapidamente um grande nmero de conjuntos. Incluindo/Editando lista de categorias
Figura 56 - Lista de categorias Para definir uma lista de categorias necessrio proceder da seguinte forma: 1- Selecionar a opo Automtico, caso queira atribuir um nome padro a lista; 2- Preencher o campo nome, onde pode definir um nome especfico para a lista de categorias. O boto atualiza permite buscar as categorias no Aker Web Gateway caso tenha havido alguma atualizao. Ao selecionar a opo Tentar recuperar categorias pelo critrio nome quando o Analisador de Contexto for trocado, permite identificar as categorias pelos nomes que foram cadastradas, pois ao trocar o analisador de contexto muitas categorias podem ser perdidas.
Aker Security Solutions
82
Incluindo/Editando Lista de Padres de Busca
Figura 57 Lista de padres de Busca Para definir um padro de pesquisa necessrio proceder da seguinte forma: Selecionar a opo Automtico, caso queira atribuir um nome padro ao tipo de pesquisa. Preencher o campo Nome, onde pode definir um nome especfico para a pesquisa. Os campos, Padro e Texto, permitem definir qual ser a string ou os parmetros que sero pesquisados na URL acessada e qual operao a ser efetuada.
Aker Security Solutions
83
Incluindo/Editando Quota
Figura 58 - Quota Esta janela permite definir, vrios tipos de quotas de acesso do usurio rede. Para criar uma quota pode-se selecionar a opo automtico para que seja atribudo um nome padro ao tipo de quota a ser definido ou ento preencher o campo nome, onde pode atribuir um nome especfico para a lista de quotas. A opo Tipo de Quota, permite escolher se a quota definida ser atribuda diariamente, semanalmente ou mensalmente. Ao marcar qual o tipo de quota desejada, pode associar a ela o limite de tempo de acesso e/ou o limite de volume de dados. A opo Limitar Tempo pode ser definida em dias e/ou horas. Por exemplo, diariamente s vai ser liberado 3 horas de acesso Internet, ou semanalmente 3 dias ou at mesmo semanalmente liberado 7 dias. A opo Limitar Volume, permite especificar a quantidade do volume de dados em Kbytes, Mbytes e Gbytes que cada usurio poder manipular. A contagem de tempo funciona da seguinte forma: quando o usurio acessa uma pgina, conta um relgio de 31 segundos, se o usurio acessar uma outra pgina, comea a contar do zero, mas no deixar de contar, por exemplo, os 10 segundos que o usurio gastou ao acessar a pgina anterior.
Aker Security Solutions
84
Para o consumo de quota, funciona da seguinte forma: no MSN, para cada janela de conversao, o tempo contato separadamente, j na WEB ser tiver acessando 10 sites, ser contato somente o tempo de um.
Incluindo / editando Lista de e-mails Listas de e-mails so entidades usadas no proxy MSN com o objetivo de definir com quais pessoas um determinado usurio pode conversar atravs do MSN Messenger.
Figura 59 Lista de e-mails Para cadastrar uma entidade do tipo lista de e-mails deve-se preencher os seguintes campos: - Nome: o nome pelo qual a lista de e-mails ser sempre referenciado pelo aker web gateway. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so consideradas diferentes.
Aker Security Solutions
85
- Domnio de E-mail: Este campo composto pelos e-mails ou domnios que faro parte da lista. possvel especificar um e-mail completo ou utilizar o smbolo * para representar um caractere qualquer. As seguintes opes so e-mails vlidos: *@* - Corresponde a qualquer e-mail *@aker.com.br - Corresponde a todos os e-mails do domnio aker.com.br Para executar qualquer operao sobre um e-mail ou domnio, deve-se clicar sobre ele com o boto direito e a seguir escolher a opo desejada no menu que ser mostrado. As seguintes opes esto disponveis:
Figura 60 Lista de e-mails (menu de opes) - Incluir: Esta opo permite incluir um novo endereo - Excluir: Esta opo remove da lista o endereo selecionado. - Importar: Esta opo importa a lista de e-mails a partir de um arquivo .ctt (formado de contatos do Messenger) ou .txt (arquivo texto com um e-mail por linha) Exportar: Esta opo exporta a lista de e-mails para um arquivo .ctt (formado de contatos do Messenger) ou .txt (arquivo texto com um e-mail por linha) Incluindo / Editando agentes externos Agentes externos so utilizados para a definio de programas complementares ao Aker Web Gateway. So responsveis por funes especficas que podem estar rodando em mquinas distintas. Quando houver necessidade de realizao de uma
Aker Security Solutions
86
determinada tarefa por um dos agentes externos, ou vice-versa, o Aker Web Gateway se comunicar com eles e requisitar sua execuo.
Figura 61 Agentes externos Existem 8 diferentes tipos de agentes externos, cada um responsvel por um tipo distinto de tarefas: Autenticadores Os agentes de autenticao so utilizados para fazer a autenticao de usurios no Aker Web Gateway utilizando usurios/senhas de bases de dados de diversos sistemas operacionais (Windows NT, Linux, etc). Autenticadores LDAP O autenticador LDAP permite ao Aker Web Gateway autenticar usurio usando uma base LDAP compatvel com o protocolo X500. Autenticador Radius O autenticador Radius utilizado para fazer autenticao de usurios no Aker Web Gateway a partir de uma base Radius. Autenticadores Token Os autenticadores token so utilizados para fazer autenticao de usurios no Aker Web Gateway utilizando SecurID(R) , Alladin e outros. Autoridades certificadoras Autoridades certificadoras so utilizadas para fazer autenticao de usurios atravs de PKI, com o uso de Smart Cards e para autenticao de Aker Web Gateways com criptografia IPSEC. Mdulos de antivrus
Aker Security Solutions
87
Os agentes antivrus so utilizados pelo proxy SMTP, POP3 e Proxy WWW (WORLD WIDE WEB) para realizarem a checagem e a desinfeco de vrus de forma transparente em e-mails e nos downloads FTP e HTTP. Servidores remotos de log Os servidores de log remoto so utilizados pelo Aker Web Gateway para enviar o log para armazenamento em uma mquina remota. possvel a instalao de diversos agentes externos em uma mesma mquina, desde que sejam distintos. Para cadastrar um agente externo deve-se inicialmente selecionar seu tipo, abrindo o diretrio de Agentes Externos. Independente de seu sub-tipo, todos os agentes externos possuem os seguintes campos (os demais campos sero ento modificados de acordo com o tipo do agente a ser cadastrado): - Nome: o nome pelo qual o agente ser sempre referenciado pelo Aker Web Gateway. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so consideradas diferentes. - cone: o cone que aparecer associado ao agente em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O Aker Web Gateway ento mostrar uma lista com todos os possveis cones para representar agentes do sub-tipo selecionado. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto Cancelar. Para cadastrar um agente externo do tipo Autenticador ou Autenticador Token, necessrio preencher os seguintes campos adicionais:
Aker Security Solutions
88
Figura 62 Agente externo (Autenticador ) - IP: o endereo IP da mquina onde o agente est rodando. - Backup 1 e Backup 2: Estes campos permitem com que seja especificado at dois endereos de outras mquinas que tambm estaro rodando o agente e que serviro como backup no caso de quedas da mquina principal.
A mquina principal e as de backup devero compartilhar uma mesma base de usurios, ou seja, elas devero ser controladoras de domnio primrias e de backup (PDCs e BDCs), no caso de redes Windows, ou vrias mquinas Unix utilizando NIS. - Senha: a senha utilizada para gerar as chaves de autenticao e criptografia usadas na comunicao com o agente. Esta senha dever ser igual configurada no agente. - Confirmao: Este campo utilizado apenas para verificar se a senha foi digitada corretamente. Deve-se digit-la exatamente como no campo Senha. - Tempo limite de uso da cache: Todas as vezes que realizada uma autenticao com sucesso, o Aker Web Gateway mantm em memria os dados recebidos do usurio e do agente. Nas autenticaes seguintes, o Aker Web Gateway possui todos os dados necessrios e no mais precisa consultar o agente. Isso permite um grande ganho de performance. Este parmetro permite definir em segundos o tempo em que o Aker Web Gateway deve manter as informaes de autenticao em memria.
Aker Security Solutions
89
Para cadastrar um agente externo do tipo Autoridade Certificadora, deve-se preencher os seguintes campos adicionais:
Figura 63 Autoridade Certificadora Localizao da publicao da lista de certificados revogados (CRL): a URL da qual ser baixada a lista de certificados revogados da CA (CRL). Esta URL deve ser obrigatoriamente do protocolo HTTP e deve ser especificada sem o http:// na sua frente. O boto Importar certificado raiz permite carregar o certificado root da CA no Aker Web Gateway. Ao ser clicado, a interface abrir uma janela para que especificar o nome do arquivo com o certificado a ser importado. necessrio importar um certificado raiz para cada Autoridade Certificadora criada, caso contrrio no ser possvel autenticar usurios por meio dela. O Campo Pseudo-grupos permite definir grupos para usurios que se autenticarem por meio da autoridade certificadora, da mesma forma como define grupos em um sistema operacional. Desta maneira, possvel criar pseudo-grupos que representem todos os usurios de uma determinada empresa, departamento, cidade, etc. Aps serem criados os pseudo-grupos, eles podem ser associados a
Aker Security Solutions
90
perfis de acesso, da mesma forma como se faz com grupos de autenticadores ou autenticadores token. Clicando com o boto direito podemos selecionar as seguintes opes:
-Inserir: Esta opo permite incluir um novo pseudo-grupo.
- Excluir: Esta opo remove da lista o pseudo-grupo selecionado.
- Editar: Esta opo abre a janela de edio para o pseudo-grupo selecionado. Ao clicar no boto Inserir ou Editar, a seguinte janela ser mostrada:
Figura 64 Pseudo-Grupo - Nome: Campo de preenchimento obrigatrio o campo que, indicar o nome pelo qual o pseudo-grupo ser referenciado pelo Aker Web Gateway. Os demais campos representam dados que sero comparados com os dados presentes no certificado X509 de cada usurio autenticado. Se um determinado campo estiver em branco ento qualquer valor ser aceito no campo correspondente do certificado, se no apenas certificados que possurem o campo igual ao valor informado sero considerados como parte do grupo. - Domnio: Nome da pessoa certificada; - E-mail: Endereo de e-mail da pessoa certificada;
Aker Security Solutions
91
- Empresa: Nome da empresa onde trabalha a pessoa certificada; - Departamento: Departamento dentro da empresa onde trabalha a pessoa certificada; - Cidade: Cidade onde se localiza a empresa onde trabalha a pessoa certificada; - Estado: Estado onde se localiza a empresa onde trabalha a pessoa certificada; - Pas: Pas onde se localiza a empresa onde trabalha a pessoa certificada. Os campos: Domnio, E-mail, Empresa, Departamento, Cidade, Estado e Pas se referem pessoa que o certificado foi emitido; Para que um usurio autenticado atravs da autoridade certificadora seja considerado como membro de um pseudo-grupo, todos os campos de seu certificado X509 devem ser iguais aos valores dos campos correspondentes do pseudo-grupo. Campos em branco de um pseudo-grupo so ignorados na comparao e, portanto, quaisquer valores do certificado para estes campos sero aceitos. Para cadastrar um agente externo do tipo Antivrus ou Servidor de Log Remoto, deve-se preencher os seguintes campos adicionais:
Figura 65 (Mdulo de antivrus e Servidor de log Remoto) - IP: o endereo IP da mquina onde o agente est rodando.
Aker Security Solutions
92
- Backup 1 e Backup 2: Estes campos permitem especificar at dois endereos de outras mquinas que tambm estaro rodando o agente e que serviro como backup no caso de quedas da mquina principal. - Senha: a senha utilizada para gerar as chaves de autenticao e criptografia usadas na comunicao com o agente. Esta senha deve ser igual configurada no agente. - Confirmao: Este campo utilizado apenas para verificar se a senha foi digitada corretamente. Deve-se digit-la exatamente como no campo Senha. Para cadastrar um agente externo do tipo Autenticador LDAP deve-se preencher os seguintes campos:
Figura 66 Autenticador LDAP - IP: o endereo IP da mquina onde o agente est rodando. - Backup 1 e Backup 2: Estes campos permitem especificar at dois endereos de outras mquinas que tambm estaro rodando o servidor LDAP e que serviro como backup no caso de quedas da mquina principal. - Tempo limite da cache: Todas as vezes que uma autenticao realizada com sucesso, o Aker Web Gateway mantm em memria os dados recebidos do usurio e do agente. Nas autenticaes seguintes, o Aker Web Gateway possui todos os
Aker Security Solutions
93
dados necessrios e no mais precisa consultar o agente. Isso permite um grande ganho de performance. Este parmetro permite definir em segundos o tempo que o Aker Web Gateway deve manter as informaes de autenticao em memria. - Configuraes LDAP: Neste conjunto de campos deve-se especificar as configuraes do servidor LDAP que ser utilizado para a realizao das autenticaes. A descrio de cada campo pode ser vista a seguir: - DN Root de conexo: DN do usurio utilizado pelo Aker Web Gateway para as consultas; - Senha Root de conexo: a senha deste usurio; - DN Base: DN para comear a busca; - ObjectClass da Conta: valor de objectclass que identifica objetos de contas vlidas; - Atributo nome do usurio: o atributo onde encontra o nome do usurio; - Atributo senha: o atributo onde se encontra a senha do usurio; - Atributo grupo: o atributo onde se encontra o grupo do usurio - Permitir senha em branco: permite senhas em branco para o usurio quando marcado; - Mtodo de Autenticao: Este campo especifica se o Aker Web Gateway deve buscar a senha ou deve se conectar na base LDAP com as credenciais do usurio para valid-lo; - Conexo LDAP segura: Este campo especifica se a conexo ao servidor LDAP ser encriptada ou no. Ele consiste das seguintes opes: - SSL: especifica que o Aker Web Gateway usar conexo encriptada via SSL; - TLS: especifica que o Aker Web Gateway usar conexo encriptada via TLS; - Nenhuma: especifica que o Aker Web Gateway no usar criptografia ao se conectar ao servidor LDAP. Para cadastrar um agente externo do tipo Autenticador Radius deve-se preencher os seguintes campos adicionais:
Aker Security Solutions
94
Figura 67 Autenticador Radius - IP: o endereo IP da mquina onde o agente est rodando. - Porta: Nmero da porta onde o servidor RADIUS estar escutando as requisies de autenticao. - 1 Backup: Este campo permite com que se especifique outra mquina que tambm estar rodando o servidor RADIUS e que servir como backup no caso de queda da mquina principal. - Segredo: o segredo compartilhado utilizado no servidor RADIUS. - Confirmao: Este campo utilizado apenas para se verificar se o segredo foi digitado corretamente. Deve-se digit-lo exatamente como no campo Segredo. - Tempo limite de uso da cache: Todas as vezes que realizado uma autenticao com sucesso, o Aker Web Gateway mantm em memria os dados recebidos do usurio e do agente. Nas autenticaes seguintes, o Aker Web Gateway possui todos os dados necessrios e no mais precisa consultar o agente. Isso permite um grande ganho de performance. Este parmetro permite definir o tempo, em segundos, que o Aker Web Gateway deve manter as informaes de autenticao em memria.
Aker Security Solutions
95
- Usurios: Este campo serve para que se possa cadastrar e posteriormente associar usurios especficos RADIUS com perfis de acesso do Aker Web Gateway, uma vez que com este protocolo no possvel para o Aker Web Gateway conseguir a lista completa de usurios. Somente necessrio realizar o cadastramento dos usurios que queira se associar com perfis especficos. - Grupos: Este campo serve para cadastrar e posteriormente associar grupos especficos RADIUS com perfis de acesso do Aker Web Gateway, uma vez que com este protocolo no possvel para o Aker Web Gateway conseguir a lista completa de grupos. Somente necessrio realizar o cadastramento dos grupos que quer associar com perfis especficos. Existe um grupo chamado de RADIUS USERS, gerado automaticamente pelo Aker Web Gateway que pode ser utilizado para a associao de usurios RADIUS com um perfil de acesso especfico. Todos os usurios autenticados em um determinado servidor RADIUS so considerados como pertencentes a este grupo. Desta forma, caso queira utilizar um nico perfil de acesso para todos os usurios, no necessrio o cadastramento de nenhum usurio e/ou grupo. Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao do agente externo. Para cancelar as alteraes realizadas ou a incluso, deve-se pressionar o boto Cancelar. Para facilitar a incluso de vrios agentes seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao clicar, neste boto far com que o dados preenchidos do agente, sejam includos e a janela de incluso de agentes mantida aberta, pronta para uma nova incluso. Desta forma, possvel cadastrar rapidamente um grande nmero de agentes. Para facilitar a incluso de vrios agentes seguidamente, existe um boto chamado Nova
Aker Security Solutions
96
Incluindo / editando Servio
Figura 68 - Servio Para cadastrar uma entidade do tipo servio deve-se preencher os seguintes campos: - Nome: o nome pelo qual o servio ser sempre referenciado pelo Aker Web Gateway. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so consideradas diferentes. - cone : o cone que aparecer associado ao servio em todas as referncias. Para alter-lo, deve-se clicar sobre o desenho do cone atual. O Aker Web Gateway ento mostrar uma lista com todos os possveis cones para representar servios. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto Cancelar. - Protocolo: o protocolo associado ao servio. (TCP, UDP, ICMP ou OUTROS) - Servio: o nmero que identifica o servio. No caso dos protocolos TCP e UDP, este nmero a porta destino. No caso de ICMP o tipo de servio e no caso de outros protocolos o nmero do protocolo. Para cada protocolo, o Aker Web Gateway possui uma lista dos valores mais comuns associados a ele, de modo a
Aker Security Solutions
97
facilitar a criao do servio. Entretanto, possvel colocar valores que no faam parte da lista, simplesmente digitando-os neste campo. Caso queira especificar uma faixa de valores, ao invs de um nico valor, deve-se clicar no boto ao lado dos nomes De e Para e especificar o menor valor da faixa em De e o maior em Para. Todos os valores compreendidos entre estes dois, inclusive, sero considerados como fazendo parte do servio. - Proxy: Este campo s se encontra habilitado para os protocolos TCP e UDP e permite especificar se a conexo que se enquadrar neste servio, ser automaticamente desviada para um dos proxies transparentes do Aker Web Gateway Aker ou no. O valor padro Sem Proxy, que significa que a conexo no deve ser desviada para nenhum proxy. Quando o protocolo TCP est selecionado, a outra opo o proxy SSL. O servio Telnet est associado porta 23, o SMTP porta 25, o FTP porta 21, o HTTP porta 80 e o POP3 porta 110. possvel especificar que conexes de quaisquer outras portas sejam desviadas para um destes proxies, entretanto, isto no o comportamento padro e no deve ser feito a no ser que tenha conhecimento de todas as possveis implicaes. Caso tenha especificado que a conexo deve ser desviada para um proxy, pode ser necessrio definir os parmetros do contexto que ser utilizado pelo proxy para este servio. Caso isso seja necessrio, no momento em que o proxy for selecionado, a janela ser expandida para mostrar os parmetros adicionais que devem ser configurados. Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao do servio. Para cancelar as alteraes realizadas ou a incluso, deve-se pressionar o boto Cancelar. Para facilitar a incluso de vrios servios seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que o servio, cujos dados foram preenchidos, seja includo e a janela de incluso de servios mantida aberta, pronta para uma nova incluso. Desta forma possvel cadastrar rapidamente um grande nmero de servios. Incluindo / editando Listas de tipos de arquivo Listas de tipos de arquivos so entidades usadas no proxy MSN com o objetivo de definir quais tipos de arquivos podem ser enviados e recebidos, atravs do MSN Messenger.
Aker Security Solutions
98
Figura 69 Lista de tipos de arquivos Para cadastrar uma entidade do tipo lista de arquivos deve-se preencher os seguintes campos: - Nome: o nome pelo qual a lista de tipos de arquivos ser sempre referenciado pelo Aker Web Gateway. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so consideradas diferentes. Para executar qualquer operao sobre uma entrada da lista, deve-se clicar sobre ela com o boto direito e a seguir escolher a opo desejada no menu que ser mostrado. As seguintes opes esto disponveis:
Figura 70 Adicionando tipo de arquivo
Aker Security Solutions
99
- Incluir: Incluir um novo tipo de arquivo;
- Excluir: Remover da lista o tipo de arquivo selecionado. Duplicar: Criar uma nova entrada na lista, idntica entrada selecionada, sendo indicada para criar vrios tipos com a mesma descrio.
Para cada entrada, os seguintes campos devem ser preenchidos: - Extenso: Extenso do arquivo sem o ponto. Ex.: zip, exe, etc. - Descrio: Breve descrio do tipo associado extenso.
Incluindo / editando Canais Canais so entidades usadas nas regras de filtragem com o objetivo de limitar a banda de determinados servios, mquinas, redes e/ou usurios. Seu uso est descrito no captulo: O Filtro de Estados.
Figura 71 - Canais
Aker Security Solutions
100
Para cadastrar uma entidade do tipo Canal deve-se preencher os seguintes campos:
- Nome: o nome pelo qual o canal ser sempre referenciado pelo Aker Web Gateway. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Nome automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so consideradas diferentes. - cone : o cone que aparecer associado ao Canal em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O Aker Web Gateway ento mostrar uma lista com todos os possveis cones para representar interfaces. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto Cancelar. - Banda: um campo texto usado para designar a largura de banda (velocidade mxima de transmisso em bits por segundo) deste Canal. Esta banda ser compartilhada entre todas as conexes que usarem este Canal. Deve ser escolhida a unidade de medida mais conveniente. - Buffer: um campo texto usado para designar o tamanho do buffer (espao temporrio de dados utilizado para armazenar pacotes que sero transmitidos) utilizado por este Canal. Deve ser escolhido a unidade de medida. possvel especificar este tamanho manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: se ela estiver marcada, a atribuio ser automtica, seno manual. Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao do Canal. Para que as alteraes e as incluses sejam canceladas deve-se pressionar o boto Cancelar. Para facilitar a incluso de vrios Canais seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao clicar este boto far com que os dados da canal que foram preenchidos sejam includos e mantida aberta a janela de incluso de canais onde estar pronta para uma nova incluso. Desta forma possvel cadastrar rapidamente um grande nmero de canais.
Aker Security Solutions
101
5.3. Utilizando a interface de texto
A utilizao da Interface Texto na configurao das entidades bastante simples e possui praticamente todos os recursos da Interface Remota. As nicas opes no disponveis so a criao de servios que utilizem proxies transparentes e a edio de pseudo-grupos de uma autoridade certificadora. importante comentar, entretanto, que na Interface Texto os agentes externos so mostrados e criados diretamente pelo seu sub-tipo. E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW).
Localizao do programa : /aker/bin/awg/fwent Sintaxe: Uso: ent ajuda Aker Web Gateway ent - Interface Texto para configuracao das entidades Uso: fwent ajuda ent mostra ent remove <nome> ent inclui maquina <nome> <IP> ent inclui rede <nome> <IP> <mascara> ent inclui conjunto <nome> [<entidade1> [<entidade2>] ...] ent inclui autenticador <nome> <IP1> [<IP2>] [<IP3>] <senha> <t. cache> ent inclui token <nome> <IP1> [<IP2>] [<IP3>] <senha> <t. cache> ent inclui ldap <nome> <IP1> [<IP2>] [<IP3>] <root_dn> <root_pwd> <base_dn> <act_class> <usr_attr> <grp_attr> < <pwd_attr>|<-bind> > < <-ssl>|<-tls>|<-nenhuma> > < <-no_pwd>|<-pwd> > <t.cache> ent inclui radius <nome> <IP1> <porta1> [ <IP2> <porta2> ] <senha> <t.cache> ent inclui anti-virus <nome> <IP1> [<IP2>] [<IP3>] <senha> ent inclui servico <nome> TCP <valor>[..<valor>] ent inclui ca <nome> <Arquivo com certificado root> <URL com CRLs> ent inclui pipe <nome> <banda em Kbits/s> [ <banda_rev> [<tamanho da fila> <bytes|pacts>] ] ent inclui log_remoto <nome> <IP> [IP] [IP] <senha> ent inclui quota <nome kbytes <max kbytes> ] [ segundos <max seconds> ] <tipo> mostra = mostra todas as entidades configuradas no sistema inclui = inclui uma nova nova entidade
Aker Security Solutions
102
remove = remove uma entidade existente ajuda = mostra esta mensagem Para remove / inclui temos: nome = nome da entidade a ser criada ou removida Para inclui temos: IP = endereco IP da maquina ou da rede mascara = mascara da rede entidade = nome das entidades a serem acrescentadas no conjunto (OBS: Somente podem fazer parte de um conjunto entidades do tipo maquina ou rede) senha = senha de acesso t. cache = tempo em segundos de permanencia de uma entrada no cache de autenticacao TCP = servico utiliza protocolo TCP Para inclui ldap temos: root_dn = DN do usuario utilizado pelo aker web gateway para as consultas root_pwd = a senha deste usuario base_dn = DN para comecar a busca act_class= valor de objectclass que identifica objetos de contas validas usr_attr = o atributo onde se encontra o nome do usuario grp_addr = o atributo onde se encontra o grupo do usuario pwd_addr = o atributo onde se encontra a senha do usuario -bind = nao tenta buscar a senha, em vez disso tenta conectar na base LDAP com as credenciais do usuario para valida-lo -ssl = usar conexao encriptada via ssl -tls = usar conexao encriptada via tls -nenhuma = nao usar conexao encriptada -no_pwd = permite senhas em branco para o usuario -pwd = nao permite senhas em branco para o usuario Para inclui quota temos: tipo = "mensal", "semanal" ou "diaria" Exemplo 1:(visualizando as entidades definidas no sistema) #ent mostra Maquinas: --------- cache 10.4.1.12 Aker Web Gateway 10.4.1.11
Aker Security Solutions
103
Redes: ------ AKER 10.4.1.0 255.255.255.0 Internet 0.0.0.0 0.0.0.0
Conjuntos: ---------- Maquinas Internas cache Aker Web Gateway
Autenticadores: --------------- Autenticador NT 10.0.0.1 10.0.0.2 600 Unix 192.168.0.1 192.168.0.2 192.168.0.3 600 Autenticadores do tipo token: ----------------------------- Autenticador token 10.0.0.1 10.0.0.2 600
Anti-Virus: ----------- Anti-virus local 127.0.0.1
Exemplo 2:(cadastrando uma entidade do tipo mquina) #/aker/bin/awg/ent inclui maquina Servidor_1 10.4.1.4 Entidade incluida Exemplo 3:(cadastrando uma entidade do tipo rede) #/aker/bin/awg/ent inclui rede Rede_1 10.4.0.0 255.255.0.0 Entidade incluida Exemplo 4:(cadastrando uma entidade do tipo servio) #/aker/bin/awg/ent inclui servico DNS UDP 53 Entidade incluida Exemplo 5:(cadastrando uma entidade do tipo autenticador) #/aker/bin/awg/ent inclui autenticador "Autenticador Unix" 10.4.2.2 senha_123 900 Entidade incluida
Aker Security Solutions
104
O uso de "" ao redor do nome da entidade obrigatrio quando inclui ou remove entidades cujo nome contm espaos. Exemplo 6: (incluindo uma entidade do tipo conjunto, cujos membros so as mquinas cache e Aker Web Gateway, previamente definidas) #/aker/bin/awg/ent inclui conjunto "Conjunto de teste" cache Aker Web Gateway Entidade incluida Exemplo 7: (incluindo uma entidade do tipo autenticador token, utilizando uma mquina primria e uma secundria, como backup) #/aker/bin/awg/ent inclui token "Autenticador token" 10.0.0.1 10.0.0.2 senha 600 Entidade incluida Exemplo 8: (removendo uma entidade) #/aker/bin/awg/ent remove "Autenticador Unix" Entidade includa
5.4. Utilizando o Assistente de Entidades O assistente de criao de entidades pode ser invocado clicando-se no cone , localizado na parte inferior da janela de entidades. O seu intuito simplificar a tarefa de criao das entidades, podendo ser utilizado sempre que desejado. Ele consiste de vrias janelas mostradas em srie, dependendo do tipo de entidade a ser criada. Seu uso extremamente simples e o exemplificaremos para a criao de uma entidade do tipo mquina:
Aker Security Solutions
105
1 - A primeira janela mostrada uma breve explicao dos procedimentos a serem realizados:
Figura 72 Assistente de Entidades
Aker Security Solutions
106
2 - Escolher tipo de entidade. Na segunda janela deve escolher o tipo de entidade a ser cadastrada:
Figura 73 Selecionando o tipo de entidade
Aker Security Solutions
107
3 - Localizar o endereo IP. Para cadastrar uma mquina deve ser especificado o endereo IP correspondente. Caso queira obter esse endereo, deve ser informado o nome da mquina e logo em seguida clicar no boto Resolva:
Figura 74 Adicionando endereo IP
Aker Security Solutions
108
4 - Escolha do cone da entidade. Para escolher o cone da entidade deve-se clicar em um dos cones que aparecem na janela. Observe que o cone selecionado ir aparecer direita da janela:
Figura 75 Seleo de cone
Aker Security Solutions
109
5 - Finalizao do cadastramento. Ser mostrado um resumo dos dados da entidade. Para cadastr-la deve-se clicar no boto Finalizar:
Figura 76 Entidade esta pronta para ser utilizada
Aker Security Solutions
110
Configurando as A!es do Sistema
Aker Security Solutions
111
6. Configurando as Aes do sistema Neste captulo ser mostrado como configurar as respostas automticas do sistema para situaes pr-determinadas. Aker Web Gateway ser referenciado neste manual como AWG.
O que so as aes do sistema? O Aker Web Gateway possui um mecanismo que possibilita a criao de respostas automticas para determinadas situaes. Estas respostas automticas so configuradas pelo administrador em uma srie de possveis aes independentes que sero executadas quando uma situao pr-determinada ocorrer. Para que servem as aes do sistema? O objetivo das aes possibilitar um alto grau de interao do Aker Web Gateway com o administrador. Com o uso delas, possvel, por exemplo, que seja executado um programa capaz de cham-lo atravs de um Pager quando a mquina detectar que um ataque est em andamento. Desta forma, o administrador poder tomar uma ao imediata, mesmo que ele no esteja no momento monitorando o funcionamento do Aker Web Gateway. 6.1. Utilizando a Interface Remota Para ter acesso a janela de configurao das aes deve-se:
Figura 77 Aker Web Gateway ( Aes)
Aker Security Solutions
112
Expandir o item Configuraes do Sistema Selecionar o item Aes A janela de configurao das aes Ao selecionar esta opo ser mostrada a janela de configurao das aes a serem executadas pelo sistema. Para cada mensagem de log e de eventos e para os pacotes que no se enquadrarem em nenhuma regra possvel determinar aes independentes. A janela mostrada ter a seguinte forma:
Figura 78 Aba Mensagens de eventos Para selecionar as aes a serem executadas para as mensagens mostradas na janela, deve-se clicar com o boto direito do mouse sobre as mensagens. A cada opo selecionada aparecer um cone correspondente.
Figura 79 Opes de aes
Aker Security Solutions
113
Se a opo estiver marcada com o cone aparente, a ao correspondente ser executada pelo Aker Web Gateway quando a mensagem ocorrer. So permitidas as seguintes aes: Logar: Ao selecionar essa opo, todas as vezes que a mensagem correspondente ocorrer, ela ser registrada pelo Aker Web Gateway; Enviar email: Ao selecionar essa opo, ser enviado um e-mail todas as vezes que a mensagem correspondente ocorrer (a configurao do endereo de e-mail ser mostrada no prximo tpico); Executar programa: Ao marcar essa opo, ser executado um programa definido pelo administrador todas as vezes que a mensagem correspondente ocorrer (a configurao do nome do programa a ser executado ser mostrada no prximo tpico); Disparar mensagens de alarme: Ao selecionar essa opo, o Aker Web Gateway mostrar uma janela de alerta todas as vezes que a mensagem correspondente ocorrer. Esta janela de alerta ser mostrada na mquina onde a Interface Remota estiver aberta e, se a mquina permitir, ser emitido tambm um aviso sonoro. Caso a Interface Remota no esteja aberta, no ser mostrada nenhuma mensagem e esta opo ser ignorada (esta ao particularmente til para chamar a ateno do administrador quando ocorrer uma mensagem importante); Enviar trap SNMP: Ao selecionar essa opo, ser enviada uma Trap SNMP para o gerente SNMP todas as vezes que a mensagem correspondente ocorrer (a configurao dos parmetros de configurao para o envio das traps ser mostrada no prximo tpico). No possvel alterar as aes para a mensagem de inicializao do Aker Web Gateway (mensagem nmero 43). Esta mensagem sempre ter como aes configuradas apenas a opo Logar. Significado dos botes da janela de aes O boto OK far com que a janela de aes seja fechada e as alteraes efetuadas aplicadas; O boto Cancelar far com que a janela seja fechada porm as alteraes efetuadas no sero aplicadas; O boto Aplicar, far com que as alteraes sejam aplicadas sem que a janela feche. A janela de configurao dos parmetros Para que o sistema consiga executar as aes deve-se configurar certos parmetros (por exemplo, para o Aker Web Gateway enviar um e-mail, o endereo tem que ser configurado). Estes parmetros so configurados atravs da janela de configurao de parmetros para as aes. Esta janela mostrada ao selecionar Parmetros na janela de Aes. Ela tem o seguinte formato:
Aker Security Solutions
114
Figura 80 Aes (aba Parmetros) Significado dos parmetros: Parmetros para executar um programa Arquivo de programa: Este parmetro configura o nome do programa que ser executado pelo sistema quando ocorrer uma ao marcada com a opo Programa. Deve ser colocado o nome completo do programa, incluindo o caminho. Deve-se atentar para o fato de que o programa e todos os diretrios do caminho devem ter permisso de execuo pelo usurio que ir execut-lo (que configurado na prxima opo). O programa receber os seguintes parmetros pela linha de comando (na ordem em que sero passados): 1. Nome do prprio programa sendo executado (isto um padro do sistema operacional Unix); 2. Tipo de mensagem (1 - para log ou 2- para evento); 3. Prioridade (7 - depurao, 6 - informao, 5 - notcia, 4 - advertncia ou 3 - erro); 4. Nmero da mensagem que provocou a execuo do programa ou 0 para indicar a causa no foi uma mensagem. (neste caso, a execuo do programa foi motivada por uma regra); 5. Cadeia de caracteres ASCII com o texto completo da mensagem (esta cadeia de caracteres pode conter o caractere de avano de linha no meio dela).
Aker Security Solutions
115
No sistema operacional UNIX, usa-se a barra "/" para especificar o caminho de um programa. Isto pode causar confuso para quem estiver acostumado com o ambiente DOS/Windows, que usa a barra invertida "\". Nome efetivo do usurio: Este parmetro indica a identidade com a qual o programa externo ser executado. O programa ter os mesmos privilgios deste usurio. Este usurio deve ser um usurio vlido, cadastrado no FreeBSD ou Linux. No se deve confundir com os usurios do Aker Web Gateway, que servem apenas para a administrao do Aker Web Gateway. Parmetros para enviar traps SNMP Endereo IP do servidor SNMP: Este parmetro configura o endereo IP da mquina gerente SNMP para a qual o Aker Web Gateway deve enviar as traps. Comunidade SNMP: Este parmetro configura o nome da comunidade SNMP que deve ser enviada nas traps. As traps SNMP enviadas tero o tipo genrico 6 (enterprise specific) e o tipo especfico 1 para log ou 2 para eventos. Elas sero enviadas com o nmero de empresa (enterprise number) 2549, que o nmero designado pela IANA para a Aker Consultoria e Informtica. Existe um arquivo chamado /aker/bin/awg/mibs/AKER-MIB.TXT que traz as informaes sobre a sub-rvore da Aker Consultoria e Informtica na rvore global. Este arquivo est escrito na notao ASN.1. Parmetros para enviar e-mail Endereo de e-mail: Este parmetro configura o endereo de e-mail do usurio para o qual devem ser enviados os e-mails. Este usurio pode ser um usurio da prpria mquina ou no (neste caso deve-se colocar o endereo completo, por exemplo user@aker.com.br). Caso queira enviar e-mails para vrios usurios, pode-se criar uma lista e colocar o nome da lista neste campo. importante notar que caso algum destes parmetros esteja em branco, ao correspondente no ser executada, mesmo que ela esteja marcada para tal. 6.2. Utilizando a Interface Texto A Interface Texto para a configurao das aes possui as mesmas capacidades da Interface Remota e de fcil uso.
Aker Security Solutions
116
Localizao do programa: /aker/bin/awg/action Sintaxe: Aker Web Gateway fwaction - Interface texto para a configuracao das acoes do sistema Uso: fwaction ajuda fwaction mostra fwaction atribui <numero> [loga] [mail] [trap] [programa] [alerta] fwaction <programa | usuario | comunidade> [nome] fwaction ip [endereco IP] fwaction e-mail [endereco] ajuda = mostra esta mensagem mostra = lista as mensagens e as acoes configuradas para cada uma atribui = configura as acoes para uma determinada mensagem programa = define o nome do programa a ser executado usuario = define o nome do usuario que executara o programa comunidade = define o nome da comunidade SNMP para o envio das traps ip = define o endereco IP do servidor SNMP que recebera as traps e-mail = define o nome do usuario que recebera os e-mails Para atribui temos: numero = numero da mensagem a atribuir as acoes (o numero de cada mensagem aparece na esquerda ao se selecionar a opcao mostra) loga = Loga cada mensagem que for gerada mail = Manda um e-mail para cada mensagem que for gerada trap = Envia uma trap SNMP para cada mensagem que for gerada
Aker Security Solutions
117
programa = Executa programa para cada mensagem que for gerada alerta = Abre janela de alerta para cada mensagem que for geradaExemplo 1: (configurando os parmetros para envio de e-mail e execuo de programa) #action e-mail root #action programa /etc/pager #action usuario nobody Exemplo 2: (mostrando a configurao completa das aes do sistema) #action mostra Condicoes Gerais:
Mensagens de eventos: 000 - Aker Web Gateway 1.5 - Inicializacao completa >>>> Loga 001 - Erro de alocacao de memoria >>>> Loga 002 - Dados invalidos recebidos pelo modulo do kernel >>>> Loga 003 - Erro ao ler o arquivo de parametros >>>> Loga 004 - Erro ao carregar perfis de acesso >>>> Loga 005 - Erro ao carregar entidades >>>> Loga 006 - Nome de perfil de acesso invalido >>>> Loga 007 - Erro ao criar socket de conexao >>>> Loga
(...)
100 - Erro carregando lista de categorias >>>> Loga 101 - Erro de comunicacao com o servico de quotas >>>> Loga 102 - Quota de bytes expirada >>>> Loga 103 - Quota de bytes insuficiente para a operacao >>>> Loga 104 - Quota de tempo expirada >>>> Loga
Aker Security Solutions
118
105 - Consumo de quota >>>> Loga Parametros de configuracao: programa : usuario : e-mail : comunidade: ip Devido ao grande nmero de mensagens, s esto sendo mostradas as primeiras e as ltimas. O programa real mostrar todas ao ser executado. Exemplo 3: (atribuindo as aes para o Erro de alocao de memoria e mostrando as mensagens) #action atribui 1 loga mail alerta #action mostra Condies Gerais:
000 - Aker Web Gateway 1.5 - Inicializao completa >>>> Loga 001 - Erro de alocao de memoria >>>> Loga Mail Alerta Devido ao grande nmero de mensagens, s esto sendo mostradas as primeiras e as ltimas. O programa real mostrar todas as mensagens, ao ser executado. Exemplo 4: (cancelando todas as aes para a mensagem de Erro ao carregar entidades e mostrando as mensagens) #action atribui 5 #action mostra Condies Gerais:
003 - Erro ao ler o arquivo de parmetros >>>> Loga 004 - Erro ao carregar perfis de acesso >>>> Loga 005 - Erro ao carregar entidades >>>> 006 - Nome de perfil de acesso invalido >>>> Loga
Aker Security Solutions
119
Devido ao grande nmero de mensagens, s esto sendo mostradas as primeiras e as ltimas. O programa real mostrar todas ao ser executado.
Aker Security Solutions
120
"isualizando #entos do Sistema
Aker Security Solutions
121
7. Visualizando Eventos do sistema Neste captulo ser mostrado como visualizar os eventos do sistema, um recurso muito til para acompanhar o funcionamento do Aker Web Gateway e detectar possveis ataques e erros de configurao. Aker Web Gateway ser referenciado neste manual como AWG.
O que so os eventos do sistema? Eventos so as mensagens do Aker Web Gateway de nvel mais alto, ou seja, no relacionadas diretamente a pacotes (como o caso do log). Nos eventos, podem aparecer mensagens geradas por qualquer um dos trs grandes mdulos (filtro de pacotes, conversor de endereos e autenticao/criptografia) e por qualquer outro componente como por exemplo os proxies e os processos servidores encarregados de tarefas especficas. Basicamente, o tipo de informao mostrada varia desde mensagens teis para acompanhar o funcionamento do sistema (uma mensagem gerada todas as vezes que a mquina reinicializada e todas as vezes que algum estabelece uma sesso com o Aker Web Gateway, etc) at mensagens provocadas por erros de configurao ou de execuo. O que um filtro de eventos? Mesmo que o sistema tenha sido configurado para registrar todos os possveis eventos, muitas vezes est interessado em alguma informao especfica (por exemplo, suponha que queira ver todas as mensagens do dia de ontem). O filtro de eventos um mecanismo oferecido pelo Aker Web Gateway para criar vises do conjunto total de mensagens, possibilitando que obtenha as informaes desejadas facilmente. O filtro s permite a visualizao de informaes que tiverem sido registradas nos eventos. Caso queira obter uma determinada informao deve-se inicialmente configurar o sistema para registr-la e ento utilizar um filtro para visualiz-la.
Aker Security Solutions
122
7.1. Utilizando a Interface Remota Para ter acesso a janela de eventos deve-se:
Figura 81 Auditoria (Eventos) Clicar no menu Auditoria do Aker Web Gateway que se deseja visualizar os eventos; Selecionar a opo Eventos. A barra de ferramentas de Eventos Todas as vezes que a opo Eventos selecionada, mostrada automaticamente a barra de ferramentas de Eventos. Esta barra, que estar ao lado das outras barras, poder ser arrastada e ficar flutuando acima das informaes dos Eventos. Ela tem o seguinte formato:
Figura 82 Barra de ferramentas (Eventos) Significado dos cones: Abre a janela de filtragem do Aker Web Gateway. Este cone somente ir aparecer quando o Aker Web Gateway estiver fazendo uma procura nos Eventos. Ele permite interromper a busca do programa. Exporta os Eventos para diversos formatos de arquivos.
Aker Security Solutions
123
Apaga os Eventos do Aker Web Gateway. Permite fazer uma atualizao da tela de logs dentro de um determinado perodo definido no campo seguinte. Define o tempo que o Aker Web Gateway ir atualizar a janela com informaes de log. Percorre os Eventos para frente e para trs. Expande as mensagens de Eventos, mostrando as mesmas com o mximo de informao. Ao clicar no cone de filtragem a seguinte janela ser mostrada:
Aker Security Solutions
124
A janela de filtro de eventos
Figura 83 Filtro de eventos Na parte superior da janela, encontram-se os botes Salvar, Remover e Novo. O boto Salvar permite que seja salvo os campos de um filtro de forma a facilitar sua aplicao posterior e o boto excluir permite que seja excludo um filtro salvo no mais desejado. Para salvar um filtro de eventos, deve-se proceder da seguinte forma: 1. Preencher todos os seus campos da forma desejada; 2. Definir, no campo Filtros, o nome pelo qual ele ser referenciado; 3. Clicar no boto Salvar. Para aplicar um filtro salvo, deve-se selecionar seu nome no campo Filtros e todos os campos sero automaticamente preenchidos com os dados salvos.
Aker Security Solutions
125
Para excluir um filtro que no mais seja desejado, deve-se proceder da seguinte forma: 1. Selecionar o filtro a ser removido, no campo Filtros; 2. Clicar no boto Excluir. O filtro padro configurado para mostrar todos as mensagens do dia atual. Para alterar a visualizao para outros dias, pode-se configurar a Data Inicial e a Data Final para os dias desejados (a faixa de visualizao compreende os registros da data inicial data final, inclusive). Alm de especificar as datas possvel tambm determinar quais mensagens devem ser mostradas. A opo Filtrar por permite escolher entre a listagem de mensagens ou de prioridades. Filtragem por mensagens Ao selecionar filtragem por mensagens, ser mostrado na lista do lado esquerdo da janela o nome de todos os mdulos que compem o Aker Web Gateway. Ao clicar em um destes mdulos, ser mostrada na lista direita as diferentes mensagens que podem ser geradas por ele. Dica: Para selecionar todas as mensagens de um mdulo, deve-se clicar sobre a caixa esquerda do nome do mdulo. Filtragem por prioridade Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for prioridade associada a um determinado registro, mais importncia deve-se dar a ele. Ao selecionar filtragem por prioridade, ser mostrado na lista do lado esquerdo da janela o nome de todos os mdulos que compem o Aker Web Gateway. Ao clicar em um destes mdulos, ser mostrada na lista direita as diferentes prioridades das mensagens que podem ser geradas por ele. Abaixo est a lista com todas as prioridades possveis, ordenada da mais importante para a menos (caso tenha configurado o Aker Web Gateway para mandar uma cpia dos eventos para o syslog, as prioridades com as quais as mensagens sero geradas no syslog so as mesmas apresentadas abaixo): Erro Os registros que enquadrem nesta prioridade indicam algum tipo de erro de configurao ou de operao do sistema (por exemplo, falta de memria). Mensagens desta prioridade so raras e devem ser tratadas imediatamente.
Aker Security Solutions
126
Alerta Os registros que se enquadrarem nesta prioridade indicam que algum tipo de situao sria e no considerada normal ocorreu (por exemplo, uma falha na validao de um usurio ao estabelecer uma sesso de administrao remota). Aviso Enquadram-se nesta prioridade registros que trazem informaes que so consideradas importantes para o administrador do sistema, mas esto associadas a uma situao normal (por exemplo, um administrador iniciou uma sesso remota de administrao). Informao Os registros desta prioridade acrescentam informaes teis mas no to importantes para a administrao do Aker Web Gateway (por exemplo, uma sesso de administrao remota foi finalizada). Depurao Os registros desta prioridade no trazem nenhuma informao realmente importante, exceto no caso de uma auditoria. Nesta prioridade encaixam as mensagens geradas pelo mdulo de administrao remota todas as vezes que feita uma alterao na configurao do Aker Web Gateway e uma mensagem gerada todas as vezes que o Aker Web Gateway reinicializado. Como ltima opo de filtragem, existe o campo Encontrar complemento para. Este campo permite que seja especificado um texto que deve existir nos complementos de todas as mensagens para que elas sejam mostradas. Desta forma, possvel, por exemplo, visualizar todas as pginas WWW (WORLD WIDE WEB) acessadas por um determinado usurio, bastando para isso que coloque seu nome neste campo. O boto OK aplicar o filtro escolhido e mostrar a janela de eventos, com as informaes selecionadas; O boto Cancelar far com que a operao de filtragem seja cancelada e a janela de eventos ser mostrada com as informaes anteriores.
Aker Security Solutions
127
A janela de eventos
Figura 84 Eventos A janela de eventos ser mostrada aps a aplicao de um filtro novo. Ela consiste de uma lista com vrias mensagens. Normalmente, cada linha corresponde a uma mensagem distinta, porm existem mensagens que podem ocupar 2 ou 3 linhas. O formato das mensagens ser mostrado na prxima seo.
Observaes importantes: As mensagens sero mostradas de 100 em 100; S sero mostradas as primeiras 10.000 mensagens que so enquadradas no filtro escolhido. As demais podem ser vistas exportando os eventos para um arquivo ou utilizando um filtro que produza um nmero menor de mensagens; No lado esquerdo de cada mensagem, ser mostrado um cone colorido simbolizando sua prioridade. As cores tm o seguinte significado:
Aker Security Solutions
128
Azul Depurao Verde Informao Amarelo Notcia Vermelho Advertncia Preto Erro Ao clicar com o boto esquerdo sobre uma mensagem, aparecer na parte inferior da tela uma linha com informaes adicionais sobre ela. Ao apagar todos os eventos, no existe nenhuma maneira de recuperar as informaes anteriores. A nica possibilidade de recuperao a restaurao de uma cpia de segurana. O boto Salvar, localizado na barra de ferramentas, gravar todas as informaes selecionadas pelo filtro atual em um arquivo em formato texto ou em formatos que permitem sua importao pelos analisadores de log da Aker e da WebTrends (R) . Os arquivos consistiro de vrias linhas de contedo igual ao mostrado na janela. Se a opo Expande mensagens estiver marcada e se tiver escolhido a opo de exportao em formato texto, os eventos sero exportados com as mensagens complementares; caso contrrio, os eventos sero exportados sem elas. Esta opo bastante til para enviar uma cpia do log para alguma outra pessoa, para guardar uma cpia em formato texto de informaes importantes ou para importar os eventos por um analisador de log citado acima. Ao ser clicado, ser mostrada a seguinte janela:
Aker Security Solutions
129
Figura 85 Janela de exportao Para exportar o contedo dos eventos, basta fornecer o nome do arquivo a ser criado, escolher seu formato e clicar no boto Salvar. Para cancelar a operao, clique em Cancelar. Se j existir um arquivo com o nome informado ele ser apagado. O boto Prximos 100, representado como uma seta para a direita na barra de ferramentas, mostrar as ltimas 100 mensagens selecionadas pelo filtro. Se no existirem mais mensagens, esta opo estar desabilitada; O boto ltimos 100, representado como uma seta para a esquerda na barra de ferramentas, mostrar as 100 mensagens anteriores. Se no existirem mensagens anteriores, esta opo estar desabilitada; O boto Ajuda mostrar a janela de ajuda especfica para a janela de eventos. 7.2. Formato e significado dos campos das mensagens de eventos Abaixo segue a descrio do formato das mensagens, seguido de uma descrio de cada um de seus campos. A listagem completa de todas as possveis mensagens e seus significados se encontra no Apndice A. Formato do registro:
Aker Security Solutions
130
<Data> <Hora> <Mensagem> [Complemento] [Mensagem complementar 1] [Mensagem complementar 2] Descrio dos campos: Data: Data em que o registro foi gerado. Hora: Hora em que o registro foi gerado. Mensagem: Mensagem textual que relata o acontecimento. Complemento: Este campo traz informaes complementares e pode ou no aparecer, dependendo da mensagem. Na Interface Texto, caso ele aparea, vir entre parnteses. Mensagem complementar 1 e 2: Estes complementos s existem no caso de mensagens relacionadas conexes tratadas pelos proxies transparentes e no- transparentes e so mostrados sempre na linha abaixo da mensagem a que se referem. Nestas mensagens complementares, se encontram o endereo origem da conexo e, no caso dos proxies transparentes, o endereo destino. 7.3. Utilizando a Interface Texto A Interface Texto para o acesso aos eventos tem funcionalidade similar da Interface Remota. Todas as funes da Interface Remota esto disponveis, exceto a opo de filtragem de mensagens e o fato de que atravs da Interface Texto no tem acesso s informaes complementares que so mostradas quando selecionada uma mensagem de eventos na Interface Remota ou quando se ativa a opo Expande mensagens. E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW). O programa que faz a Interface Texto com os eventos o mesmo usado para a interface com o log e foi mostrado tambm no captulo anterior. Localizao do programa: /aker/bin/awg/fwlog Sintaxe: Aker Web Gateway Uso: fwlog ajuda fwlog apaga eventos [<data_inicio> <data_fim>] fwlog mostra eventos [<data_inicio> <data_fim>] [prioridade]
fwlog - Interface texto para visualizar log e eventos mostra = lista os registros do tipo especificado
Aker Security Solutions
131
apaga = apaga todos os registros do tipo especificado ajuda = mostra esta mensagem
Para mostra temos: data_inicio = data a partir da qual os registros serao mostrados data_fim = data ate onde mostrar os registros (As datas devem estar no formato dd/mm/aaaa) (Se nao forem informadas as datas, mostra os registros de hoje) prioridade = campo opcional. Se for informado deve ter um dos seguintes valores: ERRO, ADVERTENCIA, NOTICIA, INFORMACAO ou DEPURACAO (Ao selecionar uma prioridade, somente serao listados registros cuja prioridade for igual a informada) Exemplo 1: (mostrando os eventos do dia 05/01/2007 ao dia 06/01/2007) #log mostra eventos 05/01/2007 06/01/2007
06/01/2007 11:39:35 Sessao de administracao finalizada 06/01/2007 09:13:09 Sessao de administracao estabelecida (administrador, CF CL GU) 06/01/2007 09:13:09 Pedido de conexao de administracao (10.4.1.14) 06/01/2007 09:09:49 Operacao sobre o arquivo de log (Compactar) 05/01/2007 10:27:11 Aker Web Gateway v1.5 - Inicializacao completa 05/01/2007 08:57:11 Tabela de converso UDP cheia Exemplo 2: (mostrando os eventos do dia 05/01/2007 ao dia 06/01/2007, apenas prioridade depurao) #log mostra eventos 05/01/2007 06/01/2007 depuracao
06/01/2007 09:09:49 Operacao sobre o arquivo de log (Compactar) 05/01/2007 10:27:11 Aker Web Gateway v1.5 - Inicializacao completa Exemplo 3: (removendo todo o contedo do arquivo de eventos)
Aker Security Solutions
132
#log apaga eventos 21/01/2007 23/01/2007
Remocao dos registros foi solicitada ao servidor
Aker Security Solutions
133
Utilizando o $erador de Relat%rios
Aker Security Solutions
134
8. Utilizando o Gerador de Relatrios Visando disponibilizar informaes a partir de dados presentes nos registros de log e eventos, bem como apresentar uma viso sumarizada dos acontecimentos para a gerncia do Web Gateway, foi desenvolvida mais esta ferramenta. Neste contexto trataremos dos relatrios que nutriro as informaes gerenciais. Aker Web Gateway ser referenciado neste manual como AWG. Os relatrios so gerados nos formatos HTML, TXT ou PDF, publicados via FTP em at trs sites distintos ou enviados atravs de e-mail para at trs destinatrios distintos. Podem ser agendados das seguintes formas: "Dirio", "Semanal", "Quinzenal", "Mensal", "Especfico" e tambm em tempo real de execuo. 8.1. Acessando Relatrios Para ter acesso janela de Relatrios deve-se:
Figura 86 Auditoria (Relatrio) Clicar no menu Auditoria da janela de administrao do Aker Web Gateway; Selecionar o item Relatrio.
Aker Security Solutions
135
8.2. Configurando os Relatrios
Figura 87 Relatrio Esta janela composta pelos tipos de agendamentos: "Dirio", "Semanal", "Mensal", "Quinzenal", "Especfico" e em tempo real. Em todos ser necessrio escolher quais sub-relatrios sero includos. Para executar qualquer relatrio, deve-se clicar com o boto direito do mouse sobre ele. Aparecer o seguinte menu: (este menu ser acionado sempre que for pressionado o boto direito, mesmo que no exista nenhum relatrio selecionado. Neste caso, somente as opo Inserir estar habilitada); inclusive podendo ser executada a partir da barra de ferramentas. Inserir: Esta opo permite incluir um novo relatrio. Ao tentar inserir um novo relatrio constar trs abas:
Aker Security Solutions
136
Aba Geral Nesta aba sero configurados os seguintes campos:
Figura 88 Configurao de relatrio aba Geral Ttulo do Relatrio: Atribuir nome ao relatrio. Agendamento: Definir hora que ser gerado o relatrio. Formato do Relatrio: Define em qual formato ser gerado o relatrio. As opes de formato so: TXT: Ao selecionar esta opo gerado um arquivo chamado report.txt que contm o relatrio; HTML: Ao selecionar esta opo gerado um arquivo chamado index.html que contm o relatrio; PDF: Ao selecionar esta opo gerado um arquivo chamado report.pdf que contm o relatrio.
Aker Security Solutions
137
Em ambos os casos, o navegador ser aberto automaticamente, exibindo o contedo do arquivo correspondente ao relatrio.
Aba Sub-relatrio Um sub-relatrio oferecido para que os nveis de detalhamento possam ser evidenciados e a informao que compe o relatrio, seja mais objetiva.
Figura 89 Configurao de relatrio aba Sub-relatorio Esta aba composta por duas colunas, onde ser necessrio indicar filtros para ambas. Na coluna de "Subrelatrio" dever ser includo qual tipo de subrelatrio e como ser agrupado, por exemplo: "No agrupar", "Quota", "Usurio". Esta opo varia
Aker Security Solutions
138
conforme o tipo de subrelatrio selecionado. possvel definir relacionamentos com lgica "E" ou "OU" e um limite para TOP. Mtodos de Publicao Mtodo FTP Nesta aba, o usurio poder indicar at trs servidores para onde sero enviados os relatrios via FTP. Como utilizar: Selecione o(s) servidor (es); Digite o usurio; Digite a senha de acesso; Digite o caminho de destino do relatrio.
Aker Security Solutions
139
Figura 90 Configurao de relatrio aba Mtodo de Publicao (FTP)
Mtodo SMTP Nesta aba o usurio poder indicar at trs destinatrios, para onde sero enviados os relatrios atravs de e-mail. Como utilizar: Digite o endereo do remetente ("De"); Digite o endereo do destinatrio ("Para");
Aker Security Solutions
140
Digite o "Assunto"; Caso deseje possvel incluir uma mensagem, no campo "Mensagem".
Figura 91 Configurao de relatrio aba Mtodo de Publicao (SMTP)
Mtodo Tempo Real Esta opo permite a gerao de relatrio em tempo real, ou seja, o administrador do Web Gateway pode gerar relatrios no momento em que desejar. O produto continuar funcionando normalmente. Quando o relatrio estiver pronto, salve-o em um diretrio conforme desejado, logo em seguida ser exibido uma janela mostrando o relatrio.
Aker Security Solutions
141
8.3. Lista dos relatrios disponveis Abaixo segue os tipos de relatrios possveis de serem gerados: 1. Quantidade de acessos web por usurios do autenticador; 2. Quantidade de acessos web por grupos do autenticador; 3. Quantidade de acessos web por perfis de acesso; 4. Quantidade de acessos web por endereo IP origem; 5. Quantidade de acessos web por endereo IP destino; 6. Quantidade de acesso por pginas Web (domnio), com possibilidade de seleo das N pginas mais acessadas; 7. Quantidade de acesso por pginas Web (domnio), com possibilidade de seleo das N pginas mais acessadas por grupos do autenticador; 8. Quantidade de acesso, relacionando conjunto de usurios e respectivas pginas web mais acessadas; 9. Quantidade de acessos bloqueados por usurios, com possibilidade de seleo dos N usurios com maior nmero de requisies a pginas proibidas; 10. Quantidade de downloads realizados (HTTP e FTP), com possibilidade de seleo dos N arquivos mais baixados; 11. Categoria dos sites; 12. Downloads; 13. Sites bloqueados; 14. Categorias bloqueadas; 15. Downloads bloqueados; 16. IPs web; 17. IPs web bloqueados; 18. Quota - consumo de bytes; 19. Quota - consumo de tempo; 20. MSN - durao do chat; 21. Contabilidade de trfego web - upload consumido; 22. Contabilidade de trfego web - download consumido; 23. Contabilidade de trfego web - tempo consumido; 24. Contabilidade de trfego de downloads - upload consumido; 25. Contabilidade de trfego de downloads - download consumido; 26. Contabilidade de trfego de downloads - tempo consumido; 27. Contabilidade de trfego de FTP - upload consumido; 28. Contabilidade de trfego de FTP - download consumido; 29. Usurios que acessaram um site; 30. Usurios que foram bloqueados tentando acessar um site.
Aker Security Solutions
142
&portao Agendada de #entos
Aker Security Solutions
143
9. Exportao Agendada de Eventos Este captulo mostrar como configurar a exportao automtica de Eventos. Aker Web Gateway ser referenciado neste manual como AWG.
Os registros de Eventos so exportados nos formatos TXT ou CSV, publicados via FTP em at trs sites distintos ou localmente em uma pasta do prprio Web Gateway. Podem ser agendados das seguintes formas: "Dirio", "Semanal" e/ou Mensal. 9.1. Acessando a Exportao Agendada Para ter acesso janela de Exportao Agendada de Logs e Eventos deve-se:
Figura 92 Auditoria (Exportao agendada de eventos ) Clicar no menu Auditoria da janela de administrao do Aker Web Gateway; Selecionar o item Exportao Agendada de Eventos.
Aker Security Solutions
144
9.2. Configurando a Exportao
Figura 93 Exportao agendada de eventos Esta janela composta pelos tipos de agendamentos: "Dirio", "Semanal" e "Mensal". Para executar qualquer exportao, deve-se clicar com o boto direito do mouse sobre ele. Aparecer o seguinte menu: (este menu ser acionado sempre que for pressionado o boto direito, mesmo que no exista nenhum relatrio selecionado. Neste caso, somente as opo Inserir estar habilitada); inclusive podendo ser executada a partir da barra de ferramentas. Inserir: Esta opo permite incluir um novo agendamento. Ao tentar inserir um novo relatrio constar duas abas:
Aker Security Solutions
145
Aba Geral Nesta aba sero configurados os seguintes campos:
Figura 94 Aba Geral Ttulo: Atribuir nome a exportao. Formato do Relatrio: Define em qual formato ser gerado o relatrio. As opes de formato so: TXT; CSV. Tipo: Define qual informao ser exportada: Eventos. Agendamento: Definir hora que ser realizada a exportao.
Aker Security Solutions
146
Aba Mtodo de Publicao Tipo de publicao FTP Nesta aba, o usurio poder indicar at trs servidores para onde sero enviados os dados via FTP. Como utilizar: Selecione o(s) servidor (es); Digite o usurio; Digite a senha de acesso; Digite o caminho de destino do relatrio
Figura 95 Aba Mtodo de Publicao (FTP)
Aker Security Solutions
147
Tipo de publicao Local Nesta aba, o usurio poder indicar em qual pasta local do Aker Web Gateway deseja salvar os dados exportados.
Figura 96
Aker Security Solutions
148
Configurando parmetros de autenticao
Aker Security Solutions
149
10. Configurando parmetros de autenticao Neste captulo sero mostrados quais so e como devem ser configurados os parmetros de autenticao, essenciais para que seja possvel a autenticao de usurios pelo Aker Web Gateway. Aker Web Gateway ser referenciado neste manual como AWG.
O que so os parmetros de autenticao ? Os parmetros de autenticao servem para informar ao Aker Web Gateway quais as formas de autenticao que so permitidas, quais autenticadores devem ser pesquisados na hora de autenticar um determinado usurio e em qual ordem. Alm disso, eles controlam a forma com que a pesquisa feita, permitindo uma maior ou menor flexibilidade para as autenticaes. 10.1. Utilizando a Interface Remota
Figura 97 Configurao (Autenticao) Clicar no menu Configurao da janela Aker Web Gateways; Selecionar o item Autenticao. Essa janela consiste de quatro partes distintas: a primeira aba corresponde ao Controle de Acesso onde os usurios e grupos de autenticadores so associados com perfis de acesso. A configurao desta aba ser vista em detalhes em Perfis de Acesso de Usurios; na segunda aba escolhe-se os Mtodos de Autenticao onde se determina os parmetros relativos autenticao de usurios por meio de nomes/senhas e se
Aker Security Solutions
150
configuram os parmetros de autenticao por token (SecurID) e Autoridade Certificadora (PKI); a terceira aba configura-se a Autenticao para Proxies; Na quarta e ltima aba configurado o Controle de Acesso por IP que tambm ser visto com mais detalhes em Perfis de Acesso de Usurios. O boto OK far com que a janela de configurao de parmetros seja fechada e as alteraes feitas mantero a janela aberta O boto Cancelar far com que a janela seja fechada porm as alteraes efetuadas no sejam aplicadas. Para ter acesso a janela de parmetros de autenticao deve-se: Aba Controle de Acesso
Figura 98 Aba Controle de Acesso
A janela de controle de acesso permite que seja criada a associao de usurios/grupos com um perfil de acesso. Na parte inferior da janela existe um campo chamado Perfil Padro onde possvel selecionar o perfil que ser associado aos usurios, que no se enquadrem em nenhuma regra de associao.
Aker Security Solutions
151
A ltima coluna, quando preenchida, especifica redes e mquinas onde a associao vlida. Se o usurio se encaixar na regra, mas estiver em um endereo IP fora das redes e mquinas cadastradas, ento a regra ser pulada, permitindo a atribuio de outro perfil ao usurio. Esse tipo de restrio muito til para permitir acesso reas sensveis da rede apenas de alguns locais fsicos com segurana aumentada. Para associar um usurio ou grupo com um determinado perfil de acesso, deve-se proceder da seguinte maneira: 1. Clicar com o boto direito do mouse na lista de regras e selecionar a opo Inserir; 2. Selecionar o autenticador do qual se deseja obter a lista de usurios ou grupos, clicando-se com o boto direito no campo Autenticador; 3. Clicar com o boto direito sobre o campo Usurio/Grupo e selecionar entre listagem de usurios ou grupos e sua lista ser montada automaticamente a partir do autenticador selecionado. A partir da lista selecionar o usurio ou grupo desejado.
Figura 99 Autenticao de acesso: Listagem de grupos ou usurios 4. Clicar com o boto direito sobre o campo Perfil para selecionar o perfil desejado, conforme o menu abaixo:
Aker Security Solutions
152
Figura 100 Autenticao de acesso: Escolha do perfil desejado. 5. Caso queira, arraste algumas entidades mquina, rede ou conjuntos para o campo entidades. Se o usurio estiver fora dessas entidades, a regra ser pulada. Para remover uma regra entre um usurio/grupo e um perfil, deve-se proceder da seguinte maneira: 1. Clicar na regra a ser removida, na lista da janela; 2. Clicar no boto Apagar. Para alterar a posio de uma regra dentro da lista, deve-se proceder da seguinte forma: 1. Clicar na regra a ser movida de posio; 2. Arrastar para a posio desejada. A ordem das associaes na lista de fundamental importncia. Quando um usurio se autenticar, o Aker Web Gateway pesquisar a lista a partir do incio procurando pelo nome desse usurio ou por um grupo de que ele faa parte. To logo um desses seja encontrado, o perfil associado ao mesmo ser utilizado.
Aker Security Solutions
153
Aba Mtodos
Figura 101 Aba Mtodos
Usurio/ Senha Habilita autenticao usurio/senha: Essa opo indica se o Aker Web Gateway aceitar ou no autenticao de usurios por meio de nomes/senhas. Caso ela esteja ativa, deve-se configurar os demais parmetros relativos a esse tipo de autenticao: Pesquisar todos autenticadores: Este parmetro indica se o Aker Web Gateway deve tentar validar um usurio nos prximos autenticadores da lista no caso de um autenticador retornar uma mensagem de senha invlida. Se esta opo estiver marcada, o Aker Web Gateway percorre todos os autenticadores da lista, um a um, at receber uma resposta de autenticao correta ou at a lista terminar. Caso ela no esteja marcada, a pesquisa ser encerrada no primeiro autenticador que retornar uma mensagem de autenticao correta ou de senha invlida. Esta opo s usada para respostas de senha invlida. Caso um autenticador retorne uma resposta indicando que o usurio a ser validado no est cadastrado na base de dados de sua mquina, o Aker Web Gateway continuar a pesquisa no prximo autenticador da lista, independentemente do valor desta opo.
Aker Security Solutions
154
Pesquisar autenticador interno: Este parmetro indica se a base de usurios locais do Aker Web Gateway - definida na pasta Autenticao Local - deve ser consultada para validar a senha dos usurios. Se sim, tambm deve escolher no combo box ao lado se essa base deve ser consultada antes ou depois dos demais autenticadores. Permitir domnios especificados pelo usurio: Este parmetro indica se o usurio na hora de se autenticar pode informar ao Aker Web Gateway em qual autenticador ele deseja ser validado. Se esta opo estiver marcada, o usurio pode acrescentar juntamente ao seu nome, um sufixo formado pelo smbolo / e um nome de autenticador, fazendo com que a requisio de autenticao seja enviada diretamente para o autenticador informado. Caso ela no esteja marcada, a autenticao ser feita na ordem dos autenticadores configurada pelo administrador. O uso desta opo no obriga o usurio a informar o nome do autenticador, apenas permite que ele o faa, se desejar. Caso o usurio no informe, a autenticao seguir na ordem normal. Para ilustrar a especificao de domnio, pode-se tomar como base um sistema no qual existam dois autenticadores configurados, chamados de Unix e Windows Server. Neste sistema, se um usurio chamado administrador desejar se autenticar na mquina Windows Server, ento ele dever entrar com o seguinte texto, quando lhe for solicitado seu login ou username: administrador/Windows Server. Caso ele no informe o sufixo, o Aker Web Gateway tentar autentic-lo inicialmente pela mquina Unix e caso no exista nenhum usurio cadastrado com este nome ou a opo Pesquisa em todos os autenticadores estiver marcada, ele ento tentar autenticar pela mquina Windows Server. O nome do autenticador informado pelo usurio deve estar obrigatoriamente na lista de autenticadores a serem pesquisados. Desabilita insero automtica de regras de IDS: Ao selecionar esse campo, as regras utilizadas para identificar invases ao sistema no sero aplicadas de forma automtica. Autenticadores a pesquisar Para incluir um autenticador na lista de autenticadores a serem consultados, deve- se proceder da seguinte forma: 1. Clicar com o boto direito do mouse onde aparecer um menu suspenso (figura abaixo) ou arrastando a entidade autenticador para o local indicado.
Aker Security Solutions
155
Figura 102 - Autenticao de acesso: Adicionar entidades 2. Seleciona-se o a opo Adicionar entidades e o autenticador a ser includo, na lista mostrada direita. Para remover um autenticador da lista de pesquisa, deve-se proceder da seguinte forma: 1. Selecionar o autenticador a ser removido e apertar a tecla delete ou 2. Clicar no boto direito do mouse e selecionar no menu suspenso o item Apagar
Figura 103 - Autenticao de acesso: Remover entidades Para mudar a ordem de pesquisa dos autenticadores, deve-se proceder da seguinte forma: 1. Selecionar o autenticador a ser mudado de posio na ordem de pesquisa; 2. Clicar em um dos botes direita da lista: o boto com o desenho da seta para cima far com que o autenticador selecionado suba uma posio na lista. O boto com a seta para baixo far com que ele seja movido uma posio para baixo na lista.
Aker Security Solutions
156
Dica: A adio ou remoo dos autenticadores pode ser feita diretamente com o mouse, bastando clicar e arrastar os mesmos para a janela correspondente, soltando em seguida. Os autenticadores sero pesquisados na ordem que se encontram na lista, de cima para baixo.
Token
Figura 104 Aba Token Habilita autenticao por token: Essa opo indica se o Aker Web Gateway aceitar ou no a autenticao de usurios por meio de tokens. Caso ela esteja ativa, deve-se configurar o nome do autenticador token a ser consultado para validar os dados recebidos. Autenticador token a pesquisar: Este campo indica o autenticador token para o qual os dados a serem validados sero repassados.
Aker Security Solutions
157
PKI
Figura 105 Aba PKI Habilita autenticao PKI: Essa opo indica se o Aker Web Gateway aceitar ou no a autenticao de usurios por meio de smart cards. Caso ela esteja ativa, deve-se configurar as autoridades certificadoras nas quais o Aker Web Gateway confia. Autoridades Certificadoras Confiveis Para incluir uma autoridade certificadora na lista de autoridades certificadoras confiveis, deve-se proceder da seguinte forma: 1. Clicar com o boto direito do mouse e escolher a opo Incluir Entidades; 2. Selecionar a autoridade a ser includa; 3. Clique em Incluir; 4. Pode-se tambm clicar em uma autoridade certificadora e arrast-la para posio desejada. Para remover uma autoridade certificadora da lista de autoridades confiveis, deve- se proceder da seguinte forma: 1. Selecionar a autoridade a ser removida e apertar a tecla delete ou
Aker Security Solutions
158
2. Clicar no boto direito do mouse sobre a entidade a ser removida e escolher a opo Apagar
Aba Autenticao para proxies
Figura 106 Aba Autenticao para proxies Estes parmetros indicam que tipos de autenticao sero aceitas nos proxies e em que ordem sero validadas. Isso importante pois quando um usurio autenticado atravs de um browser, por exemplo, no possvel que ele especifique se est utilizando token ou usurio/senha. As opes possveis da configurao so: Autenticador Token antes da autenticao usurio/senha; Autenticao usurio/senha antes do autenticador token; Somente autenticao por Token; Somente autenticao usurio/senha.
Aker Security Solutions
159
Aba Autenticao Local
Figura Aba Autenticao Local Nessa pasta possvel cadastrar uma srie de usurios e associar um grupo a cada um deles. Se a opo de usar a base local de usurios estiver habilitada, ento esses usurios tambm sero verificados como se estivessem em um autenticador remoto. Eles compem o autenticador local. Para incluir um usurio necessrio clicar com o boto da direita e escolher a opo inserir, ou ento usar a barra de ferramentas e at mesmo o boto insert do teclado.
Figura Menu para incluso de usurio
Para alterar o nome do usurio e seu nome completo, basta dar um duplo clique no campo correspondente:
Aker Security Solutions
160
Figura 109 - Criar ou remover grupos
Para alterar a senha ou o grupo a que est associado o usurio, use o menu de contexto sobre o item, clicando com o boto direito do mouse.
Figura 110 Autenticao (Alterao de senha ou grupo)
Para criar ou remover grupos, o procedimento o mesmo, mas na lista lateral direita.
Aker Security Solutions
161
Aba Controle de Acesso por IP
Figura 111 Aba Controle de Acesso por IP O Aker Web Gateway pode controlar os acessos por intermdio de endereos IP conhecidos juntamente com perfis criados para este fim. Esta aba permite a habilitao e a desabilitao individual das regras que configuram a autenticao por IP, no sendo mais necessrio ter que remov-las para desabilit-las, podendo ser habilitada ou desabilitada por meio da opo no menu suspenso ou por meio do boto localizado na barra de tarefas. necessrio escolher uma entidade rede ou uma entidade mquina, que definiro a origem do trfego e associ-las ao perfil, de forma que o trfego originrio dessas entidades no precisaro de autenticao por usurio. O Acesso por IP estar habilitado sempre que houver pelo menos uma regra habilitada nesta aba.
Aker Security Solutions
162
Aba NTLM
Figura 112 Aba NTLM A janela acima tem a funo de configurar a integrao do Aker Web Gateway ao Microsoft Active Directory (AD) e utilizar o login automaticamente, sem que seja solicitada a digitao no browser. Esta integrao realizada atravs do Kerberos, Winbind e Samba e o comportamento deste autenticador ser idntico aos outros tipos de autenticaes suportadas pelo Aker Web Gateway podendo listar os usurios e grupos para a vinculao com os perfis de acesso. Habilitar NTLM: ativando esta opo, uma entidade com o nome NTLM_Auth, estar disponvel para a configurao na Aba Mtodos da janela de Autenticao. Active directory: Endereo IPv4: endereo IP do servidor com o Microsoft Active Directory; Hostname: nome netbius do servidor com o Microsoft Active Directory, obtido a partir do comando hostname executado neste servidor.
Aker Security Solutions
163
Autenticao Usurio: usurio com privilgios de administrao do domnio para integrao. Senha: senha do usurio citado acima. Status/Atualizar status: Informa o status da integrao e logs em caso de falhas.
Para o bom funcionamento da integrao o Web Gateway com o servidor com o Microsoft Active Directory devem estar com a data e horas sincronizados atravs de um servidor NTP. Para que a integrao funcione o domnio configurado no Aker Web Gateway na janela Configurao do Sistema, TCP/IP, aba DNS, deve ser o mesmo domnio do Microsoft Active Directory. Esta integrao est disponvel somente para o Filtro Web, em prximas verses a integrao se estender para todas as funcionalidades do Aker Web Gateway. Os usurios que no estiverem cadastrados no domnio do Microsoft Active Directory a autenticao ser realizada atravs de um POP-UP no browser do usurio que ser solicitada a cada 15 minutos. A janela que ser apresentada a estes usurios:
Aker Security Solutions
164
Figura 113 Autenticao Java A autenticao transparente est disponvel somente para o Filtro Web e Modo PROXY ATIVO, em prximas verses a integrao se estender para todas as funcionalidades do Aker Web Gateway.
10.2. Utilizando a Interface Texto A Interface Texto permite configurar qual o tipo de autenticao ser realizada e a ordem de pesquisa dos autenticadores. (E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW). Localizao do programa: /aker/bin/awg/fwauth Sintaxe: Aker Web Gateway fwauth - Configura parametros de autenticacao Uso: fwauth [mostra | ajuda] fwauth [habilita | desabilita] [usuario/senha | pki | token] fwauth [inclui | remove] [ca | token | autenticador] <entidade>
mostra = mostra a configuracao atual ajuda = mostra esta mensagem habilita = habilita a autenticacao desabilita = desabilita a autenticacao inclui = inclui entidade na lista de autenticadores ativos remove = remove entidade da lista de autenticadores ativos dominio = configura se o usuario pode ou nao especificar dominio local = indica se o autenticador local deve ser consultado antes dos demais autenticadores (primeiro), depois de todos (ultimo) ou se nao deve ser utilizado (nao) pesquisa_todos = configura se deve pesquisar em todos os autenticadores proxy senha = habilita autenticacao por proxies do tipo usuario/senha proxy token = habilita autenticacao por proxies do tipo Token proxy primeiro = configura qual tipo de autenticacao sera usada primeiro Exemplo 1: (mostrando os parmetros de autenticao) #auth mostra AUTENTICACAO USUARIO/SENHA --------------------------- Pesquisa em todos autenticadores: nao Usuario pode especificar dominio: nao Autenticador local: primeiro Nao ha autenticadores cadastrados
Aker Security Solutions
166
AUTENTICACAO PKI ----------------- Nao ha autenticadores cadastrados AUTENTICACAO TOKEN ----------------------- Nao ha autenticadores cadastrados Exemplo 2: (incluindo um autenticador na lista de autenticadores ativos) #auth inclui autenticador "agente 10.0.0.12" Autenticador incluido
Aker Security Solutions
167
'erfil de Acesso de Usurios
Aker Security Solutions
168
11. Perfil de Acesso de Usurios Neste captulo mostraremos para que servem e como configurar perfis de acesso no Aker Web Gateway. 11.1. Planejando a instalao
O que so perfis de acesso? O Aker Web Gateway baseia a sua proteo e o seu controle de acesso a partir de mquinas, atravs de seus endereos IP. O AWG alm desse tipo de controle permite tambm o controle de acesso por usurios. Desta forma, possvel que determinados usurios tenham seus privilgios e restries garantidos, independentemente de qual mquina estejam utilizando em um determinado momento. Isso oferece o mximo em flexibilidade e segurana. Para possibilitar este controle de acesso a nvel de usurios, o Aker Web Gateway introduziu o conceito de perfis de acesso. Perfis de acesso representam os direitos a serem atribudos a um determinado usurio no Aker Web Gateway. Estes direitos de acesso englobam todos os servios suportados pelo Aker Web Gateway, o controle de pginas WWW (WORLD WIDE WEB) e o controle de acesso atravs do proxy SOCKS. Desta forma, a partir de um nico local, consegue definir exatamente o que pode e no pode ser acessado. Como funciona o controle com perfis de acesso? Para utilizar os perfis de acesso, inicialmente cadastra-se os perfis desejados e posteriormente associa-se estes perfis com usurios e grupos de um ou mais autenticadores. A partir deste momento, todas as vezes que um usurio se logar no Aker Web Gateway com o Aker Client ou outro produto que oferea funcionalidade equivalente, o Aker Web Gateway identificar o perfil de acesso correspondente a este usurio e configurar as permisses de acesso de acordo com este perfil. Tudo feito de forma completamente transparente para o usurio final. Para que seja possvel o uso de perfis de acesso necessrio que o Cliente de Autenticao ou o Cliente de Criptografia Aker estejam instalados em todas as mquinas clientes ou que se use a opo de autenticao por Java no proxy HTTP. Caso contrrio, s ser possvel a utilizao de controle de acesso a pginas WWW (WORLD WIDE WEB) ou a servios atravs do proxy SOCKS. A autenticao de usurios atravs dos proxies WWW (WORLD WIDE WEB) (sem Java) e SOCKS possvel na medida em que eles solicitaro um nome de usurio e uma senha e pesquisaro o perfil correspondente quando no identificarem uma sesso ativa para uma determinada mquina.
Aker Security Solutions
169
11.2. Cadastrando perfis de acesso Os perfis de acesso do Aker Web Gateway definem quais pginas WWW (WORLD WIDE WEB) podem ser visualizadas e quais tipos de servio podem ser acessados. Para cada pgina WWW ou servio, existe uma tabela de horrios associada, atravs da qual possvel definir os horrios nos quais o servio ou pgina podem ser acessados. Para ter acesso janela de perfis de acesso deve-se:
Figura 114 Configurao (Perfis) Clicar no menu Configurao da janela de administrao do Aker Web Gateway; Selecionar o item Perfis.
Aker Security Solutions
170
A janela de Perfis
Figura 115 Perfis A janela de perfis contm todos os perfis de acesso definidos no Aker Web Gateway. Ela consiste de uma lista onde cada perfil mostrado em uma linha separada. O boto OK far com que a janela de perfis seja fechada; O boto Aplicar enviar para o Aker Web Gateway todas as alteraes feitas porm manter a janela aberta. Para executar qualquer operao sobre um determinado perfil, deve-se clicar sobre ele e a seguir clicar na opo correspondente na barra de ferramentas. As seguintes opes esto disponveis:
Aker Security Solutions
171
Figura 116 Opes de configurao de perfil Inserir perfil filho: Incluir um novo perfil que filho do perfil atual, i.e., estabelece uma hierarquia de perfis; Inserir: Permitir a incluso de um novo perfil na lista; Copiar: Copiar o perfil selecionado para uma rea temporria; Colar: Copiar o perfil da rea temporria para a lista; Excluir: Remover da lista o perfil selecionado. Todas as opes mostradas acima podem ser executadas a partir da barra de ferramentas, bem como a opo de relatrio dos Perfis, todos localizados logo acima da lista. Neste caso, primeiro seleciona-se os itens para relatrio, e em seguida indica o caminho e clique no boto Gerar. Relatrio dos perfis: Gera relatrio da lista de perfis em um documento HTML. Para excluir um perfil de acesso, ele no poder estar associado a nenhum usurio (para maiores informaes veja o tpico Associando Usurios com Perfis de Acesso. O perfil filho, criado com a opo Inserir perfil filho herdar automaticamente as configuraes do perfil pai. Na parte superior de ambas as pastas, se encontra o campo Nome do Perfil, que serve para especificar o nome que identificar unicamente o perfil de acesso. Este nome ser mostrado na lista de perfis e na janela de controle de acesso. No podem existir dois perfis com o mesmo nome. Cada perfil de acesso composto de sete tpicos diferentes. Dependendo do tpico selecionado em um momento, a parte direita da janela mudar de modo a mostrar as diferentes opes. Os tpicos de configurao so:
Aker Security Solutions
172
Geral
Figura 117 Perfis (Geral) As opes gerais de filtragem so definidas pelos seguintes campos: Prioridade das Regras: Permite definir a prioridade entre as regras do perfil e as regras de seus perfis filhos. Configura a prioridade para as regras dos perfis filhos: Se esta opo estiver marcada, as regras dos perfis filhos iro aparecer acima das regras dos perfis pais, isto , elas tero prioridade sobre as regras do pai. Caso contrrio, as regras do perfil pai tero prioridade sobre as regras dos seus
Aker Security Solutions
173
perfis filhos. Ou seja, nos perfis filhos, as regras herdadas do pai iro aparecer acima de suas regras. Isso se aplica s Regras de FTP, GOPHER, HTTP/HTTPS e MSN Messenger. Horrio padro: Esta tabela define o horrio padro para as regras de filtragem WWW (WORLD WIDE WEB). Posteriormente, ao incluir as regras de filtragem WWW, existe uma opo para utilizar este horrio padro ou especificar um horrio diferente. As linhas representam os dias da semana e as colunas as horas. Caso queria que a regra seja aplicvel em determinada hora ento o quadrado deve ser preenchido, caso contrrio o quadrado deve ser deixado em branco. Para facilitar sua configurao, pode-se clicar com o boto esquerdo do mouse sobre um quadrado e a seguir arrast-lo, mantendo o boto pressionado. Isto faz com que o a tabela seja alterada na medida em que o mouse se move.
FTP/GOPHER
Figura 118 Perfis (FTP/GOPHER) A pasta de filtragem FTP/GOPHER permite a definio de regras de filtragem de URLs para os protocolos FTP e Gopher. Ela consiste de uma lista onde cada regra mostrada em uma linha separada.
Aker Security Solutions
174
Na parte inferior da pasta existe um grupo que define a ao a ser executada caso o endereo que o cliente desejou acessar no se encaixe em nenhuma regra de filtragem. Este grupo chamado de Ao padro para o protocolo e consiste de trs opes. Permitir: Se esta opo for a selecionada, ento o Aker Web Gateway aceitar as URLs que no se enquadrarem em nenhuma regra. Bloquear: Se esta opo for a selecionada, ento o Aker Web Gateway rejeitar as URLs que no se enquadrarem em nenhuma regra. Para executar qualquer operao sobre uma determinada regra, basta clicar sobre ela e a seguir clicar na opo correspondente na barra de ferramentas. As seguintes opes esto disponveis:
Figura 119 Menu de opes (Perfis)
Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova regra ser includa no final da lista. Excluir: Remover da lista a regra selecionada. Copiar: Copiar a regra selecionada para uma rea temporria. Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver selecionada, a nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada para o final da lista. Dica: A posio de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a nova posio desejada, soltando em seguida. Observe que o cursor de indicao do mouse ir mudar para uma mo segurando um basto. A ordem das regras na lista de regras de filtragem WWW (WORLD WIDE WEB) de fundamental importncia. Ao receber uma solicitao de acesso a um endereo, o Aker Web Gateway pesquisar a lista a partir do incio, procurando por uma regra na qual o endereo se encaixe. To logo uma seja encontrada, a ao associada a ela ser executada. Cada regra de filtragem consiste de uma operao, que indica que tipo de pesquisa ser feita e, o texto a ser pesquisado. As seguintes opes de operao esto disponveis: CONTM: A URL deve conter o texto informado em qualquer posio.
Aker Security Solutions
175
NO CONTM: A URL no pode conter o texto informado. : O contedo da URL deve ser exatamente igual ao texto informado. NO : O contedo da URL deve ser diferente do texto informado. COMEA COM: O contedo da URL deve comear com o texto informado. NO COMEA COM: O contedo da URL no pode comear com o texto informado. TERMINA COM: O contedo da URL deve terminar com o texto informado. NO TERMINA COM: O contedo da URL no pode terminar com o texto informado. Expresso Regular: O campo a ser pesquisado dever ser uma expresso regular. TUDO: Aceitara todo contedo da URL
Seguem as definies dos campos da janela: N: Nmero da regra de filtragem. Limite da busca: Esse campo permite escolher em qual parte da URL ser feito a busca, sendo que os parmetros a serem pesquisados foram definidos no campo padres de texto. Padres de Textos: Ao clicar com o boto direito do mouse nesse campo, permite selecionar uma entidade lista de padres criada anteriormente. Com isso, ser possvel associar a regra uma entidade padro de pesquisa, permitindo definir qual ser a string ou os parmetros que sero pesquisados na URL acessada e qual operao a ser efetuada. Ao: Define a ao a ser executada caso o endereo que o usurio desejou acessar no se encaixe em nenhuma regra de filtragem. Consiste em duas opes. Permitir: Se esta opo for a selecionada, ento o Aker Web Gateway aceitar as URLs que no se enquadrarem em nenhuma regra. Bloquear: Se esta opo for a selecionada, ento o Aker Web Gateway rejeitar as URLs que no se enquadrarem em nenhuma regra. Categorias: Nesse campo, permite associar alguma entidade categoria regra que est sendo criada. Canal: Usado nas regras de filtragem com o objetivo de limitar a banda de determinados servios, mquinas, redes e/ou usurios. Quota: As Quotas so utilizadas para controlar e racionalizar o tempo gastos pelos funcionrios, com acesso sites da WEB. Assim as quotas so os limites em termos de tempo de acesso e volume de dados, por usurio. Nessa opo permite associar ao usurio alguma entidade quota criada.
Aker Security Solutions
176
Tempo: Perodo em que a regra aplicada. Dia da semana e horrio. Exemplo: Permite definir que nas segundas-feiras e nas quartas-feiras o usurio ter acesso a Internet somente das 12:00 s 14:00. Perodo de validade: Perodo de validade e aplicao da regra. definido em ms e ano.
Aker Security Solutions
177
HTTP/HTTPS Aba Geral
Figura 120 HTTP/HTTPS
Bloquear: Este campo define as opes de bloqueio em sites WWW (WORLD WIDE WEB). So elas: URLs com endereo IP: Se esta opo estiver marcada, no ser permitido o acesso a URLs com endereos IP ao invs de nome (por exemplo, http://127.0.0.1/index.html), ou seja, somente ser possvel se acessar URLs por nomes. Caso tenha configurado o proxy WWW (WORLD WIDE WEB) para fazer filtragem de URLs, deve-se configurar esta opo de modo que o usurio no possa acessar atravs de endereos IP, caso contrrio, mesmo com o nome bloqueado, o usurio continuar podendo acessar a URL atravs de seu endereo IP. possvel acrescentar endereos IP nas regras de filtragem WWW (WORLD WIDE WEB) do
Aker Security Solutions
178
perfil (caso queria realizar filtragem com esta opo ativa), entretanto, devido a estes sofrerem mudanas e ao fato de muitos servidores terem mais de um endereo IP, isto se torna extremamente difcil. Por outro lado, muitos administradores percebem que sites mal configurados (especialmente os de webmail) utilizam redirecionamento para servidores pelo seu endereo IP, de forma que, com esta opo desmarcada, tais sites ficam inacessveis. Java, Javascript e Activex: Este campo permite definir uma filtragem especial para pginas WWW, bloqueando, ou no, tecnologias consideradas perigosas ou incmodas para alguns ambientes. Ela possui quatro opes que podem ser selecionadas independentemente: Javascript, Java e ActiveX. A filtragem de Javascript, Java e ActiveX feita de forma com que a pgina filtrada seja visualizada como se o browser da mquina cliente no tivesse suporte para a(s) linguagem(ns) filtrada(s). Em alguns casos, isto pode fazer com que as pginas percam sua funcionalidade. Banners: Esta opo realiza o bloqueio de banners publicitrios em pginas Web. Caso ela esteja marcada, o Aker Web Gateway substituir os banners por espaos vazios na pgina, diminuindo o seu tempo de carga. Uma vez configurado que se deve realizar o bloqueio, o mesmo ser feito atravs de regras globais, iguais para todos os perfis. Para configurar estas regras de bloqueio de banners, basta:
Figura 121 Aplicao (Bloqueio de banners) Clicar no menu Aplicao da janela principal Selecionar o item Bloqueio de banners A janela abaixo ir ser mostrada:
Aker Security Solutions
179
Esta janela formada por uma srie de regras no formato de expresso regular. Caso uma URL se encaixe em qualquer regra, a mesma ser considerada um banner e ser bloqueada. URL Bloqueada: Permitir a configurao de qual ao deve ser executada pelo Web Gateway quando um usurio tentar acessar uma URL no permitida. Ela consiste das seguintes: opes: Mostra mensagem padro ao bloquear URL: Ao selecionar essa opo, o Web Gateway mostrar uma mensagem de erro informando que a URL que se tentou acessar se encontra bloqueada. Redireciona URL bloqueada: Ao selecionar essa opo, o Web Gateway redirecionar todas as tentativas de acesso a URLs bloqueadas para uma URL especificada pelo administrador. Nesse caso, deve-se especificar a URL para quais os acessos bloqueados sero redirecionados (sem o prefixo http://) no campo abaixo. Mostrar: Essa opo permite definir a pgina que ser mostrada ao usurio, quando a tentativa de acesso a uma URL for bloqueada. Ento pode-se optar em mostrar a pgina padro ou redirecionar para a pgina escolhida, que ser personalizada de acordo com os chekboxes selecionados. Segue abaixo a descrio de cada opo e o detalhamento das variveis criadas. Cada um checkbox selecionado, um parmetro. Isso utilizado para identificar aonde e porque a pgina foi bloqueada, por exemplo, se a pgina foi bloqueada porque caiu em alguma categoria, passar por parmetro qual a categoria que causou o bloqueio da pgina. Domnio: Ao selecionar essa opo ser mostrada o domnio da URL. Exemplo: Na url www.aker.com.br, o seu domnio seria aker.com.br. Ao selecionar o domnio, criada a varivel domain. Mtodo: Informa qual o mtodo utilizado pelo protocolo HTTP. Ex: GET, PUT, POST. Ao selecionar o Mtodo criada a varivel method. Nome do Perfil: Nome dado, pelo usurio, ao perfil escolhido. Ao selecionar essa opo criada a varivel perfil. Ip do usurio: Endereo IP do usurio que tentou acessar a URL que foi bloqueada. Ao selecionar o Mtodo criada a varivel ip. Razes: Ao selecionar a Razo criada a varivel reason. Ao habilitar essa opo ser mostrada a razo do bloqueio do site. Por exemplo, temos as seguintes razes:
Aker Security Solutions
180
"categoria da URL", "regra de bloqueio", "quota bytes excedidos", "quota bytes insuficientes", "quota tempo excedido", "tipo de objeto nao permitido", "tipo de arquivo nao permitido globalmente", "tipo de arquivo nao permitido no perfil", "connect para a porta especificada nao permitido"
Nome da Categoria: Nome da Categoria que a URL foi associada. Ao selecionar a Categoria criada a varivel cats. Nome do Usurio: Nome do usurio que tentou acessar a URL. Ao selecionar o nome do usurio criada a varivel user. Nmero da regra: Nmero da Regra de Filtragem que a URL se enquadrou. Ao selecionar o nmero da regra criada a varivel rule. Site da URL bloqueado: Mostra a URL que o usurio tentou acessar e foi bloqueada. Ao selecionar o Site da URL bloqueado criada a varivel url. No preview, aparece como ser a URL e o que ser enviado via mtodo GET.
Aker Security Solutions
181
HTTP/HTPS Aba Filtro de URL
Figura 123 Aba Filtro de Url A pasta de filtragem HTTP/HTTPS permite a definio de regras de filtragem de URLs para os protocolos HTTP e HTTPS. Ela consiste de uma lista onde cada regra mostrada em uma linha separada. O protocolo HTTPS, para a URL inicial filtrado como se fosse o protocolo HTTP. Alm disso, uma vez estabelecida a comunicao no mais possvel para o Aker Web Gateway filtrar qualquer parte de seu contedo, j que a criptografia realizada diretamente entre o cliente e o servidor. Na parte inferior da pasta existe um grupo que define a ao a ser executada caso o endereo que o cliente desejou acessar no se encaixe em nenhuma regra de filtragem. Este grupo chamado de Ao padro para o protocolo e consiste de trs opes. Permitir: Se esta opo for a selecionada, ento o Aker Web Gateway aceitar as URLs que no se enquadrarem em nenhuma regra. Bloquear: Se esta opo for a selecionada, ento o Aker Web Gateway rejeitar as URLs que no se enquadrarem em nenhuma regra. Para executar qualquer operao sobre uma determinada regra, basta clicar sobre ela e a seguir clicar na opo correspondente na barra de ferramentas. As seguintes opes esto disponveis:
Aker Security Solutions
182
Figura 124 Menu de opes (Filtro de Url) Inserir: Permitir a incluso de uma nova regra na lista. Se alguma regra estiver selecionada, a nova ser inserida na posio da regra selecionada. Caso contrrio, a nova regra ser includa no final da lista. Excluir: Remover da lista a regra selecionada. Copiar: Copiar a regra selecionada para uma rea temporria. Colar: Copiar a regra da rea temporria para a lista. Se uma regra estiver selecionada, a nova ser copiada para a posio da regra selecionada. Caso contrrio ela ser copiada para o final da lista. Dica: A posio de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a nova posio desejada, soltando em seguida. Observe que o cursor de indicao do mouse ir mudar para uma mo segurando um basto. A ordem das regras na lista de regras de filtragem WWW de fundamental importncia. Ao receber uma solicitao de acesso a um endereo, o Aker Web Gateway pesquisar a lista a partir do incio, procurando por uma regra na qual o endereo se encaixe. To logo uma seja encontrada, a ao associada a ela ser executada. Cada regra de filtragem consiste de uma operao, que indica que tipo de pesquisa ser feita e, o texto a ser pesquisado. As seguintes opes de operao esto disponveis: CONTM: A URL deve conter o texto informado em qualquer posio. NO CONTM: A URL no pode conter o texto informado. : O contedo da URL deve ser exatamente igual ao texto informado. NO : O contedo da URL deve ser diferente do texto informado. COMEA COM: O contedo da URL deve comear com o texto informado. NO COMEA COM: O contedo da URL no pode comear com o texto informado. TERMINA COM: O contedo da URL deve terminar com o texto informado. NO TERMINA COM: O contedo da URL no pode terminar com o texto informado. Expresso Regular: O campo a ser pesquisado dever ser uma expresso regular. TUDO: Aceitara todo contedo da URL
Aker Security Solutions
183
Seguem as definies dos campos da janela: N: Nmero da regra de filtragem. Limite da busca: Esse campo permite escolher em qual parte da URL ser feito a busca, sendo que os parmetros a serem pesquisados foram definidos no campo padres de texto. Padres de Textos: Ao clicar com o boto direito do mouse nesse campo, permite selecionar uma entidade lista de padres criada anteriormente. Com isso, ser possvel associar a regra uma entidade padro de pesquisa, permitindo definir qual ser a string ou os parmetros que sero pesquisados na URL acessada e qual operao a ser efetuada. Ao: Define a ao a ser executada caso o endereo que o usurio desejou acessar no se encaixe em nenhuma regra de filtragem. Consiste em duas opes. Permitir: Se esta opo for a selecionada, ento o Aker Web Gateway aceitar as URLs que no se enquadrarem em nenhuma regra. Bloquear: Se esta opo for a selecionada, ento o Aker Web Gateway rejeitar as URLs que no se enquadrarem em nenhuma regra. Categorias: Nesse campo, permite associar alguma entidade categoria regra que est sendo criada. Canal: Usado nas regras de filtragem com o objetivo de limitar a banda de determinados servios, mquinas, redes e/ou usurios. Quota: As Quotas so utilizadas para controlar e racionalizar o tempo gastos pelos funcionrios, com acesso sites da WEB. Assim as quotas so os limites em termos de tempo de acesso e volume de dados, por usurio. Nessa opo permite associar ao usurio alguma entidade quota criada. Tempo: Perodo em que a regra aplicada. Dia da semana e horrio. Exemplo: Permite definir que nas segundas-feiras e nas quartas-feiras o usurio ter acesso a Internet somente das 12:00 s 14:00. Perodo de validade: Perodo de validade e aplicao da regra. definido em ms e ano.
Aker Security Solutions
184
Aba Arquivos Bloqueados
Figura 125 Aba Arquivos Bloqueados
Especificar os arquivos que sero bloqueados pelo perfil juntamente com o Filtro Web. possvel utilizar dois critrios complementares para decidir se um arquivo transferido deve ser bloqueado: a extenso do arquivo ou seu tipo MIME. Se um destes critrios for atendido, em outras palavras, se a extenso do arquivo estiver entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre aqueles a serem bloqueados, ento o arquivo dever ser bloqueado pelo Web Gateway. O tipo MIME usado para indicar o tipo de dado que est no corpo de uma resposta em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo e o segundo indica o subtipo. O navegador usa esta informao para decidir como mostrar a informao que ele recebeu do mesmo modo como o sistema operacional usa a extenso do nome do arquivo.
Aker Security Solutions
185
Sites Excludos: Deve-se escolher a operao e o texto a ser includo para anlise. Sites que se enquadrarem na lista de excludos no sero analisados. Opes de operao:
Figura 126 Opes de operao URL Bloqueada: Permitir a configurao de qual ao deve ser executada pelo Web Gateway quando um usurio tentar acessar uma URL no permitida. Ela consiste das seguintes: opes: Mostra mensagem padro ao bloquear URL: Ao selecionar essa opo, o Web Gateway mostrar uma mensagem de erro informando que a URL que se tentou acessar se encontra bloqueada. Redireciona URL bloqueada: Ao selecionar essa opo, o Web Gateway redirecionar todas as tentativas de acesso a URLs bloqueadas para uma URL especificada pelo administrador. Nesse caso, deve-se especificar a URL para quais os acessos bloqueados sero redirecionados (sem o prefixo http://) no campo abaixo. Mostrar: Essa opo permite definir a pgina que ser mostrada ao usurio, quando a tentativa de acesso a uma URL for bloqueada. Ento pode-se optar em mostrar a pgina padro ou redirecionar para a pgina escolhida, que
Aker Security Solutions
186
ser personalizada de acordo com os chekboxs selecionados. Segue abaixo a descrio de cada opo e o detalhamento das variveis criadas. Cada um desses checkbox selecionado, um parmetro. Isso utilizado para identificar aonde e porque a pgina foi bloqueada, por exemplo, se a pgina foi bloqueada porque caiu em alguma categoria, passar por parmetro qual a categoria que causou o bloqueio da pgina. Domnio: Ao selecionar essa opo ser mostrada o domnio da URL. Exemplo: Na url www.aker.com.br, o seu domnio seria aker.com.br. Ao selecionar o domnio, criada a varivel domain. Mtodo: Informa qual o mtodo utilizado pelo protocolo HTTP. Ex: GET, PUT, POST. Ao selecionar o Mtodo criada a varivel method. Nome do Perfil: Nome dado, pelo usurio, ao perfil escolhido. Ao selecionar essa opo criada a varivel perfil. Ip do usurio: Endereo IP do usurio que tentou acessar a URL que foi bloqueada. Ao selecionar o Mtodo criada a varivel ip. Razes: Ao selecionar a Razo criada a varivel reason. Ao habilitar essa opo ser mostrada a razo do bloqueio do site. Por exemplo, temos as seguintes razes:
"categoria da URL", "regra de bloqueio", "quota bytes excedidos", "quota bytes insuficientes", "quota tempo excedido", "tipo de objeto nao permitido", "tipo de arquivo nao permitido globalmente", "tipo de arquivo nao permitido no perfil", "connect para a porta especificada nao permitido"
Nome da Categoria: Nome da Categoria que a URL foi associada. Ao selecionar a Categoria criada a varivel cats. Nome do Usurio: Nome do usurio que tentou acessar a URL. Ao selecionar o nome do usurio criada a varivel user. Nmero da regra: Nmero da Regra de Filtragem que a URL se enquadrou. Ao selecionar o nmero da regra criada a varivel rule. Site da URL bloqueado: Mostra a URL que o usurio tentou acessar e foi bloqueada. Ao selecionar o Site da URL bloqueado criada a varivel url.
Aker Security Solutions
187
No preview, aparece como ser a URL e o que ser enviado via mtodo GET. MSN Messenger
Figura 127 MSM Messenger (Perfis) Essa pasta permite configurar as opes de uso do MSN Messenger e seus servios. Para mais informaes, veja o captulo Configurando o Proxy MSN. As seguintes opes esto disponveis: Permite Messenger: Se esta opo estiver desmarcada, os usurios que pertencerem a este perfil no podero acessar o Messenger, mesmo que exista uma regra de filtragem permitindo este acesso. fundamental que o tipo mime do Messenger esteja bloqueado no proxy HTTP, caso contrrio poder ser possvel acessar o Messenger atravs deste servio. Esta opo de bloqueio j vem configurada como padro, mas importante atentar a isso caso se realize configuraes no proxy HTTP. No Filtrado: Esta opo s estar disponvel caso a caixa Permite Messenger esteja ativa. Ela indica que o usurio poder usar MSN Messenger, sem nenhum tipo de filtragem (ex: tempo de conversao, etc.). Filtrado: Esta opo s estar disponvel caso a caixa Permite Messenger esteja ativa. Ela indica que o usurio poder usar o MSN Messenger, porm de forma controlada, ou seja, definida atravs das regras de filtragem para este servio.
Aker Security Solutions
188
Permite notificaes do Hotmail: Esta opo (que s estar ativa caso o acesso filtrado ao MSN Messenger tenha sido selecionado) permite que o usurio receba notificaes de mensagens disponveis no Hotmail. Incluir conversas nos registros de log: Esta opo registrar todas as conversas entre os usurios. Bloquear verso: Estas opes permitem que sejam bloqueadas as verses especficas do cliente MSN Messenger. Caso tenha selecionado a opo de acesso controlado ao Messenger, necessrio criar uma ou mais regras para definir que tipo de acesso ser permitido. Para executar qualquer operao sobre uma regra, basta clicar sobre ela com o boto direito e a seguir escolher a opo desejada no menu que ir aparecer. As seguintes opes esto disponveis:
Figura 128 Menu de opes (MSN Messenger) Inserir: Permitir a incluso de uma nova regra na lista. Excluir: Remover da lista a regra selecionada. Copiar: Copiar a regra selecionada para uma rea temporria. Colar: Copiar a regra da rea temporria para a lista. Desabilitar: Ativar ou desativar a regra selecionada na lista. Cada regra MSN consiste das seguintes opes: Origem: Endereo de e-mail do usurio que enviou a mensagem, ou seja que iniciou a conversa. Destino: Nesta coluna pode-se controlar com quem os usurios internos iro conversar, para isso deve-se inserir uma ou mais entidades do tipo Lista de e-mails (para maiores informaes veja o captulo (Cadastrando entidades), contendo a lista de e-mails ou domnios liberados. Tipos de Arquivos Permitidos: Nesta coluna pode-se definir que tipos de arquivos podem ser enviados/recebidos atravs do Messenger. Para isso deve-se inserir uma ou mais entidades do tipo Lista de Tipo de Arquivo (para maiores informaes veja o captulo Cadastrando entidades), contendo a lista de tipos de arquivos permitidos. Servios Permitidos: Nesta coluna pode-se especificar quais servios adicionais podem ser utilizados atravs do Messenger. A definio dos tipos de servios
Aker Security Solutions
189
possveis feita dentro da configurao do proxy MSN. Para maiores informaes veja o captulo Configurando o proxy MSN. Log: Se estiver marcado, informao sobre as conversas de todos os usurios sero registradas. Os seguintes dados estaro disponveis no log: logon/logoff de usurio, transferncia de arquivos, utilizao de servio adicional e incio e fim de conversa.
Pastas compartilhadas: Nesta opo opta por permitir ou no que o usurio compartilhe pastas no MSN. Tabela de Horrios: Horrio em que o usurio poder utilizar o servio Messenger, dividido nas 24 horas do dia. Caso seja desejado possvel copiar o horrio padro do perfil de acesso, clicando-se com o boto direito sobre a tabela de horrios e selecionando-se a opo Usar tabela de horrio padro do perfil. Ao: Define a ao a ser executado caso o endereo que o usurio desejou acessar no se encaixe em nenhuma regra de filtragem. Consiste em duas opes. Permitir: Se esta opo for a selecionada, ento o Web Gateway aceitar as URLs que no se enquadrarem em nenhuma regra. Bloquear: Se esta opo for a selecionada, ento o Web Gateway rejeitar as URLs que no se enquadrarem em nenhuma regra. Quota: As Quotas so utilizadas para controlar e racionalizar o tempo gasto pelos funcionrios, com acesso sites da WEB. Assim as quotas so os limites em termos de tempo de acesso e volume de dados, por usurio. Nessa opo permite associar ao usurio alguma entidade quota criada.
Aker Security Solutions
190
11.3. Associando Usurios com Perfis de Acesso Uma vez que os perfis de acesso esto criados, torna-se necessrio associ-los a usurios e grupos de um ou mais autenticadores ou autoridades certificadoras do Aker Web Gateway. Isto feito atravs da janela de controle de acesso. Para ter acesso a janela de controle de acesso deve-se:
Figura 129 Configuraes (Autenticao) Clicar no menu Configuraes da janela principal Selecionar o item Autenticao Selecionar a pasta Controle de Acesso
Aker Security Solutions
191
Aba Controle de Acesso
Figura 130 Autenticao A janela de controle de acesso permite que seja criada a associao de usurios/grupos com um perfil de acesso. Na parte inferior da janela existe um campo chamado Perfil Padro onde possvel selecionar o perfil que ser associado aos usurios, que no se enquadrem em nenhuma regra de associao. A ltima coluna, quando preenchida, especifica redes e mquinas onde a associao vlida. Se o usurio se encaixar na regra, mas estiver em um endereo IP fora das redes e mquinas cadastradas, ento a regra ser pulada, permitindo a atribuio de outro perfil ao usurio. Esse tipo de restrio muito til para permitir acesso reas sensveis da rede apenas de alguns locais fsicos com segurana aumentada. Para associar um usurio ou grupo com um determinado perfil de acesso, deve-se proceder da seguinte maneira: 1. Clicar com o boto direito do mouse na lista de regras e selecionar a opo Inserir. 2. Selecionar o autenticador do qual se deseja obter a lista de usurios ou grupos, clicando-se com o boto direito no campo Autenticador. Para maiores
Aker Security Solutions
192
informaes sobre os autenticadores, veja o captulo intitulado Configurando parmetros de autenticao. 3. Clicar com o boto direito sobre o campo Usurio/Grupo e selecionar entre listagem de usurios ou grupos e sua lista ser montada automaticamente a partir do autenticador selecionado. A partir da lista selecionar o usurio ou grupo desejado.
Figura 131 Escolha de usurio
4. Clicar com o boto direito sobre o campo Perfil para selecionar o perfil desejado, conforme o menu abaixo:
Figura 132 Menu de opes
Aker Security Solutions
193
5. Caso deseje, arraste algumas entidades mquina, rede ou conjuntos para o campo entidades. Se o usurio estiver fora dessas entidades, a regra ser pulada. Para remover uma regra entre um usurio/grupo e um perfil, deve-se proceder da seguinte maneira: 1. Clicar na regra a ser removida, na lista da janela. 2. Clicar no boto Apagar. Para alterar a posio de uma regra dentro da lista, deve-se proceder da seguinte forma: 1. Clicar na regra a ser movida de posio. 2. Arrastar para a posio desejada. A ordem das associaes na lista de fundamental importncia. Quando um usurio se autenticar, o Aker Web Gateway pesquisar a lista a partir do incio procurando pelo nome desse usurio ou por um grupo de que ele faa parte. To logo um desses seja encontrado o perfil associado ao mesmo ser utilizado. Aba Controle de Acesso por IP
Figura 133 Autenticao (Aba Controle de Acesso)
Aker Security Solutions
194
O Aker Web Gateway pode controlar os acessos por intermdio de endereos IP conhecidos juntamente com perfis criados para este fim. Esta aba permite a habilitao e a desabilitao individual das regras que configuram a autenticao por Ip, no sendo mais necessrio ter que remov-las para desabilit-las, podendo ser habilitada ou desabilitada por meio da opo no menu suspenso ou por meio do boto localizado na barra de tarefas. preciso escolher uma entidade rede ou uma entidade mquina, que definiro a origem do trfego e associ-las ao perfil, de forma que o trfego originrio dessas entidades no precisaro de autenticao por usurio. O Acesso por IP estar habilitado sempre que houver pelo menos uma regra habilitada nesta aba.
Aker Security Solutions
195
"isualizando Usurios Conectados
Aker Security Solutions
196
12. Perfil de Acesso de Usurios Neste captulo mostraremos a opo de visualizar os usurios conectados no Aker Web Gateway. 12.1. Visualizando e Removendo Usurios Logados no Aker Web Gateway possvel visualizar a qualquer momento os usurios que possuem sesso estabelecida com o Aker Web Gateway, atravs do cliente de autenticao, e remover uma destas sesses. Isto feito atravs da janela de usurios logados. Para ter acesso a janela de usurios logados deve-se:
Figura 134 Informao ( Usurios conectados) Clicar no menu Informao da janela de administrao do Aker Web Gateway Selecionar Usurios Conectados
Aker Security Solutions
197
A janela de Usurios Conectados
Figura 135 Usurios conectados Esta janela consiste de uma lista com uma entrada para cada usurio. Na parte inferior da janela mostrada uma mensagem informando o nmero total de usurios com sesses estabelecidas um determinado instante. Para os usurios logados via Secure Roaming, sero mostrados tambm os dados da conexo (endereo IP e portas) junto com o estado de estabelecimento da mesma. O boto OK faz com que a janela de usurios seja fechada. O boto Cancelar fecha a janela. A caixa Itens selecionados no topo coloca os itens que foram selecionados para o topo da janela de usurios conectados. Barra de Ferramentas de Usurios Conectados: O boto Atualiza faz com que as informaes mostradas sejam atualizadas periodicamente de forma automtica ou no. Clicando-se sobre ele, alterna-se entre os dois modos de operao. O intervalo de atualizao pode ser configurado mudando-se o valor logo a direita deste campo. O boto Buscar, localizado na barra de ferramentas, permite remover uma sesso de usurio. Para tal deve-se primeiro clicar sobre a sesso que deseja remover e a
Aker Security Solutions
198
seguir clicar neste boto (ele estar desabilitado enquanto no existir nenhuma sesso selecionada). O boto DNS, localizado na barra de ferramentas, acionar o servio de nomes (DNS) para resolver os nomes das mquinas cujos endereos IPs aparecem listados. Cabem ser observados os seguintes pontos: 1. A resoluo de nomes muitas vezes um servio lento e, devido a isso, a traduo dos nomes feita em segundo plano. 2. Muitas vezes, devido a problemas de configurao do DNS reverso (que o utilizado para resolver nomes a partir de endereos IP), no ser possvel a resoluo de certos endereos. Neste caso, os endereos no resolvidos sero mantidos na forma original e ser indicado ao seu lado que eles no possuem DNS reverso configurado. possvel ordenar a lista das sesses por qualquer um de seus campos, bastanto para isso clicar no ttulo do campo. O primeiro click produzir uma ordenao ascendente e o segundo uma ordenao descendente.
Significado dos campos de uma sesso de usurio ativa Cada linha presente na lista de sesses de usurios representa uma sesso. O significado de seus campos o seguinte: cone: mostrado a esquerda do nome de cada usurio e pode assumir trs formas distintas: Cadeado: Este cone indica que o usurio se logou atravs do cliente de criptografia apenas. Usurio: Este cone indica que o usurio se logou atravs do cliente de autenticao apenas. Usurio dentro do cadeado: Este cone indica que o usurio se logou atravs do cliente de autenticao e de criptografia. Mquina: Endereo IP ou nome (caso o DNS esteja ativo) da mquina na qual a sesso foi estabelecida. Nome: Nome do usurio que estabeleceu a sesso. Domnio: Nome do domnio, i.e. autenticador, no qual o usurio se autenticou. Caso o usurio no tenha especificado domnio ao se logar, este campo aparecer em branco. Perfil: Qual o perfil de acesso correspondente a esta sesso. Se este campo est em branco, o usurio se autenticou antes de a tabela de perfis ser alterada, de forma que ele est utilizando um perfil que no existe mais.
Aker Security Solutions
199
Incio: Hora de abertura da sesso. 12.2. Utilizando a Interface Texto A Interface Texto para acesso lista de usurios logados possui as mesmas capacidades da Interface Remota e simples de ser utilizado. Ele o mesmo programa que produz a lista de conexes ativas TCP e UDP, mostrado anteriormente. E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW). Localizao do programa: /aker/bin/awg/fwlist Sintaxe: Aker Web Gateway fwlist - Lista e remove conexoes TCP/UDP e sessoes ativas Uso: fwlist ajuda fwlist mostra [[-w] [TCP]] | [UDP] fwlist mostra [sessoes | roaming | bloqueados | quotas | www] fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destino fwlist remove sessao IP_origem [usuario] fwlist remove bloqueado IP_origem fwlist reinicia [ usuario <nome> ] [ quota <nome> ] [tempo] [volume]
ajuda = mostra esta mensagem mostra = lista as conexoes ou sessoes ativas remove = remove uma conexao ou sessao ativa reinicia = reinicia a quota dos usuarios Exemplo 1: (listando as sesses de usurios logados no Aker Web Gateway) #list mostra sessoes Nome/Dominio Perfil IP origem Inicio -------------------------------------------------------------------------------
Aker Security Solutions
200
administrador/BSB Admin 10.20.1.1 08:11:27 jose.silva/GOA Padrao5 10.45.1.1 07:39:54 joao.souza/POA Padrao3 10.57.1.1 07:58:10 josemaria/GRU Padrao3 10.78.1.1 08:01:02 angelam/BSB 1 Restrito 10.22.1.1 08:48:31 marciam/POA Restrito 10.235.1.1 10:49:44 antonioj/POA Especial 10.42.2.1 06:02:19 operador/BSB Padrao 10.151.2.1 20:44:34 Exemplo 2: (removendo a sesso do usurio logado a partir da mquina 10.19.1.1) #list remove sessao 10.19.1.1 A remocao da sessao foi solicitada ao servidor de usuarios
Aker Security Solutions
201
(uotas
Aker Security Solutions
202
13. Quotas Neste captulo mostraremos como so utilizadas as quotas.
13.1. Utilizando as quotas
O que so quotas? A produtividade dos funcionrios de fundamental importncia para o desenvolvimento e o crescimento de uma empresa. Portanto, os seus recursos de rede devem ser utilizados de forma racional. A partir dessa necessidade, o Aker Web Gateway tornou-se uma ferramenta indispensvel para o controle de acesso s pginas web, que so visitadas pelos empregados de uma corporao. Com o uso desse produto, os usurios s tero acesso sites dentro dos limites estabelecidos pelas quotas de acesso. As Quotas so utilizadas para controlar e racionalizar o tempo gasto pelos funcionrios, com acesso sites da WEB. Assim as quotas so os limites em termos de tempo de acesso e volume de dados, por usurio. Estes limites so definidos na seguinte forma: Quanto a periodicidade de acesso, pode ser definido diariamente, semanalmente e mensalmente; Quanto a quantidade de horas e de dias disponveis; Quanto ao volume de dados de bytes trafegados. Observao 1: A contagem do tempo funciona da seguinte forma: quando o usurio acessa uma pgina, conta um relgio de 31 segundos, se o usurio acessar uma outra pgina, comea a contar do zero, mas no deixar de contar, por exemplo, os 10 segundos que o usurio gastou ao acessar a pgina anterior. Observao 2: Para o consumo de quota, funciona da seguinte forma: no MSN, para cada janela de conversao, o tempo contado separadamente, j na WEB se tiver acessando 10 sites, ser contato somente o tempo de um.
Aker Security Solutions
203
13.2. Editando os parmetros do Uso da Quota
Figura 136 Informao (Uso de quotas) Clicar no menu Informao da janela do Aker Web Gateway Selecionar o item Uso da quota
Aker Security Solutions
204
Visualizao do Uso da quota Agrupamento por usurio
Figura 137 Uso de quotas agrupamento por usurio Esta janela permite mostrar todas as informaes de quota de acesso, especificadas por usurio. Reinicia tempo de todas as quotas do usurio: Ao clicar com o boto direito do mouse em cima do usurio e ao selecionar essa opo zera toda a quota de tempo de acesso para todas as quotas desse usurio. Caso clique em cima da quota, s ser zerado aquela quota especfica referente a esse usurio. Reinicia trfego de todas as quotas do usurio: Ao clicar com o boto direito do mouse em cima do usurio e ao selecionar essa opo opta em zerar todas as quotas de volume de dados desse usurio. Caso clique em cima da quota, s ser zerado aquela quota especfica referente a esse usurio. Reinicia tempo e trfego de todas as quotas do usurio: Ao clicar com o boto direito do mouse em cima do usurio e ao selecionar essa opo opta em zerar toda
Aker Security Solutions
205
quota de tempo de acesso e a quota de volume, para esse usurio. Caso clique em cima da quota, s ser zerado aquela quota especfica referente a esse usurio. Usurio: Usurio para qual foi aplicado a quota. Quota: Nome da quota criada. Tempo: Tempo gasto da quota. Volume: Quantidade de bytes trafegados. Regularidade: Perodo que a quota vai ser aplicada, se diariamente, semanalmente ou mensalmente. Mostra valores relativos: Mostra em forma de porcentagem as quotas gastas. Agrupamento por quota
Figura 138 - Uso de quotas agrupamento por quota Esta janela permite mostrar todas as informaes de quota de acesso, especificados por quota.
Aker Security Solutions
206
Reinicia tempo do usurio: Ao clicar com o boto direito do mouse em cima do usurio e ao selecionar essa opo zera toda a quota de tempo de acesso para todas as quotas desse usurio. Caso clique em cima da quota, s ser zerado aquela quota especfica referente a esse usurio. Reinicia trfego do usurio: Ao clicar com o boto direito do mouse em cima do usurio e ao selecionar essa opo opta em zerar todas as quotas de volume de dados desse usurio. Caso clique em cima da quota, s ser zerado aquela quota especfica referente a esse usurio. Reinicia hora e trfego do usurio: Ao clicar com o boto direito do mouse em cima do usurio e ao selecionar essa opo opta em zerar toda quota de tempo de acesso e a quota de volume, para esse usurio. Caso clique em cima da quota, s ser zerado aquela quota especfica referente a esse usurio. Quota: Nome da quota criada. Usurio: Usurio para qual foi aplicado a quota. Tempo: Tempo gasto da quota. Volume: Quantidade de bytes trafegados. Regularidade: Perodo que a quota vai ser aplicada, se diariamente, semanalmente ou mensalmente. Mostra valores relativos: Mostra em forma de porcentagem os valores das quotas.
Aker Security Solutions
207
Configurando )iltro *e+
Aker Security Solutions
208
14. Configurando Filtro Web Neste captulo mostraremos para que serve e como configurar o Filtro Web. 14.1. Planejando a instalao
O que o Filtro Web do Aker Web Gateway? O Filtro Web um programa especializado do Aker Web Gateway feito para trabalhar com os protocolos que compem a chamada WWW (World Wide Web). Dentre entre estes protocolos, esto o HTTP, HTTPS, FTP e Gopher. Este produto possui como principal funo controlar o acesso dos usurios internos Internet, definindo quais pginas os usurios podero acessar e se podem ou no transferir arquivos, por exemplo. Alm disso, ele pode bloquear tecnologias consideradas perigosas para algumas instalaes como o Active-X TM , scripts (JavaScript) e at applets Java TM . Mais ainda, ele possibilita a remoo dos banners das pginas, de forma a aumentar a sua velocidade de carga e reduzir a utilizao do link. Ele um proxy simultaneamente transparente (apenas para HTTP) e no transparente (para maiores informaes, veja o captulo intitulado Trabalhando com proxies), facilitando a instalao do sistema. Quando utilizado da forma transparente, o proxy normalmente mais rpido de ser configurado do que quando utilizado como um proxy normal, no necessitando de configurao extra nos clientes. Por outro lado, a capacidade de filtrar URLs para os protocolos HTTPS, FTP e GOPHER s existe no proxy normal. Para que o proxy no transparente tenha a mesma performance do transparente, necessrio que os browsers suportem o envio de requisies HTTP 1.1 via proxies. O que um servidor de cache WWW? Um servidor de cache um programa que visa aumentar o velocidade de acesso s pginas da Internet. Para conseguir isso, ele armazena internamente as pginas mais utilizadas pelas diversas mquinas clientes e todas as vezes que recebe uma nova solicitao, ele verifica se a pgina desejada j se encontra armazenada. Caso a pgina esteja disponvel, ela retornada imediatamente, sem a necessidade de consultar o servidor externo, caso contrrio a pgina carregada normalmente do servidor desejado e armazenada, fazendo com que as prximas requisies a esta pgina sejam atendidas rapidamente.
Aker Security Solutions
209
O Filtro Web do Aker Web Gateway trabalhando com um servidor de cache O Aker Web Gateway no implementa por si s um servidor de cache no seu proxy WWW, entretanto ele pode ser configurado para trabalhar com qualquer um que siga os padres de mercado. Este servidor de cache pode estar rodando na prpria mquina onde o Aker Web Gateway se encontra ou em uma mquina separada. Caso utilize-se de um servidor de cache em uma mquina separada (modo de instalao recomendado), esta mquina deve ficar em uma sub-rede diferente de onde esto as mquinas clientes, caso contrrio todo o controle de segurana pode ser facilmente ultrapassado. Este tipo de configurao pode ser visualizado na seguinte figura:
Figura 139 - Conexo (Internet, rede interna, firewall e DMZ. Neste tipo de instalao, para assegurar uma total proteo, basta configurar o servidor de Cache para permitir conexes com origem somente do Aker Web Gateway e no permitir que as mquinas clientes no possam abrir conexes em sua direo. Feito isso, configura-se todas as mquinas clientes para utilizarem o proxy WWW do Aker Web Gateway e configura-se o Aker Web Gateway para utilizar o cache na mquina desejada. Utilizando o Filtro Web Para se utilizar o Filtro web do Aker Web Gateway no modo no transparente (normal), necessria a seguinte sequncia de passos: 1. Criar os perfis de acesso desejados e os associar com os usurios e grupos desejados. Isso foi descrito no captulo chamado Perfis de acesso de usurios.
Aker Security Solutions
210
2. Editar os parmetros de configurao do proxy WWW (isso ser mostrado no tpico chamado Editando os parmetros do Filtro Web). O proxy WWW no transparente escuta conexes na porta 80, utilizando o protocolo TCP. Caso seja necessrio, pode-se alterar este valor para qualquer porta, bastando para isso acrescentar o parmetro -p porta, onde porta o nmero da porta que queira que ele escute, na hora de inici-lo. Esta chamada se encontra no arquivo /aker/Bin/awg/rc.aker, e deve ser alterada de /aker/bin/awg/fwhttppd para /aker/bin/awg/fwhttppd -p 8080, por exemplo. Somente ser gerado eventos de acesso a sites seguros (https) quando estivermos utilizando o Aker Web Gateway como Proxy WWW Ativo, nos browsers dos usurios, para os clientes que utilizam o Aker Web Gateway como proxy WWW Transparente o nico log gerado o de acesso ao host e a porta tcp 443 (https). 14.2. Editando os parmetros do Filtro Web Para utilizar o proxy www, necessrio a definio de alguns parmetros que determinaro caractersticas bsicas de seu funcionamento. Esta definio feita na janela de configurao do Filtro Web. Para acess-la, deve-se:
Figura 140 Aplicao (Filtro Web) Clicar no menu Aplicao da janela do Aker Web Gateway Selecionar o item Filtro Web
A janela de configurao de parmetros do Filtro Web
Aker Security Solutions
211
Figura 141 Filtro Web (aba Geral) O boto OK far com que a janela de configurao do Filtro Web seja fechada e as alteraes salvas. O boto Aplicar enviar para o Aker Web Gateway todas as alteraes feitas porm manter a janela aberta. O boto Cancelar, far com que todas as alteraes feitas sejam desprezadas e a janela seja fechada. O boto Retornar Configurao Inicial - Desconsidera as configuraes personalizadas e retorna ao padro; aplicvel em todas as abas e encontra-se na barra de ferramentas do Aker Web Gateway, bem como o boto Assistente. Aba geral Cache Cache Interno Habilitado: Esta opo permite o AWG funcionar como servidor de cache.
Aker Security Solutions
212
Cache externo Habilitado: Esta opo permite definir se o filtro web ir redirecionar suas requisies para um servidor de cache. Caso esta opo esteja habilitada, todas as requisies recebidas sero repassadas para o servidor de cache, no endereo IP e porta especificados. IP: Este campo especifica o endereo IP dos servidores de cache para onde todos os pedidos sero encaminhados se a opo Cache Externo Habilitado estiver ativa. Porta: Este campo especifica a porta na qual o servidor de cache ir esperar por conexes se a opo Cache Externo Habilitado estiver ativa. Parmetros Esta pasta possibilita ajustar o funcionamento do filtro web para situaes especiais. Ela consiste dos seguintes campos: Autenticar usurios WWW: Este campo ativa ou no a autenticao de usurios do filtro web. Caso ele esteja marcado, ser solicitada ao usurio uma identificao e uma senha todas as vezes que ele tentar iniciar uma sesso e esta somente ser iniciada caso ele seja autenticado por algum dos autenticadores. Utiliza cliente de autenticao em Java: Esta opo instrui o proxy a utilizar o cliente de autenticao em Java, mesmo quando operando de modo no transparente. A vantagem deste cliente permitir que a autenticao do usurio seja completa (como quando se usa o cliente de autenticao para Windows, e no apenas para o filtro web). Caso o usurio esteja utilizando o Cliente de Autenticao Aker para Windows e esteja com uma sesso estabelecida com o Aker Web Gateway, ento no ser solicitado nome nem senha, ou seja, o proxy se comportar como se no estivesse realizando autenticao de usurios, mas ele est de fato fazendo-o. Se a sesso do Cliente de Autenticao for finalizada, ento o proxy solicitar um nome de usurio e senha no prximo acesso. Para o cliente de autenticao em Java funcionar em seu browser, ele deve ter o suporte a Java instalado e habilitado, alm de permitir o uso do protocolo UDP para applets Java. Apenas o Internet Explorer da Microsoft traz esta opo desabilitada por padro, e, para habilit-la voc deve escolher configuraes personalizadas de segurana para Java e liberar o acesso a todos os endereos de rede para applets no assinados. Forar autenticao: Se esta opo estiver marcada o proxy obrigar a autenticao do usurio, ou seja, somente permitir acesso para usurios autenticados. Se ela estiver desmarcada e um usurio desejar se autenticar, ele poder faz-lo (para ganhar um perfil diferente do padro), mas acessos no identificados sero permitidos.
Aker Security Solutions
213
Tempos Limite Leitura: Definir o tempo mximo, em segundos, que o proxy aguarda por uma requisio do cliente, a partir do momento que uma nova conexo for estabelecida. Caso este tempo seja atingido sem que o cliente faa uma requisio, a conexo ser cancelada. Resposta: Definir o tempo mximo, em segundos, que o proxy aguarda por uma resposta de uma requisio enviada para o servidor WWW remoto ou para o servidor de cache, caso a opo habilita cache esteja ativa. Caso este tempo seja atingido sem que o servidor comece a transmitir uma resposta, a conexo com o servidor ser cancelada e o cliente receber uma mensagem de erro. HTTPS: Definir o tempo mximo, em segundos, que o proxy pode ficar sem receber dados do cliente ou do servidor em uma conexo HTTPS, sem que ele considere a conexo inativa e a cancele. Manter ativo: Definir quanto tempo um usurio pode manter uma conexo keep- alive (HTTP 1.1) com o proxy inativa, antes que o proxy a encerre, liberando o processo para outro usurio. Recomenda-se manter este tempo bastante baixo, para evitar o uso desnecessrio de todos os processos do sistema. Timeout das sesses web: Indica quanto tempo uma sesso web vai ficar sendo monitorada, permitindo ao administrador do Aker Web Gateway saber quais so as sesses web ativas do seu Aker Web Gateway. Exemplo: Se for marcado 30 segundos nesse campo, a janela de sesses web (information > web sessions) s vai mostrar as sesses ativas dos ltimos 30 segundos. Performance Nmero de processos: Definir o nmero de processos do proxy WWW que vo permanecer ativos aguardando conexes. Como cada processo atende uma nica conexo, este campo tambm define o nmero mximo de requisies que podem ser atendidas simultaneamente. No permitir transferncias comprimidas (menos CPU, maior largura de banda): Permite que o Aker Web Gateway no aceite transferncias do Filtro Web que tenham dados compactados. Em uma requisio HTTP, pode ser especificado que os dados venham compactados. Caso os dados venham comprimidos, caso exista ActiveX, java ou Java script compactados, o Aker Web Gateway precisa descompact-los para fazer a anlise dos dados, por isso que nesses casos, essa opo bastante importante. O mais aconselhado deixar esta opo desmarcada, pois o padro da janela.
Aker Security Solutions
214
Logar toda URL aceita: Permite que o Web Gateway logue todas as URL que so realizadas um mtodo (GET, POST e etc), sendo assim teremos um volume de logs muito maior para gerao de relatrios e contabilizao de Quotas. Exemplo: com esta opo desmarcado o acesso ao endereo http://www.terra.com.br ser gerado apenas um log informando o acesso ao portal, j com a opo marcada ser gerado logs para cada GET que o browser faz para receber todo o site.
Por razes de performance, os processos do proxy WWW ficaro ativos sempre, independente de estarem ou no atendendo requisies. Isto feito com o objetivo de aumentar a performance. Normalmente, deve-se trabalhar com valores entre 5 e 60 neste campo, dependendo do nmero de mquinas clientes que utilizaro o proxy (cabe ressaltar que uma nica mquina costuma abrir at 4 conexes simultneas ao acessar uma nica pgina WWW). O valor 0 inviabiliza a utilizao do proxy.
Quotas
Interromper transferncias caso a quota seja excedida: Essa opo permite interromper a transferncia dos arquivos caso a quota tenha excedido. Caso essa opo no esteja marcada o Aker Web Gateway vai verificar a quota do usurio antes que ele comece a fazer download. Exemplo: Se o usurio tiver 50 MB de quota, e quer fazer um download de um arquivo de 100 MB, com certeza ele no ir conseguir finalizar essa transferncia. Todas s vezes que essa opo estiver marcada, e for mais de um download simultneo ou um download que seu tamanho no foi informado, o Aker Web Gateway vai deixar ele fazer o download mas vai interromper antes do trmino.
Contabilizar durao de download: Permite que o tempo da quota seja "gasto" enquanto durar o tempo do download, por exemplo, se o usurio quiser fazer o download de uma arquivo de 100 MB e esse download levar 30 minutos, vo ser gastos 100 MB de volume e 30 minutos de tempo da quota, caso essa opo no esteja marcada, s vo ser gastos 100 MB, e no os 30 minutos. Normalmente o tempo de quota s utilizado quando o usurio fica navegando, mandando mensagens pelo MSN e etc. Quando ele est fazendo o download de um arquivo grande, no gasto o tempo de sua quota, somente o volume de bytes.
Aker Security Solutions
215
Arquivos
Permitir a retomada de transferncia de arquivo: Est opo dever ser selecionada caso o usurio queira permitir, que um download continue de onde havia parado. Aba Cliente de Autenticao
Figura 142 Filtro Web (aba Cliente de autenticao)
Esta aba serve para compor o Layout da janela de autenticao do Aker Web Gateway. Ttulo da janela de autenticao: Este campo ir aparecer como ttulo da aplicao de autenticao Java. Autenticao: Este campo composto por duas opes que sero disponibilizadas para o usurio quando do logon no Aker Web Gateway; e poder se conectar habilitando-o:
Aker Security Solutions
216
Mostrar boto S/Key - Esta opo permite que os usurios se autentiquem usando S/Key Mostrar campo domnio - O usurio informar o domnio para logar-se no proxy www. Logotipo Usar logo personalizado: Neste caso ao marcar esta opo, ser preciso indicar o caminho que se encontra a logotipo. Sendo possvel acompanhar as mudanas na Visualizao. Mostrar tela de splash antes da janela de autenticao: Ao selecionar esse campo, opta-se por mostrar uma tela de apresentao que antecede a janela de autenticao. Mostrar tela de splash antes da janela de autenticao: Esta opo exibe uma janela com a URL especificada aps solicitar a autenticao do usurio atravs do cliente de autenticao em Java. URL: Nesse campo informado o link da tela de splash.
Aker Security Solutions
217
Aba controle de contedo
Figura 143 Filtro web (aba Controle de contedo) Analisador de URL: Especificar o agente analisador de URLs que ser utilizado para categorizar as pginas da Internet. Esse agente deve ter sido previamente cadastrado no Aker Web Gateway. Para maiores informaes veja o captulo intitulado Cadastrando entidades. Ignorar erros do analisador de URL (pode permitir a passagem de dados no autorizados): Quando este campo estiver selecionado, havendo um erro de categorizao de URLs, o AWG permitir o acesso URL que originou o erro, caso contrrio, se o campo estiver desmarcado, o AWG bloquear o acesso URL. URL Bloqueada: Permitir a configurao de qual ao deve ser executada pelo Aker Web Gateway quando um usurio tentar acessar uma URL no permitida. Ela consiste das seguintes opes:
Aker Security Solutions
218
Mostra mensagem dafault ao bloquear URL: Ao selecionar essa opo, o Aker Web Gateway mostrar uma mensagem de erro informando que a URL que se tentou acessar se encontra bloqueada. Redirecionar URL bloqueada: Ao selecionar essa opo, o Aker Web Gateway redirecionar todas as tentativas de acesso as URLs bloqueadas para uma URL especificada pelo administrador. Nesse caso, deve-se especificar a URL para qual os acessos bloqueados sero redirecionados (sem o prefixo http://) no campo abaixo. Mostrar: Essa opo permite definir a pgina que ser mostrada ao usurio, quando a tentativa de acesso a uma URL for bloqueada. Ento pode-se optar em mostrar a pgina padro ou redirecionar para a pgina escolhida, que ser personalizada de acordo com os chekboxs selecionados. Segue abaixo a descrio de cada opo e o detalhamentos das variveis criadas. Cada um desses checkbox selecionado, um parmetro. Isso utilizado para identificar aonde e porque a pgina foi bloqueada, por exemplo, se a pgina foi bloqueada porque caiu em alguma categoria, passar por parmetro qual a categoria que causou o bloqueio da pgina. Domnio: Ao selecionar essa opo ser mostrada o domnio da URL. Exemplo: Na url www.aker.com.br, o seu domnio seria aker.com.br. Ao selecionar o domnio, criada a varivel domain. Mtodo: Informa qual o mtodo utilizado pelo protocolo HTTP. Ex: GET, PUT, POST. Ao selecionar o Mtodo criada a varivel method. Nome do Perfil: Nome dado, pelo usurio, ao perfil escolhido. Ao selecionar essa opo criada a varivel profile. Ip do usurio: Endereo IP do usurio que tentou acessar a URL que foi bloqueada. Ao selecionar o Mtodo criada a varivel ip. Razes: Ao selecionar a Razo criada a varivel reason. Ao habilitar essa opo ser mostrada a razo do bloqueio do site. Por exemplo temos as seguintes razes: "categoria da URL", "regra de bloqueio", "quota bytes excedidos", "quota bytes insuficientes", "quota tempo excedido", "tipo de objeto nao permitido", "tipo de arquivo nao permitido globalmente", "tipo de arquivo nao permitido no perfil", "connect para a porta especificada nao permitido"
Nome da Categoria: Nome da Categoria que a URL foi associada. Ao selecionar a Categoria criada a varivel cats.
Aker Security Solutions
219
Nome do Usurio: Nome do usurio que tentou acessar a URL. Ao selecionar o Nome do usurio criada a varivel user.
Nmero da regra: Nmero da Regra de Filtragem que a URL se enquadrou. Ao selecionar o nmero da regra criada a varivel rule.
URL do site bloqueado: Mostra a URL que o usurio tentou acessar e foi bloqueada. Ao selecionar o Site da URL bloqueado criada a varivel url.
No preview, aparece como ser a URL e o que ser enviado via mtodo GET.
Aker Security Solutions
220
Aba tipos de arquivos
Figura 144 Filtro web (aba Tipos de Arquivo) Opo Arquivos Bloqueados Especificar os arquivos que sero bloqueados pelo Filtro Web. possvel utilizar dois critrios complementares para decidir se um arquivo transferido deve ser bloqueado: a extenso do arquivo ou seu tipo MIME. Se um destes critrios for atendido, em outras palavras, se a extenso do arquivo estiver entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre aqueles a serem bloqueados, ento o arquivo dever ser bloqueado pelo Aker web Gateway. O tipo MIME usado para indicar o tipo de dado que est no corpo de uma resposta em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo e o segundo indica o subtipo. O navegador usa esta informao para decidir como mostrar a informao que ele recebeu do mesmo modo como o sistema operacional usa a extenso do nome do arquivo.
Aker Security Solutions
221
URL Bloqueada: Permitir a configurao de qual ao deve ser executada pelo Web Gateway quando um usurio tentar acessar uma URL no permitida. Ela consiste das seguintes: opes: Mostra mensagem padro ao bloquear URL: Ao selecionar essa opo, o Aker Web Gateway mostrar uma mensagem de erro informando que a URL que se tentou acessar se encontra bloqueada. Redireciona URL bloqueada: Ao selecionar essa opo, o Aker Web Gateway redirecionar todas as tentativas de acesso a URLs bloqueadas para uma URL especificada pelo administrador. Nesse caso, deve-se especificar a URL para quais os acessos bloqueados sero redirecionados (sem o prefixo http://) no campo abaixo. Mostrar: Essa opo permite definir a pgina que ser mostrada ao usurio, quando a tentativa de acesso a uma URL for bloqueada. Ento pode-se optar em mostrar a pgina padro ou redirecionar para a pgina escolhida, que ser personalizada de acordo com os chekboxs selecionados. Segue abaixo a descrio de cada opo e o detalhamento das variveis criadas. Cada um desses checkbox selecionado, um parmetro. Isso utilizado para identificar aonde e porque a pgina foi bloqueada, por exemplo, se a pgina foi bloqueada porque caiu em alguma categoria, passar por parmetro qual a categoria que causou o bloqueio da pgina. Domnio: Ao selecionar essa opo ser mostrada o domnio da URL. Exemplo: Na url www.aker.com.br, o seu domnio seria aker.com.br. Ao selecionar o domnio, criada a varivel domain. Mtodo: Informa qual o mtodo utilizado pelo protocolo HTTP. Ex: GET, PUT, POST. Ao selecionar o Mtodo criada a varivel method. Nome do Perfil: Nome dado, pelo usurio, ao perfil escolhido. Ao selecionar essa opo criada a varivel perfil. Ip do usurio: Endereo IP do usurio que tentou acessar a URL que foi bloqueada. Ao selecionar o Mtodo criada a varivel ip. Razes: Ao selecionar a Razo criada a varivel reason. Ao habilitar essa opo ser mostrada a razo do bloqueio do site. Por exemplo, temos as seguintes razes:
"categoria da URL", "regra de bloqueio", "quota bytes excedidos", "quota bytes insuficientes", "quota tempo excedido", "tipo de objeto nao permitido",
Aker Security Solutions
222
"tipo de arquivo nao permitido globalmente", "tipo de arquivo nao permitido no perfil", "connect para a porta especificada nao permitido"
Nome da Categoria: Nome da Categoria que a URL foi associada. Ao selecionar a Categoria criada a varivel cats. Nome do Usurio: Nome do usurio que tentou acessar a URL. Ao selecionar o nome do usurio criada a varivel user. Nmero da regra: Nmero da Regra de Filtragem que a URL se enquadrou. Ao selecionar o nmero da regra criada a varivel rule. Site da URL bloqueado: Mostra a URL que o usurio tentou acessar e foi bloqueada. Ao selecionar o Site da URL bloqueado criada a varivel url.
No preview, aparece como ser a URL e o que ser enviado via mtodo GET. Opo Downloads Especificar os arquivos que sero analisados contra vrus pelo Download manager do Aker Web Gateway, ou seja, para os quais o Aker Web Gateway mostrar ao usurio uma pgina web com o status do download do arquivo e realizar seu download em background. Esta opo interessante para arquivos potencialmente grandes (arquivos compactados, por exemplo) ou para arquivos que normalmente no so visualizveis de forma on-line pelo navegador. possvel utilizar dois critrios complementares para decidir se um arquivo transferido deve ser analisado: a extenso do arquivo e seu tipo MIME. Se um destes critrios for atendido, em outras palavras, se a extenso do arquivo estiver entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre aqueles a serem analisados, ento o arquivo dever ser analisado pelo Aker Web Gateway. O tipo MIME usado para indicar o tipo de dado que est no corpo de uma resposta em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo e o segundo indica o subtipo. O navegador usa esta informao para decidir como mostrar a informao que ele recebeu, do mesmo modo como o sistema operacional usa a extenso do nome do arquivo. Sites Excludos: Deve-se escolher a operao e o texto a ser includo para anlise. Sites que se enquadrarem na lista de excludos no sero analisados.
Aker Security Solutions
223
Opes de operao:
Figura 145 Opes de operao Configuraes: Anexos Encriptados: Deve-se escolher entre aceitar ou rejeitar um anexo encriptado. Anexos Corrompidos: Deve-se escolher entre aceitar ou rejeitar um anexo corrompidos. Opo Av Online Da mesma maneira que em downloads o administrador do Aker Web Gateway deve escolher os tipos MIME e as extenses. Na configurao padro do Aker Web Gateway so cadastrados os seguintes tipos conforme a figura abaixo:
Aker Security Solutions
224
Figura 146 Filtro web (aba Tipo de Arquivo AV On Line) As demais opes so iguais aos campos descritos na aba download.
Aker Security Solutions
225
Aba Antivrus
Figura 147 Filtro web (aba Antivrus) Habilitar antivrus: Ao selecionar essa caixa, permitir que o Aker Web Gateway faa a verificao antivrus dos contedos que tiverem sendo baixados. O boto Retornar configurao padro restaura a configurao original do Aker Web Gateway para esta pasta. Agente antivrus utilizado: Permitir a escolha de um agente antivrus previamente cadastrado para realizar a verificao de vrus. Esse agente deve ter sido previamente cadastrado no Aker Web Gateway. Para maiores informaes veja o captulo intitulado Cadastrando entidades. Ignorar erros online do antivrus (podem permitir a passagem de anexos contaminados): Quando este campo estiver selecionado, se houver um erro de anlise do antivrus no trfego on-line, o mesmo no bloquear o contedo, permitindo a transferncia dos dados. Caso o campo no esteja marcado, a transferncia de dados ser bloqueada.
Aker Security Solutions
226
Ignorar erros de download do antivrus (pode permitir a passagem de anexos contaminados): Quando este campo estiver selecionado, se houver erro de anlise do antivrus no trfego on-line, o mesmo no bloquear o download, permitindo a transferncia dos dados. Caso o campo no esteja marcado, o download ser bloqueado. Habilitar janela de progresso do antivrus: Esta opo permite desabilitar o Download manager do Aker Web Gateway. Intervalo de atualizao do status: Esta opo determina o tempo em a pgina de download exibida pelo Aker Web Gateway deve ser atualizada. Nmero de tentativas: Nmero mximo de tentativas de download para cada arquivo, caso seja necessrio tentar mais de uma vez. Nmero mximo de downloads simultneos: Configura o nmero mximo de downloads simultneos que o Aker Web Gateway ir permitir. Anlise de Vrus: Esta opo utilizada para mostrar uma pgina caso seja encontrado um vrus durante a anlise do antivrus. A pgina poder ser a do prprio Aker Web Gateway ou personalizada pelo usurio. possvel personalizar a mensagem para cada tipo de vrus encontrado, bastando utilizar a string {VIR} que ser substituda pelo nome do vrus. Mostrar URL padro quando um vrus for encontrado: Quando marcada, esta opo determina que, quando um vrus for encontrado, a pgina web ser redirecionada para uma pgina padro do Aker Web Gateway.
Redirecionar para: Ao selecionar esta opo, permite determinar que quando um vrus for encontrado, a pgina web ser redirecionada para uma pgina especificada pelo usurio. Caso a url informada possua o texto "{VIR}", este texto ser substitudo pelo nome do vrus encontrado, possibilitando que seja mostrada uma pgina personalizada, de acordo com o vrus encontrado. O Aker Antivrus Module suporta diversas opes de varredura de vrus, worms, dialers, hoax, cavalo de troia e analise heursticas, abaixo segue uma lista de opes suportadas: Opes de anlise: Utilizado para selecionar quais os tipos de bloqueio que devem ser realizados (Spywares, Jokes, Dialers, Ferramentas Hacker) e se ser ou no utilizado um mtodo de deteco heurstico (caso seja marcado, poder ser utilizado s opes baixo, mdio ou alto); Habilitar anlise heurstica: A Heurstica um conjunto de regras e mtodos que podem levar o parceiro instalado a detectar um vrus sem a necessidade de uma base de assinaturas de vrus, ou seja, um algoritmo
Aker Security Solutions
227
capaz de detectar programas maliciosos baseando-se em seu comportamento; Detectar Malware: Habilita a analise de programas maliciosos e ferramentas hackers. Varredura de Arquivos: Habilitado: Permite habilitar a anlise do contedo de arquivos compactados; Nvel Mximo de profundidade: Define o nvel mximo de recurso ao analisar um arquivo compactado; Tamanho mximo do Arquivo: Define o tamanho mximo permitido de um arquivo a ser analisado dentro de um arquivo compactado; Nmero Mximo de Arquivos: Define a quantidade mxima de arquivos a serem analisados dentro de um arquivo compactado. O Aker Antivrus Module suporta a analise de arquivos compactados das seguintes extenses: ZIP, ARJ, LHA, Microsoft CAB, ZOO, ARC, LZOP, RAR, BZIP2, UPX, AsPack, PEPack, Petite, Telock, FSG, Crunch, WWWPack32, DOC, PDF, TAR, QUAKE, RTF, CHM, 7Zip, CPIO, Gzip, MS OLE2, MS Cabinet Files (+ SFX), MS SZDD compression format, BinHex, SIS (SymbianOS packages), AutoIt, NSIS, InstallShield.
Aker Security Solutions
228
Aba SSL
Figura 148 Filtro web (aba SSL)
Controle SSL(proxy Ativo): Permitir a definio das portas de conexo segura (https) que sero aceitas pelo Aker Web Gateway. Caso um cliente tente abrir uma conexo para uma porta no permitida, o Aker Web Gateway mostrar uma mensagem de erro e no possibilitar o acesso. Caso queira utilizar apenas a porta padro (443), deve-se selecionar a primeira opo. Essa a configurao a ser utilizada na grande maioria dos sistemas. A opo Permite HTTPS para todas as portas indica ao Aker Web Gateway que ele deve aceitar conexes HTTPS para quaisquer portas. Essa configurao no recomendada para nenhum ambiente que necessite de um nvel de segurana razovel, j que possvel para um usurio utilizar o proxy para acessar servios no permitidos simulando uma conexo HTTPS. Por ltimo, existe a opo Permite HTTPS para as entidades abaixo que possibilita ao administrador definir exatamente quais portas sero permitidas. Nesse
Aker Security Solutions
229
caso devem ser cadastradas as entidades correspondentes aos servios desejados. Para maiores informaes, veja o captulo intitulado Cadastrando Entidades. Aba Avanado Filtro de Navegador
Figura 149 Filtro web (aba Avanado - Filtro de navegador) Ao selecionar a opo Filtro de navegador habilitado, permite ao usurio aceitar ou rejeitar os navegadores inseridos na lista.
Essa lista criada pelo prprio usurio e nela devem ser inseridos os vrios tipos de navegadores que se deseja bloquear ou liberar, abaixo segue um exemplo de como devem ser includos: Internet Explorer 6: " MSIE 6.0 "; Internet Explorer 7: " MSIE 7.0"; Internet Explorer (qualquer um): " MSIE "; Media Player: " Windows-Media-Player "; Firefox: " Firefox "; Firefox 2: " Firefox/2 ".
Aker Security Solutions
230
A validao do browser feita ANTES do header stripping, assim sendo possvel substituir verso por uma string fixa sem perder esta filtragem. Reescrita de URLs
Figura 150 Filtro web (aba Avanado Reescrita de URLs) A reescrita de URL semelhante ao redirecionamento de sites. um processo interno ao servidor web que funciona de forma transparente resolvendo os problemas com links quebrados no site web. No campo URL anterior como o prprio o nome j diz deve ser informado o endereo que ser traduzido para um novo endereo informado no campo. URL reescrita. Por exemplo: URL anterior: www.aker.com.br URL reescrita: www.aker.security.com.br Stripping do cabealho HTTP
Aker Security Solutions
231
Figura 151 Filtro web (aba Avanado Stripping do cabealho HTTP) Essa opo permite remover e modificar partes do Header. Potencialmente aumenta a segurana interna, evitando que informaes internas sejam enviadas para fora. Por exemplo: cookies e verso do navegador do usurio. O Header stripping funciona da seguinte forma, todas as linhas do header HTTP so comparadas individualmente com todas as expresses cadastradas. Caso uma se encaixe, a linha substituda e a prxima linha tratada. A primeira linha (com a requisio) no filtrada (ou seja, no comparada com as expresses). O Header Stripping funciona apenas na remoo do header do cliente para o servidor; O Header Stripping realizado imediatamente aps a verso do browser cliente ser verificada e ANTES de todos os demais processamentos do proxy HTTP, sendo assim, o proxy tratar a verso modificada do header (caso ele tenha sido) como o que foi enviado pelo cliente; Seguem abaixo, exemplos de como preencher os campos: O que procurar e o Substituir por: Para a remoo de cookies (sem as aspas): Procurar: " Cookie: * " - Substituir por: "" (nada).
Aker Security Solutions
232
Para esconder a verso dos browsers dos clientes: Procurar: " User-Agent: *\r\n " - Substituir por: " User Agent: Mozilla/4.0\r\n".
A configurao do Header Stripping deve ser feita com muito cuidado j que ele pode potencialmente inviabilizar o uso da Internet.
Deve-se tomar o cuidado de SEMPRE acrescentar um \r\n no final de uma substituio que envolva uma linha.
Aker Security Solutions
233
14.2.1. Editando os parmetros de Cache Para configurar as caches cadastradas necessrio a definio de alguns parmetros que determinaro caractersticas bsicas de seu funcionamento. Esta definio feita na janela de configurao da cache. Para acess-la, deve-se:
Figura 152 Aplicao (Cache) Ao selecionar a opo Habilita Cache Hierrquico, permite configurar as caches cadastradas, dentro do campo Lista de Caches Remotos.
Figura 153 - Cache
Aker Security Solutions
234
Ao clicar dentro da rea branca que se refere a Lista de Caches Remotos, e selecionar a opo insere, aparecer a seguinte tela:
Figura 154 Configurao do nodo de cache Para configurar as caches cadastradas necessrio preencher os seguintes campos: Nome do host: Define o endereo da cache. Tipo: Define a hierarquia de cache, podendo optar pelo "Pai" e pelo "Filho". Porta de Cache: Nmero da porta pelo qual o proxy atende aos seus pedidos. Porta ICP: Utilizada para perguntar a sua vizinhana sobre o estado dos objetos. Logar na cache: Permite definir um usurio e senha, para logar na cache pai e nas caches filhos, para que assim possa obter informaes sobre o estado dos objetos, atravs do protocolo ICP. No buscar na cache os domnios: Nessa opo permite restringir quais os domnios estaro relacionados para cada cache.
Aker Security Solutions
235
14.3. Editando os parmetros Sesses Web
Sesses Web
Figura 155 Sesses web Esta janela permite ao administrador do Aker Web Gateway, visualizar as sesses ativas, verificando o que foi acessado e por quem, no tempo definido na janela de Filtro Web, opo Sesses web. As informaes sero visualizadas e distribudas nos seguintes campos: Tempo: Indica o dia e horrio e a URL que foi acessada. Mquina: Indica a mquina de onde foi acessada a URL. Usurio: Indica o usurio que acessou a URL. Perfil: Indica qual o perfil de acesso que o usurio caiu quando tentou acessar a URL.
Aker Security Solutions
236
Regra: Indica qual a regra de acesso que a URL se enquadrou. Categoria: Indica qual a categoria que a URL se enquadrou. Ao: Indica se as Sesses web que passaram pelo Aker Web Gateway foram aceitas ou rejeitadas.
Aker Security Solutions
237
Configurando pro&y ,S-
Aker Security Solutions
238
15. Configurando o Proxy MSN Neste captulo mostraremos para que serve e como configurar o Proxy MSN.
15.1. Planejando a instalao
O que o MSN Messenger? MSN Messenger, ou apenas MSN, um programa de mensagens instantneas criado pela Microsoft Corporation. O programa permite que um usurio da Internet converse com outro, que tenha o mesmo programa em tempo real, por meio de conversas de texto, voz ou at com vdeo. Ele uma ferramenta gratuita com um grande nmero de funcionalidades, algumas potencialmente prejudiciais ao ambiente coorporativo. O que o proxy MSN - Messenger do Aker Web Gateway? Este proxy possui como funo principal controlar um importante canal de trnsito de informaes que o MSN Messenger, possibilitando que no se abra mo de seu uso, ao mesmo tempo em que se evita a perda de produtividade. Integrado ao sistema de perfis de acesso, esse sistema se adaptar realidade das corporaes, onde cada usurio ter privilgios distintos. As funcionalidades do produto baseiam-se em: Estar integrado ao sistema de perfil de acesso (permitindo controle por usurios e grupos); Definir white-lists e black-lists, por perfil; Controlar o horrio de uso; Controlar o tempo de uso por dia (configurado no perfil) para cada usurio; Controlar o envio/recebimento de arquivo (inclusive por tipo); Controlar convites para outros servios (vdeo, udio, games, etc..). Realizar um log de sesses. Utilizando o proxy MSN O MSN Messenger por padro trabalha na porta TCP 1863, porm tambm pode se conectar aos servidores atravs do protocolo HTTP e SOCKS. O Proxy MSN da Aker controla os dados que trafegaro atravs de um proxy transparente (ver mais detalhes em Trabalhando com proxies). Para utilizar o proxy MSN do Aker Web Gateway necessrio a seguinte sequncia de passos: 1. Definir os parmetros genricos do proxy MSN;
Aker Security Solutions
239
2. Criar os perfis de acesso desejados e associ-los aos usurios e grupos desejados. (Isso foi descrito no captulo chamado Perfis de acesso de usurios); 3. Associar uma regra de filtragem possibilitando que os usurios possam utilizar o servio MSN. 15.2. Editando os parmetros do Proxy Messenger Para utilizar o proxy MSN necessrio a definio de alguns parmetros que determinaro caractersticas bsicas de seu funcionamento. Esta definio feita na janela de configurao do proxy MSN. Para acess-la, deve-se:
Figura 156 Aplicao (Proxy Messenger) Clicar no menu Aplicao da janela de administrao do Aker Web Gateway Selecionar o item Proxy Messenger
Aker Security Solutions
240
A janela de configurao de parmetros do proxy Messenger
Figura 157 Proxy Messenger (aba Tipo de Servio) O boto OK far com que a janela de configurao do proxy MSN seja fechada e as alteraes salvas. O boto Aplicar enviar para o Aker Web Gateway todas as alteraes feitas porm manter a janela aberta. O boto Cancelar, far com que todas as alteraes feitas sejam desprezadas e a janela seja fechada. Essa nova configurao permite com que os usurios do AWG ou do web gateway possam usar o Microsoft Messenger sem precisar se autenticar no agente de autenticao. Com isso especificado qual o perfil vinculado ao login. Exemplo: Quando o login do msn for jose.silva@aker.com.br , o perfil a ser usado deve ser o "Desenvolvimento", assim as restries e as regras estaro associadas ao perfil. Esta janela composta por quatro abas: Aba Tipo de Servios Esta aba define os servios adicionais e as operaes que podero ser utilizados atravs de uma conexo MSN. Estes servios podero posteriormente ser controlados a partir das regras dos perfis de cada usurio. composta dos seguintes campos:
Aker Security Solutions
241
Nome: Esse campo indica o nome do servio, so informaes definidas pelo usurio. Descrio: Nesse campo o usurio vai informar o tipo de servio relacionado ao campo nome. GUID de aplicao: o cdigo que indica o servio. So cdigos do prprio MSN, o usurio pode cadastrar novos cdigos caso ele encontre um que j no seja cadastrado.
Exemplo de preenchimento da aba: Nome: Cmera Descrio: Controle de webcam no MSN Aplicao da GUID: 2A23868E- B45F- 401D-B8B0-1E16B774A5B7 Para inserir um novo tipo de servio, deve-se clicar com o boto direito e selecionar a opo Nova. Para remover um tipo de servio, deve-se clicar com o boto direito sobre o servio a ser removido e escolher a opo Remover. Para editar qualquer um dos campos de um servio basta clicar com o boto direito sobre a coluna cujo valor se deseja alterar e modificar o dado diretamente no menu que ir aparecer. possvel adicionar automaticamente vrios servios pr-configurados, bastando para isso clicar no cone , localizado na barra de tarefas.
Aker Security Solutions
242
Aba Mensagens
Figura 158 Proxy Messenger (aba Mensagens) Esta aba permite configurar as mensagens que sero mostradas aos usurios internos e externos quando eles no tiverem permisso de executar uma determinada ao atravs do proxy Messenger. So mensagens que aparecem no meio do chat podendo ser customizadas pelo usurio. Aba de Controle de Acesso Essa aba controla o acesso dos usurios, por meio da vinculao de um login a um perfil. No campo Passport, seleciona-se uma entidade do tipo lista de e-mails, essa entidade ser associada a algum perfil definido no Web Gateway. Por exemplo: *@aker.com.br --> perfil "Teste", isso significa que todos os usurios que tiverem o login no msn terminando por @aker.com.br ir automaticamente cair no perfil teste.
Aker Security Solutions
243
!i"#ra 159 $ %ro&' (essen"er )a*a Controle de Acesso+
Aba de Configuraes
Figura 160 Proxy Messenger (aba Configuraes)
Aker Security Solutions
244
Essa aba permite configurar a quantidade mxima de socket e/ou arquivos que o processo do proxy MSN pode abrir. O valor padro de 1024, mas pode chegar em at 8192 no mximo. O Aker Web Gateway conta com a anlise de vrus para arquivos transferidos. Para ativar essa verificao marque a opo Habilitar Antivrus no MSN caso deseje que o Web Gateway analise os arquivos. A opo Permitir a passagem de arquivos se ocorrer erro no Antivrus permite transferncia de arquivos infectados, caso o servidor de antivrus estiver indisponvel. Marque "Usar Antivrus Local" para que o Web Gateway utilize o antivrus j includo nele, caso contrrio, inclua a autenticao e o endereo de IP do seu servidor Antivrus.
Aker Security Solutions
245
Utilizando as )erramentas da Interface Remota
Aker Security Solutions
246
16. Utilizando as Ferramentas da Interface Remota Neste captulo ser mostrada a funo das diversas ferramentas presentes na Interface Remota do Aker Web Gateway.
O que so as ferramentas da Interface Remota do Aker Web Gateway? As ferramentas so um conjunto de utilitrios presentes apenas na Interface Remota do Aker Web Gateway. Elas servem para facilitar a administrao do Aker Web Gateway, provendo uma srie de funes bastante teis no dia-a-dia. 16.1. Chaves de Ativao Esta opo permite atualizar a chave de ativao do Aker Web Gateway e dos demais produtos que possam estar instalados juntos como o Aker Antivrus Module e o Aker Web Content Analyzer. Para visualizar ou atualizar a licena, deve-se: Clicar no boto Licena na barra de tarefas do Aker Web Gateway que estiver conectado.
Aker Security Solutions
247
A janela de licena de ativao
Figura 161 Janela de ativao de Licena Esta janela apenas informativa. Nela so mostrados todos os produtos que esto instalados junto com o Aker Web Gateway e os dados referentes licena de cada um deles. Entre estes dados pode-se verificar a data de expirao, nmero de licenas, etc, para cada produto. Caso se deseje inserir uma nova licena, deve-se clicar no boto Carregar, localizado na barra de tarefas. Esta opo abrir um dilogo onde se pode especificar o arquivo de onde a nova chave ser carregada. No caso do Aker Web Gateway, caso exista mais de um produto instalado junto com o Aker Web Gateway, as chaves dos produtos adicionais tambm sero atualizadas. 16.2. Salvar configuraes Esta opo permite salvar a configurao completa do Aker Web Gateway na mquina onde est administrando. No caso de algum desastre, pode-se facilmente restaurar esta configurao posteriormente. Para realizar uma cpia de segurana, deve-se:
Aker Security Solutions
248
Figura 162 Icone para salvar configuraes Clicar no Aker Web Gateway para o qual ser salva a cpia de segurana Selecionar a opo Salvar configuraes na barra de ferramentas ou no menu com o nome do Aker Web Gateway selecionado A janela para salvar configuraes:
Figura 163 Janela para salvar configuraes Aps digitar o nome do arquivo salvo, deve-se clicar no boto Salvar. Caso no queira mais gravar a cpia de segurana, deve-se clicar no boto Cancelar. 16.3. Carregar configuraes Esta opo permite restaurar a cpia de segurana da configurao completa do Aker Web Gateway realizada atravs da opo anterior. Para restaurar uma cpia de segurana, deve-se:
Figura 164 Icone para carregar configuraes
Aker Security Solutions
249
Clicar no Aker Web Gateway para o qual ser carregada a cpia de segurana Selecionar o item Carregar configuraes na barra de ferramentas ou no menu com o nome do Aker Web Gateway selecionado A janela para carregar configuraes:
Figura 165 Janela para carregar configurao Esta janela permite escolher o nome do arquivo de onde a configurao ser restaurada. Aps seu nome ser especificado, o Aker Web Gateway ler todo seu contedo, far vrios testes de consistncia e se o seu contedo estiver vlido ser carregado. O boto Abrir far com que a cpia seja carregada e a configurao do Aker Web Gateway imediatamente atualizada. O Boto Cancelar far com que a janela seja fechada porm a cpia de segurana no seja carregada.
Aker Security Solutions
250
16.4. DNS Reverso DNS reverso utilizado para resolver nomes de mquinas a partir de endereos IP. A janela de resoluo de DNS reverso do Aker Web Gateway serve para prover resoluo de endereos sem a necessidade de utilizao de programas adicionais. Para ter acesso a janela de resoluo de DNS reverso, deve-se:
Figura 166 Ferramentas (DNS reverso) Clicar no menu Ferramentas da janela de administrao do Aker Web Gateway Selecionar o item DNS Reverso
Aker Security Solutions
251
A janela de resoluo de DNS reverso
Figura 167 DNS reverso Esta janela consiste de um campo para digitar o endereo IP que deseja resolver e uma lista com os endereos IP j resolvidos anteriormente. O boto OK far com que a janela seja fechada. A opo Mostrar tudo, se estiver marcada, far com que sejam mostrados todos os endereos j resolvidos na lista na parte inferior da janela. Para resolver um endereo, deve-se digit-lo no campo e pressionar o boto DNS. Neste momento o endereo ser mostrado na lista na parte inferior da janela, junto com o status da resoluo. Aps algum tempo, ser mostrado o nome da mquina correspondente ao endereo ou uma indicao de que o endereo informado no possui DNS reverso configurado.
16.5. Atualizaes
O que so atualizaes e onde consegui-las? Como todo software, o Aker Web Gateway pode eventualmente apresentar bugs em seu funcionamento. medida que estes problemas so resolvidos, a Aker produz
Aker Security Solutions
252
um arquivo que permite a atualizao de seu Aker Web Gateway e a eliminao destes erros. Algumas vezes tambm so adicionadas determinadas caractersticas novas em uma verso j existente, de modo a aumentar sua performance ou aumentar sua flexibilidade. Em ambos os casos, os arquivos de atualizao ou correo so disponibilizados de forma gratuita no site da Aker: basta procurar o menu Download e selecionar a opo Correes e Atualizaes. Estes arquivos so sempre cumulativos, ou seja, necessrio apenas baixar a ltima verso disponvel e esta incluir as correes presentes nos arquivos de correo/atualizao anteriores. A janela de atualizaes Esta opo permite aplicar uma atualizao ou correo do Aker Web Gateway remotamente, atravs da Interface Remota. possvel tambm atualizar completamente a verso do produto. Para ter acesso janela de atualizaes deve- se clicar no cone localizado na barra de ferramentas. Automaticamente a janela ser aberta, para que sejam escolhidas as atualizaes a serem aplicadas. Essa janela se divide em duas abas: Atualizao e Histrico, conforme explicadas a baixo: Aba Atualizao
Figura 168 Janela de atualizao do sistema
Aker Security Solutions
253
Por meio dessa janela possvel visualizar o status atual das atualizaes/correes aplicadas no Web Gateway. Caso se trate de cluster a janela apresentar as informaes das mquinas que o compem. Possui os seguintes campos:
Id: Refere-se identificao das mquinas que compe o cluster. Nome: Refere-se ao apelido atribudo s mquinas. Restaurao: Este campo informa se a ltima atualizao aplicada pode ser desfeita. As atualizaes aplicadas por meio dos Patches e dos Hotfixes so alteraes que podem ser desfeitas. Essa opo permite desfazer a ltima atualizao aplicada na mquina, seja hotfix ou patch. Deve-se observar que as alteraes so desfeitas uma por uma, ou seja, se a verso j estiver no Patch 3, e deseja-se voltar a verso inicial, deve ser desfeito o patch 3, depois o patch 2, e assim por diante. ltima atualizao: Identificao do ltimo patch aplicado no membro do cluster. Hotfixes: Lista de hotfixes aplicados dentro do patch. Nessa lista, mostra a ordem direta de aplicao dos hotfixes. O hotfix uma pequena atualizao ou correo feita para um patch especfico. Pode ser aplicado independente da ordem, o que no acontece com o patch, que deve ser aplicado na ordem sequencial de atualizao. Caso a atualizao ou correo sejam destinadas a uma verso diferente de sistema operacional ou de verso do Aker Web Gateway, ento o boto Aplicar ficar desabilitado, no permitindo sua aplicao. Para carregar um arquivo de atualizao ou correo deve-se clicar no cone que se encontra na barra de ferramentas. Com isso aberta uma janela, que permite carregar um arquivo de atualizao do patch ou do hotfix, conforme mostra a figura abaixo.
Aker Security Solutions
254
Figura 169 Janela para carregar um arquivo de atualizao Para aplicar o arquivo de atualizao/correo, deve-se primeiramente selecionar uma mquina na aba Patch, e logo em seguida clicar no cone para que o patch ou o hotfix seja aplicado. Caso queira aplicar o rollback, pelo menos uma mquina deve ser selecionada na aba Patch, e logo em seguida deve-se clicar no cone , sendo que essas alteraes sero desfeitas uma a uma, na sequncia que foram atualizadas. Para aplicar rollback em mais de uma mquina ao mesmo tempo, as mesmas devem estar com a mesma atualizao, por exemplo: todas esto com a verso patch 3, e quer voltar para o patch 1.
Aker Security Solutions
255
Aba Histrico
Figura 170 Sistema de Atualizao (aba Histrico) Essa aba permite, visualizar todo o histrico das aplicaes dos patches e hotfixes. A aba composta dos seguintes campos: ID: Mostra a identificao da mquina de onde foi feita a atualizao.
Usurio: Indica o usurio que aplicou a atualizao. Restaurao: Indica se pode ser ou no desfeito a atualizao. Data: Indica a data que foi feita alguma aplicao de patch ou hotfix. A expresso "Verso Corrente" significa que no foi aplicado nenhuma patch. Ao clicar no boto OK, o Patch ou o Hotfix no so aplicados, somente fechada a janela.
Aker Security Solutions
256
16.6. Janela de Alarmes Esta opo permite visualizar os alarmes gerados pelo Aker Web Gateway, quando esta opo estiver marcada nas regras de filtragem ou na janela de aes. Para ter acesso janela de alarmes deve-se:
Figura 171 Ferramentas (Janela de alarmes) Clicar no menu Ferramentas da janela de administrao do Aker Web Gateway Selecionar o item Janela de alarmes
Aker Security Solutions
257
A janela de alarmes
Figura 172 Janela de alarmes Esta janela consiste de um campo de descrio com as entradas correspondentes a ao executada pela regra de filtragem. O boto Fechar far com que a janela seja fechada. A opo No mostrar essa janela automaticamente da prxima vez, se estiver marcada, far com que a janela no seja mostrada automaticamente quando ocorrer um evento. O boto Salvar grava as entradas em um arquivo de log do tipo texto. O boto Apagar limpa todas as entradas contidas na janela. Na parte superior da janela so mostradas as informaes de uso do CPU. Essas informaes esto dividas em trs partes: porcentagem ociosa, porcentagem dedicada ao sistema e porcentagem sendo usada por programas iniciados pelo usurio. A parte inferior da janela mostra a situao da memria do sistema em Megabytes. Tambm est dividida em trs partes: quantidade de memria livre, quantidade de memria sendo usada e quantidade de memria armazenando informaes em forma de cache.
Aker Security Solutions
258
A quantidade de memria no afeta de forma significativa a performance do Aker Web Gateway. Entretanto, pode ocorrer queda de desempenho se o sistema possuir rea de memria swap e estiver fazendo muito uso dessa, o que ir afetar apenas os proxies. importante observar que a memria cache no considerada memria usada. Ela acessada apenas quando o sistema precisa reabrir um programa. Caso esse programa ainda esteja em cache, a reabertura ser mais rpida. Porm, se o sistema precisar de uma quantidade maior de memria livre, a rea usada para cache liberada.
16.7. Visualizando o Estado dos Agentes Externos A janela de estado dos agentes externos puramente informativa e serve para indicar ao administrador o estado dos Agentes Externos. Isso muito til quando se quer configurar um novo agente externo ou para detectar a ocorrncia de possveis problemas. Para ter acesso janela de estado dos agentes externos deve-se:
Figura 173 Informao (Agentes externos) Clicar no menu Informao da janela de administrao do Aker Web Gateway Selecionar o item Agentes Externos
Aker Security Solutions
259
A janela de agentes externos
Figura 174 Agentes externos Esta janela consiste de uma lista com o nome de todos os agentes externos ativos que sejam um dos seguintes tipos: Agentes de Antivrus, Analisadores de URL, Autenticadores (Usurio/Senha, Token, RADIUS e LDAP) e Servidores de Log. Para cada agente listado sero mostradas as seguintes informaes: Nome: Nome da entidade do agente externo Tipo: Tipo do agente externo. Status: Informa o estado atual da conexo com o agente externo. Os seguintes estados podem ser mostrados nesta coluna: Estado indefinido: Ainda no existem informaes disponveis sobre o estado deste agente. Conectado ao principal: O Aker Web Gateway conectou-se com sucesso ao IP principal do agente externo. Conectado ao primeiro backup: O Aker Web Gateway conectou-se com sucesso ao IP do 1 backup do agente externo. Por alguma razo ele no conseguiu inicialmente conectar-se ao principal Conectado ao segundo backup: O Aker Web Gateway conectou-se com sucesso ao IP do 2 backup do agente externo. Por alguma razo ele no conseguiu inicialmente conectar-se ao principal nem ao 1 backup. Erro de conexo: Existe um problema de comunicao com o agente externo. Verifique os eventos para maiores informaes.
Aker Security Solutions
260
Erro interno: No foi possvel conectar-se ao agente externo por um problema interno. Verifique os eventos para maiores informaes. Vrus no detectado: Este estado s aparece nos agentes de antivrus e indica que embora o Aker Web Gateway tenha conseguido se conectar corretamente ao agente, ele no foi capaz de detectar o vrus de teste que o Aker Web Gateway enviou. Verifique a configurao do antivrus. IP do servidor: Endereo(s) IP(s) do agente externo no qual(s) o Aker Web Gateway est conectado. Para os servidores de log, alm dos estados Conectado ou Erro, haver mais um estado: parcialmente conectado, que ocorrer quando mais de um servidor estiver disponvel (primeiro e segundo backup) porm o agente no est conectado a todos eles. 16.8. Visualizando estatsticas do sistema A janela de estatsticas do sistema possui informaes sobre uso do processador e uso de memria do sistema. Para ter acesso essa janela, deve-se:
Figura 175 Informao (Estatsticas do sistema)
Aker Security Solutions
261
A janela a seguir aparecer:
Figura 176 Estatstica do sistema Na parte superior da janela so mostradas as informaes de uso do CPU. Essas informaes esto dividas em trs partes: porcentagem ociosa, porcentagem dedicada ao sistema e porcentagem sendo usada por programas iniciados pelo usurio. A parte inferior da janela mostra a situao da memria do sistema em Megabytes. Tambm est divida em trs partes: quantidade de memria livre, quantidade de memria sendo usada e quantidade de memria armazenando informaes em forma de cache.
Aker Security Solutions
262
A quantidade de memria no afeta de forma significativa a performance do Web Gateway. Entretanto, pode ocorrer queda de desempenho se o sistema possuir rea de memria swap e estiver fazendo muito uso dessa, o que ir afetar apenas os proxies. importante observar que a memria cache no considerada memria usada. Ela acessada apenas quando o sistema precisa reabrir um programa. Caso esse programa ainda esteja em cache, a reabertura ser mais rpida. Porm, se o sistema precisar de uma quantidade maior de memria livre, a rea usada para cache liberada. 16.9. Utilizando a Interface Texto nas Chaves de Ativao possvel configurar as Chaves de Ativao pela Interface Texto. Localizao do programa: /aker/bin/awg/fwkey arquivo Arquivo: Caminho completo do arquivo com a chave de ativao a ser substituda. Aps a execuo do programa a chave ser instalada com sucesso.
Aker Security Solutions
263
Configura!es .C'/I'
Aker Security Solutions
264
17. Configuraes TCP/IP
Neste captulo mostraremos realizar configuraes TCP/IP. Esta opo permite configurar todos os parmetros de TCP/IP do gateway atravs da Interface Remota. possvel configurar os endereos de interfaces de rede, DNS e roteamento bsico e avanado, bem como as opes de PPPoE, e Servidor/Relay DHCP.
Para ter acesso janela de configurao TCP/IP deve-se:
Figura 177 - TCP/IP. Clicar no menu TCP/IP na janela de administrao do gateway.
Aker Security Solutions
265
17.1. DHCP
Para ter acesso janela de configurao DHCP, deve-se:
Figura 178 - DHCP Clicar no menu TCP/IP na janela do gateway que queira administrar. Escolher o item DHCP
Aker Security Solutions
266
A janela abaixo ser exibida:
Figura 179 - Servidor DHCP. Nesta aba so definidas as opes do gateway em relao ao servio DHCP. Ela consiste das seguintes opes: No est usando DHCP: Ao selecionar essa opo, o gateway no atuar como servidor DHCP nem efetuar relay entre redes conectadas a ele. Relay DHCP entre redes: Permitir que se defina que o gateway realizar o relay de pacotes DHCP entre as redes selecionadas. Ela utilizada quando se possui apenas um servidor DHCP e se deseja que ele fornea endereos para mquinas localizadas em sub-redes distintas, conectadas diretamente ao gateway.
Aker Security Solutions
267
Figura 180 - Relay DHCP entre redes. Ao selecion-la, deve-se especificar em Interfaces de Escuta as interfaces nas quais o gateway escutar broadcasts DHCP e os encaminhar para os servidores, especificados em Servidores DHCP. No caso de haver mais de um servidor, o gateway encaminhar as requisies para todos e retornar ao cliente a primeira resposta recebida. Servidor DHCP Interno: Esta opo designada para redes pequenas que no possuem um servidor DHCP ou que possuam em um modem ADSL. Ela permite que o gateway atue como um servidor DHCP.
Aker Security Solutions
268
17.2. DNS
Para ter acesso janela de configurao DNS deve-se
Figura 181 - DNS. Clicar no menu TCP/IP do gateway que queria administrar. Escolher o item DNS. A janela abaixo ser exibida:
Figura 182 - TCP/IP - DNS Nesta pasta so configuradas todas as opes relacionadas com a resoluo de nomes ou DNS. Ela consiste dos seguintes campos:
Aker Security Solutions
269
Mquina: Nome da mquina na qual o gateway est rodando. Domnio: Nome do domnio no qual o gateway est rodando. DNS Ativo: Esta opo deve ser marcada para ativar a resoluo de nomes via DNS e desmarcada para desativ-la. Servidor primrio: Definir o servidor DNS primrio que ser consultado para se resolver um nome. Ele obrigatrio se a opo DNS ativo estiver marcada.
Servidor secundrio: Definir o servidor DNS secundrio que ser consultado se o primrio estiver fora do ar. Ele opcional. Servidor tercirio: Definir o servidor DNS tercirio que ser consultado se o primrio e o secundrios estiverem fora do ar. Ele opcional.
17.2.1. Interfaces de Rede
Para ter acesso janela de configurao Interfaces de rede deve-se:
Figura 183 - Interfaces de rede. Clicar no menu TCP/IP do gateway que queira administrar. Escolher o item Interfaces de rede.
A janela abaixo ser exibida:
Aker Security Solutions
270
Figura 184 - Interfaces de redes. Nesta aba podem ser configurados os endereos IP atribudos a todas as interfaces de rede reconhecidas pelo gateway. Ela consiste de uma lista onde so mostrados os nomes de todas as interfaces e os endereos IP e mscaras de cada uma ( possvel configurar at 31 endereos distintos para cada interface). Caso uma interface no tenha um endereo IP configurado, os campos correspondentes ao endereo e mscara sero mostrados em branco. Possui os seguintes campos: IPv4 IP: Endereo da rede. No pode ser informado um endereo auto-configurado.
Mscara de rede: Informa o endereo da mscara de rede. Ponto a ponto: Configurao ponto a ponto
Alias Para configurar ou modificar o endereo IP ou mscara de uma interface e at mesmo atribuir um alias para a interface, deve-se clicar sobre a entrada do dispositivo correspondente e usar o menu suspenso que ir surgir:
Aker Security Solutions
271
Figura 185 - Menu: configurao ou modificao de endereo IP. VLAN Para criar uma VLAN associada a uma interface, deve-se clicar na interface desejada no lado esquerdo da janela. Aparecer o seguinte menu suspenso:
Figura 186 - Menu de criao: VLAN. Uma VLAN usa o sistema de VLAN tagging (802.1q) para permitir que, com uma conexo somente o switch tenha acesso a todas as suas VLANs, inclusive controlando o acesso entre elas. Para cada uma, uma interface virtual ser criada dentro do gateway. Nesse menu tambm permite habilitar o monitoramento e escolher a opo Habilitar monitoramento, possibilita monitorar todas as interfaces de rede do cluster e detalhes de replicao de sesso, identificando possveis falhas, caso uma interface de algum no do cluster falhe "falta de conectividade ou falha de rota, ou etc." o no do cluster ir desativar todas as outras interfaces e fazer com que outro n assuma, permitindo assim uma maior disponibilidade dos links. PPPoE A opo Usar PPPoE permite definir que esta interface trabalhe com PPPoE (usado basicamente para a conexo com modems ADSL). Ao ser selecionada, a seguinte janela ser mostrada:
Aker Security Solutions
272
Figura 187 - Configurao PPPoE. Nome do dispositivo: Este campo indica o nome do dispositivo interno que ser utilizado na comunicao PPPoE. importante que no caso de que haja mais de uma interface trabalhando em PPPoE, que eles sejam distintos.
Ativar no boot: Se esta opo estiver marcada, o AWG ativar o PPPoE automaticamente, ao iniciar a maquina. Servio PPPoE ativado sob demanda: Se esta opo estiver marcada, o AWG ativar o servio PPPoE apenas quando houver trfico de rede direcionado atravs desta interface de rede. Nome do Usurio: Nome do usurio que ser utilizado na autenticao durante o estabelecimento da sesso PPPoE. Senha: Senha que ser utilizada na autenticao durante o estabelecimento da sesso PPPoE. Confirmao: Confirmao da senha que ser utilizada na autenticao durante o estabelecimento da sesso PPPoE. Provedor: o provedor do servio de PPPoE.
O protocolo IP permite a fragmentao de pacotes, possibilitando que um datagrama seja dividido em pedaos, cada um pequeno o suficiente para poder ser
Aker Security Solutions
273
transmitido por uma conexo com o MTU menor que o datagrama original. Esta fragmentao acontece na camada IP (camada 3 do modelo OSI) e usa o parmetro MTU da interface de rede que ir enviar o pacote pela conexo. O processo de fragmentao marca os fragmentos do pacote original para que a camada IP do destinatrio possa montar os pacotes recebidos, reconstituindo o datagrama original.O protocolo da Internet define o "caminho MTU" de uma transmisso Internet como o menor valor MTU de qualquer um dos hops do IP do path" desde o endereo de origem at ao endereo de destino. Visto de outro modo, o "caminho MTU" define o maior valor de MTU que pode passar pelo caminho sem que os seus pacotes sofram posterior fragmentao. S possvel configurar endereos IP de interfaces de rede reconhecidas pelo sistema operacional no qual o gateway est rodando. Caso tenha acrescentado uma nova interface de rede e seu nome no aparea na lista de interfaces, necessrio configurar o sistema operacional de forma a reconhecer esta nova interface antes de tentar configur-la nesta pasta. Valor padro de 1500. O IP e o prefixo tm que ser informados juntos. No ser possvel ao usurio remover ou editar os endereos auto-configurados (que so derivados dos endereos MAC). As interfaces que estiverem em vermelho, indicam que no esto presentes em todos os nodos do cluster.
Aker Security Solutions
274
17.3. Roteamento
Para acessar a janela de configurao de Roteamento deve-se:
Figura 188 - Roteamento. Click no menu TCP/IP do AWG que queria administrar. Selecione o item Roteamento.
Aker Security Solutions
275
17.3.1. Geral
Figura 189 - Roteamento - Geral. Esta janela possibilita configurar rotas IPv4. A configurao do endereamento IPv4 e consiste dos seguintes campos: Rede: Configurao dos endereos IP Mscara de rede: Informa o endereo da mscara de rede Gateway: Nesse campo deve ser informado o endereo IP do roteador. Mtrica: o valor de distncia da rede. A distncia pode ser medida, por nmero de dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por um valor associado velocidade do link. Rota Padro: Pode-se especificar o roteador padro, por qual todos os pacotes sero encaminhados.
Aker Security Solutions
276
Para a incluso de uma nova rota, basta clicar no boto direito do mouse e ir aparecer o menu . Para remover ou editar uma rota, basta clicar com o boto direito sobre ela.
17.4. Utilizando a Interface Texto na Configurao TCP/IP possvel configurar os parmetros do TCP/IP pela Interface Texto. Localizao do programa: /aker/bin/commom/akinterface O programa interativo e as opes de configurao so as descritas abaixo:
Figura 190 Modulo de configurao para interfaces de rede Analogamente a configurao da Interface Remota, a Interface Texto possui 6 opes conforme visualizado na figura acima. Na janela abaixo possvel visualizar, configurar e desconfigurar uma interface de rede
Aker Security Solutions
277
Figura 191 Configurao de interfaces Na tela abaixo apresentada a opo de listar interfaces
Figura 192 Lista das interfaces de rede Para configurar uma interface deve-se digitar o nome da mesma. A tecla <enter> retorna ao menu anterior
Aker Security Solutions
278
Figura 193 Nome da interface Nesta tela apresentada a opo de cadastrar VLAN
Figura 194 Configurar uma interface vlan filha Aps a digitao dos valores de configurao perguntado se deseja configurar lias para a interface.
Aker Security Solutions
279
Figura 195 - configurar lias para a interface Com os dados j digitados perguntado se deseja configurar interface para os novos valores.
Figura 196 - configurar interface para os novos valores Aps a digitao da Opo 2 da tela principal, possvel realizar a configurao de rotas estticas.
Aker Security Solutions
280
Figura 197 Configurao de rotas estticas Aps as informaes terem sido digitadas perguntado se deseja gravar as novas configuraes.
Figura 198 Confirmar nova configurao Aps a digitao da Opo 3 da tela principal, possvel realizar a configurao dos Servidores DNS.
Aker Security Solutions
281
Figura 199 Configurao DNS Aps a digitao da Opo 4 da tela principal, possvel realizar a configurao da rota padro.
Figura 200 Configurao da rota padro
Aker Security Solutions
282
Configurando 'ro&y SS0 Re#erso
Aker Security Solutions
283
18. Configurando Proxy SSL Reverso Neste captulo ser mostrado para que servem e como configurar o Proxy SSL no Aker Web Gateway.
O que um Proxy SSL? Um Proxy SSL uma VPN cliente-awg, feita atravs do protocolo SSL, e que tem como principal caracterstica a utilizao do suporte nativo a este protocolo que est presente em vrias aplicaes: navegadores, leitores de e-mail, emuladores de terminal, etc. Devido ao suporte nativo destas aplicaes, no necessria a instalao de nenhum cliente para o estabelecimento da VPN. O seu funcionamento simples: de um lado o cliente se conecta ao Aker Web Gateway atravs do protocolo SSL, autenticando-se atravs de certificados X.509 (caso seja o desejo do administrador que a autenticao seja demandada) e o Aker Web Gateway ento se conecta em claro ao servidor interno. Dessa forma, o cliente enxerga uma conexo SSL com o servidor e, este, enxerga uma conexo em claro (transparente) com o cliente. Utilizando um Proxy SSL Para utilizar um Proxy SSL em uma comunicao, necessrio executar uma sequncia de 2 passos: 1. Criar um servio que ser interceptado pelo proxy SSL e edita-se os parmetros do contexto a ser usado por este servio (para maiores informaes, veja o captulo intitulado Cadastrando Entidades; 2. Acrescentar servios de perfis SSL, permitindo o uso do servio criado no passo 1, para as redes ou mquinas desejadas (para maiores informaes, veja o item Configurando regras de Proxy SSL Reverso. 18.1. Editando os parmetros de um contexto SSL A janela de propriedades de um contexto SSL ser mostrada quando a opo Proxy SSL for selecionada. Atravs dela possvel definir o comportamento do proxy SSL quando este for lidar com o servio em questo.
Aker Security Solutions
284
A janela de propriedades de um contexto SSL
Figura 201 Janela de propriedades de um contexto SSL aba Geral (F5-aba servio)
Na janela de propriedades so configurados todos os parmetros de um contexto associado a um determinado servio. Ela consiste de duas abas distintas: a primeira permite a configurao dos parmetros e a segunda permite a definio do certificado que ser apresentado ao cliente no estabelecimento da VPN. Aba Geral Porta do servidor: Este campo indica a porta que o servidor estar esperando receber a conexo, em claro, para o servio em questo. Permitir autenticao de usurio: Este campo, se estiver marcado, indica que os usurios podem se autenticar no estabelecimento dos Proxies SSL. Caso ele esteja desmarcado, somente sesses annimas sero autorizadas, o que implica na utilizao do perfil de acesso padro sempre.
Aker Security Solutions
285
Forar autenticao de usurio: Se este campo estiver marcado, no sero aceitas sesses de Proxy SSL nas quais o usurio no tenha apresentado um certificado X.509 vlido. Inatividade do cliente: Este campo indica o tempo mximo em segundos que o Web Gateway manter a sesso de Proxy SSL ativa (desde que a sesso j tenha sido estabelecida) sem o recebimento de dados por parte do cliente. Conexo: Este campo indica o tempo mximo em segundos que o Aker Web Gateway aguardar pelo estabelecimento da conexo com o servidor. Autenticao SSL: Este campo indica o tempo mximo em segundos que o Aker Web Gateway aguardar para que o cliente realize, com sucesso, uma autenticao SSL. Avanado: Este boto permite o acesso aos parmetros de configurao que no so normalmente utilizados. So eles: Permitir um usurio acessar de IPs diferentes ao mesmo tempo: Este campo, se estiver marcado, permite que um mesmo usurio estabelea sesses simultneas a partir de mquinas diferentes. Caso esteja desmarcado, se um usurio j possuir uma sesso em uma mquina, as tentativas de abertura a partir de outras mquinas sero recusadas. Tempo de manuteno de sesso: Como no existe o conceito de sesso em um Proxy SSL, necessrio que o proxy simule uma sesso, mantendo um usurio logado por algum tempo aps o fechamento da ltima conexo, caso seja necessrio impedir que um mesmo usurio acesse simultaneamente mquinas diferentes. O que este campo especifica por quanto tempo, em segundos, o Web Gateway deve considerar um usurio como logado aps o fechamento da ltima conexo. Permitir o uso de SSL v2: Este campo indica se o Aker Web Gateway deve ou no aceitar uma conexo SSL usando a verso 2 deste protocolo. A verso 2 do protocolo SSL possui srios problemas de segurana e recomendado que ela no seja utilizada, a no ser que isso seja estritamente necessrio.
Aker Security Solutions
286
Aba Certificado
Figura 202 Aba Certificado Esta aba utilizada para especificar o certificado X.509 que ser apresentado ao cliente quando ele tentar estabelecer um Proxy SSL. possvel criar uma requisio que posteriormente ser enviada para ser assinada por uma CA ou importar um certificado X.509 j assinado, em formato PKCS#12. Criar requisio: Este boto permite que seja criada uma requisio que posteriormente ser enviada a uma CA para ser assinada. Ao ser clicado, sero mostrados os campos do novo certificado a ser gerado e que devem ser preenchidos. Aps o preenchimento deve- se clicar no boto OK, que far com que a janela seja alterada para mostrar os dados da requisio recm criada bem como dois botes para manipul-la: O boto Salvar em arquivo permite salvar a requisio em um arquivo para que ela seja ento enviada a uma CA que ir assin-la. O boto Instalar esta requisio permite importar o certificado j assinado pela CA. Importar certificado PKCS#12: Este boto provocar o aparecimento de um dilogo onde pode especificar o nome do arquivo com o certificado X.509 que ser importado.
Aker Security Solutions
287
18.2. Configurando regras de Proxy SSL Reverso
Figura 203 Configurando regras de proxy SSL reverso
Esta aba permite que pessoas que esto externamente rede acessem o servidor interno por meio de uma conexo SSL. Servio Proxy SSL: Este campo possibilita o cadastro de um servio que ser interceptado pelo proxy SSL. Inicia uma conexo segura que vai comear no Aker Web Gateway. As opes disponveis nesse campo esto relacionadas s entidades servios criadas.
Na entidade servio, a configurao deve ser feita optando pelo Proxy SSL. Destino: Indica o servidor interno que ser mapeado. O Aker Web Gateway se conecta em claro ao servidor interno. Dessa forma, o cliente enxerga uma conexo SSL com o servidor e este, enxerga uma conexo em claro (transparente) com o destino.
Aker Security Solutions
288
'roteo )lood
Aker Security Solutions
289
19. Proteo de Flood Neste captulo ser mostrado para que servem e como configurar a Proteo de Flood no Aker Web Gateway.
O que um ataque de Flood? Os ataques de Flood se caracterizam por existir um elevado nmero de conexes abertas e estabelecidas contra servidores web, FTP, smtp e etc, a partir de outras mquinas existentes na Internet que foram invadidas e controladas para perpetrar ataques de negao de servio (DoS). A proteo tambm til para evitar abuso do uso de determinados servios (sites de download, por exemplo) e evitar estragos maiores causados por vrus, como o NIMDA, que fazia com que cada mquina infectada abrisse centenas de conexes simultaneamente. Como funciona a proteo contra Flood do Aker Web Gateway? O Aker Web Gateway possui um mecanismo que visa impedir que um ataque de Flood seja bem sucedido. Seu funcionamento baseia na limitao de conexes que possam ser abertas simultaneamente a partir de uma mesma mquina para uma entidade que est sendo protegida. O administrador do Web Gateway deve estimar este limite dentro do funcionamento cotidiano de cada servidor ou rede a ser protegida.
Aker Security Solutions
290
19.1. Utilizando a Interface Remota para Proteo de Flood
Figura 204 Configuraes (Proteo de flood) Clicar no menu Segurana na janela do Web Gateway. Escolher o item Proteo de Flood.
A janela de configurao da proteo de Flood
Figura 205 Proteo de flood
Aker Security Solutions
291
O boto OK far com que os parmetros de configurao sejam atualizados e a janela fechada. O Boto Cancelar far com que todas as alteraes feitas sejam desprezadas e a janela fechada. O boto Aplicar enviar para o Web Gateway todas as alteraes feitas porm manter a janela aberta. Significado dos campos da janela: Nmero: Corresponde ao nmero da regra de Proteo de Flood. Origem: Neste campo pode ser uma rede ou mquina de onde poder ser originado um ataque de DDoS. Destino: Incluir neste campo mquinas ou redes que deseja proteger. Servios: Portas de servios que desejam-se proteger. Poder ser includo no campo mais de uma entidade. Conexes Mximas: Campo numrico onde deve informar o nmero mximo de conexes que a entidade pode receber a partir de uma mesma origem. A quantidade mxima de conexes nas regras de proteo de flood no a quantidade agregada de conexes a partir da origem especificada, mas sim a quantidade, por endereo IP nico que encaixa na origem informada, de conexes simultneas. Desta forma, por exemplo, havendo a necessidade de limitar o nmero de downloads simultneos por usurio em 2, esse nmero dever ser 2, independentemente do nmero de usurios que faam os downloads.
Aker Security Solutions
292
Configurando o *e+ $ate1ay em Cluster
Aker Security Solutions
293
20. Configurando o Web Gateway em Cluster Neste captulo mostraremos como configurar a tolerncia a falhas do Aker Web Gateway.
20.1. Planejando a Instalao
O que um sistema de tolerncia s falhas? Quanto mais os computadores ganham espao nas empresas, nos escritrios e na vida das pessoas em geral, mais se ouve falar em "alta disponibilidade". Por um simples e bom motivo: nenhum usurio quer que a sua mquina pare de funcionar ou que os recursos de rede no possam mais ser acessados. justamente a alta disponibilidade que vai garantir a continuidade de operao do sistema na prestao de servios de rede, armazenamento ou processamento, mesmo se houver falhas em um ou mais de seus elementos. Assim, alta disponibilidade hoje um assunto que interessa a um nmero cada vez maior de usurios. Tornou-se um requisito fundamental para os sistemas que ficam no ar 24 horas por dia, sete dias por semana, ou que no possam ficar fora do ar por at mesmo alguns minutos. Afinal, paradas no planejadas podem comprometer, no mnimo, a qualidade do servio, sem contar os prejuzos financeiros. Tolerncia s falhas nada mais que um agrupamento de recursos que fornece ao sistema a iluso de um recurso nico. A maioria dos seus componentes, encontram- se duplicados, desta forma, mesmo que um componente individual apresente falhas o servio no comprometido. Para possibilitar a redundncia de recursos necessrio um mecanismo de gerncia, de forma a tornar seu funcionamento transparente. Como trabalha a Tolerncia s Falhas do Aker Web Gateway? A tolerncia s falhas do Aker Web Gateway composta por dois sistemas idnticos, ou seja, duas mquinas com o mesmo Sistema Operacional, mesmas placas de rede e com a mesma verso do software, conectadas entre si. A exigncia de se usar o mesmo sistema operacional se d pelo fato de poder aplicar correes atravs da Interface Remota e essas correes serem replicadas automaticamente de uma mquina para a outra. Alm de estarem conectadas entre si, o que deve ser feito por uma interface de rede, necessrio que todas as placas de rede correspondentes das duas mquinas estejam conectadas em um mesmo hub ou switch, de forma que ambos os web gateways tenham acesso s mesmas mquinas e roteadores.
Aker Security Solutions
294
20.2. Configurao do Cluster
O que um sistema de tolerncia s falhas? Quanto mais os computadores ganham espao nas empresas, nos escritrios e na vida das pessoas em geral, mais se ouve falar em "alta disponibilidade". Por um simples e bom motivo: nenhum usurio quer que a sua mquina pare de funcionar ou que os recursos de rede no possam mais ser acessados. justamente a alta disponibilidade que vai garantir a continuidade de operao do sistema na prestao de servios de rede, armazenamento ou processamento, mesmo se houver falhas em um ou mais de seus elementos. Assim, alta disponibilidade hoje um assunto que interessa a um nmero cada vez maior de usurios. Tornou-se um requisito fundamental para os sistemas que ficam no ar 24 horas por dia, sete dias por semana, ou que no possam ficar fora do ar por at mesmo alguns minutos. Afinal, paradas no planejadas podem comprometer, no mnimo, a qualidade do servio, sem contar os prejuzos financeiros. Tolerncia s falhas nada mais que um agrupamento de recursos que fornece ao sistema a iluso de um recurso nico. A maioria dos seus componentes, encontram- se duplicados, desta forma, mesmo que um componente individual apresente falhas o servio no comprometido. Para possibilitar a redundncia de recursos necessrio um mecanismo de gerncia, de forma a tornar seu funcionamento transparente. Para que possa ser iniciada a configurao do Cluster, necessrio que previamente exista uma licena de cluster e que j tenha sido aplicada no Web Gateway. Para se ter acesso a janela de Configurao do Cluster deve-se:
Aker Security Solutions
295
Figura 206 Configuraes (Configurao do cluster)
Clicar no menu Configurao do Sistema na janela de Administrao do Web Gateway. Clicar no item Configurao do Cluster. Caso o usurio opte em configurar, dever clicar no boto "sim", e automaticamente aparecer a seguinte tela:
Aker Security Solutions
296
Figura 207 Criar Cluster Essa janela permite a criao de um novo cluster. O usurio dever preencher os seguintes campos: Nome: Nesse campo deve ser informado o nome do Web Gateway no cluster. Peso: Esse campo indica o balanceamento do trfego. O administrador poder escolher o valor mais apropriado. Interface: Esse campo permite a escolha de uma entidade que representa uma interface de controle do cluster. Essa entidade ser usada pelo Web Gateway para controle do cluster. Boto Ok: Ao trmino da escolha das opes, deve-se clicar no boto Ok. Se a licena tiver sido aplicada anteriormente, o cluster ser habilitado, caso tenha algum problema, aparecer uma mensagem informando que no foi possvel habilit-lo. Se a criao do cluster tiver sido feita com sucesso a Interface Remota ser desconectada para garantir que toda a configurao seja recarregada, assim o usurio dever conectar novamente. Caso o usurio deseje fazer alguma alterao nas configuraes do cluster criado, dever acessar a Janela de Configurao de Cluster. Abaixo seguem as descries dos campos:
Aker Security Solutions
297
Figura 208 Configurao do cluster Informaes Gerais Nessa parte da janela so mostradas informaes gerais do cluster criado. Tipo de Cluster: Esta opo permite selecionar o tipo de cluster desejado ou desabilit-lo. Interface de Controle: Essa informao definida na hora da habilitao do cluster, no podendo ser alterada posteriormente. Todos os seus outros membros utilizaro essa mesma entidade. Informaes dos Membros Nessa parte da Janela mostra todas as informaes sobre os membros do cluster. Identificao: Esse campo informa o ID do Cluster. gerado aleatoriamente, no podendo ser alterado. Nome: Indica o nome do Web Gateway do cluster.
Aker Security Solutions
298
Peso: Esse campo indica o balanceamento do trfego. O administrador poder escolher o valor mais apropriado. Estado: Permite visualizar o status do cluster, se est ativado ou desativado Interfaces Nessa parte da janela permite a visualizao das caractersticas de configurao das interfaces de rede dos membros do cluster. Essas caractersticas pertencem a todos os membros, incluindo os ativados, desativados e os que vierem a ser includos. Interface: Nesse componente permite adicionar uma nova interface. Virtual IP: o IP virtual que representa as mquinas do cluster para a rede atual. Dever ser definido apenas nos casos de cluster cooperativos. Modo: Esse campo informa o modo como os pacotes so redistribudos dentro de um grupo de mquinas. O modo UNICAST o padro, mas pode ser alterado para o modo Multicast ou Multicast com IGMP. IP Multicast : As informaes contidas nesse campo, so alteradas de acordo com o modo indicado/escolhido, mas s poder ser editado quando for escolhido o modo multicast IGMP. Mac: Esse campo indica o endereo fsico da placa de rede. Pode ser informado quando o modo escolhido for o Multicast. Caso no seja especificado o cluster, vai ser utilizado o endereo que consta na placa, se for escolhido o modo Multicast IGMP o MAC no ser configurado, ou seja, no poder ser editado. A opo de adicionar um IP virtual s vlida quando se tratar de cluster cooperativo. Observao: Deve haver no mnimo um membro ativo. Nessa janela pode-se incluir um novo membro do cluster. Para inclu-lo, clique com o boto direito do mouse no componente que mostra as informaes dos membros. Clique no cone , e a janela abaixo ser exibida:
Aker Security Solutions
299
Figura 209 Adicionar novo Web Gateway no cluster
Nesta janela deve ser preenchida todas as informao do Web Gateway que ser adicionado ao cluster. Abaixo segue a descrio dos campos: Informao da conexo IP: o endereo IP do Web Gateway a ser adicionado ao cluster. Usurio: Usurio de administrao do Web Gateway. Senha: Senha do usurio administrador do Web Gateway. Informao do Web Gateway Nome: Nome do Web Gateway no cluster Peso: Esse campo indica o balanceamento do trfego. O administrador poder escolher o valor mais apropriado. Hierarquia: Permite definir o status do cluster em mestre, escravo e nenhum. Podendo ser definido previamente qual status funcione (mestre ou escavo) ou selecionado a opo nenhum (para ser escolhido automaticamente).
Aker Security Solutions
300
O membro do cluster, tambm pode ser includo por meio do cone presente na barra de ferramentas.
20.3. Estatstica do Cluster
A janela de estatstica do Cluster permite a visualizao das informaes de cada n do cluster. Para se ter acesso a janela de Estatstica do Cluster deve-se:
Figura 210 Informao (Estatstica do Cluster) Clicar no menu Informao na janela de Administrao do Web Gateway. Clicar no item Estatstica do Cluster. Aba Web Gateway 1
A janela possui dois tipos de informaes: as informaes estticas se referem ao nome do nodo, o identificador e o peso. As outras informaes que constam na janela so estatsticas do trfego de redes que permite, por exemplo, a visualizao da quantidade de pacotes trafegados na rede. Os valores so acumulativos, a cada segundo os dados so somados ao valor anterior.
Aker Security Solutions
301
Figura 211 - Estatstica do Cluster (aba nod)
Aba Grfico Esta janela permite a visualizao grfica das informaes referentes ao tratamento dado, aos pacotes dos nodos, pelo Web Gateway. Esse grfico permite a visualizao de at 8 nodos. As informaes do trfego de cada nodo so mostradas em porcentagem. Esta aba possui vrios tipos de filtros, permitindo ao usurio, para uma eventual comparao de dados, filtrar informaes em percentual, das atividades de cada Web Gateway.
Aker Security Solutions
302
Figura 212 - Estatstica do Cluster (aba Grfico)
20.4. Utilizando a Interface Texto
A utilizao da Interface Texto na configurao da tolerncia s falhas bastante simples. E possvel usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, ento todos os comando podero ser acessados sem o prefixo FW). Localizao do programa: /aker/bin/awg/fwcluster Sintaxe: fwcluster [ajuda | mostra] fwcluster interface_controle <if> fwcluster peso <peso> fwcluster <habilita | desabilita>
21. Aker Web Gateway Neste captulo, mostraremos os comandos que podem ser utilizados no shell do Aker Web Gateway.
O Aker Web Gateway O Aker Web Gateway composto por um sistema integrado de hardware e software. A grande vantagem dessa plataforma que ela dispensa maiores conhecimentos de sistemas operacionais. Alm disso, por no possuir disco rgido e por ser formada por um hardware industrial, a plataforma apresenta potencialmente maior resistncia contra danos, especialmente picos de energia, o que acaba por possibilitar um funcionamento ainda mais estvel. O Aker Web Gateway est disponvel em diversos modelos, que visam atender as necessidades de pequenas, mdias e grandes empresas. A lista completa dos modelos disponveis freqentemente atualizada e est disponvel em: http://www.aker.com.br/node/70 Como funciona o shell do Aker Web Gateway ? Ao conectar-se um terminal serial comum configurado a 9600 bps porta serial correspondente no Aker Web Gateway, ser possvel utilizar a interface de linha de comando do mesmo, isto , seu shell. Ao se realizar esse procedimento, primeiro ser necessrio apertar a tecla Enter at que aparea o pedido de senha, que inicialmente '123456'. Entrando-se corretamente a senha, o prompt seguinte aparecer: Aker > Caso tenha perdido a senha de acesso local ao Aker Web Gateway, deve-se entrar em contato com o suporte tcnico, para realizar o procedimento de reset da mesma. No prompt do shell, podem ser digitados todos os comandos normais do Aker Web Gateway, conforme documentados nos tpicos relativos Interface Texto de cada captulo. Alm desses, existem comandos especficos ao Aker Web Gateway que esto documentados abaixo. possvel digitar os comandos do Aker Web Gateway no shell sem o prefixo fw, isto , entrar com o comando ent ao invs de fwent. Para isso entre com o
Aker Security Solutions
306
comando Akshell, antes de fazer qualquer operao, assim todos os comandos estaro disponveis sem o prefixo FW. Para sair do shell, pode-se ou digitar os comandos exit ou quit ou simplesmente apertar as teclas Ctrl + D. Comandos especficos do Aker Web Gateway Comando quit exit Descrio Encerram a sesso de administrao no shell
Comando help ? Descrio Mostram uma tela com a lista de comandos vlidos
Comando shutdown Descrio Paralisa o Aker Web Gateway, para que ele possa ser desligado
Comando reboot Descrio Reinicia o Aker Web Gateway
Comando ping [-c n_pkt] [-i interv] ip_destino Descrio Envia pacotes ping para e espera a resposta do hosts ip_destino A opo -c especifica o nmero de pacotes a serem enviados A opo -i especifica o intervalo de transmisso entre os pacotes em milisegundos (ms)
Aker Security Solutions
307
Comando password Descrio Troca a senha de acesso ao console do Aker Web Gateway
Comando date <mostra> | <dd/mm/aaaa> Descrio Com o parmetro mostra , informa a data do sistema. Seno, acerta a data para a informada.
Comando time <mostra> | <hh:mm[:ss]> Descrio Com o parmetro mostra , informa a hora do sistema. Seno, acerta o relgio para o horrio informado.
Comando hd <-habilita | -desabilita> Descrio Habilita ou desabilita o uso de um disco rgido
Comando hd_format Descrio Permite formatar o disco.
Comando hd_check Descrio Permite a checagem do disco, procura por erros e, caso os encontrem, corrige-os.
Aker Security Solutions
308
Ap2ndice A 3 ,ensagens do Sistema
Aker Security Solutions
309
22. Apndica A Mensagens do Sistema Neste apndice esto listadas as mensagens do sistema.
22.1. Mensagens dos eventos do Aker Web Gateway
000 - Aker Web Gateway - Inicializao completa Esta mensagem tem carter puramente informativo, servindo para determinar os horrios que o Aker Web Gateway entrou em funcionamento. Ela ser produzida a cada reinicializao da mquina. 001 - Erro de alocao de memria Esta mensagem indica que algum mdulo do Aker Web Gateway tentou alocar memria e no conseguiu. Esta mensagem pode ocorrer em sistemas com pouca memria RAM utilizando converso de endereos com um grande nmero de conexes simultneas ou com um grande nmero de conexes ativas passando pelos proxies do Aker Web Gateway. Soluo: Adquira mais memria RAM ou aumente as parties de swap. 002- Dados invlidos recebidos pelo mdulo do Kernel Esta mensagem indica que o pacote de carga de dados que foi enviado para o kernel invlido. 003- Erro ao ler o arquivo de parmetros Esta mensagem produzida por qualquer um dos mdulos externos ao tentar ler o arquivo de parmetros do sistema e constatar que este no existe ou no pode ser lido. Soluo: Reinicialize a mquina, que o programa de inicializao ir recriar o arquivo de parmetros. Se isso no funcionar, contate o suporte tcnico. 004- Erro ao carregar perfis de acesso Esta mensagem indica que o servidor de autenticao ou o servidor de login de usurios no conseguiu carregar a lista de perfis de acesso cadastrados no sistema. Soluo: Contate o suporte tcnico. 005 - Erro ao carregar entidades
Aker Security Solutions
310
Esta mensagem indica que algum processo servidor do Aker Web Gateway no conseguiu carregar a lista de entidades cadastradas no sistema. Soluo: Contate o suporte tcnico. 006- Nome de perfil de acesso invlido Esta mensagem indica que o servidor de autenticao ao procurar o perfil de acesso de um usurio constatou que o mesmo no se encontra cadastrado no sistema. Soluo: Contate o suporte tcnico. 007 - Erro ao criar socket de conexo Esta mensagem indica que algum dos mdulos externos tentou criar um socket e no conseguiu. Soluo: Verifique o nmero de arquivos que podem ser abertos por um processo e o nmero total para o sistema. Se necessrio aumente estes valores. Para maiores informaes de como fazer isso, contate o suporte tcnico. 008 - Tamanho da linha excessivo Esta mensagem indica que algum proxy do Aker Web Gateway recebeu uma linha com um nmero excessivo de caracteres e devido a isso, derrubou a conexo. A informao complementar entre parnteses indica o endereo IP da mquina que causou o problema. Soluo: Esta mensagem causada por um servidor ou cliente fora dos padres das RFCs. A nica soluo possvel para o problema contatar o administrador da mquina causadora da mensagem. 009 - URL aceita Esta mensagem indica que o proxy WWW aceitou um pedido de uma URL feito por um usurio. A mensagem complementar entre parnteses indica o nome do usurio que fez a requisio. A linha de mensagem seguinte indica o endereo IP da mquina da qual a requisio se originou e a terceira linha indica qual URL foi acessada. Esta mensagem somente ser produzida para URLs do protocolo HTTP quando elas resultarem em cdigo HTML. Para os protocolos FTP e Gopher, ela ser gerada para cada requisio aceita, independente do seu tipo. 010 - URL rejeitada Esta mensagem indica que o proxy WWW rejeitou um pedido de uma URL feito por um usurio. A mensagem complementar entre parnteses indica o nome do usurio que fez a requisio. A linha de mensagem seguinte indica o endereo IP da
Aker Security Solutions
311
mquina da qual a requisio se originou e a terceira linha indica qual URL que o usurio tentou acessar. 011 - Banner removido Esta mensagem indica que o proxy WWW substitui uma requisio por uma imagem em branco, visto que a URL se encaixou nas regras de filtragem de banners. A mensagem complementar entre parnteses indica o nome do usurio que fez a requisio. A linha de mensagem seguinte indica o endereo IP da mquina da qual a requisio se originou e a terceira linha indica qual URL que o usurio tentou acessar. 012 - Erro ao comunicar com servidor de autenticao Esta mensagem indica que um dos proxies no conseguiu se comunicar com o servidor de autenticao quando tentou realizar a autenticao de um usurio. Devido a isso, o usurio no foi autorizado a continuar e a sua conexo foi recusada. Soluo: Verifique se o processo do servidor de autenticao est ativo no Aker Web Gateway. Para fazer isso, execute o comando #ps -ax | grep fwauthd | grep -v grep. Caso o processo no aparea, execute-o com o comando /etc/AWCA Gateway/fwauthd. Se o processo estiver ativo ou se este problema voltar a ocorrer, contate o suporte tcnico. 013 - Erro ao conectar com agente de autenticao Esta mensagem indica que o servidor de autenticao no conseguiu se conectar ao agente de autenticao que estaria rodando em uma determinada mquina. A mensagem complementar indica o nome do agente de autenticao que no pode ser conectado e o endereo IP que ele supostamente estaria rodando. Soluo: Verifique se o endereo IP da mquina onde o agente estaria rodando est correto na definio do autenticador (para maiores informaes, veja o captulo intitulado Cadastrando Entidades e que o agente est realmente sendo executado na mquina em questo. 014 - Erro de comunicao com agente de autenticao Esta mensagem indica que o servidor de autenticao conseguiu se conectar ao agente de autenticao, porm no conseguiu estabelecer uma comunicao. A mensagem complementar indica o nome do agente de autenticao que provocou o problema. Soluo: Verifique se a senha de acesso na definio do autenticador est igual a senha colocada na configurao do agente de autenticao. Para maiores informaes, veja o captulo intitulado Cadastrando Entidades.
Aker Security Solutions
312
015 - Erro ao conectar com servidor de antivrus Esta mensagem indica que o Aker Web Gateway no conseguiu se conectar ao servidor de antivrus que estaria rodando em uma determinada mquina. A mensagem complementar indica o nome do servidor que no pode ser conectado e o endereo IP que ele supostamente estaria rodando. Soluo: Verifique se o endereo IP da mquina onde o agente estaria rodando est correto na definio da entidade (para maiores informaes, veja o captulo intitulado Cadastrando Entidades e que o agente est realmente sendo executado na mquina em questo. 016 - Erro de comunicao com servidor de anti-vrus Esta mensagem indica que o Aker Web Gateway conseguiu se conectar ao servidor de anti-vrus porm no conseguiu estabelecer uma comunicao. A mensagem complementar indica o nome do agente anti-vrus que provocou o problema e o endereo IP da mquina onde ele est rodando. Soluo: Verifique se a senha de acesso na definio da entidade est igual a senha colocada na configurao do agente anti-vrus. Para maiores informaes, veja o captulo intitulado Cadastrando Entidades. 017 - Erro ao conectar com Web Content Analyzer Esta mensagem indica que o Aker Web Gateway no conseguiu se conectar ao Web Content Analyzer que estaria rodando em uma determinada mquina. A mensagem complementar indica o nome do analisador que no pode ser conectado e o endereo IP que ele supostamente estaria rodando. Soluo: Verifique se o endereo IP da mquina onde o analisador estaria rodando est correto na definio da entidade (para maiores informaes, veja o captulo intitulado Cadastrando Entidades e que ele est realmente sendo executado na mquina em questo. 018 - Erro de comunicao com Web Content Analyzer Esta mensagem indica que o Aker Web Gateway conseguiu se conectar no Web Content Analyzer porm no conseguiu estabelecer uma comunicao. A mensagem complementar indica o nome do analisador que provocou o problema e o endereo IP da mquina onde ele est rodando. Soluo: Verifique se a senha de acesso na definio da entidade est igual a senha colocada na configurao do Web Content Analyzer. Para maiores informaes, veja o captulo intitulado Cadastrando Entidades. 019 - Falha de autenticao para proxy
Aker Security Solutions
313
Esta mensagem indica que um usurio informou uma senha invlida ao tentar autenticar-se em um determinado proxy. As mensagens complementares indicam o nome do usurio e as mquinas de origem e destino (no caso de proxy transparente) da conexo. 020 - Usurio no cadastrado para proxy Esta mensagem indica que um usurio no cadastrado tentou se autenticar em um determinado proxy. A mensagem complementar indica as mquinas de origem e destino (no caso de proxy transparente) da conexo. 021- Erro ao enviar dados para o kernel do Aker Web Gateway Esta mensagem indica que algum dos mdulos externos tentou enviar informaes para os mdulos do Aker Web Gateway que rodam dentro do kernel e no conseguiu. Se existir uma mensagem complementar entre parnteses, esta indicar quais informaes estavam sendo enviadas. 022 - Falha de autenticao para perfil de acesso Esta mensagem indica que um usurio informou uma senha invlida ao tentar se logar no Aker Web Gateway utilizando o Cliente de Autenticao Aker. As mensagens complementares indicam o nome do usurio e a mquina de origem da requisio. 023 - Usurio no cadastrado para perfil de acesso Esta mensagem indica que um usurio no cadastrado tentou se logar no Aker Web Gateway utilizando o Cliente de Autenticao Aker. A mensagem complementar indica a mquina de origem da requisio. 024 - Sesso de perfil de acesso estabelecida Esta mensagem indica que um usurio se logou corretamente no Aker Web Gateway utilizando o Cliente de Autenticao Aker. As mensagens complementares indicam o nome do usurio que estabeleceu a sesso e a mquina a partir da qual a sesso foi estabelecida. 025 - Sesso de perfil de acesso finalizada Esta mensagem indica que um usurio finalizou uma sesso no Aker Web Gateway estabelecida atravs do Cliente de Autenticao Aker. As mensagens complementares indicam o nome do usurio que finalizou a sesso e a mquina a partir da qual a sesso foi finalizada. 026 - Requisio de perfil de acesso invlida Esta mensagem, que pode ter vrias causas, indica que o servidor de login de usurios recebeu uma requisio invlida de um Cliente de Autenticao Aker.
Aker Security Solutions
314
As mensagens complementares indicam qual a causa do problema e o endereo da mquina de origem da requisio. 027- Conflito de verso de cliente de autenticao Esto sendo usadas duas verses diferentes de cliente de autenticao no mesmo IP: uma que suporta mltiplos usurios logados e outra que no. 028- Erro ao carregar pseudo-grupos Esta mensagem indica que o Aker Web Gateway no conseguiu carregar a lista de pseudo-grupos das autoridades certificadoras. Soluo: Contate o suporte tcnico 029- Erro ao carregar certificado Esta mensagem gerada quando no foi possvel carregar um certificado X509. 030- Erro ao baixar CRL Essa mensagem indica que o Aker Web Gateway no conseguiu baixar a lista de certificados revogados (CRL) de uma autoridade certificadora. As mensagens complementares mostram a razo pela qual no foi possvel baixar a lista e a URL da qual se tentou baix-la. Soluo: Verifique que a URL informada na definio da entidade do tipo autoridade certificadora est correta e que o servio est no ar. possvel fazer isso digitando- se a URL em um browser e verificando se possvel se receber o arquivo. 031 - Nmero de processos excessivo no sistema Esta mensagem indica que algum dos mdulos externos do Aker Web Gateway, ao tentar criar uma nova instncia de si prprio para tratar uma conexo, detectou que o nmero de processos executando no sistema est prximo do limite mximo permitido. Diante disso, a criao do novo processo foi cancelada e a conexo que deveria ser tratada pelo novo processo foi abortada. Soluo: Aumente o nmero mximo de processos no sistema. Para maiores informaes, consulte o Apndice B - Perguntas e respostas. 032 - Pedido de conexo de administrao Esta mensagem gerada pelo mdulo de administrao remota do Aker Web Gateway todas as vezes que este recebe um pedido de abertura de conexo. Na mensagem complementar mostrado o endereo IP da mquina que solicitou a abertura de conexo. 033 - Sesso de administrao estabelecida
Aker Security Solutions
315
Esta mensagem gerada pelo mdulo de administrao remota do Aker Web Gateway quando um usurio consegue se autenticar corretamente e iniciar uma sesso de administrao. Na mensagem complementar mostrado o login do usurio que estabeleceu a sesso e os seus direitos. Os direitos do usurio so representados atravs de trs siglas independentes. Caso o usurio possua um determinado direito ser mostrada a sigla correspondente a ele, caso contrrio ser mostrado o valor "--". As siglas e seus significados so os seguintes: CF - Configura Aker Web Gateway CL - Configura Log GU - Gerencia usurios 034- Sesso de administrao finalizada Esta mensagem indica que a sesso de administrao estabelecida anteriormente foi terminada a pedido do cliente. 035- Usurio no cadastrado para administrao Esta mensagem indica que um usurio no cadastrado no sistema tentou estabelecer uma sesso de administrao. 036 - Erro de confirmao de sesso de administrao Esta mensagem indica que um usurio cadastrado no sistema tentou estabelecer uma sesso de administrao remota porm sua senha estava incorreta. A mensagem complementar mostra o nome do usurio em questo. 037 - Aker Web Gateway sendo administrado por outro usurio Esta mensagem indica que um usurio conseguiu se autenticar corretamente para estabelecer uma sesso de administrao remota, porm j existia um outro usurio com uma sesso aberta para a mesma mquina e por isso a conexo foi recusada. A mensagem complementar indica qual o usurio que teve sua sesso recusada. 038 - Alterao de parmetro Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou algum parmetro de configurao do sistema. A mensagem complementar indica o nome do parmetro que foi alterado. 039 - Alterao da configurao de SNMP Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou os parmetros de configurao do agente SNMP. 040- Alterao dos perfis de acesso
Aker Security Solutions
316
Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou a lista de perfis de acesso. 041 - Alterao da lista de controle de acesso Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou a lista de controles de acesso. 042 - Alterao de parmetros de autenticao Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou os parmetros globais de autenticao. 043 - Alterao de entidades Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou a lista de entidades do sistema. 044 - Alterao de parmetros WWW Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou os parmetros WWW. 045 - Remoo de sesso de usurio ativa Esta mensagem indica que o administrador que estava com a sesso de administrao aberta removeu uma das sesses de usurios que estavam logados no Aker Web Gateway atravs do Cliente de Autenticao Aker. 046 - Operao sobre o arquivo de eventos Esta mensagem indica que o administrador que estava com a sesso de administrao aberta realizou uma operao sobre o arquivo de eventos. As operaes possveis so Compactar e Apagar. A mensagem complementar indica qual destas operaes foi executada. 047 - Operao sobre o arquivo de usurios Esta mensagem indica que o administrador que estava com a sesso de administrao aberta realizou uma operao sobre o arquivo de usurios. As operaes possveis so Incluir, Excluir e Alterar. A mensagem complementar indica qual destas operaes foi executada e sobre qual usurio. 048 - Alterao na data/hora do Sistema Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou a data e/ou a hora do Aker Web Gateway. 049 - Alterao nos certificados
Aker Security Solutions
317
Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou a lista de certificados das entidades certificadoras ou de revogao do Aker Web Gateway. 050 - Alterao da configurao de TCP/IP Esta mensagem indica que o administrador que estava com a sesso de administrao aberta alterou a configurao de TCP/IP do AWCA Gateway (hostname, configurao de DNS, configurao de interfaces ou rotas). 051- Alterao nas licenas de ativao A licena de ativao de um ou mais produtos foi alterada. 052 - Queda de sesso de administrao por erro Esta mensagem indica que a sesso de administrao que estava ativa foi interrompida devido a um erro de protocolo de comunicao. Soluo: Experimente estabelecer a conexo novamente. Se o problema voltar a ocorrer, consulte o suporte tcnico. 053 - Queda de sesso de administrao por inatividade Quando uma interface remota estabelece uma conexo de administrao, ela passa a enviar periodicamente pacotes para o Aker Web Gateway indicando que ela continua ativa. Estes pacotes so enviados mesmo que usurio no execute nenhuma operao. Esta mensagem indica que a sesso de administrao que estava ativa foi interrompida devido a um tempo limite ter sido atingido, sem o servidor ter recebido nenhum pacote da interface remota. A sua causa mais provvel uma queda na mquina que rodava a interface grfica ou uma queda na rede. 054 - Erro na operao anterior Esta mensagem indica que a ltima operao executada pelo servidor de comunicao remota no foi executada com sucesso. Soluo: Verifique se existe espao disponvel no diretrio '/' do Aker Web Gateway. Isto pode ser feito atravs do comando "$df -k". Se este comando mostrar o diretrio '/' com 100% de espao utilizado, ento isto a causa do problema. Caso exista espao disponvel e ainda assim este erro aparea, consulte o suporte tcnico. 055 - Usurio sem direito de acesso Esta mensagem indica que o usurio tentou realizar uma operao que no lhe era permitida.
Aker Security Solutions
318
Soluo: Esta mensagem no deve ser mostrada em condies normais de funcionamento do Aker Web Gateway. Se ela aparecer, contate o suporte tcnico. 056 - Pacote no reconhecido Esta mensagem indica que o servidor de comunicao do Aker Web Gateway recebeu uma requisio de servio desconhecida. Soluo: Contate o suporte tcnico. 057 - Pedido de fluxo inexistente Esta mensagem indica que uma inconsistncia interna ocorreu, de forma que um fluxo de dados para controle de banda (QoS), no foi encontrado. 058 - Pedido de pipe inexistente Esta mensagem indica que uma inconsistncia interna ocorreu, de forma que um pipe para controle de banda (QoS), no foi encontrado. 059 - Erro executando shell Esta mensagem informa que um erro grave de configurao foi encontrado que impede o login no console do Aker Web Gateway. Contate o suporte tcnico de seu revendedor. 060 - Erro lendo licena Esta mensagem indica que as informaes de licena do Aker Web Gateway esto com algum problema srio que impedem sua leitura. Reinsira a chave de ativao no Aker Web Gateway. 061 - Tentativa de login (console) frustada por senha incorreta Esta mensagem indica que algum tentou efetuar login no console do Aker Web Gateway, mas no tinha a senha correta. 062 - Sistema com defeito irremedivel. Contate o revendedor Esta mensagem informa que um erro grave de configurao foi encontrado que impede o login no console do Aker Web Gateway. Contate o suporte tcnico de seu revendedor. 063 - Login no console efetuado Esta mensagem registra o fato de algum operador ter efetuado login no console do Aker Web Gateway. 064 - Arquivo com vrus desinfectado
Aker Security Solutions
319
Esta mensagem indica que um arquivo analisado pelo Aker Web Gateway estava com vrus mas foi desinfectado. 065 - Arquivo com vrus bloqueado Esta mensagem indica que um arquivo estava com vrus e no pode ser removido, por isso o arquivo foi bloqueado. 066 - Arquivo no pode ser analisado pois estava corrompido Esta mensagem indica que o antivrus do Aker Web Gateway no pode analisar o arquivo pois o mesmo estava corrompido. 067 - Arquivo no pode ser analisado pois estava cifrado Esta mensagem indica que o antivrus do Aker Web Gateway no pode analisar o arquivo pois o mesmo estava cifrado. 068 - Mensagem do sistema operacional Esta mensagem utilizada para reportar mensagens produzidas pelo kernel do sistema operacional, que normalmente seriam mostradas no console. 069 - Erro ao criar processo Esta mensagem indica que o Aker Web Gateway tentou criar um novo processo para cuidar de uma determinada tarefa e no conseguiu. Possveis causas de erro so memria insuficiente no Aker Web Gateway ou nmero de processos ativos excessivamente alto. 070 - Processo recriado Esta mensagem indica que o processo de monitoramento do Aker Web Gateway recriou um processo crtico do sistema que no estava mais rodando. Se esta mensagem aparecer frequentemente, necessrio contatar o suporte tcnico para determinar a causa do problema. 071 - Processo foi interrompido Esta mensagem indica que o processo de monitoramento do Aker Web Gateway detectou que um processo crtico do sistema no estava mais rodando. Se esta mensagem aparecer frequentemente, necessrio contatar o suporte tcnico para determinar a causa do problema. 072 - Erro de rede Esta uma mensagem genrica para erros de rede. Favor verificar os complementos para maiores informaes sobre sua causa.
Aker Security Solutions
320
073 - Conexo TCP aceita pelo proxy reverso SSL Esta mensagem indica que o Aker Web Gateway recebeu uma conexo de Proxy Reverso SSL e a aceitou. 074 - Conexo TCP recusada pelo proxy reverso SSL Esta mensagem indica que o Aker Web Gateway recebeu uma conexo de Proxy Reverso SSL e a recusou. 075 - Conversao do MSN Messenger iniciada Esta mensagem gerada quando um usurio abre a janela de conversao no MSN Messenger, passando atravs do Aker Web Gateway. 076 - Conversao do MSN Messenger finalizada Esta mensagem gerada quando um usurio fecha a janela de conversao no MSN Messenger, passando atravs do Aker Web Gateway. 077 - Tempo dirio de uso de MSN Messenger excedido Esta mensagem indica que o tempo dirio de conversa atravs do MSN Messenger para o usurio em questo foi exercido. Este usurio no mais poder acessar o Messenger no dia corrente. 078 - Convite para transferncia de arquivo via MSN Messenger permitido Esta mensagem gerada quando um pedido de transferncia de arquivo atravs do Messenger foi recebido e aceito pelo Aker Web Gateway. 079 - Transferncia de arquivo via MSN Messenger bloqueada Esta mensagem gerada quando um pedido de transferncia de arquivo atravs do Messenger foi recebido e rejeitado pelo Aker Web Gateway. 080 - Convite para uso de aplicativo via MSN Messenger permitido Esta mensagem gerada quando um pedido de uso de aplicativo (jogos, video, etc) atravs do Messenger foi recebido e aceito pelo Aker Web Gateway. 081 - Uso de aplicativo via MSN Messenger no permitido Esta mensagem gerada quando um pedido de uso de aplicativo (jogos, video, etc) atravs do Messenger foi recebido e rejeitado pelo Aker Web Gateway. 082 - Conexo encerrada por timeout
Aker Security Solutions
321
Esta mensagem indica que uma conexo com um servidor do servio MSN Messenger foi encerrada por timeout. Verifique se o acesso Internet est funcionando corretamente. 083 - Erro analisando a mensagem Esta mensagem indica que o Aker Web Gateway detectou um erro de parser em uma mensagem do MSN Messenger. Caso esta mensagem aparea, favor contatar o suporte tcnico. 084- Servidor MSN Messenger no responde Esta mensagem indica que os servidores do servio MSN Messenger no esto respondendo. Verifique se a conexo com a Internet est funcionando corretamente. 085 - Usurio entrou no MSN Messenger Esta mensagem gerada todas as vezes que um usurio se autentica no servio MSN Messenger atravs do Aker Web Gateway. 086 - Usurio saiu do MSN Messenger Esta mensagem gerada todas as vezes que um usurio sai do servio MSN Messenger, passando atravs do Aker Web Gateway. 087 - Usurio sem permisso tentou entrar no MSN Messenger Esta mensagem gerada todas a vezes que um usurio sem permisso tenta acessar o servio MSN Messenger passando atravs do Aker Web Gateway. 088 - Mensagem de debug do Antivrus Esta uma mensagem com prioridade de depurao gerada pelo antivrus. Verifique os complementos para maiores informaes. 089 - Informao do Antivrus Esta uma mensagem com prioridade de informao gerada pelo antivrus. Verifique os complementos para maiores informaes. 090 - Aviso importante do Antivrus Esta uma mensagem com prioridade de aviso gerada pelo antivrus. Verifique os complementos para maiores informaes. 091 - Mensagem de alerta do Antivrus
Aker Security Solutions
322
Esta uma mensagem com prioridade de alerta gerada pelo antivrus. Verifique os complementos para maiores informaes. 092 - O Antivrus encontrou um erro Esta uma mensagem com prioridade de erro gerada pelo antivrus. Verifique os complementos para maiores informaes. 093 - Mensagem de debug do Web Content Analyzer Esta uma mensagem com prioridade de depurao gerada pelo Aker Web Content Analyzer. Verifique os complementos para maiores informaes. 094 - Informao do Web Content Analyzer Esta uma mensagem com prioridade de informao gerada pelo Aker Web Content Analyzer. Verifique os complementos para maiores informaes. 095 - Aviso importante do Web Content Analyzer Esta uma mensagem com prioridade de aviso gerada pelo Aker Web Content Analyzer. Verifique os complementos para maiores informaes. 096 - Mensagem de alerta do Web Content Analyzer Esta uma mensagem com prioridade de alerta gerada pelo Aker Web Content Analyzer. Verifique os complementos para maiores informaes. 097 - O Web Content Analyzer encontrou um erro Esta uma mensagem com prioridade de erro gerada pelo Aker Web Content Analyzer. Verifique os complementos para maiores informaes. 098 - Relatrio gerado e publicado com sucesso Esta mensagem indica que um relatrio que estava agendado foi gerado e publicado com sucesso pelo Aker Web Gateway. 099- Erro conectando ao servio de quotas No foi possvel se conectar ao servidor de quotas. 100- Erro carregando lista de categorias No foi possvel carregar uma entidade do tipo lista de categorias. 101- Erro de comunicao como o servio de quotas O servidor de quotas no est respondendo.
Aker Security Solutions
323
102- Quota de bytes expirada A quota de trfego de um usurio expirou. 103- Quota de bytes insuficiente para a operao No existe quota suficiente para um usurio fazer a transferncia que ele tentou realizar (o tamanho do arquivo a ser transferido maior do que a quota). 104- Quota de tempo expirada A quota de tempo de navegao de um usurio expirou. 105- Consumo de quotas Esta mensagem gerada periodicamente pelo servio de quotas quando um usurio utilizou parte de sua quota de trfego ou tempo. Ela posteriormente usada pelo gerador de relatrios para traar grficos de uso de quotas.
22.1.1. Eventos gerados pelo Filtro Web
TAG MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA MENSAGEM, MSG1, MSG2 ERRO_AUTH_PROXY Usuario/Autenticado ip Origem 16/01/2010,15:28:51,Info,340, Proxy HTTP, Falha de autenticacao para proxy ,rodrigo.aranha/AD,source: 10.4.0.186
NAO_CADASTRADO_PROXY NULL ORIGEM 16/01/2010,15:28:51,Info,340, Proxy HTTP, Usuario nao cadastrado para proxy, , source: 10.4.0.186
HTTP_VIRUS_CLEANED NOME DO VIRUS URL do virus 20/01/2010,10:43:17,Warning,246,Proxy HTTP,Arquivo com virus desinfectado,EICAR_Test,http://www.eicar.org/download/eicarcom2.zip
HTTP_VIRUS_BLOCKED NOME DO VIRUS URL do virus 20/01/2010,10:43:17,Warning,247,Proxy HTTP,Arquivo com virus bloqueado,EICAR_Test,http://www.eicar.org/download/eicarcom2.zip
Aker Security Solutions
324
HTTP_VIRUS_NS_CORRUPT NULL URL do Virus 20/01/2010,10:43:17,Warning,248,Proxy HTTP,Arquivo nao pode ser analisado pois estava corrompido,,http://www.eicar.org/download/eicarcom2.zip
HTTP_VIRUS_NS_CRYPT NULL URL do Virus 20/01/2010,10:43:17,Warning,249,Proxy HTTP,Arquivo nao pode ser analisado pois estava cifrado,,http://www.eicar.org/download/eicarcom2.zip
HTTP_DOWNLOAD_ACCOUNTING Usuario/Autenticado - Perfil Origem IP - Destino IP e URL 19/01/2010,08:41:05,Info,341, Proxy HTTP,Contabilidade de trafego HTTP (downloads),recepcao/AD - 0.102 s,Up 175 B - Dw 285 B URL: http://www.google.com/
HTTP_WWW_ACCOUNTING Usuario/Autenticado - Perfil Origem IP - Destino IP e URL 16/01/2010,15:28:51,Info,340, Proxy HTTP, Contabilidade de trafego HTTP (WWW),rodrigo.aranha/AD - 0.933 s,Up 424 B - Dw 562 B URL: http://www.google.com/
QUOTA_EXPIRED_BYTES Usuario/Autenticado - Perfil Origem IP - Destino IP e URL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de bytes expirado,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229 Destino: 74.125.45.86 URL: http://www.google.com
QUOTA_EXPIRED_TIME Usuario/Autenticado - Perfil Origem IP - Destino IP e URL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de tempo expirada,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229 Destino: 74.125.45.86 URL: http://www.google.com
QUOTA_INSUFFICIENT_BYTES Usuario/Autenticado - Perfil Origem IP - Destino IP e URL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de bytes insuficiente para a operacao,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229 Destino: 74.125.45.86 URL: http://www.google.com
Aker Security Solutions
325
URL_ACEITA Usuario/Autenticado, Perfil ip Origem,host 19/01/2010,13:45:31,Info,095,Proxy HTTP,URL aceita,thiago.chaves/AD ,Suporte Tcnico,10.2.0.243,http://189.22.237.40/
URL_REJEITADA Usuario/Autenticado, Perfil ip Origem,host 19/01/2010,13:43:34,Notice,097 Proxy HTTP,URL rejeitada,lidia.silva/AD ,Adminsitrativo,10.0.0.229,http://www.google.com
ERRO_CON_ANALISADOR IP do analizador NULL 27/01/2010,19:38:24,Error,119, Proxy HTTP,Erro ao conectar com Web Content Analyzer,127.0.0.1,
QUOTA_COMM_ERR quota read: retorno e erro NULL 19/01/2010,18:42:01,Warning,324,Proxy HTTP,Erro de comunicacao com o servico de quotas,quota read: -3 25,
NAO_LEU_ACL NULL NULL 19/01/2010,18:42:01,Error,64,Proxy HTTP,Erro ao carregar perfis de acesso,,
NAO_LEU_CATLIST Retorno da funo e errno NULL 19/01/2010,18:16:01,Error,323,Erro carregando lista de categorias, -2 34
QUOTA_INIT_ERR socket, errno NULL 20/01/2010,11:28:56,Error,318,Proxy MSN Messenger,Erro conectando ao servico de quotas, 7 13,
Aker Security Solutions
326
ERRO_SERV_AUTH connect (errno) NULL 20/01/2010,11:28:56,Error,109,Proxy MSN Messenger,Erro ao comunicar com servidor de autenticacao,connect(10), v_auth NULL 20/01/2010,11:28:56,Error,109,Proxy MSN Messenger,Erro ao comunicar com servidor de autenticacao,v_auth,
22.1.2. Eventos gerados pelo Proxy MSN
MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA MENSAGEM, MSG1, MSG2
IP Profiao Passaportes Usuario->com quem [Tempo de conversa ]\nNome do Usuario\Autenticao 27/01/2010,19:03:34,Info,279, Proxy MSN Messenger,Conversacao do MSN Messenger finalizada,IP: 192.168.222.254 - Prof: Suporte Tcnico,Passports: diogo.falcomer@gmail.com -> pablo_viana@hotmail.com [ 00:01:15 ] Username: diogo.falcomer/AD
IP Profiao Passaporte [Tempo de conversa] \nNome do Usuario\Autenticao 27/01/2010,19:23:24,Info,290, Proxy MSN Messenger,Usuario saiu do MSN Messenger,IP: 10.3.0.6 - Prof: Suporte Tcnico,Passport: edilson.moura@aker.com.br [ 00:07:53 ] Username: edilson.moura/AD
Cant connect Server : IP 27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro no antivirus,Cant Connect, Server:xxx.xxx.xxx.xxx av_auth Unable to auth 27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro no antivirus,av_auth,Unable to auth av_greeting_h Can't receive server greeting header 27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro no antivirus,av_greeting_h,Can't receive server greeting headert av_greeting_b Can't receive server greeting body 27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro no antivirus,av_greeting_b,Can't receive server greeting body av_send_file Can't send file to AV 27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro no antivirus,av_send_file,Can't send file to AV
Aker Security Solutions
327
av_get_answer Can't get answer from AV 27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro no antivirus,av_get_answer, Can't get answer from AV av_get_answer Error on answer received 27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro no antivirus, Error on answer received
sendto Error: inteiro Errno: inteiro 20/01/2010,12:38:49,Warning,109, Proxy MSN Messenger,Erro ao comunicar com servidor de autenticacao,sendto,error: -3 errno: 11 find Prof: nome da profiao 20/01/2010,12:38:49,Warning,109, Proxy MSN Messenger,Erro ao comunicar com servidor de autenticacao,find,Suporte Tcnico
IP Profiao Passaporte: \nNome do Usuario\Autenticao 20/01/2010,12:36:44,Info,289,Proxy MSN Messenger,Usuario entrou no MSN Messenger,IP: 10.0.0.232 - Prof: Adminsitrativo,Passport: diego.fernandes@aker.com.br Username: recepcao/AD
From Cliente ou Servidor , Ret: erro Mensagem 15/01/2010,17:39:57,Error,287,Proxy MSN Messenger,Erro analisando a mensagem,from server, ret = -43,MSG madanovavida2009@hotmail.com [i][b]Mada..."HOJE%20tudo%20SER<83><81>%20para%20SEMPRE..."[/b][/i] 248^M
File infected FILENAME 20/01/2010,12:36:44,Warning,348,Proxy MSN Messenger,Arquivo infectado foi bloqueado,File Infected,trojan.exe
File clean FILENAME 20/01/2010,16:16:58,Info,349,Proxy MSN Messenger,Arquivo nao tem virus,File clean,chines.TXT
Aker Security Solutions
328
session id: SESSION ID 25/01/2010,19:34:35,Warning,345,Proxy MSN Messenger,Pacote de transferencia de arquivo nao consta na lista de transferencias ativas,session id:,2628610983
nome da funo Empty File! Sess_d: ID 20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxy messenger,msn_get_msnp2p_data,Empty file! Sess_id: 26192345 nome da funo Out of order packet! Current: pkg, Expected: pkg 20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxy messenger,msn_get_msnp2p_data,Out of order packet! Current:current_pkg Expected: Expected_ nome da funo "Error on fork! Numero da Linha 20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxy messenger,msn_get_msnp2p_data,Error on fork! Line: 2736
unable to write on disk! errno: INTEIRO 20/01/2010,16:16:59,Error,347,Proxy MSN Messenger,Proxy messenger nao pode salvar o arquivo em disco,unable to write on disk, errno: 34
Nome do arquivo (tamanho) Prof: profissao. Passaportes Usuario->com quem \nNome do Usuario\Autenticao 20/01/2010,11:43:39,Info,282,Proxy MSN Messenger,Convite para transferencia de arquivo via MSN Messenger permitido,'messages_20jan10.RAR' (87976 bytes) - Prof: Suporte T,Passports: victor.aker@hotmail.com -> thiago.divino@gmail.com Username: victor.rossi/AD
Nome do arquivo (tamanho) Prof: profissao. Passaportes Usuario->com quem \nNome do Usuario\Autenticao 20/01/2010,15:45:42,Notice,283,Proxy MSN Messenger,Transferencia de arquivo via MSN Messenger bloqueada,'VPNs.DOC' (569856 bytes) - Prof: Suporte Tcnico,Passports: edilson.moura@aker.com.br -> lucas.pereira@aker.com.br Username: edilson.moura/AD
id de um servio do msn Prof: Profio Passaportes Usuario->com quem \nNome do Usuario\Autenticao 20/01/2010,15:45:42,Info,283,Convite para uso de aplicativo via MSN Messenger permitido,transferencia de arquivo - Prof: Suporte
id de um servio do msn Prof: Profio Passaportes Usuario->com quem \nNome do Usuario\Autenticao 20/01/2010,15:45:42,Notice,284,Uso de aplicativo via MSN Messenger nao permitido, jogo - Prof: Suporte Tcnico,Passports: edilson.moura@aker.com.br -> lucas.pereira@aker.com.br Username: edilson.moura/ADse
IP Profiao Passaportes Usuario->com quem \nNome do Usuario\Autenticao 20/01/2010,11:28:56,Notice,278,Proxy MSN Messenger,Conversacao do MSN Messenger bloqueada,IP: 10.0.0.234 - Prof: Adminsitrativo,Passports: josimar_hip@yahoo.com -> recepcao@aker.com.br Username: apoio.administrativo/AD
IP Profiao Passaportes Usuario->com quem \nNome do Usuario\Autenticao 20/01/2010,11:27:44,Info,277,Proxy MSN Messenger,Conversacao do MSN Messenger iniciada,IP: 10.2.0.204 - Prof: Suporte Tcnico,Passports: victor.aker@hotmail.com -> vlandemir@msn.com Username: victor.rossi/AD
IP Profiao Passaporte do Usuario \nNome do Usuario\Autenticao 20/01/2010,11:27:44,Notice,291,Proxy MSN Messenger,Usuario sem permissao tentou entrar no MSN Messenger,10.4.0.19 Prof: Estagirio, bruno.lobo@aker.com.br bruno.lobo/AD
IP Profiao Passaporte do Usuario \nNome do Usuario\Autenticao 20/01/2010,11:27:44,Notice,281,Proxy MSN Messenger,Notificacao do Hotmail bloqueada,10.4.0.19 Prof: Estagirio, bruno.lobo@aker.com.br bruno.lobo/AD
NULL IP do servidor : porta do servidor 19/01/2010,18:42:01,Warning,288,Proxy MSN Messenger,Servidor MSN Messenger nao responde, ,65.54.52.254:1863
Aker Security Solutions
330
clfwquota_test_and_consume(): retorno e erro NULL 19/01/2010,18:42:01,Warning,324,Proxy MSN Messenger,Erro de comunicacao com o servico de quotas,clfwquota_test_and_consume(): -3 25, clfwquota_read(): NULL 19/01/2010,18:42:01,Warning,324,Proxy MSN Messenger,Erro de comunicacao com o servico de quotas,clfwquota_read(): -3 25,
NULL NULL 20/01/2010,11:28:56,Notice,314,Proxy MSN Messenger,Quota de bytes expirada,,
NULL NULL 20/01/2010,11:28:56,Notice,316,Proxy MSN Messenger,Quota de tempo expirada,,
socket, errno NULL 20/01/2010,11:28:56,Error,318,Proxy MSN Messenger,Erro conectando ao servico de quotas, 7 13,
Aker Security Solutions
331
Ap2ndice 4 3 Copyrig5ts e 6isclaimers
Aker Security Solutions
332
23. Apndica B Copyrights e Disclaimers Neste apndice esto listados os disclaimers das bibliotecas e cdigos fontes de terceiros utilizadas no Aker Web Gateway. Estes disclaimers se aplicam apenas s partes explicitamente citadas e no ao Aker Web Gateway como um todo. Eles esto citados aqui devido a exigncias das entidades desenvolvedoras: Biblioteca SNMP Copyright 1997 by Carnegie Mellon University All Rights Reserved Permission to use, copy, modify, and distribute this software and its documentation for any purpose and without fee is hereby granted, provided that the above copyright notice appear in all copies and that both that copyright notice and this permission notice appear in supporting documentation, and that the name of CMU not be used in advertising or publicity pertaining to distribution of the software without specific, written prior permission. CMU DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE, INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS, IN NO EVENT SHALL CMU BE LIABLE FOR ANY SPECIAL, INDIRECT OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.
Algoritmo MD5 Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. All rights reserved.
License to copy and use this software is granted provided that it is identified as the "RSA Data Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning referencing this software or this function. License is also granted to make and use derivative works provided that such works are identified as "derived from the RSA Data Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning or referencing the derived work. RSA Data Security, Inc. makes no representations concerning either the merchantability of this software or the suitability of this software for any particular purpose. It is provided "as is" without express or implied warranty of any kind.
These notices must be retained in any copies of any part of this documentation and/or software.
Aker Security Solutions
333
Agente SNMP Copyright (c) 1996,1997 Wes Hardaker and the University of California at Davis COPYRIGHT Many portions of the code in this package were distributed by Carnegie Mellon University. All other code and changes to the original code written by Wes Hardaker at the University of California at Davis is copyrighted under the following copyright: Permission is granted to use, copy, modify and distribute this software and documentation. This software is distributed freely and usage of it is not subject to fees of any kind. It may be included in a software compact disk set provided that the author is contacted and made aware of its distribution.