AkerFirewall 6.1.0 Pt Man 004

Introduo 1- Instalando o Firewall Aker 1-1 Requisitos de hardware software 1-2 Instalando o firewall 1-3 Instalando a interface remota 2- Utilizando a interface remota 2-1 Iniciando a interface remota 2-2 Finalizando a administrao remota 2-3 Mudando sua senha de usurio 2-4 Visualizando informaes da sesso 2-5 Utilizando a ajuda on-line 3- Administrando usurios do firewall 3-1 Utilizando a interface grfica 3-2 Utilizando a interface texto 4- Configurando os parmetros do sistema 4-1 Utilizando a interface grfica 4-2 Utilizando a interface texto 5- Cadastrando Entidades 5-1 Planejando a instalao 5-2 Cadastrando entidades utilizando a interface grfica 5-3 Utilizando a interface texto 5-4 Utilizando o Assistente de Entidades 6- O Filtro de Estados 6-1 Planejando a instalao 6-2 Editando uma lista de regras usando a interface grfica 6-3 Trabalhando com Polticas de Filtragem 6-4 Utilizando a interface texto 6-5 Utilizando a Assistente de regras 6-6 Utilizando as Regras de Pipes 7- Configurando a Converso de Endereos 7-1 Planejando a instalao 7-2 Utilizando a interface grfica 7-3 Utilizando a interface texto 7-4 Redundncia de Link Via Modem 7-5 Utilizando o Assistente de Configurao NAT 8- Criando canais de criptografia 8-1 Planejando a instalao 8-2 Carregando certificados Aker-CDP 8-3 Certificados IPSEC 8-4 Configurando canais Firewall-Firewall 8-5 Utilizando a interface texto 9- Configurando criptografia Cliente-Firewall 9-1 Planejando a Instalao 9-2 Configurando o firewall utilizando a interface grfica 9-3 Configurando o firewall utilizando a interface texto 9-4 VPN - SSL 10- Configuraes do Secure Roaming 10-1 Utilizando a interface grfica 11- Configurando o Proxy SSL 11-1 Editando os parmetros de um contexto SSL 11-2 Configurando regras de Proxy SSL 12- Integrao dos mdulos do Firewall 12-1 O fluxo de pacotes no Firewall Aker 12-2 Integrao do filtro com a converso de endereos

Aker Firewall 6.1 - Pgina 1

12-3 Integrao do filtro com a converso e a criptografia 13- Configurando a Segurana 13-1 Proteo contra SYN Flood 13-2 Utilizando a interface grfica para Proteo contra SYN Flood 13-3 Proteo de Flood 13-4 Utilizando a interface grfica para Proteo de Flood 13-5 Proteo Anti Spoofing 13-6 Utilizando a interface grfica para Anti Spoofing 13-7 Utilizando a interface texto - Syn Flood 13-8 Utilizando a interface texto - Proteo de Flood 13-9 Utilizando a interface texto - Anti Spoofing 13-10 Bloqueio por excesso de tentativas de login invlidas

14- Configurando as aes do sistema 14-1 Utilizando a interface grfica 14-2 Utilizando a interface texto 15- Visualizando o log do sistema 15-1 Utilizando a interface grfica 15-2 Formato e significado dos campos dos registros do log 15-3 Utilizando a interface texto 16- Visualizando os eventos do sistema 16-1 Utilizando a interface grfica 16-2 Formato e significado dos campos das mensagens de eventos 16-3 Utilizando a interface texto 17- Visualizando estatsticas 17-1 Utilizando a interface grfica 17-2 Utilizando a interface texto 18- Visualizando e removendo conexes 18- 1 Utilizando a interface grfica 18- 2 Utilizando a interface texto 19- Utilizando o Gerador de Relatrios 19-1 Acessando Relatrios 19-2 Configurando os Relatrios 20- Trabalhando com proxies 20-1 Planejando a instalao 20-2 Instalando o agente de autenticao em plataformas Unix 20-3 Instalando o agente de autenticao em Windows NT/2000 21- Configurando parmetros de autenticao 21-1 Utilizando a interface grfica 21-2 Utilizando a interface texto 22- Perfis de acesso de usurios 22-1 Planejando a instalao 22-2 Cadastrando perfis de acesso 22-3 Associando usurios com perfis de acesso 23- Autenticao de Usurios 23-1 Visualizando e removendo usurios conectados no firewall 23-2 Utilizando a interface texto 24- Configurando o proxy SMTP 24-1 Editando os parmetros de um contexto SMTP 25- Configurando o proxy Telnet 25-1 Editando os parmetros de um contexto Telnet 26- Configurando o proxy FTP 26- 1 Editando os parmetros de um contexto FTP 27- Configurando o proxy POP3 27-1 Editando os parmetros de um contexto POP3 28- Quotas 28-1 Utilizandos as quotas 28-2 Editando os parmetros de Quota Usage


29- Configurando o Filtro Web 29-1 Planejando a instalao 29-2 Editando os parmetros do Filtro Web 30- Configurando o proxy SOCKS 30-1 Planejando a instalao 30-2 Editando os parmetros do proxy SOCKS 31- Configurando o proxy RPC e o proxy DCE-RPC 31-1 Editando os parmetros de um contexto RPC 31-2 Editando os parmetros de um contexto DCE-RPC 32- Configurando o proxy MSN 32-1 Planejando a instalao 32-2 Editando os parmetros do Proxy MSN 33- Configurando Filtragem de Aplicaes 33-1 Planejando a instalao 33-2 Criando regras de Filtragem de Aplicaes 33-3 Criando Filtros de Aplicaes 34- Configurando IPS/ IDS 34-1 Acessando IPS/IDS 34-2 Visualizando os IPs bloqueados 34-3 Configurando a Atualizao de Assinaturas 34-4 Instalando o Plugin para IDS Externo no Windows NT 34-5 Utilizando a interface texto - Portscan 34-6 Utilizando a interface texto - IDS Externo 35- Utilizando as ferramentas da interface grfica 35-1 Chaves de ativao 35-2 Salvar Configuraes 35-3 Carregar Configuraes 35-4 DNS Reverso 35-5 Data e Hora 35-6 Simulao de Regras de Filtragem 35-7 Relatrios 35-8 Atualizaes 35-9 Configurao TCP/IP 35-10 Reinicializar firewall 35-11 Busca de entidades 35-12 Janela de Alarmes 35-13 Visualizando a rede graficamente 35-14 Visualizando estatsticas do sistema 35-15 Utilizando a Janela de Sniffer de Pacotes 35-16 Visualizando o Estado dos Agentes Externos 35-17 Utilizando o Verificador de Configurao 35-18 Utilizando a interface texto nas Chaves de Ativao 35-19 Utilizando a interface texto na Configurao TCP/IP 35-20 Utilizando a interface texto na Configurao de Wireless 35-21 Utilizando a interface texto na Configurao de DDNS 35-22 Configurao do Link 3G 35-23 Utilizando a interface texto na Configurao de Roteamento por origem

36- Configurando o Firewall em Cluster 36-1 Planejando a Instalao 36-2 Configurao do Cluster 36-3 Estatstica do Cluster 36-4 Utilizando a interface texto 37- Arquivos do sistema e backup 37-1 Arquivos do sistema 37-2 Backup do Firewall 38- Firewall Aker Box Apndice A - Mensagens do sistema Apndice B - Perguntas e respostas Apndice C - Copyrights e Disclaimers ndice


IntroduoEste o manual do usurio da verso 6.1 do Aker Firewall. Nos prximos captulos voc aprender como configurar esta poderosa ferramenta de proteo s redes. Esta introduo tem como objetivo descrever a organizao deste manual e tentar tornar sua leitura o mais simples e agradvel possvel.

Como est disposto este manual. Este manual est organizado em vrios captulos. Cada captulo mostrar um aspecto da configurao do produto e todas as informaes relevantes ao aspecto tratado. Todos os captulos comeam com uma introduo terica sobre o tema a ser tratado seguido dos aspectos especficos de configurao do Aker Firewall. Juntamente com esta introduo terica, alguns mdulos possuem exemplos prticos do uso do servio a ser configurado, em situaes hipotticas porm bastante prximas da realidade. Buscamos com isso tornar o entendimento das diversas variveis de configurao o mais simples possvel. Recomendamos que este manual seja lido pelo menos uma vez por inteiro, na ordem apresentada. Posteriormente, se for necessrio, pode-se us-lo como fonte de referncia (para facilitar seu uso como referncia, os captulos esto divididos em tpicos, com acesso imediato pelo ndice principal. Desta forma, pode-se achar facilmente a informao desejada). seguido de uma frase escrita em letras vermelhas. Isto significa que a frase em questo Em vrios locais deste manual, aparecer o smbolo uma observao muito importante e deve ser totalmente entendida antes de prosseguir com a leitura do captulo. Interface texto vs. Interface Grfica O Aker Firewall possui duas interfaces distintas para sua configurao: uma interface grfica remota e uma interface texto local. A interface grfica A interface grfica chamada de remota porque atravs dela possvel administrar remotamente, via Internet, um Aker Firewall localizado em qualquer parte do mundo. Esta administrao feita atravs de um canal seguro entre a interface e o firewall, com um forte esquema de autenticao e criptografia, de modo a torn-la totalmente segura. A interface grfica de uso bastante intuitivo e est disponvel para plataformas Windows 95TM , Windows 98TM , Windows NT TM , Windows 2000 TM , Windows XPTM , Linux, FreeBSD e sob demanda em outros sabores de Unixes. A interface texto A interface texto uma interface totalmente orientada linha de comando que roda na mquina onde o firewall est instalado. O seu objetivo bsico possibilitar a automao de tarefas da administrao do Aker Firewall (atravs da criao de scripts) e possibilitar uma interao de qualquer script escrito pelo administrador com o Firewall. Praticamente todas as variveis que podem ser configuradas pela interface grfica podero ser configuradas tambm pela interface texto. Como as duas interfaces tratam das mesmas variveis, a funcionalidade, os valores e os comentrios destas tm validade tanto para interface grfica quanto para a interface texto. Devido a isso, os tpicos referentes interface texto normalmente sero curtos e se limitaro a mostrar seu funcionamento. Caso tenha dvida sobre algum parmetro, deve-se recorrer explicao do mesmo no tpico relativo interface grfica. No possvel o uso simultneo de vrias interfaces grficas para um mesmo Firewall, nem o uso da interface texto enquanto existir uma interface grfica aberta.

O FirewallCom a evoluo da Internet, o ambiente das aplicaes a nvel de routers, tornou-se um ambiente dinmico que constantemente oferece novos protocolos, servios e aplicaes. Os routers e proxies no so suficientes e no conseguem garantir a segurana s diversas aplicaes da Internet ou cumprir as novas necessidades empresariais, alto bandwidth e a exigncias de segurana de redes. Diante da necessidade das organizaes em proteger suas redes, a Aker desenvolveu o Aker Firewall. A segurana que envolve a rede construda por um conjunto de programas e tcnicas que tem por finalidade liberar ou bloquear servios dentro de uma rede interligada Internet de forma controlada. Sendo o Firewall a parte mais importante em um programa de segurana, no deve-se esquecer a importncia de utilizar ferramentas que auxiliam na deteco de brechas e vulnerabilidades dos sistemas operacionais que esto em uso na rede, bem como, o uso de programas que detectam intrusos ou ataques. importante tambm, saber qual ao a ser tomada quando uma violao ou um servio importante parar.


Copyrights do Sistema Copyright (c) 1997-2003 Aker Security Solutions. utiliza a biblioteca SSL escrita por Eric Young ([email protected]). Copyright 1995 Eric Young. utiliza o algoritmo AES implementao do Dr. B. R. Gladman ([email protected]). utiliza o algoritmo MD5 retirado da RFC 1321. Copyright 1991-2 RSA Data Security, Inc. utiliza a biblioteca CMU SNMP. Copyright 1997 Carnegie Mellon University. utiliza a biblioteca de compresso Zlib. Copyright 1995-1998 Jean-loup Gailly and Mark Adler. utiliza a biblioteca QWT escrita por Josef Wilgen. Copyright 1997. inclui software desenvolvido pela Universidade da California, Berkeley e seus colaboradores. inclui software desenvolvido por Luigi Rizzo, Universita` di Pisa Portions Copyright 2000 Akamba Corp. inclui software desenvolvido por Niklas Hallqvist, Angelos D. Keromytis and Haan Olsson. inclui software desenvolvido por Ericsson Radio Systems. ndice


1- Instalando o Aker FirewallMostraremos neste captulo todos os passos e requisitos necessrios para instalar o Aker Firewall.

1-1 Requisitos de hardware e softwarePara o firewall O Aker Firewall 6.1 roda sobre o sistema operacional Fedora Core 8, em plataformas Intel ou compatveis. No entanto, este software necessrio para rodar o firewall, deve ser adquirido separadamente. Para que o Aker Firewall execute de maneira satisfatria todos os componentes de hardware necessrio possuir as seguintes configuraes: Computador Intel Pentium ou compatvel 1.3Mhz ou superior; Para utilizar um link com alta taxa de transferncia ou utilizar criptografia em um link com velocidade relativamente alta, recomenda-se o uso de um computador mais potente. 256Mbytes de memria RAM; Para fazer um grande uso dos servios de proxy e de criptografia, provavelmente ser necessrio utilizar memria maior ou igual a 512 Mbytes. 20 Gbytes de espao em disco; Para armazenar os logs do sistema por um grande espao de tempo recomenda-se o uso de um disco maior. Leitor de CD-ROM, monitor, mouse e teclado; Isso s necessrio durante a instalao ou caso se pretenda utilizar a interface texto a partir do console, entretanto altamente recomendado em todos os casos. Placa(s) de rede; No existe um nmero mximo de placas de rede que podem ser colocadas no Firewall. A nica limitao existente a limitao do prprio hardware. Caso necessite de um grande nmero de interfaces de rede, pode-se optar por placas com mais de uma sada na mesma interface. importante ressaltar que todos os dispositivos de hardware devam ser suportados pelo Linux Fedora Core 8. Antes de adquirir qualquer componente deve-se primeiro verificar se este sistema operacional, nas verses suportadas pelo Aker Firewall, aceita este componente. Para maiores informaes sobre os sistemas operacionais Linux Fedora Core 8 ou para verificar se um componente ou no suportado por eles, sugere-se um dos seguintes endereos: WWW http://www.linux.org/ (Linux - ingls) http://www.kernel.org/ (Linux - ingls) http://www.redhat.com/ (Linux - ingls) http://www.conectiva.com.br/ (Linux - portugus) E-Mail [email protected]?Subject=subscribe (lista de discusso do Linux) A Aker Security Solutions no se responsabiliza por nenhum problema de configurao, operao, compatibilidade ou informao relativa aos sistemas operacionais Linux. Todos os componentes do hardware devem ser suportados pelo Linux, em alguma das verses aceitas pelo firewall. Para a interface grfica A interface grfica de administrao do Aker Firewall roda em plataformas Windows 200 ou superiores, Linux em plataformas Intel ou compatveis. Para que a interface grfica execute de maneira satisfatria os componentes de hardware deve-se possuir as seguintes configuraes:


Computador Pentium II ou compatvel 450 Mhz ou superior 256 Mbytes de memria RAM 2 Gbytes de espao livre em disco Monitor Mouse Teclado Placa de rede Todos os componentes do hardware devem ser suportados pelo sistema operacional na qual a interface ser instalada, em alguma das verses aceitas pelo produto. Para o servidor de log remoto O servidor de log remoto do Aker Firewall roda em plataformas Windows NT ou superiores, Linux, em plataformas Intel ou compatveis. Para que o servidor de log execute de maneira satisfatria os componentes de hardware deve-se possuir as seguintes configuraes: Computador Pentium III ou compatvel 1 Ghz ou superior Sistema de armazenagem com velocidade igual ou superior a um Ultra-ATA 66 128 Mbytes de memria RAM (recomenda-se 256 Mbytes) 40 Gbytes de espao em disco Monitor Mouse Teclado Placa(s) de rede Todos os componentes do hardware devem ser suportados pelo sistema operacional onde o servidor ser instalado, em alguma das verses aceitas pelo produto.

1-2 Instalando o firewallO Aker Firewall pode ser adquirido na forma de appliance, i.e. Firewall Box. Sendo comprado desta forma, o produto j vem instalado e prconfigurado. Caso tenha optado por comprar apenas o software, a instalao dever ser feita na mquina escolhida, o que ser explicado neste tpico. Para instalar o Aker Firewall necessrio que o sistema operacional Linux seja instalado primeiro. A instalao de ambos simples, porm, recomenda-se que ela seja feita por algum que possua algum conhecimento do sistema operacional Unix. O procedimento bsico de instalao do Linux se encontra nos CD-ROMs. Caso surjam problemas, sugere-se recorrer s fontes de informao mostradas no tpico anterior. Aps instalado o Linux deve-se proceder com a instalao do Aker Firewall. Para instal-lo deve-se montar o CD-ROM de instalao na mquina que se deseja instalar ou copiar o contedo do diretrio de instalao do CD-ROM, para algum diretrio temporrio na mquina que se deseja instalar o produto ( possvel realizar esta cpia via FTP ou NFS, caso no possua um leitor de CD-ROM na mquina na qual o produto deve ser instalado). Aps realizar a montagem do CD-ROM, ou a cpia dos arquivos para um diretrio qualquer, deve-se executar o seguinte comando: #/diretorio_de_instalacao/br/firewall/plataforma/fwinst O smbolo # representa o prompt do shell quando executado como root, ele no deve ser digitado como parte do comando.

Instalando o Firewall no sistema operacional LinuxO programa fwinst o responsvel por efetuar a instalao e a configurao do sistema para a execuo do Aker Firewall. Ao ser executado, ele mostrar a seguinte tela: Firewall Aker v6.1 - Programa de Instalacao Este programa realiza a instalacao do Firewall Aker 6.1 e da interface texto de configuracao local. O Firewall Aker 6.1 pode ser instalado no kernel distribuido junto com o Linux Fedora Core 8. Deseja prosseguir com a instalacao do firewall (S/N) ? Aps responder Sim, o programa de instalao mostrar a licena de uso do Aker Firewall . Para prosseguir, necessrio aceitar todos os termos e condies contidas na licena. Caso sejam aceitos, o programa prosseguir com a instalao mostrando seu progresso atravs de uma srie de mensagens auto-explicativas. Aps terminar de copiar os arquivos, o programa de instalao far algumas perguntas de modo a realizar a configurao especfica para cada sistema. Ser mostrada a seguinte tela:


Aps responder Sim, ser instalado todas as dependncias necessrias para que o Aker Firewall funcione. A prxima janela Firewall Aker v6.1 - Programa de Instalacao Configurao do sistema completada. E necessrio agora ativar a cpia instalada atravs da digitao da chave de ativao que foi entregue ao se adquirir o produto. A chave de ativacao, o nome da empresa e o endereco IP da interface externa deverao ser digitados exatamente como constam no documento entregue pela Aker Consultoria e Informatica ou seu representante. Pressione enter para continuar Aps digitar enter, o programa mostrar uma tela solicitando o caminho onde o arquivo da chave de ativao est salvo. Caso a chave seja vlida, o programa prosseguir com a instalao. Firewall Aker v6.1 - Programa de Instalacao necessario se definir o nome da interface de rede externa do firewall Os enderecos IP que se originarem desta interface nao serao contabilizados no numero maximo de licencas do produto. A interface externa deve assumir um dos seguintes valores: eth0 eth1 eth2 Entre a interface externa: A configurao da interface externa usada apenas para o controle de licenas do firewall. Deve-se informar o nome da interface que estar conectada Internet. A especificao da interface externa no possui nenhuma implicao de segurana. Nenhum controle de acesso feito levando-se em conta esta interface. Firewall Aker v6.1 - Programa de Instalacao Ativacao do sistema completada. Vamos agora para a configuracao de alguns parametros do Firewall Aker: Voc pode cadastrar agora um endereo IP para possibilitar que o firewall seja administrado remotamente a parit de uma outra mquina. Deseja cadastrar este IP (S/N). Aps responder Sim, digite o endereo IP da mquina onde est instalado o Aker Control center.


Firewall Aker v6.1 - Programa de Instalacao Eu posso cadastrar automaticamente um administrador capaz de gerenciar remotamente o firewall. Este administrador tera plenos poderes em relacao firewall e a partir dele novos usuarios poderao ser cadastrados. Obs: Se voce nao cadastrar um administrador nao podera administrar o firewall a partir da interface grafica, apenas atraves da interface texto local. Voce deseja criar este administrador (S/N) ? Para que seja possvel administrar o firewall a partir da interface grfica necessrio cadastrar um administrador, devendo-se responder S a esta pergunta. De qualquer forma possvel cadastrar posteriormente outros administradores atravs das interfaces locais de administrao. A explicao de como fazer isso, se encontra no captulo intitulado Administrando usurios do firewall. Caso tenha optado por incluir um novo administrador, ser mostrada a tela pedindo os dados do administrador a ser cadastrado. Um exemplo desta tela se encontra abaixo (cabe mencionar que a senha do administrador a ser cadastrado no ser mostrada na tela). Firewall Aker versao 6.1 Modulo de administracao de usuarios remotos Inclusao de usuario Entre o login : administrador Entre o nome completo : Administrador do Firewall Aker Entre a senha (6-14) : Confirme a senha : Confirma inclusao do usuario ? (S/N) Aps se ter ou no includo o administrador, ser mostrada uma mensagem perguntando sobre o cadastro de um segredo compartilhado para administrao do Firewall atravs do Aker Configuration Manager. Se voc no tem este produto, responda no, caso contrrio consulte o manual do mesmo. Finalmente, ser mostrada uma mensagem indicando o trmino da instalao e solicitando que a mquina seja reinicializada para ativar o Aker Firewall. Ao se reinicializar a mquina, o firewall j entrar em funcionamento automaticamente e poder ser configurado remotamente. A senha digitada deve conter de 6 a 14 caracteres.

1-3 Instalando a interface remotaEm plataformas Windows Para instalar as interface remota nas plataformas Windows XP ou superio, deve-se colocar o CD-ROM do Aker Security Suite no drive e seguir as instrues que aparecero na tela. Caso a opo de auto-execuo esteja desabilitada, deve-se executar os seguintes passos: 1. Clicar no menu Iniciar 2. Selecionar a opo Executar 3. Ao ser perguntado sobre qual programa executar, digitar D:\br\control_center\AkerRemoteDesktop-br-win-6.1-1 (Caso o leitor de CDROM seja acessado por uma letra diferente de D, substitu-la pela letra equivalente, no comando anterior). Ao trmino da instalao, ser criado um grupo chamado Aker, no menu Iniciar. Para executar a interface remota, basta selecionar a opo Firewall 6.1 GUI dentro deste grupo. Em plataformas Linux Para instalar a interface remota em plataformas Linux necessrio que os pacotes da biblioteca QT estejam previamente instalados. A interface grfica para plataformas Linux distribuda em pacotes RPM. Para instal-la, proceda da seguinte forma (exemplo para Red Hat 9): 1. Coloque o CD-ROM no drive e monte-o, atravs do comando mount /mnt/cdrom 2. Execute o comando: rpm -ivh /mnt/cdrom/br/control_center/ 3. Aps a apresentao de cerquilhas a interface estar instalada. O nome do pacote a ser instalado pode mudar conforme a verso do Linux no qual a interface ser instalada. Verifique o contedo do diretrio /mnt/cdrom/br/control_center/ para ver os nomes de todos os pacotes e selecionar o mais adequado. ndice


2- Utilizando a Interface RemotaNeste captulo mostraremos como funciona a interface grfica remota de administrao do Aker Firewall.

O que a administrao remota do Aker Firewall? O Aker Firewall pode ser totalmente configurado e administrado remotamente a partir de qualquer mquina que possua um sistema operacional compatvel com uma das verses da interface remota, que tenha TCP/IP e que consiga acessar a mquina na qual o firewall se encontra. Isto permite um alto grau de flexibilidade e facilidade de administrao, possibilitando que um administrador monitore e configure vrios firewalls a partir de sua estao de trabalho. Alm dessa facilidade, a administrao remota permite uma economia de recursos na medida em que possibilita que a mquina que rode o firewall no possua monitor e outros perifricos. Como funciona a administrao remota do Aker Firewall? Para possibilitar a administrao remota existe um processo rodando na mquina do firewall responsvel por receber as conexes, validar os usurios e executar as tarefas solicitadas por estes usurios. Quando um usurio inicia uma sesso de administrao remota, a interface grfica estabelece uma conexo com o mdulo de administrao remota do firewall e mantm esta conexo aberta at que o usurio finalize a sesso. Toda a comunicao entre a interface remota e o firewall feita de maneira segura, para cada sesso so geradas novas chaves de criptografia e autenticao. Alm disso, so empregadas tcnicas de segurana para impedir outros tipos de ataques, como por exemplo: ataques de repetio de pacotes. Seguem comentrios sobre algumas observaes importantes da administrao remota: Para que a interface remota consiga se conectar ao firewall precisa da adio de uma regra liberando o acesso TCP para a porta 1020 a partir da mquina que deseja se conectar. Informaes de como fazer isso se encontram no captulo intitulado: O Filtro de Estados. 1. S possvel a abertura de uma conexo de administrao remota em um determinado instante. Se j existir uma interface conectada, pedidos subseqentes de conexo sero recusados e a interface remota informar que j existe uma sesso ativa. 2. Cada um dos usurios que for utilizar a interface remota deve estar cadastrado no sistema. O programa de instalao pode criar automaticamente um administrador com poderes para cadastrar os demais administradores. Caso tenha eliminado este administrador ou perdido sua senha necessrio o uso do mdulo local da interface grfica ou da interface texto para criar um novo administrador. Detalhes de como fazer isso se encontram no captulo intitulado: Administrando Usurios do Firewall Como utilizar a interface A interface bastante simples de ser utilizada, entretanto, existe uma observao que deve ser comentada: O boto esquerdo e direito do mouse, tem funes diferentes na interface. O boto esquerdo usado para selecionar entradas em uma lista e para clicar em botes. O boto direito tem como funo mostrar um menu de opes para uma determinada lista.

2-1 Iniciando a interface remotaPara iniciar a execuo da interface grfica remota deve-se executar um dos seguintes passos: Em mquinas Windows, clicar no menu Iniciar, selecionar o grupo Aker, dentro deste grupo selecionar o sub-grupo Aker Control Center e clicar no cone Aker Control Center. Em Linux deve-se acessar o diretrio de instalao do Control Center e executar o seguinte script 'aker_control_center2_init.sh'. Ser mostrada a seguinte janela:


A janela mostrada acima a janela principal do Aker Firewall e a partir dela que se tem acesso a todas as opes de configurao, inclusive da ativao da licena do Firewall. Sem ativao da licena no ser possvel realizar as configuraes subseqentes. No primeiro acesso os dados referentes licena aparecem todos em branco e habilitados para que o Administrador possa carreg-lo. A licena de uso consta em um arquivo, que aps clicar no boto "Carregar", ser indicado e assim que confirmado o carregamento dos dados, a janela ser aberta com todos os dados da licena atual, logo surgir uma janela confirmando e rebutando o firewall. Portanto clique no boto "Carregar", no canto superior direito da interface: A interface grfica remota composta de 4 menus descritos brevemente abaixo (quando existe um firewall selecionado, um quinto menu mostrado com opes especficas para o mesmo): Opes O menu Opes contm as configuraes relacionadas ao layout da interface grfica. Ao clicar neste menu, aparecero as seguintes opes: - Textos nos botes: marcando esta opo ser mostrada juntamente com cada cone a ao correspondente do boto. Desmarcando esta opo, ser mostrado apenas o cone. - Dicas para Entidades: quando esta opo estiver ativada, uma pequena caixa com a descrio de cada entidade ir aparecer quando o mouse for passado sobre seu cone, conforme a figura abaixo.

- Ajuda Rpida: esta opo ativa o help contextual automtico para cada janela. - Mostrar cones nos botes: esta opo, se ativada, faz com que sejam mostrados cones nos botes Ok, Cancelar e Aplicar das janelas. - Tempo de sesso ociosa: Permite definir o tempo mximo, em minutos, que a interface permanecer conectada ao firewall sem receber nenhum comando do administrador. Assim que este tempo limite for atingido, a interface automaticamente ser desconectada do firewall, permitindo que uma nova sesso seja estabelecida. Seu valor pode variar entre 1 e 60. A caixa "Sem limite" quando estiver marcada no desconectar a interface do firewall. Valor padro: 1 minuto. - Sair: fecha a janela da interface grfica.


Firewalls Este menu serve para cadastrar mais firewalls na interface grfica de modo que possibilite simultaneamente a administrao de diversos Aker Firewalls. Com a interface conectada a mais de um firewall simultaneamente, possvel usar a facilidade de arrastar e soltar as entidades e regras entre firewalls, de modo a facilitar a replicao de determinadas configuraes entre eles. Este menu ser descrito em detalhes mais abaixo. Janelas Este menu possui as funes de configurao das janelas abertas e da barra de menu. - Barra de ferramentas: esta opo permite definir se a barra de ferramentas na parte superior da janela principal ser mostrada ou no. - Janelas: esta opo permite mostrar ou no as janelas padro do sistema: ajuda, firewalls e entidades. - Lado a Lado: selecionando esta opo, as janelas abertas do lado direito da interface grfica se ajustam de forma que todas aparecem visveis. - Cascata: esta opo faz com que as janelas abertas no lado direito da interface grfica fiquem posicionadas em forma de cascata, uma na frente da outra. Inicialmente nem todas as opes dos menus se encontram habilitadas, por funcionarem apenas quando houver uma conexo estabelecida. Para ter acesso s demais opes deve estabelecer uma sesso de administrao remota com o firewall que deseja administrar. Para tanto se devem seguir os seguintes passos: Cadastrar o firewall selecionando o menu Firewalls e a opo Novo Firewall (veja o item Cadastrando Firewalls logo a seguir) Selecionar o firewall com o qual deseja-se conectar Clicar na opo ConectarCadastrando Firewalls

Nesta seo demonstraremos como podemos cadastrar um (ou mais) firewalls. Quando selecionamos a opo Novo Firewall dentro do menu Firewalls ou no cone "Criar novo Firewall" aparecer a seguinte janela. Nessa janela, poder escolher o tipo de autenticao desejada. De acordo com

cada opo a janela ser alterada, mostrando os campos correspondentes.Tipo de Autenticao: Usurio/Senha

- Modo de demonstrao: Ao selecionar essa opo, ser criado um firewall de demonstrao com uma configurao padronizada. Nenhuma conexo real ser feita ao tentar se conectar neste firewall, podendo-se criar quantos firewalls de demonstrao for desejado, cada um com a configurao distinta um do outro;


- Nome: cadastrar o nome pelo qual o firewall ser referenciado na interface grfica; - Nome da mquina: Caso o servidor do Firewall no qual se deseja conectar possua um nome associado ao IP da mquina, basta colocar este nome nesta opo para que o Control Center resolva o DNS automaticamente e se conecte no servidor; - Endereo IPv4 e IPv6: cadastrar o endereo IP para conectar no firewall; - Usurio: esse campo identifica o usurio que acessar o firewall. Este campo grava o usurio, onde aparecer todas as vezes que o firewall for acessado. - Senha: a senha do usurio. Caso deixe a caixa Salvar senha marcada, no ser necessrio digitar a senha quando fizer a conexo (a senha aparecer na tela como vrios asteriscos "*"). Caso ela esteja desmarcada, este campo estar desabilitado. No final basta clicar em Ok e o firewall estar cadastrado, como o tipo de autenticao selecionado. No caso de cancelar o cadastro do firewall, basta clicar em Cancelar.Tipo de Autenticao: X.509

Essa opo permite autenticao com certificao digital X509. - Certificado da CA: representa o certificado raiz da autoridade certificadora, mostra o Domnio (C.N) desse certificado.

carrega-se um arquivo com extenso *.cer/*.crt que contm o certificado. O cone Ao clicar no cone informaes do certificado.

mostra um resumo das

- Certificado do Usurio: essa opo permite carregar um pacote de certificado no formato PKCS#12. Ele desmembra o pacote em dois arquivos, um com o certificado e outro com a chave. Carrega um certificado com uma senha e a outra senha para salvar o arquivo da chave, salvando assim, de forma encriptada. - Senha: Senha com a qual a chave primria foi salva. Se informar (cadastro), decifra a chave e manda para o firewall fazer a autenticao. Caso deixe a caixa Salvar senha marcada, no ser necessrio digitar a senha quando fizer a conexo (a senha aparecer na tela como vrios asteriscos "*"). Caso ela esteja desmarcada, este campo estar desabilitado. - Alterar Senha: Altera a senha cadastrada no campo senha.Tipo de Autenticao: Agente externo usurio/senha


Essa opo permite autenticao por meio de Agentes Externos. - Usurio: O usurio que acessar o firewall. Este campo grava o usurio, onde aparecer todas as vezes que o firewall for acessado. - Domnio: Nome do domnio no qual o agente externo est rodando - Senha: A senha do usurio. Caso deixe a caixa Salvar senha marcada, no ser necessrio digitar a senha quando fizer a conexo (a senha aparecer na tela como vrios asteriscos "*"). Caso ela esteja desmarcada, este campo estar desabilitado. - Fingerprint: um resumo da identificao do certificado digital do Firewall. Essa opo possibilita ao usurio identificar quando tem uma mudana do firewall que se costuma conectar. obs: Na primeira vez que h a tentativa da conexo no haver a identificao do firewall. A partir da segunda vez todas s vezes que conectado vai comparar com o fingerprint. - Eraser Fingerprint: Zera e comea do estado inicial. Se h uma troca do Firewall a identificao ser diferente, ento no ser possivel a conexo, somente se clicar no erase fingerprint. Depois de cadastrarmos o firewall, pode-se clicar duas vezes no cone do firewall criado, no lado esquerdo da janela, ou clicar uma vez para selecion-lo e, em seguida, no boto Conectar abaixo: que far com que a interface se conecte ao firewall escolhido, como mostrado na figura


Caso no seja possvel estabelecer a sesso de administrao, ser mostrada uma janela com o erro que impossibilitou sua abertura. Neste caso, existem vrias mensagens possveis. Abaixo esto listadas as mensagens de erro mais comuns: Aker j sendo utilizado por outra interface O Aker Firewall s permite a existncia de uma sesso de administrao em um determinado instante. Se esta mensagem for mostrada, significa que j existe uma outra interface remota conectada ou um mdulo de administrao local sendo utilizado. Erro de rede ou conexo encerrada pelo servidor Este um erro genrico e pode ter uma srie de causas. A sua causa mais comum um erro na digitao do login ou da senha. Se o login do usurio no estiver cadastrado ou sua senha estiver errada, o servidor encerrar a conexo. Verifique primeiramente se o seu login e sua senha foram digitados corretamente. Caso o erro continue, siga a seguinte seqncia de passos: 1. Verifique se o usurio que est tentando se conectar est cadastrado no sistema e se a sua senha est correta (para fazer isso, utilize o mdulo local de administrao de usurios. Veja o captulo intitulado Administrando usurios do firewall). 2. Verifique se a rede est funcionando corretamente. possvel fazer isso de vrias formas, uma delas utilizando o comando ping. (No se esquea de acrescentar uma regra liberando os servios ICMP echo request e echo reply para a mquina que se est testando em direo ao firewall, caso v utilizar o ping. Para aprender como fazer isso, veja o captulo intitulado O Filtro de Estados). Se isso no funcionar, ento a rede est com problemas de conectividade e isto deve ser corrigido antes de tentar a administrao remota. Caso funcione, veja o passo 3. 3. Verifique se existe uma regra cadastrada liberando o acesso a partir da mquina que queira conectar ao firewall, utilizando o servio Aker (TCP, porta 1020). Caso no exista, insira esta regra (para aprender como fazer isso, veja o captulo intitulado O Filtro de Estados).

2-2 Finalizando a administrao remotaExistem trs formas de finalizar a administrao remota do Aker Firewall: - Finalizando a sesso clicando com o boto direito do mouse no firewall conectado e selecionando Desconectar do dispositivo remoto;


- Clicando em Desconectar do firewall na barra de ferramentas ou - Fechando a interface grfica remota. Neste caso voc perder a conexo com todos os firewalls que estiverem conectados. Caso queira sair do programa, deve-se clicar no boto Sair direito da janela. na barra de ferramentas da janela principal ou clicar no "x" no canto superior

2-3 Mudando sua senha de usurio possvel para qualquer usurio do Aker Firewall alterar a sua senha sempre que desejado. Para tanto deve-se primeiro estabelecer uma sesso de administrao (como mostrado no tpico Iniciando a interface remota) e aps isso executar os seguintes passos:

Selecionar o firewall a ser configurado. Clicar em Ferramentas. Clicar duas vezes em Mudar senha. Ser mostrada ento a seguinte janela:


Deve-se digitar a senha anterior no campo Senha antiga e digitar a nova senha nos campos Nova senha e Confirmar a nova senha (as senhas aparecero na tela como vrios asteriscos "*"). Aps preencher os campos, deve-se pressionar o boto OK, para alterar a senha ou o boto Cancelar, caso no queira mud-la. Os campos Senha antiga, Nova Senha e Confirmar senha, devem conter de 6 a 14 caracteres.

2-4 Visualizando informao de sesso possvel a qualquer momento visualizar algumas informaes sobre a sesso de administrao ativa. Para isso existe uma janela especfica que mostra informaes teis como: login, nome e direitos do usurio que est administrando o firewall e a verso e o release do Aker Firewall que estiver sendo administrado. So mostradas tambm a hora de incio da conexo e h quanto tempo ela est ativa. Para abrir esta janela, execute os seguintes passos:

Selecionar o firewall a ser configurado. Clicar em Informao. Clicar duas vezes em Informao de sesso. Ser mostrada ento a seguinte janela:


2-5 Utilizando a ajuda on-line e a Ajuda-RpidaO Aker Firewall possui uma ajuda on-line bastante completa. Ela mostrada em uma janela ao final da interface grfica. Esta janela pode ser escondida ou mostrada, sendo possvel escolher qual das duas formas atravs do menu Janelas, Sub-menu Janelas, opo Ajuda. A ajuda on-line consiste no contedo deste manual mostrado de forma sensvel ao contexto em relao janela de configurao do firewall ativa, ou seja, ser mostrada a parte do manual que seja relevante para a janela que esteja configurando. A Ajuda - Rpida consiste em uma breve explicao sobre cada um dos itens dos menus de configurao. Esta explicao mostrada em uma pequena janela, abaixo dos menus, como destacado abaixo:

possvel mostrar ou esconder a Ajuda-Rpida, bastando clicar na opo Ajuda Rpida do menu Opes. ndice


3- Administrando Usurios do FirewallNeste captulo mostraremos como criar os usurios que iro administrar remotamente o Aker Firewall.

O que so usurios do Aker Firewall? Para que alguma pessoa consiga administrar remotamente o Aker Firewall preciso ser reconhecida e validada pelo sistema. Esta validao feita na forma de senhas, assim, para que ela seja possvel, cada um dos administradores dever ser previamente cadastrado com um login e uma senha. Alm disso, o Aker Firewall permite a existncia de vrios administradores distintos, cada um responsvel por uma determinada tarefa da administrao. Isso, alm de facilitar a administrao, permite um maior controle e uma maior segurana. no cadastro de usurios que define as atribuies de cada um dos administradores.

3-1 Utilizando a interface grficaPara ter acesso janela de administrao de usurios, na interface remota deve-se:

Clicar em Configuraes do Sistema da janela do firewall que quer administrar. Selecionar o item Usurios Administrativos. Esta opo s estar habilitada se o usurio que estiver com a sesso aberta na interface remota, tiver autoridade para gerenciar usurios. Isso ser comentado em detalhes no prximo tpico.

A janela de Usurios Administrativos


Aba usurios internos

Esta janela consiste de uma lista de todos os usurios atualmente definidos para acesso administrao do firewall, alm de um segredo compartilhado (ou senha), para administrao centralizada pelo Aker Configuration Manager. No havendo o segredo compartilhado, a configurao ser apenas efetuada pelos usurios cadastrados. Para cada usurio mostrado seu login, seu nome completo e suas permisses. O boto OK far com que a janela de administrao de usurios seja fechada e as modificaes salvas. O boto Aplicar far com que as alteraes realizadas sobre um determinado usurio sejam aplicadas, isto , realizadas permanentemente, sem fechar a janela. O boto Cancelar fechar a janela de administrao de usurios e descartar todas as alteraes efetuadas. Quando um usurio for selecionado, os seus atributos completos sero mostrados nos campos Permisses. Para alterar os atributos de um usurio, deve-se proceder da seguinte forma: 1. Selecionar o usurio a ser alterado clicando sobre seu nome com o boto esquerdo do mouse. Neste momento sero mostrados os seus atributos nos campos aps a listagem de usurios. 2. Alterar o valor dos atributos desejados e clicar no boto Aplicar ou no boto OK. A partir deste momento as alteraes sero efetivadas. Para incluir um usurio na lista, deve-se proceder da seguinte forma: 1. Clicar com o boto direito do mouse em qualquer lugar da rea reservada para mostrar a lista (aparecer o boto Inserir) e selecionar a opo Incluir no menu pop-up ou clicar no cone que representa a incluso na barra de ferramentas.

2. Preenche os campos do usurio a ser includo e clicar no boto Aplicar ou no boto OK. Para remover um usurio da lista, deve-se proceder da seguinte forma: 1. Selecionar o usurio a ser removido, clicando sobre seu nome com o boto esquerdo do mouse e clicar no cone que representa a

remoo na barra de ferramentas, ou clicar com o boto direito do mouse sobre o nome do usurio a ser removido e selecionar a opo


Excluir no menu pop-up. Significado dos atributos de um usurio Login a identificao do usurio para o firewall. No podem existir dois usurios com o mesmo login. Este login ser pedido ao administrador do firewall quando este for estabelecer uma sesso de administrao remota. O login deve ter entre 1 e 14 caracteres. No h diferenas entre letras maisculas e minsculas neste campo. Nome Este campo contm o nome completo do usurio associado ao login. Os seus objetivos so de informao, no sendo usado para qualquer validao. Este nome deve ser um conjunto de caracteres de comprimento entre 0 e 40. Senha Este campo ser usado em conjunto com o campo login para identificar um usurio perante o Aker Firewall. mostrados na tela asteriscos "*" ao invs das letras. Ao digitar a senha, sero

O campo senha deve ter no mximo 14 caracteres. Seu tamanho mnimo configurvel por meio da janela de parmetros da interface (para maiores informaes veja o tpico Utilizando a interface remota). Neste campo, letras maisculas e minsculas so consideradas diferentes. extremamente importante que as senhas usadas tenham um comprimento grande, o mais prximo possvel do limite de 14 caracteres. Alm disso, deve-se sempre utilizar uma combinao de letras minsculas, maisculas, nmeros e caracteres especiais nas senhas (caracteres especiais so aqueles encontrados no teclado dos computadores e que no so nmeros nem letras: "$", "&", "]", etc). Nunca use como senhas palavras em qualquer idioma ou apenas nmeros. Confirmao Este campo serve para confirmar a senha digitada no campo anterior, uma vez que esta aparece como asteriscos. Permisses Este campo define o que um usurio pode fazer dentro do Aker Firewall . Ele consiste de trs opes que podem ser marcadas independentemente. O objetivo destas permisses possibilitar a criao de uma administrao descentralizada para o firewall. possvel, por exemplo, numa empresa que possua vrios departamentos e vrios firewalls, deixar um administrador responsvel pela configurao de cada um dos firewalls e um responsvel central com a tarefa de supervisionar a administrao. Este supervisor seria a nica pessoa capaz de apagar e alterar a configurao de log e eventos dos firewalls. Desta forma, apesar de cada departamento ter autonomia de administrao possvel ter um controle central do que cada administrador alterou na configurao e quando ele realizou cada alterao. Isto um recurso muito importante para realizar auditorias internas, alm de aumentar a segurana da administrao. Caso um usurio no possua nenhum atributo de autoridade, ento, esse ter permisso apenas para visualizar a configurao do firewall e compactar os arquivos de log e de eventos. Configurao do Firewall Se esta permisso estiver marcada, o usurio em questo poder administrar o firewall, isto , alterar a configurao das entidades, regras de filtragem, converso de endereos, criptografia, proxies e parmetros de configurao que no estejam relacionados ao log. Configurar Log Se esta opo estiver marcada, o usurio em questo ter poderes para alterar os parmetros relacionados ao log (como por exemplo, tempo de permanncia do log), alterar a configurao da janela de aes (tanto as mensagens quanto os parmetros) e apagar permanentemente o log e os eventos. Administrar Usurios Se esta opo estiver marcada, o usurio em questo ter acesso janela de administrao de usurios, podendo incluir, editar e excluir outros usurios. Um usurio que possuir esta autoridade somente poder criar, editar ou excluir usurios com autoridades iguais ou menores s que ele possuir (por exemplo, se um usurio tiver poderes de gerenciar usurios e configurar log, ento ele poder criar usurios que no possuam nenhuma autoridade, que somente possam configurar o log, que somente possam criar novos usurios ou que possam gerenciar usurios e configurar log. Ele no poder nunca criar, nem editar ou excluir, um usurio que possa configurar o firewall). Permite conexo do Configuration Manager Essa opo permite habilitar/desabilitar acessos ao Aker Firewall pelo Configuration Manager. Ao habilitar conexes deve-se informar a senha que ser comum ao firewall e o gerenciador (shared secret). Aba Agentes Externos


Esta aba consiste na configurao dos agentes externos que sero utilizados para a autenticao dos usurios que administram o firewall, definindo assim regras de autenticao para o acesso destes. Habilitar autenticao via agentes externos Ao selecionar essa opo permite a autenticao dos usurios, por meio dos agentes externos que esto cadastrados no firewall. Permite definir o autenticador externo, qual o usurio/grupo que ele pertence, quais as suas permisses de acesso e a definio das entidades que o usurio utilizar para conectar ao firewall. Autenticador Ao clicar com o boto direito em cima da opo autenticador, poder selecionar um autenticador (agente externo) habilitados na Janela autenticao aba Mtodos. Esse autenticador ser responsvel por intermediar o processo de autenticao da interface com o firewall. Usuro/Grupo Os usurios e os grupos estaro relacionados ao autenticador escolhido. Pode-se associar um usurio somente ou um grupo deles. Permisses Este campo define o que um usurio pode fazer dentro do Aker Firewall. Ele consiste de trs opes que podem ser marcadas independentemente. O objetivo destas permisses possibilitar a criao de uma administrao descentralizada para o firewall. possvel, por exemplo, numa empresa que possua vrios departamentos e vrios firewalls, deixar um administrador responsvel pela configurao de cada um dos firewalls e um responsvel central com a tarefa de supervisionar a administrao. Este supervisor seria a nica pessoa capaz de apagar e alterar a configurao de log e eventos dos firewalls. Desta forma, apesar de cada departamento ter autonomia de administrao possvel ter um controle central do que cada administrador alterou na configurao e quando ele realizou cada alterao. Isto um recurso muito importante para realizar auditorias internas, alm de aumentar a segurana da administrao. Entidades As Entidades so representaes de objetos do mundo real para o Aker Firewall. Atravs delas, podem-se representar mquinas, redes, servios a serem disponibilizados, entre outros. Nessa opo permite definir de qual entidade o usurio se conectar ao firewall. Servidor Fingerprint


um resumo da identificao do certificado digital do Firewall. Essa opo possibilita ao usurio identificar quando tem uma mudana do firewall que se costuma conectar. Aba Autenticao X509

Essa aba consiste no mtodo de autenticao com certificao digital X509. O Certificado Digital pode ser considerado como a verso eletrnica (digital) de uma cdula de identidade, associa uma chave pblica com a identidade real de um indivduo, de um sistema servidor, ou de alguma outra entidade. Um certificado digital normalmente usado para ligar uma entidade a uma chave pblica. Para garantir a integridade das informaes contidas neste arquivo ele assinado digitalmente, no caso de uma Infraestrutura de Chaves Pblicas (ICP), o certificado assinado pela Autoridade Certificadora (AC) que o emitiu e no caso de um modelo de Teia de Confiana (Web of trust) como o PGP o certificado assinado pela prpria entidade e assinado por outros que dizem confiar naquela entidade. Em ambos os casos as assinaturas contidas em um certificado so atestamentos feitos por uma entidade que diz confiar nos dados contidos naquele certificado. Um certificado normalmente inclui: Informaes referentes a entidade para o qual o certificado foi emitido (nome, email, CPF/CNPJ, PIS etc.) A chave pblica referente a chave privada de posse da entidade especificada no certificado O perodo de validade A localizao do "centro de revogao" (uma URL para download da CRL, ou local para uma consulta OCSP A(s) assinatura(s) da(s) AC/entidade(s) que afirma que a chave pblica contida naquele certificado confere com as informaes contidas no mesmo Um certificado padro X.509 outro formato de certificado muito comum. Todos os certificados X.509 obedecem ao padro internacional ITU-T X.509; assim (teoricamente) certificados X.509 criados para uma aplicao podem ser usados por qualquer aplicao que obedece X.509. Um certificado exige algum para validar que uma chave pblica e o nome do dono da chave vo juntos. Com certificados de PGP, qualquer um pode representar o papel de validador. Com certificados X.509, o validador sempre uma Autoridade de Certificao ou algum designado por uma CA. Um certificado X.509 uma coleo de um conjunto padro de campos contendo informaes sobre um usurio ou dispositivo e sua correspondente chave pblica. O padro X.509 define qual informao vai no certificado, e descreve como codificar isto (o formato dos dados). Todos os certificados X.509 tm os seguintes dados: O nmero da verso do X.509 que identifica qual o padro aplicado na verso do X.509 para este certificado, o que afeta e qual informao pode ser especificada neste.


A chave pblica do possuidor do certificado junto com um algoritmo de identificao, especifica qual sistema de criptografia pertence a chave e quaisquer parmetros associados. Abaixo, seguem os campos que contm na aba: Habilitar autenticao X.509: Ao selecionar essa opo permite habilitar a autenticao do usurio via certificado digital x.509. CN do certificado do firewall: Nessa opo mostra qual certificado o Firewall est utilizando na sua autenticao. Importa Certificado: Ao clicar nesse cone, permite a incluso de um novo certificado, ou seja carrega-se o certificado cadastrado no arquivo e incluindo-o no firewall. Exporta Certificado: Gravam os dados do certificado, para transport-lo para uma futura aplicao desse certificado. Tira uma cpia do certificado. Remove Certificado: Ao clicar nesse cone, permite a remoo do certificado que foi includo. Com isso o Aker Firewall fica sem nenhum certificado. Mostra detalhes dos certificados: Mostra todas as informaes contidas no certificado habilitado. Autoridade Certificadora: A autoridade certificadora (CA - certificate authority) deve garantir ao usurio, atravs da assinatura de seus certificados, que tais entidades so realmente quem dizem ser. Ento, a CA tem um papel bsico de garantir a correspondncia entre a identidade e a chave pblica de uma determinada entidade, sabendo que tal chave pblica corresponde a uma chave privada que permanece sob guarda exclusiva dessa entidade. Para tanto, a CA deve ser capaz de realizar todos os processos de emisso de certificados, verificao de validade, armazenamento, publicao ou acesso on-line, revogao e arquivamento para verificao futura. Em conseqncia, uma autoridade certificadora constitui-se de um sistema computacional completo, com capacidade de comunicao processamento e armazenamento. Alm disso, tanto as comunicaes envolvendo esse sistema, assim como o prprio sistema, devem ser tambm protegidos e a prpria identidade do sistema deve ser garantida, necessidades esta que so atendidas por intermdio da publicao de uma chave pblica pertencente prpria autoridade certificadora. Como tal chave deve tambm ser garantida com um certificado digital, ento, em geral, uma autoridade certificadora deposita sua chave pblica junto a outra autoridade certificadora, formando uma estrutura de certificao onde algumas CA funcionam como autoridades certificadoras para outras CAs . Essa opo permite selecionar uma autoridade a qual o usurio est vinculado. Pseudo Group Corresponde aos grupos de certificados, relacionados a autoridade certificadora selecionada na opo acima. Este campo no editvel. Permisses Esse campo das permisses editvel, podendo, para cada CA selecionada relacionar as permisses para cada grupo. Nessa opo, uma vez escolhida uma Autoridade Certificadora e definidos os nveis/permisses de acesso para cada grupo, ao trocar de CA todas as permisses relacionadas a outra CA sero perdidos.

3-2 Utilizando a interface textoAlm da interface grfica de administrao de usurios, existe uma interface local orientada caracteres que possui praticamente as mesmas capacidades da interface grfica. A nica funo no disponvel a de alterao das permisses dos usurios. Essa interface texto, ao contrrio da maioria das demais interfaces orientadas caracteres do Firewall Aker, interativa e no recebe parmetros da linha de comando. Localizao do programa: /etc/firewall/fwadmin Ao ser executado, o programa mostrar a seguinte tela:


Para executar qualquer uma das opes mostradas, basta digitar a letra mostrada em negrito. Cada uma das opes ser mostrada abaixo, em detalhes: Inclui um novo usurio Esta opo permite a incluso de um novo usurio que poder administrar o Aker Firewall remotamente. Ao ser selecionada, ser mostrada uma tela pedindo as diversas informaes do usurio. Aps todas as informaes serem preenchidas ser pedida uma confirmao para a incluso do usurio.

Observaes importantes: 1. Nos campos onde aparecem as opes (S/N), deve-se digitar apenas S, para sim e N para no. 2. A senha e a confirmao das senhas no sero mostradas na tela. Remove um usurio existente


Esta opo, remove um usurio existente que esteja cadastrado no sistema. Ser pedido o login do usurio a ser removido caso o usurio esteja cadastrado, ser pedida a seguir uma confirmao para realizar a operao.

Para prosseguir com a remoo, deve-se digitar S, caso contrrio digita-se N. Altera senha de um usurio Esta opo permite alterar a senha de um usurio j cadastrado no sistema. Ser pedido o login do usurio e caso este exista, sero pedidas a nova senha e a confirmao desta nova senha (conforme j comentado anteriormente, a senha e a confirmao no sero mostradas na tela).

Lista usurios cadastrados Esta opo mostra uma lista com o nome e as permisses de todos os usurios autorizados a administrar remotamente o firewall. Um exemplo de


uma possvel listagem de usurios a seguinte:

O campo permisses consiste de 3 possveis valores: CF, CL, e GU, que correspondem respectivamente s permisses de: Configura Firewall, Configura Log e Gerencia Usurios. Se um usurio possuir uma permisso, ela ser mostrada com o cdigo acima, caso contrrio ser mostrado o valor --, indicando que o usurio no a possui. Compacta arquivo de usurios

Esta opo no est presente na interface grfica e no possui uso freqente. Ela serve para compactar o arquivo de usurios, removendo entradas no mais usadas. Ele somente deve ser usada quando for removido um grande nmero de usurios do sistema. Ao ser selecionada, o arquivo ser compactado e ao final ser mostrada uma mensagem indicando que a operao foi completada (a compactao do arquivo costuma ser uma operao bastante rpida, durando poucos segundos).


Edita as opes do Configuration Manager Esta opo permite alterar as configuraes do Aker Configuration Manager. possvel habilitar/desabilitar acessos ao Aker Firewall pelo Configuration Manager e modificar a shared secret. Se o acesso ao firewall no estiver habilitado, ser mostrada uma tela pedindo a criao da shared secret. necessrio preencher a senha e sua confirmao, onde as mesmas no sero exibidas na tela.

Se o acesso ao firewall j estiver habilitado, sero mostradas novas opes de configurao:

Desabilita acesso pelo Configuration Manager Ao selecionar essa opo no ser mais possvel acessar o Aker Firewall pelo Configuration Manager at que o usurio habilite o acesso novamente. Modifica shared secret do Configuration Manager


Permite alterar a shared secret. necessrio entrar com a nova senha e com a sua confirmao, onde as mesmas no sero exibidas na tela.

Sai do fwadmin Esta opo encerra o programa fwadmin e retorna para a linha de comando. ndice


4- Configurando os parmetros do sistemaNeste captulo mostraremos como configurar as variveis que iro influenciar nos resultados de todo o sistema. Estes parmetros de configurao atuam em aspectos como a segurana, log do sistema e tempos de inatividade das conexes.

4-1 Utilizando a interface grficaPara ter acesso a janela de configurao de parmetros deve-se:

Clicar no menu Configuraes do Sistema da janela do firewall que quer administrar. Selecionar o item Parmetros de Configurao A janela de Parmetros de configurao O boto OK far com que a janela de configurao de parmetros seja fechada e as alteraes que foram efetuadas sejam aplicadas. O boto Cancelar far com que a janela seja fechada porm as alteraes efetuadas no sejam aplicadas. O boto Aplicar enviar para o firewall todas as alteraes feitas porm manter a janela aberta. Significado dos parmetros Aba Global


Nesta janela, estes parmetros so utilizados pelo filtro de estados e pelo conversor de endereos. Eles consistem dos seguintes campos: Interface Externa (Por motivo de controle de licena): Define o nome da interface externa do firewall. Conexes que vierem por esta interface no contaro na licena. Valor padro: Configurado durante a instalao do firewall pelo administrador. Tempo limite TCP: Define o tempo mximo, em segundos, que uma conexo TCP pode permanecer sem trfego e ainda ser considerada ativa pelo firewall. Seu valor pode variar de 0 a259200 (72 horas). Valor padro: 900 segundos. Tempo limite UDP: Define o tempo mximo, em segundos, que uma conexo UDP pode permanecer sem trfego e ainda ser considerada ativa pelo firewall. Seu valor pode variar de 0 a259200 (72 horas). Valor padro: 180 segundos. Estes campos so de vital importncia para o correto funcionamento do firewall: valores muito altos podero causar problemas de segurana para servios baseados no protocolo UDP, faro com que o sistema utilize mais memria e o tornaro mais lento. Valores muito baixos podero causar constantes quedas de sesso e o mau funcionamento de alguns servios. Tamanho mnimo de senha: Define o nmero mnimo de caracteres que as senhas dos administradores devem ter para serem aceitas pelo sistema. Seu valor pode variar entre 4 e 14 caracteres. Valor padro: 6 caracteres. importante que este valor seja o maior possvel, de modo a evitar a utilizao de senhas que possam ser facilmente quebradas. Servidor NTP (Network Time Protocol): Define o servidor de tempo que ser utilizado pelo firewall para sincronizar seu relgio interno. (Este campo s aparece para o Firewall Box) Endereos fixos de configurao remota: So endereos que, independentemente de regras e de extrapolao dos limites de licenas, podem administrar o firewall (isto conectar na porta 1020). Eles servem como medida de preveno anti-bloqueio do firewall, uma vez que s podem ser configurados via interface texto.


Aba Log

Local: Indica que o log/eventos/estatsticas devem ser salvos em um disco local, na mquina onde o firewall estiver rodando. Tempo de vida no log / eventos / estatstica: Os registros de log, eventos e estatsticas do firewall so mantidos em arquivos dirios. Esta configurao define o nmero mximo de arquivos que sero mantidos pelo sistema, em caso de log local. Os valores possveis vo de 1 a 365 dias. Valor padro: 7 dias No caso de utilizao de log remoto essas opes estaro desabilitadas e devero ser configuradas no prprio servidor remoto Remoto: Esta opo indica que o log/eventos/estatsticas devero ser enviados para um servidor de log remoto ao invs de serem gravados no disco local. Com isso, o controle de diversos firewalls pode ser centralizado, facilitando a auditoria. Servidor Remoto: Esta opo indica o servidor de log remoto para o qual o log/eventos/estatsticas sero enviados. Logar Converso de Endereo(NAT): Habilita o registro no log do sistema das converses de endereos feitas pelo firewall. Valor padro: Converses de endereo no devem ser logadas Mesmo com esta opo ativa, somente sero logados os pacotes convertidos atravs das converses 1:N e N:1. As converses por outros tipos de regras no sero registradas. A ativao desta opo no traz nenhuma informao importante e deve ser utilizada apenas para fim de testes ou para tentar resolver problemas. Logar syslog do Unix: Habilita o envio do log e dos eventos do firewall para o daemon de log do Unix, o syslogd.


Valor padro: No envia log para o syslogd Ao habilitar essa opo, os registros de log sero enviados para a fila local0 e os de eventos para a fila local1. Esta opo no altera em nada o registro interno do log e dos eventos realizado pelo prprio firewall. Aba Segurana

Parmetros de Segurana Permitir pacotes com rota para origem: Habilita a passagem de pacotes que tenham a opo de registro de rota ou de roteamento dirigido. Se esta opo estiver desmarcada, os pacotes com alguma destas opes no podero trafegar. Valor padro: Pacotes IP direcionados no so permitidos. Cabe ressaltar que a aceitao de pacotes com rota para a origem pode causar uma falha sria de segurana. A no ser que se tenha uma razo especfica para deix-los passar, esta opo deve ser mantida desmarcada. Suporte FTP: Habilita o suporte especfico para o protocolo FTP. Valor padro: Suporte FTP est habilitado Este parmetro faz com que o firewall trate o protocolo FTP de forma especial, de modo a permitir que ele funcione transparentemente para todas as mquinas clientes e servidoras, internas ou externas. A menos que no se pretenda usar FTP atravs do firewall, esta opo deve estar marcada. Suporte ao Real Audio: Habilita o suporte para os protocolos Real Audio e Real Video. Valor padro: Suporte Real Audio est habilitado Este parmetro faz com que o firewall trate o protocolo Real Audio / Real Video de forma especial, de modo que permita ele funcionar transparentemente usando conexes TCP e UDP. A menos que no se pretenda usar o Real Audio ou se pretenda utiliz-lo apenas com conexes TCP, esta opo deve estar marcada.


Suporte RTSP: Habilita o suporte para o protocolo RTSP. Valor padro: Suporte RTSP est habilitado O RTSP (Real Time Streaming Protocol) um protocolo que atua a nvel de aplicao e ajuda a prover um certo arranjo que permite a entrega controlada de dados em tempo real, como udio e vdeo. Fontes de dados podem incluir programas ao vivo (com udio e vdeo) ou algum contedo armazenado (eventos pr-gravados). Ele projetado para trabalhar com protocolos como o RTP, HTTP e/ou outro que de suporte a mdia contnuas sobre a Internet. Ele suporta trfego multicast bem como unicast. E tambm suporta interoperabilidade entre clientes e servidores de diferentes fabricantes. Este parmetro faz com que o firewall trate o protocolo de forma especial, de modo a permitir que ele funcione transparentemente usando conexes TCP e UDP. Suporte PPTP: Habilita o suporte para o protocolo PPTP da Microsoft. Valor padro: Suporte PPTP est habilitado O PPTP um protocolo criado pela Microsoft para possibilitar acesso seguro de mquinas clientes a redes corporativas, atravs de VPN. Este parmetro faz com que o firewall trate o PPTP de forma especial possibilitando que ele trafegue normalmente atravs dele, mesmo com a converso de endereos (NAT) habilitada. Suporte H323: Habilita o suporte para o protocolo H.323 Valor padro: Suporte H.323 est habilitado O H.323 um protocolo que permite a implementao de voz sobre IP (VOIP) e suportado pela maioria dos dispositivos com este fim. Este parmetro faz com que o firewall trate o H.323 de forma especial possibilitando que ele trafegue normalmente atravs dele, mesmo com a converso de endereos (NAT) habilitada. Suporte ao MSN: Habilita o suporte para o MSN Messenger Valor padro: Suporte ao MSN Messenger est habilitado. O MSN Messenger um protocolo de mensagens instantneas que permite a comunicao entre duas ou mais pessoas ao mesmo tempo. Este parmetro faz com que o firewall trate o Messenger de forma especial possibilitando que seu uso seja controlado atravs dos perfis de acesso.

Suporte SIP: habilita o suporte para o protocolo SIP. Valor padro: Suporte SIP est habilitado. O Protocolo de Iniciao de Sesso (Session Initiation Protocol - SIP) um protocolo de aplicao, que utiliza o modelo requisio-resposta, similar ao HTTP, para iniciar chamadas e conferncias atravs de redes via protocolo IP. Suporte DCE-RPC TCP: habilita o suporte o para protocolo DCE-RPC TCP. Valor padro: Suporte DCE-RPC TCP est habilitado. O DCE/RPC TCP um tipo de protocolo RPC, Chamada de Procedimento Remoto (Remote Procedure Call), que tem como objetivo permitir o desenvolvimento de aplicaes cliente/servidor. muito utilizado em administrao de domnio e gerenciamento remoto do servidor. Manter conexes das regras expiradas: mantm a conexo mesmo aps o prazo de validade da regra ter expirado. Valor padro: manter conexes de regras expiradas. Esta opo permite ao usurio permanecer conectado mesmo aps o trmino do perodo definido para o fim da conexo. Ex.: o usurio inicia um download via FTP dentro do horrio definido por regra. Caso esta opo esteja marcada, a conexo (download) no ser finalizada no horrio definido e sim aps o trmino de transferncia dos arquivos. Aba SNMP


Comunidade de leitura: Este parmetro indica o nome da comunidade que est autorizada a ler dados do firewall via SNMP. Caso este campo esteja em branco, nenhuma mquina estar autorizada a l-los. Valor padro: campo em branco Comunidade de escrita: Este parmetro indica o nome da comunidade que est autorizada a alterar dados do firewall via SNMP. Caso este campo esteja em branco, nenhuma mquina estar autorizada a alter-los. Valor padro: campo em branco Mesmo com uma comunidade de escrita definida, por razes de segurana, somente podero ser alterados algumas variveis do grupo system. Descrio: Tipo de servio que a mquina disponibiliza para o usurio. Contato: Tipo de contato (e-mail, home page) que o administrador disponibiliza para o usurio. Nome: Nome abreviado do sistema que o identifica na rede, ex: DNS Local: Local fsico onde a mquina est instalada. O SNMPv3 inclui trs importantes servios: autenticao (authentication), privacidade (privacy) e controle de acesso (access control). Habilita SNMPv3: Ao selecionar essa opo permite definir o tipo de permisso de um usurio e qual o nvel de segurana que ele estar relacionado. Nome do usurio: Nome do usurio que ter permisso para conferir ou modificar as informaes. Tipo de permisso: Permite a escolha do tipo de permisso do usurio. Poder ter acesso de somente leitura dos dados ou de leitura e escrita. Nvel de segurana: Permite a escolha do tipo de segurana dos dados. Pode-se optar por nenhuma autenticao, com autenticao ou autenticao com cifragem. Caso a escolha seja com autenticao, as opes Mtodo de autenticao e senha de autenticao sero habilitados. Caso a escolha seja autenticao com cifragem, as opes Mtodo de cifragem e senha de cifragem sero habilitadas.


Mtodo de autenticao: Possuem dois mtodos de autenticao, um com o algoritmo MD5 e o outro com o algoritmo SHA. Senha de autenticao: Deve ser informada uma senha para autenticao, com no mnimo 8 caracteres. Mtodo de encriptao: Possuem dois mtodos de cifragem dos dados, um por meio do algoritmo DES e o outro por meio do algoritmo AES. Senha de encriptao: Deve ser informada uma senha para cifragem, com no mnimo 8 caracteres. Ramo de acesso: Permite restringir, por meio de subrvores, quais os grupos de dados/informaes que o usurio ter acesso. Aba Monitoramento

Quando utiliza converso 1-N, ou seja, balanceamento de canal possvel configurar o tipo de monitoramento a ser realizado pelo firewall para verificar se as mquinas participantes do balanceamento esto no ar. Os parmetros de monitoramento permitem modificar os intervalos de tempo de monitoramento, de modo a ajust-los melhor a cada ambiente. Monitoramento via ping Esses parmetros configuram os tempos utilizados pelo firewall para realizar o monitoramento via pacotes ICMP Echo Request e Echo Reply. So eles: Intervalo de ping: Esse campo define de quantos em quantos segundos, ser enviado um ping para as mquinas sendo monitoradas. Seu valor pode variar entre 1 e 60 segundos. Valor padro: 2 segundos. Tempo limite de resposta: Esse campo define o tempo mximo, em segundos, que uma mquina pode permanecer sem responder aos pacotes de ping enviados pelo firewall e ainda ser considerada ativa. Seu valor pode variar entre 2 e 120 segundos. Valor padro: 8 segundos. Tempo de ativao: Esse campo define o tempo, em segundos, que o firewall ir esperar, aps receber um pacote de resposta de uma mquina anteriormente fora do ar, at consider-la novamente ativa. Esse intervalo de tempo necessrio, pois normalmente


uma mquina responde a pacotes ping antes de estar com todos os seus servios ativos. Seu valor pode variar entre 1 e 60 segundos. Valor padro: 10 segundos. Monitoramento via http Esses parmetros configuram os tempos utilizados pelo firewall para realizar o monitoramento via requisies HTTP. So eles: Tempo limite dos pedidos: Esse campo define de quantos em quantos segundos, o firewall requisitar a URL especificada pelo administrador para cada mquina sendo monitorada. Seu valor pode variar entre 1 e 300 segundos. Valor padro: 5 segundos. Tempo limite de resposta: Esse campo define o tempo mximo, em segundos, que uma mquina sendo monitorada poder levar para responder requisio do firewall e ainda ser considerada ativa. Seu valor pode variar entre 2 e 300 segundos. Valor padro: 15 segundos.

4-2 Utilizando a interface textoA interface texto de configurao de parmetros bastante simples de ser utilizada e possui exatamente as mesmas capacidades da interface grfica. Ela possui entretanto, possibilidades no disponveis na interface grfica, de adicionar at trs mquinas possveis de administrarem o firewall remotamente, mesmo sem a existncia de uma regra liberando sua conexo. O objetivo desta funcionalidade permitir que, mesmo que um administrador tenha feito uma configurao equivocada que impea sua conexo, ainda assim ele poder continuar administrando remotamente o firewall. Este parmetro chama-se end_remoto. Localizao do programa: /aker/bin/firewall/fwpar Sintaxe: fwpar - mostra/altera parametros de configuracao Uso: fwpar [mostra | ajuda] fwpar interface_externa fwpar [tempo_limite_tcp | tempo_limite_udp] fwpar [ip_direcionado] fwpar [suporte_ftp | suporte_real_audio | suporte_rtsp] fwpar [loga_conversao | loga_syslog] fwpar [permanencia_log | permanencia_event | permanencia_stat] fwpar [serv_log_remoto ] fwpar [add_remoto ] fwpar [comunidade_leitura | comunidade_escrita] [nome] mostra = mostra a configuracao atual ajuda = mostra esta mensagem interface_externa = configura o nome da interface externa (conexoes quevierem por esta interface nao contam na licenca) tempo_limite_tcp = tempo maximo de inatividade para conexoes TCP tempo_limite_udp = tempo maximo de inatividade para conexoes UDP ip_direcionado = aceita pacotes IP direcionados suporte_ftp = habilita suporte ao protocolo FTP suporte_real_audio = habilita suporte ao procotolo Real Audio suporte_rtsp = habilita suporte ao procotolo RTSP loga_conversao = registra mensagens de conversao de enderecos loga_syslog = envia mensagens de log e eventos para o syslogd permanencia_log = tempo de permanencia (dias) dos registros de log permanencia_event = tempo de permanencia (dias) dos registris de eventos permanencia_stat = tempo de permanencia (dias) das estatisticas serv_log_remoto = servidor de log remoto (nome da entidade) end_remoto = endereco dos tres controladores remotos comunidade_leitura = nome da comunidade de leitura para SNMP comunidade_escrita = nome da comunidade de escrita para SNMP Exemplo 1: (visualizando a configurao) # fwpar mostra Parametros globais: ------------------tempo_limite_tcp : 900 segundos tempo_limite_udp : 180 segundos interface_externa : lnc0 Parametros de seguranca: ------------------------


ip_direcionado suporte_ftp

: nao : sim

suporte_real_audio: sim suporte_rtsp end_remoto : sim : 1) 10.0.0.1 2) 10.0.0.2 3)10.0.0.3 Parametros de configuracao de log:

---------------------------------loga_conversao loga_syslog permanencia_log : nao : nao : 7 dias

permanencia_event : 7 dias permanencia_stat : 7 dias Parametros de configuracao de SNMP: ----------------------------------comunidade_leitura: comunidade_escrita: Exemplo 2: (habilitando pacotes IP direcionados) #/aker/bin/firewall/fwpar ip_direcionado sim Exemplo 3: (configurando o nome da comunidade de leitura SNMP) #/aker/bin/firewall/fwpar comunidade_leitura public Exemplo 4: (apagando o nome da comunidade de escrita SNMP) #/aker/bin/firewall/fwpar comunidade_escrita ndice


5- Cadastrando EntidadesMostraremos aqui o que so, para que servem e como cadastrar entidades no Aker Firewall.

5-1 Planejando a instalaoO que so e para que servem as entidades? Entidades so representaes de objetos do mundo real para o Aker Firewall. Atravs delas, pode-se representar mquinas, redes, servios a serem disponibilizados, entre outros. A principal vantagem da utilizao de entidades para representar objetos reais que a partir do momento em que so definidas no Firewall, elas podem ser referenciadas como se fossem os prprios objetos, propiciando uma maior facilidade de configurao e operao. Todas as alteraes feitas em uma entidade sero automaticamente propagadas para todos os locais onde ela referenciada. Pode-se definir, por exemplo, uma mquina chamada de Servidor WWW, com o endereo IP de 10.0.0.1 . A partir deste momento, no mais necessrio se preocupar com este endereo IP. Em qualquer ponto onde seja necessrio referenciar esta mquina, a referncia ser feita pelo nome. Caso futuramente seja necessrio alterar seu endereo IP, basta alterar a definio da prpria entidade que o sistema automaticamente propagar esta alterao para todas as suas referncias. Definindo entidades Antes de explicar como cadastrar entidades no Aker Firewall necessrio uma breve explicao sobre os tipos de entidades possveis e o que caracteriza cada uma delas. Existem 9 tipos diferentes de entidades no Aker Firewall: mquinas, mquinas IPv6, redes, redes IPv6, conjuntos, conjuntos IPv6, servios, autenticadores e interfaces. As entidades do tipo mquina e rede, como o prprio nome j diz, representam respectivamente mquinas individuais e redes. Entidades do tipo conjunto representam uma coleo de mquinas e redes, em qualquer nmero. Entidades do tipo servio representam um servio a ser disponibilizado atravs de um protocolo qualquer que rode em cima do IP. Entidades do tipo autenticador representam um tipo especial de mquina que pode ser utilizada para realizar autenticao de usurios e as entidades do tipo interface, representam uma interface de rede do firewall. Por definio, o protocolo IP, exige que cada mquina possua um endereo diferente. Normalmente estes endereos so representados da forma byte a byte, como por exemplo, 172.16.17.3. Desta forma, pode-se caracterizar unicamente uma mquina em qualquer rede IP, incluindo a Internet, com apenas seu endereo. Para definir uma rede deve-se utilizar uma mscara alm do endereo IP. A mscara serve para definir quais bits do endereo IP sero utilizados para representar a rede (bits com valor 1) e quais sero utilizados para representar as mquinas dentro da rede (bits com valor 0). Assim, para representar a rede cujas mquinas podem assumir os endereos IP de 192.168.0.1 a 192.168.0.254 , deve-se colocar como rede o valor 192.168.0.0 e como mscara o valor 255.255.255.0 . Esta mscara significa que os 3 primeiros bytes sero usados para representar a rede e o ltimo byte ser usado para representar a mquina. Para verificar se uma mquina pertence a uma determinada rede, basta fazer um E lgico da mscara da rede, com o endereo desejado e comparar com o E lgico do endereo da rede com sua mscara. Se eles forem iguais, a mquina pertence rede, se forem diferentes no pertence. Vejamos dois exemplos: Suponha que desejamos verificar se a mquina 10.1.1.2 pertence rede 10.1.0.0, mscara 255.255.0.0. Temos: 10.1.0.0 E 255.255.0.0 = 10.1.0.0 (para a rede)

10.1.1.2 E 255.255.0.0 = 10.1.0.0 (para o endereo) Temos ento que os dois endereos so iguais aps a aplicao da mscara, portanto a mquina 10.1.1.2 pertence rede 10.1.0.0. Suponha agora que desejamos saber se a mquina 172.16.17.4 pertence rede 172.17.0.0, mscara 255.255.0.0. Temos: 172.17.0.0 E 255.255.0.0 = 172.17.0.0 (para a rede)

172.16.17.4 E 255.255.0.0 = 172.16.0.0 (para o endereo) Como os endereos finais so diferentes, temos que a mquina 172.16.17.4 no pertence rede 172.17.0.0 Caso seja necessrio definir uma rede onde qualquer mquina seja considerada como pertencente a ela (ou para especificar qualquer mquina da Internet), deve-se colocar como endereo IP desta rede o valor 0.0.0.0 e como mscara o valor 0.0.0.0 .


Isto bastante til na hora de disponibilizar servios pblicos, onde todas as mquinas da Internet tero acesso. Toda a vez que ocorre uma comunicao entre duas mquinas, usando o protocolo IP, esto envolvidos no apenas os endereos de origem e destino, mas tambm um protocolo de nvel mais alto (nvel de transporte) e algum outro dado que identifique a comunicao unicamente. No caso dos protocolos TCP e UDP (que so os dois mais utilizados sobre o IP), uma comunicao identificada por dois nmeros: a Porta Origem e a Porta Destino. A porta destino um nmero fixo que est associado, geralmente, a um servio nico. Assim, temos que o servio Telnet est associado com o protocolo TCP na porta 23, o servio FTP com o protocolo TCP na porta 21 e o servio SNMP com o protocolo UDP na porta 161, por exemplo. A porta origem um nmero seqencial escolhido pelo cliente de modo a possibilitar que exista mais de uma sesso ativa de um mesmo servio em um dado instante. Assim, uma comunicao completa nos protocolos TCP e UDP pode ser representada da seguinte forma:

10.0.0.1 1024 -> 10.4.1.2 23 TCP ------------------------------------------------------------------------Endereo origem Porta origem Endereo destino Porta destino ProtocoloPara um firewall, a porta de origem no importante, uma vez que ela randmica. Devido a isso, quando se define um servio, leva-se em considerao apenas a porta de destino. Alm dos protocolos TCP e UDP, existe um outro protocolo importante: o ICMP. Este protocolo utilizado pelo prprio IP para enviar mensagens de controle, informar sobre erros e testar a conectividade de uma rede. O protocolo ICMP no utiliza o conceito de portas. Ele usa um nmero que varia de 0 a 255 para indicar um Tipo de Servio. Como o tipo de servio caracteriza unicamente um servio entre duas mquinas, ele pode ser usado como se fosse a porta destino dos protocolos, TCP e UDP, na hora de definir um servio. Por ltimo, existem outros protocolos que podem rodar sobre o protocolo IP e que no so TCP, UDP ou ICMP. Cada um destes protocolos tem formas prprias para definir uma comunicao e nenhum deles utilizado por um grande nmero de mquinas. Ainda assim, o Aker Firewall optou por adicionar suporte para possibilitar ao administrador o controle sobre quais destes protocolos podem ou no passar atravs do firewall. Para entender como isso feito, basta saber que cada protocolo tem um nmero nico que o identifica para o protocolo IP. Este nmero varia de 0 a 255. Desta forma, podemos definir servios para outros protocolos usando o nmero do protocolo como identificao do servio. O que Qualidade de Servio (QoS) A qualidade de servio pode ser compreendida de duas formas: do ponto de vista da aplicao ou da rede. Para uma aplicao oferecer seus servios com qualidade, tem que atender s expectativas do usurio em relao ao tempo de resposta e da qualidade do servio que est sendo provido. Por exemplo, no caso de uma aplicao de vdeo, fidelidade adequada do som e/ou da imagem sem rudos nem congelamentos. A qualidade de servio da rede depende das necessidades da aplicao, ou seja, do que ela requisita da rede a fim de que funcione bem e atenda, por sua vez, s necessidades do usurio. Estes requisitos so traduzidos em parmetros indicadores do desempenho da rede como, por exemplo, o atraso mximo sofrido pelo trfego da aplicao entre o computador origem e destino. O Aker Firewall implementa um mecanismo com o qual possvel definir uma banda mxima de trfego para determinadas aplicaes. Atravs de seu uso, determinadas aplicaes que tradicionalmente consomem muita banda, podem ter seu uso controlado. As entidades do tipo Canal so utilizadas para este fim e sero explicadas logo abaixo.

5-2 Cadastrando entidades utilizando a interface grficaPara ter acesso janela de cadastro de entidades deve-se: Clicar no menu Configurao do Firewall da janela do firewall que se quer administrar; Selecionar o item Entidades (a janela ser mostrada abaixo da janela com os menus de configurao dos firewalls). A janela de cadastro de entidades


A janela de cadastro de entidades onde so cadastradas todas as entidades do Aker Firewall, independente do seu tipo. Esta janela, por ser constantemente utilizada em praticamente todas as demais configuraes do firewall, normalmente mostrada sempre aberta na horizontal, abaixo da janela com os menus de configurao de cada firewall. Dica: Possui uma janela nica para todos os firewalls abertos. A janela continuar a mesma, s mudar o contedo que ser referente ao firewall selecionado. Os tipos de entidades mais usados so os nicos apresentados na aba. As entidades menos utilizadas aparecem no menu. Dica: possvel posicionar a janela de entidades como se fosse uma janela comum, bastando para isso clicar sobre sua barra de ttulo e arrast-la para a posio desejada. Dica: Para criar uma nova entidade, caso a lista de entidades criadas esteja cheia, deve-se clicar em cima da aba que fica na parte inferior da janela. Nesta janela esto desenhados oito cones, em forma de rvore, que representam os oito tipos de entidades possveis de serem criados.


Dica: Para visualizar as entidades criadas s clicar no sinal de '+' e as entidades ficaro listadas logo abaixo do logotipo, ou clicar sobre a aba correspondente a entidade que se deseja visualizar. Para cadastrar uma nova entidade, deve-se proceder da seguinte forma: 1. Clicar uma vez no cone correspondente entidade do tipo que deseja criar com o boto direito do mouse e selecionar a opo Inserir no menu pop-up ou 2. Clicar no cone correspondente entidade do tipo que deseja criar e pressionar a tecla Insert. Para editar ou excluir uma entidade, deve-se proceder da seguinte forma: 1. Selecionar a entidade a ser editada ou excluda (se necessrio, expande-se a lista do tipo de entidade correspondente) 2. Clicar com o boto direito do mouse e selecionar a opo Editar ou Apagar, respectivamente, no menu pop-up que aparecer. ou 3. Clicar no cone correspondente entidade do tipo que deseja criar e pressionar a tecla Delete. No caso das opes Editar ou Incluir, aparecer a janela de edio de parmetros da entidade a ser editada ou includa. Esta janela ser diferente para cada um dos tipos possveis de entidades. O cone , localizado na parte inferior da janela aciona o assistente de cadastramento de entidades que ser descrito no final deste captulo.

Incluindo / editando mquinas

Para cadastrar uma entidade do tipo mquina deve-se preencher os seguintes campos: Nome: o nome pelo qual a mquina ser sempre referenciada pelo firewall. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so, portanto, consideradas diferentes. cone: o cone que aparecer associado mquina em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O Firewall ento mostrar uma lista com todos os possveis cones para representar mquinas. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto Cancelar. Endereo IP: o endereo IP da mquina a ser criada. Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao da mquina. Para cancelar as incluses ou alteraes realizadas deve pressionar o boto Cancelar. Para facilitar a incluso de vrias mquinas seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que a mquina inclua os dados preenchidos e mantenha aberta a janela de incluso de mquinas onde estar pronta para uma nova incluso. Desta forma possvel cadastrar rapidamente um grande nmero de mquinas. Incluindo / editando servidor IPv6


Para cadastrar uma entidade do tipo mquina IPv6 deve-se preencher os seguintes campos: Nome: o nome pelo qual a mquina ser sempre referenciada pelo firewall. possvel especificar este nome manualmente ou deixar que ele seja atribudo automaticamente. A opo Automtico permite escolher entre estes dois modos de operao: caso ela esteja marcada, a atribuio ser automtica, caso contrrio, manual. Letras maisculas e minsculas so consideradas diferentes nos nomes das entidades. Desta forma, possvel a existncia de vrias entidades compostas de nomes com as mesmas letras, porm com combinaes distintas de maisculas e minsculas. As entidades Aker, AKER e aker so, portanto, consideradas diferentes. cone: o cone que aparecer associado mquina em todas as referncias. Para alter-lo, basta clicar sobre o desenho do cone atual. O firewall ento mostrar uma lista com todos os possveis cones para representar mquinas. Para escolher entre eles basta clicar no cone desejado e no boto OK. Caso no queira alter-lo aps ver a lista, basta clicar no boto Cancelar. Endereo IPv6 : o endereo IPv6 da mquina a ser criada. Aps todos os campos estarem preenchidos, deve-se clicar no boto OK para realizar a incluso ou alterao da mquina. Para cancelar as incluses ou alteraes realizadas deve pressionar o boto Cancelar. Para facilitar a incluso de vrias mquinas seguidamente, existe um boto chamado Nova (que no estar habilitado durante uma edio). Ao ser clicado, este boto far com que a mquina inclua os dados preenchidos e mantenha aberta a janela de incluso de mquinas onde estar pronta para uma nova incluso. Desta forma, possvel cadastrar rapidamente um grande nmero de mquinas. A ampliao de 32 bits do endereo IPv4 para 128 bits no endereo IPv6 uma das mais importantes caractersticas do novo protocolo. um imenso espao de endereamento, com um nmero difcil de ser apresentado (2 elevado a 128), porque so milhares de bilhes de endereos. O IPv6 acaba ainda com as classes de endereos e possibilita um mtodo mais simples de auto-configurao

Documents

AkerFirewall 6.1.0 Pt Man 004