VERSÃO 3.5. Visão Geral. Planejamento

Tamanho: px
Começar a partir da página:

Download "VERSÃO 3.5. Visão Geral. Planejamento"

Transcrição

1 VERSÃO 3.5 Visão Geral e Planejamento

2 isenção de A Novell, Inc. não fornece declarações ou garantias quanto ao conteúdo ou uso responsabilidade deste manual e, especificamente, desobriga-se de quaisquer garantias expressas ou implícitas da sua comercialização ou adequação a quaisquer fins específicos. Além disso, a Novell, Inc. se reserva o direito de revisar esta publicação e alterar seu conteúdo, a qualquer momento, sem a obrigação de notificar essas revisões ou modificações a qualquer pessoa ou entidade. Além disso, a Novell, Inc. não fornece declarações ou garantias em relação a qualquer software NetWare e, especificamente, desobriga-se de garantias expressas ou implícitas da sua comercialização ou adequação a quaisquer fins específicos. Além disso, a Novell, Inc. se reserva o direito de alterar total ou parcialmente o software NetWare, a qualquer momento, sem nenhuma obrigação de notificar essas mudanças a qualquer pessoa ou entidade. O software Harvest foi desenvolvido pelo IRTF-RD (Internet Research Task Force Research Group on Resource Discovery): Mic Bowman da Transarc Corporation. Peter Danzig da University of Southern California. Darren R. Hardy da University of Colorado em Boulder. Udi Manber da University of Arizona. Michael F. Schwartz da University of Colorado em Boulder. Duane Wessels da University of Colorado em Boulder. Copyright (c) 1994, 1995, Internet Research Task Force Research Group on Resource Discovery. Todos os direitos reservados. Este aviso de copyright se aplica somente ao software do diretório Harvest "src/". Os usuários devem consultar os avisos de copyright individuais nos subdiretórios "components/" para obter informações de copyright sobre outros softwares incluídos na distribuição do código de origem do Harvest. Copyright Novell, Inc. Todos os direitos reservados. Nenhuma parte desta publicação pode ser reproduzida, fotocopiada, armazenada em sistemas de recuperação ou transmitida sem o consentimento por escrito da Novell. Números de Patentes nos E.U.A ; ; ; ; ; ; ; Patentes pendentes nos E.U.A. e em outros países. Novell, Inc. 122 East 1700 South Provo, UT U.S.A. Documentação online: para acessar a documentação online deste ou de outro produto da Novell, visite o site Visão Geral e Planejamento junho 1999

3 TERMOS DE UTILIZAÇÃO O software Harvest pode ser usado e redistribuído sem taxas, desde que a equipe de pesquisa e a origem do software sejam devidamente citados em qualquer utilização do sistema. Geralmente, isso é obtido por meio da inclusão de um link com a home page do Harvest (http://harvest.cs.colorado.edu/) a partir da página de consulta de qualquer Controlador distribuído, bem como nas páginas de resultado de consulta. Esses links são gerados automaticamente pela distribuição do software Controlador padrão. O software Harvest é fornecido "no estado em que se encontra", sem garantias expressas ou implícitas e sem suporte ou obrigação de prestar assistência na sua utilização, correção, modificação ou melhoria. Não assumimos nenhuma responsabilidade em relação à violação de copyrights, informações confidenciais de comércio ou de quaisquer patentes e nem por danos conseqüenciais. A utilização apropriada do software Harvest é de inteira responsabilidade do usuário. TRABALHOS DERIVADOS Os usuários podem executar trabalhos derivados a partir do software Harvest, sujeitos às seguintes limitações: V.Sa. deve incluir o aviso de copyright indicado acima e os parágrafos que o acompanham em todas as formas de trabalhos derivados; e qualquer documentação e outros materiais relacionados a essa distribuição e utilização devem informar que o software foi desenvolvido nas instituições relacionadas acima. V.Sa. precisa notificar o IRTF-RD sobre a distribuição do trabalho derivado. V.Sa. precisa notificar explicitamente os usuários de que está distribuindo uma versão modificada e não o software Harvest original. Todos os produtos derivados estão sujeitos a essas restrições de utilização e copyright. Observe que o software Harvest NÃO é de domínio público. Retemos o copyright, conforme especificado acima. HISTÓRICO DO STATUS DO SOFTWARE GRATUITO Originalmente, solicitávamos aos sites o licenciamento do software nos casos em que pretendiam construir produtos/serviços comerciais baseados no Harvest. Em Junho de 1995, essa diretiva foi mudada. Atualmente, autorizamos a utilização gratuita do software Harvest central (o código encontrado no diretório Harvest "src/"). Essa mudança foi efetuada visando encorajar a maior distribuição possível da tecnologia. O software Harvest é na verdade uma implementação de referência de um conjunto de protocolos e 3

4 formatos, dentre os quais alguns que pretendemos padronizar. Incentivamos as reimplementações comerciais do código atendendo a esse conjunto de padrões. aviso de exportação Este produto poderá exigir uma autorização prévia do Departamento de Comércio dos Estados Unidos para ser exportado dos Estados Unidos ou Canadá. marcas registradas Novell e NetWare são marcas registradas da Novell, Inc. nos Estados Unidos e em outros países. BorderManager, Internetwork Packet Exchange, IPX, NDS, NetWare 5, Novell BorderManager, Novell BorderManager FastCache, Novell Client e Z.E.N.works são marcas registradas da Novell, Inc. LANalyzer, LAN WorkPlace, Novell e NetWare são marcas registradas da Novell, Inc. nos Estados Unidos e em outros países. BorderManager, Client 32, ConsoleOne, Internetwork Packet Exchange, IPX, NASI, NCP, NDPS, NDS, NetWare 5, NetWare Asynchronous Services Interface, NetWare Connect, NetWare Core Protocol, NetWare/IP, NetWare Link Services Protocol, NetWare Loadable Module, NetWare MultiProtocol Router, NLM, NLSP, Novell BorderManager, Novell BorderManager FastCache, Novell Client, Novell Distributed Print Services, Virtual Loadable Module, VLM e Z.E.N.works são marcas registradas da Novell, Inc. AppleTalk é marca registrada da Apple Computer, Inc. Btrieve é marca registrada da Pervasive Software, Inc. Cyber Patrol é marca registrada da Learning Company Properties, Inc. CyberNOT é marca registrada da Learning Company Properties, Inc. CyberNOT é marca registrada da Learning Company Properties, Inc. CyberNOT é marca registrada da Learning Company Properties, Inc. CyberYES List é marca registrada da Learning Company Properties, Inc. Hayes é marca registrada da Hayes Microcomputer Products, Inc. Java é marca registrada da Sun Microsystems, Inc. nos Estados Unidos e em outros países. JavaScript é marca registrada da Sun Microsystems, Inc. Macintosh é marca registrada da Apple Computer, Inc. Microsoft é marca registrada da Microsoft Corporation. NCSA é marca registrada da Bales, Gates & Associates, Inc. Netscape é marca registrada da Netscape Communications Corporation. Netscape Communicator é marca registrada da Netscape Communications Corporation. Netscape Navigator é marca registrada da Netscape Communications Corporation. 4 Visão Geral e Planejamento

5 OS/2 é marca registrada da International Business Machines Corporation. PS/2 é marca registrada da International Business Machines Corporation. Pentium é marca registrada da Intel Corporation. RealAudio é marca registrada da RealNetworks, Inc. RealPlayer é marca registrada da RealNetworks, Inc. RealVideo é marca registrada da RealNetworks, Inc. Learning Company é marca registrada da Learning Company Properties, Inc. UNIX é marca registrada da X/Open Company, Ltd. O logotipo da RSA é marca registrada da RSA Data Security, Inc. 5

6 6 Visão Geral e Planejamento

7 Índice Sobre este guia 1 Visão geral Visão geral dos recursos do Novell BorderManager Soluções de firewall Considerações sobre fronteiras de rede Implementar a segurança das fronteiras de rede Diretivas de segurança Decidir o que incluir em uma diretiva de segurança Criar uma diretiva de segurança Estabelecer uma diretiva de segurança usando o BorderManager Tecnologias de firewall Tipos de firewalls Tipos de tecnologias de firewall Soluções de firewall do Novell BorderManager Melhorar a performance da rede Melhorar a performance usando o recurso Serviços de Proxy Usar tipos diferentes de armazenamento no cache para melhorar a performance Gerenciar os serviços do Novell BorderManager Gerenciamento habilitado por NDS Registro e auditoria de eventos Alertas Próximo passo Visão geral e planejamento da filtragem de pacotes Visão geral da filtragem de pacotes Outros serviços de segurança do BorderManager Opções de segurança Como a filtragem de pacotes funciona Filtragem estática de pacotes Recursos avançados Diretiva de segurança Índice 7

8 Monitorar a filtragem de pacotes Visão geral e planejamento do controle de acesso Visão geral do controle de acesso Usar o controle de acesso com o BorderManager Implementar o controle de acesso Regras de acesso Usar curingas nas regras de acesso Listas de controle de acesso Como o controle de acesso funciona Configurar regras de acesso Gerar uma lista de controle de acesso Seqüência de regras de acesso Exemplo de regras de acesso Exemplo de controle de acesso detalhado Monitorar o controle de acesso Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Translation) Visão geral da conversão de endereços no nível do circuito Gateway IP da Novell NAT Usar o gateway IP da Novell ou o NAT Opções de configuração e limitações do gateway IP da Novell Especificar servidores DNS Especificar o servidor de gateway preferencial para clientes Suportar clientes SOCKS Usar o controle de acesso Limitações do gateway IP da Novell Opções de configuração e limitações do NAT Selecionar um modo de operação do NAT Somente dinâmico Somente estático Estático e dinâmico Implementar modos de operação do NAT Considerações sobre as tabelas de conversão estática de endereços de rede Atribuir endereços não registrados a hosts usando o NAT Usar o multihoming Limitações do NAT Visão Geral e Planejamento

9 5 Visão geral e planejamento do recurso Serviços de Proxy Visão geral do recurso Serviços de Proxy Tipos de armazenamento no cache Interação com outros serviços do BorderManager Tecnologia do proxy Protocolos suportados Vantagens do recurso Serviços de Proxy Recursos dos serviços de proxy Como o armazenamento no cache do proxy de reencaminhamento funciona Armazenamento no cache do proxy de reencaminhamento Hierarquias de armazenamento no cache Tipos de objetos e armazenamento no cache Servidores proxy e segurança Proxies de aplicativos Proxy HTTP Proxy FTP Proxy de correio (SMTP/POP3) Proxy de grupos de notícias (NNTP) Proxy RealAudio Proxy DNS Proxy HTTPS Cliente SOCKS Proxy genérico Proxy transparente para HTTP Proxy transparente Telnet Recursos adicionais dos serviços de proxy Download em lote Filtragem do conteúdo Java Autenticação do proxy usando o SSL Armazenamento hierárquico ICP no cache Projetar e planejar o recurso Serviços de Proxy Aceleração do cliente Web, do servidor Web e da rede Exemplos de aplicativos de proxy Visão geral e planejamento da VPN (Virtual Private Network) Visão geral das VPNs Configurações da VPN Rotear com uma VPN Terminologia das VPNs Criptografia e gerenciamento de chaves Sincronização e controle dos servidores Filtros de uma VPN Índice 9

10 Projetar e planejar uma VPN Opções de configuração site a site Opções para determinar quais redes privadas estão protegidas pela VPN. 158 Opções de troca de chaves e algoritmo criptográficos Opções de topologia Opções de início de conexão Opções de tempo de espera Opções de configuração de discagem de cliente para site Cenários de planejamento do Novell BorderManager Adicionar um firewall interno e externo Adicionar um firewall externo Conectar um site apenas IPX com a Internet Configurar várias VPNs (Virtual Private Networks) Adicionar o Novell BorderManager a um site que já tenha um firewall Usar o Novell BorderManager como um conversor de endereços Visão geral e planejamento dos serviços de autenticação do BorderManager Visão geral dos serviços de autenticação Protocolo RADIUS RADIUS e NDS Atributos do acesso por discagem Logins por nome comum Diretivas de autenticação Contabilização RADIUS Registro de auditoria RADIUS Autenticação por símbolo Inicialização do dispositivo de autenticação Geração de senhas Símbolos de hardware Símbolos de software A autenticação por símbolo e o NDS Projetar e planejar a autenticação por símbolo Serviços de proxy RADIUS Proxy de autenticação RADIUS Proxy de contabilização RADIUS Índice remissivo Índice remissivo Visão Geral e Planejamento

11 Sobre este guia Esta documentação apresenta uma visão geral dos componentes do Novell BorderManager TM ; e fornece as informações de background necessárias para planejar a implementação desse software. Ela contém os seguintes capítulos: Capítulo 1, Visão geral, na página 13 Esse capítulo contém uma visão geral dos componentes e dos recursos do Novell BorderManager e inclui informações sobre a segurança da rede, tecnologias de firewall e performance e gerenciamento da rede. Capítulo 2, Visão geral e planejamento da filtragem de pacotes, na página 43 Esse capítulo contém uma visão geral da filtragem de pacotes e descreve como você pode usar esse mecanismo para controlar o acesso à Internet. Capítulo 3, Visão geral e planejamento do controle de acesso, na página 59 Esse capítulo contém uma visão geral do controle de acesso e descreve como você pode usar as regras de acesso com os serviços do Novell BorderManager. Capítulo 4, Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Translation), na página 77 Esse capítulo contém uma visão geral do Gateway IP da Novell e do NAT (Network Address Translation) e descreve como você pode usar esses recursos na sua rede. Capítulo 5, Visão geral e planejamento do recurso Serviços de Proxy, na página 99 Esse capítulo contém uma visão geral do recurso Serviços de Proxy e descreve como você pode usar os vários recursos como parte da solução de rede do Novell BorderManager. Sobre este guia 11

12 Capítulo 6, Visão geral e planejamento da VPN (Virtual Private Network), na página 147 Esse capítulo contém uma visão geral das VPNs (Virtual Private Networks) e descreve as opções de configuração de topologia de uma VPN. Capítulo 7, Cenários de planejamento do Novell BorderManager, na página 169 Esse capítulo contém um conjunto de cenários que mostram como uma empresa usa vários componentes do Novell BorderManager para resolver seus problemas de rede e de segurança. Capítulo 8, Visão geral e planejamento dos serviços de autenticação do BorderManager, na página 183 Esse capítulo contém uma visão geral dos Serviços de Autenticação do Novell BorderManager, que permitem que usuários remotos disquem para redes NetWare e acessem recursos e informações da rede de maneira segura. 12 Visão Geral e Planejamento

13 capítulo 1 Visão geral Esse capítulo fornece uma visão geral dos serviços do Novell BorderManager TM que você usa para gerenciar com sucesso as "fronteiras" de rede. Também analisa os requisitos envolvidos no gerenciamento e no controle de acesso a uma fronteira de rede. Os capítulos subseqüentes fornecem uma descrição mais detalhada de cada serviço do BorderManager. N o t a Para obter informações sobre procedimentos, consulte a documentação de instalação do Novell BorderManager e a documentação de configuração e gerenciamento online do Novell BorderManager. Esse capítulo contém as seguintes seções: Visão geral dos recursos do Novell BorderManager na página 13 Implementar a segurança das fronteiras de rede na página 18 Tecnologias de firewall na página 22 Melhorar a performance da rede na página 36 Gerenciar os serviços do Novell BorderManager na página 39 Próximo passo na página 41 Visão geral dos recursos do Novell BorderManager Esta seção descreve resumidamente as soluções de firewall do BorderManager e abrange vários pontos principais que você precisa considerar ao estabelecer e controlar suas fronteiras de rede. Esta seção contém as seguintes subseções: Soluções de firewall na página 14 Considerações sobre fronteiras de rede na página 16 Visão geral 13

14 O software Novell BorderManager fornece uma conexão segura de uma intranet corporativa com a Internet. O BorderManager é executado em um sistema operacional NetWare 4.11 ou NetWare 5 e usa os utilitários do servidor NetWare ou o utilitário Administrador do NetWare para a configuração do servidor. As configurações do servidor estão armazenadas no banco de dados do NDS TM. O NDS permite que você controle o acesso de um usuário ou grupo de usuários à World Wide Web. Quando você conecta sua rede privada à Internet pública, a segurança na fronteira e a performance da rede tornam-se questões fundamentais, assim como a proteção dos dados na sua intranet. O BorderManager permite que você gerencie e proteja a fronteira onde as redes se encontram. Embora a fronteira a que se faça referência mais freqüentemente seja a que está entre a intranet corporativa e a Internet, as fronteiras entre os segmentos de uma intranet corporativa também precisam ser gerenciadas e protegidas. Como o BorderManager foi projetado especificamente para identificar e resolver as questões mais críticas envolvidas no gerenciamento de uma fronteira de rede, o trabalho do administrador fica muito mais fácil com a distribuição desse produto para toda a rede. A tarefa de gerenciamento de uma fronteira de rede não é simples, mas pode ser compreendida mais facilmente quando dividida nas categorias de solução fornecidas pelo BorderManager e que são descritas de forma resumida na próxima seção. Soluções de firewall O BorderManager oferece soluções efetivas e abrangentes de firewall, que contêm as seguintes tecnologias: Filtragem de pacotes. Os filtros de pacotes fornecem uma segurança no nível da rede para controlar os tipos de informações enviadas entre as redes e os hosts. O BorderManager suporta filtros do RIP (Routing Information Protocol) e filtros de reencaminhamento de pacotes para controlar as informações sobre o serviço e a rota dos suites de protocolos comuns, incluindo o software IPX* (Internetwork Packet Exchange*) e o TCP/IP. Serviços de Proxy Este componente usa o armazenamento no cache para acelerar a performance da Internet e otimizar a utilização da largura de banda da WAN. Os Serviços de Proxy também permitem a filtragem de protocolos e melhoram a segurança ocultando os nomes e endereços de 14 Visão Geral e Planejamento

15 domínios privados e enviando todas as solicitações através de um único gateway. Controle de acesso O controle de acesso é o processo pelo qual o acesso do usuário aos serviços da Internet ou intranet é regulado e monitorado. Em especial, o software de controle de acesso BorderManager aceita ou nega pedidos de acesso feitos através do Gateway IP da Novell ou dos Serviços de Proxy. Gateway IP da Novell O Gateway IP da Novell, que consiste em dois gateways no nível do circuito (o gateway IPX/IP e o gateway IP/IP), permite que clientes IPX e IP do Windows* na sua rede local acessem a Internet sem precisar que você designe globalmente endereços IP únicos para cada sistema local. O Gateway IP da Novell também suporta clientes SOCKS. O Gateway IP da Novell também permite ocultar da Internet os endereços IP da rede local e implementar o controle de acesso para os clientes locais. NAT A exemplo do Gateway IP da Novell, o NAT permite que clientes IP da sua rede local acessem a Internet sem precisar que você designe globalmente endereços IP únicos para cada sistema. Além disso, o NAT funciona como um filtro, permitindo somente determinadas conexões externas e garantindo que as conexões internas não poderão ser iniciadas de uma rede pública. VPN Uma VPN é usada para transferir informações confidenciais pela Internet de maneira segura através do encapsulamento e da criptografia dos dados. A VPN também pode ser implantada nas intranets onde a segurança dos dados é necessária entre os departamentos. Alerta do BorderManager O Alerta do BorderManager monitora a performance e a segurança do servidor, além de relatar problemas existentes ou potenciais do servidor que afetam a performance dos serviços configurados do BorderManager. Serviços de Autenticação do Novell(r) BorderManager TM. Os serviços de autenticação permitem que usuários remotos disquem para redes NetWare(r) e acessem recursos e informações da rede. Esses serviços mantêm a segurança ao exigir que os usuários se autentiquem usando o protocolo RADIUS (Remote Authentication Dial-In User Service). Visão geral 15

16 Considerações sobre fronteiras de rede Você precisa considerar o seguinte quando estabelecer e mantiver controle sobre as fronteiras de rede: Segurança. Proteger a intranet de violações de segurança, bem como evitar o acesso não autorizado à Internet. Performance. Uma questão crítica se o acesso à Internet e à intranet for de extrema importância. Você precisa otimizar o acesso à Internet e à intranet, mesmo nas linhas de discagem lentas. Gerenciamento. Estabelecer a segurança em todos os pontos de acesso à Internet e à intranet, a partir da segurança de acesso tanto à intranet quanto à Internet. Você precisa de uma maneira centralizada de gerenciar todos os pontos de acesso à Internet e à intranet. Conectividade remota segura. Enviar informações de forma segura e com boa relação custo-benefício. Você também precisa considerar os custos de configuração e de manutenção contínua dos pontos de acesso à Internet ao estabelecer e manter o controle das fronteiras de rede. O BorderManager dá conta de todas as considerações sobre proteção e gerenciamento da rede. Segurança A segurança é um dos aspectos mais importantes a serem considerados ao conectar uma intranet corporativa à Internet. A proteção das informações e dos sistemas contra o acesso não autorizado pode ser igualmente importante quando se considera um segmento de rede localizado dentro da intranet corporativa. Tenha em mente que você pode ter como funcionários alguns dos especialistas em software mais perspicazes. Mais de 80% dos dados são roubados internamente. A criação de um mecanismo de segurança para proteger a fronteira da rede costuma ser denominada criação de um firewall. O BorderManager fornece os seguintes recursos de segurança que você pode usar para criar um firewall da rede: Filtragem de pacotes Gateway IP da Novell 16 Visão Geral e Planejamento

17 NAT (Network Address Translation) Proxies de aplicativos Controle de acesso Cyber Patrol Para obter maiores informações sobre a segurança, os firewalls e os recursos de segurança do BorderManager, consulte Implementar a segurança das fronteiras de rede na página 18 Performance Com o advento do conceito "tempo na Internet", as empresas passaram a compreender a urgência de acelerar o acesso à Internet e a partir dela. Muitas empresas contam com a Internet para trocar produtos e informações com colegas e clientes. A demanda para acelerar o acesso às informações de dentro de uma empresa é igualmente grande. Muitas empresas decidiram mover todas as suas informações, inclusive documentos, formulários e procedimentos, para um site Web da intranet. Se todas as informações da empresa estão localizadas em um site Web e o trabalho dos funcionários emprega o tempo da empresa, é essencial que eles possam acessar e coletar esses dados rapidamente. O BorderManager oferece os seguintes recursos de performance: Aceleração com reencaminhamento, ou cache proxy padrão Aceleração reversa, ou aceleração do servidor Web Armazenamento hierárquico no cache Para obter maiores informações sobre performance e os recursos de performance do BorderManager, consulte Melhorar a performance da rede na página 36 Gerenciamento O gerenciamento de fronteiras de rede, especialmente no que diz respeito à segurança, de forma consistente pode ser difícil quando cada fronteira precisa ser gerenciada separadamente. Essa tarefa torna-se ainda mais complicada se Visão geral 17

18 cada fronteira usar hardware e software de roteamento diferentes. O BorderManager facilita a resolução desse problema ao permitir que o administrador gerencie servidores BorderManager de um local central usando as ferramentas do NetWare. O BorderManager realiza essa tarefa integrando cuidadosamente os serviços do BorderManager ao NDS. Para obter maiores informações sobre o gerenciamento do BorderManager, consulte Gerenciar os serviços do Novell BorderManager na página 39 Conectividade remota segura Conforme aumenta a necessidade de acessar e enviar informações online, torna-se essencial dispor de um método seguro e com uma boa relação custobenefício para transmitir as informações. No passado, muitas empresas optaram por construir redes privadas usando linhas de discagem alugadas, mas esse método pode ser muito caro. Atualmente, talvez faça mais sentido para uma empresa usar a Internet para enviar e receber informações seguras online. A VPN (Virtual Private Network) do BorderManager permite que você use a Internet para enviar e receber informações com segurança através da utilização de um fluxo de dados criptografado entre hosts e clientes. Para obter maiores informações sobre a VPN do BorderManager, consulte VPNs na página 35 Implementar a segurança das fronteiras de rede A Internet e a intranet da empresa são ambientes pouco seguros. Quando uma empresa se conecta à Internet ou cria uma intranet interna com segmentos que mantêm informações confidenciais, ela coloca em risco suas informações internas. Essas duas situações exigem acesso controlado e maior segurança para proteger informações corporativas importantes. O primeiro passo envolvido na implementação da segurança na rede é estabelecer uma diretiva de segurança. Esta seção contém as seguintes subseções: Diretivas de segurança na página 19 Decidir o que incluir em uma diretiva de segurança na página 19 Criar uma diretiva de segurança na página 20 Estabelecer uma diretiva de segurança usando o BorderManager na página Visão Geral e Planejamento

19 Diretivas de segurança O uso do BorderManager para proteger as fronteiras de rede é apenas um dos vários passos necessários para implementar a segurança de rede na empresa. A implementação de uma rede segura precisa de um grande planejamento e da cooperação dos funcionários da empresa. Para implementar com sucesso uma intranet segura, crie uma diretiva de segurança. Essa criação pode ser um processo longo e complexo, mas é essencial para o sucesso da formação de uma rede segura. Embora a tecnologia não garanta um sistema totalmente seguro, você pode tomar algumas medidas para evitar o mau uso dos dados e dos sistemas na empresa. Uma diretiva de segurança precisa ser seguida por todos os funcionários e administradores da empresa. Ela precisa ser composta por um conjunto de regras que expressem os objetivos a serem atendidos com relação à segurança e ao controle do acesso nas redes. A diretiva que você implementará depende da tecnologia de que dispõe para concretizar as regras que definir. Siga estas diretrizes gerais ao criar a diretiva de segurança: Explique por que a diretiva foi criada. Esse procedimento será útil quando você precisar fazer alterações posteriormente e quiser se lembrar por que determinadas regras foram definidas. Use uma linguagem simples. Isso ajuda os funcionários a lerem e entenderem melhor a diretiva. Detalhe as responsabilidades dos funcionários e administradores. Por exemplo, realce o fato de que os funcionários precisam manter suas senhas em sigilo. Designe autoridades. Delegue responsabilidades quando ocorrerem violações de segurança e a diretiva não estiver sendo seguida. Inclua qualquer ação punitiva conseqüente, inclusive repreensões ou demissões. Decidir o que incluir em uma diretiva de segurança Considere as questões gerais a seguir ao decidir sobre o que incluir na diretiva de segurança. Talvez você precise incluir outros itens nessa lista, com base nas reuniões com a equipe e os administradores da empresa. A diretiva de segurança precisa incluir regras para o seguinte: Visão geral 19

20 Atribuir e acessar contas. Conectar objetos à rede, inclusive um host ou cliente. Conectar-se à Internet. Proteger informações confidenciais nos servidores FTP ou Web da intranet. Publicar informações na Internet. Conectar usuários remotos, sites e clientes à rede. Usar . Proteger informações confidenciais da empresa. Recuperar-se de violações de segurança. Reforçar as regras para sites múltiplos e criar uma diretiva consistente entre os sites para facilitar a manutenção. I m p o r t a n t e A lista acima não é completa; na verdade, ela dá uma idéia geral das questões que você precisa ter em mente e fornece um ponto de partida para sua diretiva de segurança. Consulte as informações disponíveis sobre segurança na Internet, online e nas livrarias, para obter maiores detalhes sobre como projetar um sistema de segurança completo e abrangente para sua rede. Criar uma diretiva de segurança A criação de uma diretiva de segurança consiste nos seguintes passos: 1. Pesquise diretivas potenciais de segurança usando as fontes disponíveis na Internet e em materiais publicados. 2. Determine as seguintes informações sobre sua empresa: Tipos de aplicativos e dados Identifique categorias e determine o que precisa ser protegido e o que precisa se tornar público, tanto dentro quanto fora da empresa. Relações atuais Determine, por exemplo, se você deseja suportar acesso ao cliente e ao fornecedor. 20 Visão Geral e Planejamento

21 Funcionários que precisam acessar as informações Divida essa questão em categorias para determinar quem precisa acessar quais informações. 3. Determine como a diretiva pode ser mudada no futuro. Especifique como a nova tecnologia e os requisitos serão incorporados à empresa e à diretiva de segurança. 4. Analise a diretiva de segurança no que diz respeito ao risco e ao custo. Este processo pode ser tornar muito analítico e talvez seja melhor contratar um consultor para realizá-lo. 5. Publique a diretiva de segurança. Verifique se todos os funcionários leram e compreenderam a diretiva e suas responsabilidades. 6. Implemente a diretiva. Isso envolve a implementação do firewall e a execução das diretrizes definidas pela diretiva de segurança. 7. Assegure-se do cumprimento da diretiva. A diretiva será inútil se você não verificar se ela está sendo seguida por todos a quem ela diz respeito. 8. Reveja e atualize a diretiva de segurança com freqüência para dar conta das novas questões e das mudanças ocorridas na rede. I m p o r t a n t e Estas informações são apenas um guia e não visam fornecer todos os dados de que você necessita para criar uma diretiva de segurança corporativa. Para obter maiores informações sobre a segurança da rede e a implementação da diretiva de segurança, leia uma das várias publicações de terceiros que fornecem informações detalhadas sobre o assunto. Além disso, você pode encontrar mais informações gerais sobre segurança da rede na documentação do Novell NetWare. Estabelecer uma diretiva de segurança usando o BorderManager Você pode controlar o acesso a um servidor BorderManager e à segurança da rede implementando as seguintes regras: Quando instalar ou atualizar o BorderManager, desconecte o servidor da rede pública. Controle o acesso de rede a um servidor BorderManager da seguinte maneira: Não configure utilitários do host, como RCONSOLE ou XCONSOLE, que permitem o acesso remoto ao sistema. Visão geral 21

22 Não use um servidor BorderManager para suportar aplicativos de recebimento de dados, como serviços de impressão e arquivos. Restrinja o acesso por SNMP (Simple Network Management Protocol) ao sistema. Mude a string de comunidade SNMP padrão. Conexões do NCP TM (NetWare Core Protocol TM ) ao sistema definindo assinaturas de pacotes no nível mais elevado (nível 3). Bloqueie o spoof de endereços de origem aplicando filtros de pacotes a interfaces públicas. Restrinja o acesso físico ao servidor. Varra os dispositivos de rede e as estações de trabalho para detectar a existência de vírus. Estabeleça um procedimento emergencial de 7 dias, 24 horas por dia para tratar das violações de segurança. Desconecte o servidor BorderManager da rede pública se houver suspeita de uma violação de segurança. Encoraje os usuários a fazer logout da rede e bloquear as respectivas estações de trabalho no fim do dia. Obrigue-os a fazer mudanças periódicas nas senhas. Desencoraje-os a escolher informações pessoais, como nomes e datas de nascimento, quando definirem novas senhas. Consulte o RFC 1244 para formular as diretrizes e implementar uma diretiva de segurança do site ainda mais extensa. Tecnologias de firewall Esta seção analisa os vários tipos de firewalls e descreve os serviços de firewall fornecidos pelo BorderManager. Ela contém as seguintes subseções: Tipos de firewalls na página 24 Tipos de tecnologias de firewall na página Visão Geral e Planejamento

23 Soluções de firewall do Novell BorderManager na página 31 Os firewalls são uma combinação de hardware e software que reduzem o risco de uma violação de segurança em uma intranet privada. Um firewall efetivo entre a intranet ou rede privada e a Internet, ou entre segmentos da intranet, reforça a segurança corporativa e as diretivas de controle de acesso. Também ajuda a regular o tipo de tráfego que pode acessar a intranet e fornece informações sobre esse tráfego ao administrador. Você pode configurar seu firewall para negar acesso a uma rede privada a partir da Internet, mas para permitir o acesso à Internet. Pode também permitir um acesso parcial - a ou a informações corporativas gerais - a partir da Internet, concedido somente a alguns servidores selecionados. A finalidade de um firewall é criar um sistema que impeça que usuários não autorizados acessem informações proprietárias. Como foi mencionado anteriormente, o projeto de uma diretiva efetiva de segurança que atenda às suas necessidades exige planejamento cuidadoso e análise dos objetivos. Esta seção se concentra somente na compreensão da parte do firewall. O modelo OSI (Open System Interconnection) mostrado na tabela a seguir dá uma idéia de cada camada mapeada para as tecnologias de firewall correspondentes da Internet. Algumas tecnologias abrangem mais de uma camada. Os níveis superiores desse modelo permitem controlar melhor ou com mais precisão os dados que entram na rede, mas isso prejudica a performance. Os níveis inferiores precisam de menos tempo para rotear os dados, mas comprometem a segurança em função da performance. Camada OSI Aplicativo Apresentação Sessão Transporte Rede Link de Dados Física Tecnologia de Firewall VPN (Virtual Private Network)Cache de Objetos da Internet VPN VPN VPNGateways IPX/IPFiltragem de pacotes VPNNAT (Conversão de Endereços de Rede)Filtragem de pacotes VPNPPP (Point-to-Point Protocol)Filtragem de pacotes Não aplicável Visão geral 23

24 Tipos de firewalls Embora, algumas vezes, seja feita referência a um firewall como uma tecnologia individual, na verdade ele é uma combinação de vários serviços que funcionam juntos como uma camada de proteção para garantir uma fronteira de rede segura. Essas tecnologias baseiam-se na segurança básica já disponível em muitos serviços da Internet. Os firewalls fornecem segurança para serviços que não dispõem da mesma (por exemplo, ). Os firewalls também protegem os hosts. Existem vários tipos básicos de firewalls: Roteadores de triagem Hosts de bastião Hosts com dual-homing Hosts triados Sub-redes triadas Hosts com tri-homing Roteadores de triagem Um roteador de triagem é o tipo mais simples de firewall e usa apenas o recurso de filtragem de pacotes para controlar e monitorar o tráfego da rede que passa pela fronteira. Em um servidor com filtragem de pacotes, esses roteadores podem bloquear o tráfego entre as redes ou, por exemplo, o tráfego destinado a ou proveniente de hosts específicos em um nível de porta IP. Por exemplo, você pode permitir que funcionários da sua intranet usem o Telnet, mas impedir qualquer atividade Telnet a partir da Internet. Em geral, a comunicação direta é permitida entre vários hosts na rede privada e na Internet. A Figura 1-1 mostra um exemplo simples de como funciona um roteador de triagem. 24 Visão Geral e Planejamento

25 Figura 1-1 Firewall usando roteadores de triagem Internet Roteador de Triagem IP TCP/IPX TCP/IP Cliente IPX Cliente IP O risco de violação é maior com esse tipo de firewall: cada host na rede privada está exposto à Internet e é um ponto potencial de violação. Usuários não autorizados podem detectar e usar endereços internos para acessar informações dentro do firewall. Para evitar violação, os roteadores de triagem podem ser configurados para procurar o endereço de origem de cada cabeçalho IP que chega, em vez do endereço de destino, e descartar os endereços privados provenientes da Internet. Hosts de bastião Um host de bastião representa a rede privada na Internet. O host é o ponto de contato para o tráfego que chega da Internet e, como um servidor proxy, permite que clientes da intranet acessem serviços externos. Um host de bastião executa somente alguns serviços (por exemplo, serviços de , FTP, DNS ou Web). Os usuários da Internet precisam utilizar o host de bastião para acessarem um serviço. Um host desse tipo não precisa de qualquer autenticação nem armazena qualquer dado confidencial da empresa. Hosts com dual-homing Um host com dual-homing se baseia em um servidor que tem no mínimo duas interfaces de rede. O host funciona como um roteador entre a rede e as interfaces a que está anexado. Para implementar esse tipo de firewall, a função de roteamento é desabilitada. Por isso, um pacote IP de uma rede (por exemplo, da Internet) não é roteado diretamente para a outra rede (por exemplo, para a intranet). Os sistemas dentro e fora do firewall podem se comunicar com o host com dual-homing, mas não podem se comunicar diretamente entre si. Visão geral 25

26 Figura 1-2 Firewall host com dual-homing Um host com dual-homing bloqueia o tráfego direto entre a rede privada (protegida) e a Internet. A Figura 1-2 mostra um exemplo de uma configuração em que um roteador da WAN fornece conectividade geral da WAN, filtragem de pacotes e acesso ao servidor BorderManager. Os usuários de redes privadas podem acessar a Internet usando o recurso Serviços de Proxy e o Gateway IP da Novell, que estão sendo executados no servidor BorderManager. O roteador permite o tráfego somente para o servidor BorderManager e proveniente dele. A violação é limitada a outros hosts que podem ser acessados da Internet, embora qualquer acesso ilegal comprometa severamente a segurança. Roteador WAN Internet Rede Privada Servidor do BorderManager Hosts triados Um host triado usa uma combinação de um host de bastião e um roteador de triagem, como mostra a Figura 1-3 na página 27. O roteador de triagem aumenta a segurança ao oferecer acesso à Internet para negar ou permitir determinado tráfego proveniente do host de bastião. É a primeira parada para o tráfego, que poderá continuar somente se o roteador de triagem deixá-lo passar. Para proporcionar segurança adicional, você poderia configurar um host de bastião para cada tipo de serviço: HTTP, FTP e . O roteador de triagem enviará o tráfego correspondente para o host de bastião apropriado. Neste exemplo, o servidor BorderManager e o roteador da WAN podem ser acessados a partir da Internet. Além disso, o servidor BorderManager funciona como um roteador de triagem na rede privada. Com o NAT e a filtragem de pacotes, o servidor BorderManager pode ser configurado para bloquear o tráfego em portas específicas e somente um número específico de serviços pode se comunicar com ele. 26 Visão Geral e Planejamento

27 Esse tipo de firewall é bastante seguro porque o risco de segurança limita-se ao servidor BorderManager. Figura 1-3 Firewall host triado Internet Roteador do BorderManager Hosts, Clientes e Servidores Roteador de Triagem do BorderManager Host de Bastiªo do Servidor FTP Sub-redes triadas A sub-rede triada é uma variação de um host triado. Em um ambiente de subredes triadas, o host de bastião é colocado na sua própria sub-rede. Para isso, são usados dois roteadores de triagem: um entre a sub-rede e a rede privada (com o host de bastião) e outro entre a sub-rede e a Internet. O primeiro roteador de triagem entre a rede privada e a sub-rede triada impede que todos os serviços cruzem a sub-rede. A sub-rede triada aceita somente serviços especificados. Um exemplo de firewall de sub-rede triada é mostrado na Figura 1-4 na página 28. Nessa configuração, o servidor BorderManager é usado como um servidor proxy. Tanto o roteamento como o reencaminhamento IP estão desabilitados para impedir qualquer acesso direto entre a rede privada e a Internet pública. Visão geral 27

28 Figura 1-4 Firewall sub-rede triada Servidor FTP Internet HTTP SMTP FTP Negado Roteador de Triagem do BorderManager HTTP FTP Rede 1 Rede 2 HTTP SMTP SMTP FTP Negado Roteador de Triagem do BorderManager Client IP/IPX Servidor Servidor Web de I m p o r t a n t e Embora um firewall se concentre na restrição e na utilização dos serviços entre redes, para obter uma diretiva de acesso de segurança completa, considere todos os demais acessos a redes externas, inclusive linhas de discagem e conexões SLIP/PPP. Hosts com tri-homing Um host com tri-homing combina elementos de um roteador de triagem e de um host triado, superando, assim, as limitações de ambos. A segurança é centralizada nos roteadores de triagem usando interfaces para a Internet, a intranet e as sub-redes que contêm os hosts de bastião e os servidores de aplicativos. Um exemplo de host com tri-homing é mostrado na Figura Visão Geral e Planejamento

29 Figura 1-5 Host com tri-homing Servidor de Servidor FTP Servidor Web Internet Rede Protegida Rede Comercial Privada Servidor do BorderManager Esta ıes de Trabalho Servidores de Arquivos Hosts Tipos de tecnologias de firewall As tecnologias que criam um serviço de firewall incluem filtragem de pacotes, NAT, gateways no nível do circuito, proxies de aplicativos e VPNs. A segurança e a eficiência dessas tecnologias e serviços varia, dependendo de sua eficácia e sofisticação. Filtragem de pacotes A filtragem de pacotes é o método básico usado para proteger a fronteira da intranet. Os filtros de pacotes funcionam na camada Rede do modelo OSI. A limitação da filtragem de pacotes consiste na impossibilidade de distinguir nomes de usuários. Os filtros de pacotes filtram dados com base no tipo do serviço, no número da porta, no número da interface, no endereço de origem e no endereço de destino, entre outros critérios. Por exemplo, um filtro de pacotes pode permitir ou negar divulgações de serviços em uma interface. Você pode usar filtros de entrada e de saída para definir quais informações entram e saem da intranet. Visão geral 29

30 NAT (Network Address Translation) O NAT (Network Address Translation) mapeia endereços IP privados para endereços IP públicos. O NAT pode fazer esse mapeamento de forma dinâmica ou estática. Uma alternativa para o NAT é um gateway no nível do circuito. Gateways no nível do circuito Um gateway no nível do circuito atua na camada de Sessão do modelo OSI, o que significa que um volume ainda maior de informações é necessário para que os pacotes sejam permitidos ou negados. O acesso é determinado com base no endereço, no nome de domínio do DNS ou no nome de usuário do NDS. Precisa ser instalado um software cliente especial na estação de trabalho. Os gateways no nível do circuito podem fazer um bridge entre protocolos diferentes de rede (por exemplo, de IPX para IP). Seu nome de usuário é verificado e o acesso é concedido antes de a conexão ao roteador ser estabelecida. Compare isso com o NAT, onde somente o endereço IP de origem privado é usado para obter acesso. Mais uma vez, a performance do NAT é maior do que a performance do gateway no nível do circuito. No entanto, os gateways no nível do circuito são mais seguros. Proxies de aplicativos Em um gateway no nível do circuito, após um pipe virtual ser estabelecido entre o cliente e o host, qualquer aplicativo pode ser usado através da conexão. Isso acontece porque os gateways no nível do circuito não podem determinar o conteúdo no nível do aplicativo dos pacotes que estão sendo enviados entre o cliente e o host durante uma transmissão. Um proxy no nível do aplicativo funciona como um servidor proxy para interceptar informações que estão passando por um gateway, impedindo a comunicação direta entre o cliente e o host. Um proxy de aplicativo é específico de um aplicativo, por exemplo, um proxy FTP ou SMTP. Ele aceita somente pacotes que sejam gerados por protocolos que o proxy possa copiar, reencaminhar e filtrar. VPNs As VPNs (Virtual Private Networks) permitem que dois hosts troquem dados usando um canal seguro. O fluxo de dados é criptografado para maior segurança. Uma VPN pode ser configurada como uma conexão entre dois ou entre vários pontos finais. Você pode conectar dois escritórios através de uma 30 Visão Geral e Planejamento

31 conexão à Internet ou conectar vários escritórios para criar uma rede privada segura. Os clientes VPN remotos também são suportados. Soluções de firewall do Novell BorderManager As seções anteriores descrevem os firewalls e os serviços de firewall que estão sendo implementados no setor em geral. Esta seção descreve os serviços de firewall fornecidos pelo BorderManager e explica como você pode realmente usar o BorderManager como parte de uma solução abrangente e versátil para sua diretiva de segurança. Os serviços de firewall do BorderManager proporcionam maior segurança através de três níveis de proteção por firewall, incluindo filtragem de pacotes (firewall de Nível I), gateways no nível do circuito (firewall de Nível II) e serviços de proxy de aplicativo (firewall de Nível III). Além disso, os serviços do NAT do BorderManager podem permitir que endereços IP da intranet não registrados se conectem à Internet e, ao mesmo tempo, evitar que pessoas externas vejam esses endereços. Os serviços da VPN do BorderManager proporcionam conexões seguras e criptografadas através da Internet, tornando desnecessárias as linhas alugadas de custo elevado. Um firewall pode conter vários componentes. O BorderManager fornece uma solução abrangente de firewall que inclui os seguintes serviços: Filtragem de pacotes Gateway IP da Novell NAT (Network Address Translation) Serviços de Proxy Controle de acesso Cyber Patrol SOCKS 5 para autenticação e SSL para serviços de criptografia VPN Alertas para condições específicas do servidor I m p o r t a n t e Para usar o BorderManager visando proteger a fronteira da rede, especifique um endereço IP público. Os endereços IP públicos especificam interfaces de Visão geral 31

32 servidor para uma rede pública, em geral para a Internet. As interfaces de redes públicas não são seguras. Os endereços IP privados especificam interfaces de servidor para uma rede privada ou uma intranet. Filtragem de pacotes Os filtros de pacotes oferecem segurança no nível da rede no roteador permitindo ou negando pacotes com base em um conjunto predefinido de regras. O BorderManager suporta filtros RIP (Routing Information Protocol) e filtros de reencaminhamento de pacotes para controlar o serviço e rotear informações para os suites de protocolos comuns, inclusive o IPX e o TCP/IP. Um roteador de filtragem de pacotes, por exemplo, pode filtrar pacotes IP com base no endereço IP de origem ou de destino e no número da porta TCP/UDP e pode filtrar com base nas interfaces de origem e de destino. Os filtros também podem bloquear as conexões de/para hosts ou redes específicas e para portas específicas. Também é possível filtrar protocolos e serviços específicos. Por exemplo, os serviços X Windows System*, RPC e rlogin precisam ser bloqueados porque podem representar uma ameaça clara para a segurança corporativa. Consulte Capítulo 2, Visão geral e planejamento da filtragem de pacotes, na página 43 para obter maiores informações sobre filtros de pacotes. Gateway IP da Novell O BorderManager é fornecido com dois gateways no nível do circuito IPX/ IP e IP/IP e um serviço SOCKS. Juntos, esses serviços são denominados Gateway IP da Novell. O Gateway IP da Novell fornece um formulário de conversão de endereços para adicionar uma camada extra de segurança. O gateway monitora o tráfego entre uma intranet e a Internet. O Gateway IP da Novell fornece segurança no nível do circuito, ativando os clientes IPX e IP na rede local para acessar a Internet sem precisar atribuir endereços IP únicos globalmente a cada sistema local. Se um endereço único já tiver sido atribuído a cada cliente, o Gateway IP da Novell permite que você oculte os endereços IP da sua rede local da Internet. O Gateway IP da Novell também usa o software e o controle de acesso do NDS para gerenciar a conectividade com a Internet. O controle de acesso baseado no NDS pode ser usado para restringir o acesso a determinados arquivos na Internet. A autenticação pode ser baseada no tipo de serviço e no horário do dia. O usuário pode ser autenticado no nível do container, do grupo, do usuário ou do servidor. 32 Visão Geral e Planejamento

33 Para usar o Gateway IP da Novell, seus clientes precisam estar executando a versão mais recente do software Novell Client TM ou um aplicativo SOCKS 4 ou 5 e o serviço de gateway precisa estar habilitado em cada estação de trabalho. Observe que os aplicativos do Windows que não usam o WinSock não conseguem utilizar o Gateway IP da Novell. Para obter informações detalhadas sobre o Gateway IP da Novell, consulte o Capítulo 4, Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Translation), na página 77 NAT (Network Address Translation) O NAT oferece várias vantagens em relação ao Gateway IP da Novell: ele não exige um software cliente especial e pode ser usado por hosts de qualquer plataforma que utilizem o gateway como uma rota para a Internet. O NAT habilita qualquer host IP na rede local para acessar a Internet sem precisar designar endereços IP únicos globalmente a cada sistema. O BorderManager oferece as conversões de endereços de rede IP dinâmica e estática. Para a conversão de endereços IP estática, as tabelas são definidas com conjuntos de endereços IP públicos. Elas são, então, usadas para mapear os endereços de origem dos pacotes que estão sendo enviados através do firewall para os respectivos endereços públicos. O NAT também funciona como um filtro, permitindo apenas determinadas conexões externas e internas. O tipo de filtragem que ocorre é determinado pelo fato de o NAT estar configurado para operar no modo dinâmico ou no modo estático. Para obter informações detalhadas sobre o NAT, consulte o Capítulo 4, Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Translation), na página 77 Serviços de proxy O recurso Serviços de Proxy oferece segurança no nível do aplicativo ao fornecer proxies de aplicativos que reencaminham e filtram conexões para serviços como HTTP, Gopher, FTP, SMTP, RealAudio* e DNS. Em geral, o recurso Serviços de Proxy aceita serviços somente para os quais existem proxies. Por exemplo, se um gateway tiver um proxy para FTP, então somente o FTP será aceito na sub-rede protegida; todos os demais serviços ficarão bloqueados. Visão geral 33

34 O proxy HTTP melhora a performance ao armazenar localmente no cache as informações da Internet solicitadas com freqüência e otimizar a utilização da largura de banda WAN. O cliente (browser) faz um pedido diretamente a um proxy, que localiza o objeto em seu cache e retorna o objeto ao cliente. Se o objeto não estiver no cache, o proxy recupera-o a partir do servidor Web de origem na Internet, armazena-o no cache e retorna o objeto ao cliente. Dentre as vantagens estão o tráfego reduzido da Internet e a menor carga de pedidos na origem do objeto, o que, por sua vez, diminui os atrasos no retorno de informações ao cliente. O recurso Serviços de Proxy também permite a filtragem de protocolos. Você pode configurar o firewall para filtrar conexões FTP e negar a utilização do comando put do FTP. Isso pode ser útil se você não quiser que os usuários gravem em um servidor FTP anônimo. Ao usar o servidor proxy (ou gateway), você pode ocultar os nomes e endereços de sistemas internos o gateway é o único nome de host conhecido fora do sistema. Além disso, o tráfego pode ser registrado antes de chegar aos hosts internos. O recurso Serviços de Proxy melhora a segurança, ocultando nomes e endereços de domínio de rede privada e enviando todos os pedidos através de um único gateway. Para obter informações detalhadas sobre o recurso Serviços de Proxy, consulte o Capítulo 5, Visão geral e planejamento do recurso Serviços de Proxy, na página 99 Controle de acesso O controle de acesso controla o acesso à Internet e à intranet na camada de Aplicação ao permitir ou negar pedidos de acesso feitos através de servidores proxy, Gateways IP da Novell e VPNs (Virtual Private Networks). Ao controlar o acesso na camada Aplicativo, você pode atingir um nível maior de segurança do que com a filtragem de pacotes, que controla o acesso somente na camada Rede. O controle de acesso também pode usar nomes de usuários em vez de endereços IP de origem ou de destino. O controle de acesso envolve a definição de um conjunto de regras. Cada vez que é feito um pedido de acesso, o servidor BorderManager pesquisa as regras que se aplicam ao pedido. Se nenhuma regra for encontrada, o pedido será negado (o padrão). Você pode criar regras de controle de acesso nos níveis dos objetos País, Organização, Unidade Organizacional e Servidor. As regras podem basear-se em critérios como usuários, grupos, endereços IP ou serviços. 34 Visão Geral e Planejamento

35 Com regras de acesso, você pode controlar o acesso aos serviços da rede e da Web, aos Gateways IP da Novell, aos Serviços de Proxy, às VPNs e aos URLs. Em geral, a segurança do firewall precisa fornecer os seguintes níveis de controle de acesso: Controle do host Determina quais hosts podem ser acessados. Controle no nível do aplicativo Por exemplo, permite o acesso à Web, mas impede o acesso a novos grupos. Controle do conteúdo Determina quais informações e arquivos da rede podem ser acessados. Para obter informações detalhadas sobre o controle de acesso, consulte o Capítulo 3, Visão geral e planejamento do controle de acesso, na página 59 Cyber Patrol O Cyber Patrol oferece a filtragem de conteúdo baseada em categorias. Ele não filtra o conteúdo diretamente, mas sim uma lista dos URLs que se baseiam nos tipos de conteúdo conhecidos. Para obter maiores informações sobre o Cyber Patrol, consulte o Capítulo 3, Visão geral e planejamento do controle de acesso, na página 59 VPNs Uma VPN é usada para transferir de modo seguro informações confidenciais da empresa através de uma rede pouco confiável, como a Internet, encapsulando e criptografando os dados. Na VPN de site para site, apenas os membros da VPN precisam estar executando o software da VPN. Na VPN de cliente para site, o cliente VPN também precisa estar executando o software da VPN. As VPNs de cliente para site podem usar dois tipos de conexões seguras: Conexões por discagem direta Conexões com o provedor Internet através da Internet As VPNs site a site podem usar os seguintes tipos de conexões seguras: Visão geral 35

36 Entre dois departamentos dentro da mesma empresa usando a rede privada da empresa, ou seja, a intranet Entre dois ou mais sites dentro da mesma empresa usando a Internet Entre duas ou mais empresas diferentes usando a Internet As VPNs site a site da intranet e da Internet podem ser implantadas de uma destas duas maneiras: Com o membro VPN em uma fronteira entre sua rede privada e a rede pública Com o membro VPN por trás de um roteador de topo de linha que esteja na fronteira entre a rede privada e a rede pública Para obter informações mais detalhadas sobre as VPNs, consulte o Capítulo 6, Visão geral e planejamento da VPN (Virtual Private Network), na página 147 Melhorar a performance da rede Esta seção descreve como você pode melhorar a performance da rede usando o recurso Serviços de Proxy e o armazenamento no cache. Esta seção contém as seguintes subseções: Melhorar a performance usando o recurso Serviços de Proxy na página 36 Usar tipos diferentes de armazenamento no cache para melhorar a performance na página 37 Melhorar a performance usando o recurso Serviços de Proxy Depois da segurança, a performance é o principal aspecto a ser considerado. Quando você se conecta com a Internet, os problemas de performance podem ocorrer por muitos motivos, dentre eles: As conexões com a Internet são mais lentas do que dentro da intranet. Os usuários da Internet podem acessar grandes volumes de informações. 36 Visão Geral e Planejamento

37 As mesmas informações estão sendo acessadas várias vezes e informações replicadas estão obstruindo as redes. Os arquivos de áudio, vídeo e imagens gráficas pesados são típicos de sites Web, ocupam mais espaço e demoram mais tempo para serem baixados do que texto simples. O recurso Serviços de Proxy do BorderManager pode melhorar bastante a performance da rede ao armazenar localmente no cache as informações da Internet solicitadas com freqüência. Em geral, o recurso Serviços de Proxy armazena mais perto do usuário cópias das informações da Web que costumam ser solicitadas, reduzindo, assim, o número de vezes que as mesmas informações são acessadas através de uma conexão na Internet, o tempo de download e a carga no servidor remoto. O BorderManager fornece tecnologias avançadas de armazenamento no cache para resolver as questões de performance. Elas são analisadas na próxima seção. Para obter informações mais detalhadas sobre o recurso Serviços de Proxy, consulte o Capítulo 5, Visão geral e planejamento do recurso Serviços de Proxy, na página 99 Usar tipos diferentes de armazenamento no cache para melhorar a performance Existem três maneiras principais de usar o armazenamento no cache para melhorar a performance: Aceleração do cliente Web (cache proxy padrão) Aceleração do servidor Web (aceleração do cache proxy inverso ou aceleração HTTP) Aceleração da rede (armazenamento hierárquico no cache) Esses três tipos de armazenamento no cache são descritos nas próximas seções. Aceleração do cliente Web (cache proxy padrão) Na aceleração do cliente Web, o servidor proxy está localizado entre os clientes e a Internet ou a intranet. Esse servidor intercepta pedidos de páginas Web feitos por clientes e fornece as páginas solicitadas, se armazenadas no cache, para o cliente com a velocidade da LAN. Isso elimina o atraso que ocorre Visão geral 37

38 quando o site Web é acessado usando um link mais lento e diminui o tráfego entre a rede corporativa e a Internet ou a intranet. O servidor funciona com as diretivas de controle de acesso do NDS para garantir que o browser do cliente possua autorização para acessar os dados. Use a aceleração do cliente Web para melhorar a performance dos sites que possuem o seguinte: Vários clientes Localizações remotas que roteiam através de uma central ou site principal para acessar a Internet Necessidade de controle de acesso no nível do usuário Necessidade de vários serviços de firewall mantidos global e centralmente Aceleração do servidor Web (aceleração do cache proxy inverso ou aceleração HTTP) Com a aceleração HTTP ou do servidor Web, o servidor proxy funciona como um front-end para um ou mais servidores Web de divulgação e armazena no cache todas as informações que pertencem ao servidor Web. Quando um cliente solicita informações de um servidor Web, o pedido é redirecionado para o servidor proxy (o usuário digita um URL para o servidor de aceleração e não para o host de origem). Esse servidor fornece rapidamente ao cliente as páginas armazenadas no cache. Esse método acelera o acesso e retira a carga de pedidos dos servidores Web, permitindo que eles respondam a mais usuários. O servidor do cache do proxy inverso é um firewall automático para os servidores de divulgação. Esse servidor armazena todas as informações estáticas (em geral, até 90% de um site Web), deixando o servidor de divulgação livre para abrir conexões e enviar dados dinâmicos. Ele também protege os endereços IP dos servidores de origem, aumentando, assim, a segurança. Use o cache proxy inverso para sites que apresentem o seguinte: Servidores Web usados com freqüência Necessidade de controle de acesso centralizado em todos os servidores Web da intranet 38 Visão Geral e Planejamento

39 Servidores de divulgação da intranet que armazenam dados públicos e privados Uma combinação de plataformas de servidores Web da Internet e da intranet Aceleração da rede (armazenamento hierárquico no cache) Com a aceleração da rede ou o cache hierárquico, vários servidores proxy são configurados em uma topologia hierárquica. Os servidores proxy estão conectados em uma relação pai, filho ou peer. Quando ocorre um erro, o proxy contata outros servidores na hierarquia para encontrar as informações solicitadas armazenadas no cache. O cache proxy mais próximo ou o cache proxy com a maior prioridade atribuída que possua as informações solicitadas as reencaminha ao servidor proxy que as está solicitando, o qual, por sua vez, reencaminha essas informações ao cliente que fez o pedido. O armazenamento hierárquico no cache reduz a carga de tráfego da WAN e aumenta a largura de banda. Além disso, como as informações solicitadas são enviadas do servidor proxy mais próximo, os atrasos da rede são minimizados. Isso reduz o tempo de espera do usuário e aumenta sua produtividade. Use o armazenamento hierárquico no cache para sites que apresentem o seguinte: Links lentos à Internet Vários segmentos da LAN que podem ser usados para armazenar dados mais perto dos usuários Congestionamento ou atraso nos pontos da LAN nas WANs Gerenciar os serviços do Novell BorderManager O Novell BorderManager permite que você gerencie todos os servidores BorderManager de um local central usando as ferramentas conhecidas do NetWare. O BorderManager fornece essa funcionalidade essencial integrando os serviços do BorderManager ao banco de dados do NDS. Por isso, você pode forçar e monitorar o acesso de modo consistente de um local central. O BorderManager fornece os recursos descritos nas seções a seguir para que você possa gerenciar com sucesso sua implementação: Visão geral 39

40 Gerenciamento habilitado por NDS na página 40 Registro e auditoria de eventos na página 40 Alertas na página 40 Gerenciamento habilitado por NDS O gerenciamento habilitado para NDS tem os seguintes recursos: Um único ponto de administração Integração para gerenciamento de controle de acesso centralizado Autenticação do proxy O NDS também pode ser usado para impor mudanças periódicas de senhas, especificar um comprimento mínimo de senhas e impor combinações alfanuméricas. O diretório do NDS fornece controle de acesso para restringir objetos no banco de dados. N o t a Ao configurar o NDS, não replique o diretório para um sistema que não seja seguro fisicamente. Uma réplica do NDS em uma máquina que possa ser desconectada fisicamente da rede está sujeita a ataque offline. Registro e auditoria de eventos Uma importante tarefa da imposição da segurança da rede consiste na monitoração de registros de eventos em intervalos semanais regulares. Esses registros são usados para verificar anomalias no tráfego do servidor, como varreduras de porta, pacotes RIP com spoof, pedidos DNS, redirecionamentos ICMP ou qualquer atividade inconsistente de roteamento. Um arquivo de registro de histórico pode ser uma ferramenta excelente para identificar modelos irregulares. Faça uma auditoria nos dispositivos da rede e valide sua utilização. Verifique os analisadores de tráfego de rede e modems não autorizados. Alertas Você pode configurar o Alerta do BorderManager para notificá-lo por quando ocorrerem determinados eventos ou condições no servidor BorderManager. As condições ou eventos relacionados à performance incluem 40 Visão Geral e Planejamento

41 deficiências de memória e de espaço em disco e servidores desligados. As condições ou eventos relacionados à segurança incluem inundação de pacotes, tamanhos anormais de pacotes e descarregamento ou carregamento dos módulos relevantes para segurança no servidor. Para obter maiores informações, consulte oconfiguração e Gerenciamento do Alerta do BorderManager Próximo passo A maneira como você abordará o restante das informações apresentadas nesta documentação variará em função do que já sabe sobre o NetWare e o BorderManager e de precisar ou não de informações mais detalhadas para compreender os serviços do BorderManager. Cada capítulo, específico de um serviço, fornece detalhes sobre o funcionamento do serviço e explica quando usá-lo. A tabela a seguir indica o que você precisa ler, dependendo das informações de que necessita. Para obter informações sobre Leia Filtragem de pacotes Controle de acesso Gateway IP da Novell e NAT Serviços de Proxy VPNs Cenários de exemplo Capítulo 2, Visão geral e planejamento da filtragem de pacotes, na página 43 Capítulo 3, Visão geral e planejamento do controle de acesso, na página 59 Capítulo 4, Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Translation), na página 77 Capítulo 5, Visão geral e planejamento do recurso Serviços de Proxy, na página 99 Capítulo 6, Visão geral e planejamento da VPN (Virtual Private Network), na página 147 Capítulo 7, Cenários de planejamento do Novell BorderManager, na página 169 Visão geral 41

42 42 Visão Geral e Planejamento

43 chapter 2 Visão geral e planejamento da filtragem de pacotes Esse capítulo contém informações gerais e de planejamento da filtragem de pacotes do Novell BorderManager TM. Ele contém as seguintes seções: Visão geral da filtragem de pacotes na página 43 Como a filtragem de pacotes funciona na página 46 Monitorar a filtragem de pacotes na página 58 Visão geral da filtragem de pacotes A Internet está se tornando um meio cada vez mais aceito para realização de transações empresariais. A sua empresa, assim como muitas outras, precisa conectar a rede de dados privada (ou intranet) com a rede pública (ou Internet) para interagir com clientes, fornecedores e parceiros comerciais. A World Wide Web fornece inúmeros recursos para comércio eletrônico (e-commerce), assim como acesso remoto disponível imediatamente por linha telefônica para usuários em trânsito. Os sites Web dentro da empresa são usados para fornecer informações sobre todos os assuntos, desde benefícios dos funcionários a suporte técnico. Se, por um lado, a Internet pode proporcionar uma economia no custo das comunicações, por outro pode representar uma fonte de novos e crescentes riscos de segurança. Para reduzir os riscos à segurança inerentes à conexão com a Internet ou à concessão de acesso remoto a redes internas, é necessário definir diretivas apropriadas de segurança de rede como parte da estratégia empresarial de rotina. O BorderManager fornece recursos avançados de filtragem de pacotes que podem ser usados para criar firewalls, os quais podem reforçar as diretivas de acesso. Um firewall é um componente da rede que controla o tráfego entre as redes internas (privadas) e externas (públicas), como a Internet. Os firewalls também podem ser usados para separar suas redes internas de dados (intranets) visando proteger dados importantes da empresa dados de pesquisa e Visão geral e planejamento da filtragem de pacotes 43

44 desenvolvimento, dados financeiros corporativos, arquivos dos funcionários e outras informações confidenciais. O BorderManager protege informações confidenciais de intrusos internos e externos, graças aos seus serviços avançados de segurança. A filtragem de pacotes do BorderManager fornece um nível básico de segurança da rede, controlando o acesso à Internet e à intranet no nível da rede. Esta seção descreve como os filtros de pacotes podem ser usados para garantir que todo o tráfego seja roteado de forma segura através do servidor BorderManager. Ela contém as seguintes subseções: Outros serviços de segurança do BorderManager na página 44 Opções de segurança na página 45 Outros serviços de segurança do BorderManager Embora os filtros de pacotes sejam um pré-requisito para proteger a rede corporativa, ou intranet, de intrusos, é importante que você saiba que a filtragem de pacotes por si só não fornece uma proteção adequada. A filtragem de pacotes é apenas um mecanismo de segurança que pode ser usado para controlar a transferência de dados para a rede pública, ou Internet, e a partir dela. Em uma arquitetura de firewall típica, a interface que está conectada à rede externa (pública) força todo o tráfego interno a passar pelo servidor BorderManager. A interface que está conectada à rede interna (privada) força todo o tráfego externo a passar também por esse servidor. As regras dos filtros de pacotes configuradas no servidor BorderManager controlam o tipo dos pacotes que têm permissão para passar. Os serviços de firewall do BorderManager proporcionam maior segurança através de três níveis de proteção por firewall, incluindo filtragem de pacotes (firewall de Nível I), gateways no nível do circuito (firewall de Nível II) e serviços de proxy de aplicativo (firewall de Nível III). Os servidores BorderManager podem implementar diretivas de segurança por aplicativo ou por usuário. O servidor BorderManager controla a entrega de serviços baseados na rede tanto para a rede interna como a partir dela. Por exemplo, somente determinados usuários podem se comunicar com a Internet ou somente determinados aplicativos têm permissão para estabelecer conexões entre os hosts internos e externos. 44 Visão Geral e Planejamento

45 Opções de segurança Geralmente, os usuários da empresa precisam de acesso ao , acesso à Internet e acesso remoto. Esses serviços podem representar ameaças à rede porque envolvem a transmissão e o recebimento de pacotes através da fronteira entre a rede privada (intranet) e a rede pública (Internet) ou outras origens externas. A filtragem de pacotes oferece várias opções de segurança para servidores BorderManager, como as seguintes: Os sistemas de filtragem de pacotes evitam ataques contra a segurança, como o "spoofing de endereços", em que um host não autorizado envia endereços falsos para obter acesso à rede. A filtragem de pacotes evita acesso não autorizado à rede sem interferir no acesso autorizado. Os filtros de pacotes posicionados estrategicamente podem proteger toda a rede contra uma grande variedade de ataques de negação de serviços. Como linha de frente de defesa, a filtragem de pacotes do BorderManager adota uma abordagem bastante simples de segurança da rede: rejeita todos os pacotes, exceto aqueles que você instruí-la explicitamente para deixar passar. Os filtros de pacotes do servidor BorderManager precisam ser configurados para rejeitar pacotes indesejados e passar todos os outros pacotes para medidas mais seguras e de nível superior, como um gateway no nível do pacote ou de aplicativo. Duas vantagens importantes podem ser obtidas com a filtragem de pacotes. Além de proteger sua rede privada de acessos indesejados, você pode obter uma redução considerável no tráfego. Se o servidor BorderManager estiver configurado para passar pacotes para um gateway no nível do circuito ou um gateway de aplicativo, quanto menos pacotes esses componentes precisarem processar, melhor será a performance. No entanto, os filtros de pacotes podem ser difíceis de serem gerenciados. Conforme o conjunto de regras de filtragem de pacotes torna-se mais complexo, torna-se maior a probabilidade de haver regras conflitantes ou de dados indesejados serem enviados ou recebidos indevidamente na intranet. Para evitar esse problema, sua empresa precisa ter uma diretiva de segurança que defina claramente o tráfego que precisará ser aceito através do servidor BorderManager. Visão geral e planejamento da filtragem de pacotes 45

46 Como a filtragem de pacotes funciona Esta seção descreve a implementação da filtragem de pacotes nesta versão do BorderManager. Leia toda esta seção. Ela contém as seguintes subseções: Filtragem estática de pacotes na página 46 Recursos avançados na página 47 Diretiva de segurança na página 54 Filtragem estática de pacotes Os sistemas de filtragem estática de pacotes, como aquele usado em versões anteriores do BorderManager, examinam cada pacote que atravessa a fronteira entre a rede privada (intranet) e a rede pública (Internet). Os filtros estáticos de pacotes analisam o campo de cabeçalho de cada pacote para identificar um conjunto de características: ID do protocolo (por exemplo, TCP, UDP, ICMP) Número da porta e endereço IP de origem Número da porta e endereço IP de destino Interface do roteador para o pacote que chega ou que sai Essas características determinam se o pacote precisa ser reencaminhado de acordo com conjuntos fixos de regras externas e internas. Cada conjunto de filtros trata do tráfego que chega ao firewall através de uma interface específica. Os números de portas, que costumam ser mencionados como "números de portas reconhecidos", são usados para filtrar o tráfego. As conexões para vários serviços, como , FTP, Telnet e assim por diante, são negadas pela filtragem dos pacotes que tentam usar um número de porta ou serviço específico. Os firewalls que se baseiam na filtragem estática de pacotes são dispositivos da camada de Rede que não podem processar informações de camadas superiores. Eles não podem verificar pedidos do aplicativo nem podem controlar informações sobre o estado do aplicativo. Um firewall de filtragem estática de pacotes não pode determinar, simplesmente examinando o cabeçalho de um pacote que chega, se o pacote é o primeiro pacote de um cliente externo para 46 Visão Geral e Planejamento

47 um servidor interno ou uma resposta de um servidor externo para um cliente externo. O nível de proteção fornecido por esse tipo de firewall é limitado. Recursos avançados Nesta versão do BorderManager, são introduzidos três recursos avançados de filtragem de pacotes IP para aprimorar a segurança de firewall: Filtragem de bits ACK do TCP Filtragem dinâmica de pacotes Filtragem de pacotes fragmentados Filtragem de bits ACK do TCP O TCP é um protocolo de transporte confiável orientado a conexão. Uma conexão é sempre iniciada usando o "handshake tridirecional" reconhecido, como é mostrado a seguir: Pacote 1: Cliente -> ServerFlag: SYN(O cliente deseja iniciar uma conexão ou sincronização.) Pacote 2: Servidor -> ClientFlags: SYN, ACK(ACK: O pedido de conexão do cliente [SYN] está sendo confirmado.) Pacote 3: Cliente -> ServerFlag: ACK(ACK: O pedido de conexão do servidor [SYN] está sendo confirmado.) Quando a filtragem de bits ACK do TCP está habilitada, apenas a passagem dos pacotes de resposta (pacotes com o conjunto de bits ACK do TCP) é autorizada. Isso evita que todas as tentativas de conexão sejam iniciadas através dessa regra de filtro. A filtragem de bits ACK do TCP costuma ser aplicada para todos os filtros internos do TCP, visando evitar que hosts externos iniciem conexões do TCP para hosts internos. No entanto, essa opção nunca precisa ser usada sob as circunstâncias a seguir: Um serviço interno é fornecido a um host externo (porque o primeiro pacote da conexão do TCP não tem o conjunto de bits ACK). Os aplicativos do TCP, como o FTP, precisam de conexões que chegam. Os pacotes, como os pacotes UDP, não têm um bit ACK. Visão geral e planejamento da filtragem de pacotes 47

48 I m p o r t a n t A filtragem dinâmica de pacotes é um superconjunto de filtragem de bits ACK. No entanto, ela não pode ser configurada no mesmo filtro. Filtragem dinâmica de pacotes A filtragem dinâmica de pacotes, da forma como está implementada no BorderManager, foi projetada para superar as limitações da filtragem estática de pacotes. A filtragem dinâmica controla os pacotes que saem e que foram autorizados a passar, e permite que apenas os pacotes de resposta correspondentes retornem. Quando o primeiro pacote é transmitido para a rede pública (Internet), é criado dinamicamente um filtro inverso para permitir que o pacote de resposta retorne. Para ser considerado uma resposta, o pacote de entrada precisa ser enviado pelo host e pela porta para os quais o pacote de saída foi enviado. A filtragem dinâmica de pacotes suporta protocolos orientados e não orientados a conexão (TCP, UDP, ICMP, etc.). Ela monitora cada conexão e cria uma exceção de filtro interno temporária (com limite de tempo) para a conexão. Isso permite que você bloqueie o tráfego que chega originado de determinado endereço e número de porta e, ao mesmo tempo, permite o tráfego de retorno do mesmo endereço e número de porta. O filtro inverso é criado através da extração das seguintes informações sobre o pacote: Endereço IP de origem Interface de origem Porta de origem Endereço IP de destino Interface de destino Porta de destino Tipo do protocolo Essas informações são armazenadas em uma tabela, que é comparada com a resposta. Se uma mensagem que chega não for uma resposta ao pedido original, ela será descartada. Esse filtro criado dinamicamente é usado para determinar as transferências de pacotes subseqüentes até a conexão ser terminada. Para protocolos orientados a conexão, como o TCP, o filtro de entrada (inverso) é criado somente quando o primeiro pacote de saída é detectado. A filtragem 48 Visão Geral e Planejamento

49 de bits ACK do TCP é habilitada automaticamente no filtro inverso para evitar que quaisquer tentativas de conexão feitas por intrusos sejam iniciadas através desse filtro. Para o ICMP, apenas as mensagens ICMP de resposta são permitidas. Todos os pedidos e mensagens de redirecionamento ICMP que tentarem retornar através de um filtro inverso serão descartados. Todas as outras mensagens de respostas de erro ICMP são tratadas internamente pela filtragem dinâmica de pacotes. Sem a filtragem dinâmica, você precisaria criar dois filtros ICMP: uma para permitir que uma mensagem de erro ICMP fosse enviada e outra para permitir que ela retornasse. Com a filtragem dinâmica de pacotes, você não precisa mais criar esses filtros ICMP. Sem a filtragem dinâmica de pacotes, você precisaria de quatro conjuntos de filtros externos e internos (um total de, pelo menos, oito filtros separados) para estabelecer o serviço FTP. As quatro tabelas a seguir mostram as configurações de cada filtro externo e de cada filtro interno. Canal de Controle Externo Interno Interface de Origem Privada Pública Interface de Destino Pública Privada Tipo do Pacote TCP TCP Porta de origem Porta de destino Endereço de origem Qualquer um Qualquer um Endereço de destino Qualquer um Qualquer um Filtragem de Bits ACK Desabilitado Habilitada Filtragem Dinâmica Desabilitado Desabilitado Canal de Dados do Comando PORT Externo Interno Interface de Origem Privada Pública Interface de Destino Pública Privada Visão geral e planejamento da filtragem de pacotes 49

50 Tipo do Pacote TCP TCP Porta de origem Porta de destino Endereço de origem Qualquer um Qualquer um Endereço de destino Qualquer um Qualquer um Filtragem de Bits ACK Habilitada Desabilitado Filtragem Dinâmica Desabilitado Desabilitado Canal de Dados do Comando PASV Externo Interno Interface de Origem Privada Pública Interface de Destino Pública Privada Tipo do Pacote TCP TCP Porta de origem Porta de destino Endereço de origem Qualquer um Qualquer um Endereço de destino Qualquer um Qualquer um Filtragem de Bits ACK Desabilitado Habilitada Filtragem Dinâmica Desabilitado Desabilitado Canal de Mensagens de Erro ICMP Externo Interno Interface de Origem Privada Pública Interface de Destino Pública Privada Tipo do Pacote ICMP ICMP Porta de origem N/D N/D 50 Visão Geral e Planejamento

51 Porta de destino N/D N/D Endereço de origem Qualquer um Qualquer um Endereço de destino Qualquer um Qualquer um Filtragem de Bits ACK N/D N/D Filtragem Dinâmica Desabilitado Desabilitado Com a filtragem dinâmica de pacotes, você precisa apenas de um filtro de saída para estabelecer o serviço FTP, como mostra a tabela a seguir. Filtro FTP Interface de Origem Interface de Destino Tipo do Pacote Externo Privada Pública TCP Porta de origem Porta de destino 21 Endereço de origem Endereço de destino Filtragem de Bits ACK Filtragem Dinâmica Qualquer um Qualquer um Desabilitado Habilitada Suporte ao comando PORT do FTP A filtragem dinâmica de pacotes suporta sessões de FTP através da monitoração do comando PORT. O aplicativo cliente envia esse comando pelo canal de comandos do FTP (porta 21) para avisar ao servidor em qual porta o cliente está esperando o servidor abrir o canal de dados. A filtragem dinâmica de pacotes cria uma regra de exceção temporária (com limite de tempo) para permitir que o servidor abra o canal de dados (geralmente, da porta 20) para o cliente. Visão geral e planejamento da filtragem de pacotes 51

52 Suporte ao comando PASV do FTP A diferença entre os modos passivo e ativo do FTP é que, no modo passivo, o cliente é autorizado a abrir os canais de comando (porta 21) e de dados do FTP no servidor. O cliente FTP passivo inicia a conexão com os canais de dados e comandos do servidor. Tudo o que o servidor precisa fazer é avisar ao cliente em qual porta precisará se conectar de volta para a porta de dados do servidor, que normalmente é acima de A filtragem dinâmica de pacotes monitora o comando PASV em vez do comando PORT e cria um filtro de exceção temporário (com limite de tempo) para permitir ao cliente se comunicar com o servidor em uma porta alta designada (acima de 1023). Com a filtragem dinâmica de pacotes, todos os canais de dados e do ICMP e o caminho inverso do canal de controle são criados (e eliminados) dinamicamente. N o t e Para o serviço FTP, você pode escolher o modo de FTP que será aceito: PORT, PASV ou ENABLED (que aceita os modos PORT e PASV). Algumas empresas não aceitam que usuários internos utilizem o serviço FTP (PORT) ativo. Filtragem de pacotes fragmentados Quando um datagrama IP é fragmentado, apenas o primeiro pacote tem as informações completas de cabeçalho e transporte. Nenhum dos demais pacotes subseqüentes possui as informações de transporte como o número da porta. A princípio, era seguro permitir que esses fragmentos passassem pelo firewall sem serem verificados, desde que o primeiro pacote fosse descartado. O host de destino acabaria descartando todos os pacotes subseqüentes e o reagrupamento não poderia ser completado sem o primeiro pacote. Mas isso não acontece mais hoje em dia. Os pacotes fragmentados podem ser usados para disparar ataques de recusa de serviços, inundando continuamente a rede com pacotes fragmentados para ocupar a largura de banda da rede e os recursos do host de destino. Os fragmentos menores também podem ser usados para desviar o firewall com fragmentos sobrepostos ou manipulando os flags dos fragmentos. Por exemplo, se um firewall não impuser sua segurança nos fragmentos de pacotes, todos os pacotes com o conjunto de bits de fragmentos poderão passar sem serem verificados. Um pacote que não seja fragmentado com o conjunto de bits de "mais fragmentos" pode ser usado para fazer uma varredura de porta no host de destino. Para evitar esses ataques, todos os fragmentos precisam ser verificados com base nos endereços de origem e destino, nas interfaces interna e externa e em uma combinação do TCP/IP e dos flags de fragmentos. 52 Visão Geral e Planejamento

53 Para se proteger contra ataques de fragmentos com manipulação dos flags de fragmentos, o BorderManager acrescentou a filtragem automática de pacotes fragmentados. Essa filtragem descarta o primeiro pacote, que carrega informações completas de cabeçalho e transporte, e todos os pacotes fragmentados subseqüentes se eles tiverem as mesmas interfaces e os mesmos endereços IP de origem e de destino. Proteção contra outros ataques Foram incorporadas ao software BorderManager proteções contra vários programas de ataque existentes na Internet. Os dois comandos adicionais a seguir também podem ser habilitados (ou desabilitados) no console do servidor através de comandos SET da categoria COMMUNICATION ou podem ser incluídos no arquivo de inicialização AUTOEXEC.NCF. Por padrão, os dois estão definidos como ON. Set Filter Subnet Broadcast Packets=ON/OFF. Quando esse comando está ativado (ON), todos os pacotes que têm um endereço IP de broadcast de destino são descartados. O endereço 255 é usado para broadcasts. Um broadcast é uma mensagem que é enviada a todos os sistemas da rede. Normalmente, é mais fácil enviar uma única mensagem de broadcast do que enviar datagramas individuais para cada host. As mensagens de broadcast de sub-redes são enviadas usando um endereço que é formado pelo endereço da rede com o número 255 na parte numérica da sub-rede. Por exemplo, se você estiver na rede , o endereço IP será usado para broadcasts da sub-rede. Set Filter Local Loopback Packets=ON/OFF. Quando definido como ON, todos os pacotes de loopback local são descartados. Esse comando foi adicionado para suportar aplicativos locais que usam o endereço de loopback local para serem executados localmente no servidor, como as interfaces do software NetWare 5 TMTM, do NDPS TM Broker e do software ConsoleOne TM. Visão geral e planejamento da filtragem de pacotes 53

54 Diretiva de segurança Dois princípios básicos de diretivas de segurança podem ser aplicados na filtragem de pacotes: Negar tudo o que não for permitido. Permitir tudo o que não for negado. O modo padrão de filtragem de pacotes (modo seguro), que é normalmente selecionado durante a instalação do BorderManager, adota a primeira abordagem negar tudo. Essa é a melhor opção para a primeira vez em que você configura o servidor BorderManager, porque a probabilidade de cometer erros que comprometam a segurança é maior nesse momento. Quando o BorderManager é instalado, um conjunto de filtros padrão impede o acesso à Internet sem os serviços de um proxy de aplicativos ou gateway, como mostra a tabela a seguir. Tipo do Filtro Filtros IPX TM Protocolo Que sai (para a interface pública) SAP RIP Reencaminhamento de Pacotes Que sai (para a interface pública) SAP RIP Reencaminhamento de Pacotes Configuração Negar Nome do Serviço "*" e Tipo de Serviço FFFFh (Todos) Negar Rede h e máscara h Negar Todos os pacotes Negar Nome do Serviço "*" e Tipo de Serviço FFFFh (Todos) Negar Rede h e máscara h Negar Todos os pacotes 54 Visão Geral e Planejamento

55 Filtros IP Que sai (para a interface pública) RIP EGP Reencaminhamento de Pacotes Não divulgar "Todas as rotas" Não divulgar "Todas as rotas" Negar Todos os pacotes Que sai (para a interface pública) Filtro OSPF Filtros de Exceção RIP EGP Reencaminhamento de Pacotes OSPF Que sai (para a interface pública) Reencaminhamento de Pacotes Que sai (para a interface pública) Reencaminhamento de Pacotes Não divulgar "Todas as rotas" Não divulgar "Todas as rotas" Negar Todos os pacotes Negar Todas as rotas "Permitir Todos os pacotes" com endereço IP de origem como endereço IP público "Permitir Todos os pacotes" vindos da interface pública com endereço IP de destino como endereço IP público e destinados às seguintes portas e protocolos: Porta TCP 80 World Wide Web (WWW) HTTP Porta TCP 213 VPN Master/Slave (IPX) Visão geral e planejamento da filtragem de pacotes 55

56 Porta TCP 35 Gateway de Autenticação da VPN Porta TCP 443 Autenticação SSL Portas TCP de 1024 a Dinâmico Porta UDP 353 VPN sinalizadora de atividade Portas UDP de 1024 a Dinâmico Protocolo SKIP (Simple Key Management for Internet Protocol) 57 para VPN H i n t As configurações de filtros padrão do BorderManager bloqueiam o tráfego para dentro e para fora do servidor até você acabar de configurar os filtros que aceitam a transmissão de tipos específicos de pacotes. Por isso, instale e configure os filtros de pacotes após o horário normal de trabalho para evitar a interrupção do tráfego da rede. Os pacotes precisam ser expressamente aceitos e não podem ser expressamente negados. No entanto, o utilitário de configuração de filtros do BorderManager (FILTCFG) permite que você defina exceções para essas condições. Após a obtenção dos dados dos pacotes, o filtro aplica listas de regras: primeiro a lista de exceções; depois a lista de filtros. Essas listas determinam quais pacotes podem entrar e sair da rede. Opções de ação de filtros As regras de filtragem das listas de exceções e de filtros são aplicadas através da utilização de uma das duas opções de ações de filtros: Negar ou Permitir. Negar Se a opção de ação de filtros for definida como Negar Pacotes na Lista de Filtros, a lista de filtros conterá a lista de pacotes que precisarão ser negados. A lista de exceções conterá a lista dos pacotes que precisarão ser permitidos. Os filtros de exceção sempre têm prioridade sobre os de negação. Se o tipo de um pacote não aparecer na lista de filtros de exceção, ele será verificado na lista de filtros de negação. Se o tipo do pacote não aparecer em nenhuma das duas listas, ele será aceito. 56 Visão Geral e Planejamento

57 Permitir Se a opção de ação de filtros for definida como Permitir Pacotes na Lista de Filtros, a lista de filtros conterá a lista dos pacotes que precisarão ser permitidos. A lista de exceções conterá a lista dos pacotes que precisarão ser negados. Os filtros de exceção sempre têm prioridade sobre os de permissão. Se o tipo de um pacote não aparecer na lista de filtros de exceção, ele será verificado na lista de filtros de permissão. Se o tipo do pacote não aparecer em nenhuma das duas listas, ele será negado. Essas duas opções de ação de filtros podem ser resumidas como mostrado na tabela a seguir. Ação de Filtros Negar Permitir Descrição Todos os pacotes especificados na lista de exceções são permitidos. Todos os pacotes especificados na lista de filtros são negados. Se o modo Negar estiver habilitado e nenhum filtro for especificado, o roteador permitirá a passagem de todos os pacotes. Todos os pacotes especificados na lista de exceções são negados. Todos os pacotes especificados na lista de filtros são permitidos. Se o modo Permitir estiver habilitado e nenhum filtro for especificado, o roteador não permitirá a passagem de pacote algum. Segurança da filtragem de pacotes Como a filtragem de pacotes não verifica os dados da camada Aplicativo do pacote, essa solução é a menos segura, mas a mais eficiente dentre os métodos de firewall. Se as verificações passarem com sucesso, o pacote poderá ser roteado pelo firewall. No entanto, como esse método precisa de menos processamento do que os outros métodos, é uma solução mais rápida. A filtragem de pacotes apresenta as seguintes vantagens: Não é necessária uma configuração específica para os computadores cliente. Os filtros de pacotes são mais rápidos porque realizam menos processamento. Visão geral e planejamento da filtragem de pacotes 57

58 Uma mesma regra de filtro pode negar tráfego entre origens internas e externas. Os filtros de pacotes podem aceitar ou rejeitar pacotes de acordo com os números de portas de protocolos reconhecidos (como os números de porta TCP). A filtragem de pacotes apresenta as seguintes limitações: Os filtros de pacotes não dispõem do recurso de alerta. As regras dos filtros de pacotes podem ser difíceis de configurar. Monitorar a filtragem de pacotes Para ver todos os filtros que criou, você pode gravar as informações sobre os filtros em um arquivo de texto. Para criar esse arquivo, carregue o FILTCFG e selecione Gravar Filtros em um Arquivo de Texto no menu Opções Disponíveis de Configuração de Filtro. Você pode salvar o arquivo com o nome que preferir (por exemplo, MEUFILTRO). Você também pode monitorar a operação dos filtros que criou para ter certeza de que eles estão realmente filtrando os tipos de pacotes que precisam filtrar. Para obter maiores informações sobre o registro de filtros de pacotes, consulte Configuração e gerenciamento do filtro de pacotes 58 Visão Geral e Planejamento

59 chapter 3 Visão geral e planejamento do controle de acesso Esse capítulo fornece uma visão geral e informações sobre o planejamento do controle de acesso do Novell BorderManager TM. Ele contém as seguintes seções: Visão geral do controle de acesso na página 59 Como o controle de acesso funciona na página 70 Monitorar o controle de acesso na página 76 Visão geral do controle de acesso O controle de acesso é uma parte importante da segurança do BorderManager. Esta seção fornece informações sobre como usar o controle de acesso, descreve o que são regras de acesso e o que é uma lista de controle de acesso e mostra como o controle de acesso funciona em um servidor BorderManager. Ela contém as seguintes subseções: Usar o controle de acesso com o BorderManager na página 59 Implementar o controle de acesso na página 60 Regras de acesso na página 61 Listas de controle de acesso na página 67 Usar o controle de acesso com o BorderManager Controle de acesso é o processo através do qual um administrador pode regular e monitorar o acesso dos usuários a vários serviços da intranet ou da Internet. O controle de acesso proporciona uma faixa bem mais ampla de opções de segurança da rede do que a filtragem de pacotes apenas. Como na filtragem de pacotes, você pode usar o controle de acesso para oferecer segurança no nível Visão geral e planejamento do controle de acesso 59

60 da rede (firewall de Nível I), mas também pode usá-lo para oferecer segurança no nível do circuito (firewall de Nível II) e no nível do aplicativo (firewall de Nível III). Além disso, você pode usar o controle de acesso para implementar uma diretiva de segurança global que seja bem mais personalizada para atender às necessidades do site. Você pode definir acesso por usuário, por grupo de usuários, por horário do dia, por aplicativo e assim por diante. Você usa o controle de acesso para especificar quais pedidos feitos através do Gateway IP da Novell, dos Serviços de Proxy e da VPN precisarão ser permitidos e quais precisarão ser negados. Por exemplo, talvez você queira controlar a utilização de determinado serviço de proxy ou limitar quem poderá usar o Gateway IP da Novell para se conectar com a Internet e, principalmente, quando esses usuários poderão estabelecer a conexão. Ao configurar o controle de acesso para usar o Cyber Patrol, você também pode criar regras de acesso que utilizam categorias de URLs do Cyber Patrol. Isso permite que você implemente a filtragem de conteúdo baseado em categorias para controlar o acesso dos usuários a categorias inteiras de URLs que podem possuir conteúdo censurável da Web. Para obter maiores informações, consulte o site do Cyber Patrol na Web no endereço Para obter informações sobre projetos de segurança que utilizam o controle de acesso em combinação com outros serviços do Novell BorderManager, consulte o Capítulo 1, Visão geral, na página 13 Capítulo 4, Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Translation), na página 77 Capítulo 5, Visão geral e planejamento do recurso Serviços de Proxy, na página 99 e Capítulo 6, Visão geral e planejamento da VPN (Virtual Private Network), na página 147 O software de controle de acesso do BorderManager funciona permitindo ou negando pedidos feitos através do Gateway IP da Novell, dos Serviços de Proxy e da VPN. Para obter informações sobre como configurar esses serviços, consulte Configuração e gerenciamento do Gateway IP da Novell e NAT Configuração e gerenciamento dos serviços de proxy Configuração e gerenciamento da VPN Implementar o controle de acesso O controle de acesso do BorderManager contém dois elementos: 60 Visão Geral e Planejamento

61 Regras de acesso Regras específicas que definem quais origens podem acessar quais destinos em quais horários. Listas de controle de acesso Conjuntos ordenados de regras de acesso que controlam o acesso à intranet e à Internet através de um servidor BorderManager. A maneira como a configuração inicial do controle de acesso do BorderManager é tratada varia em função da versão do sistema operacional NetWare em que o software BorderManager está sendo instalado. Instalação no NetWare 5 Durante a instalação no NetWare 5 TM, você pode optar por executar o controle de acesso. Se você optar por executá-lo em um servidor BorderManager, o serviço ficará habilitado e será necessário criar regras de controle de acesso para que o BorderManager funcione corretamente. Do contrário, todos os pedidos de acesso serão negados porque a única regra de acesso padrão é uma regra Negar Qualquer. Se você optar por não executar o controle de acesso na instalação, poderá habilitar o serviço sempre que quiser. Consulte o manual Configuração e Gerenciamento do Controle de Acesso para obter informações detalhadas sobre como ativar o controle de acesso. Instalação no NetWare 4.11 Se você estiver instalando o BorderManager em um sistema NetWare 4.11, por padrão o controle de acesso ficará desabilitado e todos os pedidos de acesso serão permitidos. Consulte o manual Configuração e Gerenciamento do Controle de Acesso para obter informações detalhadas sobre como ativar o controle de acesso. Regras de acesso As regras de acesso são os principais elementos do controle de acesso. Elas se aplicam a clientes que estejam solicitando acesso através do Gateway IP da Novell, dos Serviços de Proxy ou de uma VPN. Essas regras controlam o tráfego através de um servidor BorderManager, geralmente entre a intranet da empresa e a Internet. Visão geral e planejamento do controle de acesso 61

62 Ao criar regras Permitir ou Negar, você pode controlar o acesso a: Muitos serviços da rede e da Web Gateways IP da Novell Serviços de Proxy do BorderManager VPNs URLs Você pode configurar regras de acesso nos seguintes níveis de objetos do NDS TM : País (P) Organização (O) Unidade Organizacional (UO) Servidor Você pode aplicar regras de acesso a uma grande variedade de usuários e recursos, especificando as regras para objetos Organização e objetos Unidade Organizacional. Pode também criar regras que se apliquem especificamente a usuários individuais, como endereços IP, e assim por diante. Configure regras que afetem todos os usuários do NDS em um container alto o suficiente na Árvore do NDS para incluir todos os objetos Servidor que representem servidores em execução no BorderManager. Isso garante que as mesmas regras serão aplicadas a todos os usuários do NDS, independentemente de qual servidor BorderManager eles usem para acessar a Internet. Estrutura da regra de acesso Ao criar uma regra de acesso, você pode especificar os seguintes elementos: Ação Tipo de Acesso 62 Visão Geral e Planejamento

63 Origem Destino Restrição de Horário Registrando Ação O parâmetro Ação especifica como a regra de acesso funciona, da seguinte maneira: Permitir Uma regra Permitir especifica que determinados pedidos de acesso precisam ser permitidos com base na origem, no tipo de acesso, no destino ou nas restrições de horário especificadas. Negar Uma regra Negar especifica que determinados pedidos de acesso precisam ser negados com base na origem, no tipo de acesso, no destino ou nas restrições de horário especificadas. Tipo de acesso A seleção Tipo de Acesso é o elemento de controle mais importante de uma regra de acesso. Você pode especificar um dos seguintes elementos: Porta Um pedido de acesso feito para determinada porta com base nos números de porta TCP/IP reconhecidos. Para os pedidos de acesso de porta, você pode especificar o tipo da porta, os números de porta e o protocolo de transporte (TCP, UDP ou TCP & UDP). URL Um pedido de acesso feito para determinado URL com base em uma página ou um site Web. Proxy do Aplicativo Um pedido de acesso feito a um servidor proxy com base nos proxies implementados no BorderManager (HTTP, FTP, SMTP, NNTP e TCP/UDP Genérico). O controle dos proxies de aplicativos baseia-se nos números de porta TCP/IP reconhecidos, mas é mais específico para o protocolo usado pelo componente Serviços de Proxy do BorderManager. Visão geral e planejamento do controle de acesso 63

64 Para regras de acesso do proxy, você pode especificar o tipo do proxy, o número da porta, a direção dos pedidos (Enviar, Receber ou Enviar & Receber) e detalhes sobre os tipos de arquivo que deseja restringir. Cliente VPN Um pedido de acesso feito para um servidor VPN. Origem Os parâmetros Origem representam os usuários que desejam acessar a intranet da empresa ou a Internet através de um servidor BorderManager. Cada transação em uma rede possui uma origem e um destino. Dependendo da seleção de Tipo de Acesso especificada anteriormente, o utilitário de configuração de regras de acesso permitirá que você configure regras de acesso que se aplicam a origens diferentes, como é mostrado a seguir: <Qualquer> > Todos os usuários Um ou mais usuários do NDS Um ou mais grupos de usuários do NDS São usados nomes de usuários NDS, grupos de usuários ou containers específicos para coincidir um nome NDS com um pedido de acesso. O BorderManager armazena os containers, grupos e nomes de usuários NDS como nomes não-tipificados totalmente qualificados. O utilitário de configuração do controle de acesso exibe objetos do NDS para você escolher. Você não pode digitar nomes NDS manualmente nas regras de acesso. Um ou mais nomes de hosts DNS São usados nomes de hosts específicos para coincidir o nome DNS em um pedido de acesso do usuário. Um ou mais nomes de usuários de ou nomes de domínios de e- mail Nomes de usuários de ou nomes de domínios de específicos são usados para coincidir o nome de domínio e o nome de e- mail do usuário em um pedido de acesso. Um endereço IP ou uma faixa de endereços IP 64 Visão Geral e Planejamento

65 Um ou mais endereços IP de sub-rede, incluindo a máscara de sub-rede de cada endereço de sub-rede (por exemplo, ) Endereços IP específicos, uma faixa de endereços IP ou endereços IP de sub-rede são usados para coincidir o endereço IP do browser do usuário em um pedido de acesso. Destino Os parâmetros Destino representam o host da intranet ou da Internet que o usuário deseja acessar através do servidor BorderManager. Dependendo da seleção de Tipo de Acesso especificada anteriormente, o utilitário de configuração de regras de acesso permitirá que você configure regras de acesso que se aplicam a destinos diferentes, como é mostrado a seguir: <Qualquer> > Todos os usuários Um ou mais nomes de hosts DNS São usados nomes de hosts específicos para coincidir o nome DNS do site Web que o usuário deseja acessar. Um endereço IP ou uma faixa de endereços IP Um ou mais endereços IP de sub-rede, incluindo a máscara de sub-rede de cada endereço de sub-rede (por exemplo, ) Endereços IP específicos, uma faixa de endereços IP ou endereços IP de sub-rede são usados para coincidir o endereço IP do site Web que o usuário deseja acessar. Um ou mais nomes de grupos de notícias Um ou mais nomes de usuários de ou nomes de domínios de e- mail URL (Uniform Resource Locator) São usados URLs específicos para coincidir a página ou o site Web que o usuário deseja acessar. Os URLs podem ser especificados para um site inteiro na Web ou para determinada página Web. Se você tiver instalado o software Cyber Patrol que é executado com o BorderManager, poderá usar as listas CyberYES e CyberNOT para coincidir os sites Web que o usuário deseja acessar. Visão geral e planejamento do controle de acesso 65

66 Restrição de horário Você pode especificar <Qualquer um>, o que significa que a regra será sempre aplicada, ou definir horas específicas do dia e dias específicos da semana durante os quais a regra precisará ser aplicada. Use a grade que é mostrada para especificar os horários e os dias apropriados à rede e aos usuários. Registro de acerto de regras Se você marcar a caixa de seleção Habilitar Registro do Acerto de Regras, todas as tentativas de conexão aos destinos e serviços indicados nas regras de acesso serão registradas em um arquivo de registro. Usar curingas nas regras de acesso O BorderManager permite que você digite curingas (*) nas seguintes informações de origem e destino: Nome do host URL Nome do Domínio do Grupo de notícias Um curinga é usado para pular um ou mais caracteres ao comparar duas strings de caracteres. Por exemplo, a string *.xyz.com corresponde a www1.xyz.com e a www2.xyz.com. Um outro exemplo: a string *xyz* corresponde a qualquer string de caracteres que contenha as letras "xyz", como abcxyzsd ou?xyz/. N o t e Não existe correspondência de curingas para containers, grupos e usuários do NDS porque você não pode digitar os nomes de containers, grupos e usuários do NDS manualmente em uma regra de acesso. Ao usar curingas para comparar URLs, observe que você obterá uma correspondência mais específica se usar // ou / para fixar seu nome curinga mais especificamente. Por exemplo, para coincidir todos os URLs que tenham as letras "cgi" como parte do caminho, a melhor entrada curinga seria "*/cgi/ *". Essa entrada coincidiria com todos os URLs apropriados, como Com uma utilização menos específica de curingas, como 66 Visão Geral e Planejamento

67 "*cgi*," sua entrada coincidiria com mas também com um URL no qual você não estava interessado. Listas de controle de acesso Como foi mencionado anteriormente, você pode configurar regras de acesso nos objetos País (P), Organização (O), Unidade Organizacional (UO) e Servidor do NDS. Quando o BorderManager é carregado em um servidor, ele coleta os conjuntos de regras de acesso criados em cada um desses objetos do NDS. Primeiro, ele coleta as regras do seu objeto Servidor, depois do objeto Unidade Organizacional (UO) acima do objeto Servidor, do objeto Organização (O) acima do objeto UO e, por último, do objeto País (P) acima do objeto O. Uma lista de controle de acesso de um servidor BorderManager é, simplesmente, um grupo de todos esses diversos conjuntos de regras de acesso na ordem especificada. Essa lista de regras consolidada controla os destinos ou serviços que os objetos podem e não podem acessar através do servidor BorderManager, assim como quando os objetos podem acessá-los. Relação hierárquica O fato de o BorderManager permitir que você configure e armazene regras de acesso em diversos objetos do NDS estabelece uma relação hierárquica de regras de controle de acesso. A localização de determinado conjunto de regras de acesso em uma Árvore do NDS define quais servidores possuem essas regras incorporadas às suas listas de controle de acesso e em qual ordem. N o t e A localização de uma regra de acesso em uma Árvore do NDS determina quais servidores BorderManager lêem a regra e qual regra é colocada em uma lista de regras efetivas do servidor. Não há qualquer relação entre o contexto em que uma regra existe e o contexto em que um usuário existe. Uma regra definida em qualquer parte da árvore pode afetar um usuário definido em qualquer parte dessa árvore. A seqüência de cada lista de regras que você cria é mantida dentro da lista de controle de acesso do servidor BorderManager. Quando várias listas de regras são consolidadas, as regras definidas no nível do servidor são colocadas no início da lista de controle de acesso. As regras definidas próximas à raiz da Árvore do NDS são colocadas no fim. A seqüência de regras na lista de controle de acesso é importante porque, quando um pedido de acesso é feito, o BorderManager lê a lista de controle de acesso do servidor do início (a lista de regras do servidor) e age sobre a primeira regra que se aplica ao pedido. Visão geral e planejamento do controle de acesso 67

68 Exemplo de relação hierárquica Neste exemplo, a Empresa Acme tem a Árvore do NDS a seguir, com diversos conjuntos de regras de acesso definidos em cinco locais diferentes. Quando o border_server_1 gera sua lista de controle de acesso, ele lê primeiro suas próprias regras de acesso; em seguida, as regras de acesso em ou=mktg; e depois as regras de acesso em o=acme. As regras de acesso do objeto border_server_1 serão as primeiras da lista. As regras de acesso do objeto o=acme serão as últimas. As regras de acesso são lidas do nível cn= para cima até o nível mais alto na seqüência. Nesse exemplo, border_server_1 nunca lerá as regras de acesso em ou=sales nem no servidor border_server_2. No entanto, quando o border_server_2 gera sua lista de controle de acesso, primeiro ele lê suas próprias regras, em seguida lê as regras de acesso em ou=sales, depois as regras de acesso em ou=mktg e por último as regras de acesso em o=acme. Observe que as regras em ou=sales são usadas somente pelo border_server_2, porque ele está no contexto de ou=sales. 68 Visão Geral e Planejamento

69 Se um usuário receber acesso aos dois servidores e tentar acessar a Internet, as listas de controle de acesso desses dois servidores serão idênticas ao que é mostrado na tabela a seguir. border_server_1 border_server_2 Regra 1 Regra 10 Regra 2 Regra 11 Regra 3 Regra 12 Regra 4 Regra 13 Regra 5 Regra 14 Regra 6 Regra 15 Regra 7 Regra 4 Regra 8 Regra 5 Regra 9 Regra 6 Regra 7 Regra 8 Regra 9 Processamento de regras Mais uma vez, nenhuma relação existe entre a localização de uma regra e os usuários ou grupos afetados por ela. A localização de uma regra de acesso na Árvore do NDS afeta somente a ordem em que a lista de controle de acesso é lida e quais regras existem na lista de controle de acesso de qual servidor. Embora as regras de acesso existam em um único contexto, isso não quer dizer que elas sejam efetivas somente para os usuários desse contexto. Qualquer regra de acesso na lista de controle de acesso de um servidor BorderManager controla o acesso de todos os usuários que solicitam acesso através desse servidor. Por exemplo, se a primeira regra de acesso na lista de controle de acesso do border_server_1 for Permitir Qualquer, qualquer usuário que esteja utilizando esse servidor pode acessar qualquer site Web. Se um usuário em ou=sales Visão geral e planejamento do controle de acesso 69

70 utilizar o servidor border_server_1 como servidor proxy, esse usuário poderá acessar qualquer site Web. O BorderManager processa regras de acesso na lista de controle de acesso seqüencialmente para coincidir com um pedido de acesso. Quando um pedido de acesso coincide com uma regra de acesso, a ação especificada na regra (permitir ou negar) é aplicada imediatamente ao pedido de acesso e nenhum processamento adicional ocorre. Se não houver correspondência entre o pedido de acesso e todo o conjunto de regras de acesso (a lista de controle de acesso), a ação padrão Negar Qualquer será aplicada ao pedido de acesso. Como o controle de acesso funciona Esta seção fornece maiores informações sobre como configurar regras de acesso e gerar listas de controle de acesso, além de apresentar vários exemplos. Ela contém as seguintes subseções: Configurar regras de acesso na página 70 Gerar uma lista de controle de acesso na página 71 Seqüência de regras de acesso na página 71 Configurar regras de acesso O BorderManager permite que você configure cada regra de acesso como Permitir ou Negar. As regras Permitir permitem que um pedido seja realizado; as regras Negar negam o pedido. Você pode adotar dois métodos diferentes quando configurar seu esquema de controle de acesso do BorderManager, como mostrado a seguir: Em um ambiente bastante controlado, você poderia controlar somente as regras Permitir. Se o pedido de acesso de um usuário não coincidir com as regras de acesso em uma lista de controle de acesso inteira formada exclusivamente por regras Permitir, ele será negado pela ação padrão do BorderManager (negar). Em um ambiente pouco controlado, você poderia configurar somente regras Negar, com uma regra Permitir Qualquer no fim da lista de controle de acesso. Se o pedido de acesso de um usuário não coincidir com as regras Negar na lista de controle de acesso, a última regra Permitir Qualquer dará permissão a esse pedido. 70 Visão Geral e Planejamento

71 Gerar uma lista de controle de acesso Como foi explicado anteriormente, o BorderManager junta todas as listas de regras de acesso definidas em todos os diferentes níveis da Árvore do NDS na rede, começando pelo objeto Servidor, continuando pelo container que inclui o objeto Servidor e terminando na raiz da Árvore do NDS. Nessa lista consolidada, as listas de regras definidas no objeto Servidor são colocadas no início; as listas de regras definidas na raiz são colocadas no fim. Ou seja, as regras definidas mais próximas ao usuário são colocadas mais próximas ao início da lista de controle de acesso do servidor. Essa lista combinada é a lista de controle de acesso do servidor BorderManager e é aplicada a todo pedido de acesso recebido pelo servidor. Seqüência de regras de acesso O BorderManager utiliza a seqüência de regras de acesso da lista de controle de acesso para determinar qual regra precisa prevalecer. Uma regra que esteja mais perto do início da lista sempre prevalece com relação a qualquer regra que venha depois dela na lista. A primeira regra que coincide com o pedido de acesso é aquela que é aplicada ao pedido. Se você combinar regras Permitir e Negar conflitantes em uma lista de controle de acesso, precisará ter certeza de que a seqüência de regras na lista produzirá o efeito desejado. Cada vez que um usuário faz um pedido de acesso, como acontece quando um usuário do Gateway IP da Novell, dos Serviços de Proxy ou da VPN inicia um pedido para acessar determinado serviço ou destino, o BorderManager verifica a lista de controle de acesso do servidor. Ele procura a lista até encontrar a primeira regra de acesso que se aplique ao objeto solicitante e age imediatamente sobre a regra para permitir ou negar o pedido. Uma seqüência inteligente é essencial quando você cria regras de controle de acesso, porque o BorderManager procura a primeira regra aplicável na lista de controle de acesso do servidor. Após isso, ele não procura qualquer regra aplicável em potencial. Exemplo de regras de acesso Neste exemplo, o presidente da empresa deseja uma regra que impeça os funcionários da empresa de acessarem a WWW (World Wide Web) durante o expediente. Você pode concretizar essa diretiva coletiva com uma regra de acesso geral na raiz da árvore que contém seu servidor BorderManager. Visão geral e planejamento do controle de acesso 71

72 Se o vice-presidente de Marketing insistir que seus funcionários precisam de acesso à Web para realizarem bem o trabalho e ele conseguir convencer o presidente, você poderá atender a esse pedido criando uma segunda regra para o grupo de usuários de Marketing ou para usuários específicos dentro desse grupo. Esse método é uma maneira de implementar regras de acesso no servidor BorderManager. Você usa regras gerais colocadas em um ponto mais alto da Árvore do NDS para que diretivas mais abrangentes surtam efeito, como evitar que os funcionários acessem a Web durante o expediente. As regras específicas colocadas em uma parte inferior da Árvore do NDS são direcionadas para casos mais específicos ou exceções, como permitir que o grupo de Marketing tenha acesso à Web durante o expediente. Quando duas regras entram em conflito entre si ("Negar o acesso de todos os funcionários à Web durante o expediente" e "Permitir que membros do departamento de Marketing acessem a Web durante o expediente"), a regra mais próxima ao início da lista de controle de acesso do servidor prevalece. Quando nenhuma regra for encontrada, o pedido será negado porque a ação padrão do servidor, na ausência de uma regra específica que especifique o contrário, é sempre Negar. Exemplo de controle de acesso detalhado Neste exemplo, o administrador da XCom Communications cria as seguintes regras no servidor BorderManager da XCom. Regra Ação Origem Acesso Destino 1 Permitir Qualquer um HTTP 2 Permitir xcom.com HTTP innerweb.xcom.com 3 Permitir exec.xcom.com Qualquer um Qualquer um 4 Negar xcom.com Qualquer um 5 Permitir finance.xcom.com HTTP innerweb.xcom.com/prv/finance/* 6 Permitir hr.xcom.com HTTP innerweb.xcom.com/prv/hr/* 7 Negar Qualquer um HTTP innerweb.xcom.com/prv/* 8 Permitir xcom.com HTTP Qualquer um 9 Negar Qualquer um FTP Qualquer um 72 Visão Geral e Planejamento

73 Uma análise dessas regras de acesso levanta a questão de o administrador realmente precisar ou não configurar três regras Negar. O BorderManager negará automaticamente o pedido de acesso do usuário quando ele atingir o fim da lista de controle de acesso se o pedido não coincidir com qualquer regra da lista. A resposta é a seguinte: isso depende do que o administrador deseja realizar. Uma análise da regra 4, que proíbe qualquer usuário do grupo xcom.com de acessar e da regra 8, que permite a qualquer usuário do grupo xcom.com acessar qualquer destino, revela que a regra 4 (negar) é necessária. A regra 7 proíbe os usuários de acessarem qualquer página Web dentro do diretório innerweb.xcom.com/prv após as regras 5 e 6 permitirem que o grupo de Finanças e o de Recursos Humanos acessem seus próprios diretórios na Web. No entanto, a regra 2 permite que qualquer usuário do grupo xcom.com acesse innerweb.xcom.com, que permite acesso às páginas dentro do diretório innerweb.xcom.com/prv. A regra 3 permite que qualquer usuário do grupo exec.xcom.com acesse qualquer destino, o que também permite acesso às páginas dentro do diretório innerweb.xcom.com/prv. Se o administrador não quiser que o grupo xcom.com acesse a área innerweb.xcom.com/prv, a regra 2 precisará ser colocada após a regra 7 (negar). No entanto, se o administrador quiser que usuários do grupo exec.xcom.com acessem o diretório innerweb.xcom.com/prv, a regra 7 não será necessária. Em análise, a regra 8 permite que qualquer usuário do grupo xcom.com acesse qualquer destino, o que também permite que qualquer usuário acesse o host innerweb.xcom.com. Isso torna a regra 2 desnecessária. O administrador também pode apagar a regra 9 porque, por padrão, o BorderManager nega automaticamente os pedidos de acesso de usuários no fim da lista de controle de acesso quando o pedido não coincide com qualquer regra específica da lista. Visão geral e planejamento do controle de acesso 73

74 A lista final de controle de acesso tem este aspecto: Regra Ação Origem Acesso Destino 1 Permitir Qualquer um HTTP 2 Permitir exec.xcom.com Qualquer um Qualquer um 3 Negar xcom.com Qualquer um 4 Permitir finance.xcom.com HTTP innerweb.xcom.com/prv/finance/* 5 Permitir hr.xcom.com HTTP innerweb.xcom.com/prv/hr/* 6 Negar Qualquer um HTTP innerweb.xcom.com/prv/* 7 Permitir xcom.com HTTP Qualquer um Uma análise da lista de controle de acesso acima revela que qualquer usuário do grupo xcom.com pode acessar qualquer destino (regra 7), exceto os diretórios e innerweb.xcom.com/prv (regras 3 e 6). Agora considere os seguintes pedidos: Amy Brentman, do departamento de Finanças da Xcom, pode usar o HTTP para se conectar com o site da Yadda Communications (anteriormente YCom Communications) na Web e concorrente da XCom Communications? Se Amy fizesse esse pedido, as regras de acesso funcionariam da seguinte maneira: As regras 1 e 2 não se aplicam ao pedido de Amy. No entanto, a regra 3 diz que todos os funcionários da XCom em todos os departamentos dessa empresa terão negados seus pedidos HTTP ao site da concorrente Yadda Communications na Web. A regra 7 permite que todos os funcionários da XCom em todos os departamentos dessa empresa usem o HTTP para se conectarem com qualquer local, mas o BorderManager já agiu sobre a regra 3, a primeira regra que coincidiu com o pedido na lista de controle de acesso. A resposta é Não. Amy não pode acessar o 74 Visão Geral e Planejamento

75 Jose Lira trabalha no departamento de Recursos Humanos da XCom Communications (hr.xcom.com). Ele pode usar o FTP para copiar arquivos de innerweb.xcom.com/prv/hr? Talvez Jose pensasse que esse pedido fosse aceito, mas as regras de acesso funcionariam da seguinte maneira: O pedido do usuário é negado porque não coincide com qualquer regra da lista de controle de acesso (o FTP não é especificado entre as regras 1 e 7). Mas a regra 5 permite que os funcionários do departamento de Recursos Humanos (hr), como Jose, usem o HTTP para se conectarem com innerweb.xcom.com/prv/hr. A resposta é Não. Jose não pode usar o FTP para copiar os arquivos. P.V. Singh, presidente da XCom Communications, é um membro do grupo exec.xcom.com. Ele pode usar o FTP para copiar os arquivos de As regras de acesso funcionariam da seguinte maneira: A regra 2 permite que P.V. use o FTP para copiar os arquivos de porque permite que qualquer membro do grupo exec.xcom.com use qualquer serviço para se conectar com qualquer local. A regra 3 nega a qualquer funcionário da XCom acesso a mas isso não se aplica porque o BorderManager já agiu sobre a regra 2. A resposta é Sim. P.V. pode usar o FTP para copiar os arquivos de Roger Rockwell é encarregado do departamento de Expedição e Recebimento da XCom há anos. Este ano, seu departamento entrou na intranet da empresa. Roger está curioso para ver que tipos de locais da empresa na Web estão no diretório innerweb.xcom.com/prv. As regras de 1 a 5 não se aplicam ao pedido de Roger. A regra 6 nega o pedido de Roger porque nega todos os pedidos de acesso de funcionários da XCom ao diretório innerweb.xcom.com/ prv. Visão geral e planejamento do controle de acesso 75

76 A resposta é Não. Roger não poderá ver qualquer local dentro de innerweb.xcom.com/prv. Você também pode especificar períodos do dia e dias da semana em que uma regra de acesso precisa ser aplicada e pode especificar que todos os pedidos contra uma regra de acesso sejam registrados. Monitorar o controle de acesso Os registros do BorderManager geram registros de controle de acesso para Serviços de Proxy, Gateways IP da Novell e VPNs (Virtual Private Networks). Você pode ver as tentativas de acesso a determinadas regras durante faixas de datas especificadas. Para obter maiores informações sobre o registro de regras de acesso, consulte Configuração e gerenciamento do controle de acesso 76 Visão Geral e Planejamento

77 chapter 4 Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Translation) Este capítulo descreve as decisões que você precisa tomar antes de configurar o Gateway IP da Novell ou o NAT (Network Address Translation). Embora tanto o Gateway IP da Novell como o NAT ofereçam um tipo de conversão de endereços, a seleção de um ou outro depende do tipo dos clientes da rede e de você querer ou não implementar o controle de acesso para esses usuários. Esse capítulo contém as seguintes seções: Visão geral da conversão de endereços no nível do circuito na página 77 Opções de configuração e limitações do gateway IP da Novell na página 83 Opções de configuração e limitações do NAT na página 89 Visão geral da conversão de endereços no nível do circuito O Gateway IP da Novell e o NAT são explicados nas seguintes seções: Gateway IP da Novell na página 78 NAT na página 81 Usar o gateway IP da Novell ou o NAT na página 82 Para acessar a Internet, cada host precisa usar um endereço IP (registrado) único globalmente, obtido de um provedor Internet ou de um registro de endereços da Internet, como o IANA (Internet Assigned Numbers Authority). A menos que você esteja solicitando muitos endereços, um provedor Internet precisará ser capaz de acomodar suas necessidades de endereçamento. No entanto, como talvez seja caro ou inviável obter endereços IP registrados para todos os hosts de sua rede, talvez você prefira não atribuir endereços Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Transla-

78 registrados a cada host na sua rede privada, usando uma das duas soluções no nível do circuito fornecidas com o software Novell BorderManager TM : o Gateway IP da Novell e o NAT. O Gateway IP da Novell e o NAT (Network Address Translation) são considerados soluções no nível do circuito porque podem estabelecer conexões à Internet usando endereços IP registrados em nome de vários hosts da rede privada para os quais não foram designados esses endereços. O circuito (ou conexão) original de um host é terminado na interface do gateway ou do NAT, a qual estabelece a conexão real com a Internet para esse host. Por isso, vários hosts podem compartilhar o mesmo endereço IP registrado se ele for atribuído à interface do Gateway IP da Novell ou do NAT e os endereços IP da rede privada forem basicamente ocultados da Internet. Gateway IP da Novell Esta seção mostra como o Gateway IP da Novell funciona e quais clientes são suportados. Também são fornecidas informações adicionais sobre: O uso seletivo do Gateway IP da Novell por clientes O proxy transparente para clientes de Gateway IP da Novell Logon único para clientes de Gateway IP da Novell O Gateway IP da Novell reencaminha pedidos de clientes privados Windows para vários recursos da Internet. No processo, o gateway usa um endereço IP registrado em vez do endereço IP ou do endereço IPX TM (Internetwork Packet Exchange TM ) privado do cliente para se comunicar com o recurso da Internet. Essa substituição de endereços permite que os clientes acessem a Internet sem mudar seus endereços privados e oculta os endereços da rede privada na Internet. N o t e Os clientes Windows suportados pelo Gateway IP da Novell abrangem o Windows NT 4.0, o Windows 98, o Windows 95 e o Windows 3.1. Os clientes SOCKS 4 e SOCKS 5 também são suportados pelo Gateway IP da Novell. Esse serviço permite que qualquer cliente SOCKS use o Gateway IP da Novell como gateway padrão para a Internet. O Gateway IP da Novell implementa o controle de acesso dos usuários ao utilizar as informações armazenadas no banco de dados do NDS TM para gerenciar a conectividade com a Internet. O controle de acesso baseado no NDS pode ser usado para evitar que usuários especificados acessem a Internet 78 Visão Geral e Planejamento

79 ou para evitar que usuários em geral acessem determinados sites ou serviços da Internet. Você pode criar objetos Usuário do NDS para usuários de aplicativos SOCKS, de modo que o Gateway IP da Novell possa controlar os destinos ou serviços que os usuários do SOCKS acessam através do gateway em determinado momento. Ao usar o Administrador do NetWare para configurar e monitorar o Gateway IP da Novell, você pode restringir o tráfego TCP ou UDP aos endereços IP e portas especificados, mudar a porta do serviço de gateway, monitorar a utilização do gateway, examinar o registro do servidor do gateway e coletar estatísticas relacionadas à utilização do gateway em determinado período de tempo. Tanto os clientes Novell baseados no Windows que utilizam o IPX ou o IP como os clientes SOCKS podem acessar a Internet (ou outras redes TCP/IP) através do Gateway IP da Novell. Isso acontece porque o Gateway IP da Novell pode fornecer qualquer um destes ou todos estes três serviços: Serviço de gateway IPX/IP Usado por estações de trabalho Windows configuradas com o software Novell Client TM para Windows. Serviço de gateway IP/IP Usado por estações de trabalho Windows configuradas com o protocolo TCP/IP e o software Novell Client TM para Windows. Serviço do SOCKS Usado pelos clientes IP baseados no Windows, UNIX*, Macintosh* ou OS/2* usando o software do cliente SOCKS 4 ou SOCKS 5 de terceiros. O serviço que será habilitado depende de a sua rede suportar ou não clientes Windows IPX, clientes Windows IP ou clientes não-windows SOCKS, ou alguma combinação desses clientes. Os requisitos específicos da diretiva de segurança também precisam ser considerados. Utilização seletiva do gateway IP da Novell por clientes Um Gateway IP da Novell que tenha sido habilitado para uma rede não precisa ser usado por todos os clientes dessa rede. A interface do cliente Windows permite que um usuário habilite e desabilite o recurso do cliente para usar o Gateway IP da Novell. O uso que cada cliente faz do gateway pode ser habilitado independentemente dos outros clientes da rede. No entanto, quando a configuração do cliente é mudada, a estação de trabalho precisa ser reinicializada para que a mudança surta efeito. Em geral, a configuração do Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Transla-

80 cliente SOCKS exige o endereço IP ou nome do host do DNS do servidor do Gateway IP da Novell para direcionar o cliente a usar o Gateway IP da Novell. O recurso que permite ao cliente SOCKS usar o Gateway IP da Novell é desabilitado se essas informações forem removidas dos parâmetros de configuração. Para obter a descrição do procedimento utilizado para habilitar e desabilitar a utilização do Gateway IP da Novell em um cliente, consulte Configuração e gerenciamento do Gateway IP da Novell e NAT Proxy transparente de clientes de gateway IP da Novell Por padrão, os clientes de Gateway IP da Novell estão com o recurso de proxy transparente do cliente de gateway habilitado. Após um usuário logar no NDS, o cliente de gateway localiza imediatamente todos os servidores proxy que o usuário tem permissão para acessar. Durante uma sessão subseqüente do browser, o cliente de gateway intercepta os pacotes HTTP usando a porta TCP/ IP 80 e envia-os diretamente para o primeiro proxy HTTP que encontrar no NDS, em vez de enviá-los para o Gateway IP da Novell. Como esse recurso está incorporado ao componente do gateway do Novell Client, o administrador não precisa fazer qualquer configuração adicional. N o t e Não confunda o recurso de proxy transparente do cliente de gateway com o recurso de proxy transparente do proxy HTTP. Para que o recurso de proxy transparente do proxy HTTP esteja habilitado, um administrador precisa ativálo no Administrador do NetWare. Quando o proxy transparente está habilitado para proxy HTTP, o TCPIP.NLM que está sendo executado no servidor BorderManager intercepta os pacotes HTTP enviados do browser de uma estação de trabalho e os direciona para o proxy HTTP em execução no mesmo servidor. O browser não precisa ser configurado para usar um proxy manual. No entanto, o servidor proxy precisa estar no caminho de roteamento IP da estação de trabalho. Para obter maiores informações sobre o proxy transparente HTTP, consulte o manual Capítulo 5, Visão geral e planejamento do recurso Serviços de Proxy, na página 99 Logon único para clientes de gateway IP da Novell Os clientes que estão usando serviços SOCKS 5 ou gateway IPX/IP podem tirar proveito da autenticação de logon único. O serviço de gateway IP/IP não suporta a autenticação de logon único. A autenticação de logon único permite aos clientes logarem no NDS somente uma vez para usarem o serviço SOCKS 5 ou gateway IPX/IP. Se um usuário já 80 Visão Geral e Planejamento

81 estiver logado no NDS e tentar acessar recursos através do Gateway IP da Novell, a autenticação do NDS pelo gateway será feita em background. Sem o logon único, seria mostrado um quadro de diálogo para os usuários digitarem o nome de usuário e a senha toda vez que estabelecessem uma nova conexão com o gateway. Para que o logon único funcione, as condições a seguir precisam ser atendidas: O logon único precisa ser habilitado para o serviço SOCKS 5 ou gateway IPX/IP usando o Administrador do NetWare. As estações de trabalho cliente do Gateway IP da Novell precisam executar o DWNTRUST.EXE e o CLNTRUST.EXE antes de logarem no NDS. Esses arquivos estão localizados no diretório SYS:PUBLIC do servidor BorderManager. O logon único ocorre na porta 3024 no servidor. Se o logon único tiver sido habilitado no mesmo servidor BorderManager para o Gateway IP da Novell e o recurso Serviços de Proxy, será necessária somente uma autenticação de background para que um usuário utilize os dois serviços. Isso acontece porque a porta 3024 é uma porta compartilhada. I m p o r t a n t Para que o logon único funcione, os firewalls de filtragem de pacotes no caminho de roteamento entre um cliente de gateway ou proxy e um servidor BorderManager precisam permitir que os pacotes designados para a porta 3024 sejam transmitidos. Para obter a descrição do procedimento utilizado para habilitar o login único para clientes de Gateway IP da Novell, consulte Configuração e gerenciamento do Gateway IP da Novell e NAT Para obter a descrição do procedimento utilizado para habilitar o login único para autenticação do proxy, consulte Configuração e gerenciamento dos serviços de proxy NAT O NAT (Network Address Translation) converte endereços IP privados em endereços IP registrados. Essa conversão de endereços proporciona vantagens semelhantes às do Gateway IP da Novell. O NAT permite que clientes privados acessem a Internet sem a reconfiguração dos respectivos endereços privados e, ao mesmo tempo, oculta da Internet os endereços da rede privada. No entanto, o NAT não precisa do Windows nem do Novell Client para Windows. Como o NAT opera em uma interface de roteador de rede, o recurso de conversão de endereços da interface pode ser usado pelos hosts da rede que Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Transla-

82 estão em execução em qualquer plataforma, inclusive o Windows, Macintosh, UNIX e OS/2. Se esses hosts enviarem seus pacotes TCP/IP através da interface do NAT, seus endereços IP de origem não serão reencaminhados nos cabeçalhos dos pacotes TCP/IP. Além da conversão de endereços, o NAT pode ser usado para oferecer outras vantagens, como a filtragem de pacotes baseada em endereços IP para aumentar a segurança da rede. Quando uma interface de rede é configurada para usar o NAT em qualquer um dos três modos de operação, conforme descrito em Selecionar um modo de operação do NAT na página 89 os endereços IP de origem e destino de cada pacote TCP/IP que alcança a interface são examinados. Para obter maiores informações sobre como o NAT filtra os pacotes com base nos endereços de origem e destino, consulte Regras de filtragem na página 94 Usar o gateway IP da Novell ou o NAT Como o Gateway IP da Novell e o NAT apresentam uma funcionalidade semelhante, você precisa decidir se usará uma solução ou outra. O Gateway IP da Novell talvez seja uma opção melhor nas seguintes condições: Você precisa suportar os clientes Novell IPX. O componente de gateway IPX/IP do Gateway IP da Novell é a única opção de conversão de endereços de rede para clientes IPX. Você deseja obter informações dos grupos e usuários do NDS existentes na sua organização para controlar o acesso aos recursos e serviços da Internet através do gateway. O NAT talvez seja uma opção melhor nas seguintes condições: Você suporta outros clientes que usam o protocolo TCP/IP além de clientes Windows. Como o Gateway IP da Novell suporta somente clientes IP baseados no Windows, outros clientes da rede precisam usar o NAT. Você está interessado em aumentar a performance do servidor no que diz respeito à conversão de endereços. 82 Visão Geral e Planejamento

83 O NAT funciona mais rápido do que o Gateway IP da Novell porque precisa de menos overhead de protocolo para operar. Além disso, o NAT não é afetado por problemas do NDS. Se um usuário não conseguir logar no NDS, o acesso através do Gateway IP da Novell poderá atrasar. Como o NAT verifica somente os endereços IP nos cabeçalhos dos pacotes TCP/IP, sua operação não depende da disponibilidade do NDS. N o t e Embora talvez você tenha outros motivos para usar uma solução e não a outra, podem ocorrer também situações em que desejaria implementar as duas soluções na sua rede. Opções de configuração e limitações do gateway IP da Novell As opções de configuração e limitações do Gateway IP da Novell são descritas nas seções a seguir: Especificar servidores DNS na página 83 Especificar o servidor de gateway preferencial para clientes na página 84 Suportar clientes SOCKS na página 84 Usar o controle de acesso na página 88 Usar o controle de acesso na página 88 Limitações do gateway IP da Novell na página 88 Especificar servidores DNS Como parte da configuração do servidor de gateway, você precisará fornecer pelo menos um nome de domínio DNS e o endereço IP de pelo menos um servidor de nome DNS. O servidor de gateway usa o DNS para converter nomes de hosts IP por parte dos clientes de gateway da rede privada. N o t e Se um servidor de nomes DNS foi especificado durante a instalação do Novell BorderManager, esse requisito foi satisfeito. Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Transla-

84 Especificar o servidor de gateway preferencial para clientes O cliente de gateway, que mantém uma conexão de controle entre o cliente e o servidor de gateway, tenta se conectar a um servidor de gateway preferencial, se houver algum configurado. Se o servidor de gateway especificado não estiver disponível, o cliente de gateway procurará o seguinte: Um servidor BorderManager que esteja executando o serviço de gateway IP/IP Começando pelo contexto do usuário e pelo contexto do servidor de gateway preferencial, o software do cliente de gateway procura para baixo, na Árvore do NDS, um objeto Servidor de gateway. Um servidor BorderManager que esteja executando o serviço de gateway IPX/IP Começando pelo contexto do usuário e pelo contexto do servidor de gateway preferencial, o software do cliente de gateway procura para baixo, na Árvore do NDS, um objeto Servidor de gateway. Um servidor BorderManager que esteja executando o serviço de gateway IPX/IP Para localizar o servidor de gateway, o cliente de gateway procura o bindery do servidor a que o cliente está anexado. Um servidor BorderManager, em qualquer contexto do NDS, que esteja executando o serviço de gateway IPX/IP Para localizar o servidor de gateway, o cliente de gateway usa o protocolo SAP (Service Advertising Protocol). Geralmente, a configuração de um servidor de gateway preferencial reduz o tempo necessário para o cliente se conectar com o servidor de gateway. N o t e Se for especificado um servidor de gateway preferencial para um cliente e um usuário que não esteja logado no NDS tentar executar aplicativos WinSock, o cliente de gateway não enviará os pedidos do WinSock do cliente para o Gateway IP da Novell até o usuário logar. Suportar clientes SOCKS O Gateway IP da Novell suporta clientes SOCKS 4 e SOCKS 5. Antes de configurar o serviço SOCKS do gateway, determine as versões dos clientes SOCKS que precisam ter acesso à Internet através do gateway. O protocolo do SOCKS 4 foi criado para permitir aos usuários de aplicativos TCP/IP acesso transparente à Internet através de um firewall SOCKS 4. No entanto, o SOCKS 4 não suporta autenticação, que é um componente de 84 Visão Geral e Planejamento

85 segurança necessário a uma solução de firewall. O SOCKS 5 aprimora o SOCKS 4, fornecendo métodos de autenticação mais sofisticados. Clientes SOCKS 4 Se você precisar suportar clientes SOCKS 4 mas não clientes SOCKS 5, precisará configurar um esquema de autenticação para o Gateway IP da Novell porque o SOCKS 4 não suporta a autenticação de usuário. Você pode permitir que os usuários do SOCKS 4 da rede acessem a Internet através do gateway, fazendo o seguinte: Ativando o serviço do SOCKS 4 e do SOCKS 5. Criando um objeto Usuário no NDS para cada usuário do SOCKS 4. Adicionando objetos Usuário à lista de usuários do servidor de gateway. Ativando a verificação de usuários do SOCKS 4. Para obter a descrição dos procedimentos de configuração para essas tarefas, consulte Configuração e gerenciamento do Gateway IP da Novell e NAT Clientes SOCKS 5 Se a rede tem clientes SOCKS 5, configure o gateway para autenticar esses usuários para que eles possam acessar a Internet através do gateway. Se alguns usuários do SOCKS 5 também usarem um Novell Client, você também pode habilitar o logon único. Isso permite ao gateway fazer a autenticação do SOCKS 5 em background, se o usuário já estiver logado no NDS com o software Novell Client. Com o logon único, o usuário não está ciente de que a autenticação está ocorrendo no background porque não aparece um prompt para o nome do usuário e para a senha. Uma opção para nenhuma autenticação também está disponível, permitindo que os usuários do SOCKS 5 utilizem o gateway sem restrição. Você pode permitir que os usuários do SOCKS 5 na rede acessem a Internet através do gateway, fazendo o seguinte: Ativando o serviço do SOCKS 4 e do SOCKS 5. Selecionando um esquema de autenticação. Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Transla-

86 Criando um objeto Usuário em cada NDS para cada usuário do SOCKS 5 (isso não é necessário quando a autenticação está desabilitada). Adicionando objetos Usuário à lista de usuários do servidor de gateway (isso não é necessário quando a autenticação está desabilitada). (Opcional) Ativando o logon único. Para obter a descrição dos procedimentos de configuração para essas tarefas, consulte Configuração e gerenciamento do Gateway IP da Novell e NAT As seguintes opções de autenticação do SOCKS 5 são suportadas: Senha/usuário NDS Um componente do cliente SOCKS 5 que permite que o cliente autentique o usuário no NDS sem enviar a senha através da rede. Usuário/senha em texto sem criptografia A senha do usuário é enviada através da rede em texto simples descriptografado. Nenhum Não é necessária a autenticação do usuário. I m p o r t a n t Se vários métodos de autenticação forem selecionados, o cliente usará o método mais avançado possível. O método Senha/Usuário NDS é o mais avançado, seguido do Usuário/senha em texto sem criptografia e do Nenhum. Se você quiser implementar o controle de acesso para clientes SOCKS 5, não poderá selecionar Nenhum. Existem outras opções de autenticação disponíveis, mas elas não representam opções de autenticação válidas do NDS por si sós. São as seguintes: SSL (Secure Sockets Layer) Exige que uma conexão segura seja estabelecida entre o cliente e o servidor para que a autenticação do NDS do Gateway IP da Novell possa ocorrer e criptografa todos os dados trocados entre o cliente e o servidor. Login único Permite que o Gateway IP da Novell execute a autenticação do usuário em background se o usuário já se autenticou no NDS com o software Novell Client. Você precisa selecionar opções de autenticação que sejam consistentes com a diretiva de segurança da sua organização. Consulte a tabela a seguir para ver alguns exemplos de configuração da autenticação do SOCKS Visão Geral e Planejamento

87 Esquemas de Autenticação Selecionados Senha/Usuário NDS Login Único Resultado Como o logon único foi selecionado, todos os usuários já logados no NDS com o Novell Client não precisam fornecer um nome de usuário e uma senha para terem acesso através do gateway usando um cliente SOCKS 5. Se um usuário ainda não estiver autenticado e o cliente SOCKS 5 suportar a autenticação do NDS, o método de tentativa/resposta será usado para autenticar o usuário no NDS. A senha do usuário nunca é enviada pela rede. Usuário/senha em texto sem criptografia SSL Login Único Como o logon único foi selecionado, todos os usuários já logados no NDS com um Novell Client possuem acesso automático através do gateway com um cliente SOCKS 5. No entanto, como o método SSL foi selecionado, precisa ser estabelecida uma conexão SSL antes de os dados poderem ser trocados. Se um usuário ainda não estiver autenticado, o Novell Client estabelecerá uma conexão SSL com o servidor. A senha em texto sem criptografia do usuário é criptografada na estação de trabalho cliente, usando os pares de chaves pública e privada do SSL, antes de ser enviada para o servidor. Após a autenticação, todos os dados também são criptografados antes de serem enviados. Nenhum Nenhuma autenticação é necessária para usar o gateway. Qualquer cliente SOCKS 5 pode acessar a Internet através do gateway. Proxy como cliente SOCKS Você também pode configurar o servidor proxy BorderManager como um cliente SOCKS para o Gateway IP da Novell. Nesse cenário, o servidor proxy não se conecta diretamente com a Internet para contatar um servidor de origem. Em vez disso, ele envia pedidos para o Gateway IP da Novell, que serve de firewall para a Internet. O servidor proxy e o Gateway IP da Novell podem ser configurados no mesmo servidor físico. Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Transla-

88 Para obter maiores informações sobre como configurar o proxy como um cliente SOCKS, consulte Configuração e gerenciamento dos serviços de proxy Usar o controle de acesso Quando você usa o Gateway IP da Novell, todo o tráfego TCP e UDP é afunilado através de um ou mais servidores de gateway. Os Gateways IP da Novell podem exercer controle completo sobre o acesso do usuário aos recursos da Internet. As informações de controle de acesso estão armazenadas no NDS e podem ser configuradas somente pelo administrador (ou por um usuário com direitos administrativos), usando o utilitário Administrador do NetWare. Você pode restringir o acesso por porta TCP (Web, FTP, Telnet e assim por diante), porta UDP ou endereço de host IP. Também pode limitar o acesso a determinadas portas e endereços IP a um horário específico do dia. Observe que o controle de acesso restringe o acesso a redes e serviços TCP/IP, não a diretórios ou arquivos no servidor BorderManager que estejam executando o software Gateway IP da Novell. Você pode especificar as informações de controle de acesso para o Gateway IP da Novell em diversos níveis de objetos no NDS: Servidor, Unidade Organizacional, Organização ou País. Para obter maiores informações sobre como implementar o controle de acesso, consulte Configuração e gerenciamento do controle de acesso Limitações do gateway IP da Novell O Gateway IP da Novell possui as seguintes limitações: Somente clientes Windows NT 4.0, Windows 95, Windows 98 e Windows 3.1 são suportados. Os clientes VLM TM (Virtual Loadable Module TM ) não são suportados. As sessões SSL não são suportadas pelos serviços de gateway IP/IP ou IPX/ IP. Nem todos os aplicativos WinSock funcionam com todos os clientes Windows que o Gateway IP da Novell suporta. Para os clientes Windows 3.1, o Gateway IP da Novell suporta somente aplicativos WinSock 1.1. Para os clientes Windows 95, Windows 98 e Windows NT 4.0 ou posteriores, o Gateway IP da Novell suporta somente aplicativos WinSock Visão Geral e Planejamento

89 Opções de configuração e limitações do NAT Esta seção descreve as seguintes opções de configuração: Selecionar um modo de operação do NAT na página 89 Considerações sobre as tabelas de conversão estática de endereços de rede na página 95 Atribuir endereços não registrados a hosts usando o NAT na página 96 Usar o multihoming na página 97 Limitações do NAT na página 98 Selecionar um modo de operação do NAT O NAT (Network Address Translation) pode ser configurado para operar em um dos três modos possíveis: apenas dinâmico, apenas estático e uma combinação de estático e dinâmico. O modo dinâmico é usado para permitir que hosts da rede privada, ou intranet, acessem uma rede pública, como a Internet. O modo estático é usado para permitir que hosts da rede pública acessem hosts selecionados na rede privada. O modo de combinação é usado quando são necessárias funções dos modos dinâmico e estático. As seções a seguir descrevem cada modo de operação do NAT e analisam as vantagens de cada um deles. Somente dinâmico No modo apenas dinâmico, o NAT (Network Address Translation) permite que os hosts IP de uma rede privada acessem a Internet sem que um administrador precise designar globalmente um endereço IP único para cada sistema. Em vez disso, a interface do NAT é configurada com um endereço público e os hosts privados podem, então, acessar a Internet através da interface do NAT. O endereço IP vinculado à interface do NAT e uma porta de um pool de portas disponíveis que são constantemente reutilizadas são atribuídos dinamicamente aos hosts que acessam a Internet. Cada vez que um pacote é reencaminhado à rede pública, o endereço privado é substituído pelo endereço público único globalmente e por uma porta atribuída de forma aleatória. Quando a sessão Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Transla-

90 termina, a porta é retornada ao pool para ser reatribuída, conforme necessário. Nenhuma conexão pode ser iniciada da rede pública para a rede privada. O endereço de origem ou de destino (dependendo da direção) de todos os pacotes TCP, UDP e ICMP é convertido. O endereço público usado para essa conversão é o endereço IP primário da interface do NAT, que é especificado no parâmetro Endereço IP Local. O NAT fornece um pool de portas para conexões TCP, para mapeamentos UDP e para mapeamentos ICMP. Para estabelecer uma nova conexão quando todos os mapeamentos UDP ou ICMP já tiverem sido usados, o NAT descarta o mapeamento mais antigo e fornece um número de porta para o novo mapeamento. Para estabelecer uma nova conexão TCP quando todas as conexões já tiverem sido usadas, o NAT fornece um número de porta para a nova conexão, descartando a conexão mais antiga que atenda aos seguintes critérios, na ordem mostrada: Qualquer conexão que não tenha transmitido pacotes por mais de oito horas. Qualquer conexão que esteja tentando se conectar por dois minutos, mas não tenha tido êxito (ou seja, o handshake TCP tridirecional não foi completado). Somente estático O modo apenas estático é usado para o mapeamento um-para-um permanente dos endereços IP registrados públicos para endereços IP locais dentro de uma rede privada. As conversões estáticas de endereços são recomendadas quando hosts internos, como servidores FTP ou Web, tornam-se disponíveis para a rede pública. No modo apenas estático, o NAT (Network Address Translation) é configurado com uma tabela de pares de endereços IP. Cada entrada da tabela contém um par de endereços IP para cada host que os hosts públicos possam acessar. O primeiro endereço IP de cada par é um endereço IP público para o qual o endereço privado é mapeado; o segundo endereço é o endereço do host na rede privada. Como os hosts públicos só podem acessar hosts privados usando os endereços IP públicos desses hosts, somente os hosts que tiverem seus endereços IP definidos na tabela de conversão de endereços de rede poderão ser acessados. A interface do NAT descarta os pacotes endereçados a hosts que não possuam 90 Visão Geral e Planejamento

91 uma entrada de mapeamento de endereços na tabela. Da mesma forma, para permitir o acesso de hosts privados à rede pública usando o modo apenas estático, cada host privado precisa ter seu endereço IP privado mapeado para um endereço IP público único na tabela de conversão de endereços de rede. I m p o r t a n t Quando o NAT é executado em um modo apenas dinâmico, um mesmo endereço IP público e um número aleatório de porta são atribuídos a vários hosts privados. Quando o NAT é executado em um modo somente estático, todos os mapeamentos de endereços são únicos. Um endereço público na tabela de conversão de endereços de rede não pode ser mapeado para mais de um host privado. Estático e dinâmico A combinação dos modos estático e dinâmico é usada se alguns hosts da rede exigirem a conversão dinâmica de endereços e outros exigirem a conversão estática. Por exemplo, a rede privada pode ter hosts para acessar a Internet e também outros recursos que você deseja que sejam acessados pelos hosts públicos. Com o modo combinado estático e dinâmico, você pode usar os dois métodos ao mesmo tempo. Para usar o modo dinâmico e estático, precisa ser configurado um endereço público para conversões dinâmicas e um endereço público para cada host privado. Como o modo estático e dinâmico precisa de mais de um endereço público vinculado à mesma interface do NAT, os endereços IP secundários (multihoming) precisam ser configurados. Configure a interface habilitada para o NAT para multihoming, conforme descrito em Configuração e gerenciamento do Gateway IP da Novell e NAT Para obter uma breve descrição do multihoming, consulte Usar o multihoming na página 97 I m p o r t a n t Quando endereços IP secundários estão vinculados à interface do NAT e o modo de operação estático e dinâmico está selecionado, a interface do NAT usa automaticamente o endereço IP primário para o modo dinâmico. Os endereços IP secundários precisam ser mapeados para endereços IP de host privado na tabela de conversão estática de endereços de rede. Implementar modos de operação do NAT Observe a seguir exemplos dos modos de operação dinâmico e estático do NAT. Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Transla-

92 Exemplo de somente dinâmico Figura 4-1 mostra um aplicativo do NAT no modo apenas dinâmico. Na Figura 4-1, o host da rede privada usa o endereço de classe A. A interface do NAT do roteador para a rede pública foi configurada com o endereço de classe C, Esse endereço de classe C é único globalmente e é registrado com o IANA (Internet Assigned Numbers Authority) ou com outro registro da Internet localizado fora dos Estados Unidos. Quando o host com o endereço privado deseja acessar um host na Internet com o endereço público , ele envia pacotes para o respectivo roteador primário. O roteador tem uma rota padrão configurada na interface WAN para que os pacotes sejam reencaminhados para essa interface. O NAT que está sendo executado na interface converte o endereço de origem do cabeçalho IP no seu próprio endereço único globalmente e atribui uma nova porta de origem antes de os pacotes serem reencaminhados. Da mesma forma, todos os pacotes IP internos de resposta passam pela conversão inversa de portas e endereços. I m p o r t a n t A interface habilitada pelo NAT precisa ser configurada de modo que nunca use o protocolo RIP (Routing Information Protocol) para divulgar as redes privadas para o backbone público. Figura 4-1 Implementação do modo dinâmico do NAT Roteador NetWare com NAT (Destino = , Origem = ) WAN Internet LAN Esta ªo de Trabalho NetWare (Destino = , Origem = ) Exemplo de somente estático Figura 4-2 mostra um aplicativo do NAT no modo apenas estático. Nesse caso, o NAT está configurado para permitir que os hosts da rede pública acessem dois 92 Visão Geral e Planejamento

93 hosts UNIX na rede privada. Os endereços privados dos hosts são e A tabela de conversão de endereços de rede está configurada para converter esses endereços privados nos endereços IP públicos e , respectivamente. Quando o NAT está configurado dessa forma e pacotes de hosts públicos com um endereço de destino ou são recebidos pela interface habilitada pelo NAT no roteador NetWare, o NAT substitui o endereço de destino dos pacotes pelo endereço privado apropriado e reencaminha os pacotes para os hosts privados. Os pacotes de resposta dos hosts privados para os hosts públicos são submetidos à conversão inversa de endereços. Dessa forma, os hosts da rede pública podem acessar recursos específicos na rede privada, mas o acesso é limitado somente àqueles recursos que possuam seus endereços privados configurados na tabela de conversão de endereços de rede. Um host privado cujo endereço seja mapeado para um endereço público na tabela de conversão de endereços de rede também pode acessar qualquer host público. N o t e I m p o r t a n t Quando o NAT é usado no modo estático com uma configuração multiacesso, o roteador público precisa ter uma rota estática para cada par de endereços definido na tabela de mapeamento estático do NAT. Se o NAT for usado com uma configuração ponto-a-ponto numerada, você não precisará configurar rotas estáticas de host. A interface habilitada pelo NAT precisa ser configurada de modo que nunca use o protocolo RIP (Routing Information Protocol) para divulgar as redes privadas para o backbone público. Figura 4-2 Implementação do modo estático do NAT Roteador NetWare com NAT WAN Internet LAN Host UNIX Endereço privado = Endereço público = Host UNIX Endereço privado = Endereço público = Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Transla-

94 Regras de filtragem Os tipos de pacotes filtrados pela interface do NAT são determinados pelo modo em que o NAT está operando. O modo do NAT é configurado usando o parâmetro Status. Esse parâmetro apresenta quatro configurações possíveis: Desabilitado, Apenas Dinâmico, Estático e Dinâmico e Apenas Estático. Para obter maiores informações sobre como configurar os parâmetros do NAT, consulte Configuração e gerenciamento do Gateway IP da Novell e NAT Desabilitado Se uma interface habilitada pelo NAT estiver configurada como Desabilitado, todos os pacotes que chegarem e que saírem serão passados sem qualquer modificação para a porta ou o endereço IP de origem ou de destino. Essa é a configuração padrão. Somente dinâmico Se uma interface habilitada para o NAT estiver configurada para Dynamic Only (Apenas Dinâmico), as regras de filtragem serão as seguintes: A porta e o endereço de origem dos pacotes originados da rede privada e de serviços em execução no servidor NetWare serão convertidos e reencaminhados para o endereço de destino. Os pacotes ICMP internos dos tipos 0, 3, 4, 8, 11, 12, 17 e 18 têm acesso permitido. Todos os outros tipos de pacotes ICMP, inclusive o redirecionamento ICMP (tipo 5), são descartados. Os pacotes internos (eco ICMP) de pedidos ping são respondidos pelo NAT quando os pedidos destinam-se ao endereço IP da interface do NAT. Os pacotes originados da rede pública que não correspondem aos pedidos originados da rede privada são descartados. N o t e O NAT converte qualquer pacote externo que passe pela interface. Se uma rede privada tiver endereços IP registrados e não registrados, os endereços IP registrados serão convertidos no endereço registrado configurado para a interface do NAT. Estático e dinâmico Se uma interface habilitada para o NAT estiver configurada para Estático e Dinâmico, as regras de filtragem serão as seguintes: 94 Visão Geral e Planejamento

95 Os pacotes internos que não se destinarem a um dos endereços públicos configurados na tabela de conversão de endereços de rede ou que não puderem ser convertidos serão descartados. Os pacotes que não podem ser convertidos são os que não correspondem a um fluxo dinâmico externo existente. Os pacotes externos de qualquer host privado são convertidos. Os pacotes de hosts privados estáticos configurados são tratados de acordo com as regras do modo estático. Todos os outros pacotes são tratados de acordo com as regras do modo dinâmico. Somente estático Se uma interface habilitada para o NAT estiver configurada para Apenas Estático, as regras de filtragem serão as seguintes: Somente os pacotes recebidos da rede pública com um endereço de destino que corresponda a um dos endereços públicos configurados na tabela de conversão de endereços de rede poderão acessar a rede privada. Somente os hosts privados cujos endereços forem especificados na tabela de conversão de endereços de rede poderão acessar a rede pública. Todos os pacotes de outros hosts privados serão descartados. Os pacotes originados da rede pública que não se destinarem a qualquer endereço público configurado na tabela de conversão de endereços de rede serão descartados. N o t e Com a configuração de filtros para uma interface habilitada pelo NAT, pode-se criar uma conversão estática segura, permitindo o acesso a partir da rede pública somente de serviços, hosts e redes especificados. Para obter maiores informações sobre como configurar filtros, consulte Configuração e gerenciamento do filtro de pacotes Considerações sobre as tabelas de conversão estática de endereços de rede Ao configurar mapeamentos de conversão de endereços em uma tabela de conversão estática de endereços de rede, considere o seguinte: Ao usar o NAT com a filtragem de pacotes, modifique os filtros de modo a levar em conta as conversões de endereços configuradas na tabela de Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Transla-

96 conversão de endereços de rede. Como as operações de filtragem são realizadas antes das conversões de endereços, os pacotes internos precisam permitir que os endereços que não podem ser convertidos cheguem à interface do NAT e os filtros externos precisam permitir que os endereços convertidos sejam roteados através da interface do NAT. Quando o NAT é usado no modo estático com uma configuração multiacesso, o roteador público precisa ter uma rota estática para cada par de endereços definido na tabela de mapeamento estático do NAT. Se o NAT for usado com uma configuração ponto-a-ponto numerada, você não precisará configurar rotas estáticas de host. Embora os endereços público e privado de cada entrada da tabela de conversão estática de endereços de rede não possam ser o mesmo endereço IP, uma exceção será necessária se outros serviços TCP/IP forem acessados do endereço vinculado à interface habilitada pelo NAT. Por exemplo, se o endereço público da interface do NAT também for usado para acessar um servidor FTP ou Web, a tabela de conversão estática de endereços de rede precisará ter uma entrada com o endereço público mapeado para ele mesmo. Se o modo estático for desejado, o NAT não poderá ser habilitado em mais de uma interface LAN ou WAN que chegue ao mesmo host privado. Para a conversão estática de endereços de rede, é permitida somente uma rota por host. O uso do modo estático com uma tabela de conversão estática de endereços da rede não será prático se a configuração de vinculações do TCP/IP, Roteador Remoto Designará Dinamicamente Endereço IP, estiver definida como Sim. Isso acontece porque o endereço público atribuído pode mudar. Se essa configuração estiver definida no utilitário INETCFG, somente o modo dinâmico poderá ser usado. Atribuir endereços não registrados a hosts usando o NAT Para determinar qual endereço IP precisará ser atribuído a hosts privados quando o NAT for usado, utilize as diretrizes no RFC Em resumo, o RFC 1918 explica que o IANA (Internet Assigned Numbers Authority) reservou esses três blocos de espaço IP para internets privadas: a (prefixo 10/8) a (prefixo /12) a (prefixo /16) 96 Visão Geral e Planejamento

97 O primeiro bloco é considerado um bloco de 24 bits, o segundo é considerado um bloco de 20 bits e o terceiro é considerado um bloco de 16 bits. Note que o primeiro bloco é um número de rede de classe A individual, o segundo bloco é um conjunto de 16 números de rede consecutivos de classe B e o terceiro bloco é um conjunto de 256 números de rede consecutivos de classe C. Como os roteadores de backbone da Internet possuem filtros que os impedem de reencaminharem pacotes para esses endereços de rede, o uso dos endereços proporciona uma proteção adicional para os hosts privados ocultos pelo Gateway IP da Novell ou pelo NAT nos casos em que o gateway, o NAT ou o firewall estiver funcionando mal ou estiver configurado incorretamente. No entanto, os roteadores usados por alguns provedores Internet talvez não tenham filtros para esses endereços, permitindo, assim, que qualquer host IP fora da sua rede que use o mesmo provedor Internet acesse seus hosts privados. Uma empresa pode utilizar os números de rede do espaço de endereços descrito no RFC 1918 sem qualquer coordenação com o IANA ou um registro da Internet. Por isso, os números de rede podem ser usados por muitas empresas. Os endereços dentro desse espaço privado precisam ser únicos dentro da mesma empresa ou dentro do conjunto de empresas que optarem por compartilhar o espaço de endereços para se comunicarem entre si usando sua internetwork privada. Usar o multihoming O multihoming descreve a condição onde vários endereços IP na mesma rede estão vinculados a uma interface de rede individual. Os endereços IP diferentes do primeiro endereço vinculado à interface de rede são ditos endereços IP secundários. O uso mais comum dos endereços IP secundários na mesma interface de rede é para um servidor Web individual operar como se fosse vários servidores Web. Um endereço IP secundário diferente pode apontar para uma página diferente no mesmo servidor Web, dependendo do nome de domínio do DNS que seja usado para acessar o servidor. O multihoming costuma ser usado com um NAT que esteja sendo executado no modo estático, serviços de proxy e VPNs. Em todos os casos, os endereços IP secundários são configurados em uma interface de rede que já tem um endereço IP primário vinculado a ela. Quando várias interfaces são configuradas em um servidor, o endereço secundário é associado à interface que possui o mesmo endereço de rede vinculado a ela, ou seja, as partes de rede dos dois endereços IP são Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Transla-

98 correspondentes. Se você tentar configurar um endereço secundário que não seja válido em nenhuma das redes vinculadas às interfaces existentes, o endereço será rejeitado e uma mensagem de erro aparecerá no console do servidor. Quando o multihoming é usado com o NAT ou com serviços de proxy ou VPNs, os endereços secundários precisam ser configurados manualmente, conforme descrito em Configuração e gerenciamento do Gateway IP da Novell e NAT Limitações do NAT O NAT (Network Address Translation) apresenta as seguintes limitações: Como aplicativos TCP/IP diferentes podem embutir e usar endereços IP de forma única, o NAT não suporta aplicativos que embutam um endereço IP na parte de dados do pacote TCP/IP. No entanto, o FTP é uma exceção a essa regra. O NAT realiza um processamento especial para permitir que o FTP funcione corretamente. Para obter maiores informações sobre essa limitação, consulte o RFC Pacotes multicast e broadcast não são convertidos. 98 Visão Geral e Planejamento

99 chapter 5 Visão geral e planejamento do recurso Serviços de Proxy O recurso Serviços de Proxy do Novell BorderManager TM trata de todos os pedidos de documentos e outros objetos remotos da Internet feitos a partir de browsers cliente dentro do firewall. O servidor proxy estabelece a conexão remota e transfere informações para os clientes de forma transparente. Esse capítulo contém informações gerais e de planejamento do recurso Serviços de Proxy do BorderManager. Também inclui informações de configuração de exemplo que ajudam você a planejar sua configuração. Esse capítulo contém as seguintes seções: Visão geral do recurso Serviços de Proxy na página 99 Como o armazenamento no cache do proxy de reencaminhamento funciona na página 105 Proxies de aplicativos na página 111 Recursos adicionais dos serviços de proxy na página 122 Projetar e planejar o recurso Serviços de Proxy na página 128 Visão geral do recurso Serviços de Proxy O crescimento e a popularidade cada vez maior da World Wide Web originou um crescimento correspondente no tráfego da rede. Com isso, surgiram também os atrasos, os tempos de resposta mais demorados e as preocupações com segurança. Os problemas de tráfego da rede ocorrem, em parte, devido à recuperação repetida de objetos de servidores Web remotos na Internet. O recurso Serviços de Proxy do Novell BorderManager pode ajudar a melhorar a performance armazenando localmente no cache as informações da Internet solicitadas com freqüência. Em geral, o recurso Serviços de Proxy armazena mais perto do usuário cópias das informações da Web que costumam ser solicitadas, Visão geral e planejamento do recurso Serviços de Proxy 99

100 reduzindo, assim, o número de vezes que as mesmas informações são acessadas através de uma conexão na Internet, o tempo de download e a carga no servidor remoto. Esta seção contém as seguintes subseções: Tipos de armazenamento no cache na página 100 Interação com outros serviços do BorderManager na página 102 Tecnologia do proxy na página 102 Protocolos suportados na página 103 Vantagens do recurso Serviços de Proxy na página 103 Recursos dos serviços de proxy na página 105 Tipos de armazenamento no cache Existem quatro tipos de armazenamento no cache: Armazenamento passivo no cache Armazenamento ativo no cache Armazenamento negativo no cache Armazenamento hierárquico no cache Armazenamento passivo no cache Com o cache passivo (também chamado de cache básico ou sob demanda), o cliente (browser) envia um pedido diretamente para um servidor proxy, que é um servidor HTTP normalmente executado em um servidor de firewall. O servidor proxy localiza o objeto no seu cache e retorna-o ao cliente. Se o objeto não estiver no cache, o proxy recuperará uma cópia no servidor Web de origem na Internet, armazenará essa cópia no cache do servidor proxy e retornará uma cópia do objeto ao cliente. O objeto fica armazenado no cache durante um período de tempo predefinido ou até o cache estar cheio. Se o espaço em disco do cache for insuficiente, os objetos mais antigos serão removidos do cache. Os pedidos de browser subseqüentes para o objeto armazenado no cache são feitos ao servidor proxy nas velocidades das intranets locais. Isso diminui o tráfego 100 Visão Geral e Planejamento

101 na Internet e a carga de pedidos no servidor Web de origem, reduzindo, assim, os atrasos no retorno de informações para o cliente. Para o cliente, o servidor proxy possui a mesma funcionalidade básica que o servidor Web (com uma sutil diferença nos pedidos submetidos). Para o servidor Web, o servidor proxy tem a mesma funcionalidade básica que o cliente. O proxy constrói seu próprio cache com base nos sites Web que os usuários visitam. Quando um objeto é recuperado na Web e inserido em um cache, um valor TTL (Time-To-Live) é associado ao objeto. Antes de o TTL expirar, os pedidos são preenchidos do cache para esse objeto. Quando ele expirar, o servidor Web será contatado e precisará fornecer uma versão mais recente; a atualização será armazenada no cache e um novo TTL será calculado. Armazenamento ativo no cache Cache ativo é uma expansão para o cache passivo que melhora a performance. Com o armazenamento ativo no cache, o proxy envia automaticamente um pedido para o servidor de origem recuperar um objeto. O servidor atualiza os objetos que costumam ser acessados ou solicitados com maior freqüência, os que possuem TTLs mais longos e os que estão armazenados ativamente no cache durante períodos de baixa carga do servidor. Armazenamento negativo no cache O cache negativo ocorre quando um proxy tenta resolver um pedido para um URL que não existe ou não pode ser localizado ou acessado. Nesse caso, o proxy armazena o resultado negativo de modo que os pedidos futuros para esse URL sejam solucionados rapidamente. O proxy continua a verificação no background e renova o cache quando as páginas se tornam disponíveis. O cache negativo ocorre para condições de erro HTTP, como 403 (pedido proibido) e 404 (URL não encontrado). Armazenamento hierárquico no cache O cache hierárquico permite que as informações sejam recuperadas nos servidores proxy mais próximos e não no servidor Web de origem. A aceleração HTTP e FTP (aceleração do cache proxy inverso) também permite que informações estáticas sejam armazenadas no cache pelos servidores proxy de fronteira e recuperadas a partir deles, em vez de a partir dos servidores Web de origem, para reduzir a carga dos servidores Web. O cache proxy usa as informações de validade do cache que esses servidores Web fornecem aos Visão geral e planejamento do recurso Serviços de Proxy 101

102 browsers para determinar durante quanto tempo as páginas precisam ficar armazenadas no cache. Interação com outros serviços do BorderManager O controle de acesso é emitido pelos aplicativos de Serviços de Proxy para reencaminhar e filtrar conexões para serviços como HTTP, Gopher e FTP. O host que executa o recurso Serviços de Proxy é conhecido como gateway. Em geral, o recurso Serviços de Proxy aceita serviços somente para os quais existem proxies. Por exemplo, se um gateway possuir proxies para FTP, então somente o FTP poderá ser solicitado. Os pedidos para todos os outros serviços são ignorados. Com gateways, você pode ocultar os nomes e endereços de sistemas internos o gateway é o único nome de host conhecido fora do sistema. Além disso, o tráfego pode ser registrado antes de chegar aos hosts internos. O recurso Serviços de Proxy melhora a segurança, ocultando nomes e endereços de domínio de rede privada e enviando todos os pedidos através de um único gateway. Para obter maiores informações sobre os gateways, consulte o Capítulo 4, Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Translation), na página 77 Tecnologia do proxy O recurso Serviços de Proxy se baseia tanto na tecnologia de proxy CERN de primeira geração como na tecnologia mais recente de cache proxy hierárquico Harvest/Squid de segunda geração. A tecnologia Harvest/Squid melhora os serviços de cache proxy CERN padrão com o cache de URL negativo e o cache de DNS (Domain Name System) negativo, além de introduzir o cache hierárquico através do ICP (Internet Cache Protocol). O projeto Harvest, um contrato do IRDP (Internet Resource Discovery Project) feito pela Universidade do Colorado, introduziu o armazenamento hierárquico no cache ICP para melhorar a performance e a escalabilidade da Web na Internet. O projeto foi transferido para o NLANR (National Laboratory for Applied Network Research) no início de 1996 como a base para o projeto Squid. O objetivo desse projeto é facilitar a evolução de uma arquitetura nacional eficiente para tratar de informações altamente populares. 102 Visão Geral e Planejamento

103 Protocolos suportados O recurso Serviços de Proxy do BorderManager suporta os seguintes protocolos e aplicativos: HTTP (0.9, 1.0 e 1.1), incluindo o suporte ao HTTPS e o SSL (Secure Sockets Layer) FTP DNS (Domain Name System) Gopher SMTP/POP3 (Simple Mail Transfer Protocol/Post Office Protocol 3) NNTP (Network News Transfer Protocol) RealAudio e RealVideo* SOCKS 4 e 5 TCP/UDP genérico Proxy Transparente HTTP Proxy transparente Telnet O modo passivo (PASV) é suportado para o FTP para permitir que o administrador do firewall negue conexões de entrada acima da porta 1023, se necessário. Caso contrário, o modo normal (PORT) do FTP é usado. Os Serviços de Proxy também suportam o protocolo HTTP através do software IPX TM (Internetwork Packet Exchange TM ). Os clientes de gateway Novell IPX/ IP e IP/IP, assim como outros clientes, podem acessar diretamente o servidor proxy usando o recurso de proxy transparente do cliente de gateway. Para obter maiores informações sobre o Gateway IP da Novell, consulte o Capítulo 4, Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Translation), na página 77 Vantagens do recurso Serviços de Proxy O recurso Serviços de Proxy do BorderManager combina um proxy da Internet, um recurso de armazenamento no cache da Web e o software NDS TM para Visão geral e planejamento do recurso Serviços de Proxy 103

104 fornecer acesso à World Wide Web de dentro de um firewall. O recurso Serviços de Proxy proporciona as seguintes vantagens: Reduz o tráfego da WAN para a Internet e no servidor Web primário ao oferecer acesso local à LAN para informações armazenadas no cache. O recurso Serviços de Proxy também reduz a carga nos servidores Web da Internet e melhora a performance da Internet e da intranet. Usa um protocolo individual na LAN (somente para proxy HTTP). Os usuários não precisam ter clientes separados o HTTP é usado para se comunicar com um servidor proxy. O servidor proxy usa o protocolo apropriado FTP, Gopher e assim por diante de pedidos HTTP para acessar documentos da rede. Aumenta a segurança da intranet ao ocultar a rede local na Internet. Os nomes e endereços de domínios da rede privada ficam ocultos e todos os pedidos são enviados através de um gateway individual. Isso se aplica somente ao proxy de reencaminhamento. O proxy inverso é usado para ocultar o host de origem do cliente ou da rede local. Aprimora a segurança na intranet com o controle de acesso e a filtragem do conteúdo. Distribui os pedidos de clientes da LAN entre vários servidores proxy, como os pedidos de FTP em um servidor e os pedidos de HTTP em outro servidor. Reduz os requisitos de espaço em disco para as informações recuperadas nas estações de trabalho cliente e reduz a carga em servidores Web da Internet. Permite o acesso a documentos mesmo quando o servidor Web na Internet ou na intranet está desativado ou inacessível, se o documento já tiver sido armazenado no cache pelo servidor proxy e o TTL não tiver expirado. Recupera e age como servidor se o servidor de origem estiver desativado. Fornece um único ponto de administração baseada no NDS. Registra e filtra transações de clientes. Essas vantagens se aplicam aos sites Web da Internet e da intranet. Como o recurso Serviços de Proxy suporta padrões de abertura da Internet, ele pode ser 104 Visão Geral e Planejamento

105 usado com os produtos da Novell para intranet e Internet, assim como com servidores Web e browsers de outros fornecedores. Recursos dos serviços de proxy O recurso Serviços de Proxy oferece o seguinte: Suporte a clientes HTTP (0.9, 1.0, 1.1), FTP, Gopher, DNS e SSL Cache hierárquico baseado no ICP (Internet Cache Protocol) e em outros protocolos Acelerador de servidores HTTP e FTP (proxy inverso) Proxies de aplicativos, incluindo SMTP, NNTP, RealAudio, DNS, SOCKS, proxy transparente HTTP e proxy transparente Telnet Download de lote de URLs Filtragem de conteúdo para Java* SNMP (Simple Network Management Protocol) MIB (Management Information Base) Listas de controle de acesso baseadas em identidades de usuários do NDS, endereços IP, domínios e URLs Configuração e console de gerenciamento baseado no Windows Cyber Patrol (software de terceiros para bloqueio de sites) Registro de eventos nos formatos de texto e RDBMS (Relational Database Management System) Como o armazenamento no cache do proxy de reencaminhamento funciona Esta seção descreve como funciona o armazenamento no cache do proxy de reencaminhamento e contém informações sobre hierarquias de armazenamento no cache, tipos de objetos e armazenamento de objetos no cache, além de segurança do servidor proxy. Esta seção contém as seguintes subseções: Visão geral e planejamento do recurso Serviços de Proxy 105

106 Armazenamento no cache do proxy de reencaminhamento na página 106 Hierarquias de armazenamento no cache na página 107 Tipos de objetos e armazenamento no cache na página 107 Servidores proxy e segurança na página 109 Armazenamento no cache do proxy de reencaminhamento O recurso Serviços de Proxy funciona como um intermediário entre os hosts de uma rede protegida e a Internet ou a intranet, ou entre os clientes da Internet e os servidores da sua rede. Quando um usuário solicita um serviço da Internet, como HTTP, o cliente submete o pedido ao proxy, que, então, funciona como cliente. O proxy procura os dados no respectivo cache local e, se eles estiverem disponíveis, envia-os imediatamente para o cliente. Se não houver dados disponíveis, o proxy solicita os dados dos servidores do cache hierárquico ou do servidor de origem na Internet e retorna-os ao cliente. O servidor proxy, então, funciona como cliente e servidor. Como servidor, ele recebe pedidos de clientes da intranet. Como cliente, ele reencaminha os pedidos para o servidor de origem da Internet. Quando um cliente faz um pedido HTTP regular (sem usar um proxy), o servidor HTTP recebe somente a parte do caminho e da senha do URL solicitado. Por exemplo, o usuário digita o seguinte comando: O browser envia o seguinte comando para o host.com: GET /marketing/doc.htm Nesse exemplo, o servidor HTTP remoto já sabe qual é o especificador de protocolo http e o nome do host. O caminho solicitado especifica o objeto disponível naquele servidor. Quando um cliente envia um pedido a um servidor proxy através de browser, o proxy usa o HTTP e o método GET. O cliente (browser) usa o HTTP quando se comunica com o proxy, mesmo quando está acessando um objeto em um servidor remoto que use um protocolo diferente, como Gopher ou FTP. Se um protocolo diferente estiver sendo usado, o proxy identificará o protocolo e 106 Visão Geral e Planejamento

107 usará esse protocolo e o URL completo para fazer o pedido. O servidor proxy possui todas as informações necessárias para fazer o pedido ao servidor remoto. Por exemplo, para um pedido de protocolo FTP, o proxy usa o comando a seguir: GET ftp://host.com/marketing/doc.html Todas as informações são usadas ao solicitar informações do servidor de origem. O proxy solicita o documento usando o FTP, os resultados são retornados ao servidor proxy como uma resposta FTP e o servidor envia as informações para o usuário como uma resposta HTTP. Hierarquias de armazenamento no cache Você pode configurar uma hierarquia de servidores de cache proxy para reduzir a carga da WAN e resolver os pedidos. Sempre que um pedido de um objeto não puder ser resolvido, o servidor proxy entrará em contato com seus vizinhos (peers) e pais usando o ICP (Internet Cache Protocol), um protocolo de resolução simples. Os proxies trocam consultas e respostas para coletar informações e selecionar o melhor local de onde um objeto solicitado precisará ser recuperado. Se o URL corresponder a uma listagem em uma lista configurável de substrings, o objeto será recuperado diretamente do servidor de origem e não de outros servidores proxy. Se o pedido for um objeto que possa ser armazenado no cache, o servidor proxy enviará o pedido para os irmãos e pais usando o broadcast UDP. O objeto é recuperado do site mais próximo que estiver disponível. As hierarquias de armazenamento no cache reduzem a carga nos servidores Web de origem e distribuem-na pelos vários servidores do cache. Consulte Armazenamento hierárquico ICP no cache na página 125 para obter maiores informações sobre o cache hierárquico e a maneira como ele funciona. Tipos de objetos e armazenamento no cache Nem todos os objetos podem ou precisam ser armazenados no cache. Alguns tipos de objetos não têm valor quando armazenados no cache porque mudam com muita freqüência. Outros precisam da autenticação antes de poderem ser acessados. Visão geral e planejamento do recurso Serviços de Proxy 107

108 O HTTP suporta o método HEAD para recuperar apenas o cabeçalho e determinar o tempo de existência de um objeto. Se um objeto não tiver sido modificado desde o horário especificado em um pedido de cabeçalho, ele não será retornado e o objeto armazenado no cache será usado. O HTTP também suporta o cabeçalho de pedidos If-Modified-Since, permitindo um pedido GET condicional. O pedido GET contém a data e o horário da última alteração feita no objeto no cache proxy. Se o objeto tiver sido modificado desde o horário e a data de armazenamento, uma nova cópia será recuperada. Em geral, o servidor proxy não armazena no cache os seguintes tipos de objetos: Objetos que estão protegidos por senha Objetos com /cgi-bin/ ou? nos URLs Objetos cujo tamanho é maior que um tamanho pré-configurado Objetos associados a protocolos diferentes de HTTP, FTP ou Gopher Qualquer cabeçalho HTTP que contenha "Pragma:no-cache", "Cache- Control: Private, Set Cookie, WWW-Authenticate ou Cache-Control:nocache Você pode especificar outros tipos de objetos que não poderão ser armazenados no cache. Para obter maiores informações, consulte oconfiguração e gerenciamento dos serviços de proxy O proxy da Novell utiliza as informações de tempo de validade do cache que os servidores Web normalmente fornecem aos browsers. Essas informações especificam durante quanto tempo as páginas precisam ficar armazenadas no cache. Em geral, o texto em HTML é apenas uma pequena parte dos dados transmitidos, mesmo para os sites que geram páginas em HTML de forma dinâmica. A maioria dos dados é formada por imagens estáticas que podem ser armazenadas no cache. Para melhorar a performance, você pode ajustar as diretivas de validade do cache. Para obter maiores informações, consulte oconfiguração e gerenciamento dos serviços de proxy 108 Visão Geral e Planejamento

109 Servidores proxy e segurança O recurso Serviços de Proxy interage com os seguintes elementos para proporcionar segurança adicional ao servidor proxy: Controle de acesso Clientes de gateway Internet da Novell Uma vantagem do estabelecimento de servidores proxy na intranet consiste no aumento da segurança através do controle de acesso e do registro dos pedidos de URLs. Os servidores proxy têm dois tipos de segurança: Segurança de saída O servidor proxy pode restringir, por URL, o acesso a protocolos da Internet, como HTTP, FTP e Gopher. Por exemplo, você pode impedir o acesso a sites Web que não sejam adequados à diretiva da empresa ou que não sejam essenciais para realizar o trabalho. Segurança de entrada O servidor proxy mantém os endereços da rede interna seguros, ocultando da Internet os endereços de clientes IP e substituindo-os ao solicitar informações de servidores Web. O servidor proxy proporciona maior segurança do que quando somente a filtragem de endereços é usada. Ele determina o endereço de um pacote e todo o contexto da sessão na qual o pacote está sendo enviado, tornando mais fácil, assim, identificar pacotes suspeitos. O servidor proxy pode ser usado como parte de uma solução de firewall ou junto com as soluções de firewall de outros fornecedores. Ele pode ser usado na frente, dentro ou atrás dos firewalls existentes. Serviços de proxy e controle de acesso Para proporcionar segurança adicional, o acesso é controlado através das regras da lista de controle de acesso. Você pode configurar o controle de acesso do recurso Serviços de Proxy para fazer o seguinte: Controlar o acesso dos usuários aos servidores da intranet que têm dados confidenciais Visão geral e planejamento do recurso Serviços de Proxy 109

110 Restringir o acesso do usuário a determinados sites Web improdutivos Restringir a utilização de aplicativos desnecessários ou não autorizados Restringir o correio de saída com base no nome de usuário e no domínio Negar o acesso a grupos de notícias Por exemplo, você pode negar o acesso a sites Web que não se ajustem à diretiva da sua empresa ou que não sejam essenciais à realização do trabalho. Com as listas de controle de acesso, o servidor proxy restringe o acesso com base nos endereços IP de origem e de destino, nos URLs, nos domínios e nos nomes de usuários do NDS. O servidor proxy também opera com software de bloqueio de sites de terceiros, como o Cyber Patrol, que é usado para bloquear sites por categoria. As regras da lista de controle de acesso são armazenadas no banco de dados do NDS. A lista de controle de acesso é um conjunto de regras que permitem ou negam determinada ação. O módulo da lista de controle de acesso verifica o pedido HTTP e determina se qualquer uma das regras de acesso se aplicam ou não. Se uma regra se aplicar, a ação especificada será realizada. Do contrário, a regra padrão será aplicada. Você pode criar regras de controle de acesso nos níveis dos objetos País, Organização, Unidade Organizacional e Servidor. As regras podem basear-se em critérios como usuários, grupos, endereços IP ou serviços. Para obter maiores informações, consulte oconfiguração e gerenciamento do controle de acesso Com o NDS, as listas de controle de acesso são associadas por container, grupo, usuário ou servidor. As listas de controle de acesso podem aplicar-se a todos os proxies de uma organização, fornecendo, assim, uma visão global ao gerenciamento. Os clientes do Gateway IP da Novell também fornecem nomes de usuários do NDS para logar no gateway antes de enviar os pedidos HTTP. As restrições de URL também podem ser baseadas em nomes de usuários. Além disso, os clientes HTTP/IPX e HTTP/IP podem acessar os servidores proxy diretamente usando o recurso de proxy transparente do cliente de gateway. Clientes de gateway Internet da Novell O servidor proxy também suporta o protocolo HTTP através do IP (e qualquer programa baseado no WinSock). Os clientes de gateways IPX/IP e IP/IP da 110 Visão Geral e Planejamento

111 Novell podem acessar diretamente o servidor proxy. Quando você configura seu browser no cliente de gateway para transmitir por um proxy, ele detecta automaticamente os servidores proxy que estão usando o NDS. O cliente de gateway redireciona os pedidos para o proxy. Proxies de aplicativos Esta seção descreve detalhadamente os seguintes proxies de aplicativos suportados: Proxy HTTP na página 111 Proxy FTP na página 113 Proxy de correio (SMTP/POP3) na página 115 Proxy de grupos de notícias (NNTP) na página 116 Proxy RealAudio na página 118 Proxy DNS na página 119 Proxy HTTPS na página 119 Cliente SOCKS na página 119 Proxy genérico na página 120 Proxy transparente para HTTP na página 121 Proxy transparente Telnet na página 122 Proxy HTTP Existem dois tipos de proxy HTTP: Proxy HTTP (proxy de reencaminhamento) Acelerador HTTP (proxy inverso) Visão geral e planejamento do recurso Serviços de Proxy 111

112 Proxy HTTP ou de reencaminhamento O proxy HTTP resolve as solicitações de URL para os clientes Web da rede. Ele também é conhecido como proxy de reencaminhamento. Essas solicitações são armazenadas no cache, se possível, no servidor proxy, para aumentar a velocidade de fornecimento do mesmo conteúdo na próxima vez que as mesmas informações forem solicitadas. O HTTP propriamente dito é um protocolo no nível do aplicativo, usado para sistemas de informações de hipermídia cooperativos e distribuídos. Ele é genérico e permite que os sistemas sejam criados independentemente dos dados que estão sendo enviados. Ele também é um protocolo orientado a objetos que pode ser usado para servidores de nomes, sistemas de gerenciamento de objetos distribuídos e assim por diante. Os servidores HTTP usam o HTTP como um protocolo de aplicativo primário, permitindo que os usuários acessem e troquem arquivos na Web. O protocolo HTTP também pode ser usado para a comunicação entre os usuários, proxies, gateways e outros protocolos da Internet, como SMTP, NNTP, FTP e Gopher. A comunicação HTTP costuma ser feita através de conexões TCP/IP, na porta padrão 80, embora outras portas também possam ser usadas. Acelerador HTTP ou proxy inverso O servidor proxy pode ser configurado como um acelerador HTTP para proteger um servidor de intranet da Internet e reduzir a carga dos servidores Web públicos mantidos na intranet. A aceleração HTTP, também conhecida como aceleração de cache proxy inverso ou aceleração do servidor Web, cria um processador front-end para um servidor Web. Um servidor de aceleração HTTP está entre um ou mais servidores Web e a Internet e representa os servidores Web para qualquer cliente que os esteja acessando. Ele também pode ser usado para criar um site espelhado local de um servidor remoto. Quando o usuário da Internet consulta o DNS para localizar o endereço do servidor Web, o DNS retorna o endereço do servidor Web solicitado. O acelerador HTTP recebe os pedidos HTTP na porta 80 (ou em outra porta configurada) e processa todos os pedidos da Web que chegam. Os pedidos de objetos que podem ser armazenados no cache informações estáticas que não mudam com freqüência, como páginas em HTML e imagens GIF são processados pelo proxy. Os pedidos de objetos que não podem ser armazenados no cache informações dinâmicas que mudam com freqüência são processados pelo servidor Web de origem na porta 80. Em geral, cerca de 90% do conteúdo de um servidor Web típico são estáticos e 10% são dinâmicos. 112 Visão Geral e Planejamento

113 Você pode configurar um servidor de aceleração HTTP para recuperar informações ou referências a objetos que podem ser armazenados no cache do servidor Web e armazenar no cache as informações em um servidor BorderManager. Isso reduz a carga no servidor Web. O servidor de aceleração HTTP reencaminha para o servidor Web somente pedidos e referências que não estejam no cache. Se o seu site recebe pedidos de uma grande porcentagem de objetos que podem ser armazenados no cache, o acelerador HTTP reduz a carga da Web. Para obter uma performance ainda melhor, você pode armazenar no cache objetos de uma natureza ainda mais volátil, como cotações do mercado, e especificar para os usuários um tempo de atraso de exatidão. O proxy inverso do BorderManager pode gerenciar mais conexões TCP que um servidor Web de origem (em geral, UNIX ou Windows NT). A aceleração HTTP proporciona as seguintes vantagens: Fornece armazenamento no cache para servidores Web. Reduz a carga nos servidores Web e acelera-os. Protege os servidores Web. Protege as redes IP juntamente com os outros serviços do BorderManager. Proxy FTP Existem dois tipos de proxy FTP: Proxy FTP Proxy FTP inverso Vantagens do proxy FTP O FTP é o protocolo padrão da Internet usado para transferência de arquivos. O proxy FTP é usado para gerenciar pedidos de proxy do FTP quando os usuários utilizam clientes FTP puros, como o software LAN WorkPlace, o UNIX, o Macintosh, etc. O proxy FTP proporciona as seguintes vantagens: Visão geral e planejamento do recurso Serviços de Proxy 113

114 Controle de acesso centralizado Armazenamento de dados no cache para arquivos de dados do FTP Capacidade de continuar a transferência de arquivos de dados após uma perda temporária de conexão com o servidor FTP Usuários anônimos permitidos Representação do URL dos dados FTP O FTP padrão precisa de uma conta de usuário no servidor que está sendo acessado. O FTP anônimo não exige uma conta de usuário e fornece acesso a arquivos específicos na Internet. O nome de usuário é anonymous ou ftp. Você pode usar servidores proxy para controlar o acesso a sites FTP autenticados. Quando um servidor proxy FTP está em um firewall, todos os pedidos de clientes FTP na intranet precisam passar pelo servidor proxy FTP. Isso ajuda a reforçar o controle centralizado no acesso à Internet e varre os dados que estão sendo enviados ou recuperados pelos usuários dentro de uma organização. O cliente (ou usuário) FTP na intranet se conecta primeiro com o servidor proxy FTP, digitando o nome ou endereço IP do servidor proxy como ftp:// novell.com. O usuário precisa, então, digitar o seguinte para identificar o host de origem e se conectar com o proxy FTP: USER NomedoUsuárioProxy$ NomedoUsuárioFTPdeDestino PASS SenhaNDSdoUsuário$ SenhaFTPdeDestino onde NomedoUsuárioProxy é o nome do usuário do NDS, NomedoUsuárioFTPdeDestino é o nome do usuário FTP no servidor de destino, NomedoHostFTPdeDestino é o nome do host ou endereço IP do servidor FTP de destino, SenhaNDSdoUsuário é a senha NDS do usuário e SenhaFTPdeDestino é a senha do usuário no servidor de destino. Somente o nome do host FTP NomedoHostFTPdeDestino é necessário. Se o NomedoUsuárioFTPdeDestino estiver faltando, pressupõe-se que seja anônimo e que nenhuma senha seja necessária. O NomedoUsuárioProxy será necessário somente se a autenticação FTP estiver habilitado. O proxy estabelece a conexão final com o servidor ou host de origem. Os modos ativo e passivo do FTP são suportados e podem ser habilitados ou desabilitados. O modo ativo (PORT) anuncia um receptor na intranet e permite que os clientes estabeleçam uma conexão com a máquina da intranet, um 114 Visão Geral e Planejamento

115 método menos seguro. O modo de FTP passivo (PASV) permite que o cliente inicie a conexão com um servidor FTP remoto. O modo PASV é suportado para permitir ao administrador do firewall negar conexões que chegam acima da porta 1023, se necessário. Proxy FTP inverso O proxy FTP inverso, ou acelerador FTP, é um aplicativo que é posicionado à frente do servidor FTP. Ele funciona como um servidor FTP para os usuários da Internet e protege os servidores FTP que estão atrás do firewall contra violações externas. O acelerador FTP varre os dados que chegam e que saem e, com um suporte de terceiros, pode detectar qualquer vírus que esteja sendo enviado através do sistema. O acelerador FTP também armazena no cache dados solicitados freqüentemente e arquivos FTP de usuários anônimos e ajuda a acelerar os pedidos FTP. Esse processo é útil porque a maioria dos pedidos FTP da Internet são de usuários FTP anônimos. O armazenamento no cache desloca a carga de servidores FTP para o proxy FTP inverso. Proxy de correio (SMTP/POP3) O correio eletrônico é o mais importante e útil dos serviços da Internet. E também o mais vulnerável. Para criar um ambiente seguro, você precisa restringir o acesso ao correio externo somente para algumas máquinas, fazer a triagem de applets ou scripts estranhos e evitar outros esquemas maliciosos de . O SMTP trata da troca de mensagens eletrônicas entre os servidores de correio, aceitando a correspondência e enviando-a diretamente para os domínios de correio de destino ou entregando essas mensagens para um agente de relé intermediário. O protocolo POP3 (Post Office Protocol 3) é usado para tratar das caixas de correio eletrônicas dos usuários nos servidores. O servidor proxy de correio fornece serviços de correio SMTP seguros para a correspondência que chega e sai. O SMTP permite que os usuários da intranet enviem mensagens para a Internet de uma maneira segura. Da mesma forma, os usuários da Internet podem enviar correspondência através do SMTP para usuários da intranet de maneira segura. A correspondência que chega é varrida para detectar a existência de vírus, filtrada à procura de mensagens sem importância e controlada usando as listas de controle de acesso. Visão geral e planejamento do recurso Serviços de Proxy 115

116 O proxy SMTP pode executar as seguintes operações de controle de acesso e filtragem para mensagens recebidas e enviadas: Reforçar o controle de acesso baseado nos nomes de usuários e nomes de domínios de correio das mensagens que chegam e saem. Ocultar os nomes de usuários e de domínios de correio internos. O proxy de correio pode ser configurado para sobregravar o endereço De para que somente o nome de domínio de correio primário de uma organização apareça na Internet. Filtrar MIME (Multimedia Internet Mail Extensions). A correspondência é varrida e filtrada à procura de anexos, inclusive conjuntos de caracteres ASCII, dados não textuais, mensagens em formato RTF (com texto formatado) e mensagens multiparte. Varrer e filtrar a correspondência que chega à procura de vírus e mensagens sem importância. As mensagens indesejadas são varridas usando as listas de controle de acesso que combinam a filtragem do domínio da correspondência e a filtragem do conteúdo. O proxy de correio pode ser usado em uma organização entre o servidor de correio da intranet existente e a Internet, ou entre a intranet e a Internet sem um servidor de correio da intranet existente. Estes comandos de são aceitos no proxy de correio: HELO, MAIL, RCPT, DATA, RSET, HELP, NOOP e QUIT. Para obter maiores informações sobre como configurar os filtros de correio e o controle de acesso, consulte o Capítulo 2, Visão geral e planejamento da filtragem de pacotes, na página 43 e Capítulo 3, Visão geral e planejamento do controle de acesso, na página 59 Proxy de grupos de notícias (NNTP) O proxy de notícias, ou NNTP, é usado para acessar e usar as notícias da Usenet, que consistem em um recurso da Internet, semelhante a um BBS, que contém artigos sobre diversos assuntos. Os artigos são agrupados por assunto ou grupo de notícias. Existem mais de grupos de notícias públicos na Internet. O proxy de grupos de notícias fornece serviços de grupos de notícias NNTP seguros para transferir publicações ou notícias entre a intranet e a Internet. Ele é um serviço baseado no TCP que usa um tipo de protocolo de armazenamento e reencaminhamento. Os servidores de notícias privados ou internos podem usar o proxy para trocar artigos com servidores de notícias públicos ou externos de maneira segura. 116 Visão Geral e Planejamento

117 Para os servidores de grupos de notícias públicos, o proxy de grupos de notícias funciona como um servidor de grupos de notícias corporativo e alimenta todos os servidores de grupos de notícias privados configurados, se houver algum. Para os servidores de grupos de notícias privados e newsreaders (por exemplo, o Netscape* Communicator*), o proxy de grupos de notícias funciona como um servidor de grupos de notícias público e alimenta todos os servidores de grupos de notícias públicos que estiverem configurados. Os seguintes comandos de grupos de notícias são aceitos pelo proxy de grupos de notícias: POST, IHAVE, NEWNEWS e NEWGROUPS. Se uma intranet não tiver servidores de grupos de notícias privados, como em uma empresa pequena, o proxy de grupos de notícias funcionará como um servidor de grupos de notícias. Todos os pedidos, feitos pelos usuários, de listagens de grupos, artigos e recuperação e publicação de artigos são enviados pelos browsers ou newsreaders para o proxy de grupos de notícias. Este, por sua vez, envia os pedidos e as informações para os servidores de grupos de notícias públicos configurados e reencaminha todas as respostas de volta para os usuários. Os utilitários newsreaders ordenam os artigos ou grupos e exibem as informações para os usuários. Nenhum artigo é armazenado no cache nesta versão do proxy de grupos de notícias. Os usuários podem recuperar artigos de grupos de notícias especificando o ID do artigo ou selecionando um grupo e o número do artigo. Todos os comandos de recuperação de notícias são suportados. Dedique um servidor aos serviços e ao proxy de grupos de notícias porque eles tendem a consumir espaço em disco rapidamente. A performance do proxy de grupos de notícias é ótima quando os servidores de grupos de notícias internos estão disponíveis. Isso reduz a carga de pedidos no proxy de grupos de notícias. Você pode aplicar as regras de controle de acesso ao proxy de notícias especificando o seguinte: Uma lista de grupos de notícias públicos ou privados que podem ser permitidos ou negados. Para os grupos públicos, os grupos aceitos podem ser vistos pelos newsreaders e servidores de grupos de notícias privados. Para os grupos privados, os grupos aceitos podem ser vistos somente pelos servidores de grupos de notícias públicos. Um artigo que pode ser permitido ou negado para publicação em um grupo de notícias por um usuário. O usuário pode ser especificado como QUALQUER para aplicar a regra a todos os usuários ou a uma lista de grupos de notícias. Visão geral e planejamento do recurso Serviços de Proxy 117

118 Para obter maiores informações sobre os controles de acesso, consulte o Capítulo 3, Visão geral e planejamento do controle de acesso, na página 59 Proxy RealAudio Através da utilização do RTSP (Real Time Streaming Protocol), um player RealAudio se comunica com um servidor RealAudio para reproduzir um áudio ou vídeo à medida que o respectivo download é feito (ao contrário de baixar de um programa inteiro antes de reproduzi-lo). O RealAudio elimina os atrasos que podem ocorrer durante o download, principalmente com os modems mais lentos. Ele também suporta vários níveis de qualidade e recursos que não sejam de áudio, como páginas em HTML sincronizadas por voz. O proxy RealAudio também permite que os players dentro do firewall se conectem com o proxy especificado, que, por sua vez, se conecta ao servidor RealAudio solicitado fora do firewall. O proxy oculta qualquer servidor RealAudio da intranet que não deva estar visível para a Internet. Não é feito qualquer armazenamento no cache. Você pode configurar o proxy inverso caso seja necessário que um servidor RealAudio esteja visível para a Internet. O proxy RealAudio exige o RealPlayer* 2.0 ou posterior, que pode ser configurado com o mesmo nome de host e número de porta usado pelo proxy. O player e o servidor RealAudio podem usar um dos seguintes métodos de comunicação: Apenas TCP Nesse modo, uma única conexão TCP full-duplex é usada para transmissão de dados de controle e de áudio entre o player e o servidor. A porta de conexão TCP padrão no servidor é UDP padrão Neste modo, o player configura duas conexões de rede com o servidor. É usada uma conexão TCP full-duplex para controle e negociação. caminho UDP unidirecional do servidor para o player é usado para entrega de dados de áudio. UDP robusto (opcional) Neste modo, o player configura três conexões de rede com o servidor. É usada uma conexão TCP full-duplex para controle e negociação. Um caminho UDP unidirecional do servidor para o player é usado para entrega de dados de áudio. Um segundo caminho UDP unidirecional do 118 Visão Geral e Planejamento

119 player para o servidor é usado para solicitar que o servidor envie novamente os pacotes de dados de áudio UDP que foram perdidos. Proxy DNS O DNS (Domain Name System) é um sistema de dados distribuídos que converte nomes de hosts em endereços IP e vice-versa. Ele também armazena e acessa outras informações sobre hosts. Quando habilitado, o proxy DNS funciona como um servidor DNS para clientes na intranet. Um receptor é posicionado na porta do DNS. Quando um pedido DNS é recebido de um cliente, o proxy DNS verifica seu cache DNS local e retorna uma resposta, se disponível. Se o endereço não estiver no cache, o proxy DNS reencaminhará o pedido para os servidores de nomes DNS configurados. O proxy armazena no cache somente as respostas às consultas de classe da Internet e de endereço da Internet. O endereço IP privado do proxy DNS do cliente precisa estar configurado como o endereço do respectivo servidor DNS. No servidor, você pode configurar endereços IP de servidores de nomes DNS e o nome de domínio no arquivo SYS:\ETC\RESOLV.CFG. Proxy HTTPS O proxy HTTPS oferece a capacidade de acessar sites seguros usando o SSL (Secure Sockets Layer) através de uma conexão IP persistente. O browser envia um pedido HTTPS como um pedido SSL através do proxy, que envia o pedido ao servidor Web de origem. Cliente SOCKS Esse recurso permite que um proxy se autentique através de um firewall SOCKS 5. Essa versão também suporta o reencaminhamento de tráfego HTTP somente. O SOCKS é um protocolo de gateway no nível do circuito. Com ele, os hosts por trás de um firewall podem obter acesso completo à Internet sem o suporte IP completo. Quando o suporte ao SOCKS está habilitado, todos os pedidos enviados à Internet são reencaminhados a um servidor SOCKS 5 quando o proxy é usado para armazenamento no cache somente. Visão geral e planejamento do recurso Serviços de Proxy 119

120 Quando o proxy recebe uma solicitação, ele verifica o cache. Se o objeto solicitado não estiver no cache, o proxy fará uma conexão TCP com o servidor SOCKS e redirecionará a solicitação da intranet para o servidor SOCKS, permitindo um acesso à Internet mais seguro. Em seguida, o servidor SOCKS se conectará com o servidor de origem e recuperará o objeto. O proxy simplesmente age como um cliente SOCKS do servidor SOCKS e só é utilizado para armazenamento no cache. A autenticação nula (nenhum nome de usuário ou senha) e a autenticação de nome do usuário/senha são suportadas. O Gateway IP da Novell também pode suportar o proxy como um cliente SOCKS. Essa versão precisa que o servidor proxy e o servidor SOCKS estejam na mesma intranet. Isso é necessário porque, na combinação nome do usuário/ senha, a autenticação SOCKS usa texto sem criptografia para enviar a senha. Proxy genérico O proxy genérico é um proxy de passagem no nível do circuito, usado para servir a vários protocolos quando um proxy de aplicativos não está disponível. É criado um mapeamento entre o endereço e as portas, gerando um túnel para o host de destino. Quando o servidor proxy genérico recebe um pedido de conexão da intranet, ele reencaminha o pedido para o endereço mapeado, conecta-o e transfere os dados entre as duas conexões. Para estabelecer conexões usando serviços TCP para os quais não existem proxies de aplicativos, um proxy TCP genérico precisa ser configurado no servidor proxy. Você também pode definir um proxy UDP genérico. Quando se conecta com o proxy, o usuário está conectado com o host interno. A autenticação está disponível para proxies TCP genéricos um usuário precisa ser autenticado usando as regras da lista de controle de acesso antes de se conectar a um host remoto. A autenticação não está disponível para proxies UDP genéricos. Você pode aplicar as regras de controle de acesso a proxies TCP genéricos. O acesso pode ser permitido ou negado com base nos seguintes elementos: O endereço IP ou nome do host de origem O número de porta associado ao host de origem O endereço IP do host de origem na intranet 120 Visão Geral e Planejamento

121 Proxy transparente para HTTP O proxy transparente pode ser implementado para HTTP usando um dos seguintes recursos: No servidor que usa o recurso proxy transparente HTTP No cliente que usa o recurso de proxy transparente de cliente de gateway Proxy transparente HTTP O proxy transparente HTTP permite que os usuários utilizem os browsers Web sem precisar reconfigurar especificamente cada browser para que aponte para um proxy. Esse recurso é útil se você tiver tempo limitado e não puder reconfigurar de imediato os browsers de todos os usuários. Também é útil quando você deseja reforçar a segurança na rede e garantir que todos os pedidos de clientes passarão através de um proxy. O proxy transparente HTTP intercepta o tráfego entre o cliente e o servidor Web de origem e o afunila para um servidor proxy. Os URLs relativos são convertidos em URLs absolutos. Somente para o proxy transparente HTTP, o tráfego de uma lista configurável de portas ou endereços IP é interceptado. Apenas as portas ou endereços dessa lista participam do tráfego de reencaminhamento para o proxy. Para usar o proxy transparente HTTP, todos os pedidos HTTP precisam ser enviados através do servidor proxy. Por isso, o servidor proxy precisa ser o roteador padrão ou fornecer o único acesso à Internet. Os clientes precisam usar o endereço IP privado do proxy como endereço do gateway TCP/IP. O reencaminhamento de IP precisa estar habilitado no servidor. Proxy transparente de cliente de gateway Se o cliente não estiver configurado para usar um proxy específico ou o recurso proxy transparente HTTP dos Serviços de Proxy, o cliente de Gateway IP da Novell forçará a utilização de um proxy, capturando o pedido do browser e redirecionando-o para um proxy ativo, que o cliente encontra através do NDS. Durante a inicialização, se o proxy transparente de cliente de gateway estiver habilitado, o cliente de gateway usa o NDS para encontrar os servidores proxy HTTP ativos e envia o pedido para o primeiro servidor proxy encontrado para o qual o usuário tiver permissão de acesso. Visão geral e planejamento do recurso Serviços de Proxy 121

122 Proxy transparente Telnet O proxy transparente pode ser implementado para o Telnet através do proxy transparente Telnet. O proxy transparente Telnet permite que os usuários utilizem o aplicativo Telnet sem precisar reconfigurar especificamente os aplicativos para que apontem para um proxy. Esse recurso é útil quando você deseja reforçar a segurança da rede e garantir que todos os pedidos de clientes passem por um proxy. O proxy transparente Telnet intercepta o tráfego entre o cliente e o servidor Telnet de origem e o afunila para um servidor proxy. Apenas para o proxy transparente Telnet, o tráfego proveniente de uma lista configurável de portas é interceptado. Apenas as portas dessa lista participam do tráfego de reencaminhamento para o proxy. Para usar o proxy transparente Telnet, você precisa garantir que todos os pedidos Telnet sejam enviados através do servidor proxy. Por isso, o servidor proxy precisa ser o roteador padrão, estar no caminho de roteamento ou oferecer o único acesso à Internet. Os clientes podem usar o endereço IP privado do proxy como endereço do gateway TCP/IP. O reencaminhamento de IP precisa estar habilitado no servidor. Recursos adicionais dos serviços de proxy Esta seção contém as seguintes subseções, que descrevem recursos adicionais suportados pelos Serviços de Proxy: Download em lote na página 122 Filtragem do conteúdo Java na página 123 Autenticação do proxy usando o SSL na página 123 Armazenamento hierárquico ICP no cache na página 125 Download em lote Você pode programar downloads de arquivos HTML de um site Web para o cache local. Você pode baixar um URL, de vários URLs até um número especificado de links ou de um site inteiro na Web. Você pode especificar o 122 Visão Geral e Planejamento

123 download de lote para proxies HTTP inversos e de reencaminhamento. Contudo, o proxy inverso não baixará de links externos a um site. Programe um download antes de o dia de trabalho começar para otimizar a utilização dos recursos de rede. A utilização do download em lote mantém o cache dos objetos atualizado para os usuários. Filtragem do conteúdo Java Os documentos HTML podem ter indicadores de applets Java incorporados, sem que você saiba disso. Um applet Java é um programa que pode ser incluído em uma página em HTML. Quando você usa um browser compatível com Java para ver uma página que contenha um applet Java, o código do applet é transferido para o seu sistema e executado pelo browser. Depois de o download do applet ser feito, ele pode consumir recursos do sistema em excesso, interferir em outros applets, inspecionar e mudar arquivos de clientes e estabelecer conexões de clientes não autorizados. Com o BorderManager, você pode habilitar o bloqueio Java e filtrar as páginas HTML recebidas para qualquer applet incorporado. Todos os applets são removidos do documento antes de esse documento entrar no sistema. Autenticação do proxy usando o SSL A autenticação do proxy para um servidor proxy pode ser feita de duas maneiras: Logon único para clientes Novell Client 32 TM Autenticação do proxy usando o protocolo SSL (Secure Sockets Layer) Se a autenticação reversa ou reencaminhamenot estiver habilitada e, além disso, o logon único e o SSL forem habilitados, o servidor proxy tentará primeiro autenticar o usuário através do logon único. Se essa tentativa falhar, o servidor proxy estabelecerá uma conexão SSL com o cliente e autenticará o usuário com um nome de usuário e uma senha do NDS. Visão geral e planejamento do recurso Serviços de Proxy 123

124 Autenticação com logon único Quando você usa o Novell Client 32, o logon único torna desnecessária a autenticação adicional do proxy depois de você logar no NDS. Quando o cliente gera um pedido do browser, o servidor proxy verifica se o cliente está autenticado. Se ele não estiver autenticado, o servidor proxy solicitará que o cliente inicie uma autenticação de background para esse servidor. Todas as trocas de protocolo ocorrem no background, mas o usuário não precisa digitar um nome de usuário nem uma senha adicionais. O logon único só tem êxito quando a máquina do cliente está executando o software Novell Client 32 e está logada no NDS. A máquina do cliente também precisa estar executando o DWNTRUST.EXE e o CLNTRUST.EXE. Esses arquivos estão localizados no diretório SYS:PUBLIC no servidor. O logon único ocorre na porta 3024 no servidor. Se o logon único tiver sido habilitado no mesmo servidor BorderManager para o Gateway IP da Novell e o recurso Serviços de Proxy, será necessária somente uma autenticação de background para que um usuário utilize os dois serviços. Isso ocorre devido à porta compartilhada no servidor. Para que o logon único funcione, os firewalls de filtragem de pacotes no caminho de roteamento entre um cliente de gateway ou proxy e um servidor BorderManager precisam permitir que os pacotes designados para a porta 3024 sejam transmitidos. Para obter informações sobre como utilizar o login único com o Gateway IP da Novell, consulte o Capítulo 4, Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Translation), na página 77 Autenticação do proxy usando o SSL A autenticação SSL também elimina a necessidade de uma senha de proxy adicional. Para os clientes que estão executando o Novell Client 32, a autenticação usando o SSL é usado quando o logon único falha ou não está habilitado. Para os clientes não-novell, o SSL é o principal método para que não haja a necessidade de enviar um nome de usuário e uma senha do NDS em texto sem criptografia. O SSL garante comunicações privadas e seguras entre o browser e o servidor proxy, usando um sistema de criptografia por chaves pública-privada. Quando o cliente faz um pedido do browser, o servidor proxy responde solicitando que seja feita a autenticação usando um applet Java ou um formulário em HTML. Em resposta, o browser cria uma conexão SSL e envia o nome de usuário e a 124 Visão Geral e Planejamento

125 senha do NDS, criptografados através do SSL, para o servidor proxy. Esse servidor autentica o usuário com o NDS. Para usar a autenticação SSL, gere um certificado para o servidor proxy, que é usado para configurar canais criptografados. O SSL do proxy exige o serviço SAS (Secure Authentication Service). Use o módulo snap-in Serviços PKI (Public Key Infrastructure) da Novell para o Administrador do NetWare a fim de mudar e criar certificados, objetos de material-chave e IDs-chave. Consulte a ajuda online do PKI para obter maiores informações. Para obter informações sobre como utilizar o SSL e o Gateway IP da Novell, consulte o Capítulo 4, Visão geral e planejamento do gateway IP da Novell e do NAT (Network Address Translation), na página 77 Armazenamento hierárquico ICP no cache O armazenamento hierárquico ICP no cache inclui os seguintes elementos: Hierarquias no cache Grupos multicast Tempo de ida e volta da origem Roteamento de domínios ICP Controle de acesso ICP Os servidores proxy mantêm conhecimentos uns sobre os outros através da utilização de topologias inteligentes de cache. O cache proxy hierárquico melhora a performance ao recuperar os dados do cache negativo e do primeiro acesso no servidor proxy mais próximo, sempre precisar recuperar esses dados no servidor Web de origem. Você pode configurar o roteamento hierárquico no cache para melhorar a performance das perdas do cache local. São fornecidos dois sistemas de roteamento no cache: o sistema CERN em cascata de primeira geração e o cache hierárquico ICP (Internet Cache Protocol) de segunda geração. O sistema CERN em cascata proporciona um reencaminhamento HTTP padrão através das cadeias de proxies. O sistema de cache hierárquico ICP proporciona um roteamento do cache avançado através de uma topologia de cache projetada. O protocolo ICP fornece o máximo de performance, escalabilidade Visão geral e planejamento do recurso Serviços de Proxy 125

126 e tolerância a falhas para o armazenamento no cache na Web na intranet e na Internet. As hierarquias ICP são construídas nas vizinhanças dos serviços de cache proxy. Essas vizinhanças são formadas de pais e peers. Normalmente, o serviço de cache proxy local possui cinco vizinhos. Você pode definir vários pais para melhorar a performance e a tolerância a falhas. O protocolo ICP determina de forma dinâmica o fulfillment otimizado do cache na vizinhança. Ele também detecta automaticamente os vizinhos desativados e os recupera. A diferença entre os peers e os pais consiste no fulfillment de objetos de URLs que não são armazenados no cache da vizinhança. Somente os pais podem ser solicitados para obter um URL para a vizinhança. A estratégia básica de fulfillment ICP é obter um objeto armazenado no cache da vizinhança do vizinho mais otimizado (aquele que responder primeiro com um acerto de cache) e obter objetos URL perdidos para a vizinhança e seu cache local do pai mais otimizado (aquele que responder primeiro com a rota do cache preferencial). Observe a seguir algumas diretrizes básicas para a topologia de vizinhança ICP: Limitar a cinco o número de vizinhos. Com mais de cinco vizinhos, a rede será inundada com pedidos ICP sem melhorar a qualidade do serviço. Escolher pais que estejam a caminho da intranet ou da Internet (por exemplo, um objeto Organizacional conectado ao firewall ou ao provedor Internet e assim por diante). Escolher dois ou mais pais para tolerância a falhas. Estabeleça uma preferência de roteamento com pais baseada na qualidade do serviço (largura de banda, equilíbrio de carga e assim por diante). Escolher peers que tenham relações próximas (alta largura de banda com baixa latência). Hierarquias de cache e ICP O protocolo ICP (Internet Cache Protocol) é um formato de mensagens baseado em UDP, usado para comunicações entre caches proxy. O ICP é usado em uma malha de caches para localizar objetos Web nos caches da vizinhança. Os caches trocam consultas e respostas ICP para selecionar o melhor local de 126 Visão Geral e Planejamento

127 onde um objeto será recuperado. Quando esse local é determinado, o objeto é recuperado usando o proxy HTTP. Quando uma consulta é recebida, primeiro o cache verifica o cache local, depois envia consultas ICP para seus vizinhos. Os vizinhos retornam consultas ICP indicando um acerto ou erro. Dependendo das respostas, o proxy acessa o vizinho pai para recuperar o objeto do servidor de origem. Por padrão, o BorderManager não está configurado para enviar consultas através de uma hierarquia da Web. Grupos multicast Os vizinhos podem ser configurados como grupos multicast. Um grupo multicast é uma lista de endereços em que o servidor ICP recebe consultas IP multicast. Um pedido de informações pode ser enviado para um grupo multicast. O servidor ICP está configurado com uma lista de grupos multicast ou endereços que participarão dos pedidos ICP. O cliente ICP está configurado com a lista de respondentes, uma lista de todos os vizinhos aceitáveis (uma lista unicast) que pode responder a uma consulta multicast. Isso permite que o cliente ICP verifique se as respostas são de um vizinho válido. O cliente controla os respondentes e os vizinhos multicast. A configuração de grupos multicast reduz o congestionamento de tráfego e o tempo de configuração. Com grupos multicast, você não precisa configurar cada vizinho separadamente e os vizinhos não enviam vários pacotes. Tempo de ida e volta da origem Se ocorrer um erro de cache, o proxy usará o tempo de ida e volta para determinar se o pedido precisará ser enviado para um pai ou para o servidor de origem. Para calcular o tempo de ida e volta da origem, o proxy envia uma consulta ICMP (Internet Control Message Protocol) ao servidor de origem e aos caches pais. O proxy usa a rota que retorna o menor tempo de ida e volta. Roteamento de domínios ICP O roteamento de domínios ICP é usado para regular o tráfego ICP com base nos domínios de hosts. A distribuição geográfica dos caches vizinhos poderia determinar que alguns domínios podem ser melhor servidos por um cache do que por outros. Ao configurar clientes ICP, você pode associar cada vizinho a Visão geral e planejamento do recurso Serviços de Proxy 127

128 uma lista de domínios de rotas que ele servirá. Isso aumenta o tempo de resposta, melhora a eficiência e reduz o tráfego da rede. Por exemplo, a configuração a seguir está sendo usada: Neighbor host1 parent http_port=8080 icp_port=3130.com.net.au.deneighbor host2 parent http_port=8080 icp_port=3130.edu.milneighbor host3 parent http_port=8080 icp_port=3130 Nesse exemplo, as consultas dos domínios raiz.com,.net,.au e.de são reencaminhadas para o host1 ou host3. As consultas de.edu e.mil são reencaminhadas para o host2 ou host3. As consultas de todos os outros domínios são reencaminhadas para o host3. As consultas ICP não serão enviadas para um vizinho se ele não servir ao domínio de host URL solicitado. A configuração padrão é nula, ou seja, todos os vizinhos recebem todas as consultas. Você pode configurar os vizinhos para processarem consultas para um ou mais domínios na lista de domínios. Controle de acesso ICP O controle de acesso ICP é configurado no servidor ICP e é usado para verificar se os proxies estão autorizados a enviar um pedido. Você pode configurar uma lista de clientes permitidos (ou clientes que podem enviar o pedido ICP). O controle de acesso ICP é separado do controle de acesso do BorderManager. Projetar e planejar o recurso Serviços de Proxy Esta seção contém exemplos de como você pode projetar vários aplicativos de Serviços de Proxy do BorderManager. Esta seção contém as seguintes subseções: Aceleração do cliente Web, do servidor Web e da rede na página 128 Exemplos de aplicativos de proxy na página 141 Aceleração do cliente Web, do servidor Web e da rede Esta seção descreve as três maneiras principais de usar o cache proxy: Aceleração do cliente Web (cache proxy padrão) 128 Visão Geral e Planejamento

129 Aceleração do servidor Web (aceleração do cache proxy inverso ou aceleração HTTP) Aceleração da rede (armazenamento hierárquico no ICP) Esta seção também apresenta vários exemplos de como você pode usar o armazenamento no cache. Nesses exemplos, a Empresa Acme está implementando várias soluções de cache proxy para aprimorar sua rede corporativa: aceleração do cliente, aceleração do servidor e aceleração da rede. Para cada tipo de armazenamento no cache, são fornecidos exemplos para a utilização na intranet e na Internet. Aceleração do cliente Web (cache proxy padrão) Figura 5-1 Configuração do acelerador do cliente Na aceleração do cliente Web, o servidor proxy fica localizado entre os clientes e a Internet, como mostra a Figura 5-1 na página 129. Esse servidor proxy intercepta pedidos de páginas Web feitos por clientes e fornece as páginas solicitadas, se armazenadas no cache, para o cliente com a velocidade da LAN. Isso elimina o atraso que ocorre quando o site Web de origem é acessado e minimiza o tráfego entre a rede corporativa e a Internet. O servidor proxy faz pedidos aos servidores Web para os clientes da intranet, usando protocolos apropriados, como HTTP, FTP e Gopher. O servidor proxy armazena no cache URLs, páginas em HTML e arquivos FTP para acelerar pedidos subseqüentes feitos aos mesmos objetos. Internet Servidor Proxy e Firewall Cliente 1 Cliente 2 Cliente 3 Identificar os sites no cache Ao planejar a implementação de servidores proxy e armazenamento no cache de memória em sua rede, você precisa identificar os sites que se beneficiariam Visão geral e planejamento do recurso Serviços de Proxy 129

130 com o armazenamento no cache de memória. Ao identificar sites de aceleração do cliente, procure o seguinte: Sites com vários clientes Na maioria dos casos, operar esses clientes através de um servidor proxy melhora sensivelmente a performance. Isso acontece principalmente se grupos de funcionários estiverem acessando os mesmos sites Web da Internet ou da intranet, aumentando, assim, a probabilidade de acertos de cache. O armazenamento no cache também usa os recursos de forma mais eficiente, inclusive servidores Web da intranet. Consulte Exemplo de aceleração do cliente na Internet na página 130 e Exemplo de aceleração do cliente na Intranet na página 131) Sites que exigem um controle sobre o acesso de clientes à Internet Você pode controlar o acesso à Internet estabelecendo regras de controle de acesso de fácil compreensão. Consulte Exemplo de aceleração do cliente na Internet na página 130) Exemplo de aceleração do cliente na Internet Neste exemplo, a Empresa Acme deseja conceder aos funcionários o acesso à variedade de informações disponíveis na Internet. No entanto, a empresa também deseja restringir o acesso somente aos sites Web da Internet que contribuem para o local de trabalho. Isso resulta em dois requisitos: Acesso restrito à Internet A empresa precisa aplicar uma diretiva de acesso à Internet consistente e viável a todos os funcionários, por exemplo, para negar acesso a determinados sites Web. Como muitos funcionários navegam bastante, o controle de acesso precisa ser implementado de modo global, independentemente da localização do funcionário. Acelerar o acesso à Web A empresa precisa reduzir o tempo que os empregados levam esperando que as páginas Web sejam carregadas e, ao mesmo tempo, fornecer a eles acesso completo às informações de que necessitam. Para atender a esses requisitos, a Empresa Acme implementou servidores proxy como aceleradores de cliente em todos os seus recursos, usando regras de listas de controle de acesso definidas no NDS pelo administrador da rede. Os browsers Web de todos os funcionários estão configurados para operar 130 Visão Geral e Planejamento

131 Figura 5-2 Exemplo de configuração da aceleração do cliente na Internet através de servidores proxy. Os servidores do cache do proxy aceleram consideravelmente o carregamento de páginas Web e permitem controlar o acesso à Internet. Essa configuração é mostrada na Figura 5-2. Interne Servidor Cache Proxy Cliente Cliente Cliente Exemplo de aceleração do cliente na Intranet Vários grupos da Empresa Acme publicaram diversas informações em sites Web internos. Algumas das informações publicadas são públicas na empresa, ou seja, podem ser acessadas por todos os funcionários. Outras informações são confidenciais, ou seja, podem ser acessadas somente por funcionários que precisem delas. Por exemplo, algumas informações avançadas de desenvolvimento estão disponíveis somente para determinados grupos de engenharia ou gerenciamento. As informações publicadas estão espalhadas por diversos sites internos na Web. A Empresa Acme possui dois requisitos para o acesso de funcionários a sites Web da intranet: Restringir o acesso a informações confidenciais Precisa ser implementado um conjunto de regras que especifiquem informações da Web na intranet que possam ser acessadas. Como muitos funcionários navegam bastante, o controle de acesso precisa ser implementado de modo global, independentemente da localização do funcionário. Do contrário, o gerenciamento de acesso se torna complexo. Reduzir a carga da rede Visão geral e planejamento do recurso Serviços de Proxy 131

132 A intranet da Empresa Acme é formada por sites interconectados por links WAN. Devido aos altos requisitos de largura de banda do acesso à Web, principalmente nos sites com muitos gráficos, a transferência de páginas Web através de links WAN precisa ser minimizada. Em virtude da flexibilidade do recurso Serviços de Proxy, os mesmos servidores proxy usados para restringir o acesso à Web na Internet no primeiro exemplo Aceleração do cliente Web (cache proxy padrão) na página 129 também podem ser usados para restringir o acesso a sites Web na intranet. (Ver Figura 5-2 na página 131.) Além de armazenar restrições de acesso à Internet no NDS, o administrador armazena regras de acesso da Web à intranet. Esse método fornece ao administrador um controle centralizado e global do acesso à Internet e à intranet de um único ponto, simplificando bastante o gerenciamento do acesso. Aceleração do servidor Web (aceleração HTTP) Com a aceleração HTTP ou do servidor Web, o servidor proxy funciona como um front-end para um ou mais servidores Web e armazena no cache todas as informações que pertencem ao servidor Web, como mostra a Figura 5-3 na página 133. Quando um cliente solicita informações de um servidor Web, o pedido é desviado para o servidor proxy. Esse servidor fornece rapidamente ao cliente as páginas armazenadas no cache. Esse método acelera o acesso e afasta a carga de pedidos dos servidores Web de publicação, permitindo-lhes tratar da publicação e do conteúdo dinâmico de modo mais eficiente. O recurso Serviços de Proxy pode fornecer aceleração a todos os servidores Web conhecidos em qualquer combinação. 132 Visão Geral e Planejamento

133 Figura 5-3 Configuração do acelerador do servidor Web Cliente Servidor Web 1 Internet Servidor Web 2 Servidor de Acelera ªo HTTP Servidor de Firewall (Opcional) Cliente Cliente Servidor Web 3 Identificar os sites no cache Ao planejar a implementação de servidores proxy e armazenamento no cache de memória em sua rede, você precisa identificar os sites que se beneficiariam com o armazenamento no cache de memória. Ao identificar sites de aceleração do servidor, procure o seguinte: Servidores Web da Internet ou da intranet com um alto nível de utilização Você pode melhorar significativamente a performance e a capacidade utilizando servidores proxy. Consulte Exemplo de aceleração do servidor na Internet na página 134). Servidores Web na intranet que contenham informações públicas e informações confidenciais da empresa A representação desses servidores Web na rede com um servidor proxy simplifica o gerenciamento de acesso, reforça a segurança e aumenta o desempenho. Consulte Exemplo de aceleração do servidor na Intranet na página 135) Sites com várias plataformas de servidor Web da Internet ou da intranet A representação desses servidores Web na rede com um servidor proxy consolida e centraliza o gerenciamento de acesso, reforça a segurança e aumenta a performance. Consulte Exemplo de aceleração do servidor na Intranet na página 135) Visão geral e planejamento do recurso Serviços de Proxy 133

134 Exemplo de aceleração do servidor na Internet O site público da Empresa Acme na Web, recebe milhões de acessos diariamente de um público mundial. Esse site era atendido por vários servidores Web. Recentemente, a empresa configurou vários servidores proxy para funcionar como front-ends para os servidores Web, como mostra a Figura 5-4 na página 135. Esse método oferece três vantagens importantes: Maior capacidade A Empresa Acme pode expandir o conteúdo do seu site Web e acomodar mais visitantes do site sem precisar fazer upgrade de hardware. Na verdade, cada servidor proxy uma máquina econômica Pentium* Pro de 200 MHz com 128 MB de RAM e um disco de 16 GB pode tratar de cerca de 250 milhões de acessos a cada 24 horas. Com uma estimativa moderada de que somente 50% de todos os acessos sejam armazenados no cache, cada servidor proxy pode receber 125 milhões de acessos a cada 24 horas. Isso reduz tremendamente a carga nos servidores Web e pode reduzir também o número de servidores Web necessários. Nesse exemplo, um servidor proxy é suficiente para tratar da carga futura prevista. No entanto, a Empresa Acme instalou vários servidores proxy para uma solução com tolerância a falhas. Maior performance Devido ao aumento significativo de performance proporcionado pelo armazenamento no cache, os visitantes de sites Web baixarem das páginas mais rapidamente, tornando suas experiências mais satisfatórias. Segurança aprimorada Os servidores proxy isolam da Internet os servidores Web da Acme, protegendo-os contra acesso não autorizado. 134 Visão Geral e Planejamento

135 Figura 5-4 Exemplo de Configuração do acelerador do servidor na Internet Interne Servidores Cache Proxy Servidores Web Exemplo de aceleração do servidor na Intranet Vários grupos da Acme publicam informações em servidores Web internos da intranet da empresa. Esses servidores estão espalhados pelo mundo inteiro e são acessados por funcionários que também estão localizados em todas as partes do mundo. Ao contrário das informações disponíveis no site Web público da Acme na Internet, grande parte das informações publicadas internamente são confidenciais e o acesso a elas precisa ser restrito. Para complicar essa situação, as informações estão em diversas plataformas de servidor Web, inclusive NetWare, UNIX Apache*, Netscape e NCSA*, tornando o gerenciamento de acesso complexo e difícil. A Empresa Acme resolveu o problema criando front-ends a seus servidores Web na intranet com servidores proxy em cada site. Por exemplo, na sede, a empresa instalou dez servidores proxy como front-ends para os cinqüenta servidores Web da intranet nesse site, como mostra a Figura 5-5 na página 136. O controle de acesso foi transferido dos servidores Web para os servidores proxy. Esse método proporciona as seguintes vantagens: Maior segurança efetiva e consistente Os servidores proxy isolam os servidores Web da rede, aumentando sua resistência ao acesso não autorizado. Ao mudar a segurança para os servidores proxy, a Empresa Acme pode fornecer a mesma segurança reforçada em todos os servidores Web, independentemente da plataforma Visão geral e planejamento do recurso Serviços de Proxy 135

136 do servidor Web. Isso torna a diretiva de segurança fácil de ser implementada. Controle de acesso centralizado e simplificado O controle de acesso é implementado através de regras de controle de acesso armazenadas no NDS. Como resultado, um administrador pode gerenciar a segurança de todos os servidores de um único ponto, independentemente da plataforma do servidor. Isso torna o gerenciamento de acesso bem mais simples. Além disso, por ser implementado através do NDS, o controle de acesso independe da localização dos funcionários e as mesmas regras de controle de acesso são aplicadas, seja qual for o local em que um usuário logue. A lista de controle de acesso utilizada para o controle de acesso ao servidor neste exemplo está sincronizada com a lista usada para o controle de acesso ao cliente em Aceleração do servidor Web (aceleração HTTP) na página 132 garantindo o controle de acesso uniforme na aceleração do cliente e do servidor na intranet. Maior performance Figura 5-5 Exemplo de configuração do acelerador do servidor na Intranet Os servidores proxy aumentam a velocidade de acesso das páginas Web. Os funcionários recebem as informações de que necessitam mais rapidamente, tornando-se mais produtivos. Interne 10 Servidores Cache Proxy 50 Servidores Web Internos Servidor Servidor Web Apacher Web NCSA Servidor Web NetWare 136 Visão Geral e Planejamento

137 Aceleração da rede (armazenamento hierárquico ICP no cache) Com a aceleração da rede, ou do cache ICP hierárquico, vários servidores proxy são configurados em uma topologia hierárquica, ou de malha, como mostra a Figura 5-6 na página 138. Os servidores proxy estão conectados em uma relação pai, filho ou peer. Quando ocorre um erro, o proxy entra em contato com os outros servidores na rede em malha para encontrar as informações solicitadas que estão armazenadas no cache. O cache mais próximo que tiver as informações solicitadas irá reencaminhá-las para o servidor proxy solicitante, o qual, por sua vez, irá reencaminhá-las ao cliente solicitante. O armazenamento hierárquico ICP no cache reduz a carga de tráfego da WAN e aumenta consideravelmente a largura de banda. Além disso, como as informações solicitadas são enviadas do servidor proxy mais próximo, os atrasos da rede são minimizados. Isso reduz o tempo de espera e aumenta a produtividade dos usuários. Visão geral e planejamento do recurso Serviços de Proxy 137

138 Figura 5-6 Configuração do acelerador da rede Internet Intranet T1 T3 T3 T1 Servidores Cache Proxy San Jose Londres T quio T1 Cache Peer 56K 56K T3 Cache Pai Cache Pai Cache Peer T1 56K 256K 64K Cache Pai Cache Peer Cache Peer Cache Peer Los Angeles Seattle Paris Moscou Bangalore Singapura Identificar os sites no cache Ao planejar a implementação de servidores proxy e armazenamento no cache de memória em sua rede, você precisa identificar os sites que se beneficiariam com o armazenamento no cache de memória. Ao identificar os sites de aceleração da rede, procure o seguinte: Sites com links lentos à Internet Use o armazenamento hierárquico no cache para entregar informações a clientes usando as velocidades das LANs ou através de links WAN de alta velocidade na intranet. Consulte Exemplo de aceleração da rede na Intranet na página 139) Sites com várias LANs 138 Visão Geral e Planejamento

139 Use diversos servidores proxy como parte do tráfego das LANs. Por exemplo, você pode instalar um servidor proxy em cada prédio. Esse método reduz o tráfego de backbone, ou seja, o tráfego entre as LANs. Ele também usa seus recursos de forma mais eficiente, acomoda mais utilizações no mesmo backbone e acelera os backbones que se tornaram lentos devido ao aumento de tráfego. Consulte Exemplo de aceleração da rede na Intranet na página 139) Problemas de congestionamento e atraso nos pontos das LANs dentro das WANs Uma rede em malha hierárquica de servidores proxy pode aumentar a largura de banda disponível da sua WAN através da redução do tráfego da WAN. Por exemplo, uma empresa possui três sites: um escritório de vendas de campo, um escritório regional e sedes corporativas. Se um cliente no escritório de vendas de campo precisasse de uma página Web das sedes corporativas, o cliente acessaria a página diretamente do servidor Web e evitaria que outros clientes usassem dois links WAN. No entanto, se a página estivesse armazenada no cache no escritório regional, o cliente usaria somente um link WAN, reduzindo assim o tráfego no outro link. Consulte Exemplo de aceleração da rede na Intranet na página 139) Exemplo de aceleração da rede na Intranet A Empresa Acme é uma grande organização com instalações no mundo inteiro. Como resultado, os funcionários e servidores Web estão bastante espalhados. Os funcionários precisam ter acesso fácil e rápido às informações internas da Web, independentemente da sua localização ou da localização do servidor Web de destino. Além disso, devido ao alto custo do equipamento da rede e do custo ainda maior envolvido em seu gerenciamento, a empresa precisa obter a maior utilização possível dos seus recursos. A Empresa Acme implementou uma malha hierárquica de servidores proxy, como mostra a Figura 5-7 na página 140. O cache hierárquico reduz a carga em servidores Web e diminui o tráfego da WAN ao permitir que os clientes acessem informações da Web da intranet armazenadas no cache no servidor proxy mais próximo. Por exemplo, um funcionário que trabalhe em Los Angeles pode estar em Paris e precisar acessar informações de um site Web em Los Angeles. Embora ninguém no escritório de Paris tenha acessado recentemente essas informações, um funcionário no escritório de Londres as acessou e elas estão armazenadas no cache no servidor proxy em Londres. Em vez de rotear o pedido do cliente Visão geral e planejamento do recurso Serviços de Proxy 139

140 Figura 5-7 Exemplo de Configuração do acelerador da rede na Intranet até Los Angeles, o servidor proxy em Paris pode acessar as informações do servidor proxy em Londres. Isso reduz o atraso na rede e elimina o tráfego transatlântico (mais lento e mais caro) na rede. Internet Intranet T1 T3 T3 T1 Servidores Cache Proxy San Jose Londres T quio T1 Cache Peer 56K 56K T3 Cache Pai Cache Pai Cache Peer T1 56K 256K 64K Cache Pai Cache Peer Cache Peer Cache Peer Los Angeles Seattle Paris Moscou Bangalore Singapura Aceleração da rede na Internet Uma malha hierárquica de servidores proxy pode ser usada não apenas para melhorar a performance da intranet, mas também em uma escala maior para melhorar a performance da Internet. O NLANR (National Laboratory for Applied Network Research) está trabalhando nesse sentido. De acordo com um recente relatório do NLANR, o crescimento explosivo ininterrupto da Internet precisa de uma solução planejada para o problema da disseminação de informações em larga escala. Embora as crescentes larguras 140 Visão Geral e Planejamento

141 de banda de rede ajudem, o rápido crescimento no número de usuários continuará superando a capacidade da rede e dos servidores, porque eles tentam acessar pools de dados bastante populares em toda a rede. A necessidade de uma utilização mais eficiente das larguras de bandas e dos servidores transcende qualquer protocolo como FTP, HTTP ou qualquer outro que venha a se tornar popular. O modelo básico cliente-servidor da Internet (em que os clientes se conectam diretamente com os servidores) é um desperdício de recursos, principalmente para informações extremamente populares. Um estudo, feito em 1993, do tráfego FTP no backbone do NSFNET concluiu que diversos caches bem posicionados poderiam reduzir esse tráfego em 44%. Existe um número infinito de exemplos em que os sistemas de servidores não conseguiram lidar com a demanda de informações populares exercida sobre eles. Exemplos de aplicativos de proxy Figura 5-8 Aceleração FTP Esta seção contém exemplos de aplicativos de proxy FTP, proxy inverso FTP, proxy de correio (SMTP), proxy de grupos de notícias (NNTP), DNS, SOCKS e genérico. Figura 5-8 na página 141 mostra um exemplo de aceleração FTP que utiliza um servidor proxy do BorderManager no firewall. O cliente do browser pode acessar o servidor FTP através do servidor proxy. Cliente do Browser ou LWP Interne Servidor do BorderManager Servidor FTP Figura 5-9 na página 142 mostra um exemplo de aceleração FTP reversa. Nesse exemplo, o cliente acessa os dois servidores FTP na intranet através do servidor proxy BorderManager no firewall. Visão geral e planejamento do recurso Serviços de Proxy 141

142 Figura 5-9 Aceleração inversa FTP Servidor FTP 1 Cliente Servidor do BorderManager Cliente Internet Servidor FTP 2 Cliente Figura 5-10 Proxy de grupos de notícias sem um servidor de grupos de notícias interno Figura 5-10 na página 142 e Figura 5-11 na página 143 mostra dois exemplos de como usar o proxy de notícias do BorderManager para se conectar a um servidor de notícias externo. Figura 5-10 mostra um exemplo de uma pequena empresa sem servidores de notícias privados. O servidor proxy BorderManager funciona como um servidor de notícias, tratando de todos os pedidos de browser da intranet e das respostas correspondentes dos servidores de grupos de notícias públicos na Internet. A Figura 5-11 mostra uma empresa maior com seu próprio servidor de notícias interno. Este usa o servidor proxy BorderManager para trocar artigos com servidores de grupos de notícias externos ou públicos. Cliente de Not cias Interne Servidor do BorderManager Provedor Internet do Servidor de Not cias 142 Visão Geral e Planejamento

143 Figura 5-11 Proxy de grupos de notícias com um servidor de grupos de notícias interno Servidor de Not cias Interno Corporativo Interne Servidor do BorderManager Provedor Internet do Servidor de Not cias Cliente de Not cias Figura 5-12 Proxy de correio sem um servidor de correio interno Figura 5-12 na página 143 e Figura 5-13 na página 144 mostram dois exemplos de como usar o proxy de correio do BorderManager para se conectar a um servidor de correio externo. Figura 5-12 mostra um exemplo de uma pequena empresa sem um servidor de correio interno. O servidor proxy BorderManager funciona como um servidor de correio, tratando de todos os pedidos SMTP e POP3 da intranet e das mensagens correspondentes do servidor de correio externo na Internet. A Figura 5-13 mostra uma empresa maior com seu próprio servidor de correio interno. Este usa o servidor proxy BorderManager para trocar correspondência com servidores de correio externos ou públicos. Clientes SMTP e POP3 Internet Servidor do BorderManager Provedor Internet do Servidor de Correio Visão geral e planejamento do recurso Serviços de Proxy 143

144 Figura 5-13 Proxy de correio com um servidor de correio interno Servidor de Correio Interno Corporativo Internet Servidor do BorderManager Provedor Internet do Servidor de Correio Figura 5-14 Proxy DNS Cliente SMTP e POP3 Figura 5-14 na página 144 mostra um exemplo de utilização do proxy DNS. O servidor proxy BorderManager configurado para proxy DNS trata do tráfego entre o servidor de nomes do DNS interno e o servidor de nomes DNS na Internet. Servidor DNS Interno Internet Servidor do BorderManager Servidor DNS Externo Cliente Figura 5-15 na página 145 mostra um exemplo de como usar um servidor BorderManager atrás de um firewall SOCKS existente. 144 Visão Geral e Planejamento

145 Figura 5-15 Servidor BorderManager atrás de um firewall SOCKS Cliente Internet Servidor do Firewall BorderManagerdo SOCKS Visão geral e planejamento do recurso Serviços de Proxy 145

146 146 Visão Geral e Planejamento

147 capítulo 6 Visão geral e planejamento da VPN (Virtual Private Network) O componente VPN (Virtual Private Network) do software Novell BorderManager TM é usado para transferir de modo seguro informações confidenciais da empresa através de uma rede pouco confiável, como a Internet, encapsulando e criptografando os dados. Esse capítulo contém informações gerais e de planejamento do software da VPN do Novell BorderManager. Ele descreve os conceitos básicos da operação da VPN e as opções disponíveis para configurações da VPN. Também inclui informações de configuração de exemplo que ajudam você a planejar sua configuração. Esse capítulo contém as seguintes seções: Visão geral das VPNs na página 147 Projetar e planejar uma VPN na página 152 Visão geral das VPNs Esta seção explica os conceitos que você precisa compreender para configurar uma VPN. Ela contém as seguintes subseções: Configurações da VPN na página 148 Rotear com uma VPN na página 148 Terminologia das VPNs na página 149 Criptografia e gerenciamento de chaves na página 150 Sincronização e controle dos servidores na página 150 Filtros de uma VPN na página 151 Visão geral e planejamento da VPN (Virtual Private Network) 147

148 Configurações da VPN Uma VPN é usada para transferir de modo seguro informações confidenciais da empresa através de uma rede pouco confiável, como a Internet, encapsulando e criptografando os dados. O Novell BorderManager suporta VPNs de cliente para site e VPNs site a site. As VPNs de cliente para site podem usar dois tipos de conexões: Conexões por discagem direta Conexões com provedores Internet através da Internet As VPNs site a site podem usar os seguintes tipos de conexões seguras: Entre dois departamentos dentro da mesma empresa usando a rede privada da empresa, ou seja, a intranet Entre dois ou mais sites dentro da mesma empresa usando a Internet Entre duas ou mais empresas diferentes usando a Internet As VPNs site a site da intranet e da Internet podem ser implantadas de uma destas duas maneiras: Com o membro VPN em uma fronteira entre sua rede privada e a rede pública Com o membro VPN atrás de um roteador ou firewall de ponta que esteja na fronteira entre sua rede privada e a rede pública Rotear com uma VPN Por padrão, o BorderManager está com o roteamento dinâmico habilitado para o roteamento de pacotes IP. Com o roteamento dinâmico, as redes privadas locais dos membros VPN são reconhecidas automaticamente por outros membros VPN através de um túnel criptografado. Uma alternativa para o uso do roteamento dinâmico é configurar uma lista de redes que sejam protegidas pela VPN. A configuração dessa lista de redes protegidas é equivalente à configuração de rotas estáticas. A configuração de uma lista de redes protegidas libera a VPN do tráfego extra que é gerado pelo protocolo de roteamento dinâmico enquanto ela aprende as rotas para suas 148 Visão Geral e Planejamento

149 redes privadas. Você pode especificar um ou mais endereços de redes IP locais ou endereços de host na lista de redes protegidas. A lista é usada pelo servidor VPN para determinar quais redes podem enviar dados criptografados através do túnel da VPN. Esse método reduz o tráfego da rede eliminando os pacotes RIP (Routing Information Protocol) na rede. Use rotas estáticas quando não quiser que os servidores VPN troquem informações de roteamento. Use também rotas estáticas quando estiver utilizando conexões VPN site a site e de site para a Internet; isso evita que informações não criptografadas cheguem à Internet por terem sido roteadas incorretamente. Terminologia das VPNs Esta seção analisa a terminologia básica das VPNs que você precisa compreender para projetar e planejar uma VPN. Ela explica os seguintes conceitos das VPNs: Servidor master Servidor slave Túnel Cliente Servidor master O servidor master VPN é o servidor no qual todos os outros servidores VPN são adicionados à rede. Ele mantém a lista dos servidores slave que fazem parte da VPN. Também fornece as informações de criptografia que são usadas pelos servidores slave para gerar suas chaves criptográficas. Uma VPN só pode ter um servidor master. Em geral, o servidor master é colocado em um site central onde a maioria dos administradores de sistemas principais estão localizados ou onde a organização do IS (Information Systems) corporativo se baseia. Servidor slave Ao contrário do servidor master, todos os servidores em uma VPN são servidores slave. Os servidores slave geram suas chaves criptográficas a partir Visão geral e planejamento da VPN (Virtual Private Network) 149

150 das informações de criptografia fornecidas pelo servidor master. Um servidor VPN só pode ser membro de uma VPN por vez. Túnel Túnel refere-se ao encapsulamento de pacotes de dados dentro de outros pacotes de dados. Os servidores VPN podem encapsular pacotes IP ou IPX criptografados dentro dos pacotes IP que são usados para trocar informações através da Internet ou da intranet local. A conexão que é usada para trocar esses pacotes IP é denominada túnel da VPN ou túnel criptografado. Cliente Um cliente VPN é um cliente de discagem que usa o protocolo PPP (Point-to- Point Protocol) para se conectar com um servidor master VPN ou slave. Após a conexão de discagem ser estabelecida, o cliente possui acesso a redes protegidas por qualquer membro da VPN. O cliente pode discar para um servidor diretamente ou usar uma conexão com o provedor Internet através da Internet. Criptografia e gerenciamento de chaves O software da VPN do BorderManager usa uma criptografia de 128 bits ou de 40 bits para manter dados ocultos e seguros. A criptografia de 40 bits é usada em países onde a Novell não pode vender criptografia de 128 bits. O BorderManager usa o padrão IPSEC na autenticação e criptografia da camada Rede e o padrão SKIP para o gerenciamento de chaves. O padrão SKIP permite especificar, na configuração da VPN, quantos pacotes podem passar por um túnel criptografado antes de a chave de autenticação e criptografia ser mudada automaticamente. Sincronização e controle dos servidores Você pode definir parâmetros de controle para sua VPN. Pode especificar se o IP, o IPX ou os dois são criptografados. Você também pode especificar a topologia de rede da VPN e se uma conexão entre dois servidores pode ser iniciada por somente um servidor ou pelos dois. Quando você sincroniza uma VPN, o servidor master atualiza todos os servidores slave com as informações de chaves de topologia e criptografia mais recentes. Você pode especificar o intervalo entre as atualizações para garantir que qualquer alteração se propague o mais rápido possível. 150 Visão Geral e Planejamento

151 Filtros de uma VPN Quando você configura servidores VPN, o utilitário NIASCFG configura automaticamente os filtros de pacotes (RIP) para evitar a propagação de endereços de servidores VPN. Os filtros a seguir são configurados automaticamente para a VPN: Filtro RIP que sai que nega o endereço IP da VPN destinado a todas as interfaces Como o endereço IP da VPN provavelmente não está registrado, ele não precisa ser propagado na Internet. Além disso, o endereço IP da VPN não precisa ser propagado na Internet mesmo que esteja registrado. Somente os membros VPN precisam conhecer esse endereço IP, não toda a comunidade Internet. Se você usar um endereço IP de sub-rede para o endereço do túnel da VPN, serão definidos dois filtros automaticamente: um para a máscara natural do endereço IP especificado e um para a máscara de sub-rede especificada. Filtro RIP que sai que nega o endereço IP público destinado a interfaces de túneis da VPN Este filtro impede que os endereços IP públicos sejam propagados através da interface de túneis da VPN. Sem esse filtro, poderia ocorrer um loop de roteamento e o sistema apresentaria problemas de conectividade. Se você usar um endereço IP público de sub-rede, serão definidos automaticamente dois filtros: um para a máscara natural do endereço IP especificado e um para a máscara de sub-rede especificada. Filtro RIP que sai que nega a rota padrão destinada a interfaces de túneis da VPN Este filtro impede que o tráfego destinado à Internet seja roteado de novo através do túnel desnecessariamente. Os filtros de pacotes VPN são configurados automaticamente quando você digita o endereço IP público e o endereço do túnel da VPN. Se você apagar esses filtros do FILTCFG, poderá recriá-los automaticamente usando a opção Atualizar Filtro VPN do NIASCFG. Visão geral e planejamento da VPN (Virtual Private Network) 151

152 Projetar e planejar uma VPN Esta seção descreve as várias decisões de configuração que você precisa tomar antes de configurar uma VPN e explica as opções disponíveis para cada decisão. Em alguns casos, são fornecidos exemplos para explicar as opções. Esta seção descreve os seguintes tipos de opções: Opções de configuração site a site na página 152 Opções para determinar quais redes privadas estão protegidas pela VPN na página 158 Opções de troca de chaves e algoritmo criptográficos na página 159 Opções de topologia na página 162 Opções de início de conexão na página 164 Opções de tempo de espera na página 164 Opções de configuração de discagem de cliente para site na página 165 Opções de configuração site a site Esta seção fornece exemplos das seguintes opções de configuração site a site: Usar um servidor VPN como servidor de fronteira Usar um servidor VPN por trás de um firewall Usar uma VPN dentro de uma rede privada Usar um servidor VPN como servidor de fronteira Neste exemplo, a empresa tem escritórios em dois sites remotos: San José e Atenas, como mostrado na Figura 6-1 na página 154. Os escritórios Financeiro e corporativo encontram-se em San José e o escritório de Contabilidade encontra-se em Atenas. Os dois escritórios precisam compartilhar dados sem permitir que outros usuários acessem esses dados de dentro da empresa ou através da Internet. Nos dois sites, o servidor VPN está conectado diretamente com a Internet e está sendo utilizado como o servidor de fronteira. 152 Visão Geral e Planejamento

153 Se comparada com as outras duas opções de configuração site a site, essa opção possui a vantagem de precisar de apenas uma máquina por site para fornecer a conectividade de uma VPN e a proteção de um firewall. Além disso, quando o firewall e a VPN estão na mesma máquina, é mais fácil administrá-los. Quando o firewall e a VPN estão em máquinas e sistemas operacionais diferentes, talvez seja necessário mais de um administrador para gerenciar essas duas máquinas. A desvantagem dessa configuração, no entanto, é que ela possui um único ponto de falha. Essa configuração também afeta a performance dos usuários que desejam enviar dados não criptografados para outras redes sem usarem a VPN. Para essa configuração, você precisa implementar a filtragem básica usando filtros RIP TCP/IP e filtros de reencaminhamento de pacotes TCP/IP. A filtragem básica será configurada automaticamente durante a instalação se você selecionar a opção Configurar o BorderManager para Obter Acesso Seguro à Interface Pública durante a instalação. Para configurar os filtros manualmente, consulte Configuração e gerenciamento do filtro de pacotes Visão geral e planejamento da VPN (Virtual Private Network) 153

154 Figura 6-1 Sites remotos vinculados por servidores VPN conectados diretamente com a Internet Servidor Financeiro Cliente Servidor de Contabiliza ªo Cliente San Jose Atenas MÆscara=FF.FF.FC MÆscara=FF.FF.FC.0 Internet Servidor Master VPN IP Pœblico: IP de Tœnel VPN: Servidor Slave VPN IP Pœblico: IP de Tœnel VPN: Tœnel Criptografado Conexªo da Internet Pacotes Criptografados Usar um servidor VPN por trás de um firewall Neste exemplo, o servidor master VPN para o escritório Financeiro em San José está atrás de um servidor firewall conectado com a Internet, como 154 Visão Geral e Planejamento

155 mostrado na Figura 6-2 na página 156. Os dois escritórios compartilham dados que precisam ser criptografados e enviados através de um túnel da VPN. O endereço IP público e a máscara de sub-rede para o servidor VPN são parte de uma rede local. O firewall possui o endereço IP para a conexão com a Internet. O servidor master VPN possui o endereço IP público A rede local está utilizando a máscara de sub-rede FF.FF.FF.C0. O servidor slave em Atenas está conectado através de um provedor Internet. O endereço IP público e a máscara de sub-rede são e FF.FF.FC.0, respectivamente. Se comparada com as outras duas opções de configuração site a site, essa opção apresenta a vantagem de o nó da VPN estar melhor protegido contra ataques externos. Você também pode escolher qual máquina deseja usar como firewall, proporcionando a melhor proteção e o melhor controle dos recursos da rede. A instalação da VPN em uma máquina de alta velocidade separada do firewall também aprimora a performance das atividades de firewall e a criptografia e a descriptografia do fluxo de tráfego. A desvantagem dessa configuração é que torna-se necessário usar duas máquinas, o que é mais difícil de administrar. Com o firewall e a VPN em máquinas e sistemas operacionais diferentes, talvez seja necessário mais de um administrador para gerenciar as duas máquinas. Visão geral e planejamento da VPN (Virtual Private Network) 155

156 Figura 6-2 Sites remotos conectados por servidores VPN atrás de um firewall Servidor Financeiro Cliente Servidor Contabiliza ªo Cliente San Jose Atenas MÆscara=FF.FF.FF.C0 Internet MÆscara=FF.FF.FC.0 Servidor Master VPN Servidor Slave VPN IP Pœblico: IP de Tœnel VPN: Tœnel Criptografado IP Pœblico: IP de Tœnel VPN: MÆquina do Firewall Conexªo da Internet Pacotes Criptografados Usar uma VPN dentro de uma rede privada Neste exemplo, os servidores Financeiro e de Contabilidade em San José estão na intranet corporativa ou na rede privada, como mostrado na Figura 6-3 na 156 Visão Geral e Planejamento

157 página 158. Os dois departamentos compartilham os dados que precisam ser criptografados e enviados por um túnel da VPN. Neste cenário, o acesso à Internet e ao provedor Internet não é necessário, apenas a conectividade IP entre os servidores master e slave. O servidor master tem o endereço IP público e a rede local está utilizando a máscara de sub-rede FF.FF.FC.0. Neste exemplo, os servidores master e slave precisam usar endereços de sub-rede diferentes porque estão em segmentos de LAN diferentes. O servidor slave tem o endereço IP e a máscara de sub-rede FF.FF.FC.0. Embora não seja mostrado neste exemplo, os nós da VPN também poderiam ser unidos usando uma conexão ponto-a-ponto e teriam o mesmo endereço de rede. Se comparada com as outras duas opções de configuração site a site, essa opção possui a vantagem de permitir que os grupos de trabalho protejam a privacidade de seus dados de outros usuários dentro de uma intranet de LAN ou WAN corporativa. Como 80% de todas as tentativas que comprometem a segurança da rede originam-se dentro das intranets, essa vantagem é importante. A desvantagem desta configuração é que os grupos de trabalho protegidos precisam estar por trás de uma máquina que esteja executando o BorderManager. Por isso, talvez seja necessária uma máquina adicional e a performance provavelmente será afetada. Visão geral e planejamento da VPN (Virtual Private Network) 157

158 Figura 6-3 Sites remotos em uma Intranet conectados por servidores VPN Servidor Financeiro Cliente Servidor Contabiliza ªo Cliente MÆscara=FF.FF.FC.0 Roteador MÆscara=FF.FF.FC.0 Servidor Master VPN IP Pœblico: IP de Tœnel VPN: Servidor Slave VPN IP Pœblico: IP de Tœnel VPN: MÆscara=FF.FF.FC MÆscara=FF.FF.FC.0 Tœnel Criptografado Conexªo da Intranet Pacotes Criptografados Opções para determinar quais redes privadas estão protegidas pela VPN Existem dois métodos disponíveis para determinar quais redes privadas estão protegidas por uma VPN: 158 Visão Geral e Planejamento

159 Usar uma lista estática de redes protegidas configurada manualmente Usar protocolos de roteamento para anunciar suas redes protegidas Observe a seguir essas opções e suas vantagens e desvantagens: Lista Estática Esta opção elimina o tráfego de roteamento no túnel da VPN, colocando mais largura de banda disponível para a transferência de dados. A configuração estática também elimina os loops de roteamento e permite que o administrador controle melhor quais redes têm acesso à rede criptografada. A utilização de uma lista estática garante que o acesso à VPN seja limitado a redes especificadas e que os dados no túnel fiquem sempre criptografados. No entanto, uma lista estática precisa ser digitada manualmente e é necessário maior overhead administrativo. Protocolos de Roteamento Esta opção não precisa de um overhead administrativo para configurar atualizações quando ocorrem mudanças na topologia da rede. No entanto, esta opção exige que seja configurado um filtro RIP para bloquear rotas indesejadas. Mais importante, se o túnel criptografado for desativado, talvez os dados sejam enviados sem estarem criptografados. São necessárias rotas estáticas entre os servidores VPN nas seguintes situações: Você possui dois servidores VPN na mesma rede, mas em sub-redes diferentes. Nesse caso, use rotas estáticas porque o RIP não pode ser usado. A implementação RIP usada pelo software da VPN da Novell não consegue fazer distinção entre as diferentes sub-redes. Esse software não suporta o RIP II. Você deseja usar sua VPN para conexões site a site e de site para a Internet. Nesse caso, a utilização de uma rota estática evita que o tráfego não criptografado chegue à Internet enquanto a VPN está sendo estabelecida entre sites remotos. Opções de troca de chaves e algoritmo criptográficos A versão do software de VPN usada determina quais métodos de criptografia e autenticação estão disponíveis. Como o software de criptografia está sujeito a restrições de exportação, as leis de exportação norte-americanas determinam Visão geral e planejamento da VPN (Virtual Private Network) 159

160 qual versão pode ser adquirida em determinado país. Estas três versões estão disponíveis: Interno+ Esta versão possui o maior número de opções de criptografia e é usada principalmente pelos bancos pessoais domésticos e militares norte-americanos. Interno Esta versão possui o segundo maior número de opções de criptografia e é usada pelos clientes domésticos norte-americanos e por instituições financeiras de outros países. Exportar Esta versão possui o menor número de opções de criptografia e é usada por clientes de outros países. Os esquemas de criptografia fornecidos em cada versão do software VPN são mostrados na Tabela 6-1 em ordem de prioridade, da maior para a menor. Os esquemas de autenticação fornecidos em cada versão do software VPN são mostrados na Tabela 6-2 em ordem de prioridade, da maior para a menor. A prioridade dos esquemas configurados para as duas extremidades da conexão da VPN é um dos fatores usados para determinar qual esquema é utilizado nas comunicações site a site e de cliente para site. Tabela 6-1 Métodos de criptografia da VPN Domestic+ Domestic Export Triplo DES De 192 bits Não disponível Não disponível DES De 64 bits De 64 bits Não disponível RC2 De 128 ou 40 bits De 128 ou 40 bits De 40 bits RC5 De 128 ou 40 bits De 128 ou 40 bits De 40 bits 160 Visão Geral e Planejamento

161 Tabela 6-2 Métodos de autenticação da VPN Domestic+ Domestic Export SHA1 HMAC De 160 bits De 160 bits De 160 bits SHA1 KEYED De 160 bits De 160 bits De 160 bits MD5 HMAC De 128 bits De 128 bits De 128 bits MD5 KEYED De 128 bits De 128 bits De 128 bits Os fatores a seguir são usados na negociação que determina quais esquemas de criptografia e autenticação são implantados para cada conexão da VPN: Qual método está configurado como esquema preferencial para cada membro VPN Se o método preferencial com a maior prioridade está disponível para os dois membros VPN Se o servidor foi configurado para restringir um cliente VPN a seu esquema preferencial Por padrão, os servidores e clientes VPN têm RC5 e MD5 KEYED configurados como esquemas de segurança preferenciais. Para os servidores VPN, os esquemas de segurança preferenciais podem ser mudados para qualquer esquema suportado pelo software da VPN do servidor, mas os clientes VPN não podem reconfigurar seus esquemas de segurança preferenciais. Durante a negociação dos esquemas de segurança, o esquema preferencial configurado para cada membro VPN é verificado para determinar se o esquema é suportado pelos dois membros VPN. Se o esquema de segurança com a maior prioridade for suportado pelos dois membros VPN, esse esquema será usado para comunicações VPN entre os dois membros VPN. Se apenas um dos esquemas preferenciais for suportado pelos dois membros VPN, esse esquema, o de menor prioridade, será usado. Se um dos membros VPN for um cliente e o servidor tiver sido configurado para restringir um cliente VPN a seu esquema preferencial, o cliente será verificado para determinar se ele suporta o esquema de segurança preferencial do servidor. Se o cliente não puder suportar o esquema de segurança preferencial do servidor, a conexão será rejeitada. Visão geral e planejamento da VPN (Virtual Private Network) 161

162 Várias combinações de negociação são mostradas na Tabela 6-3 na página 162. Por exemplo, um servidor que executa a versão Domestic+ com a segurança preferencial definida como Triplo DES e SHA1 HMAC e se conecta a um servidor que executa a versão Domestic+ com a segurança preferencial definida como RC5 e MD5 KEYED usaria as opções de maior prioridade: Triplo DES e SHA1 HMAC. Uma conexão com um cliente que esteja executando a versão Domestic+ usaria as mesmas opções. O oposto acontece para um servidor que esteja executando a versão Domestic+ com a segurança preferencial configurada como Triplo DES e SHA1 HMAC, conectando-se com um servidor executando a versão Export com a segurança preferencial configurada como RC5 e MD5 KEYED. Eles usariam as opções com a menor prioridade: RC5 e MD5 KEYED. Se o servidor estiver configurado para restringir um cliente ao uso da segurança preferencial do servidor, uma conexão com um cliente que esteja executando a versão Export seria rejeitada. Tabela 6-3 Negociação de opções de segurança da VPN Servidor VPN executando a versão Domestic+ com Triplo DES e SHA1 HMAC Servidor VPN executando a versão Domestic com DES e SHA1 KEYED Servidor VPN executando a versão Export com RC5 e MD5 KEYED Servidor VPN executando a versão Domestic+ com RC5 e MD5 KEYED Cliente VPN executando a versão Domestic+ Cliente VPN executando a versão Domestic Cliente VPN executando a versão Export Triplo DESeSHA1 HMAC DES e SHA1 KEYED RC5 40-bit e MD5 KEYED Triplo DESeSHA1 HMAC DES e SHA1 KEYED RC5 40-bit e MD5 KEYED Conexão rejeitada DES e SHA1 KEYED RC5 40-bit e MD5 KEYED Conexão rejeitada Conexão rejeitada RC5 40-bit e MD5 KEYED Opções de topologia Você pode configurar a VPN para suportar conectividade de rede em malha completa, em estrela e em anel entre membros VPN. A topologia que você selecionar determinará os tipos e o número de conexões que são estabelecidas, o fluxo de dados e o fluxo de tráfego de roteamento. As conexões em qualquer uma dessas topologias podem ser unilaterais (sempre iniciadas por um 162 Visão Geral e Planejamento

163 servidor) ou bilaterais (iniciadas pelos dois servidores). As topologias são descritas da seguinte maneira: Rede em Malha Esta é a topologia padrão. Todos os servidores estão interconectados para formar uma teia, ou rede em malha, com apenas um salto para qualquer membro VPN. A comunicação pode ocorrer entre todos os membros da VPN, se necessário ou não. Esta topologia é a mais tolerante a falhas. Se um membro VPN for desativado, somente a conexão com a rede protegida desse membro será perdida. Além disso, após as chaves criptográficas serem definidas, o servidor master não será mais necessário. No entanto, esta topologia tem mais tráfego de roteamento porque cada membro VPN precisa enviar atualizações para todos os demais membros. Além disso, os loops de roteamento em uma topologia de rede em malha podem demorar algum tempo para serem solucionados. Estrela O servidor master é o hub central desta topologia, com todas as comunicações propagando-se para fora para outros servidores e retornando ao servidor master. Em termos de tráfego de roteamento, esta é a topologia com menos tráfego, mas o servidor master é o ponto único de falha. Se o servidor master for desativado, um túnel criptografado não poderá ser estabelecido para qualquer servidor slave e a capacidade de enviar dados criptografados para todas as redes protegidas será perdida. Anel Nesta topologia, cada membro se comunica com seus vizinhos imediatos. O anel faz um loop do servidor master para os servidores slave subseqüentes e de volta para o servidor master. Esta topologia possui menos tráfego através do túnel do que a rede em malha. Além disso, é mais confiável do que a rede em estrela. No entanto, uma desvantagem desta topologia é que os loops de roteamento exigem algum tempo para serem solucionados. Além disso, as outras redes podem estar a uma distância de mais de um salto. Visão geral e planejamento da VPN (Virtual Private Network) 163

164 Opções de início de conexão As conexões podem ser iniciadas de uma extremidade ou das duas. Observe a seguir as vantagens e desvantagens de cada opção: Conexão iniciada apenas de uma extremidade Esta opção proporciona controle administrativo porque somente o servidor master VPN pode iniciar uma conexão. As conexões serão estabelecidas somente se o escritório central precisar de uma. No entanto, uma desvantagem é que se um membro VPN passivo for reinicializado, ele precisará esperar até que a outra extremidade inicie a chamada para você poder enviar o tráfego criptografado. Conexão iniciada das duas extremidades Esta opção permite que as duas extremidades iniciem uma conexão automaticamente sem precisar esperar pela outra extremidade. No entanto, se uma conexão com determinado membro VPN não for necessária, você não poderá desativá-la porque a outra extremidade sempre iniciará automaticamente uma chamada que sai. Opções de tempo de espera A sincronização dos servidores master-slave é ajustada usando os parâmetros a seguir: Tempo de Espera de Conexão Tempo de Espera de Resposta Intervalo de Atualização O valor de Tempo de Espera de Conexão corresponde ao tempo que o servidor master pode esperar tentando estabelecer uma conexão com um servidor slave. O valor de Tempo de Espera de Resposta corresponde ao tempo que o servidor master pode esperar para receber uma resposta às informações de configuração que envia a um servidor slave. O servidor slave também tem um valor de Tempo de Espera de Resposta. Por último, o valor de Intervalo de Atualização corresponde ao tempo que o servidor master precisa esperar antes de tentar contatar novamente os servidores slave que não puderam ser atualizados com as informações de configuração atuais durante a última tentativa. 164 Visão Geral e Planejamento

165 Determinar os valores desses parâmetros representa um equilíbrio entre uma convergência rápida da VPN e o overhead de tráfego e da CPU. Se os seus servidores e conexões com provedores Internet estiverem operando corretamente, os valores de tempo de espera padrão serão adequados para permitir que a VPN seja sincronizada no menor período de tempo possível. Durante a sincronização, use o registro de auditoria para determinar se não foi possível entrar em contato com algum servidor slave. Se isso ocorrer devido à latência no caminho de conexão, o aumento do valor de Tempo de Espera de Conexão talvez permita estabelecer uma conexão. Se um servidor não puder ser contatado porque a conexão com o servidor ou com o provedor Internet estava desativada, o aumento nos valores dos tempos de espera não fará com que a VPN convirja mais rapidamente. Para que a VPN seja sincronizada mais rapidamente, verifique se todos os servidores slave estão operando e se suas conexões com provedores Internet possuem uma latência mínima. Para determinar quais servidores slave não podem ser contatados, use a janela Atividade da VPN, conforme descrito em Configuração e gerenciamento da VPN Em uma VPN grande com muitos servidores desativados, a diminuição temporária do valor do parâmetro Tempo de Espera de Conexão para cerca de 10 segundos permite que todos os servidores funcionais convirjam mais rapidamente e que você determine quais servidores slave estão desativados. Além dos efeitos na sincronização do servidor, o aumento no valor do parâmetro Tempo de Espera de Resposta pode ajudar você a manter a conectividade entre dois servidores se o link entre eles for lento. Opções de configuração de discagem de cliente para site O software da VPN do BorderManager permite que os clientes de discagem remota acessem um ou mais servidores VPN usando uma conexão PPP. Quando os clientes VPN estabelecem uma conexão PPP, eles usam o TCP/IP para se comunicarem com o Gateway de Autenticação da VPN e se autenticarem. Esse gateway passa informações de configuração para o cliente de modo que ele possa gerar suas chaves e estabelecer um túnel criptografado com o servidor VPN. Depois disso, todo tráfego IPX e IP destinado ao cliente e proveniente dele será criptografado. Para configurar o controle de acesso para conexões de cliente para site, consulte Configuração e gerenciamento do controle de acesso Visão geral e planejamento da VPN (Virtual Private Network) 165

166 O cliente pode se conectar com o servidor VPN usando uma destas opções: Discar para um provedor Internet e conectar-se com o servidor VPN pela Internet Discar diretamente para o servidor VPN Discar para um provedor Internet e conectar-se com o servidor VPN pela Internet Figura 6-4 Conexão com o provedor Internet com o servidor VPN através da Internet Com essa opção, o cliente usa o PPP para estabelecer uma conexão com um provedor Internet e se conecta ao servidor VPN através da Internet, como mostra a Figura 6-4 na página 166. Embora a utilização de uma conexão com o provedor Internet não ofereça largura de banda garantida e possa ser mais lenta que a conexão dial-in direta, essa opção tem a vantagem de ser menos cara que uma conexão dial-in direta. Além do custo da linha telefônica, uma conexão dial-in direta exige a manutenção de um servidor dial-up, modems e outros equipamentos relacionados. Se o seu provedor Internet suportar o protocolo PPTP (Point-to-Point Tunneling Protocol), o cliente VPN poderá usá-lo para acessar o servidor VPN através de uma conexão com o provedor Internet. Embora a Figura 6-4 não mostre se o servidor VPN é um membro de uma VPN site a site, os servidores VPN podem suportar conexões de cliente para site e site a site. Se o servidor VPN fizer parte de uma VPN site a site, o cliente também poderá acessar todos os outros membros da VPN site a site e as redes que eles protegem. Além disso, as conexões site a site podem ser conexões com a Internet ou a intranet. Internet Cliente VPN Conexªo Dial-In PPP Roteador do Provedor Internet Conexªo Virtual com Servidor VPN Servidor VP 166 Visão Geral e Planejamento

167 Discar diretamente para o servidor VPN Figura 6-5 Conexão por discagem direta com o servidor VPN Com essa opção, o cliente usa o PPP (Point-to-Point Protocol) para discar diretamente para o servidor VPN, como mostra a Figura 6-5 na página 167. Embora uma conexão PPP direta tenha largura de banda garantida, ela é mais cara e pode não ser mais rápida que uma conexão com o provedor Internet. Para alguns clientes remotos, uma conexão dial-in direta pode ser a única opção disponível. Embora a Figura 6-5 não mostre se o servidor VPN é um membro de uma VPN site a site, os servidores VPN podem suportar conexões de cliente para site e site a site. Se o servidor VPN fizer parte de uma VPN site a site, o cliente também poderá acessar todos os outros membros da VPN site a site e as redes que eles protegem. Além disso, as conexões site a site podem ser conexões com a Internet ou a intranet. Cliente VPN Conexªo Servidor VPN Dial-In PPP Executando Softwa de Acesso Remoto Conectar-se ao servidor VPN através de uma LAN Com essa opção, o cliente usa uma conexão LAN para acessar o servidor VPN, como mostra a Figura 6-6. Se estiver disponível, uma conexão LAN é mais rápida e menos cara que uma conexão por discagem. Embora a Figura 6-6 não mostre se o servidor VPN é um membro de uma VPN site a site, os servidores VPN podem suportar conexões de cliente para site e site a site. Se o servidor VPN fizer parte de uma VPN site a site, o cliente também poderá acessar todos os outros membros da VPN site a site e as redes que eles protegem. Além disso, as conexões site a site podem ser conexões com a Internet ou a intranet. Visão geral e planejamento da VPN (Virtual Private Network) 167

168 Figura 6-6 Cliente VPN usando uma conexão LAN Cliente VPN Cliente VPN Modem a cabo ou ADSL Roteador Provedor Internet Servidor VPN Redes Protegidas 168 Visão Geral e Planejamento

169 chapter 7 Cenários de planejamento do Novell BorderManager Esse capítulo contém cenários que você pode usar quando planejar sua solução Novell BorderManager TM e a implementação no seu site. Os cenários a seguir fazem parte desse capítulo: Adicionar um firewall interno e externo na página 169 Adicionar um firewall externo na página 171 Conectar um site apenas IPX com a Internet na página 173 Configurar várias VPNs (Virtual Private Networks) na página 175 Adicionar o Novell BorderManager a um site que já tenha um firewall na página 177 Usar o Novell BorderManager como um conversor de endereços na página 179 Adicionar um firewall interno e externo Neste cenário, a Empresa Acme está executando o TCP/IP e o protocolo IPX TM (Internetwork Packet Exchange TM ) na rede. A Acme deseja usar o BorderManager como um firewall interno e externo. Estes são os objetivos da Acme: Adicionar um firewall para tornar a rede segura Permitir SMTP (Simple Mail Transfer Protocol) interno e externo Permitir informações internas e externas do DNS Permitir que os usuários públicos da Internet vejam somente o servidor Web na intranet Cenários de planejamento do Novell BorderManager 169

170 Figura 7-1 Firewall interno e externo Permitir que os usuários internos na intranet acessem a Internet Os seguintes componentes do BorderManager são usados para implementar este cenário, conforme mostrado em Figura 7-1 na página 170: Filtragem de pacotes Aplicativo de proxy HTTP transparente do recurso Serviços de Proxy Controle de acesso UsuÆrios UsuÆrios SMTP SMTP DNS Roteador Interne Servidor Web BorderManager Proxy Transparente Filtragem de Pacotes DNS Controle de Acesso HTTP Para implementar o BorderManager como um firewall na rede, a Empresa Acme precisa realizar esta seqüência geral de passos: 1. Instale o BorderManager e ative a filtragem de pacotes em interfaces públicas durante a instalação. Para obter maiores informações e ver mais procedimentos de instalação do BorderManager, consulte a documentação de instalação do Novell BorderManager. 2. Usando o FILTCFG, faça o seguinte: Especifique exceções de filtros para o servidor SMTP. Aceite pedidos SMTP externos e respostas SMTP internas. 170 Visão Geral e Planejamento

171 Especifique exceções de filtros para um servidor DNS externo. Aceite pedidos DNS externos e respostas DNS internas. Especifique exceções de filtros para o servidor Web. Aceite pedidos ou respostas HTTP internas destinadas ao endereço IP do servidor Web e aceite pedidos ou respostas HTTP externos provenientes do endereço IP do servidor Web. Para obter maiores informações e a descrição dos procedimentos de configuração da filtragem de pacotes, consulte Configuração e gerenciamento do filtro de pacotes 3. Usando o Administrador do NetWare, página Serviços do BorderManager, habilitar e configurar o aplicativo de proxy transparente no servidor BorderManager. Para obter maiores informações e procedimentos de configuração, consulte Configuração e gerenciamento dos serviços de proxy 4. (Opcional) Usando o Administrador do NetWare, página Serviços do BorderManager, ativar e configurar o proxy HTTP inverso, ou proxy de aceleração, para melhorar a performance. Para obter maiores informações e procedimentos de configuração, consulte Configuração e gerenciamento dos serviços de proxy 5. (Opcional) Usando o Administrador do NetWare, ativar e configurar regras de controle de acesso para os usuários da intranet. Para obter maiores informações e procedimentos de configuração, consulte Configuração e gerenciamento do controle de acesso Adicionar um firewall externo Neste cenário, a Empresa Acme está executando o TCP/IP e o IPX na rede. A Acme deseja usar o BorderManager apenas como um firewall externo, como mostra a Figura 7-2 na página 172. Estes são os objetivos da Acme: Adicionar um firewall apenas externo para tornar a rede segura Usar uma conexão por discagem com o provedor Internet Permitir que somente os usuários internos da intranet acessem a Internet Cenários de planejamento do Novell BorderManager 171

172 Evitar que os usuários da Internet acessem ou vejam a intranet Os seguintes componentes do BorderManager são usados para implementar este cenário, conforme mostrado em Figura 7-2 na página 172: Filtragem de pacotes NAT (Network Address Translation) Aplicativo de proxy transparente do recurso Serviços de Proxy Controle de acesso Figura 7-2 Firewall apenas externo Dial-up usando endere o IP atribu do din mico SMTP DNS UsuÆrios Provedor Internet BorderManager Proxy Transparente Filtragem de Pacotes NAT Regras de Sa da Internet HTTP Para implementar o BorderManager como um firewall apenas externo na rede, a Empresa Acme precisa realizar esta seqüência geral de passos: 1. Instale o BorderManager e ative a filtragem de pacotes em interfaces públicas durante a instalação. Para obter maiores informações e ver mais procedimentos de instalação do BorderManager, consulte a documentação de instalação do Novell BorderManager. 172 Visão Geral e Planejamento

173 2. Usando o utilitário NIASCFG, ativar e configurar o NAT da chamada WAN para o provedor Internet. Maiores informações sobre a configuração desses parâmetros encontram-se na documentação online do NetWare 5, no seguinte caminho: Conteúdo>Serviços de Conectividade (sob o título Serviços de rede) > Configuração de Roteamento 3. Usando o Administrador do NetWare, página Serviços do BorderManager, ativar e configurar o aplicativo de proxy transparente. Para obter maiores informações e procedimentos de configuração, consulte Configuração e gerenciamento dos serviços de proxy 4. Usando o Administrador do NetWare, ativar e configurar regras de controle de acesso para os usuários da intranet. Para obter maiores informações e procedimentos de configuração, consulte Configuração e gerenciamento do controle de acesso Conectar um site apenas IPX com a Internet Neste cenário, a Empresa Acme está executando apenas o IPX na rede. Ela deseja usar o BorderManager para permitir que somente os usuários da intranet acessem e procurem na Internet. A Acme tem os seguintes requisitos: Usar somente o protocolo IPX e não exigir o protocolo TCP/IP em estações de trabalho Permitir que somente os usuários internos acessem a Internet Evitar que os usuários da Internet acessem ou vejam a intranet Usar discagem sob demanda para um provedor Internet para a conexão com a Internet Os seguintes componentes do BorderManager são usados para implementar este cenário, conforme mostrado em Figura 7-3 na página 174: Filtragem de pacotes Gateway IPX/IP Cenários de planejamento do Novell BorderManager 173

174 Aplicativo de proxy transparente do recurso Serviços de Proxy Controle de acesso Figura 7-3 Conectar um site apenas IPX com a Internet Dial-up usando endere o IP atribu do din mico SMTP DNS UsuÆrios Apenas IPX Apenas IPX Provedor Internet BorderManager Proxy Transparente Filtragem de Pacotes Gateway IPX/IP Regras de Sa da Internet HTTP Para implementar o BorderManager para se conectar com a Internet, a Empresa Acme precisa realizar esta seqüência geral de passos: 1. Configurar o servidor BorderManager para usar o roteamento de discagem sob demanda para o provedor Internet. Maiores informações sobre a configuração desses parâmetros encontram-se na documentação online do NetWare 5, no seguinte caminho: Conteúdo>Serviços de Conectividade (sob o título Serviços de rede) >Configuração de acesso remoto 2. Instalar o BorderManager e ativar o controle de acesso e os filtros de pacotes padrão durante a instalação. Para obter maiores informações e ver mais procedimentos de instalação do BorderManager, consulte a documentação de instalação do Novell BorderManager. 174 Visão Geral e Planejamento

175 3. Usando o Administrador do NetWare, página Serviços do BorderManager, ativar e configurar o gateway IPX/IP. Para obter maiores informações e procedimentos de configuração, consulte Configuração e gerenciamento do Gateway IP da Novell e NAT 4. Usando o Administrador do NetWare, página Serviços do BorderManager, ativar e configurar o aplicativo de proxy transparente. Para obter maiores informações e procedimentos de configuração, consulte Configuração e gerenciamento dos serviços de proxy 5. Usando o Administrador do NetWare, ativar e configurar regras de controle de acesso para os usuários da intranet. Para obter maiores informações e procedimentos de configuração, consulte Configuração e gerenciamento do controle de acesso 6. Assegurar-se de que os usuários que utilizarão o gateway IPX/IP instalem e configurem o componente de gateway do software Novell Client TM. Para obter maiores informações e procedimentos de configuração, consulte Configuração e gerenciamento do Gateway IP da Novell e NAT Configurar várias VPNs (Virtual Private Networks) Neste cenário, a Empresa Acme tem usuários remotos e dois escritórios remotos que precisam ter uma conexão segura com a intranet da empresa. A Acme tem os seguintes requisitos: Usar VPNs de servidor para servidor Permitir a discagem do cliente VPN diretamente no servidor VPN Permitir a discagem do cliente VPN em um provedor Internet e a conexão com um servidor master VPN Fornecer ao roteador uma conexão permanente com a Internet Os seguintes componentes do BorderManager são usados para implementar este cenário, conforme mostrado em Figura 7-4 na página 176: Filtragem de pacotes Cenários de planejamento do Novell BorderManager 175

176 Servidor VPN Cliente VPN Controle de acesso Além disso, o componente de software de acesso remoto do NetWare 4.11 e das versões posteriores precisa ser usado para implementar este cenário. N o t e Neste cenário, não podem ser usados links sob demanda e não pode haver um servidor VPN localizado por trás do NAT. Figura 7-4 Várias VPNs UsuÆrio(s) Cliente VPN UsuÆrio(s) Cliente VPN BorderManager VPN (VPN Slave) Filtragem de Pacotes BorderManager VPN (Master) Filtragem de Pacotes Roteador (opcional) Internet Para implementar várias VPNs, a Empresa Acme precisa realizar esta seqüência geral de passos: 1. Ativar a filtragem de pacotes padrão. Isso nega os filtros de firewall padrão, aceitando o tráfego da VPN e restringindo outros tráfegos. Para obter maiores informações e a descrição dos procedimentos de configuração da filtragem de pacotes, consulte Configuração e gerenciamento do filtro de pacotes 176 Visão Geral e Planejamento

177 2. Instalar e configurar o software de acesso remoto no servidor master VPN. Maiores informações sobre a configuração desses parâmetros encontram-se na documentação online do NetWare 5, no seguinte caminho: Conteúdo>Serviços de Conectividade (sob o título Serviços de rede) {\cs6\f1\cf6 >}Configuração de acesso remoto 3. No console do servidor, instalar e configurar o servidor master VPN. Para obter maiores informações e procedimentos de configuração, consulte Configuração e gerenciamento da VPN 4. No console do servidor, instalar e configurar o servidor VPN slave. Para obter maiores informações e procedimentos de configuração, consulte Configuração e gerenciamento da VPN 5. Usando o Administrador do NetWare, configurar o servidor master VPN e o servidor VPN slave. Para obter maiores informações e procedimentos de configuração, consulte Configuração e gerenciamento da VPN 6. Usando o Administrador do NetWare, configurar o cliente VPN remoto. Para obter maiores informações e procedimentos de configuração, consulte Configuração e gerenciamento da VPN 7. Usando o Administrador do NetWare, ativar e configurar regras de controle de acesso permitindo que os usuários utilizem o cliente VPN. Para obter maiores informações e procedimentos de configuração, consulte Configuração e gerenciamento do controle de acesso Adicionar o Novell BorderManager a um site que já tenha um firewall Neste cenário, a Empresa Acme já tem um firewall de terceiros e deseja adicionar o BorderManager como um servidor proxy. Ela deseja apenas adicionar o servidor na rede existente. A Acme tem os seguintes requisitos: Cenários de planejamento do Novell BorderManager 177

178 Usar somente um NIC (Network Interface Card) Usar o proxy transparente para acelerar o acesso à Web Usar o gateway IPX/IP porque as estações de trabalho cliente possuem somente endereços IPX e a Acme não quer configurar o protocolo TCP/ IP Os seguintes componentes do BorderManager são usados para implementar este cenário, conforme mostrado em Figura 7-5 na página 178: Aplicativo de proxy transparente do recurso Serviços de Proxy Gateway IPX/IP Figura 7-5 Adicionar o BorderManager a um site com um firewall Controle de acesso (opcional com o firewall existente) SMTP UsuÆrio(s) BorderManager Proxy Transparente Gateway IPX/IP Regras de Sa da (apenas uma placa DNS adaptadora) Roteador (com Firewall) Interne Servidor Web Para adicionar um servidor proxy BorderManager a um firewall existente, a Empresa Acme precisa realizar esta seqüência geral de passos: 178 Visão Geral e Planejamento

179 1. Instalar o BorderManager. Como existe apenas um NIC, verifique se ele será selecionado como Privado e Público durante a instalação. Para obter maiores informações e ver mais procedimentos de instalação do BorderManager, consulte a documentação de instalação do Novell BorderManager. 2. Usando o Administrador do NetWare, página Serviços do BorderManager, ativar e configurar o aplicativo de proxy transparente no servidor BorderManager. Para obter maiores informações e procedimentos de configuração, consulte Configuração e gerenciamento dos serviços de proxy 3. Usando o Administrador do NetWare, ativar e configurar o gateway IPX/ IP. Para obter maiores informações e procedimentos de configuração, consulte Configuração e gerenciamento do Gateway IP da Novell e NAT 4. (Opcional) Usando o Administrador do NetWare, ativar e configurar regras de controle de acesso. Para obter maiores informações e procedimentos de configuração, consulte Configuração e gerenciamento do controle de acesso 5. Assegurar-se de que os usuários que utilizarão o gateway IPX/IP instalem e configurem o componente de gateway do software Novell Client. Para obter maiores informações e procedimentos de configuração, consulte Configuração e gerenciamento do Gateway IP da Novell e NAT Usar o Novell BorderManager como um conversor de endereços Neste cenário, a Empresa Acme deseja que todos os usuários da rede privada possam acessar a Internet sem endereços IP registrados. A Acme também deseja colocar servidores SMTP e Web na intranet disponíveis para clientes públicos. A Acme tem os seguintes requisitos: Configurar um servidor BorderManager com o NAT no modo dinâmico para permitir que os usuários privados acessem a Internet Cenários de planejamento do Novell BorderManager 179

180 Colocar servidores SMTP e Web privados disponíveis através do modo estático do NAT Considerar as configurações de filtro para servidores SMTP e Web na interface do NAT Os seguintes componentes do BorderManager são usados para implementar este cenário, conforme mostrado em Figura 7-6 na página 180: Filtragem de pacotes NAT N o t e Este cenário talvez não se aplique se o servidor Web da intranet possuir links a outros servidores Web da intranet ou se o servidor SMTP da intranet possuir links a outros servidores SMTP da intranet. Figura 7-6 Usar o Novell BorderManager como um conversor de endereços Cliente(s) Pœblico(s) SMTP Cliente(s) Privado(s) Internet SMTP Roteador Servidor Web BorderManager Filtragem de Pacotes NAT DNS HTTP Para usar o BorderManager como um conversor de endereços, a Empresa Acme precisa realizar esta seqüência geral de passos: 1. Instalar o BorderManager, permitindo a filtragem de pacotes em interfaces públicas. Para obter maiores informações e ver mais procedimentos de instalação do BorderManager, consulte a documentação de instalação do Novell BorderManager. 180 Visão Geral e Planejamento

181 2. Usando o utilitário FILTCFG no console do servidor, ativar os seguintes filtros: Para o servidor SMTP da intranet, insira exceções de filtros na interface do NAT para permitir pedidos SMTP internos e respostas SMTP externas. Para o servidor Web da intranet, insira exceções de filtros na interface do NAT para permitir pedidos HTTP internos e respostas HTTP externas. 3. Usando o NIASCFG, ativar e configurar o NAT para usar o modo dinâmico e estático. Para obter maiores informações e procedimentos de configuração, consulte Configuração e gerenciamento do Gateway IP da Novell e NAT Cenários de planejamento do Novell BorderManager 181

182 182 Visão Geral e Planejamento

183 chapter 8 Visão geral e planejamento dos serviços de autenticação do BorderManager Esse capítulo contém informações gerais e de planejamento da filtragem de pacotes do Novell(r) BorderManager TM. Esse capítulo contém as seguintes seções: Visão geral dos serviços de autenticação na página 183 Autenticação por símbolo na página 192 Serviços de proxy RADIUS na página 201 Visão geral dos serviços de autenticação Os Serviços de Autenticação do Novell(r) BorderManager TM permitem que os usuários remotos disquem para redes NetWare(r) (versão 4.11 ou posterior) e acessem informações e recursos da rede, como arquivos, bancos de dados, aplicativos, , impressão e serviços de host/mainframe. Os Serviços de Autenticação mantêm a segurança ao exigir que os usuários se autentiquem no banco de dados do NDS TM usando o protocolo de segurança de rede RADIUS (Remote Authentication Dial-In User Service) para poder acessar esses serviços. A discagem para a rede como um usuário que utiliza os Serviços de Autenticação do BorderManager é semelhante à discagem para qualquer outro serviço de discagem, exceto para os usuários que utilizam a mesma conta para acessar os serviços de impressão e arquivos do NetWare. Você pode usar qualquer software cliente que funcione com o seu servidor de acesso de rede. Muitos usuários consideram conveniente usar o recurso Rede Dial-Up do Windows* 95. O usuário dos Serviços de Autenticação do BorderManager precisa conhecer a sintaxe do nome do usuário: Nome_do_Serviço: Domínio No caso mais simples, Nome_do_Serviço não são necessários e Nome_do_Usuário_do_NDS é o nome comum do objeto do usuário no NDS. Visão geral e planejamento dos serviços de autenticação do BorderManager 183

184 O Nome_do_Usuário_do_NDS pode ser digitado no formato de nome exclusivo ou no formato de nome comum se você configurou os Serviços de Autenticação do BorderManager para aceitar login por nome comum. Por exemplo, se Joe fosse um funcionário do departamento de Vendas da Acme, o formato de nome comum seria joe e o formato de nome exclusivo seria.joe.sales.acme. Se um usuário estiver usando um serviço de discagem que não seja o padrão, o usuário precisará adicionar o nome do serviço como um prefixo ao nome do usuário, seguido de um ponto-e-vírgula (por exemplo, ppp:joe seleciona o serviço PPP [Point-to-Point Protocol] configurado para o usuário joe). Se um proxy RADIUS for usado para autenticação em um servidor RADIUS remoto, os usuários precisarão anexar um sinal de arroba seguido do domínio proxy, ao nome do usuário (por exemplo, Protocolo RADIUS Os Serviços de Autenticação do Novell BorderManager implementam o RADIUS como o protocolo de segurança da rede para autenticar os usuários para acesso remoto por discagem. Um servidor host que executa o protocolo RADIUS (o servidor RADIUS) recupera todas as informações de autenticação e de usuários de conexão por discagem em um banco de dados central. Um servidor host que executa o protocolo de contabilização RADIUS (o servidor de contabilização RADIUS) é responsável pelo registro das informações referentes às conexões de usuários por discagem. As informações de contabilização são normalmente utilizadas para análise estatística, resolução de problemas e faturamento. Os usuários de conexão por discagem acessam a Internet ou a intranet corporativa através de serviços de acesso de rede, que gerenciam a comunicação entre os usuários e os servidores RADIUS. Um usuário de conexão por discagem precisa fornecer informações de autenticação (em geral, um nome de usuário e uma senha). O servidor de acesso de rede reencaminha as informações ao servidor RADIUS usando o protocolo RADIUS. O servidor RADIUS autentica o usuário comparando o pedido com as informações do usuário contidas no banco de dados. Em seguida, o servidor RADIUS retorna as informações de configuração que são necessárias para o servidor de acesso de rede entregar o serviço solicitado ao usuário de conexão por discagem. Um servidor RADIUS também pode se comunicar com um servidor proxy RADIUS para autenticar usuários remotos que não constam no banco de dados local. 184 Visão Geral e Planejamento

185 Esse conceito é mostrado na Figura 8-1. Figura 8-1 Protocolo RADIUS O protocolo RADIUS é suportado por vários fornecedores de servidores de acesso de rede e consiste em um Padrão Proposto (RFC 2138) da IETF (Internet Engineering Task Force). O protocolo de contabilização RADIUS também é um Padrão Proposto da IETF (RFC 2139). Os principais recursos do protocolo RADIUS são: Administração centralizada Modelo cliente/servidor Segurança da rede Suporte a vários mecanismos de autenticação Configuração de usuários e controle de acesso Administração centralizada O protocolo RADIUS oferece um banco de dados central para o armazenamento de todas as informações de usuários de conexão por discagem. Esse banco de dados pode ser usado por todos os servidores de acesso de rede compatíveis com o RADIUS. A implementação da Novell oferece arquivos de registro separados para mensagens do sistema e informações de contabilização. Você pode habilitar ou desabilitar o registro das mensagens do sistema ou das informações de contabilização no console do servidor. Da mesma forma, você pode especificar o número de dias em que os arquivos de registro precisam ser mantidos. Visão geral e planejamento dos serviços de autenticação do BorderManager 185

VERSÃO 3.5. Instalação. Configuração

VERSÃO 3.5. Instalação. Configuração VERSÃO 3.5 Instalação e Configuração isenção de A Novell, Inc. não fornece declarações ou garantias quanto ao conteúdo ou uso responsabilidade deste manual e, especificamente, desobriga-se de quaisquer

Leia mais

FIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza

FIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza FIREWALL Prof. Fabio de Jesus Souza fabiojsouza@gmail.com Professor Fabio Souza O que são Firewalls? Os firewalls são sistemas de segurança que podem ser baseados em: um único elemento de hardware; um

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício O que é Firewall Um Firewall é um sistema para controlar o aceso às redes de computadores, desenvolvido para evitar acessos

Leia mais

Componentes de um sistema de firewall - I

Componentes de um sistema de firewall - I Componentes de um sistema de firewall - I O que são Firewalls? Os firewalls são sistemas de segurança que podem ser baseados em: um único elemento de hardware; um único elemento de software instalado num

Leia mais

Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo

Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo Conectando-se à Internet com Segurança Soluções mais simples. Sistemas de Segurança de Perímetro Zona Desmilitarizada (DMZ) Roteador de

Leia mais

Componentes de um sistema de firewall - II. Segurança de redes

Componentes de um sistema de firewall - II. Segurança de redes Componentes de um sistema de firewall - II Segurança de redes O que são Bastion Hosts? Bastion host é o nome dado a um tipo especial de computador que tem funções críticas de segurança dentro da rede e

Leia mais

Firewalls. Firewalls

Firewalls. Firewalls Firewalls Firewalls Paredes Corta-Fogo Regula o Fluxo de Tráfego entre as redes Pacote1 INTERNET Pacote2 INTERNET Pacote3 Firewalls Firewalls Barreira de Comunicação entre duas redes Host, roteador, PC

Leia mais

Interligação de Redes

Interligação de Redes REDES II HETEROGENEO E CONVERGENTE Interligação de Redes rffelix70@yahoo.com.br Conceito Redes de ComputadoresII Interligação de Redes Quando estações de origem e destino encontram-se em redes diferentes,

Leia mais

Características de Firewalls

Características de Firewalls Firewall Firewall é um sistema de proteção de redes internas contra acessos não autorizados originados de uma rede não confiável (Internet), ao mesmo tempo que permite o acesso controlado da rede interna

Leia mais

INTERNET = ARQUITETURA TCP/IP

INTERNET = ARQUITETURA TCP/IP Arquitetura TCP/IP Arquitetura TCP/IP INTERNET = ARQUITETURA TCP/IP gatewa y internet internet REDE REDE REDE REDE Arquitetura TCP/IP (Resumo) É útil conhecer os dois modelos de rede TCP/IP e OSI. Cada

Leia mais

A importância de uma NAT e de uma VPN para a segurança da informação. NAT Network Address Translation

A importância de uma NAT e de uma VPN para a segurança da informação. NAT Network Address Translation A importância de uma NAT e de uma VPN para a segurança da informação NAT Network Address Translation A funcionalidade de NAT consiste no procedimento de translado de endereços de uma rede para a outra.

Leia mais

Intranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO

Intranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO Intranets FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO As intranets são redes internas às organizações que usam as tecnologias utilizadas na rede mundial

Leia mais

REDES ESAF. leitejuniorbr@yahoo.com.br 1 Redes - ESAF

REDES ESAF. leitejuniorbr@yahoo.com.br 1 Redes - ESAF REDES ESAF 01 - (ESAF - Auditor-Fiscal da Previdência Social - AFPS - 2002) Um protocolo é um conjunto de regras e convenções precisamente definidas que possibilitam a comunicação através de uma rede.

Leia mais

DNS DOMAIN NAME SYSTEM

DNS DOMAIN NAME SYSTEM FRANCISCO TESIFOM MUNHOZ 2007 Índice 1 DNS DOMAIN NAME SYSTEM 3 2 PROXY SERVER 6 3 DHCP DYNAMIC HOST CONFIGURATION PROTOCOL 7 4 FIREWALL 8 4.1 INTRODUÇÃO 8 4.2 O QUE É FIREWALL 9 4.3 RAZÕES PARA UTILIZAR

Leia mais

A importância de uma NAT e de uma VPN para a segurança da informação

A importância de uma NAT e de uma VPN para a segurança da informação A importância de uma NAT e de uma VPN para a segurança da informação NAT Network Translation Address A funcionalidade de NAT consiste no procedimento de translado de endereços de uma rede para a outra.

Leia mais

Novell ZENworks 10 Configuration Management SP3

Novell ZENworks 10 Configuration Management SP3 Referência de Gerenciamento Remoto Novell ZENworks 10 Configuration Management SP3 10.3 30 de março de 2010 www.novell.com Referência de Gerenciamento Remoto do ZENworks 10 Configuration Management Informações

Leia mais

Universidade Federal do Acre. Centro de Ciências Exatas e Tecnológicas

Universidade Federal do Acre. Centro de Ciências Exatas e Tecnológicas Universidade Federal do Acre Centro de Ciências Exatas e Tecnológicas Universidade Federal do Acre Centro de Ciências Exatas e Tecnológicas Pós-graduação Lato Sensu em Desenvolvimento de Software e Infraestrutura

Leia mais

Configurar Novell Small Business Suite

Configurar Novell Small Business Suite VERSÃO 5.1 Configurar Novell Small Business Suite Fácil de instalar e gerenciar, o Novell Small Business Suite 5.1 é um sistema de software de rede desenvolvido para proporcionar performance superior e

Leia mais

CA Nimsoft Monitor Snap

CA Nimsoft Monitor Snap CA Nimsoft Monitor Snap Guia de Configuração do Monitoramento de resposta do ponto de extremidade do URL url_response série 4.1 Avisos legais Copyright 2013, CA. Todos os direitos reservados. Garantia

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

CA Nimsoft Monitor Snap

CA Nimsoft Monitor Snap CA Nimsoft Monitor Snap Guia de Configuração do Gateway de email emailgtw série 2.7 Avisos legais Copyright 2013, CA. Todos os direitos reservados. Garantia O material contido neste documento é fornecido

Leia mais

FACSENAC. Versão:1.5. Identificador do documento: Projeto Lógico de Redes. Versão do Template Utilizada na Confecção: 1.0. Histórico de revisões

FACSENAC. Versão:1.5. Identificador do documento: Projeto Lógico de Redes. Versão do Template Utilizada na Confecção: 1.0. Histórico de revisões FACSENAC ECOFROTA Documento de Projeto Lógico de Rede Versão:1.5 Data: 21/11/2013 Identificador do documento: Projeto Lógico de Redes Versão do Template Utilizada na Confecção: 1.0 Localização: FacSenac

Leia mais

REDES VIRTUAIS PRIVADAS

REDES VIRTUAIS PRIVADAS REDES VIRTUAIS PRIVADAS VPN Universidade Católica do Salvador Curso de Bacharelado em Informática Disciplina: Redes de Computadores Professor: Marco Antônio Câmara Aluna: Patricia Abreu Página 1 de 10

Leia mais

Professor(es): Fernando Pirkel. Descrição da(s) atividade(s):

Professor(es): Fernando Pirkel. Descrição da(s) atividade(s): Professor(es): Fernando Pirkel Descrição da(s) atividade(s): Definir as tecnologias de redes necessárias e adequadas para conexão e compartilhamento dos dados que fazem parte da automatização dos procedimentos

Leia mais

Administração de Sistemas de Informação I

Administração de Sistemas de Informação I Administração de Sistemas de Informação I Prof. Farinha Aula 03 Telecomunicações Sistemas de Telecomunicações 1 Sistemas de Telecomunicações Consiste de Hardware e Software transmitindo informação (texto,

Leia mais

Novell ZENworks Handheld Management

Novell ZENworks Handheld Management Novell ZENworks Handheld Management 6.5 15.06.04 GUIA DE INSTALAÇÃO www.novell.com Notas Legais A Novell, Inc. não faz representações ou garantias quanto ao conteúdo ou à utilização desta documentação

Leia mais

Introdução ao OpenVPN

Introdução ao OpenVPN OpenVPN Índice Capítulo 1: Introdução ao OpenVPN...4 1.1 O que é VPN?...6 1.2 Informações e situações de práticas de uso...6 1.1 Características do OpenVPN...7 1.2 OpenVPN x Outros pacotes VPN...8 Capítulo

Leia mais

Rede d s d e d Com o pu p t u ado d r o es Conceitos Básicos M d o e d los o de d Re R de d s:

Rede d s d e d Com o pu p t u ado d r o es Conceitos Básicos M d o e d los o de d Re R de d s: Tecnologia em Redes de Computadores Redes de Computadores Professor: André Sobral e-mail: alsobral@gmail.com Conceitos Básicos Modelos de Redes: O O conceito de camada é utilizado para descrever como ocorre

Leia mais

LogMeIn Hamachi. Guia de introdução

LogMeIn Hamachi. Guia de introdução LogMeIn Hamachi Guia de introdução Índice O que é o LogMeIn Hamachi?...3 Quem deve usar o LogMeIn Hamachi?...3 O cliente LogMeIn Hamachi...4 Sobre o relacionamento entre o cliente e sua conta do LogMeIn...4

Leia mais

CA Nimsoft Unified Management Portal

CA Nimsoft Unified Management Portal CA Nimsoft Unified Management Portal Guia de Configuração para Vários Servidores 7.0 Histórico da revisão do documento Versão do documento Data Alterações 1.0 Setembro 2013 Versão inicial do UMP 7.0. Avisos

Leia mais

Guia de Instalação. Atualização

Guia de Instalação. Atualização Guia de Instalação e Atualização isenção de responsabilidade A Novell, Inc. não faz representações ou garantias quanto ao conteúdo ou utilização desta documentação e especificamente se isenta de todas

Leia mais

ADMINISTRAÇÃO DE SISTEMAS OPERACIONAIS SERVIÇOS DE ACESSO REMOTO (TELNET E TERMINAL SERVICES) Professor Carlos Muniz

ADMINISTRAÇÃO DE SISTEMAS OPERACIONAIS SERVIÇOS DE ACESSO REMOTO (TELNET E TERMINAL SERVICES) Professor Carlos Muniz ADMINISTRAÇÃO DE SISTEMAS OPERACIONAIS SERVIÇOS DE ACESSO REMOTO (TELNET E O que é roteamento e acesso remoto? Roteamento Um roteador é um dispositivo que gerencia o fluxo de dados entre segmentos da rede,

Leia mais

Tecnologias Atuais de Redes

Tecnologias Atuais de Redes Tecnologias Atuais de Redes Aula 3 VPN Tecnologias Atuais de Redes - VPN 1 Conteúdo Conceitos e Terminologias Vantagens, Desvantagens e Aplicações Etapas da Conexão Segurança Tunelamento Protocolos de

Leia mais

NetWare 6.5. Novell. Instalação e upgrade REQUISITOS MÍNIMOS DE SISTEMA REQUISITOS DE SISTEMA RECOMENDADOS. www.novell.

NetWare 6.5. Novell. Instalação e upgrade REQUISITOS MÍNIMOS DE SISTEMA REQUISITOS DE SISTEMA RECOMENDADOS. www.novell. Novell NetWare 6.5 www.novell.com INÍCIO RÁPIDO Instalação e upgrade Esta Introdução rápida fornece informações básicas sobre a instalação e o upgrade para um servidor NetWare 6.5. Para obter instruções

Leia mais

Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões

Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões Regras de exclusão são grupos de condições que o Kaspersky Endpoint Security utiliza para omitir um objeto durante uma varredura (scan)

Leia mais

Especialização. Redes TCP/IP. Prof. Edgard Jamhour. Redes TCP/IP

Especialização. Redes TCP/IP. Prof. Edgard Jamhour. Redes TCP/IP Especialização Redes TCP/ Prof. Edgard Jamhour Redes TCP/ Especialização Endereçamento Internet e Intranet Redes TCP/ Internet = REDE TCP/ Endereço de 32 bits Identificador da rede Identificador do host

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Novell ZENworks 10 Asset Management SP2

Novell ZENworks 10 Asset Management SP2 Início Rápido da Administração Novell ZENworks 10 Asset Management SP2 10.2 27 de maio de 2009 www.novell.com Início Rápido da Administração do ZENworks 10 Asset Management Informações Legais A Novell,

Leia mais

Segurança em Sistemas de Informação. Agenda. Conceitos Iniciais

Segurança em Sistemas de Informação. Agenda. Conceitos Iniciais Segurança em Sistemas de Informação Agenda 1. Conceitos Iniciais; 2. Terminologia; 3. Como funcionam; 4. : 1. Cache; 2. Proxy reverso; 5. Exemplos de Ferramentas; 6. Hands on; 7. Referências; 2 Conceitos

Leia mais

Segurança em Sistemas de Informação Tecnologias associadas a Firewall

Segurança em Sistemas de Informação Tecnologias associadas a Firewall Algumas definições Firewall Um componente ou conjunto de componentes que restringe acessos entre redes; Host Um computador ou um dispositivo conectado à rede; Bastion Host Um dispositivo que deve ser extremamente

Leia mais

Firewalls. O que é um firewall?

Firewalls. O que é um firewall? Tópico 13 Firewall Ferramentas de defesa - Firewall. Princípios de projeto de firewall. Sistemas confiáveis. Critérios comuns para avaliação de segurança da tecnologia da informação. 2 Firewalls O que

Leia mais

Revisão. Karine Peralta karine.peralta@pucrs.br

Revisão. Karine Peralta karine.peralta@pucrs.br Revisão Karine Peralta Agenda Revisão Evolução Conceitos Básicos Modelos de Comunicação Cliente/Servidor Peer-to-peer Arquitetura em Camadas Modelo OSI Modelo TCP/IP Equipamentos Evolução... 50 60 1969-70

Leia mais

Introdução. Disciplina: Suporte Remoto Prof. Etelvira Leite

Introdução. Disciplina: Suporte Remoto Prof. Etelvira Leite Introdução Disciplina: Suporte Remoto Prof. Etelvira Leite Os Benefícios do Trabalho Remoto O mundo assiste hoje à integração e à implementação de novos meios que permitem uma maior rapidez e eficácia

Leia mais

Novell ZENworks 10 Configuration Management SP3

Novell ZENworks 10 Configuration Management SP3 Guia do ZENworks Adaptive Agent Novell ZENworks 10 Configuration Management SP3 10.3 30 de março de 2010 www.novell.com Guia do Adaptive Agent do Novell ZENworks 10 Configuration Management Informações

Leia mais

Arcserve Cloud. Guia de Introdução ao Arcserve Cloud

Arcserve Cloud. Guia de Introdução ao Arcserve Cloud Arcserve Cloud Guia de Introdução ao Arcserve Cloud A presente Documentação, que inclui os sistemas de ajuda incorporados e os materiais distribuídos eletronicamente (doravante denominada Documentação),

Leia mais

Software de gerenciamento de impressoras

Software de gerenciamento de impressoras Software de gerenciamento de impressoras Este tópico inclui: "Usando o software CentreWare" na página 3-10 "Usando os recursos de gerenciamento da impressora" na página 3-12 Usando o software CentreWare

Leia mais

Controlando o tráfego de saída no firewall Netdeep

Controlando o tráfego de saída no firewall Netdeep Controlando o tráfego de saída no firewall Netdeep 1. Introdução Firewall é um quesito de segurança com cada vez mais importância no mundo da computação. À medida que o uso de informações e sistemas é

Leia mais

ADOBE CONNECT ENTERPRISE SERVER 6 GUIA DE CONFIGURAÇÃO DO SSL

ADOBE CONNECT ENTERPRISE SERVER 6 GUIA DE CONFIGURAÇÃO DO SSL ADOBE CONNECT ENTERPRISE SERVER 6 GUIA DE CONFIGURAÇÃO DO SSL Copyright 2006 Adobe Systems Incorporated. Todos os direitos reservados. Guia de Configuração do SSL do Adobe Connect Enterprise Server 6 para

Leia mais

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática Firewall Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes Campus Cachoeiro Curso Técnico em Informática Firewall (definições) Por que do nome firewall? Antigamente, quando as casas

Leia mais

Projeto de Redes de Computadores. Projeto do Esquema de Endereçamento e de Nomes

Projeto de Redes de Computadores. Projeto do Esquema de Endereçamento e de Nomes Projeto do Esquema de Endereçamento e de Nomes Lembrar a estrutura organizacional do cliente ajuda a planejar a atribuição de endereços e nomes O mapa topológico também ajuda, pois indica onde há hierarquia

Leia mais

Kaspersky Administration Kit 8.0 GUIA DE REFERÊNCIA

Kaspersky Administration Kit 8.0 GUIA DE REFERÊNCIA Kaspersky Administration Kit 8.0 GUIA DE REFERÊNCIA V E R S Ã O D O A P L I C A T I V O : 8. 0 Caro usuário. Obrigado por escolher nosso produto. Esperamos que esta documentação lhe ajude em seu trabalho

Leia mais

VPN. Desempenho e Segurança de Sistemas de Informação

VPN. Desempenho e Segurança de Sistemas de Informação VPN Desempenho e Segurança de Sistemas de Informação Conceito Vantagens Tipos Protocolos utilizados Objetivos VPN (Virtual Private Network) Rede Privada Virtual - uma conexão onde o acesso e a troca de

Leia mais

VPN. Prof. Marciano dos Santos Dionizio

VPN. Prof. Marciano dos Santos Dionizio VPN Prof. Marciano dos Santos Dionizio VPN Virtual Private Network ou Rede Privada Virtual É uma rede de comunicações privada normalmente utilizada por uma empresa ou um conjunto de empresas e/ou instituições,

Leia mais

GUIA DE IMPLEMENTAÇÃO

GUIA DE IMPLEMENTAÇÃO Kaspersky Administration Kit 8.0 GUIA DE IMPLEMENTAÇÃO V E R S Ã O D O A P L I C A T I V O : 8. 0 C F 1 Caro usuário. Obrigado por escolher nosso produto. Esperamos que esta documentação lhe ajude em seu

Leia mais

GUIA DE CONFIGURAÇÃO CONEXÕES VPN SSL (CLIENT TO SERVER)

GUIA DE CONFIGURAÇÃO CONEXÕES VPN SSL (CLIENT TO SERVER) GUIA DE CONFIGURAÇÃO CONEXÕES VPN SSL (CLIENT TO SERVER) Conexões VPN SSL (Client to Server) 1- Introdução Uma VPN (Virtual Private Network, ou rede virtual privada) é, como o nome sugere, uma rede virtual,

Leia mais

Protocolo. O que é um protocolo? Humano: que horas são? eu tenho uma pergunta

Protocolo. O que é um protocolo? Humano: que horas são? eu tenho uma pergunta Protocolo O que é um protocolo? Humano: que horas são? eu tenho uma pergunta Máquina: Definem os formatos, a ordem das mensagens enviadas e recebidas pelas entidades de rede e as ações a serem tomadas

Leia mais

NORMAS PARA O USO DE SISTEMA DE PROTEÇÃO FIREWALL DE PERÍMETRO NO ÂMBITO DA REDE INFOVIA-MT

NORMAS PARA O USO DE SISTEMA DE PROTEÇÃO FIREWALL DE PERÍMETRO NO ÂMBITO DA REDE INFOVIA-MT CONSELHO SUPERIOR DO SISTEMA ESTADUAL DE E TECNOLOGIA DA NORMAS PARA O USO DE SISTEMA DE PROTEÇÃO FIREWALL DE PERÍMETRO NO ÂMBITO DA REDE INFOVIA-MT 1/10 CONSELHO SUPERIOR DO SISTEMA ESTADUAL DE E TECNOLOGIA

Leia mais

Symantec AntiVirus Enterprise Edition

Symantec AntiVirus Enterprise Edition Symantec AntiVirus Enterprise Edition Proteção abrangente contra ameaças para todas as partes da rede, incluindo proteção contra spyware no cliente, em um único conjunto de produtos Visão geral O Symantec

Leia mais

Especificações da oferta Gerenciamento de dispositivos distribuídos: Gerenciamento de ativos

Especificações da oferta Gerenciamento de dispositivos distribuídos: Gerenciamento de ativos Visão geral do Serviço Especificações da oferta Gerenciamento de dispositivos distribuídos: Gerenciamento de ativos Os Serviços de gerenciamento de dispositivos distribuídos ajudam você a controlar ativos

Leia mais

Norton Internet Security Guia do Usuário

Norton Internet Security Guia do Usuário Guia do Usuário Norton Internet Security Guia do Usuário O software descrito neste guia é fornecido sob um contrato de licença e pode ser usado somente conforme os termos do contrato. Documentação versão

Leia mais

Segurança de Rede Prof. João Bosco M. Sobral 1

Segurança de Rede Prof. João Bosco M. Sobral 1 1 Sinopse do capítulo Problemas de segurança para o campus. Soluções de segurança. Protegendo os dispositivos físicos. Protegendo a interface administrativa. Protegendo a comunicação entre roteadores.

Leia mais

PROGRAMA DE TREINAMENTO ACTIVE DIRECTORY DO WINDOWS SERVER 2003

PROGRAMA DE TREINAMENTO ACTIVE DIRECTORY DO WINDOWS SERVER 2003 PROGRAMA DE TREINAMENTO ACTIVE DIRECTORY DO WINDOWS SERVER 2003 CARGA HORÁRIA: 64 horas. O QUE É ESTE TREINAMENTO: O Treinamento Active Ditectory no Windows Server 2003 prepara o aluno a gerenciar domínios,

Leia mais

1 de 5 Firewall-Proxy-V4 :: MANTENDO O FOCO NO SEU NEGÓCIO ::

1 de 5 Firewall-Proxy-V4 :: MANTENDO O FOCO NO SEU NEGÓCIO :: 1 de 5 Firewall-Proxy-V4 D O C U M E N T A Ç Ã O C O M E R C I A L FIREWALL, PROXY, MSN :: MANTENDO O FOCO NO SEU NEGÓCIO :: Se o foco do seu negócio não é tecnologia, instalar e manter por conta própria

Leia mais

Fiery Network Controller para DocuColor 250/240 SERVER & CONTROLLER SOLUTIONS. Bem-vindo

Fiery Network Controller para DocuColor 250/240 SERVER & CONTROLLER SOLUTIONS. Bem-vindo Fiery Network Controller para DocuColor 250/240 SERVER & CONTROLLER SOLUTIONS Bem-vindo 2005 Electronics for Imaging, Inc. As informações nesta publicação estão cobertas pelos termos dos Avisos de caráter

Leia mais

Mecanismos para Controles de Segurança

Mecanismos para Controles de Segurança Centro Universitário de Mineiros - UNIFIMES Sistemas de Informação Segurança e Auditoria de Sistemas de Informação Mecanismos para Controles de Segurança Mineiros-Go, 12 de setembro de 2012. Profª. Esp.

Leia mais

LANDesk Security Suite

LANDesk Security Suite LANDesk Security Suite Proporcione aos seus ativos proteção integrada a partir de uma console única e intuitiva que integra múltiplas camadas de segurança. Aplique políticas de segurança à usuários e dispositivos

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Firewalls Prof. João Henrique Kleinschmidt Middleboxes RFC 3234: Middleboxes: Taxonomy and Issues Middlebox Dispositivo (box) intermediário que está no meio do caminho dos

Leia mais

Conectividade Social

Conectividade Social Conectividade Social Manual de configurações do Conectividade Social Empregador REROP/RJ Versão 1.0 Rio de Janeiro Outubro / 2004 REVISÕES Versão Data Propósito 1.0 19/10/2004 Criação do documento 2 Índice

Leia mais

Gerência de Redes de Computadores Gerência de Redes de Computadores As redes estão ficando cada vez mais importantes para as empresas Não são mais infra-estrutura dispensável: são de missão crítica, ou

Leia mais

OTES07 - Segurança da Informação Módulo 08: VPN

OTES07 - Segurança da Informação Módulo 08: VPN OTES07 - Segurança da Informação Módulo 08: VPN Prof. Charles Christian Miers e-mail:charles.miers@udesc.br VPN: Virtual Private Networks Uma Rede Virtual Privada (VPN) é um meio de simular uma rede privada

Leia mais

AGENTE PROFISSIONAL - ANALISTA DE REDES

AGENTE PROFISSIONAL - ANALISTA DE REDES Página 1 CONHECIMENTO ESPECÍFICO 01. Suponha um usuário acessando a Internet por meio de um enlace de 256K bps. O tempo mínimo necessário para transferir um arquivo de 1M byte é da ordem de A) 4 segundos.

Leia mais

Implementar servidores de Web/FTP e DFS. Disciplina: Serviços de Redes Microsoft Professor: Fernando Santorsula fernando.santorsula@esamc.

Implementar servidores de Web/FTP e DFS. Disciplina: Serviços de Redes Microsoft Professor: Fernando Santorsula fernando.santorsula@esamc. Implementar servidores de Web/FTP e DFS Disciplina: Serviços de Redes Microsoft Professor: Fernando Santorsula fernando.santorsula@esamc.br Conteúdo programático Introdução ao protocolo HTTP Serviço web

Leia mais

CONTROLE DE REDE. Prof. José Augusto Suruagy Monteiro

CONTROLE DE REDE. Prof. José Augusto Suruagy Monteiro CONTROLE DE REDE Prof. José Augusto Suruagy Monteiro 2 Capítulo 3 de William Stallings. SNMP, SNMPv2, SNMPv3, and RMON 1 and 2, 3rd. Edition. Addison-Wesley, 1999. Baseado em slides do Prof. Chu-Sing Yang

Leia mais

Roteamento e Comutação

Roteamento e Comutação Roteamento e Comutação Uma estação é considerada parte de uma LAN se pertencer fisicamente a ela. O critério de participação é geográfico. Quando precisamos de uma conexão virtual entre duas estações que

Leia mais

Manual de configurações do Conectividade Social Empregador

Manual de configurações do Conectividade Social Empregador Manual de configurações do Conectividade Social Empregador Índice 1. Condições para acesso 2 2. Requisitos para conexão 2 3. Pré-requisitos para utilização do Applet Java com Internet Explorer versão 5.01

Leia mais

Manual de referência do HP Web Jetadmin Database Connector Plug-in

Manual de referência do HP Web Jetadmin Database Connector Plug-in Manual de referência do HP Web Jetadmin Database Connector Plug-in Aviso sobre direitos autorais 2004 Copyright Hewlett-Packard Development Company, L.P. A reprodução, adaptação ou tradução sem permissão

Leia mais

Modelo de referência OSI. Modelo TCP/IP e Internet de cinco camadas

Modelo de referência OSI. Modelo TCP/IP e Internet de cinco camadas Modelo de referência OSI. Modelo TCP/IP e Internet de cinco camadas Conhecer os modelo OSI, e TCP/IP de cinco camadas. É importante ter um padrão para a interoperabilidade entre os sistemas para não ficarmos

Leia mais

Guia de administração. BlackBerry Professional Software para Microsoft Exchange. Versão: 4.1 Service pack: 4B

Guia de administração. BlackBerry Professional Software para Microsoft Exchange. Versão: 4.1 Service pack: 4B BlackBerry Professional Software para Microsoft Exchange Versão: 4.1 Service pack: 4B SWD-313211-0911044452-012 Conteúdo 1 Gerenciando contas de usuários... 7 Adicionar uma conta de usuário... 7 Adicionar

Leia mais

Gerenciamento unificado para milhares de ativos por toda a vida útil

Gerenciamento unificado para milhares de ativos por toda a vida útil Gerenciamento unificado milhares de ativos por toda a vida útil O Endpoint Manager da IBM, construído com tecnologia BigFix, oferece gerenciamento mais rápido e inteligente Destaques Gerencie milhares

Leia mais

REDES DE COMPUTADORES Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com.br

REDES DE COMPUTADORES Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com.br - Aula 2 - MODELO DE REFERÊNCIA TCP (RM TCP) 1. INTRODUÇÃO O modelo de referência TCP, foi muito usado pela rede ARPANET, e atualmente usado pela sua sucessora, a Internet Mundial. A ARPANET é de grande

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Administration Kit. Parte de Kaspersky Business Space Security Kaspersky Enterprise Space Security Kaspersky Total Space Security

Administration Kit. Parte de Kaspersky Business Space Security Kaspersky Enterprise Space Security Kaspersky Total Space Security Administration Kit Parte de Kaspersky Business Space Security Kaspersky Enterprise Space Security Kaspersky Total Space Security O Kaspersky Administration Kit é uma ferramenta de administração centralizada

Leia mais

REDES DE COMPUTADORES Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com

REDES DE COMPUTADORES Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com - Aula Complementar - MODELO DE REFERÊNCIA OSI Este modelo se baseia em uma proposta desenvolvida pela ISO (International Standards Organization) como um primeiro passo em direção a padronização dos protocolos

Leia mais

Pós Graduação Tecnologia da Informação UNESP Firewall

Pós Graduação Tecnologia da Informação UNESP Firewall Pós Graduação Tecnologia da Informação UNESP Firewall Douglas Costa Fábio Pirani Fernando Watanabe Jefferson Inoue Firewall O que é? Para que serve? É um programa usado para filtrar e dar segurança em

Leia mais

Fortaleza Digital. Aker FIREWALL UTM. Sua empresa mais forte com uma solução completa de segurança digital.

Fortaleza Digital. Aker FIREWALL UTM. Sua empresa mais forte com uma solução completa de segurança digital. Aker FIREWALL UTM Fortaleza Digital Sua empresa mais forte com uma solução completa de segurança digital. Ideal para o ambiente corporativo, com o Aker Firewall UTM você tem o controle total das informações

Leia mais

VPN - VIRTUAL PRIVATE NETWORK REDES VIRTUAIS PRIVADAS

VPN - VIRTUAL PRIVATE NETWORK REDES VIRTUAIS PRIVADAS VPN - VIRTUAL PRIVATE NETWORK REDES VIRTUAIS PRIVADAS Alfredo Alves da Silva Neto, Técnico em Eletrônica,CCNA-M4 pela academia Cisco Poli - UPE 2009 MCTIP MCTS MCT - Infra Estrutura Servidores e Virtualização

Leia mais

CA Nimsoft Monitor. Guia do Probe Monitoramento de conectividade de rede. net_connect série 3.0

CA Nimsoft Monitor. Guia do Probe Monitoramento de conectividade de rede. net_connect série 3.0 CA Nimsoft Monitor Guia do Probe Monitoramento de conectividade de rede net_connect série 3.0 Aviso de copyright do CA Nimsoft Monitor Este sistema de ajuda online (o Sistema ) destina-se somente para

Leia mais

Capítulo 8 - Aplicações em Redes

Capítulo 8 - Aplicações em Redes Capítulo 8 - Aplicações em Redes Prof. Othon Marcelo Nunes Batista Mestre em Informática 1 de 31 Roteiro Sistemas Operacionais em Rede Modelo Cliente-Servidor Modelo P2P (Peer-To-Peer) Aplicações e Protocolos

Leia mais

Laboratório de Redes de Computadores e Sistemas Operacionais

Laboratório de Redes de Computadores e Sistemas Operacionais Laboratório de Redes de Computadores e Sistemas Operacionais Serviços de Servidor TCP/IP Fabricio Breve Internet Information Services (IIS) Conjunto de serviços baseados em TCP/IP executados em um mesmo

Leia mais

Guia passo a passo de introdução ao Microsoft Windows Server Update Services

Guia passo a passo de introdução ao Microsoft Windows Server Update Services Guia passo a passo de introdução ao Microsoft Windows Server Update Services Microsoft Corporation Publicação: 14 de março de 2005 Autor: Tim Elhajj Editor: Sean Bentley Resumo Este documento fornece instruções

Leia mais

Módulo 9 Conjunto de Protocolos TCP/IP e endereçamento IP

Módulo 9 Conjunto de Protocolos TCP/IP e endereçamento IP CCNA 1 Conceitos Básicos de Redes Módulo 9 Conjunto de Protocolos TCP/IP e endereçamento IP Introdução ao TCP/IP 2 Modelo TCP/IP O Departamento de Defesa dos Estados Unidos (DoD) desenvolveu o modelo de

Leia mais

Segurança de Redes. Firewall. Filipe Raulino filipe.raulino@ifrn.edu.br

Segurança de Redes. Firewall. Filipe Raulino filipe.raulino@ifrn.edu.br Segurança de Redes Firewall Filipe Raulino filipe.raulino@ifrn.edu.br Introdução! O firewall é uma combinação de hardware e software que isola a rede local de uma organização da internet; Com ele é possível

Leia mais

Kaspersky Administration Kit 8.0 GUIA DO ADMINISTRADOR

Kaspersky Administration Kit 8.0 GUIA DO ADMINISTRADOR Kaspersky Administration Kit 8.0 GUIA DO ADMINISTRADOR V E R S Ã O D O A P L I C A T I V O : 8. 0 Caro usuário. Obrigado por escolher nosso produto. Esperamos que esta documentação lhe ajude em seu trabalho

Leia mais

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com /

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / andre.belini@ifsp.edu.br MATÉRIA: SEGURANÇA DA INFORMAÇÃO Aula N : 09 Tema:

Leia mais

Data: 22 de junho de 2004. E-mail: ana@lzt.com.br

Data: 22 de junho de 2004. E-mail: ana@lzt.com.br Data: 22 de junho de 2004. E-mail: ana@lzt.com.br Manual do Suporte LZT LZT Soluções em Informática Sumário VPN...3 O que é VPN...3 Configurando a VPN...3 Conectando a VPN... 14 Possíveis erros...16 Desconectando

Leia mais

Assumiu em 2002 um novo desafio profissional como empreendedor e Presidente do Teleco.

Assumiu em 2002 um novo desafio profissional como empreendedor e Presidente do Teleco. VPN: Redes Privadas Virtuais O objetivo deste tutorial é apresentar os tipos básicos de Redes Privadas Virtuais (VPN's) esclarecendo os significados variados que tem sido atribuído a este termo. Eduardo

Leia mais

Winconnection 6. Internet Gateway

Winconnection 6. Internet Gateway Winconnection 6 Internet Gateway Descrição Geral O Winconnection 6 é um gateway de acesso à internet desenvolvido dentro da filosofia UTM (Unified Threat Management). Assim centraliza as configurações

Leia mais

O que são DNS, SMTP e SNM

O que são DNS, SMTP e SNM O que são DNS, SMTP e SNM O DNS (Domain Name System) e um esquema de gerenciamento de nomes, hierárquico e distribuído. O DNS define a sintaxe dos nomes usados na Internet, regras para delegação de autoridade

Leia mais

Novell ZENworks Endpoint Security Management

Novell ZENworks Endpoint Security Management Guia do Usuário do Endpoint Security Client 4.0 December 22, 2008 AUTHORIZED DOCUMENTATION Novell ZENworks Endpoint Security Management 4.0 www.novell.com Guia do Usuário do ZENworks Endpoint Security

Leia mais

Versão 1.0 Janeiro de 2011. Xerox Phaser 3635MFP Plataforma de interface extensível

Versão 1.0 Janeiro de 2011. Xerox Phaser 3635MFP Plataforma de interface extensível Versão 1.0 Janeiro de 2011 Xerox Phaser 3635MFP 2011 Xerox Corporation. XEROX e XEROX e Design são marcas da Xerox Corporation nos Estados Unidos e/ou em outros países. São feitas alterações periodicamente

Leia mais