Aker Security Solutions 2

Transcrição

1 Versão 04/02/2013

2 Índice Índice... 2 Índice de Figuras Introdução Utilizando a Interface Remota Iniciando a interface remota Finalizando a administração remota Mudando sua senha de usuário Visualizando Informação de Sessão Administrando usuários Utilizando a Interface Remota Utilizando a Interface Texto Configurando os parâmetros configurações do sistema Utilizando a Interface Remota Utilizando a Interface Texto Cadastrando Entidades Planejando a instalação Cadastrando entidades utilizando a Interface Remota Utilizando a interface de texto Utilizando o Assistente de Entidades Configurando as Ações do sistema Utilizando a Interface Remota Utilizando a Interface Texto Visualizando Eventos do sistema Utilizando a Interface Remota Formato e significado dos campos das mensagens de eventos Utilizando a Interface Texto Utilizando o Gerador de Relatórios Acessando Relatórios Configurando os Relatórios Lista dos relatórios disponíveis Exportação Agendada de Eventos Acessando a Exportação Agendada Aker Security Solutions 2

3 9.2. Configurando a Exportação Configurando parâmetros de autenticação Utilizando a Interface Remota Utilizando a Interface Texto Perfil de Acesso de Usuários Planejando a instalação Cadastrando perfis de acesso Associando Usuários com Perfis de Acesso Perfil de Acesso de Usuários Visualizando e Removendo Usuários Logados no Aker Web Gateway Utilizando a Interface Texto Quotas Utilizando as quotas Editando os parâmetros do Uso da Quota Configurando Filtro Web Planejando a instalação Editando os parâmetros do Filtro Web Editando os parâmetros de Cache Editando os parâmetros Sessões Web Configurando o Proxy MSN Planejando a instalação Editando os parâmetros do Proxy Messenger Utilizando as Ferramentas da Interface Remota Chaves de Ativação Salvar configurações Carregar configurações DNS Reverso Atualizações Janela de Alarmes Visualizando o Estado dos Agentes Externos Visualizando estatísticas do sistema Utilizando a Interface Texto nas Chaves de Ativação Configurações TCP/IP Aker Security Solutions 3

4 17.1. DHCP DNS Interfaces de Rede Roteamento Geral Utilizando a Interface Texto na Configuração TCP/IP Configurando Proxy SSL Reverso Editando os parâmetros de um contexto SSL Configurando regras de Proxy SSL Reverso Proteção de Flood Utilizando a Interface Remota para Proteção de Flood Configurando o Web Gateway em Cluster Planejando a Instalação Configuração do Cluster Estatística do Cluster Utilizando a Interface Texto Aker Web Gateway Apêndica A Mensagens do Sistema Mensagens dos eventos do Aker Web Gateway Eventos gerados pelo Filtro Web Eventos gerados pelo Proxy MSN Índice de Figuras Figura 1 - Acessando o Aker Control Center Figura 2 - Janela de Acesso: Menu opções Figura 3 - Tempo de sessão ociosa Figura 4 - Esconder regras Figura 5 - Desabilitar perguntas Figura 6 - Escolha do idioma que deseja acessar o Aker Control Center Figura 7 - Cor de fundo do Aker Control Center Figura 8 - Selecionar cor Figura 9 - Botão: Padrão Figura 10 - Aviso de sair do programa Figura 11 - Menu Janelas...23 Aker Security Solutions 4

5 Figura 12 - Janela de Acesso: dispositivo remoto Figura 13 - Janela de Acesso: Entidades Figura 14 - Janela de Acesso: janelas Figura 15 - Configuração Automática de Atualização Figura 16 - Notificador de Atualizações Figura 17 - Notificador de Instalação de Atualizações Figura 18 - Atualizações prontas Figura 19 - Informações sobre o item: Sobre...26 Figura 20 - Janela de Acesso: Aker Web Gateway Figura 22 Botão: Criar novo dispositivo remoto Figura 25 Ícone utilizado para o carregamento de arquivo Figura 26 - Ícone utilizado para mostrar informações do certificado Figura 27 - Tipos de autenticação (usuário, domínio e senha) para editar o Dispositivo Remoto...32 Figura 28 Botão Conectar Figura 31 Botão: Sair deste programa Figura 32 AWG menu Ferramentas...35 Figura 33 Mudar senha...35 Figura 34 AWG menu Informação...36 Figura 35 Informação de sessão...37 Figura 0-16 AWG menu configurações...39 Figura 37 Usuários administradores...40 Figura 38 Aba Agentes externos...44 Figura 39 Aba X Figura 40 Interface Texto...49 Figura 41 Inclusão de usuário...50 Figura 42 Remoção de usuário...51 Figura 43 Listagem de usuários...51 Figura 44 Compactação do arquivo de usuários...52 Figura 45 Menu Configurações (Parâmetros de configuração)...54 Figura 46 Aba Global...55 Figura 47 Aba Log...57 Figura 47 Aba SNMP...60 Figura 48 Aba Serviços...62 Figura 49 Data/Hora...64 Figura 50 Entidades...74 Figura 51 - Entidades...74 Figura 52 Entidade tipo Máquina...76 Figura 53 Entidade tipo Rede...77 Figura 54 Entidade tipo Conjunto...78 Figura 55 Adicionando entidades...80 Aker Security Solutions 5

6 Figura 56 - Lista de categorias...81 Figura 57 Lista de padrões de Busca...82 Figura 58 - Quota...83 Figura 59 Lista de s...84 Figura 60 Lista de s (menu de opções)...85 Figura 61 Agentes externos...86 Figura 62 Agente externo (Autenticador )...88 Figura 63 Autoridade Certificadora...89 Figura 64 Pseudo-Grupo...90 Figura 65 (Módulo de antivírus e Servidor de log Remoto)...91 Figura 66 Autenticador LDAP...92 Figura 67 Autenticador Radius...94 Figura 68 - Serviço...96 Figura 69 Lista de tipos de arquivos...98 Figura 70 Adicionando tipo de arquivo...98 Figura 71 - Canais...99 Figura 72 Assistente de Entidades Figura 73 Selecionando o tipo de entidade Figura 74 Adicionando endereço IP Figura 75 Seleção de ícone Figura 76 Entidade esta pronta para ser utilizada Figura 77 Aker Web Gateway ( Ações) Figura 78 Aba Mensagens de eventos Figura 79 Opções de ações Figura 80 Ações (aba Parâmetros) Figura 81 Auditoria (Eventos) Figura 82 Barra de ferramentas (Eventos) Figura 83 Filtro de eventos Figura 84 Eventos Figura 85 Janela de exportação Figura 86 Auditoria (Relatório) Figura 87 Relatório Figura 88 Configuração de relatório aba Geral Figura 89 Configuração de relatório aba Sub-relatorio Figura 90 Configuração de relatório aba Método de Publicação (FTP) Figura 91 Configuração de relatório aba Método de Publicação (SMTP) Figura 92 Auditoria (Exportação agendada de eventos ) Figura 93 Exportação agendada de eventos Figura 94 Aba Geral Figura 95 Aba Método de Publicação (FTP) Figura Aker Security Solutions 6

7 Figura 97 Configuração (Autenticação) Figura 98 Aba Controle de Acesso Figura 99 Autenticação de acesso: Listagem de grupos ou usuários Figura 100 Autenticação de acesso: Escolha do perfil desejado Figura 101 Aba Métodos Figura Autenticação de acesso: Adicionar entidades Figura Autenticação de acesso: Remover entidades Figura 104 Aba Token Figura 105 Aba PKI Figura 106 Aba Autenticação para proxies Figura 0-2 Aba Autenticação Local Figura 0-3 Menu para inclusão de usuário Figura Criar ou remover grupos Figura 110 Autenticação (Alteração de senha ou grupo) Figura 111 Aba Controle de Acesso por IP Figura 112 Aba NTLM Figura 113 Autenticação Java Figura 114 Configuração (Perfis) Figura 115 Perfis Figura 116 Opções de configuração de perfil Figura 117 Perfis (Geral) Figura 118 Perfis (FTP/GOPHER) Figura 120 HTTP/HTTPS Figura 121 Aplicação (Bloqueio de banners) Figura 122 Bloqueio de banners... Figura 123 Aba Filtro de Url Figura 124 Menu de opções (Filtro de Url) Figura 125 Aba Arquivos Bloqueados Figura 126 Opções de operação Figura 127 MSM Messenger (Perfis) Figura 128 Menu de opções (MSN Messenger) Figura 129 Configurações (Autenticação) Figura 130 Autenticação Figura 131 Escolha de usuário Figura 132 Menu de opções Figura 133 Autenticação (Aba Controle de Acesso) Figura 134 Informação ( Usuários conectados) Figura 135 Usuários conectados Figura 136 Informação (Uso de quotas) Figura 137 Uso de quotas agrupamento por usuário Figura Uso de quotas agrupamento por quota Aker Security Solutions 7

8 Figura Conexão (Internet, rede interna, firewall e DMZ Figura 140 Aplicação (Filtro Web) Figura 141 Filtro Web (aba Geral) Figura 142 Filtro Web (aba Cliente de autenticação) Figura 143 Filtro web (aba Controle de conteúdo) Figura 144 Filtro web (aba Tipos de Arquivo) Figura 145 Opções de operação Figura 146 Filtro web (aba Tipo de Arquivo AV On Line) Figura 147 Filtro web (aba Antivírus) Figura 148 Filtro web (aba SSL) Figura 149 Filtro web (aba Avançado - Filtro de navegador) Figura 150 Filtro web (aba Avançado Reescrita de URLs) Figura 151 Filtro web (aba Avançado Stripping do cabeçalho HTTP) Figura 152 Aplicação (Cache) Figura Cache Figura 154 Configuração do nodo de cache Figura 155 Sessões web Figura 156 Aplicação (Proxy Messenger) Figura 157 Proxy Messenger (aba Tipo de Serviço) Figura 158 Proxy Messenger (aba Mensagens) Figura 159 Proxy Messenger (aba Controle de Acesso) Figura 160 Proxy Messenger (aba Configurações) Figura 161 Janela de ativação de Licença Figura 162 Icone para salvar configurações Figura 163 Janela para salvar configurações Figura 164 Icone para carregar configurações Figura 165 Janela para carregar configuração Figura 166 Ferramentas (DNS reverso) Figura 167 DNS reverso Figura 168 Janela de atualização do sistema Figura 169 Janela para carregar um arquivo de atualização Figura 170 Sistema de Atualização (aba Histórico) Figura 171 Ferramentas (Janela de alarmes) Figura 172 Janela de alarmes Figura 173 Informação (Agentes externos) Figura 174 Agentes externos Figura 175 Informação (Estatísticas do sistema) Figura 176 Estatística do sistema Figura DHCP Figura Relay DHCP entre redes Figura DNS Aker Security Solutions 8

9 Figura Interfaces de rede Figura Interfaces de redes Figura Menu: configuração ou modificação de endereço IP Figura Roteamento Figura 190 Modulo de configuração para interfaces de rede Figura 191 Configuração de interfaces Figura 192 Lista das interfaces de rede Figura 193 Nome da interface Figura 194 Configurar uma interface vlan filha Figura configurar álias para a interface Figura configurar interface para os novos valores Figura 197 Configuração de rotas estáticas Figura 198 Confirmar nova configuração Figura 199 Configuração DNS Figura 200 Configuração da rota padrão Figura 201 Janela de propriedades de um contexto SSL aba Geral (F5-aba serviço) Figura 202 Aba Certificado Figura 203 Configurando regras de proxy SSL reverso Figura 204 Configurações (Proteção de flood) Figura 205 Proteção de flood Figura 206 Configurações (Configuração do cluster) Figura 207 Criar Cluster Figura 208 Configuração do cluster Figura 209 Adicionar novo Web Gateway no cluster Figura 210 Informação (Estatística do Cluster) Figura Estatística do Cluster (aba nod) Figura Estatística do Cluster (aba Gráfico) Aker Security Solutions 9

10 Introdução Aker Security Solutions 10

11 1. Introdução Este é o manual do usuário da versão 1.5 do Aker Web Gateway. Nos próximos capítulos você aprenderá como configurar esta poderosa ferramenta de proteção às redes. Esta introdução tem como objetivo descrever a organização deste manual e tentar tornar sua leitura o mais simples e agradável possível. Aker Web Gateway será referenciado neste manual como AWG. Como está disposto este manual. Este manual está organizado em vários capítulos. Cada capítulo mostrará um aspecto da configuração do produto e todas as informações relevantes ao aspecto tratado. Todos os capítulos começam com uma introdução teórica sobre o tema a ser tratado seguido dos aspectos específicos de configuração do Aker Web Gateway. Juntamente com esta introdução teórica, alguns módulos possuem exemplos práticos do uso do serviço a ser configurado, em situações hipotéticas, porém bastante próximas da realidade. Buscamos com isso tornar o entendimento das diversas variáveis de configuração o mais simples possível. Recomendamos que este manual seja lido pelo menos uma vez por inteiro, na ordem apresentada. Posteriormente, se for necessário, pode-se usá-lo como fonte de referência (para facilitar seu uso como referência, os capítulos estão divididos em tópicos, com acesso imediato pelo índice principal. Desta forma, pode-se achar facilmente a informação desejada). Em vários locais deste manual, aparecerá o símbolo seguido de uma frase escrita em letras vermelhas. Isto significa que a frase em questão é uma observação muito importante e deve ser totalmente entendida antes de prosseguir com a leitura do capítulo. Interface Texto e Interface Remota O Aker Web Gateway possui duas interfaces distintas para sua configuração: uma Interface Remota e uma Interface Texto local. A Interface Remota A Interface Remota é chamada de remota porque através dela é possível administrar remotamente, via Internet, um Aker Web Gateway localizado em qualquer parte do mundo. Esta administração é feita através de um canal seguro entre a interface e o Aker Web Gateway, com um forte esquema de autenticação e criptografia, de modo a torná-la totalmente segura. Aker Security Solutions 11

12 A Interface Remota é de uso bastante intuitivo e está disponível para plataformas Windows XP TM, Windows Vista TM, Windows 7 TM, Windows 8 TM e Linux e sob demanda em outras distribuições Unix. A Interface Texto A Interface Texto é uma interface orientada à linha de comando que roda na máquina onde o Aker Web Gateway está instalado. O seu objetivo básico é possibilitar a automação de tarefas da administração do Aker Web Gateway (através da criação de scripts) e possibilitar uma interação de qualquer script escrito pelo administrador com o Aker Web Gateway. Praticamente todas as variáveis que podem ser configuradas pela Interface Remota poderão ser configuradas também pela Interface Texto. Como as duas interfaces tratam das mesmas variáveis, a funcionalidade, os valores e os comentários destas têm validade tanto para Interface Remota quanto para a Interface Texto. Devido a isso, os tópicos referentes à Interface Texto normalmente serão curtos e se limitarão a mostrar seu funcionamento. Caso tenha dúvida sobre algum parâmetro, deve-se recorrer à explicação do mesmo no tópico relativo à Interface Remota. É possível o uso simultâneo de várias interfaces gráficas para um mesmo AWG, entretanto apenas o primeiro a se conectar terá acesso de administração. O Aker Web Gateway A produtividade é fundamental para todas as empresas. Para isso, buscam utilizar de forma racional seus recursos de rede. Apesar de a Web ser uma incrível ferramenta de trabalho, ela também pode causar uma enorme queda na produtividade. Definir algumas regras pode proteger seu negócio e seus funcionários. Páginas Web contêm programas que são usualmente inocentes e algumas vezes úteis - por exemplo, animações e menus pop-up. Mas existem sites questionáveis e maliciosos que nem sempre estão com as melhores intenções. Ao navegar na Web, operadores de sites podem identificar seu computador na Internet, dizer quais páginas você acessou, de que página você veio, usar cookies para criar um perfil seu e instalar spywares em seu computador - tudo sem o seu conhecimento. Worms destrutivos podem ainda entrar em seu sistema através de seu navegador. O Aker Web Gateway foi desenvolvido para permitir que as empresas aproveitem todos os benefícios da Internet, sem correr estes riscos e sem perder a produtividade dos seus funcionários. Cookies: são informações que um servidor web pode armazenar temporariamente junto a um browser. Os cookies são usados para manter informações de estado Aker Security Solutions 12

13 enquanto você navega em páginas diferentes em um site da Web ou retorna ao site da Web em um momento posterior. ; Spywares: são programas de computador que, em vez de serem úteis, tentam rastrear alguma informação do computador, como os sites que são navegados, programas que possui e outras informações do seu computador; Worms: é um software que tem objetivos maliciosos. Neles se incluem: trojans, vírus e spywares. Além de atividades maliciosas instigadas por usuários externos, os negócios podem ser colocados em uma posição vulnerável por funcionários que se engajarem em uma atividade ilegal e/ou indesejável durante o horário de trabalho e usando computadores da empresa. Características do Aker Web Gateway? Possui cache interno e permite a configuração hierárquica de cachês; Realiza autenticação de usuários (via applet java ou outro método); Opera em modos transparente e não transparente; Suporta os protocolos HTTP, FTP e HTTPS; Possui antivírus interno; Possibilidade em trabalhar com antivírus externo; Faz a filtragem de categorias por usuários, grupos e endereços IP; Suporta filtragem de categorias por horário, possibilita a criação de novas categorias pelo administrador do sistema; Possibilita a criação de novas categorias pela Aker (que deverão ser baixadas automaticamente, sem a necessidade de realização de upgrades ou instalação de patches); Permite a limitação da navegação por tempo (estimando o tempo de acesso de cada página), kbytes e tempo de login (número de horas logado, mesmo sem acessar nenhuma página); Possui sistema de quota de navegação flexível, com a opção da criação de cotas diárias, semanais, mensais ou únicas (é uma cota fixa de navegação que uma vez utilizada não é renovada), por usuário, grupos ou endereços IP; O produto é gerenciado remotamente pelo Aker Control Center; Aker Security Solutions 13

14 Permite a criação de diversos relatórios, por exemplo: categoria dos sites acessados, MSN - Duração do chat, quota bytes consumidos, sites bloqueados por usuário, downloads bloqueados por usuário, sites por usuário e categorias bloqueadas por usuário; Gera uma macro com a categoria de um site ao bloquear um acesso e redirecionálo para a página de bloqueio; Permite que se tenha páginas de redirecionamento personalizado; Filtragem de MSN Messenger; Autenticação transparente via NTLM. Copyrights do Sistema Copyright (c) Aker Security Solutions; Utiliza a biblioteca SSL escrita por Eric Young (cay@mincon.oz.au). Copyright 1995 Eric Young; Utiliza o algoritmo AES implementação do Dr. B. R. Gladman (brg@gladman.uk.net); Utiliza o algoritmo MD5 retirado da RFC Copyright RSA Data Security, Inc; Utiliza a biblioteca CMU SNMP. Copyright 1997 Carnegie Mellon University; Utiliza a biblioteca de compressão Zlib. Copyright Jean-loup Gailly and Mark Adler; Utiliza a biblioteca QWT escrita por Josef Wilgen. Copyright 1997; Inclui software desenvolvido pela Universidade da California, Berkeley e seus colaboradores; Inclui software desenvolvido por Luigi Rizzo, Universita` di Pisa Portions Copyright 2000 Akamba Corp; Inclui software desenvolvido por Niklas Hallqvist, Angelos D. Keromytis and Haan Olsson; Inclui software desenvolvido por Ericsson Radio Systems. Aker Security Solutions 14

15 Utilizando a Interface Remota Aker Security Solutions 15

16 2. Utilizando a Interface Remota Neste capítulo mostraremos como funciona a Interface Remota de administração do Aker Web Gateway. Aker Web Gateway será referenciado neste manual como AWG. O que é a administração remota do Aker Web Gateway? O Aker Web Gateway pode ser totalmente configurado e administrado remotamente a partir de qualquer máquina que possua um sistema operacional compatível com uma das versões da interface remota, que tenha TCP/IP e que consiga acessar a máquina na qual o AWG se encontra. Isto permite um alto grau de flexibilidade e facilidade de administração, possibilitando que um administrador monitore e configure vários Aker Web Gateways a partir de sua estação de trabalho. Além dessa facilidade, a administração remota permite uma economia de recursos na medida em que possibilita que a máquina que rode o Aker Web Gateway não possua monitor e outros periféricos. Como funciona a administração remota do Aker Web Gateway? Para possibilitar a administração remota existe um processo rodando na máquina do Aker Web Gateway responsável por receber as conexões, validar os usuários e executar as tarefas solicitadas por estes usuários. Quando um usuário inicia uma sessão de administração remota, a Interface Remota estabelece uma conexão com o módulo de administração remota do Aker Web Gateway e mantém esta conexão aberta até que o usuário finalize a sessão. Toda a comunicação entre a interface remota e o Aker Web Gateway é feita de maneira segura, utilizando-se criptografia e autenticação. Para cada sessão são geradas novas chaves de criptografia e autenticação. Além disso, são empregadas técnicas de segurança para impedir outros tipos de ataques, como por exemplo: ataques de repetição de pacotes. Seguem comentários sobre algumas observações importantes sobre a administração remota: 1. Só é possível a abertura de uma conexão de administração remota em um determinado instante. Se já existir uma interface conectada, pedidos subsequentes de conexão irão assumir o status read-only e a interface remota informará que já existe uma sessão ativa; 2. Cada um dos usuários que for utilizar a interface remota deve estar cadastrado no sistema. O programa de instalação pode criar automaticamente um administrador com poderes para cadastrar os demais administradores. Caso se tenha eliminado este administrador ou perdido sua senha, é necessário o uso do módulo local da Interface Remota ou da Interface Texto para criar um novo Aker Security Solutions 16

17 administrador. Detalhes de como fazer isso se encontram no capítulo intitulado: Administrando Usuários do Aker Web Gateway. Como utilizar a interface A interface é bastante simples de ser utilizada, entretanto, existe uma observação que deve ser comentada: Os botões, esquerdo e direito do mouse, tem funções diferentes na interface. O botão esquerdo é usado para selecionar entradas em uma lista e para clicar em botões. O botão direito tem como função mostrar um menu de opções para uma determinada lista. Aker Security Solutions 17

18 2.1. Iniciando a interface remota Para iniciar a execução da Interface Remota deve-se executar um dos seguintes passos: Em máquinas Windows, clicar no menu Iniciar e selecionar o Aker Control Center 2. É exibida a seguinte janela: Figura 1 - Acessando o Aker Control Center 2. Em Linux deve-se acessar o diretório de instalação do Control Center e executar o seguinte script: 'aker_control_center2_init.sh'. A janela mostrada acima é a principal do AWG e é a partir dela que se tem acesso a todas as opções de configuração, inclusive à ativação da licença do Aker Web Gateway (AWG). Sem ativação da licença não é possível realizar as configurações subsequentes. No primeiro acesso, todos os dados referentes à licença aparecem em branco e habilitados para que o Administrador possa carregá-lo. A Licença de Uso consta em Aker Security Solutions 18

19 um arquivo, que, será indicado após o botão Carregar ter sido clicado, e assim que forem confirmados, os dados carregados, a janela abre com todos os dados da licença atual, então, surgirá uma janela confirmando e reiniciando o dispositivo. Portanto clique no botão Carregar, no canto superior direito da interface: A Interface Remota é composta de 4 menus descritos brevemente a seguir: Opções O menu Opções contém as configurações relacionadas ao layout da Interface Remota. Figura 2 - Janela de Acesso: Menu opções. Ao clicar neste menu, as seguintes opções aparecem: Mostrar Tooltips: é uma dica de contexto. É aquela moldura pop up que abre quando você passa o mouse sobre um elemento HTML (normalmente uma palavra em um texto) e que contém uma explicação adicional sobre aquele elemento que recebeu o ponteiro do mouse sobre ele. Sessão ociosa: Permite definir o tempo máximo, em minutos, que a interface permanecerá conectada ao AWG sem receber nenhum comando do administrador. Assim que este tempo limite for atingido, a interface automaticamente será desconectada do AWG, permitindo que uma nova sessão seja estabelecida. Seu valor pode variar entre 1 e 60. A caixa Sem limite quando estiver marcada não desconectará a interface do AWG. O Valor padrão é de 1 minuto. Após alterações clicar no botão OK, caso não realize nenhuma alteração, clicar no botão Cancelar. Aker Security Solutions 19

20 Figura 3 - Tempo de sessão ociosa. Remoção: Caso deseje remover alguma regra, filtro, etc., será enviado uma mensagem com um a pergunta se deseja realmente remover o item selecionado; Suprimir plugins inexistentes: caso não tenha um plugin da Aker instalado, ao clicar nessa opção, será mostrada a mensagem do que está faltando. Aker Web Gateways (Esta opção terá o nome que foi defino ao criar o dispositivo remoto):este menu serve para cadastrar mais Aker Web Gateways na Interface Remota de modo que possibilite simultaneamente a administração de diversos Aker Web Gateways. Com a interface conectada a mais de um Aker Web Gateway simultaneamente, é possível usar a facilidade de arrastar-e-soltar as entidades e regras entre Aker Web Gateways, de modo a facilitar a replicação de determinadas configurações entre eles. Este menu será descrito em detalhes mais abaixo. Figura 4 - Esconder regras. Esconder regras: colapsa as politicas de regra. Desabilitar perguntas Figura 5 - Desabilitar perguntas. Assistente de regras de filtragem: assistente para a criação de regras de filtragem; Assistente de Nat: cria regras de Nat; Verificador de regras: checagem das regras de filtragem para verificar se não há regras sobrepostas. Aker Security Solutions 20

21 Idiomas: é possível escolher em qual idioma deseja acessar a Interface Remota (Inglês ou Português). Figura 6 - Escolha do idioma que deseja acessar o Aker Control Center. Editar cor de fundo: é possível escolher com qual cor de fundo deseja-se trabalhar. Posteriormente serão dados maiores explicações; Figura 7 - Cor de fundo do Aker Control Center. o Formato: define o formato como deseja padronizar a tela do Aker Control Center: o Pontos: podem-se alterar as cores finais e iniciais. Basta escolher a cor e clicar no botão OK. Aker Security Solutions 21

22 Figura 8 - Selecionar cor. o Opção Padrão: Quando selecionada está opção a tela seguirá com uma configuração padrão pré-determinada pela Aker. Figura 9 - Botão: Padrão. Após realizar as escolhas desejadas, clicar no botão OK. Sair: Quando selecionada a opção sair surgirá à mensagem abaixo: Figura 10 - Aviso de sair do programa. Se clicar no botão Sim a Interface Remota será fechada, se clicar no botão Não, a interface continua aberta. Aker Security Solutions 22

23 Janelas O Menu Janelas possui as funções de configuração das janelas abertas e da barra de menu. Figura 11 - Menu Janelas. Barra de ferramentas: esta opção permite definir se a barra de ferramentas na parte superior da janela principal será mostrada ou não. Janelas: mostra o item de dispositivos remotos (essa opção também pode ser acessada pressionando o botão do teclado F9 ). Figura 12 - Janela de Acesso: dispositivo remoto. Entidades: mostra as entidades (pode também ser acessada pressionando o botão F9 do teclado). Aker Security Solutions 23

24 Figura 13 - Janela de Acesso: Entidades. Lado a Lado: selecionando esta opção, as janelas abertas do lado direito da Interface Remota se ajustam de forma que todas aparecem visíveis. Cascata: esta opção faz com que as janelas abertas no lado direito da Interface Remota fiquem posicionadas em forma de cascata, uma na frente da outra. Janelas: Figura 14 - Janela de Acesso: janelas. Configuração de atualização automática: permite a configuração automática. Nesta janela é possível Habilitar atualização automática, Baixar atualizações automaticamente, e Habilitar atualizações dos manuais. Figura 15 - Configuração Automática de Atualização. Realizado as escolhas, basta clicar no botão OK. Aker Security Solutions 24

25 Janelas de Atualizações: neste menu encontram-se os itens Janelas de Downloads que mostram as atualizações que se deseja baixar. Figura 16 - Notificador de Atualizações. A janela Notificador de Instalação de Atualizações' permite selecionar as atualizações que se deseja instalar. Figura 17 - Notificador de Instalação de Atualizações. Busca por atualizações: Quando selecionada esta opção uma busca por atualizações pendentes é realizada, conforme mostra imagem abaixo: Aker Security Solutions 25

26 Figura 18 - Atualizações prontas. Sobre: mostra informações sobre o Aker Control Center. Para encerrar, clicar no botão OK. Figura 19 - Informações sobre o item: Sobre Aker Security Solutions 26

27 Aker Web Gateway Figura 20 - Janela de Acesso: Aker Web Gateway. Inicialmente nem todas as opções dos menus se encontram habilitadas, por funcionarem apenas quando houver uma conexão estabelecida. Para ter acesso às demais opções devem estabelecer uma sessão de administração remota com o dispositivo que deseja administrar. Para tanto se devem seguir os seguintes passos: Cadastrar o Aker Web Gateway selecionando o menu Aker Web Gateway e a opção Novo dispositivo remoto. Selecionar o dispositivo com o qual se deseja conectar; Clicar na opção Conectar. Novo Dispositivo Remoto: Cadastra um novo disposto Editar: realiza edições; Excluir: exclui dispositivo; Conectar ao dispositivo selecionado: conecta ao dispositivo; Reiniciar dispositivo: reinicia o mesmo; Desligar dispositivo: desliga o dispositivo remoto; Salva backup automaticamente: os backups serão salvos. Os itens descritos acima serão abordados nas próximas páginas. Aker Security Solutions 27

28 Textos nos botões: marcando esta opção será mostrada juntamente com cada ícone a ação correspondente do botão. Desmarcando esta opção, será mostrado apenas o ícone. Dicas para Entidades: quando esta opção estiver ativada, uma pequena caixa com a descrição de cada entidade irá aparecer quando o mouse for passado sobre seu ícone. Figura 21 - Caixa de descrição de entidade. Mostrar ícones nos botões: esta opção, se ativada, faz com que sejam mostrados ícones nos botões OK, Cancelar e Aplicar das janelas. Janelas: esta opção permite mostrar ou não as janelas padrão do sistema: ajuda, AWG e entidades. Cadastrando Gateways Nesta seção demonstramos como cadastrar um ou mais AWGs quando selecionamos a opção Novo dispositivo remoto dentro do menu Gateway ou no ícone Criar dispositivo remoto. Figura 22 Botão: Criar novo dispositivo remoto. Aparecerá a seguinte janela Editar Dispositivo remoto. Nessa janela, é possível escolher o tipo de autenticação desejada. De acordo com cada opção a janela será alterada, mostrando os campos correspondentes. Tipo de Autenticação: Usuário/Senha Aker Security Solutions 28

29 Figura 23 - Caixa de edição do dispositivo remoto. Modo de demonstração: Quando selecionada essa opção, será criado um AWG de demonstração com uma configuração padronizada. Nenhuma conexão real será feita ao tentar se conectar neste dispositivo, podendo-se criar quantos AWGs de demonstração for desejado, cada um com a configuração distinta um do outro; Nome: cadastrar o nome pelo qual o dispositivo será referenciado na Interface Remota; Nome da máquina: Caso o servidor do AWG no qual se deseja conectar possua um nome associado ao IP da máquina, basta colocar este nome nesta opção para que o Control Center resolva o DNS automaticamente e se conecte no servidor; Endereço IPv4 e IPv6: cadastrar o endereço IP para conectar no AWG; Usuário: esse campo identifica o usuário que acessará o AWG. Este campo grava o usuário, onde aparecerá todas as vezes que o AWG for acessado. Senha: a senha do usuário. Caso deixe a caixa Salvar Senha marcada, não será necessário digitar a senha quando fizer a conexão (a senha aparecerá na tela como vários asteriscos * ). Caso ela esteja desmarcada, este campo estará desabilitado. A cada 3 tentativas inválidas, o cliente é bloqueado de acessar a Control Center por 3 minutos. A cada tentativa inválida gera-se um evento Excesso de tentativas invalidas do módulo Daemons do AWG. Aker Security Solutions 29

30 No final basta clicar em OK e o dispositivo estará cadastrado, como o tipo de autenticação selecionado. No caso de cancelar o cadastro do dispositivo, basta clicar em Cancelar. Tipo de Autenticação: X.509 Figura 24 - Informações requeridas para Editar o Dispositivo Remoto. Essa opção permite autenticação com certificação digital X509. Certificado da CA: representa o certificado raiz da autoridade certificadora, mostra o Domínio (C.N) desse certificado. Aker Security Solutions 30

31 Ao clicar no ícone mostrado abaixo, carrega-se um arquivo com extensão *.cer/*.crt que contém o certificado. Figura 25 Ícone utilizado para o carregamento de arquivo. O ícone a seguir, mostra um resumo das informações do certificado. Figura 26 - Ícone utilizado para mostrar informações do certificado. Certificado do Usuário: essa opção permite carregar um pacote de certificado no formato PKCS#12. Ele desmembra o pacote em dois arquivos, um com o certificado e outro com a chave. Carrega um certificado com uma senha e a outra senha é para salvar o arquivo da chave, salvando assim, de forma encriptada. Senha: Senha com a qual a chave primária foi salva. Se informar (cadastro), decifra a chave e manda para o AWG fazer a autenticação. Caso deixe a caixa Salvar Senha marcada, não será necessário digitar a senha quando fizer a conexão (a senha aparecerá na tela como vários asteriscos * ). Caso ela esteja desmarcada, este campo estará desabilitado. Alterar Senha: Altera a senha cadastrada no campo senha. Salvar Senha: Permite que a senha seja salva automaticamente. Aker Security Solutions 31

32 Tipo de Autenticação: Agente externo usuário/senha Figura 27 - Tipos de autenticação (usuário, domínio e senha) para editar o Dispositivo Remoto. Essa opção permite autenticação por meio de Agentes Externos. Usuário: O usuário que acessará o AWG. Este campo grava o usuário, é onde aparecerá todas as vezes que o AWG for acessado. Domínio: Nome do domínio no qual o agente externo está rodando Senha: A senha do usuário. Caso deixe a caixa Salvar Senha marcada, não será necessário digitar a senha quando fizer a conexão (a senha aparecerá na tela como vários asteriscos * ). Caso ela esteja desmarcada, este campo estará desabilitado. Fingerprint: É um resumo da identificação do certificado digital do AWG. Essa opção possibilita ao usuário identificar quando tem uma mudança do AWG que se costuma conectar. Observação: Na primeira vez que há a tentativa da conexão não haverá a identificação do AWG. A partir da segunda vez todas às vezes que é conectado vai comparar com o fingerprint. Aker Security Solutions 32

33 Eraser Fingerprint: Zera e começa do estado inicial. Se há uma troca do AWG a identificação será diferente, então não será possível à conexão, somente se clicar no erase fingerprint. Depois de cadastrarmos o dispositivo, pode-se clicar duas vezes no ícone do AWG criado, no lado esquerdo da janela, ou clicar uma vez para selecioná-lo e, em seguida, no botão Conectar. Figura 28 Botão Conectar. Ele fará com que a interface se conecte ao dispositivo escolhido, como mostrado na figura abaixo: Figura 29 - Interface conectada ao AWG escolhido. Aker Security Solutions 33

34 2.2. Finalizando a administração remota Existem três formas de finalizar a administração remota do Aker Web Gateway: Finalizando a sessão clicando com o botão direito do mouse no AWG conectado e selecionando Desconectar do dispositivo remoto ; Figura 30 - Desconectar do dispositivo remoto. Clicando em Desconectar do dispositivo remoto na barra de ferramentas ou fechando a Interface Remota. Neste caso você perderá a conexão com todos os dispositivos que estiverem conectados. Caso queira sair do programa, deve-se clicar no botão Sair, na barra de ferramentas da janela principal ou clicar no x no canto superior direito da janela. Figura 31 Botão: Sair deste programa Mudando sua senha de usuário É possível para qualquer usuário do AWG alterar a sua senha sempre que desejado. Para tanto se deve primeiro estabelecer uma sessão de administração (como mostrado no tópico Iniciando a interface remota) e após isso executar os seguintes passos: Aker Security Solutions 34

35 Figura 32 AWG menu Ferramentas Selecionar o Web Gateway a ser configurado. Clicar em Ferramentas. Clicar duas vezes em Mudar senha. Será mostrada então a seguinte janela: Figura 33 Mudar senha Deve-se digitar a senha anterior no campo Senha antiga e digitar a nova senha nos campos Nova senha e Confirmar a nova senha (as senhas aparecerão na tela como vários asteriscos "*"). Após preencher os campos, deve-se pressionar o botão OK, para alterar a senha ou o botão Cancelar, caso não queira mudá-la. Aker Security Solutions 35

36 2.4. Visualizando Informação de Sessão É possível a qualquer momento visualizar algumas informações sobre a sessão de administração ativa. Para isso existe uma janela específica que mostra informações úteis como: login, nome e direitos do usuário que está administrando o Web Gateway e a versão e o release do AWG que estiver sendo administrado. São mostradas também a hora de início da conexão e há quanto tempo ela está ativa. Para abrir esta janela, execute os seguintes passos: Figura 34 AWG menu Informação Selecionar o Aker Web Gateway a ser configurado; Clicar em Informação; Clicar duas vezes em Informação de sessão. Será mostrada então a seguinte janela: Aker Security Solutions 36

37 Figura 35 Informação de sessão Aker Security Solutions 37

38 Administrando usuários Aker Security Solutions 38

39 3. Administrando usuários Neste capítulo mostraremos como criar os usuários que irão administrar remotamente o Aker Web Gateway. Aker Web Gateway será referenciado neste manual como AWG. Quem são os usuários do Aker Web Gateway? Para que alguma pessoa consiga administrar remotamente o Aker Web Gateway é preciso ser reconhecida e validada pelo sistema. Esta validação é feita na forma de senhas, sendo que cada um dos administradores deverá ser previamente cadastrado com um login e uma senha, já definindo as suas atribuições. Além disso, o Aker Web Gateway permite a existência de vários administradores distintos, cada um responsável por uma determinada tarefa da administração. Isso, além de facilitar a administração, permite um maior controle e uma maior segurança Utilizando a Interface Remota Para ter acesso à janela de administração de usuários, na interface remota deve-se: Figura 6 AWG menu configurações Clicar em Configurações da janela do Aker Web Gateway que quer administrar Selecionar o item Usuários Administrativos Aker Security Solutions 39

40 Esta opção só estará habilitada se o usuário que estiver com a sessão aberta na interface remota, tiver autoridade para gerenciar usuários. Isso será comentado em detalhes no próximo tópico. A janela de Usuários Administrativos Aba usuários internos Figura 37 Usuários administradores Esta janela consiste de uma lista de todos os usuários atualmente definidos para acesso à administração do Aker Web Gateway, além de um segredo compartilhado (ou senha), para administração centralizada pelo Aker Configuration Manager. Não havendo o segredo compartilhado, a configuração será apenas efetuado pelos usuários cadastrados. Para cada usuário, é mostrado seu login, seu nome completo e suas permissões: Aker Security Solutions 40

41 O botão OK fará com que a janela de administração de usuários seja fechada e as modificações salvas; O botão Aplicar fará com que as alterações realizadas sobre um determinado usuário sejam aplicadas, isto é, realizadas permanentemente, sem fechar a janela; O botão Cancelar fechará a janela de administração de usuários e descartará todas as alterações efetuadas; Quando um usuário for selecionado, os seus atributos completos serão mostrados nos campos Permissões. Para alterar os atributos de um usuário, deve-se proceder da seguinte forma: 1. Selecionar o usuário a ser alterado clicando sobre seu nome com o botão esquerdo do mouse. Neste momento serão mostrados os seus atributos nos campos após a listagem de usuários; 2. Alterar o valor dos atributos desejados e clicar no botão Aplicar ou no botão OK. A partir deste momento as alterações serão efetivadas. Para incluir um usuário na lista, deve-se proceder da seguinte forma: 1. Clicar com o botão direito do mouse em qualquer lugar da área reservada para mostrar a lista (aparecerá o botão Inserir) e selecionar a opção Incluir no menu pop-up ou clicar no ícone que representa a inclusão na barra de ferramentas; 2. Preenche os campos do usuário a ser incluído e clicar no botão Aplicar ou no botão OK. Para remover um usuário da lista, deve-se proceder da seguinte forma: 1. Selecionar o usuário a ser removido, clicando sobre seu nome com o botão esquerdo do mouse e clicar no ícone que representa a remoção na barra de ferramentas; ou 2. Clicar com o botão direito do mouse sobre o nome do usuário a ser removido e selecionar a opção Excluir no menu pop-up. Significado dos atributos de um usuário Login É a identificação do usuário para o Aker Web Gateway. Não podem existir dois usuários com o mesmo login. Este login será pedido ao administrador do Aker Web Gateway quando este for estabelecer uma sessão de administração remota. O login deve ter entre 1 e 14 caracteres. Não há diferenças entre letras maiúsculas e minúsculas neste campo. Aker Security Solutions 41

42 Nome Este campo contém o nome completo do usuário associado ao login. Os seus objetivos são de informação, não sendo usado para qualquer validação. Este nome deve ser um conjunto de caracteres de comprimento entre 0 e 40. Senha Este campo será usado em conjunto com o campo login para identificar um usuário perante o Aker Web Gateway. Ao digitar a senha, serão mostrados na tela asteriscos "*" ao invés das letras. O campo senha deve ter no máximo 14 caracteres. Seu tamanho mínimo é configurável por meio da janela de parâmetros da interface (para maiores informações veja o tópico Utilizando a interface remota ). Neste campo, letras maiúsculas e minúsculas são consideradas diferentes. É extremamente importante que as senhas usadas tenham um comprimento grande, o mais próximo possível do limite de 14 caracteres. Além disso, deve-se sempre utilizar uma combinação de letras minúsculas, maiúsculas, números e caracteres especiais nas senhas (caracteres especiais são aqueles encontrados no teclado dos computadores e que não são números nem letras: "$", "&", "]", etc.). Nunca use como senhas palavras em qualquer idioma ou apenas números. Confirmação Este campo serve para confirmar a senha digitada no campo anterior, uma vez que esta aparece como asteriscos. Permissões Este campo define o que um usuário pode fazer dentro do Aker Web Gateway. Ele consiste de três opções que podem ser marcadas independentemente. O objetivo destas permissões é possibilitar a criação de uma administração descentralizada para o Aker Web Gateway. É possível por exemplo, numa empresa que possua vários departamentos e vários Aker Web Gateways, deixar um administrador responsável pela configuração de cada um dos produtos e um responsável central com a tarefa de supervisionar a administração. Este supervisor seria a única pessoa capaz de apagar e alterar a configuração de log e eventos dos Aker Web Gateways. Desta forma, apesar de cada departamento ter autonomia de administração é possível ter um controle central do que cada administrador alterou na configuração e quando ele realizou cada alteração. Isto é um recurso muito importante para realizar auditorias internas, além de aumentar a segurança da administração. Aker Security Solutions 42

43 Caso um usuário não possua nenhum atributo de autoridade, então, esse terá permissão apenas para visualizar a configuração do Aker Web Gateway e compactar os arquivos de log e de eventos. Configurar Servidor Se esta permissão estiver marcada, o usuário em questão poderá administrar o Aker Web Gateway, isto é, alterar a configuração das entidades, regras de filtragem, conversão de endereços, criptografia, proxies e parâmetros de configuração que não estejam relacionados ao log. Configurar Log Se esta opção estiver marcada, o usuário em questão terá poderes para alterar os parâmetros relacionados ao log (como por exemplo, tempo de permanência do log), alterar a configuração da janela de ações (tanto as mensagens quanto os parâmetros) e apagar permanentemente o log e os eventos. Administrar usuários Se esta opção estiver marcada, o usuário em questão terá acesso à janela de administração de usuários, podendo incluir, editar e excluir outros usuários. Um usuário que possuir esta autoridade somente poderá criar, editar ou excluir usuários com autoridades iguais ou menores às que ele possuir (por exemplo, se um usuário tiver poderes de gerenciar usuários e configurar log, então ele poderá criar usuários que não possuam nenhuma autoridade, que somente possam configurar o log, que somente possam criar novos usuários ou que possam gerenciar usuários e configurar log. Ele não poderá nunca criar, nem editar ou excluir, um usuário que possa configurar o Aker Web Gateway). Aker Security Solutions 43

44 Aba Agentes Externos Figura 38 Aba Agentes externos Esta aba consiste na configuração dos agentes externos que serão utilizados para a autenticação dos usuários que administram o Aker Web Gateway, definindo assim regras de autenticação para o acesso destes. Habilitar autenticação via agentes externos Ao selecionar essa opção permite a autenticação dos usuários, por meio dos agentes externos que estão cadastrados no Aker Web Gateway. Permite definir o autenticador externo, qual o usuário/grupo que ele pertence, quais as suas permissões de acesso e a definição das entidades que o usuário utilizará para conectar ao Aker Web Gateway. Autenticador Ao clicar com o botão direito em cima da opção autenticador, poderá selecionar um autenticador (agente externo) habilitados na Janela autenticação aba Métodos. Esse Aker Security Solutions 44

45 autenticador será responsável por intermediar o processo de autenticação da interface com o Aker Web Gateway. Usuário/Grupo Os usuários e os grupos estarão relacionados ao autenticador escolhido. Pode-se associar um usuário somente ou um grupo deles. Permissões Este campo define o que um usuário pode fazer dentro do Aker Web Gateway. Ele consiste de três opções que podem ser marcadas independentemente. O objetivo destas permissões é possibilitar a criação de uma administração descentralizada para o Aker Web Gateway. É possível por exemplo, numa empresa que possua vários departamentos e vários Aker Web Gateways, deixar um administrador responsável pela configuração de cada um dos Aker Web Gateways e um responsável central com a tarefa de supervisionar a administração. Este supervisor seria a única pessoa capaz de apagar e alterar a configuração de log e eventos dos Aker Web Gateways. Desta forma, apesar de cada departamento ter autonomia de administração é possível ter um controle central do que cada administrador alterou na configuração e quando ele realizou cada alteração. Isto é um recurso muito importante para realizar auditorias internas, além de aumentar a segurança da administração. Entidades As Entidades são representações de objetos do mundo real para o Aker Web Gateway. Através delas, podem-se representar máquinas, redes, serviços a serem disponibilizados, entre outros. Nessa opção permite definir de qual entidade o usuário se conectará ao Aker Web Gateway. Servidor Fingerprint É um resumo da identificação do certificado digital do Aker Web Gateway. Essa opção possibilita ao usuário identificar quando tem uma mudança do Aker Web Gateway que se costuma conectar. Aker Security Solutions 45

46 Aba Autenticação X509 Figura 39 Aba X.509 Essa aba consiste no método de autenticação com certificação digital X509. O Certificado Digital pode ser considerado como a versão eletrônica (digital) de uma cédula de identidade, associa uma chave pública com a identidade real de um indivíduo, de um sistema servidor, ou de alguma outra entidade. Um certificado digital normalmente é usado para ligar uma entidade a uma chave pública. Para garantir a integridade das informações contidas neste arquivo ele é assinado digitalmente, no caso de uma Infraestrutura de Chaves Públicas (ICP), o certificado é assinado pela Autoridade Certificadora (AC) que o emitiu e no caso de um modelo de Teia de Confiança ( Web of trust ) como o PGP o certificado é assinado pela própria entidade e assinado por outros que dizem confiar naquela entidade. Em ambos os casos as assinaturas contidas em um certificado são atestamentos feitos por uma entidade que diz confiar nos dados contidos naquele certificado. Um certificado normalmente inclui: Aker Security Solutions 46

47 Informações referentes à entidade para o qual o certificado foi emitido (nome, , CPF/CNPJ, PIS etc.); A chave pública referente à chave privada de posse da entidade especificada no certificado; O período de validade; A localização do "centro de revogação" (uma URL para download da CRL, ou local para uma consulta OCSP; A(s) assinatura(s) da(s) AC/entidade(s) que afirma que a chave pública contida naquele certificado confere com as informações contidas no mesmo; Um certificado padrão X.509 é um outro formato de certificado muito comum. Todos os certificados X.509 obedecem o padrão internacional ITU-T X.509; assim (teoricamente) certificados X.509 criados para uma aplicação podem ser usados por qualquer aplicação que obedece X.509. Um certificado exige alguém para validar que uma chave pública e o nome do dono da chave vão juntos. Com certificados de PGP, qualquer um pode representar o papel de validador. Com certificados X.509, o validador é sempre uma Autoridade de Certificação ou alguém designado por uma CA. Um certificado X.509 é uma coleção de um conjunto padrão de campos contendo informações sobre um usuário ou dispositivo e sua correspondente chave pública. O padrão X.509 define qual informação vai no certificado, e descreve como codificar isto(o formato dos dados). Todos certificados X.509 têm os seguintes dados: O número da versão do X.509 que identifica qual o padrão é aplicado na versão do X.509 para este certificado, o que afeta e qual informação pode ser especificada neste; A chave pública do possuidor do certificado junto com um algoritmo de identificação, especifica qual sistema de criptografia pertence à chave e quaisquer parâmetros associados. Abaixo, seguem os campos que contém a aba: Habilitar autenticação X.509: Ao selecionar essa opção permite habilitar a autenticação do usuário via certificado digital x.509; Certificado CN do Servidor: Nessa opção mostra qual certificado o Aker Web Gateway está utilizando na sua autenticação; Importa Certificado: Ao clicar nesse ícone, permite a inclusão de um novo certificado, ou seja carrega-se o certificado cadastrado no arquivo e incluindo-o no Aker Web Gateway; Exporta Certificado: Gravam os dados do certificado, para transportá-lo para uma futura aplicação desse certificado. Tira uma cópia do certificado; Aker Security Solutions 47

48 Remove Certificado: Ao clicar nesse ícone, permite a remoção do certificado que foi incluído. Com isso o Aker Web Gateway fica sem nenhum certificado; Mostra detalhes dos certificados: Mostra todas as informações contidas no certificado habilitado; Autoridade Certificadora: A autoridade certificadora (CA- certificate authority) deve garantir ao usuário, através da assinatura de seus certificados, que tais entidades são realmente quem dizem ser. Então, a CA tem um papel básico de garantir a correspondência entre a identidade e a chave pública de uma determinada entidade, sabendo que tal chave pública corresponde a uma chave privada que permanece sob guarda exclusiva dessa entidade. Para tanto, a CA deve ser capaz de realizar todos os processos de emissão de certificados, verificação de validade, armazenamento, publicação ou acesso on-line, revogação e arquivamento para verificação futura. Em consequência, uma autoridade certificadora constitui-se de um sistema computacional completo, com capacidade de comunicação processamento e armazenamento. Além disso, tanto as comunicações envolvendo esse sistema, assim como o próprio sistema, devem ser também protegidos e a própria identidade do sistema deve ser garantida, necessidades estas que são atendidas por intermédio da publicação de uma chave pública pertencente à própria autoridade certificadora. Como tal chave deve também ser garantida com um certificado digital, então, em geral, uma autoridade certificadora deposita sua chave pública junto à outra autoridade certificadora, formando uma estrutura de certificação onde algumas CA funcionam como autoridades certificadoras para outras CAs. Essa opção permite selecionar uma autoridade a qual o usuário está vinculado. Pseudo-Grupos: Corresponde aos grupos de certificados, relacionados à autoridade certificadora selecionada na opção acima. Este campo não é editável. Permissões: Esse campo das permissões é editável, podendo, para cada CA selecionada relacionar as permissões para cada grupo. Nessa opção, uma vez escolhida uma Autoridade Certificadora e definidos os níveis/permissões de acesso para cada grupo, ao trocar de CA todos as permissões relacionadas à outra CA serão perdidos. Aker Security Solutions 48

49 3.2. Utilizando a Interface Texto Além da Interface Remota de administração de usuários, existe uma interface local orientada a caracteres que possui praticamente as mesmas capacidades da Interface Remota. A única função não disponível é a de alteração das permissões dos usuários. Essa Interface Texto, ao contrário da maioria das demais interfaces orientadas a caracteres do Aker Web Gateway, é interativa e não recebe parâmetros da linha de comando. Localização do programa: /aker/bin/awg/admin Ao ser executado, o programa mostrará a seguinte tela: Figura 40 Interface Texto Para executar qualquer uma das opções mostradas, basta digitar a letra mostrada em negrito. Cada uma das opções será mostrada abaixo, em detalhes: Inclui um novo usuário Esta opção permite a inclusão de um novo usuário que poderá administrar o Aker Web Gateway remotamente. Ao ser selecionada, será mostrada uma tela pedindo as diversas informações do usuário. Após todas as informações serem preenchidas, será pedida uma confirmação para a inclusão do usuário. Aker Security Solutions 49

50 Figura 41 Inclusão de usuário Observações importantes: 1. Nos campos onde aparecem as opções (S/N), deve-se digitar apenas S, para sim e N para não. 2. A senha e a confirmação das senhas não serão mostradas na tela. Remove um usuário existente Esta opção, remove um usuário existente que esteja cadastrado no sistema. Será pedido o login do usuário a ser removido caso o usuário esteja cadastrado, será pedida a seguir uma confirmação para realizar a operação. Aker Security Solutions 50

51 Figura 42 Remoção de usuário Para prosseguir com a remoção, deve-se digitar S, caso contrário digita-se N. Lista usuários cadastrados Esta opção mostra uma lista com o nome e as permissões de todos os usuários autorizados a administrar remotamente o Aker Web Gateway. Um exemplo de uma possível listagem de usuários é a seguinte: Figura 43 Listagem de usuários Aker Security Solutions 51

52 O campo permissões consiste de 3 possíveis valores: CF, CL, e GU, que correspondem respectivamente às permissões de: Configura Aker Web Gateway, Configura Log e Gerencia Usuários. Se um usuário possuir uma permissão, ela será mostrada com o código acima, caso contrário será mostrado o valor --, indicando que o usuário não a possui. Compacta arquivo de usuários Figura 44 Compactação do arquivo de usuários Esta opção não está presente na Interface Remota e não possui uso frequente. Ela serve para compactar o arquivo de usuários, removendo entradas não mais usadas. Ele somente deve ser usada quando for removido um grande número de usuários do sistema. Ao ser selecionada, o arquivo será compactado e ao final será mostrada uma mensagem indicando que a operação foi completada (a compactação do arquivo costuma ser uma operação bastante rápida, durando poucos segundos). Sai do admin Esta opção encerra o programa admin e retorna para a linha de comando. Aker Security Solutions 52

53 Configurando os parâmetros do sistema Aker Security Solutions 53

54 4. Configurando os parâmetros configurações do sistema Neste capítulo será mostrado como configurar as variáveis que irão influenciar nos resultados de todo o sistema. Estes parâmetros de configuração atuam em aspectos como a segurança, log do sistema e tempos de inatividade das conexões. Aker Web Gateway será referenciado neste manual como AWG Utilizando a Interface Remota Para ter acesso a janela de configuração de parâmetros deve-se: Figura 45 Menu Configurações (Parâmetros de configuração) Clicar no menu Configurações do Sistema da janela do Aker Web Gateway que quer administrar; Selecionar o item Parâmetros de Configuração; Aker Security Solutions 54

55 A janela de Parâmetros de configuração: Figura 46 Aba Global O botão OK fará com que a janela de configuração de parâmetros seja fechada e as alterações que foram efetuadas sejam aplicadas; O botão Cancelar fará com que a janela seja fechada porém as alterações efetuadas não sejam aplicadas; O botão Aplicar enviará para o Aker Web Gateway todas as alterações feitas porém manterá a janela aberta. Significado dos parâmetros Aba Global Nesta janela, estes parâmetros são utilizados pelo filtro de estados e pelo conversor de endereços. Eles consistem dos seguintes campos: - Valor padrão: Configurado durante a instalação do Aker Web Gateway pelo administrador; Aker Security Solutions 55

56 - Tempo limite TCP: Define o tempo máximo, em segundos, que uma conexão TCP pode permanecer sem tráfego e ainda ser considerada ativa pelo Aker Web Gateway. Seu valor pode variar de 0 a (72 horas); Valor padrão: 900 segundos; - Tempo limite UDP: Define o tempo máximo, em segundos, que uma conexão UDP pode permanecer sem tráfego e ainda ser considerada ativa pelo Aker Web Gateway. Seu valor pode variar de 0 a (72 horas) - Valor padrão: 180 segundos; Estes campos são de vital importância para o correto funcionamento do Aker Web Gateway: valores muito altos poderão causar problemas de segurança para serviços baseados no protocolo UDP, farão com que o sistema utilize mais memória e o tornarão mais lento. Valores muito baixos poderão causar constantes quedas de sessão e o mau funcionamento de alguns serviços. - Tamanho mínimo de senha: Define o número mínimo de caracteres que as senhas dos administradores devem ter para serem aceitas pelo sistema. Seu valor pode variar entre 4 e 14 caracteres - Valor padrão: 6 caracteres; É importante que este valor seja o maior possível, de modo a evitar a utilização de senhas que possam ser facilmente quebradas; - Servidor NTP (Network Time Protocol): Define o servidor de tempo que será utilizado pelo Aker Web Gateway para sincronizar seu relógio interno. (Este campo só aparece para o Aker Web Gateway); -Endereços fixos de configuração remota: São endereços que, independentemente de regras e de extrapolação dos limites de licenças, podem administrar o Aker Web Gateway (isto é conectar na porta 1020). Eles servem como medida de prevenção anti-bloqueio do Aker Web Gateway, uma vez que só podem ser configurados via Interface Texto; - Restringir conexão de configuração: Esta opção, quando selecionada, permite ao administrador especificar, de forma clara, quais entidades terão acesso à configuração do Web Gateway. Automaticamente, as opções abaixo descritas, ficam habilitadas; - Aceitar entidades: Esta opção especifica que as entidades listadas no campo IP/Rede poderão ter acesso para configuração ao web gateway; - Bloquear entidades: Esta opção especifica que as entidades listadas no campo IP/Rede não poderão ter acesso para configuração ao web gateway; - IP/Rede: Este componente é utilizado para a especificação das entidades que serão utilizadas no bloqueio/liberação do acesso de configuração do web gateway. Aker Security Solutions 56

57 Aba Log Figura 47 Aba Log Local: Indica que os eventos devem ser salvos em um disco local, na máquina onde o AWG estiver rodando. Tempo de vida no eventos /: Os registros de eventos do AWG são mantidos em arquivos diários. Esta configuração define o número máximo de arquivos que serão mantidos pelo sistema, em caso de log local. Os valores possíveis vão de 1 a 365 dias. Valor padrão: 7 dias Tamanho (GB) eventos: Os arquivos de eventos serão limitados em tamanho total em disco, ou seja, caso o total de logs em disco ultrapasse o valor estipulado, os logs mais antigos serão apagados. Aker Security Solutions 57

58 Exemplo da nova rotação de logs do AWG ANTES ATUAL Período rotação de 01 vez por dia 01 vez por hora ou arquivo atual atingindo o tamanho máximo configurado. Controles exclusão arquivos para dos Ultrapassando tempo configurado. o limite Ultrapassando o tempo ou tamanho limite configurado. Exemplo: Configuração do ambiente: Tempo limite: 07 dias tamanho máximo de log de 2,4 GB São gerados 100 MB de arquivos de log por hora. Às 11:59 do 1º dia, haverá aproximadamente 2,4 GB de arquivos de log. À meia-noite do 2º dia, o AWG rotacionará os logs. Isso fará com que o primeiro arquivo de log de 100 MB, criado no 1º dia, seja excluído do HD, fazendo com que este fique com 2,3 GB de arquivos de log. Depois disso, o AWG recebeu um ataque de flood e começou a gerar 3,4 GB de log por hora. Quando o arquivo de log (APENAS O ARQUIVO QUE ESTÁ SENDO ESCRITO, SEM CONTAR OS OUTROS) alcançar 2,4 GB (neste momento o diretório terá 4,7 GB de log), o AWG rotacionará os logs, excluindo TODOS os registros de log, inclusive o arquivo de 2,4 GB. Na sequência, criará outro arquivo zerado e começará a gravar os logs nele. O evento acima aconteceu um pouco antes do natal, em uma sexta-feira, e a empresa resolveu dar folga a semana toda para emendar com o ano novo. O arquivo de log, após o ataque de flood, ficou um 01 GB de tamanho e o AWG passou a produzir 1 KB de log por hora. 06 dias, 23 horas e 59 minutos se passaram e o AWG criou vários arquivos de log, completando um tamanho total de 1, GB. À meia-noite, após 07 dias, o Aker Security Solutions 58

59 AWG rotacionou os logs excluindo apenas o arquivo de 1 GB, criado uma semana atrás, e deixando apenas 0, GB de arquivos de log. - Servidor Remoto: Esta opção indica o servidor de log remoto para o qual o log será enviado; - Logar syslog do Unix: Habilita o envio do log e dos eventos do Aker Web Gateway para o daemon de log do Unix, o syslogd - Valor padrão: Não envia log para o syslogd; Ao habilitar essa opção, os registros de log serão enviados para a fila local0 e os de eventos para a fila local1; Esta opção não altera em nada o registro interno do log e dos eventos realizado pelo próprio Aker Web Gateway. Aker Security Solutions 59

60 Aba SNMP Figura 47 Aba SNMP - Comunidade de leitura: Este parâmetro indica o nome da comunidade que está autorizada a ler dados do Aker Web Gateway via SNMP. Caso este campo esteja em branco, nenhuma máquina estará autorizada a lê-los - Valor padrão: campo em branco; - Comunidade de escrita: Este parâmetro indica o nome da comunidade que está autorizada a alterar dados do Aker Web Gateway via SNMP. Caso este campo esteja em branco, nenhuma máquina estará autorizada a alterá-los - Valor padrão: campo em branco; Mesmo com uma comunidade de escrita definida, por razões de segurança, somente poderão ser alterados algumas variáveis do grupo system. - Descrição: Tipo de serviço que a máquina ira disponibilizar para o usuário; Aker Security Solutions 60

61 - Contato: Tipo de contato ( , home page) que o administrador disponibiliza para o usuário; - Nome: Nome abreviado do sistema que o identifica na rede, ex: DNS; - Local: Local físico onde a máquina está instalada; O SNMPv3 inclui três importantes serviços: autenticação (authentication), privacidade (privacy) e controle de acesso (access control). - Habilita SNMPv3: Ao selecionar essa opção permite definir o tipo de permissão de um usuário e qual o nível de segurança que ele estará relacionado; - Nome do usuário: Nome do usuário que terá permissão para conferir ou modificar as informações; - Tipo de permissão: Permite a escolha do tipo de permissão do usuário. Poderá ter acesso de somente leitura dos dados ou de leitura e escrita; - Nível de segurança: Permite a escolha do tipo de segurança dos dados. Pode-se optar por nenhuma autenticação, com autenticação ou autenticação com cifragem. Caso a escolha seja com autenticação, as opções Método de autenticação e senha de autenticação serão habilitados. Caso a escolha seja autenticação com cifragem, as opções Método de cifragem e senha de cifragem serão habilitados; - Método de autenticação: Possuem dois métodos de autenticação, um com o algoritmo MD5 e o outro com o algoritmo SHA; - Senha de autenticação: Deve ser informada uma senha para autenticação, com no mínimo 8 caracteres; - Método de encriptação: Possuem dois métodos de cifragem dos dados, um por meio do algoritmo DES e o outro por meio do algoritmo AES; - Senha de encriptação: Deve ser informada uma senha para cifragem, com no mínimo 8 caracteres; - Ramo de acesso: Permite restringir, por meio de subárvores, quais os grupos de dados/informações que o usuário terá acesso. Aker Security Solutions 61

62 Aba Serviços Figura 48 Aba Serviços Esta aba serviços permite configurar quais são as portas (serviços), que devem ser redirecionadas para o Proxy HTTP, isso significa que pode ser definido quais as portas (serviços) o Web Gateway filtra o protocolo HTTP. Ao selecionar a opção Filtro Web Habilitado, permite a filtragem do tráfego HTTP das entidades selecionadas. Nesse campo aparecerão as entidades serviços criadas. Ao selecionar essa opção Restringir redes e máquinas do filtro web, permite filtrar as entidades do tipo máquinas/redes que vão passar pelo filtro web. Se a opção Filtrar entidades abaixo estiver selecionado, significa que as entidades que não estiverem listadas terão todo acesso liberado. Aker Security Solutions 62

63 Caso a opção Não filtrar as entidades abaixo estiver selecionada, significa que as entidades que estiverem listadas terão o acesso liberado. - Suporte ao MSN: Habilita o suporte para o MSN Messenger - Valor padrão: Suporte ao MSN Messenger está habilitado. O MSN Messenger é um protocolo de mensagens instantâneas que permite a comunicação entre duas ou mais pessoas ao mesmo tempo. Este parâmetro faz com que o Aker Web Gateway trate o Messenger de forma especial possibilitando que seu uso seja controlado por meio dos perfis de acesso. A opção Habilitar proxy ativo permite utilizar o AWG como proxy ativo. Para isso, deve-se configurar o browser com o mesmo endereço IP e Porta de saída do AWG, que no caso, será a porta 80. Caso esta opção não esteja habilitada, o usuário poderá utilizar apenas proxy transparente. Aba Prox SSL Reverso Consulte o capítulo Configurando Proxy SSL Reverso. Aker Security Solutions 63

64 Data e Hora Figura 49 Data/Hora Esta opção permite ao administrador verificar e alterar a data e a hora do Web Gateway. A data e hora configuradas corretamente são essenciais para o funcionamento da tabela de horário das regras e dos perfis de acesso WWW (WORLD WIDE WEB) e eventos. Data e hora Esta janela consiste de dois campos que mostram o valor da data e hora configurado no Web Gateway. Para alterar qualquer um destes valores, basta colocar o valor desejado no campo correspondente. Para escolher o mês podese utilizar as setas de navegação. Fuso Horário Escolha o fuso horário que mais se aproxima da região aonde o Web Gateway será instalado. Aker Security Solutions 64

65 O botão Aplicar alterará a data e hora e manterá a janela aberta. O botão OK fará com que a janela seja fechada e as alterações salvas. O botão Cancelar fechará a janela e descartará as modificações efetuadas. Servidor NTP (Network Time Protocol) Define o servidor de tempo que será utilizado pelo Web Gateway para sincronizar seu relógio interno Utilizando a Interface Texto A Interface Texto de configuração de parâmetros é bastante simples de ser utilizada e possui exatamente as mesmas capacidades da Interface Remota. Ela possui entretanto a possibilidade, não disponível na Interface Remota, de adicionar até três máquinas possíveis de administrarem o Aker Web Gateway remotamente, mesmo sem a existência de uma regra liberando sua conexão. O objetivo desta funcionalidade é permitir que, mesmo que um administrador tenha feito uma configuração equivocada que impeça sua conexão, ainda assim ele poderá continuar administrando remotamente o Aker Web Gateway. Este parâmetro chama-se end_remoto. E possível usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, então todos os comando poderão ser acessados sem o prefixo FW ). Nome do programa: par Sintaxe: Uso: fwpar [mostra ajuda] fwpar [tempo_limite_tcp tempo_limite_udp] <segundos> fwpar interface_externa <nome> fwpar [ip_direcionado] <sim nao> fwpar [suporte_ftp suporte_real_audio suporte_rtsp suporte_pptp ] <si m nao> fwpar [suporte_h323 suporte_msn suporte_sip suporte_dce_rpc manter_ cons_exp ] <sim nao> fwpar [loga_conversao loga_syslog] <sim nao> fwpar [permanencia_log permanencia_event permanencia_stat] <dias> Aker Security Solutions 65

66 fwpar [tamanho_log tamanho_event tamanho_stat] <GB> fwpar [serv_log_remoto <nome>] fwpar [end_remoto <n> <end>] fwpar [snmp] [rocommunidade rwcommunidade descricao contato nome local] [nome] mostra ajuda = mostra a configuracão atual = mostra esta mensagem tempo_limite_tcp = tempo máximo de inatividade para conexões TCP tempo_limite_udp = tempo máximo de inatividade para conexões UDP suporte_msn = habilita suporte ao procotolo MSN Messenger interface_externa = configura o nome da interface externa (conexões que vierem por esta interface nao contam na licenca) ip_direcionado suporte_ftp = aceita pacotes IP direcionados = habilita suporte ao protocolo FTP suporte_real_audio = habilita suporte ao protocolo Real Audio suporte_rtsp suporte_pptp = habilita suporte ao protocolo RTSP = habilita suporte ao protocolo Microsoft(R) PPTP suporte_h323 = habilita suporte ao protocolo H.323 suporte_sip = habilita suporte ao protocolo SIP suporte_dce_rpc manter_cons_exp loga_conversao = habilita suporte ao protocolo DCE-RPC sobre TCP = mantem conexões de regras expiradas = registra mensagens de conversão de endereços loga_syslog = envia mensagens de log e eventos para o syslogd Aker Security Solutions 66

67 permanencia_log = tempo de permanência (dias) dos registros de log permanencia_stat = tempo de permanência (dias) das estatísticas permanencia_event = tempo de permanência (dias) dos registros de evento tamanho_log tamanho_stat tamanho_event serv_log_remoto end_remoto = tamanho máximo (GB) dos registros de log = tamanho máximo (GB) das estatísticas = tamanho máximo (GB) dos registros de evento = servidor de log remoto (nome da entidade) = endereço dos três controladores remotos snmp = configurações de SNMP Exemplo 1: (visualizando a configuração): par mostra # Parâmetros globais: tempo_limite_tcp : 900 segundos tempo_limite_udp : 180 segundos suporte_msn : nao end_remoto : 1) ) ) Parâmetros de configuração de log: permanencia_event : 7 dias Parâmetros de configuração de SNMP: rocommunidade : rwcommunidade : descrição : contato : nome : local : Exemplo 2: (configurando endereço para controle remoto): #par end_remoto Aker Security Solutions 67

68 Exemplo 3: (configurando o nome da comunidade de leitura SNMP): #/aker/bin/awg/par comunidade_leitura public Exemplo 4: (apagando o nome da comunidade de escrita SNMP): #/aker/bin/awg/par comunidade_escrita Aker Security Solutions 68

69 Cadastrando Entidades Aker Security Solutions 69

70 5. Cadastrando Entidades Será mostrado neste capítulo o que são, para que servem e como cadastrar entidades no Aker Web Gateway. Aker Web Gateway será referenciado neste manual como AWG Planejando a instalação O que são e para que servem as entidades? Entidades são representações de objetos do mundo real para o Aker Web Gateway. Através delas, podem ser representados máquinas, redes, serviços a serem disponibilizados, entre outros. A principal vantagem da utilização de entidades para representar objetos reais é que a partir do momento em que são definidas no Aker Web Gateway, elas podem ser referenciadas como se fossem os próprios objetos, propiciando uma maior facilidade de configuração e operação. Todas as alterações feitas em uma entidade serão automaticamente propagadas para todos os locais onde ela é referenciada. Pode-se definir, por exemplo, uma máquina chamada de Servidor WWW (WORLD WIDE WEB), com o endereço IP de A partir deste momento, não é mais necessário se preocupar com este endereço IP. Em qualquer ponto onde seja necessário referenciar esta máquina, a referência será feita pelo nome. Caso futuramente seja necessário alterar seu endereço IP, basta alterar a definição da própria entidade que o sistema automaticamente propagará esta alteração para todas as suas referências. Definindo entidades Antes de explicar como cadastrar entidades no Aker Web Gateway é necessário uma breve explicação sobre os tipos de entidades possíveis e o que caracteriza cada uma delas. Existem 6 tipos diferentes de entidades no Aker Web Gateway: máquinas, redes, conjuntos, serviços, autenticadores e interfaces. As entidades do tipo máquina e rede, como o próprio nome já diz, representam respectivamente máquinas individuais e redes. Entidades do tipo conjunto representam uma coleção de máquinas e redes, em qualquer número. Entidades do tipo serviço representam um serviço a ser disponibilizado através de um protocolo qualquer que rode em cima do IP. Entidades do tipo autenticador, representam um tipo especial de máquina que pode ser utilizada para realizar autenticação de Aker Security Solutions 70

71 usuários e as entidades do tipo interface, representam uma interface de rede do Aker Web Gateway. Por definição, o protocolo IP, exige que cada máquina possua um endereço diferente. Normalmente estes endereços são representados da forma byte a byte, como por exemplo Desta forma, pode-se caracterizar unicamente uma máquina em qualquer rede IP, incluindo a Internet, com apenas seu endereço. Para definir uma rede deve-se utilizar uma máscara além do endereço IP. A máscara serve para definir quais bits do endereço IP serão utilizados para representar a rede (bits com valor 1) e quais serão utilizados para representar as máquinas dentro da rede (bits com valor 0). Assim, para representar a rede cujas máquinas podem assumir os endereços IP de a , deve-se colocar como rede o valor e como máscara o valor Esta máscara significa que os 3 primeiros bytes serão usados para representar a rede e o último byte será usado para representar a máquina. Para verificar se uma máquina pertence a uma determinada rede, basta fazer um E lógico da máscara da rede, com o endereço desejado e comparar com o E lógico do endereço da rede com sua máscara. Se eles forem iguais, a máquina pertence à rede, se forem diferentes não pertence. Vejamos dois exemplos: Suponha que desejamos verificar se a máquina pertence à rede , máscara Temos: E = (para a rede) E = (para o endereço) Temos então que os dois endereços são iguais após a aplicação da máscara, portanto a máquina pertence à rede Suponha agora que desejamos saber se a máquina pertence à rede , máscara Temos: E = (para a rede) E = (para o endereço) Como os endereços finais são diferentes, temos que a máquina não pertence à rede Caso seja necessário definir uma rede onde qualquer máquina seja considerada como pertencente a ela (ou para especificar qualquer máquina da Internet), deve-se colocar como endereço IP desta rede o valor e como máscara o valor Isto é bastante útil na hora de disponibilizar serviços públicos, onde todas as máquinas da Internet terão acesso. Aker Security Solutions 71

72 Toda a vez que ocorre uma comunicação entre duas máquinas, usando o protocolo IP, estão envolvidos não apenas os endereços de origem e destino, mas também um protocolo de nível mais alto (nível de transporte) e algum outro dado que identifique a comunicação unicamente. No caso dos protocolos TCP e UDP (que são os dois mais utilizados sobre o IP), uma comunicação é identificada por dois números: a Porta Origem e a Porta Destino. A porta destino é um número fixo que está associado, geralmente, a um serviço único. Assim, temos que o serviço Telnet está associado com o protocolo TCP na porta 23, o serviço FTP com o protocolo TCP na porta 21 e o serviço SNMP com o protocolo UDP na porta 161, por exemplo. A porta origem é um número sequencial escolhido pelo cliente de modo a possibilitar que exista mais de uma sessão ativa de um mesmo serviço em um dado instante. Assim, uma comunicação completa nos protocolos TCP e UDP pode ser representada da seguinte forma: > TCP Endereço origem Porta origem Endereço destino Porta destino Protocolo Para um Aker Web Gateway, a porta de origem não é importante, uma vez que ela é randômica. Devido a isso, quando se define um serviço, leva-se em consideração apenas a porta de destino. Além dos protocolos TCP e UDP, existe um outro protocolo importante: o ICMP. Este protocolo é utilizado pelo próprio IP para enviar mensagens de controle, informar sobre erros e testar a conectividade de uma rede. O protocolo ICMP não utiliza o conceito de portas. Ele usa um número que varia de 0 a 255 para indicar um Tipo de Serviço. Como o tipo de serviço caracteriza unicamente um serviço entre duas máquinas, ele pode ser usado como se fosse a porta destino dos protocolos, TCP e UDP, na hora de definir um serviço. Por último, existem outros protocolos que podem rodar sobre o protocolo IP e que não são TCP, UDP ou ICMP. Cada um destes protocolos tem formas próprias para definir uma comunicação e nenhum deles é utilizado por um grande número de máquinas. Ainda assim, o Aker Web Gateway optou por adicionar suporte para possibilitar ao administrador o controle sobre quais destes protocolos podem ou não passar através do Aker Web Gateway. Para entender como isso é feito, basta saber que cada protocolo tem um número único que o identifica para o protocolo IP. Este número varia de 0 a 255. Desta forma, podemos definir serviços para outros protocolos usando o número do protocolo como identificação do serviço. O que é Qualidade de Serviço (QoS) Aker Security Solutions 72

73 A qualidade de serviço pode ser compreendida de duas formas: do ponto de vista da aplicação ou da rede. Para uma aplicação oferecer seus serviços com qualidade, tem que atender às expectativas do usuário em relação ao tempo de resposta e da qualidade do serviço que está sendo provido. Por exemplo, no caso de uma aplicação de vídeo, fidelidade adequada do som e/ou da imagem sem ruídos nem congelamentos. A qualidade de serviço da rede depende das necessidades da aplicação, ou seja, do que ela requisita da rede a fim de que funcione bem e atenda, por sua vez, às necessidades do usuário. Estes requisitos são traduzidos em parâmetros indicadores do desempenho da rede como, por exemplo, o atraso máximo sofrido pelo tráfego da aplicação entre o computador origem e destino. O Aker Web Gateway implementa um mecanismo com o qual é possível definir uma banda máxima de tráfego para determinadas aplicações. Através de seu uso, determinadas aplicações que tradicionalmente consomem muita banda, podem ter seu uso controlado. As entidades do tipo Canal são utilizadas para este fim e serão explicadas logo abaixo Cadastrando entidades utilizando a Interface Remota Para ter acesso à janela de cadastro de entidades deve-se: Clicar no menu Janelas do Aker Web Gateway da janela do Aker Web Gateway que se quer administrar; Selecionar o item Entidades (a janela será mostrada abaixo da janela com os menus de configuração dos Aker Web Gateways). A janela de cadastro de entidades: Aker Security Solutions 73

74 Figura 50 Entidades Figura 51 - Entidades A janela de cadastro de entidades é onde são cadastradas todas as entidades do Aker Web Gateway, independente do seu tipo. Esta janela, por ser constantemente utilizada em praticamente todas as demais configurações do Aker Web Gateway, normalmente é mostrada sempre aberta na horizontal, abaixo da janela com os menus de configuração de cada Aker Web Gateway. Dica: Possui uma janela única para todos os Aker Web Gateways abertos. A janela continuará a mesma, só mudará o conteúdo que será referente ao Aker Web Gateway selecionado. Os tipos de entidades mais usados ficam únicos na aba. As entidades menos utilizadas aparecem no menu. Dica: É possível posicionar a janela de entidades como se fosse uma janela comum, bastando para isso clicar sobre sua barra de título e arrastá-la para a posição desejada. Dica: Para criar uma nova entidade, caso a lista de entidades criadas esteja cheia, deve-se clicar em cima da aba que fica na parte inferior da janela. Aker Security Solutions 74

75 Nesta janela estão desenhados oito ícones, em forma de árvore, que representam os oito tipos de entidades possíveis de serem criados. Dica: Para visualizar as entidades criadas é só clicar no sinal de '+' e as entidades ficarão listadas logo abaixo do logotipo, ou clicar sobre a aba correspondente a entidade que se deseja visualizar. Para cadastrar uma nova entidade, deve-se proceder da seguinte forma: Clicar uma vez no ícone correspondente à entidade do tipo que deseja criar com o botão direito do mouse e selecionar a opção Inserir no menu pop-up ou, Clicar no ícone correspondente à entidade do tipo que deseja criar e pressionar a tecla Insert. Para editar ou excluir uma entidade, deve-se proceder da seguinte forma: Selecionar a entidade a ser editada ou excluída (se necessário, expande-se a lista do tipo de entidade correspondente) Clicar com o botão direito do mouse e selecionar a opção Editar ou Apagar, respectivamente, no menu pop-up que aparecer. ou Clicar no ícone correspondente à entidade do tipo que deseja criar e pressionar a tecla Delete. No caso das opções Editar ou Incluir, aparecerá à janela de edição de parâmetros da entidade a ser editada ou incluída. Esta janela será diferente para cada um dos tipos possíveis de entidades. O ícone, localizado na parte inferior da janela aciona o assistente de cadastramento de entidades que será descrito no final deste capítulo. Aker Security Solutions 75

76 Incluindo / editando máquinas Figura 52 Entidade tipo Máquina Para cadastrar uma entidade do tipo máquina deve-se preencher os seguintes campos: Nome: É o nome pelo qual a máquina será sempre referenciada pelo Aker Web Gateway. É possível especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A opção Automático permite escolher entre estes dois modos de operação: caso ela esteja marcada, a atribuição será automática, caso contrário, manual. Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades. Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker, AKER e aker são, portanto, consideradas diferentes. Ícone : É o ícone que aparecerá associado à máquina em todas as referências. Para alterá-lo, basta clicar sobre o desenho do ícone atual. O Aker Web Gateway então mostrará uma lista com todos os possíveis ícones para representar máquinas. Para escolher entre eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão Cancelar. Endereço IP: É o endereço IP da máquina a ser criada. Após todos os campos estarem preenchidos, deve-se clicar no botão OK para realizar a inclusão ou alteração da máquina. Para cancelar as inclusões ou alterações realizadas deve pressionar o botão Cancelar. Para facilitar a inclusão de várias máquinas seguidamente, existe um botão chamado Nova (que não estará habilitado durante uma edição). Ao ser clicado, este Aker Security Solutions 76

77 botão fará com que a máquina inclua os dados preenchidos e mantenha aberta a janela de inclusão de máquinas onde estará pronta para uma nova inclusão. Desta forma é possível cadastrar rapidamente um grande número de máquinas. Incluindo / editando redes Figura 53 Entidade tipo Rede Para cadastrar uma entidade do tipo rede deve-se preencher os seguintes campos: - Nome: É o nome pelo qual a rede será sempre referenciada pelo Aker Web Gateway. É possível especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A opção Automático permite escolher entre estes dois modos de operação: caso ela esteja marcada, a atribuição será automática, caso contrário, manual. Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades. Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker, AKER e aker são consideradas diferentes. - Ícone : É o ícone que aparecerá associado à rede em todas as referências. Para alterá-lo deve clicar sobre o desenho do ícone atual. O Aker Web Gateway então mostrará uma lista com todos os possíveis ícones para representar redes. Para escolher entre eles tem que clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão Cancelar. - Endereço IP: É o endereço IP da rede a ser criada. - Máscara de Rede: Define quais bits do endereço IP serão utilizados para representar a rede (bits com valor 1) e quais serão utilizados para representar as máquinas dentro da rede (bits com valor 0) Aker Security Solutions 77

78 - Intervalo: Este campo mostra a faixa de endereço IP a que pertence à rede e realiza uma crítica quanto à máscara que está sendo cadastrada, ou seja não permite cadastramento de máscaras erradas. Após estarem todos os campos preenchidos, deve-se clicar no botão OK para realizar a inclusão ou alteração da rede. Para cancelar as alterações realizadas ou a inclusão, deve-se pressionar o botão Cancelar. Para facilitar a inclusão de várias redes seguidamente, existe um botão chamado Nova (que não estará habilitado durante uma edição). Ao clicar neste botão fará com que sejam incluídos os dados preenchidos e manterá aberta a janela de inclusão de redes onde estará pronta para uma nova inclusão. Desta forma é possível cadastrar rapidamente um grande número de redes. Incluindo / editando conjuntos Figura 54 Entidade tipo Conjunto Para cadastrar uma entidade do tipo conjunto deve-se preencher os seguintes campos: - Nome: É o nome pelo qual o conjunto será sempre referenciado pelo Aker Web Gateway. É possível especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A opção Automático permite escolher entre estes dois Aker Security Solutions 78

79 modos de operação: caso ela esteja marcada, a atribuição será automática se não, manual. Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades. Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker, AKER e aker são consideradas diferentes. - Ícone : É o ícone que aparecerá associado ao conjunto em todas as referências. Para alterá-lo, basta clicar sobre o desenho do ícone atual. O Aker Web Gateway então mostrará uma lista com todos os possíveis ícones para representar conjuntos. Para escolher entre eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão Cancelar. Após preencher o nome e escolher o ícone para o conjunto, deve-se definir quais máquinas e redes farão parte do mesmo. Abaixo estão os passos que deverão ser seguidos. Clicar com o botão direito do mouse no campo em branco e selecionar a opção Adicionar Entidades (a entidade pode ser adicionada clicando-se duas vezes sobre ela ou clicando uma vez e logo abaixo em Adicionar). ou Clicar sobre a entidade que deseja incluir, com isso deve arrastá-la e soltá-la dentro da janela de entidades do conjunto. Aker Security Solutions 79

80 Figura 55 Adicionando entidades Para remover uma rede ou máquina do conjunto, deve-se proceder da seguinte forma: Clicar com o botão direito do mouse sobre a entidade a ser removida e selecionar a opção Remover. ou Clicar na máquina ou rede a ser removida e pressionar a tecla Delete. Após todos os campos estarem preenchidos e todas as redes e máquinas que devem fazer parte do conjunto selecionadas, deve-se clicar no botão OK para realizar a inclusão ou alteração do conjunto. Para cancelar as alterações realizadas ou a inclusão, deve-se pressionar o botão Cancelar. Para facilitar a inclusão de vários conjuntos seguidamente, existe um botão chamado Nova (que não estará habilitado durante uma edição). Ao ser clicado, este botão fará com que o conjunto cujos dados foram preenchidos seja incluído e a Aker Security Solutions 80

81 janela de inclusão de conjuntos mantida aberta, pronta para uma nova inclusão. Desta forma é possível cadastrar rapidamente um grande número de conjuntos. Incluindo/Editando lista de categorias Figura 56 - Lista de categorias Para definir uma lista de categorias é necessário proceder da seguinte forma: 1- Selecionar a opção Automático, caso queira atribuir um nome padrão a lista; 2- Preencher o campo nome, onde pode definir um nome específico para a lista de categorias. O botão atualiza permite buscar as categorias no Aker Web Gateway caso tenha havido alguma atualização. Ao selecionar a opção Tentar recuperar categorias pelo critério nome quando o Analisador de Contexto for trocado, permite identificar as categorias pelos nomes que foram cadastradas, pois ao trocar o analisador de contexto muitas categorias podem ser perdidas. Aker Security Solutions 81

82 Incluindo/Editando Lista de Padrões de Busca Figura 57 Lista de padrões de Busca Para definir um padrão de pesquisa é necessário proceder da seguinte forma: Selecionar a opção Automático, caso queira atribuir um nome padrão ao tipo de pesquisa. Preencher o campo Nome, onde pode definir um nome específico para a pesquisa. Os campos, Padrão e Texto, permitem definir qual será a string ou os parâmetros que serão pesquisados na URL acessada e qual operação a ser efetuada. Aker Security Solutions 82

83 Incluindo/Editando Quota Figura 58 - Quota Esta janela permite definir, vários tipos de quotas de acesso do usuário à rede. Para criar uma quota pode-se selecionar a opção automático para que seja atribuído um nome padrão ao tipo de quota a ser definido ou então preencher o campo nome, onde pode atribuir um nome específico para a lista de quotas. A opção Tipo de Quota, permite escolher se a quota definida será atribuída diariamente, semanalmente ou mensalmente. Ao marcar qual o tipo de quota desejada, pode associar a ela o limite de tempo de acesso e/ou o limite de volume de dados. A opção Limitar Tempo pode ser definida em dias e/ou horas. Por exemplo, diariamente só vai ser liberado 3 horas de acesso à Internet, ou semanalmente 3 dias ou até mesmo semanalmente liberado 7 dias. A opção Limitar Volume, permite especificar a quantidade do volume de dados em Kbytes, Mbytes e Gbytes que cada usuário poderá manipular. A contagem de tempo funciona da seguinte forma: quando o usuário acessa uma página, conta um relógio de 31 segundos, se o usuário acessar uma outra página, começa a contar do zero, mas não deixar de contar, por exemplo, os 10 segundos que o usuário gastou ao acessar a página anterior. Aker Security Solutions 83

84 Para o consumo de quota, funciona da seguinte forma: no MSN, para cada janela de conversação, o tempo é contato separadamente, já na WEB ser tiver acessando 10 sites, será contato somente o tempo de um. Incluindo / editando Lista de s Listas de s são entidades usadas no proxy MSN com o objetivo de definir com quais pessoas um determinado usuário pode conversar através do MSN Messenger. Figura 59 Lista de s Para cadastrar uma entidade do tipo lista de s deve-se preencher os seguintes campos: - Nome: É o nome pelo qual a lista de s será sempre referenciado pelo aker web gateway. É possível especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A opção Automático permite escolher entre estes dois modos de operação: caso ela esteja marcada, a atribuição será automática, caso contrário, manual. Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades. Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker, AKER e aker são consideradas diferentes. Aker Security Solutions 84

85 - Domínio de Este campo é composto pelos s ou domínios que farão parte da lista. É possível especificar um completo ou utilizar o símbolo * para representar um caractere qualquer. As seguintes opções são s válidos: *@* - Corresponde a qualquer *@aker.com.br - Corresponde a todos os s do domínio aker.com.br Para executar qualquer operação sobre um ou domínio, deve-se clicar sobre ele com o botão direito e a seguir escolher a opção desejada no menu que será mostrado. As seguintes opções estão disponíveis: Figura 60 Lista de s (menu de opções) - Incluir: Esta opção permite incluir um novo endereço - Excluir: Esta opção remove da lista o endereço selecionado. - Importar: Esta opção importa a lista de s a partir de um arquivo.ctt (formado de contatos do Messenger) ou.txt (arquivo texto com um por linha) Exportar: Esta opção exporta a lista de s para um arquivo.ctt (formado de contatos do Messenger) ou.txt (arquivo texto com um por linha) Incluindo / Editando agentes externos Agentes externos são utilizados para a definição de programas complementares ao Aker Web Gateway. São responsáveis por funções específicas que podem estar rodando em máquinas distintas. Quando houver necessidade de realização de uma Aker Security Solutions 85

86 determinada tarefa por um dos agentes externos, ou vice-versa, o Aker Web Gateway se comunicará com eles e requisitará sua execução. Figura 61 Agentes externos Existem 8 diferentes tipos de agentes externos, cada um responsável por um tipo distinto de tarefas: Autenticadores Os agentes de autenticação são utilizados para fazer a autenticação de usuários no Aker Web Gateway utilizando usuários/senhas de bases de dados de diversos sistemas operacionais (Windows NT, Linux, etc). Autenticadores LDAP O autenticador LDAP permite ao Aker Web Gateway autenticar usuário usando uma base LDAP compatível com o protocolo X500. Autenticador Radius O autenticador Radius é utilizado para fazer autenticação de usuários no Aker Web Gateway a partir de uma base Radius. Autenticadores Token Os autenticadores token são utilizados para fazer autenticação de usuários no Aker Web Gateway utilizando SecurID(R), Alladin e outros. Autoridades certificadoras Autoridades certificadoras são utilizadas para fazer autenticação de usuários através de PKI, com o uso de Smart Cards e para autenticação de Aker Web Gateways com criptografia IPSEC. Módulos de antivírus Aker Security Solutions 86

87 Os agentes antivírus são utilizados pelo proxy SMTP, POP3 e Proxy WWW (WORLD WIDE WEB) para realizarem a checagem e a desinfecção de vírus de forma transparente em s e nos downloads FTP e HTTP. Servidores remotos de log Os servidores de log remoto são utilizados pelo Aker Web Gateway para enviar o log para armazenamento em uma máquina remota. É possível a instalação de diversos agentes externos em uma mesma máquina, desde que sejam distintos. Para cadastrar um agente externo deve-se inicialmente selecionar seu tipo, abrindo o diretório de Agentes Externos. Independente de seu sub-tipo, todos os agentes externos possuem os seguintes campos (os demais campos serão então modificados de acordo com o tipo do agente a ser cadastrado): - Nome: É o nome pelo qual o agente será sempre referenciado pelo Aker Web Gateway. É possível especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A opção Automático permite escolher entre estes dois modos de operação: caso ela esteja marcada, a atribuição será automática, caso contrário, manual. Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades. Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker, AKER e aker são consideradas diferentes. - Ícone: É o ícone que aparecerá associado ao agente em todas as referências. Para alterá-lo, basta clicar sobre o desenho do ícone atual. O Aker Web Gateway então mostrará uma lista com todos os possíveis ícones para representar agentes do sub-tipo selecionado. Para escolher entre eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão Cancelar. Para cadastrar um agente externo do tipo Autenticador ou Autenticador Token, é necessário preencher os seguintes campos adicionais: Aker Security Solutions 87

88 Figura 62 Agente externo (Autenticador ) - IP: É o endereço IP da máquina onde o agente está rodando. - Backup 1 e Backup 2: Estes campos permitem com que seja especificado até dois endereços de outras máquinas que também estarão rodando o agente e que servirão como backup no caso de quedas da máquina principal. A máquina principal e as de backup deverão compartilhar uma mesma base de usuários, ou seja, elas deverão ser controladoras de domínio primárias e de backup (PDCs e BDCs), no caso de redes Windows, ou várias máquinas Unix utilizando NIS. - Senha: É a senha utilizada para gerar as chaves de autenticação e criptografia usadas na comunicação com o agente. Esta senha deverá ser igual à configurada no agente. - Confirmação: Este campo é utilizado apenas para verificar se a senha foi digitada corretamente. Deve-se digitá-la exatamente como no campo Senha. - Tempo limite de uso da cache: Todas as vezes que é realizada uma autenticação com sucesso, o Aker Web Gateway mantém em memória os dados recebidos do usuário e do agente. Nas autenticações seguintes, o Aker Web Gateway possui todos os dados necessários e não mais precisa consultar o agente. Isso permite um grande ganho de performance. Este parâmetro permite definir em segundos o tempo em que o Aker Web Gateway deve manter as informações de autenticação em memória. Aker Security Solutions 88

89 Para cadastrar um agente externo do tipo Autoridade Certificadora, deve-se preencher os seguintes campos adicionais: Figura 63 Autoridade Certificadora Localização da publicação da lista de certificados revogados (CRL): É a URL da qual será baixada a lista de certificados revogados da CA (CRL). Esta URL deve ser obrigatoriamente do protocolo HTTP e deve ser especificada sem o na sua frente. O botão Importar certificado raiz permite carregar o certificado root da CA no Aker Web Gateway. Ao ser clicado, a interface abrirá uma janela para que especificar o nome do arquivo com o certificado a ser importado. É necessário importar um certificado raiz para cada Autoridade Certificadora criada, caso contrário não será possível autenticar usuários por meio dela. O Campo Pseudo-grupos permite definir grupos para usuários que se autenticarem por meio da autoridade certificadora, da mesma forma como define grupos em um sistema operacional. Desta maneira, é possível criar pseudo-grupos que representem todos os usuários de uma determinada empresa, departamento, cidade, etc. Após serem criados os pseudo-grupos, eles podem ser associados a Aker Security Solutions 89

90 perfis de acesso, da mesma forma como se faz com grupos de autenticadores ou autenticadores token. Clicando com o botão direito podemos selecionar as seguintes opções: -Inserir: Esta opção permite incluir um novo pseudo-grupo. - Excluir: Esta opção remove da lista o pseudo-grupo selecionado. - Editar: Esta opção abre a janela de edição para o pseudo-grupo selecionado. Ao clicar no botão Inserir ou Editar, a seguinte janela será mostrada: Figura 64 Pseudo-Grupo - Nome: Campo de preenchimento obrigatório é o campo que, indicará o nome pelo qual o pseudo-grupo será referenciado pelo Aker Web Gateway. Os demais campos representam dados que serão comparados com os dados presentes no certificado X509 de cada usuário autenticado. Se um determinado campo estiver em branco então qualquer valor será aceito no campo correspondente do certificado, se não apenas certificados que possuírem o campo igual ao valor informado serão considerados como parte do grupo. - Domínio: Nome da pessoa certificada; - Endereço de da pessoa certificada; Aker Security Solutions 90

91 - Empresa: Nome da empresa onde trabalha a pessoa certificada; - Departamento: Departamento dentro da empresa onde trabalha a pessoa certificada; - Cidade: Cidade onde se localiza a empresa onde trabalha a pessoa certificada; - Estado: Estado onde se localiza a empresa onde trabalha a pessoa certificada; - País: País onde se localiza a empresa onde trabalha a pessoa certificada. Os campos: Domínio, , Empresa, Departamento, Cidade, Estado e País se referem à pessoa que o certificado foi emitido; Para que um usuário autenticado através da autoridade certificadora seja considerado como membro de um pseudo-grupo, todos os campos de seu certificado X509 devem ser iguais aos valores dos campos correspondentes do pseudo-grupo. Campos em branco de um pseudo-grupo são ignorados na comparação e, portanto, quaisquer valores do certificado para estes campos serão aceitos. Para cadastrar um agente externo do tipo Antivírus ou Servidor de Log Remoto, deve-se preencher os seguintes campos adicionais: Figura 65 (Módulo de antivírus e Servidor de log Remoto) - IP: É o endereço IP da máquina onde o agente está rodando. Aker Security Solutions 91

92 - Backup 1 e Backup 2: Estes campos permitem especificar até dois endereços de outras máquinas que também estarão rodando o agente e que servirão como backup no caso de quedas da máquina principal. - Senha: É a senha utilizada para gerar as chaves de autenticação e criptografia usadas na comunicação com o agente. Esta senha deve ser igual à configurada no agente. - Confirmação: Este campo é utilizado apenas para verificar se a senha foi digitada corretamente. Deve-se digitá-la exatamente como no campo Senha. Para cadastrar um agente externo do tipo Autenticador LDAP deve-se preencher os seguintes campos: Figura 66 Autenticador LDAP - IP: É o endereço IP da máquina onde o agente está rodando. - Backup 1 e Backup 2: Estes campos permitem especificar até dois endereços de outras máquinas que também estarão rodando o servidor LDAP e que servirão como backup no caso de quedas da máquina principal. - Tempo limite da cache: Todas as vezes que uma autenticação é realizada com sucesso, o Aker Web Gateway mantém em memória os dados recebidos do usuário e do agente. Nas autenticações seguintes, o Aker Web Gateway possui todos os Aker Security Solutions 92

93 dados necessários e não mais precisa consultar o agente. Isso permite um grande ganho de performance. Este parâmetro permite definir em segundos o tempo que o Aker Web Gateway deve manter as informações de autenticação em memória. - Configurações LDAP: Neste conjunto de campos deve-se especificar as configurações do servidor LDAP que será utilizado para a realização das autenticações. A descrição de cada campo pode ser vista a seguir: - DN Root de conexão: DN do usuário utilizado pelo Aker Web Gateway para as consultas; - Senha Root de conexão: a senha deste usuário; - DN Base: DN para começar a busca; - ObjectClass da Conta: valor de objectclass que identifica objetos de contas válidas; - Atributo nome do usuário: o atributo onde encontra o nome do usuário; - Atributo senha: o atributo onde se encontra a senha do usuário; - Atributo grupo: o atributo onde se encontra o grupo do usuário - Permitir senha em branco: permite senhas em branco para o usuário quando marcado; - Método de Autenticação: Este campo especifica se o Aker Web Gateway deve buscar a senha ou deve se conectar na base LDAP com as credenciais do usuário para validá-lo; - Conexão LDAP segura: Este campo especifica se a conexão ao servidor LDAP será encriptada ou não. Ele consiste das seguintes opções: - SSL: especifica que o Aker Web Gateway usará conexão encriptada via SSL; - TLS: especifica que o Aker Web Gateway usará conexão encriptada via TLS; - Nenhuma: especifica que o Aker Web Gateway não usará criptografia ao se conectar ao servidor LDAP. Para cadastrar um agente externo do tipo Autenticador Radius deve-se preencher os seguintes campos adicionais: Aker Security Solutions 93

94 Figura 67 Autenticador Radius - IP: É o endereço IP da máquina onde o agente está rodando. - Porta: Número da porta onde o servidor RADIUS estará escutando as requisições de autenticação. - 1º Backup: Este campo permite com que se especifique outra máquina que também estará rodando o servidor RADIUS e que servirá como backup no caso de queda da máquina principal. - Segredo: É o segredo compartilhado utilizado no servidor RADIUS. - Confirmação: Este campo é utilizado apenas para se verificar se o segredo foi digitado corretamente. Deve-se digitá-lo exatamente como no campo Segredo. - Tempo limite de uso da cache: Todas as vezes que é realizado uma autenticação com sucesso, o Aker Web Gateway mantém em memória os dados recebidos do usuário e do agente. Nas autenticações seguintes, o Aker Web Gateway possui todos os dados necessários e não mais precisa consultar o agente. Isso permite um grande ganho de performance. Este parâmetro permite definir o tempo, em segundos, que o Aker Web Gateway deve manter as informações de autenticação em memória. Aker Security Solutions 94

95 - Usuários: Este campo serve para que se possa cadastrar e posteriormente associar usuários específicos RADIUS com perfis de acesso do Aker Web Gateway, uma vez que com este protocolo não é possível para o Aker Web Gateway conseguir a lista completa de usuários. Somente é necessário realizar o cadastramento dos usuários que queira se associar com perfis específicos. - Grupos: Este campo serve para cadastrar e posteriormente associar grupos específicos RADIUS com perfis de acesso do Aker Web Gateway, uma vez que com este protocolo não é possível para o Aker Web Gateway conseguir a lista completa de grupos. Somente é necessário realizar o cadastramento dos grupos que quer associar com perfis específicos. Existe um grupo chamado de RADIUS USERS, gerado automaticamente pelo Aker Web Gateway que pode ser utilizado para a associação de usuários RADIUS com um perfil de acesso específico. Todos os usuários autenticados em um determinado servidor RADIUS são considerados como pertencentes a este grupo. Desta forma, caso queira utilizar um único perfil de acesso para todos os usuários, não é necessário o cadastramento de nenhum usuário e/ou grupo. Após todos os campos estarem preenchidos, deve-se clicar no botão OK para realizar a inclusão ou alteração do agente externo. Para cancelar as alterações realizadas ou a inclusão, deve-se pressionar o botão Cancelar. Para facilitar a inclusão de vários agentes seguidamente, existe um botão chamado Nova (que não estará habilitado durante uma edição). Ao clicar, neste botão fará com que o dados preenchidos do agente, sejam incluídos e a janela de inclusão de agentes mantida aberta, pronta para uma nova inclusão. Desta forma, é possível cadastrar rapidamente um grande número de agentes. Para facilitar a inclusão de vários agentes seguidamente, existe um botão chamado Nova Aker Security Solutions 95

96 Incluindo / editando Serviço Figura 68 - Serviço Para cadastrar uma entidade do tipo serviço deve-se preencher os seguintes campos: - Nome: É o nome pelo qual o serviço será sempre referenciado pelo Aker Web Gateway. É possível especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A opção Automático permite escolher entre estes dois modos de operação: caso ela esteja marcada, a atribuição será automática, caso contrário, manual. Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades. Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker, AKER e aker são consideradas diferentes. - Ícone : É o ícone que aparecerá associado ao serviço em todas as referências. Para alterá-lo, deve-se clicar sobre o desenho do ícone atual. O Aker Web Gateway então mostrará uma lista com todos os possíveis ícones para representar serviços. Para escolher entre eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão Cancelar. - Protocolo: É o protocolo associado ao serviço. (TCP, UDP, ICMP ou OUTROS) - Serviço: É o número que identifica o serviço. No caso dos protocolos TCP e UDP, este número é a porta destino. No caso de ICMP é o tipo de serviço e no caso de outros protocolos é o número do protocolo. Para cada protocolo, o Aker Web Gateway possui uma lista dos valores mais comuns associados a ele, de modo a Aker Security Solutions 96

97 facilitar a criação do serviço. Entretanto, é possível colocar valores que não façam parte da lista, simplesmente digitando-os neste campo. Caso queira especificar uma faixa de valores, ao invés de um único valor, deve-se clicar no botão ao lado dos nomes De e Para e especificar o menor valor da faixa em De e o maior em Para. Todos os valores compreendidos entre estes dois, inclusive, serão considerados como fazendo parte do serviço. - Proxy: Este campo só se encontra habilitado para os protocolos TCP e UDP e permite especificar se a conexão que se enquadrar neste serviço, será automaticamente desviada para um dos proxies transparentes do Aker Web Gateway Aker ou não. O valor padrão é Sem Proxy, que significa que a conexão não deve ser desviada para nenhum proxy. Quando o protocolo TCP está selecionado, a outra opção é o proxy SSL. O serviço Telnet está associado à porta 23, o SMTP à porta 25, o FTP à porta 21, o HTTP à porta 80 e o POP3 à porta 110. É possível especificar que conexões de quaisquer outras portas sejam desviadas para um destes proxies, entretanto, isto não é o comportamento padrão e não deve ser feito a não ser que tenha conhecimento de todas as possíveis implicações. Caso tenha especificado que a conexão deve ser desviada para um proxy, pode ser necessário definir os parâmetros do contexto que será utilizado pelo proxy para este serviço. Caso isso seja necessário, no momento em que o proxy for selecionado, a janela será expandida para mostrar os parâmetros adicionais que devem ser configurados. Após todos os campos estarem preenchidos, deve-se clicar no botão OK para realizar a inclusão ou alteração do serviço. Para cancelar as alterações realizadas ou a inclusão, deve-se pressionar o botão Cancelar. Para facilitar a inclusão de vários serviços seguidamente, existe um botão chamado Nova (que não estará habilitado durante uma edição). Ao ser clicado, este botão fará com que o serviço, cujos dados foram preenchidos, seja incluído e a janela de inclusão de serviços mantida aberta, pronta para uma nova inclusão. Desta forma é possível cadastrar rapidamente um grande número de serviços. Incluindo / editando Listas de tipos de arquivo Listas de tipos de arquivos são entidades usadas no proxy MSN com o objetivo de definir quais tipos de arquivos podem ser enviados e recebidos, através do MSN Messenger. Aker Security Solutions 97

98 Figura 69 Lista de tipos de arquivos Para cadastrar uma entidade do tipo lista de arquivos deve-se preencher os seguintes campos: - Nome: É o nome pelo qual a lista de tipos de arquivos será sempre referenciado pelo Aker Web Gateway. É possível especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A opção Automático permite escolher entre estes dois modos de operação: caso ela esteja marcada, a atribuição será automática, caso contrário, manual. Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades. Desta forma é possível a existência de várias entidades compostas de nomes com as mesmas letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker, AKER e aker são consideradas diferentes. Para executar qualquer operação sobre uma entrada da lista, deve-se clicar sobre ela com o botão direito e a seguir escolher a opção desejada no menu que será mostrado. As seguintes opções estão disponíveis: Figura 70 Adicionando tipo de arquivo Aker Security Solutions 98

99 - Incluir: Incluir um novo tipo de arquivo; - Excluir: Remover da lista o tipo de arquivo selecionado. Duplicar: Criar uma nova entrada na lista, idêntica à entrada selecionada, sendo indicada para criar vários tipos com a mesma descrição. Para cada entrada, os seguintes campos devem ser preenchidos: - Extensão: Extensão do arquivo sem o ponto. Ex.: zip, exe, etc. - Descrição: Breve descrição do tipo associado à extensão. Incluindo / editando Canais Canais são entidades usadas nas regras de filtragem com o objetivo de limitar a banda de determinados serviços, máquinas, redes e/ou usuários. Seu uso está descrito no capítulo: O Filtro de Estados. Figura 71 - Canais Aker Security Solutions 99

100 Para cadastrar uma entidade do tipo Canal deve-se preencher os seguintes campos: - Nome: É o nome pelo qual o canal será sempre referenciado pelo Aker Web Gateway. É possível especificar este nome manualmente ou deixar que ele seja atribuído automaticamente. A opção Nome automático permite escolher entre estes dois modos de operação: caso ela esteja marcada, a atribuição será automática, caso contrário, manual. Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das entidades. Desta forma, é possível a existência de várias entidades compostas de nomes com as mesmas letras, porém com combinações distintas de maiúsculas e minúsculas. As entidades Aker, AKER e aker são consideradas diferentes. - Ícone : É o ícone que aparecerá associado ao Canal em todas as referências. Para alterá-lo, basta clicar sobre o desenho do ícone atual. O Aker Web Gateway então mostrará uma lista com todos os possíveis ícones para representar interfaces. Para escolher entre eles basta clicar no ícone desejado e no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão Cancelar. - Banda: É um campo texto usado para designar a largura de banda (velocidade máxima de transmissão em bits por segundo) deste Canal. Esta banda será compartilhada entre todas as conexões que usarem este Canal. Deve ser escolhida a unidade de medida mais conveniente. - Buffer: É um campo texto usado para designar o tamanho do buffer (espaço temporário de dados utilizado para armazenar pacotes que serão transmitidos) utilizado por este Canal. Deve ser escolhido a unidade de medida. É possível especificar este tamanho manualmente ou deixar que ele seja atribuído automaticamente. A opção Automático permite escolher entre estes dois modos de operação: se ela estiver marcada, a atribuição será automática, senão manual. Após todos os campos estarem preenchidos, deve-se clicar no botão OK para realizar a inclusão ou alteração do Canal. Para que as alterações e as inclusões sejam canceladas deve-se pressionar o botão Cancelar. Para facilitar a inclusão de vários Canais seguidamente, existe um botão chamado Nova (que não estará habilitado durante uma edição). Ao clicar este botão fará com que os dados da canal que foram preenchidos sejam incluídos e mantida aberta a janela de inclusão de canais onde estará pronta para uma nova inclusão. Desta forma é possível cadastrar rapidamente um grande número de canais. Aker Security Solutions 100

101 5.3. Utilizando a interface de texto A utilização da Interface Texto na configuração das entidades é bastante simples e possui praticamente todos os recursos da Interface Remota. As únicas opções não disponíveis são a criação de serviços que utilizem proxies transparentes e a edição de pseudo-grupos de uma autoridade certificadora. É importante comentar, entretanto, que na Interface Texto os agentes externos são mostrados e criados diretamente pelo seu sub-tipo. E possível usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, então todos os comando poderão ser acessados sem o prefixo FW ). Localização do programa : /aker/bin/awg/fwent Sintaxe: Uso: ent ajuda Aker Web Gateway ent - Interface Texto para configuracao das entidades Uso: fwent ajuda ent mostra ent remove <nome> ent inclui maquina <nome> <IP> ent inclui rede <nome> <IP> <mascara> ent inclui conjunto <nome> [<entidade1> [<entidade2>]...] ent inclui autenticador <nome> <IP1> [<IP2>] [<IP3>] <senha> <t. cache> ent inclui token <nome> <IP1> [<IP2>] [<IP3>] <senha> <t. cache> ent inclui ldap <nome> <IP1> [<IP2>] [<IP3>] <root_dn> <root_pwd> <base_dn> <act_class> <usr_attr> <grp_attr> < <pwd_attr> <-bind> > < <-ssl> <-tls> <-nenhuma> > < <-no_pwd> <-pwd> > <t.cache> ent inclui radius <nome> <IP1> <porta1> [ <IP2> <porta2> ] <senha> <t.cache> ent inclui anti-virus <nome> <IP1> [<IP2>] [<IP3>] <senha> ent inclui servico <nome> TCP <valor>[..<valor>] ent inclui ca <nome> <Arquivo com certificado root> <URL com CRLs> ent inclui pipe <nome> <banda em Kbits/s> [ <banda_rev> [<tamanho da fila> <bytes pacts>] ] ent inclui log_remoto <nome> <IP> [IP] [IP] <senha> ent inclui quota <nome kbytes <max kbytes> ] [ segundos <max seconds> ] <tipo> mostra = mostra todas as entidades configuradas no sistema inclui = inclui uma nova nova entidade Aker Security Solutions 101

102 remove = remove uma entidade existente ajuda = mostra esta mensagem Para remove / inclui temos: nome = nome da entidade a ser criada ou removida Para inclui temos: IP = endereco IP da maquina ou da rede mascara = mascara da rede entidade = nome das entidades a serem acrescentadas no conjunto (OBS: Somente podem fazer parte de um conjunto entidades do tipo maquina ou rede) senha = senha de acesso t. cache = tempo em segundos de permanencia de uma entrada no cache de autenticacao TCP = servico utiliza protocolo TCP Para inclui ldap temos: root_dn = DN do usuario utilizado pelo aker web gateway para as consultas root_pwd = a senha deste usuario base_dn = DN para comecar a busca act_class= valor de objectclass que identifica objetos de contas validas usr_attr = o atributo onde se encontra o nome do usuario grp_addr = o atributo onde se encontra o grupo do usuario pwd_addr = o atributo onde se encontra a senha do usuario -bind = nao tenta buscar a senha, em vez disso tenta conectar na base LDAP com as credenciais do usuario para valida-lo -ssl = usar conexao encriptada via ssl -tls = usar conexao encriptada via tls -nenhuma = nao usar conexao encriptada -no_pwd = permite senhas em branco para o usuario -pwd = nao permite senhas em branco para o usuario Para inclui quota temos: tipo = "mensal", "semanal" ou "diaria" Exemplo 1:(visualizando as entidades definidas no sistema) #ent mostra Maquinas: cache Aker Web Gateway Aker Security Solutions 102

103 Redes: AKER Internet Conjuntos: Maquinas Internas cache Aker Web Gateway Autenticadores: Autenticador NT Unix Autenticadores do tipo token: Autenticador token Anti-Virus: Anti-virus local Servicos: echo reply ICMP 8 echo request ICMP 0 ftp TCP 21 snmp UDP 161 telnet TCP 23 Exemplo 2:(cadastrando uma entidade do tipo máquina) #/aker/bin/awg/ent inclui maquina Servidor_ Entidade Exemplo 3:(cadastrando uma entidade do tipo rede) incluida #/aker/bin/awg/ent inclui rede Rede_ Entidade incluida Exemplo 4:(cadastrando uma entidade do tipo serviço) #/aker/bin/awg/ent inclui servico DNS UDP 53 Entidade incluida Exemplo 5:(cadastrando uma entidade do tipo autenticador) #/aker/bin/awg/ent inclui autenticador "Autenticador Unix" senha_ Entidade incluida Aker Security Solutions 103

104 O uso de "" ao redor do nome da entidade é obrigatório quando inclui ou remove entidades cujo nome contém espaços. Exemplo 6: (incluindo uma entidade do tipo conjunto, cujos membros são as máquinas cache e Aker Web Gateway, previamente definidas) #/aker/bin/awg/ent inclui conjunto "Conjunto de teste" cache Aker Web Gateway Entidade incluida Exemplo 7: (incluindo uma entidade do tipo autenticador token, utilizando uma máquina primária e uma secundária, como backup) #/aker/bin/awg/ent inclui token "Autenticador token" senha 600 Entidade incluida Exemplo 8: (removendo uma entidade) #/aker/bin/awg/ent remove "Autenticador Unix" Entidade incluída 5.4. Utilizando o Assistente de Entidades O assistente de criação de entidades pode ser invocado clicando-se no ícone, localizado na parte inferior da janela de entidades. O seu intuito é simplificar a tarefa de criação das entidades, podendo ser utilizado sempre que desejado. Ele consiste de várias janelas mostradas em série, dependendo do tipo de entidade a ser criada. Seu uso é extremamente simples e o exemplificaremos para a criação de uma entidade do tipo máquina: Aker Security Solutions 104

105 1 - A primeira janela mostrada é uma breve explicação dos procedimentos a serem realizados: Figura 72 Assistente de Entidades Aker Security Solutions 105

106 2 - Escolher tipo de entidade. Na segunda janela deve escolher o tipo de entidade a ser cadastrada: Figura 73 Selecionando o tipo de entidade Aker Security Solutions 106

107 3 - Localizar o endereço IP. Para cadastrar uma máquina deve ser especificado o endereço IP correspondente. Caso queira obter esse endereço, deve ser informado o nome da máquina e logo em seguida clicar no botão Resolva: Figura 74 Adicionando endereço IP Aker Security Solutions 107

108 4 - Escolha do ícone da entidade. Para escolher o ícone da entidade deve-se clicar em um dos ícones que aparecem na janela. Observe que o ícone selecionado irá aparecer à direita da janela: Figura 75 Seleção de ícone Aker Security Solutions 108

109 5 - Finalização do cadastramento. Será mostrado um resumo dos dados da entidade. Para cadastrá-la deve-se clicar no botão Finalizar: Figura 76 Entidade esta pronta para ser utilizada Aker Security Solutions 109

110 Configurando as Ações do Sistema Aker Security Solutions 110

111 6. Configurando as Ações do sistema Neste capítulo será mostrado como configurar as respostas automáticas do sistema para situações pré-determinadas. Aker Web Gateway será referenciado neste manual como AWG. O que são as ações do sistema? O Aker Web Gateway possui um mecanismo que possibilita a criação de respostas automáticas para determinadas situações. Estas respostas automáticas são configuradas pelo administrador em uma série de possíveis ações independentes que serão executadas quando uma situação pré-determinada ocorrer. Para que servem as ações do sistema? O objetivo das ações é possibilitar um alto grau de interação do Aker Web Gateway com o administrador. Com o uso delas, é possível, por exemplo, que seja executado um programa capaz de chamá-lo através de um Pager quando a máquina detectar que um ataque está em andamento. Desta forma, o administrador poderá tomar uma ação imediata, mesmo que ele não esteja no momento monitorando o funcionamento do Aker Web Gateway Utilizando a Interface Remota Para ter acesso a janela de configuração das ações deve-se: Figura 77 Aker Web Gateway ( Ações) Aker Security Solutions 111

112 Expandir o item Configurações do Sistema Selecionar o item Ações A janela de configuração das ações Ao selecionar esta opção será mostrada a janela de configuração das ações a serem executadas pelo sistema. Para cada mensagem de log e de eventos e para os pacotes que não se enquadrarem em nenhuma regra é possível determinar ações independentes. A janela mostrada terá a seguinte forma: Figura 78 Aba Mensagens de eventos Para selecionar as ações a serem executadas para as mensagens mostradas na janela, deve-se clicar com o botão direito do mouse sobre as mensagens. A cada opção selecionada aparecerá um ícone correspondente. Figura 79 Opções de ações Aker Security Solutions 112

113 Se a opção estiver marcada com o ícone aparente, a ação correspondente será executada pelo Aker Web Gateway quando a mensagem ocorrer. São permitidas as seguintes ações: Logar: Ao selecionar essa opção, todas as vezes que a mensagem correspondente ocorrer, ela será registrada pelo Aker Web Gateway; Enviar Ao selecionar essa opção, será enviado um todas as vezes que a mensagem correspondente ocorrer (a configuração do endereço de será mostrada no próximo tópico); Executar programa: Ao marcar essa opção, será executado um programa definido pelo administrador todas as vezes que a mensagem correspondente ocorrer (a configuração do nome do programa a ser executado será mostrada no próximo tópico); Disparar mensagens de alarme: Ao selecionar essa opção, o Aker Web Gateway mostrará uma janela de alerta todas as vezes que a mensagem correspondente ocorrer. Esta janela de alerta será mostrada na máquina onde a Interface Remota estiver aberta e, se a máquina permitir, será emitido também um aviso sonoro. Caso a Interface Remota não esteja aberta, não será mostrada nenhuma mensagem e esta opção será ignorada (esta ação é particularmente útil para chamar a atenção do administrador quando ocorrer uma mensagem importante); Enviar trap SNMP: Ao selecionar essa opção, será enviada uma Trap SNMP para o gerente SNMP todas as vezes que a mensagem correspondente ocorrer (a configuração dos parâmetros de configuração para o envio das traps será mostrada no próximo tópico). Não é possível alterar as ações para a mensagem de inicialização do Aker Web Gateway (mensagem número 43). Esta mensagem sempre terá como ações configuradas apenas a opção Logar. Significado dos botões da janela de ações O botão OK fará com que a janela de ações seja fechada e as alterações efetuadas aplicadas; O botão Cancelar fará com que a janela seja fechada porém as alterações efetuadas não serão aplicadas; O botão Aplicar, fará com que as alterações sejam aplicadas sem que a janela feche. A janela de configuração dos parâmetros Para que o sistema consiga executar as ações deve-se configurar certos parâmetros (por exemplo, para o Aker Web Gateway enviar um , o endereço tem que ser configurado). Estes parâmetros são configurados através da janela de configuração de parâmetros para as ações. Esta janela é mostrada ao selecionar Parâmetros na janela de Ações. Ela tem o seguinte formato: Aker Security Solutions 113

114 Significado dos parâmetros: Figura 80 Ações (aba Parâmetros) Parâmetros para executar um programa Arquivo de programa: Este parâmetro configura o nome do programa que será executado pelo sistema quando ocorrer uma ação marcada com a opção Programa. Deve ser colocado o nome completo do programa, incluindo o caminho. Deve-se atentar para o fato de que o programa e todos os diretórios do caminho devem ter permissão de execução pelo usuário que irá executá-lo (que é configurado na próxima opção). O programa receberá os seguintes parâmetros pela linha de comando (na ordem em que serão passados): 1. Nome do próprio programa sendo executado (isto é um padrão do sistema operacional Unix); 2. Tipo de mensagem (1 - para log ou 2- para evento); 3. Prioridade (7 - depuração, 6 - informação, 5 - notícia, 4 - advertência ou 3 - erro); 4. Número da mensagem que provocou a execução do programa ou 0 para indicar a causa não foi uma mensagem. (neste caso, a execução do programa foi motivada por uma regra); 5. Cadeia de caracteres ASCII com o texto completo da mensagem (esta cadeia de caracteres pode conter o caractere de avanço de linha no meio dela). Aker Security Solutions 114

115 No sistema operacional UNIX, usa-se a barra "/" para especificar o caminho de um programa. Isto pode causar confusão para quem estiver acostumado com o ambiente DOS/Windows, que usa a barra invertida "\". Nome efetivo do usuário: Este parâmetro indica a identidade com a qual o programa externo será executado. O programa terá os mesmos privilégios deste usuário. Este usuário deve ser um usuário válido, cadastrado no FreeBSD ou Linux. Não se deve confundir com os usuários do Aker Web Gateway, que servem apenas para a administração do Aker Web Gateway. Parâmetros para enviar traps SNMP Endereço IP do servidor SNMP: Este parâmetro configura o endereço IP da máquina gerente SNMP para a qual o Aker Web Gateway deve enviar as traps. Comunidade SNMP: Este parâmetro configura o nome da comunidade SNMP que deve ser enviada nas traps. As traps SNMP enviadas terão o tipo genérico 6 (enterprise specific) e o tipo específico 1 para log ou 2 para eventos. Elas serão enviadas com o número de empresa (enterprise number) 2549, que é o número designado pela IANA para a Aker Consultoria e Informática. Existe um arquivo chamado /aker/bin/awg/mibs/aker-mib.txt que traz as informações sobre a sub-árvore da Aker Consultoria e Informática na árvore global. Este arquivo está escrito na notação ASN.1. Parâmetros para enviar Endereço de Este parâmetro configura o endereço de do usuário para o qual devem ser enviados os s. Este usuário pode ser um usuário da própria máquina ou não (neste caso deve-se colocar o endereço completo, por exemplo user@aker.com.br). Caso queira enviar s para vários usuários, pode-se criar uma lista e colocar o nome da lista neste campo. É importante notar que caso algum destes parâmetros esteja em branco, à ação correspondente não será executada, mesmo que ela esteja marcada para tal Utilizando a Interface Texto A Interface Texto para a configuração das ações possui as mesmas capacidades da Interface Remota e é de fácil uso. Aker Security Solutions 115

116 Localização do programa: /aker/bin/awg/action Sintaxe: Aker Web Gateway fwaction - Interface texto para a configuracao das acoes do sistema Uso: fwaction ajuda fwaction mostra fwaction atribui <numero> [loga] [mail] [trap] [programa] [alerta] fwaction <programa usuario comunidade> [nome] fwaction ip [endereco IP] fwaction [endereco] ajuda = mostra esta mensagem mostra atribui = lista as mensagens e as acoes configuradas para cada uma = configura as acoes para uma determinada mensagem programa = define o nome do programa a ser executado usuario = define o nome do usuario que executara o programa comunidade = define o nome da comunidade SNMP para o envio das traps ip = define o endereco IP do servidor SNMP que recebera as traps = define o nome do usuario que recebera os s Para atribui temos: numero = numero da mensagem a atribuir as acoes (o numero de cada mensagem aparece na esquerda ao se selecionar a opcao mostra) loga mail trap = Loga cada mensagem que for gerada = Manda um para cada mensagem que for gerada = Envia uma trap SNMP para cada mensagem que for gerada Aker Security Solutions 116

117 programa = Executa programa para cada mensagem que for gerada alerta = Abre janela de alerta para cada mensagem que for geradaexemplo 1: (configurando os parâmetros para envio de e execução de programa) #action root #action programa /etc/pager #action usuario nobody Exemplo 2: (mostrando a configuração completa das ações do sistema) #action Condicoes mostra Gerais: Mensagens de eventos: Aker Web Gateway Inicializacao completa >>>> Loga Erro de alocacao de memoria >>>> Loga Dados invalidos recebidos pelo modulo do kernel >>>> Loga Erro ao ler o arquivo de parametros >>>> Loga Erro ao carregar perfis de acesso >>>> Loga Erro ao carregar entidades >>>> Loga Nome de perfil de acesso invalido >>>> Loga Erro ao criar socket de conexao >>>> Loga (...) Erro carregando lista de categorias >>>> Loga Erro de comunicacao com o servico de quotas >>>> Loga Quota de bytes expirada >>>> Loga Quota de bytes insuficiente para a operacao >>>> Loga Quota de tempo expirada >>>> Loga Aker Security Solutions 117

118 105 - Consumo de quota >>>> Loga Parametros de configuracao: programa : usuario : comunidade: ip Devido ao grande número de mensagens, só estão sendo mostradas as primeiras e as últimas. O programa real mostrará todas ao ser executado. Exemplo 3: (atribuindo as ações para o Erro de alocação de memoria e mostrando as mensagens) #action atribui 1 loga mail alerta #action mostra Condições Gerais: Aker Web Gateway Inicialização completa >>>> Loga Erro de alocação de memoria >>>> Loga Mail Alerta Devido ao grande número de mensagens, só estão sendo mostradas as primeiras e as últimas. O programa real mostrará todas as mensagens, ao ser executado. Exemplo 4: (cancelando todas as ações para a mensagem de Erro ao carregar entidades e mostrando as mensagens) #action atribui 5 #action mostra Condições Gerais: Erro ao ler o arquivo de parâmetros >>>> Loga Erro ao carregar perfis de acesso >>>> Loga Erro ao carregar entidades >>>> Nome de perfil de acesso invalido >>>> Loga Aker Security Solutions 118

119 Devido ao grande número de mensagens, só estão sendo mostradas as primeiras e as últimas. O programa real mostrará todas ao ser executado. Aker Security Solutions 119

120 Visualizando Eventos do Sistema Aker Security Solutions 120

121 7. Visualizando Eventos do sistema Neste capítulo será mostrado como visualizar os eventos do sistema, um recurso muito útil para acompanhar o funcionamento do Aker Web Gateway e detectar possíveis ataques e erros de configuração. Aker Web Gateway será referenciado neste manual como AWG. O que são os eventos do sistema? Eventos são as mensagens do Aker Web Gateway de nível mais alto, ou seja, não relacionadas diretamente a pacotes (como é o caso do log). Nos eventos, podem aparecer mensagens geradas por qualquer um dos três grandes módulos (filtro de pacotes, conversor de endereços e autenticação/criptografia) e por qualquer outro componente como por exemplo os proxies e os processos servidores encarregados de tarefas específicas. Basicamente, o tipo de informação mostrada varia desde mensagens úteis para acompanhar o funcionamento do sistema (uma mensagem gerada todas as vezes que a máquina é reinicializada e todas as vezes que alguém estabelece uma sessão com o Aker Web Gateway, etc) até mensagens provocadas por erros de configuração ou de execução. O que é um filtro de eventos? Mesmo que o sistema tenha sido configurado para registrar todos os possíveis eventos, muitas vezes está interessado em alguma informação específica (por exemplo, suponha que queira ver todas as mensagens do dia de ontem). O filtro de eventos é um mecanismo oferecido pelo Aker Web Gateway para criar visões do conjunto total de mensagens, possibilitando que obtenha as informações desejadas facilmente. O filtro só permite a visualização de informações que tiverem sido registradas nos eventos. Caso queira obter uma determinada informação deve-se inicialmente configurar o sistema para registrá-la e então utilizar um filtro para visualizá-la. Aker Security Solutions 121

122 7.1. Utilizando a Interface Remota Para ter acesso a janela de eventos deve-se: Figura 81 Auditoria (Eventos) Clicar no menu Auditoria do Aker Web Gateway que se deseja visualizar os eventos; Selecionar a opção Eventos. A barra de ferramentas de Eventos Todas as vezes que a opção Eventos é selecionada, é mostrada automaticamente a barra de ferramentas de Eventos. Esta barra, que estará ao lado das outras barras, poderá ser arrastada e ficar flutuando acima das informações dos Eventos. Ela tem o seguinte formato: Significado dos Ícones: Figura 82 Barra de ferramentas (Eventos) Abre a janela de filtragem do Aker Web Gateway. Este ícone somente irá aparecer quando o Aker Web Gateway estiver fazendo uma procura nos Eventos. Ele permite interromper a busca do programa. Exporta os Eventos para diversos formatos de arquivos. Aker Security Solutions 122

123 Apaga os Eventos do Aker Web Gateway. Permite fazer uma atualização da tela de logs dentro de um determinado período definido no campo seguinte. Define o tempo que o Aker Web Gateway irá atualizar a janela com informações de log. Percorre os Eventos para frente e para trás. Expande as mensagens de Eventos, mostrando as mesmas com o máximo de informação. Ao clicar no ícone de filtragem a seguinte janela será mostrada: Aker Security Solutions 123

124 A janela de filtro de eventos Figura 83 Filtro de eventos Na parte superior da janela, encontram-se os botões Salvar, Remover e Novo. O botão Salvar permite que seja salvo os campos de um filtro de forma a facilitar sua aplicação posterior e o botão excluir permite que seja excluído um filtro salvo não mais desejado. Para salvar um filtro de eventos, deve-se proceder da seguinte forma: 1. Preencher todos os seus campos da forma desejada; 2. Definir, no campo Filtros, o nome pelo qual ele será referenciado; 3. Clicar no botão Salvar. Para aplicar um filtro salvo, deve-se selecionar seu nome no campo Filtros e todos os campos serão automaticamente preenchidos com os dados salvos. Aker Security Solutions 124

125 Para excluir um filtro que não mais seja desejado, deve-se proceder da seguinte forma: 1. Selecionar o filtro a ser removido, no campo Filtros; 2. Clicar no botão Excluir. O filtro padrão é configurado para mostrar todos as mensagens do dia atual. Para alterar a visualização para outros dias, pode-se configurar a Data Inicial e a Data Final para os dias desejados (a faixa de visualização compreende os registros da data inicial à data final, inclusive). Além de especificar as datas é possível também determinar quais mensagens devem ser mostradas. A opção Filtrar por permite escolher entre a listagem de mensagens ou de prioridades. Filtragem por mensagens Ao selecionar filtragem por mensagens, será mostrado na lista do lado esquerdo da janela o nome de todos os módulos que compõem o Aker Web Gateway. Ao clicar em um destes módulos, será mostrada na lista à direita as diferentes mensagens que podem ser geradas por ele. Dica: Para selecionar todas as mensagens de um módulo, deve-se clicar sobre a caixa à esquerda do nome do módulo. Filtragem por prioridade Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for à prioridade associada a um determinado registro, mais importância deve-se dar a ele. Ao selecionar filtragem por prioridade, será mostrado na lista do lado esquerdo da janela o nome de todos os módulos que compõem o Aker Web Gateway. Ao clicar em um destes módulos, será mostrada na lista à direita as diferentes prioridades das mensagens que podem ser geradas por ele. Abaixo está a lista com todas as prioridades possíveis, ordenada da mais importante para a menos (caso tenha configurado o Aker Web Gateway para mandar uma cópia dos eventos para o syslog, as prioridades com as quais as mensagens serão geradas no syslog são as mesmas apresentadas abaixo): Erro Os registros que enquadrem nesta prioridade indicam algum tipo de erro de configuração ou de operação do sistema (por exemplo, falta de memória). Mensagens desta prioridade são raras e devem ser tratadas imediatamente. Aker Security Solutions 125

126 Alerta Os registros que se enquadrarem nesta prioridade indicam que algum tipo de situação séria e não considerada normal ocorreu (por exemplo, uma falha na validação de um usuário ao estabelecer uma sessão de administração remota). Aviso Enquadram-se nesta prioridade registros que trazem informações que são consideradas importantes para o administrador do sistema, mas estão associadas a uma situação normal (por exemplo, um administrador iniciou uma sessão remota de administração). Informação Os registros desta prioridade acrescentam informações úteis mas não tão importantes para a administração do Aker Web Gateway (por exemplo, uma sessão de administração remota foi finalizada). Depuração Os registros desta prioridade não trazem nenhuma informação realmente importante, exceto no caso de uma auditoria. Nesta prioridade encaixam as mensagens geradas pelo módulo de administração remota todas as vezes que é feita uma alteração na configuração do Aker Web Gateway e uma mensagem gerada todas as vezes que o Aker Web Gateway é reinicializado. Como última opção de filtragem, existe o campo Encontrar complemento para. Este campo permite que seja especificado um texto que deve existir nos complementos de todas as mensagens para que elas sejam mostradas. Desta forma, é possível, por exemplo, visualizar todas as páginas WWW (WORLD WIDE WEB) acessadas por um determinado usuário, bastando para isso que coloque seu nome neste campo. O botão OK aplicará o filtro escolhido e mostrará a janela de eventos, com as informações selecionadas; O botão Cancelar fará com que a operação de filtragem seja cancelada e a janela de eventos será mostrada com as informações anteriores. Aker Security Solutions 126

127 A janela de eventos Figura 84 Eventos A janela de eventos será mostrada após a aplicação de um filtro novo. Ela consiste de uma lista com várias mensagens. Normalmente, cada linha corresponde a uma mensagem distinta, porém existem mensagens que podem ocupar 2 ou 3 linhas. O formato das mensagens será mostrado na próxima seção. Observações importantes: As mensagens serão mostradas de 100 em 100; Só serão mostradas as primeiras mensagens que são enquadradas no filtro escolhido. As demais podem ser vistas exportando os eventos para um arquivo ou utilizando um filtro que produza um número menor de mensagens; No lado esquerdo de cada mensagem, será mostrado um ícone colorido simbolizando sua prioridade. As cores têm o seguinte significado: Aker Security Solutions 127

128 Azul Verde Amarelo Vermelho Preto Depuração Informação Notícia Advertência Erro Ao clicar com o botão esquerdo sobre uma mensagem, aparecerá na parte inferior da tela uma linha com informações adicionais sobre ela. Ao apagar todos os eventos, não existe nenhuma maneira de recuperar as informações anteriores. A única possibilidade de recuperação é a restauração de uma cópia de segurança. O botão Salvar, localizado na barra de ferramentas, gravará todas as informações selecionadas pelo filtro atual em um arquivo em formato texto ou em formatos que permitem sua importação pelos analisadores de log da Aker e da WebTrends (R). Os arquivos consistirão de várias linhas de conteúdo igual ao mostrado na janela. Se a opção Expande mensagens estiver marcada e se tiver escolhido a opção de exportação em formato texto, os eventos serão exportados com as mensagens complementares; caso contrário, os eventos serão exportados sem elas. Esta opção é bastante útil para enviar uma cópia do log para alguma outra pessoa, para guardar uma cópia em formato texto de informações importantes ou para importar os eventos por um analisador de log citado acima. Ao ser clicado, será mostrada a seguinte janela: Aker Security Solutions 128

129 Figura 85 Janela de exportação Para exportar o conteúdo dos eventos, basta fornecer o nome do arquivo a ser criado, escolher seu formato e clicar no botão Salvar. Para cancelar a operação, clique em Cancelar. Se já existir um arquivo com o nome informado ele será apagado. O botão Próximos 100, representado como uma seta para a direita na barra de ferramentas, mostrará as últimas 100 mensagens selecionadas pelo filtro. Se não existirem mais mensagens, esta opção estará desabilitada; O botão Últimos 100, representado como uma seta para a esquerda na barra de ferramentas, mostrará as 100 mensagens anteriores. Se não existirem mensagens anteriores, esta opção estará desabilitada; O botão Ajuda mostrará a janela de ajuda específica para a janela de eventos Formato e significado dos campos das mensagens de eventos Abaixo segue a descrição do formato das mensagens, seguido de uma descrição de cada um de seus campos. A listagem completa de todas as possíveis mensagens e seus significados se encontra no Apêndice A. Formato do registro: Aker Security Solutions 129

130 <Data> <Hora> <Mensagem> [Complemento] [Mensagem complementar 1] [Mensagem complementar 2] Descrição dos campos: Data: Data em que o registro foi gerado. Hora: Hora em que o registro foi gerado. Mensagem: Mensagem textual que relata o acontecimento. Complemento: Este campo traz informações complementares e pode ou não aparecer, dependendo da mensagem. Na Interface Texto, caso ele apareça, virá entre parênteses. Mensagem complementar 1 e 2: Estes complementos só existem no caso de mensagens relacionadas à conexões tratadas pelos proxies transparentes e nãotransparentes e são mostrados sempre na linha abaixo da mensagem a que se referem. Nestas mensagens complementares, se encontram o endereço origem da conexão e, no caso dos proxies transparentes, o endereço destino Utilizando a Interface Texto A Interface Texto para o acesso aos eventos tem funcionalidade similar à da Interface Remota. Todas as funções da Interface Remota estão disponíveis, exceto a opção de filtragem de mensagens e o fato de que através da Interface Texto não tem acesso às informações complementares que são mostradas quando selecionada uma mensagem de eventos na Interface Remota ou quando se ativa a opção Expande mensagens. E possível usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, então todos os comando poderão ser acessados sem o prefixo FW ). O programa que faz a Interface Texto com os eventos é o mesmo usado para a interface com o log e foi mostrado também no capítulo anterior. Localização do programa: /aker/bin/awg/fwlog Sintaxe: Aker Web Gateway Uso: fwlog ajuda fwlog apaga eventos [<data_inicio> <data_fim>] fwlog mostra eventos [<data_inicio> <data_fim>] [prioridade] fwlog - Interface texto para visualizar log e eventos mostra = lista os registros do tipo especificado Aker Security Solutions 130

131 apaga ajuda = apaga todos os registros do tipo especificado = mostra esta mensagem Para mostra temos: data_inicio = data a partir da qual os registros serao mostrados data_fim = data ate onde mostrar os registros (As datas devem estar no formato dd/mm/aaaa) (Se nao forem informadas as datas, mostra os registros de hoje) prioridade = campo opcional. Se for informado deve ter um dos seguintes valores: ERRO, ADVERTENCIA, NOTICIA, INFORMACAO ou DEPURACAO (Ao selecionar uma prioridade, somente serao listados registros cuja prioridade for igual a informada) Exemplo 1: (mostrando os eventos do dia 05/01/2007 ao dia 06/01/2007) #log mostra eventos 05/01/ /01/ /01/ :39:35 Sessao de administracao finalizada 06/01/ :13:09 Sessao de administracao estabelecida (administrador, CF CL GU) 06/01/ :13:09 Pedido de conexao de administracao ( ) 06/01/ :09:49 Operacao sobre o arquivo de log (Compactar) 05/01/ :27:11 Aker Web Gateway v1.5 - Inicializacao completa 05/01/ :57:11 Tabela de conversão UDP cheia Exemplo 2: (mostrando os eventos do dia 05/01/2007 ao dia 06/01/2007, apenas prioridade depuração) #log mostra eventos 05/01/ /01/2007 depuracao 06/01/ :09:49 Operacao sobre o arquivo de log (Compactar) 05/01/ :27:11 Aker Web Gateway v1.5 - Inicializacao completa Exemplo 3: (removendo todo o conteúdo do arquivo de eventos) Aker Security Solutions 131

132 #log apaga eventos 21/01/ /01/2007 Remocao dos registros foi solicitada ao servidor Aker Security Solutions 132

133 Utilizando o Gerador de Relatórios Aker Security Solutions 133

134 8. Utilizando o Gerador de Relatórios Visando disponibilizar informações a partir de dados presentes nos registros de log e eventos, bem como apresentar uma visão sumarizada dos acontecimentos para a gerência do Web Gateway, foi desenvolvida mais esta ferramenta. Neste contexto trataremos dos relatórios que nutrirão as informações gerenciais. Aker Web Gateway será referenciado neste manual como AWG. Os relatórios são gerados nos formatos HTML, TXT ou PDF, publicados via FTP em até três sites distintos ou enviados através de para até três destinatários distintos. Podem ser agendados das seguintes formas: "Diário", "Semanal", "Quinzenal", "Mensal", "Específico" e também em tempo real de execução Acessando Relatórios Para ter acesso à janela de Relatórios deve-se: Figura 86 Auditoria (Relatório) Clicar no menu Auditoria da janela de administração do Aker Web Gateway; Selecionar o item Relatório. Aker Security Solutions 134

135 8.2. Configurando os Relatórios Figura 87 Relatório Esta janela é composta pelos tipos de agendamentos: "Diário", "Semanal", "Mensal", "Quinzenal", "Específico" e em tempo real. Em todos será necessário escolher quais sub-relatórios serão incluídos. Para executar qualquer relatório, deve-se clicar com o botão direito do mouse sobre ele. Aparecerá o seguinte menu: (este menu será acionado sempre que for pressionado o botão direito, mesmo que não exista nenhum relatório selecionado. Neste caso, somente as opção Inserir estará habilitada); inclusive podendo ser executada a partir da barra de ferramentas. Inserir: Esta opção permite incluir um novo relatório. Ao tentar inserir um novo relatório constará três abas: Aker Security Solutions 135

136 Aba Geral Nesta aba serão configurados os seguintes campos: Figura 88 Configuração de relatório aba Geral Título do Relatório: Atribuir nome ao relatório. Agendamento: Definir hora que será gerado o relatório. Formato do Relatório: Define em qual formato será gerado o relatório. As opções de formato são: TXT: Ao selecionar esta opção é gerado um arquivo chamado report.txt que contém o relatório; HTML: Ao selecionar esta opção é gerado um arquivo chamado index.html que contém o relatório; PDF: Ao selecionar esta opção é gerado um arquivo chamado report.pdf que contém o relatório. Aker Security Solutions 136

137 Em ambos os casos, o navegador será aberto automaticamente, exibindo o conteúdo do arquivo correspondente ao relatório. Aba Sub-relatório Um sub-relatório é oferecido para que os níveis de detalhamento possam ser evidenciados e a informação que compõe o relatório, seja mais objetiva. Figura 89 Configuração de relatório aba Sub-relatorio Esta aba é composta por duas colunas, onde será necessário indicar filtros para ambas. Na coluna de "Subrelatório" deverá ser incluído qual tipo de subrelatório e como será agrupado, por exemplo: "Não agrupar", "Quota", "Usuário". Esta opção varia Aker Security Solutions 137

138 conforme o tipo de subrelatório selecionado. É possível definir relacionamentos com lógica "E" ou "OU" e um limite para TOP. Métodos de Publicação Método FTP Nesta aba, o usuário poderá indicar até três servidores para onde serão enviados os relatórios via FTP. Como utilizar: Selecione o(s) servidor (es); Digite o usuário; Digite a senha de acesso; Digite o caminho de destino do relatório. Aker Security Solutions 138

139 Figura 90 Configuração de relatório aba Método de Publicação (FTP) Método SMTP Nesta aba o usuário poderá indicar até três destinatários, para onde serão enviados os relatórios através de . Como utilizar: Digite o endereço do remetente ("De"); Digite o endereço do destinatário ("Para"); Aker Security Solutions 139

140 Digite o "Assunto"; Caso deseje é possível incluir uma mensagem, no campo "Mensagem". Figura 91 Configuração de relatório aba Método de Publicação (SMTP) Método Tempo Real Esta opção permite a geração de relatório em tempo real, ou seja, o administrador do Web Gateway pode gerar relatórios no momento em que desejar. O produto continuará funcionando normalmente. Quando o relatório estiver pronto, salve-o em um diretório conforme desejado, logo em seguida será exibido uma janela mostrando o relatório. Aker Security Solutions 140

141 8.3. Lista dos relatórios disponíveis Abaixo segue os tipos de relatórios possíveis de serem gerados: 1. Quantidade de acessos web por usuários do autenticador; 2. Quantidade de acessos web por grupos do autenticador; 3. Quantidade de acessos web por perfis de acesso; 4. Quantidade de acessos web por endereço IP origem; 5. Quantidade de acessos web por endereço IP destino; 6. Quantidade de acesso por páginas Web (domínio), com possibilidade de seleção das N páginas mais acessadas; 7. Quantidade de acesso por páginas Web (domínio), com possibilidade de seleção das N páginas mais acessadas por grupos do autenticador; 8. Quantidade de acesso, relacionando conjunto de usuários e respectivas páginas web mais acessadas; 9. Quantidade de acessos bloqueados por usuários, com possibilidade de seleção dos N usuários com maior número de requisições a páginas proibidas; 10. Quantidade de downloads realizados (HTTP e FTP), com possibilidade de seleção dos N arquivos mais baixados; 11. Categoria dos sites; 12. Downloads; 13. Sites bloqueados; 14. Categorias bloqueadas; 15. Downloads bloqueados; 16. IPs web; 17. IPs web bloqueados; 18. Quota - consumo de bytes; 19. Quota - consumo de tempo; 20. MSN - duração do chat; 21. Contabilidade de tráfego web - upload consumido; 22. Contabilidade de tráfego web - download consumido; 23. Contabilidade de tráfego web - tempo consumido; 24. Contabilidade de tráfego de downloads - upload consumido; 25. Contabilidade de tráfego de downloads - download consumido; 26. Contabilidade de tráfego de downloads - tempo consumido; 27. Contabilidade de tráfego de FTP - upload consumido; 28. Contabilidade de tráfego de FTP - download consumido; 29. Usuários que acessaram um site; 30. Usuários que foram bloqueados tentando acessar um site. Aker Security Solutions 141

142 Exportação Agendada de Eventos Aker Security Solutions 142

143 9. Exportação Agendada de Eventos Este capítulo mostrará como configurar a exportação automática de Eventos. Aker Web Gateway será referenciado neste manual como AWG. Os registros de Eventos são exportados nos formatos TXT ou CSV, publicados via FTP em até três sites distintos ou localmente em uma pasta do próprio Web Gateway. Podem ser agendados das seguintes formas: "Diário", "Semanal" e/ou Mensal Acessando a Exportação Agendada Para ter acesso à janela de Exportação Agendada de Logs e Eventos deve-se: Figura 92 Auditoria (Exportação agendada de eventos ) Clicar no menu Auditoria da janela de administração do Aker Web Gateway; Selecionar o item Exportação Agendada de Eventos. Aker Security Solutions 143

144 9.2. Configurando a Exportação Figura 93 Exportação agendada de eventos Esta janela é composta pelos tipos de agendamentos: "Diário", "Semanal" e "Mensal". Para executar qualquer exportação, deve-se clicar com o botão direito do mouse sobre ele. Aparecerá o seguinte menu: (este menu será acionado sempre que for pressionado o botão direito, mesmo que não exista nenhum relatório selecionado. Neste caso, somente as opção Inserir estará habilitada); inclusive podendo ser executada a partir da barra de ferramentas. Inserir: Esta opção permite incluir um novo agendamento. Ao tentar inserir um novo relatório constará duas abas: Aker Security Solutions 144

145 Aba Geral Nesta aba serão configurados os seguintes campos: Figura 94 Aba Geral Título: Atribuir nome a exportação. Formato do Relatório: Define em qual formato será gerado o relatório. As opções de formato são: TXT; CSV. Tipo: Define qual informação será exportada: Eventos. Agendamento: Definir hora que será realizada a exportação. Aker Security Solutions 145

146 Aba Método de Publicação Tipo de publicação FTP Nesta aba, o usuário poderá indicar até três servidores para onde serão enviados os dados via FTP. Como utilizar: Selecione o(s) servidor (es); Digite o usuário; Digite a senha de acesso; Digite o caminho de destino do relatório Figura 95 Aba Método de Publicação (FTP) Aker Security Solutions 146

147 Tipo de publicação Local Nesta aba, o usuário poderá indicar em qual pasta local do Aker Web Gateway deseja salvar os dados exportados. Figura 96 Aker Security Solutions 147

148 Configurando parâmetros de autenticação Aker Security Solutions 148

149 10. Configurando parâmetros de autenticação Neste capítulo serão mostrados quais são e como devem ser configurados os parâmetros de autenticação, essenciais para que seja possível a autenticação de usuários pelo Aker Web Gateway. Aker Web Gateway será referenciado neste manual como AWG. O que são os parâmetros de autenticação? Os parâmetros de autenticação servem para informar ao Aker Web Gateway quais as formas de autenticação que são permitidas, quais autenticadores devem ser pesquisados na hora de autenticar um determinado usuário e em qual ordem. Além disso, eles controlam a forma com que a pesquisa é feita, permitindo uma maior ou menor flexibilidade para as autenticações Utilizando a Interface Remota Figura 97 Configuração (Autenticação) Clicar no menu Configuração da janela Aker Web Gateways; Selecionar o item Autenticação. Essa janela consiste de quatro partes distintas: a primeira aba corresponde ao Controle de Acesso onde os usuários e grupos de autenticadores são associados com perfis de acesso. A configuração desta aba será vista em detalhes em Perfis de Acesso de Usuários; na segunda aba escolhe-se os Métodos de Autenticação onde se determina os parâmetros relativos à autenticação de usuários por meio de nomes/senhas e se Aker Security Solutions 149

150 configuram os parâmetros de autenticação por token (SecurID) e Autoridade Certificadora (PKI); a terceira aba configura-se a Autenticação para Proxies; Na quarta e última aba é configurado o Controle de Acesso por IP que também será visto com mais detalhes em Perfis de Acesso de Usuários. O botão OK fará com que a janela de configuração de parâmetros seja fechada e as alterações feitas manterão a janela aberta O botão Cancelar fará com que a janela seja fechada porém as alterações efetuadas não sejam aplicadas. Para ter acesso a janela de parâmetros de autenticação deve-se: Aba Controle de Acesso Figura 98 Aba Controle de Acesso A janela de controle de acesso permite que seja criada a associação de usuários/grupos com um perfil de acesso. Na parte inferior da janela existe um campo chamado Perfil Padrão onde é possível selecionar o perfil que será associado aos usuários, que não se enquadrem em nenhuma regra de associação. Aker Security Solutions 150

151 A última coluna, quando preenchida, especifica redes e máquinas onde a associação é válida. Se o usuário se encaixar na regra, mas estiver em um endereço IP fora das redes e máquinas cadastradas, então a regra será pulada, permitindo a atribuição de outro perfil ao usuário. Esse tipo de restrição é muito útil para permitir acesso à áreas sensíveis da rede apenas de alguns locais físicos com segurança aumentada. Para associar um usuário ou grupo com um determinado perfil de acesso, deve-se proceder da seguinte maneira: 1. Clicar com o botão direito do mouse na lista de regras e selecionar a opção Inserir; 2. Selecionar o autenticador do qual se deseja obter a lista de usuários ou grupos, clicando-se com o botão direito no campo Autenticador; 3. Clicar com o botão direito sobre o campo Usuário/Grupo e selecionar entre listagem de usuários ou grupos e sua lista será montada automaticamente a partir do autenticador selecionado. A partir da lista selecionar o usuário ou grupo desejado. Figura 99 Autenticação de acesso: Listagem de grupos ou usuários 4. Clicar com o botão direito sobre o campo Perfil para selecionar o perfil desejado, conforme o menu abaixo: Aker Security Solutions 151

152 Figura 100 Autenticação de acesso: Escolha do perfil desejado. 5. Caso queira, arraste algumas entidades máquina, rede ou conjuntos para o campo entidades. Se o usuário estiver fora dessas entidades, a regra será pulada. Para remover uma regra entre um usuário/grupo e um perfil, deve-se proceder da seguinte maneira: 1. Clicar na regra a ser removida, na lista da janela; 2. Clicar no botão Apagar. Para alterar a posição de uma regra dentro da lista, deve-se proceder da seguinte forma: 1. Clicar na regra a ser movida de posição; 2. Arrastar para a posição desejada. A ordem das associações na lista é de fundamental importância. Quando um usuário se autenticar, o Aker Web Gateway pesquisará a lista a partir do início procurando pelo nome desse usuário ou por um grupo de que ele faça parte. Tão logo um desses seja encontrado, o perfil associado ao mesmo será utilizado. Aker Security Solutions 152

153 Aba Métodos Figura 101 Aba Métodos Usuário/ Senha Habilita autenticação usuário/senha: Essa opção indica se o Aker Web Gateway aceitará ou não autenticação de usuários por meio de nomes/senhas. Caso ela esteja ativa, deve-se configurar os demais parâmetros relativos a esse tipo de autenticação: Pesquisar todos autenticadores: Este parâmetro indica se o Aker Web Gateway deve tentar validar um usuário nos próximos autenticadores da lista no caso de um autenticador retornar uma mensagem de senha inválida. Se esta opção estiver marcada, o Aker Web Gateway percorre todos os autenticadores da lista, um a um, até receber uma resposta de autenticação correta ou até a lista terminar. Caso ela não esteja marcada, a pesquisa será encerrada no primeiro autenticador que retornar uma mensagem de autenticação correta ou de senha inválida. Esta opção só é usada para respostas de senha inválida. Caso um autenticador retorne uma resposta indicando que o usuário a ser validado não está cadastrado na base de dados de sua máquina, o Aker Web Gateway continuará a pesquisa no próximo autenticador da lista, independentemente do valor desta opção. Aker Security Solutions 153

154 Pesquisar autenticador interno: Este parâmetro indica se a base de usuários locais do Aker Web Gateway - definida na pasta Autenticação Local - deve ser consultada para validar a senha dos usuários. Se sim, também deve escolher no combo box ao lado se essa base deve ser consultada antes ou depois dos demais autenticadores. Permitir domínios especificados pelo usuário: Este parâmetro indica se o usuário na hora de se autenticar pode informar ao Aker Web Gateway em qual autenticador ele deseja ser validado. Se esta opção estiver marcada, o usuário pode acrescentar juntamente ao seu nome, um sufixo formado pelo símbolo / e um nome de autenticador, fazendo com que a requisição de autenticação seja enviada diretamente para o autenticador informado. Caso ela não esteja marcada, a autenticação será feita na ordem dos autenticadores configurada pelo administrador. O uso desta opção não obriga o usuário a informar o nome do autenticador, apenas permite que ele o faça, se desejar. Caso o usuário não informe, a autenticação seguirá na ordem normal. Para ilustrar a especificação de domínio, pode-se tomar como base um sistema no qual existam dois autenticadores configurados, chamados de Unix e Windows Server. Neste sistema, se um usuário chamado administrador desejar se autenticar na máquina Windows Server, então ele deverá entrar com o seguinte texto, quando lhe for solicitado seu login ou username: administrador/windows Server. Caso ele não informe o sufixo, o Aker Web Gateway tentará autenticá-lo inicialmente pela máquina Unix e caso não exista nenhum usuário cadastrado com este nome ou a opção Pesquisa em todos os autenticadores estiver marcada, ele então tentará autenticar pela máquina Windows Server. O nome do autenticador informado pelo usuário deve estar obrigatoriamente na lista de autenticadores a serem pesquisados. Desabilita inserção automática de regras de IDS: Ao selecionar esse campo, as regras utilizadas para identificar invasões ao sistema não serão aplicadas de forma automática. Autenticadores a pesquisar Para incluir um autenticador na lista de autenticadores a serem consultados, devese proceder da seguinte forma: 1. Clicar com o botão direito do mouse onde aparecerá um menu suspenso (figura abaixo) ou arrastando a entidade autenticador para o local indicado. Aker Security Solutions 154

155 Figura Autenticação de acesso: Adicionar entidades 2. Seleciona-se o a opção Adicionar entidades e o autenticador a ser incluído, na lista mostrada à direita. Para remover um autenticador da lista de pesquisa, deve-se proceder da seguinte forma: 1. Selecionar o autenticador a ser removido e apertar a tecla delete ou 2. Clicar no botão direito do mouse e selecionar no menu suspenso o item Apagar Figura Autenticação de acesso: Remover entidades Para mudar a ordem de pesquisa dos autenticadores, deve-se proceder da seguinte forma: 1. Selecionar o autenticador a ser mudado de posição na ordem de pesquisa; 2. Clicar em um dos botões à direita da lista: o botão com o desenho da seta para cima fará com que o autenticador selecionado suba uma posição na lista. O botão com a seta para baixo fará com que ele seja movido uma posição para baixo na lista. Aker Security Solutions 155

156 Dica: A adição ou remoção dos autenticadores pode ser feita diretamente com o mouse, bastando clicar e arrastar os mesmos para a janela correspondente, soltando em seguida. Os autenticadores serão pesquisados na ordem que se encontram na lista, de cima para baixo. Token Figura 104 Aba Token Habilita autenticação por token: Essa opção indica se o Aker Web Gateway aceitará ou não a autenticação de usuários por meio de tokens. Caso ela esteja ativa, deve-se configurar o nome do autenticador token a ser consultado para validar os dados recebidos. Autenticador token a pesquisar: Este campo indica o autenticador token para o qual os dados a serem validados serão repassados. Aker Security Solutions 156

157 PKI Figura 105 Aba PKI Habilita autenticação PKI: Essa opção indica se o Aker Web Gateway aceitará ou não a autenticação de usuários por meio de smart cards. Caso ela esteja ativa, deve-se configurar as autoridades certificadoras nas quais o Aker Web Gateway confia. Autoridades Certificadoras Confiáveis Para incluir uma autoridade certificadora na lista de autoridades certificadoras confiáveis, deve-se proceder da seguinte forma: 1. Clicar com o botão direito do mouse e escolher a opção Incluir Entidades; 2. Selecionar a autoridade a ser incluída; 3. Clique em Incluir; 4. Pode-se também clicar em uma autoridade certificadora e arrastá-la para posição desejada. Para remover uma autoridade certificadora da lista de autoridades confiáveis, devese proceder da seguinte forma: 1. Selecionar a autoridade a ser removida e apertar a tecla delete ou Aker Security Solutions 157

158 2. Clicar no botão direito do mouse sobre a entidade a ser removida e escolher a opção Apagar Aba Autenticação para proxies Figura 106 Aba Autenticação para proxies Estes parâmetros indicam que tipos de autenticação serão aceitas nos proxies e em que ordem serão validadas. Isso é importante pois quando um usuário é autenticado através de um browser, por exemplo, não é possível que ele especifique se está utilizando token ou usuário/senha. As opções possíveis da configuração são: Autenticador Token antes da autenticação usuário/senha; Autenticação usuário/senha antes do autenticador token; Somente autenticação por Token; Somente autenticação usuário/senha. Aker Security Solutions 158

159 Aba Autenticação Local Figura Aba Autenticação Local Nessa pasta é possível cadastrar uma série de usuários e associar um grupo a cada um deles. Se a opção de usar a base local de usuários estiver habilitada, então esses usuários também serão verificados como se estivessem em um autenticador remoto. Eles compõem o autenticador local. Para incluir um usuário é necessário clicar com o botão da direita e escolher a opção inserir, ou então usar a barra de ferramentas e até mesmo o botão insert do teclado. Figura Menu para inclusão de usuário Para alterar o nome do usuário e seu nome completo, basta dar um duplo clique no campo correspondente: Aker Security Solutions 159

160 Figura Criar ou remover grupos Para alterar a senha ou o grupo a que está associado o usuário, use o menu de contexto sobre o item, clicando com o botão direito do mouse. Figura 110 Autenticação (Alteração de senha ou grupo) Para criar ou remover grupos, o procedimento é o mesmo, mas na lista lateral direita. Aker Security Solutions 160

161 Aba Controle de Acesso por IP Figura 111 Aba Controle de Acesso por IP O Aker Web Gateway pode controlar os acessos por intermédio de endereços IP conhecidos juntamente com perfis criados para este fim. Esta aba permite a habilitação e a desabilitação individual das regras que configuram a autenticação por IP, não sendo mais necessário ter que removê-las para desabilitá-las, podendo ser habilitada ou desabilitada por meio da opção no menu suspenso ou por meio do botão localizado na barra de tarefas. É necessário escolher uma entidade rede ou uma entidade máquina, que definirão a origem do tráfego e associá-las ao perfil, de forma que o tráfego originário dessas entidades não precisarão de autenticação por usuário. O Acesso por IP estará habilitado sempre que houver pelo menos uma regra habilitada nesta aba. Aker Security Solutions 161

162 Aba NTLM Figura 112 Aba NTLM A janela acima tem a função de configurar a integração do Aker Web Gateway ao Microsoft Active Directory (AD) e utilizar o login automaticamente, sem que seja solicitada a digitação no browser. Esta integração é realizada através do Kerberos, Winbind e Samba e o comportamento deste autenticador será idêntico aos outros tipos de autenticações suportadas pelo Aker Web Gateway podendo listar os usuários e grupos para a vinculação com os perfis de acesso. Habilitar NTLM: ativando esta opção, uma entidade com o nome NTLM_Auth, estará disponível para a configuração na Aba Métodos da janela de Autenticação. Active directory: Endereço IPv4: endereço IP do servidor com o Microsoft Active Directory; Hostname: nome netbius do servidor com o Microsoft Active Directory, obtido a partir do comando hostname executado neste servidor. Aker Security Solutions 162

163 Autenticação Usuário: usuário com privilégios de administração do domínio para integração. Senha: senha do usuário citado acima. Status/Atualizar status: Informa o status da integração e logs em caso de falhas. Para o bom funcionamento da integração o Web Gateway com o servidor com o Microsoft Active Directory devem estar com a data e horas sincronizados através de um servidor NTP. Para que a integração funcione o domínio configurado no Aker Web Gateway na janela Configuração do Sistema, TCP/IP, aba DNS, deve ser o mesmo domínio do Microsoft Active Directory. Esta integração está disponível somente para o Filtro Web, em próximas versões a integração se estenderá para todas as funcionalidades do Aker Web Gateway. Os usuários que não estiverem cadastrados no domínio do Microsoft Active Directory a autenticação será realizada através de um POP-UP no browser do usuário que será solicitada a cada 15 minutos. A janela que será apresentada a estes usuários: Aker Security Solutions 163

164 Figura 113 Autenticação Java A autenticação transparente está disponível somente para o Filtro Web e Modo PROXY ATIVO, em próximas versões a integração se estenderá para todas as funcionalidades do Aker Web Gateway Utilizando a Interface Texto A Interface Texto permite configurar qual o tipo de autenticação será realizada e a ordem de pesquisa dos autenticadores. (E possível usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, então todos os comando poderão ser acessados sem o prefixo FW ). Localização do programa: /aker/bin/awg/fwauth Sintaxe: Aker Web Gateway fwauth - Configura parametros de autenticacao Uso: fwauth [mostra ajuda] fwauth [habilita desabilita] [usuario/senha pki token] fwauth [inclui remove] [ca token autenticador] <entidade> Aker Security Solutions 164

165 fwauth [dominio pesquisa_todos] [sim nao] fwauth local [primeiro ultimo nao] fwauth proxy [token senha] [sim nao] fwauth proxy primeiro [token senha] mostra ajuda habilita desabilita inclui remove dominio local = mostra a configuracao atual = mostra esta mensagem = habilita a autenticacao = desabilita a autenticacao = inclui entidade na lista de autenticadores ativos = remove entidade da lista de autenticadores ativos = configura se o usuario pode ou nao especificar dominio = indica se o autenticador local deve ser consultado antes dos demais autenticadores (primeiro), depois de todos (ultimo) ou se nao deve ser utilizado (nao) pesquisa_todos = configura se deve pesquisar em todos os autenticadores proxy senha proxy token = habilita autenticacao por proxies do tipo usuario/senha = habilita autenticacao por proxies do tipo Token proxy primeiro = configura qual tipo de autenticacao sera usada primeiro Exemplo 1: (mostrando os parâmetros de autenticação) #auth mostra AUTENTICACAO USUARIO/SENHA Pesquisa em todos autenticadores: nao Usuario pode especificar dominio: nao Autenticador local: primeiro Nao ha autenticadores cadastrados Aker Security Solutions 165

166 AUTENTICACAO Nao ha autenticadores cadastrados AUTENTICACAO Nao ha autenticadores cadastrados PKI TOKEN Exemplo 2: (incluindo um autenticador na lista de autenticadores ativos) #auth inclui autenticador "agente " Autenticador incluido Aker Security Solutions 166

167 Perfil de Acesso de Usuários Aker Security Solutions 167

168 11. Perfil de Acesso de Usuários Neste capítulo mostraremos para que servem e como configurar perfis de acesso no Aker Web Gateway Planejando a instalação O que são perfis de acesso? O Aker Web Gateway baseia a sua proteção e o seu controle de acesso a partir de máquinas, através de seus endereços IP. O AWG além desse tipo de controle permite também o controle de acesso por usuários. Desta forma, é possível que determinados usuários tenham seus privilégios e restrições garantidos, independentemente de qual máquina estejam utilizando em um determinado momento. Isso oferece o máximo em flexibilidade e segurança. Para possibilitar este controle de acesso a nível de usuários, o Aker Web Gateway introduziu o conceito de perfis de acesso. Perfis de acesso representam os direitos a serem atribuídos a um determinado usuário no Aker Web Gateway. Estes direitos de acesso englobam todos os serviços suportados pelo Aker Web Gateway, o controle de páginas WWW (WORLD WIDE WEB) e o controle de acesso através do proxy SOCKS. Desta forma, a partir de um único local, consegue definir exatamente o que pode e não pode ser acessado. Como funciona o controle com perfis de acesso? Para utilizar os perfis de acesso, inicialmente cadastra-se os perfis desejados e posteriormente associa-se estes perfis com usuários e grupos de um ou mais autenticadores. A partir deste momento, todas as vezes que um usuário se logar no Aker Web Gateway com o Aker Client ou outro produto que ofereça funcionalidade equivalente, o Aker Web Gateway identificará o perfil de acesso correspondente a este usuário e configurará as permissões de acesso de acordo com este perfil. Tudo é feito de forma completamente transparente para o usuário final. Para que seja possível o uso de perfis de acesso é necessário que o Cliente de Autenticação ou o Cliente de Criptografia Aker estejam instalados em todas as máquinas clientes ou que se use a opção de autenticação por Java no proxy HTTP. Caso contrário, só será possível a utilização de controle de acesso a páginas WWW (WORLD WIDE WEB) ou a serviços através do proxy SOCKS. A autenticação de usuários através dos proxies WWW (WORLD WIDE WEB) (sem Java) e SOCKS é possível na medida em que eles solicitarão um nome de usuário e uma senha e pesquisarão o perfil correspondente quando não identificarem uma sessão ativa para uma determinada máquina. Aker Security Solutions 168

169 11.2. Cadastrando perfis de acesso Os perfis de acesso do Aker Web Gateway definem quais páginas WWW (WORLD WIDE WEB) podem ser visualizadas e quais tipos de serviço podem ser acessados. Para cada página WWW ou serviço, existe uma tabela de horários associada, através da qual é possível definir os horários nos quais o serviço ou página podem ser acessados. Para ter acesso à janela de perfis de acesso deve-se: Figura 114 Configuração (Perfis) Clicar no menu Configuração da janela de administração do Aker Web Gateway; Selecionar o item Perfis. Aker Security Solutions 169

170 A janela de Perfis Figura 115 Perfis A janela de perfis contém todos os perfis de acesso definidos no Aker Web Gateway. Ela consiste de uma lista onde cada perfil é mostrado em uma linha separada. O botão OK fará com que a janela de perfis seja fechada; O botão Aplicar enviará para o Aker Web Gateway todas as alterações feitas porém manterá a janela aberta. Para executar qualquer operação sobre um determinado perfil, deve-se clicar sobre ele e a seguir clicar na opção correspondente na barra de ferramentas. As seguintes opções estão disponíveis: Aker Security Solutions 170

171 Figura 116 Opções de configuração de perfil Inserir perfil filho: Incluir um novo perfil que é filho do perfil atual, i.e., estabelece uma hierarquia de perfis; Inserir: Permitir a inclusão de um novo perfil na lista; Copiar: Copiar o perfil selecionado para uma área temporária; Colar: Copiar o perfil da área temporária para a lista; Excluir: Remover da lista o perfil selecionado. Todas as opções mostradas acima podem ser executadas a partir da barra de ferramentas, bem como a opção de relatório dos Perfis, todos localizados logo acima da lista. Neste caso, primeiro seleciona-se os itens para relatório, e em seguida indica o caminho e clique no botão Gerar. Relatório dos perfis: Gera relatório da lista de perfis em um documento HTML. Para excluir um perfil de acesso, ele não poderá estar associado a nenhum usuário (para maiores informações veja o tópico Associando Usuários com Perfis de Acesso. O perfil filho, criado com a opção Inserir perfil filho herdará automaticamente as configurações do perfil pai. Na parte superior de ambas as pastas, se encontra o campo Nome do Perfil, que serve para especificar o nome que identificará unicamente o perfil de acesso. Este nome será mostrado na lista de perfis e na janela de controle de acesso. Não podem existir dois perfis com o mesmo nome. Cada perfil de acesso é composto de sete tópicos diferentes. Dependendo do tópico selecionado em um momento, a parte direita da janela mudará de modo a mostrar as diferentes opções. Os tópicos de configuração são: Aker Security Solutions 171

172 Geral Figura 117 Perfis (Geral) As opções gerais de filtragem são definidas pelos seguintes campos: Prioridade das Regras: Permite definir a prioridade entre as regras do perfil e as regras de seus perfis filhos. Configura a prioridade para as regras dos perfis filhos: Se esta opção estiver marcada, as regras dos perfis filhos irão aparecer acima das regras dos perfis pais, isto é, elas terão prioridade sobre as regras do pai. Caso contrário, as regras do perfil pai terão prioridade sobre as regras dos seus Aker Security Solutions 172

173 perfis filhos. Ou seja, nos perfis filhos, as regras herdadas do pai irão aparecer acima de suas regras. Isso se aplica às Regras de FTP, GOPHER, HTTP/HTTPS e MSN Messenger. Horário padrão: Esta tabela define o horário padrão para as regras de filtragem WWW (WORLD WIDE WEB). Posteriormente, ao incluir as regras de filtragem WWW, existe uma opção para utilizar este horário padrão ou especificar um horário diferente. As linhas representam os dias da semana e as colunas as horas. Caso queria que a regra seja aplicável em determinada hora então o quadrado deve ser preenchido, caso contrário o quadrado deve ser deixado em branco. Para facilitar sua configuração, pode-se clicar com o botão esquerdo do mouse sobre um quadrado e a seguir arrastá-lo, mantendo o botão pressionado. Isto faz com que o a tabela seja alterada na medida em que o mouse se move. FTP/GOPHER Figura 118 Perfis (FTP/GOPHER) A pasta de filtragem FTP/GOPHER permite a definição de regras de filtragem de URLs para os protocolos FTP e Gopher. Ela consiste de uma lista onde cada regra é mostrada em uma linha separada. Aker Security Solutions 173

174 Na parte inferior da pasta existe um grupo que define a ação a ser executada caso o endereço que o cliente desejou acessar não se encaixe em nenhuma regra de filtragem. Este grupo é chamado de Ação padrão para o protocolo e consiste de três opções. Permitir: Se esta opção for a selecionada, então o Aker Web Gateway aceitará as URLs que não se enquadrarem em nenhuma regra. Bloquear: Se esta opção for a selecionada, então o Aker Web Gateway rejeitará as URLs que não se enquadrarem em nenhuma regra. Para executar qualquer operação sobre uma determinada regra, basta clicar sobre ela e a seguir clicar na opção correspondente na barra de ferramentas. As seguintes opções estão disponíveis: Figura 119 Menu de opções (Perfis) Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver selecionada, a nova será inserida na posição da regra selecionada. Caso contrário, a nova regra será incluída no final da lista. Excluir: Remover da lista a regra selecionada. Copiar: Copiar a regra selecionada para uma área temporária. Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver selecionada, a nova será copiada para a posição da regra selecionada. Caso contrário ela será copiada para o final da lista. Dica: A posição de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a nova posição desejada, soltando em seguida. Observe que o cursor de indicação do mouse irá mudar para uma mão segurando um bastão. A ordem das regras na lista de regras de filtragem WWW (WORLD WIDE WEB) é de fundamental importância. Ao receber uma solicitação de acesso a um endereço, o Aker Web Gateway pesquisará a lista a partir do início, procurando por uma regra na qual o endereço se encaixe. Tão logo uma seja encontrada, a ação associada a ela será executada. Cada regra de filtragem consiste de uma operação, que indica que tipo de pesquisa será feita e, o texto a ser pesquisado. As seguintes opções de operação estão disponíveis: CONTÉM: A URL deve conter o texto informado em qualquer posição. Aker Security Solutions 174

175 NÃO CONTÉM: A URL não pode conter o texto informado. É: O conteúdo da URL deve ser exatamente igual ao texto informado. NÃO É: O conteúdo da URL deve ser diferente do texto informado. COMEÇA COM: O conteúdo da URL deve começar com o texto informado. NÃO COMEÇA COM: O conteúdo da URL não pode começar com o texto informado. TERMINA COM: O conteúdo da URL deve terminar com o texto informado. NÃO TERMINA COM: O conteúdo da URL não pode terminar com o texto informado. Expressão Regular: O campo a ser pesquisado deverá ser uma expressão regular. TUDO: Aceitara todo conteúdo da URL Seguem as definições dos campos da janela: N: Número da regra de filtragem. Limite da busca: Esse campo permite escolher em qual parte da URL será feito a busca, sendo que os parâmetros a serem pesquisados foram definidos no campo padrões de texto. Padrões de Textos: Ao clicar com o botão direito do mouse nesse campo, permite selecionar uma entidade lista de padrões criada anteriormente. Com isso, será possível associar a regra à uma entidade padrão de pesquisa, permitindo definir qual será a string ou os parâmetros que serão pesquisados na URL acessada e qual operação a ser efetuada. Ação: Define a ação a ser executada caso o endereço que o usuário desejou acessar não se encaixe em nenhuma regra de filtragem. Consiste em duas opções. Permitir: Se esta opção for a selecionada, então o Aker Web Gateway aceitará as URLs que não se enquadrarem em nenhuma regra. Bloquear: Se esta opção for a selecionada, então o Aker Web Gateway rejeitará as URLs que não se enquadrarem em nenhuma regra. Categorias: Nesse campo, permite associar alguma entidade categoria à regra que está sendo criada. Canal: Usado nas regras de filtragem com o objetivo de limitar a banda de determinados serviços, máquinas, redes e/ou usuários. Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gastos pelos funcionários, com acesso à sites da WEB. Assim as quotas são os limites em termos de tempo de acesso e volume de dados, por usuário. Nessa opção permite associar ao usuário alguma entidade quota criada. Aker Security Solutions 175

176 Tempo: Período em que a regra é aplicada. Dia da semana e horário. Exemplo: Permite definir que nas segundas-feiras e nas quartas-feiras o usuário terá acesso a Internet somente das 12:00 às 14:00. Período de validade: Período de validade e aplicação da regra. É definido em mês e ano. Aker Security Solutions 176

177 HTTP/HTTPS Aba Geral Figura 120 HTTP/HTTPS Bloquear: Este campo define as opções de bloqueio em sites WWW (WORLD WIDE WEB). São elas: URLs com endereço IP: Se esta opção estiver marcada, não será permitido o acesso a URLs com endereços IP ao invés de nome (por exemplo, ou seja, somente será possível se acessar URLs por nomes. Caso tenha configurado o proxy WWW (WORLD WIDE WEB) para fazer filtragem de URLs, deve-se configurar esta opção de modo que o usuário não possa acessar através de endereços IP, caso contrário, mesmo com o nome bloqueado, o usuário continuará podendo acessar a URL através de seu endereço IP. É possível acrescentar endereços IP nas regras de filtragem WWW (WORLD WIDE WEB) do Aker Security Solutions 177

178 perfil (caso queria realizar filtragem com esta opção ativa), entretanto, devido a estes sofrerem mudanças e ao fato de muitos servidores terem mais de um endereço IP, isto se torna extremamente difícil. Por outro lado, muitos administradores percebem que sites mal configurados (especialmente os de webmail) utilizam redirecionamento para servidores pelo seu endereço IP, de forma que, com esta opção desmarcada, tais sites ficam inacessíveis. Java, Javascript e Activex: Este campo permite definir uma filtragem especial para páginas WWW, bloqueando, ou não, tecnologias consideradas perigosas ou incômodas para alguns ambientes. Ela possui quatro opções que podem ser selecionadas independentemente: Javascript, Java e ActiveX. A filtragem de Javascript, Java e ActiveX é feita de forma com que a página filtrada seja visualizada como se o browser da máquina cliente não tivesse suporte para a(s) linguagem(ns) filtrada(s). Em alguns casos, isto pode fazer com que as páginas percam sua funcionalidade. Banners: Esta opção realiza o bloqueio de banners publicitários em páginas Web. Caso ela esteja marcada, o Aker Web Gateway substituirá os banners por espaços vazios na página, diminuindo o seu tempo de carga. Uma vez configurado que se deve realizar o bloqueio, o mesmo será feito através de regras globais, iguais para todos os perfis. Para configurar estas regras de bloqueio de banners, basta: Figura 121 Aplicação (Bloqueio de banners) Clicar no menu Aplicação da janela principal Selecionar o item Bloqueio de banners A janela abaixo irá ser mostrada: Aker Security Solutions 178

179 Esta janela é formada por uma série de regras no formato de expressão regular. Caso uma URL se encaixe em qualquer regra, a mesma será considerada um banner e será bloqueada. URL Bloqueada: Permitir a configuração de qual ação deve ser executada pelo Web Gateway quando um usuário tentar acessar uma URL não permitida. Ela consiste das seguintes: opções: Mostra mensagem padrão ao bloquear URL: Ao selecionar essa opção, o Web Gateway mostrará uma mensagem de erro informando que a URL que se tentou acessar se encontra bloqueada. Redireciona URL bloqueada: Ao selecionar essa opção, o Web Gateway redirecionará todas as tentativas de acesso a URLs bloqueadas para uma URL especificada pelo administrador. Nesse caso, deve-se especificar a URL para quais os acessos bloqueados serão redirecionados (sem o prefixo no campo abaixo. Mostrar: Essa opção permite definir a página que será mostrada ao usuário, quando a tentativa de acesso a uma URL for bloqueada. Então pode-se optar em mostrar a página padrão ou redirecionar para a página escolhida, que será personalizada de acordo com os chekboxes selecionados. Segue abaixo a descrição de cada opção e o detalhamento das variáveis criadas. Cada um checkbox selecionado, é um parâmetro. Isso é utilizado para identificar aonde e porque a página foi bloqueada, por exemplo, se a página foi bloqueada porque caiu em alguma categoria, passar por parâmetro qual a categoria que causou o bloqueio da página. Domínio: Ao selecionar essa opção será mostrada o domínio da URL. Exemplo: Na url o seu domínio seria aker.com.br. Ao selecionar o domínio, é criada a variável domain. Método: Informa qual o método utilizado pelo protocolo HTTP. Ex: GET, PUT, POST. Ao selecionar o Método é criada a variável method. Nome do Perfil: Nome dado, pelo usuário, ao perfil escolhido. Ao selecionar essa opção é criada a variável perfil. Ip do usuário: Endereço IP do usuário que tentou acessar a URL que foi bloqueada. Ao selecionar o Método é criada a variável ip. Razões: Ao selecionar a Razão é criada a variável reason. Ao habilitar essa opção será mostrada a razão do bloqueio do site. Por exemplo, temos as seguintes razões: Aker Security Solutions 179

180 "categoria da URL", "regra de bloqueio", "quota bytes excedidos", "quota bytes insuficientes", "quota tempo excedido", "tipo de objeto nao permitido", "tipo de arquivo nao permitido globalmente", "tipo de arquivo nao permitido no perfil", "connect para a porta especificada nao permitido" Nome da Categoria: Nome da Categoria que a URL foi associada. Ao selecionar a Categoria é criada a variável cats. Nome do Usuário: Nome do usuário que tentou acessar a URL. Ao selecionar o nome do usuário é criada a variável user. Número da regra: Número da Regra de Filtragem que a URL se enquadrou. Ao selecionar o número da regra é criada a variável rule. Site da URL bloqueado: Mostra a URL que o usuário tentou acessar e foi bloqueada. Ao selecionar o Site da URL bloqueado é criada a variável url. GET. No preview, aparece como será a URL e o que será enviado via método Aker Security Solutions 180

181 HTTP/HTPS Aba Filtro de URL Figura 123 Aba Filtro de Url A pasta de filtragem HTTP/HTTPS permite a definição de regras de filtragem de URLs para os protocolos HTTP e HTTPS. Ela consiste de uma lista onde cada regra é mostrada em uma linha separada. O protocolo HTTPS, para a URL inicial é filtrado como se fosse o protocolo HTTP. Além disso, uma vez estabelecida a comunicação não é mais possível para o Aker Web Gateway filtrar qualquer parte de seu conteúdo, já que a criptografia é realizada diretamente entre o cliente e o servidor. Na parte inferior da pasta existe um grupo que define a ação a ser executada caso o endereço que o cliente desejou acessar não se encaixe em nenhuma regra de filtragem. Este grupo é chamado de Ação padrão para o protocolo e consiste de três opções. Permitir: Se esta opção for a selecionada, então o Aker Web Gateway aceitará as URLs que não se enquadrarem em nenhuma regra. Bloquear: Se esta opção for a selecionada, então o Aker Web Gateway rejeitará as URLs que não se enquadrarem em nenhuma regra. Para executar qualquer operação sobre uma determinada regra, basta clicar sobre ela e a seguir clicar na opção correspondente na barra de ferramentas. As seguintes opções estão disponíveis: Aker Security Solutions 181

182 Figura 124 Menu de opções (Filtro de Url) Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver selecionada, a nova será inserida na posição da regra selecionada. Caso contrário, a nova regra será incluída no final da lista. Excluir: Remover da lista a regra selecionada. Copiar: Copiar a regra selecionada para uma área temporária. Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver selecionada, a nova será copiada para a posição da regra selecionada. Caso contrário ela será copiada para o final da lista. Dica: A posição de cada regra pode ser alterada, bastando clicar e arrastar a mesma para a nova posição desejada, soltando em seguida. Observe que o cursor de indicação do mouse irá mudar para uma mão segurando um bastão. A ordem das regras na lista de regras de filtragem WWW é de fundamental importância. Ao receber uma solicitação de acesso a um endereço, o Aker Web Gateway pesquisará a lista a partir do início, procurando por uma regra na qual o endereço se encaixe. Tão logo uma seja encontrada, a ação associada a ela será executada. Cada regra de filtragem consiste de uma operação, que indica que tipo de pesquisa será feita e, o texto a ser pesquisado. As seguintes opções de operação estão disponíveis: CONTÉM: A URL deve conter o texto informado em qualquer posição. NÃO CONTÉM: A URL não pode conter o texto informado. É: O conteúdo da URL deve ser exatamente igual ao texto informado. NÃO É: O conteúdo da URL deve ser diferente do texto informado. COMEÇA COM: O conteúdo da URL deve começar com o texto informado. NÃO COMEÇA COM: O conteúdo da URL não pode começar com o texto informado. TERMINA COM: O conteúdo da URL deve terminar com o texto informado. NÃO TERMINA COM: O conteúdo da URL não pode terminar com o texto informado. Expressão Regular: O campo a ser pesquisado deverá ser uma expressão regular. TUDO: Aceitara todo conteúdo da URL Aker Security Solutions 182

183 Seguem as definições dos campos da janela: N: Número da regra de filtragem. Limite da busca: Esse campo permite escolher em qual parte da URL será feito a busca, sendo que os parâmetros a serem pesquisados foram definidos no campo padrões de texto. Padrões de Textos: Ao clicar com o botão direito do mouse nesse campo, permite selecionar uma entidade lista de padrões criada anteriormente. Com isso, será possível associar a regra à uma entidade padrão de pesquisa, permitindo definir qual será a string ou os parâmetros que serão pesquisados na URL acessada e qual operação a ser efetuada. Ação: Define a ação a ser executada caso o endereço que o usuário desejou acessar não se encaixe em nenhuma regra de filtragem. Consiste em duas opções. Permitir: Se esta opção for a selecionada, então o Aker Web Gateway aceitará as URLs que não se enquadrarem em nenhuma regra. Bloquear: Se esta opção for a selecionada, então o Aker Web Gateway rejeitará as URLs que não se enquadrarem em nenhuma regra. Categorias: Nesse campo, permite associar alguma entidade categoria à regra que está sendo criada. Canal: Usado nas regras de filtragem com o objetivo de limitar a banda de determinados serviços, máquinas, redes e/ou usuários. Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gastos pelos funcionários, com acesso à sites da WEB. Assim as quotas são os limites em termos de tempo de acesso e volume de dados, por usuário. Nessa opção permite associar ao usuário alguma entidade quota criada. Tempo: Período em que a regra é aplicada. Dia da semana e horário. Exemplo: Permite definir que nas segundas-feiras e nas quartas-feiras o usuário terá acesso a Internet somente das 12:00 às 14:00. Período de validade: Período de validade e aplicação da regra. É definido em mês e ano. Aker Security Solutions 183

184 Aba Arquivos Bloqueados Figura 125 Aba Arquivos Bloqueados Especificar os arquivos que serão bloqueados pelo perfil juntamente com o Filtro Web. É possível utilizar dois critérios complementares para decidir se um arquivo transferido deve ser bloqueado: a extensão do arquivo ou seu tipo MIME. Se um destes critérios for atendido, em outras palavras, se a extensão do arquivo estiver entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre aqueles a serem bloqueados, então o arquivo deverá ser bloqueado pelo Web Gateway. O tipo MIME é usado para indicar o tipo de dado que está no corpo de uma resposta em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo e o segundo indica o subtipo. O navegador usa esta informação para decidir como mostrar a informação que ele recebeu do mesmo modo como o sistema operacional usa a extensão do nome do arquivo. Aker Security Solutions 184

185 Sites Excluídos: Deve-se escolher a operação e o texto a ser incluído para análise. Sites que se enquadrarem na lista de excluídos não serão analisados. Opções de operação: URL Bloqueada: Figura 126 Opções de operação Permitir a configuração de qual ação deve ser executada pelo Web Gateway quando um usuário tentar acessar uma URL não permitida. Ela consiste das seguintes: opções: Mostra mensagem padrão ao bloquear URL: Ao selecionar essa opção, o Web Gateway mostrará uma mensagem de erro informando que a URL que se tentou acessar se encontra bloqueada. Redireciona URL bloqueada: Ao selecionar essa opção, o Web Gateway redirecionará todas as tentativas de acesso a URLs bloqueadas para uma URL especificada pelo administrador. Nesse caso, deve-se especificar a URL para quais os acessos bloqueados serão redirecionados (sem o prefixo no campo abaixo. Mostrar: Essa opção permite definir a página que será mostrada ao usuário, quando a tentativa de acesso a uma URL for bloqueada. Então pode-se optar em mostrar a página padrão ou redirecionar para a página escolhida, que Aker Security Solutions 185

186 será personalizada de acordo com os chekboxs selecionados. Segue abaixo a descrição de cada opção e o detalhamento das variáveis criadas. Cada um desses checkbox selecionado, é um parâmetro. Isso é utilizado para identificar aonde e porque a página foi bloqueada, por exemplo, se a página foi bloqueada porque caiu em alguma categoria, passar por parâmetro qual a categoria que causou o bloqueio da página. Domínio: Ao selecionar essa opção será mostrada o domínio da URL. Exemplo: Na url o seu domínio seria aker.com.br. Ao selecionar o domínio, é criada a variável domain. Método: Informa qual o método utilizado pelo protocolo HTTP. Ex: GET, PUT, POST. Ao selecionar o Método é criada a variável method. Nome do Perfil: Nome dado, pelo usuário, ao perfil escolhido. Ao selecionar essa opção é criada a variável perfil. Ip do usuário: Endereço IP do usuário que tentou acessar a URL que foi bloqueada. Ao selecionar o Método é criada a variável ip. Razões: Ao selecionar a Razão é criada a variável reason. Ao habilitar essa opção será mostrada a razão do bloqueio do site. Por exemplo, temos as seguintes razões: "categoria da URL", "regra de bloqueio", "quota bytes excedidos", "quota bytes insuficientes", "quota tempo excedido", "tipo de objeto nao permitido", "tipo de arquivo nao permitido globalmente", "tipo de arquivo nao permitido no perfil", "connect para a porta especificada nao permitido" Nome da Categoria: Nome da Categoria que a URL foi associada. Ao selecionar a Categoria é criada a variável cats. Nome do Usuário: Nome do usuário que tentou acessar a URL. Ao selecionar o nome do usuário é criada a variável user. Número da regra: Número da Regra de Filtragem que a URL se enquadrou. Ao selecionar o número da regra é criada a variável rule. Site da URL bloqueado: Mostra a URL que o usuário tentou acessar e foi bloqueada. Ao selecionar o Site da URL bloqueado é criada a variável url. Aker Security Solutions 186

187 GET. No preview, aparece como será a URL e o que será enviado via método MSN Messenger Figura 127 MSM Messenger (Perfis) Essa pasta permite configurar as opções de uso do MSN Messenger e seus serviços. Para mais informações, veja o capítulo Configurando o Proxy MSN. As seguintes opções estão disponíveis: Permite Messenger: Se esta opção estiver desmarcada, os usuários que pertencerem a este perfil não poderão acessar o Messenger, mesmo que exista uma regra de filtragem permitindo este acesso. É fundamental que o tipo mime do Messenger esteja bloqueado no proxy HTTP, caso contrário poderá ser possível acessar o Messenger através deste serviço. Esta opção de bloqueio já vem configurada como padrão, mas é importante atentar a isso caso se realize configurações no proxy HTTP. Não Filtrado: Esta opção só estará disponível caso a caixa Permite Messenger esteja ativa. Ela indica que o usuário poderá usar MSN Messenger, sem nenhum tipo de filtragem (ex: tempo de conversação, etc.). Filtrado: Esta opção só estará disponível caso a caixa Permite Messenger esteja ativa. Ela indica que o usuário poderá usar o MSN Messenger, porém de forma controlada, ou seja, definida através das regras de filtragem para este serviço. Aker Security Solutions 187

188 Permite notificações do Hotmail: Esta opção (que só estará ativa caso o acesso filtrado ao MSN Messenger tenha sido selecionado) permite que o usuário receba notificações de mensagens disponíveis no Hotmail. Incluir conversas nos registros de log: Esta opção registrará todas as conversas entre os usuários. Bloquear versão: Estas opções permitem que sejam bloqueadas as versões específicas do cliente MSN Messenger. Caso tenha selecionado a opção de acesso controlado ao Messenger, é necessário criar uma ou mais regras para definir que tipo de acesso será permitido. Para executar qualquer operação sobre uma regra, basta clicar sobre ela com o botão direito e a seguir escolher a opção desejada no menu que irá aparecer. As seguintes opções estão disponíveis: Figura 128 Menu de opções (MSN Messenger) Inserir: Permitir a inclusão de uma nova regra na lista. Excluir: Remover da lista a regra selecionada. Copiar: Copiar a regra selecionada para uma área temporária. Colar: Copiar a regra da área temporária para a lista. Desabilitar: Ativar ou desativar a regra selecionada na lista. Cada regra MSN consiste das seguintes opções: Origem: Endereço de do usuário que enviou a mensagem, ou seja que iniciou a conversa. Destino: Nesta coluna pode-se controlar com quem os usuários internos irão conversar, para isso deve-se inserir uma ou mais entidades do tipo Lista de s (para maiores informações veja o capítulo (Cadastrando entidades), contendo a lista de s ou domínios liberados. Tipos de Arquivos Permitidos: Nesta coluna pode-se definir que tipos de arquivos podem ser enviados/recebidos através do Messenger. Para isso deve-se inserir uma ou mais entidades do tipo Lista de Tipo de Arquivo (para maiores informações veja o capítulo Cadastrando entidades), contendo a lista de tipos de arquivos permitidos. Serviços Permitidos: Nesta coluna pode-se especificar quais serviços adicionais podem ser utilizados através do Messenger. A definição dos tipos de serviços Aker Security Solutions 188

189 possíveis é feita dentro da configuração do proxy MSN. Para maiores informações veja o capítulo Configurando o proxy MSN. Log: Se estiver marcado, informação sobre as conversas de todos os usuários serão registradas. Os seguintes dados estarão disponíveis no log: logon/logoff de usuário, transferência de arquivos, utilização de serviço adicional e início e fim de conversa. Pastas compartilhadas: Nesta opção opta por permitir ou não que o usuário compartilhe pastas no MSN. Tabela de Horários: Horário em que o usuário poderá utilizar o serviço Messenger, dividido nas 24 horas do dia. Caso seja desejado é possível copiar o horário padrão do perfil de acesso, clicando-se com o botão direito sobre a tabela de horários e selecionando-se a opção Usar tabela de horário padrão do perfil. Ação: Define a ação a ser executado caso o endereço que o usuário desejou acessar não se encaixe em nenhuma regra de filtragem. Consiste em duas opções. Permitir: Se esta opção for a selecionada, então o Web Gateway aceitará as URLs que não se enquadrarem em nenhuma regra. Bloquear: Se esta opção for a selecionada, então o Web Gateway rejeitará as URLs que não se enquadrarem em nenhuma regra. Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gasto pelos funcionários, com acesso à sites da WEB. Assim as quotas são os limites em termos de tempo de acesso e volume de dados, por usuário. Nessa opção permite associar ao usuário alguma entidade quota criada. Aker Security Solutions 189

190 11.3. Associando Usuários com Perfis de Acesso Uma vez que os perfis de acesso estão criados, torna-se necessário associá-los a usuários e grupos de um ou mais autenticadores ou autoridades certificadoras do Aker Web Gateway. Isto é feito através da janela de controle de acesso. Para ter acesso a janela de controle de acesso deve-se: Figura 129 Configurações (Autenticação) Clicar no menu Configurações da janela principal Selecionar o item Autenticação Selecionar a pasta Controle de Acesso Aker Security Solutions 190

191 Aba Controle de Acesso Figura 130 Autenticação A janela de controle de acesso permite que seja criada a associação de usuários/grupos com um perfil de acesso. Na parte inferior da janela existe um campo chamado Perfil Padrão onde é possível selecionar o perfil que será associado aos usuários, que não se enquadrem em nenhuma regra de associação. A última coluna, quando preenchida, especifica redes e máquinas onde a associação é válida. Se o usuário se encaixar na regra, mas estiver em um endereço IP fora das redes e máquinas cadastradas, então a regra será pulada, permitindo a atribuição de outro perfil ao usuário. Esse tipo de restrição é muito útil para permitir acesso à áreas sensíveis da rede apenas de alguns locais físicos com segurança aumentada. Para associar um usuário ou grupo com um determinado perfil de acesso, deve-se proceder da seguinte maneira: 1. Clicar com o botão direito do mouse na lista de regras e selecionar a opção Inserir. 2. Selecionar o autenticador do qual se deseja obter a lista de usuários ou grupos, clicando-se com o botão direito no campo Autenticador. Para maiores Aker Security Solutions 191

192 informações sobre os autenticadores, veja o capítulo intitulado Configurando parâmetros de autenticação. 3. Clicar com o botão direito sobre o campo Usuário/Grupo e selecionar entre listagem de usuários ou grupos e sua lista será montada automaticamente a partir do autenticador selecionado. A partir da lista selecionar o usuário ou grupo desejado. Figura 131 Escolha de usuário 4. Clicar com o botão direito sobre o campo Perfil para selecionar o perfil desejado, conforme o menu abaixo: Figura 132 Menu de opções Aker Security Solutions 192

193 5. Caso deseje, arraste algumas entidades máquina, rede ou conjuntos para o campo entidades. Se o usuário estiver fora dessas entidades, a regra será pulada. Para remover uma regra entre um usuário/grupo e um perfil, deve-se proceder da seguinte maneira: 1. Clicar na regra a ser removida, na lista da janela. 2. Clicar no botão Apagar. Para alterar a posição de uma regra dentro da lista, deve-se proceder da seguinte forma: 1. Clicar na regra a ser movida de posição. 2. Arrastar para a posição desejada. A ordem das associações na lista é de fundamental importância. Quando um usuário se autenticar, o Aker Web Gateway pesquisará a lista a partir do início procurando pelo nome desse usuário ou por um grupo de que ele faça parte. Tão logo um desses seja encontrado o perfil associado ao mesmo será utilizado. Aba Controle de Acesso por IP Figura 133 Autenticação (Aba Controle de Acesso) Aker Security Solutions 193

194 O Aker Web Gateway pode controlar os acessos por intermédio de endereços IP conhecidos juntamente com perfis criados para este fim. Esta aba permite a habilitação e a desabilitação individual das regras que configuram a autenticação por Ip, não sendo mais necessário ter que removê-las para desabilitá-las, podendo ser habilitada ou desabilitada por meio da opção no menu suspenso ou por meio do botão localizado na barra de tarefas. É preciso escolher uma entidade rede ou uma entidade máquina, que definirão a origem do tráfego e associá-las ao perfil, de forma que o tráfego originário dessas entidades não precisarão de autenticação por usuário. O Acesso por IP estará habilitado sempre que houver pelo menos uma regra habilitada nesta aba. Aker Security Solutions 194

195 Visualizando Usuários Conectados Aker Security Solutions 195

196 12. Perfil de Acesso de Usuários Neste capítulo mostraremos a opção de visualizar os usuários conectados no Aker Web Gateway Visualizando e Removendo Usuários Logados no Aker Web Gateway É possível visualizar a qualquer momento os usuários que possuem sessão estabelecida com o Aker Web Gateway, através do cliente de autenticação, e remover uma destas sessões. Isto é feito através da janela de usuários logados. Para ter acesso a janela de usuários logados deve-se: Figura 134 Informação ( Usuários conectados) Clicar no menu Informação da janela de administração do Aker Web Gateway Selecionar Usuários Conectados Aker Security Solutions 196

197 A janela de Usuários Conectados Figura 135 Usuários conectados Esta janela consiste de uma lista com uma entrada para cada usuário. Na parte inferior da janela é mostrada uma mensagem informando o número total de usuários com sessões estabelecidas um determinado instante. Para os usuários logados via Secure Roaming, serão mostrados também os dados da conexão (endereço IP e portas) junto com o estado de estabelecimento da mesma. O botão OK faz com que a janela de usuários seja fechada. O botão Cancelar fecha a janela. A caixa Itens selecionados no topo coloca os itens que foram selecionados para o topo da janela de usuários conectados. Barra de Ferramentas de Usuários Conectados: O botão Atualiza faz com que as informações mostradas sejam atualizadas periodicamente de forma automática ou não. Clicando-se sobre ele, alterna-se entre os dois modos de operação. O intervalo de atualização pode ser configurado mudando-se o valor logo a direita deste campo. O botão Buscar, localizado na barra de ferramentas, permite remover uma sessão de usuário. Para tal deve-se primeiro clicar sobre a sessão que deseja remover e a Aker Security Solutions 197

198 seguir clicar neste botão (ele estará desabilitado enquanto não existir nenhuma sessão selecionada). O botão DNS, localizado na barra de ferramentas, acionará o serviço de nomes (DNS) para resolver os nomes das máquinas cujos endereços IPs aparecem listados. Cabem ser observados os seguintes pontos: 1. A resolução de nomes muitas vezes é um serviço lento e, devido a isso, a tradução dos nomes é feita em segundo plano. 2. Muitas vezes, devido a problemas de configuração do DNS reverso (que é o utilizado para resolver nomes a partir de endereços IP), não será possível a resolução de certos endereços. Neste caso, os endereços não resolvidos serão mantidos na forma original e será indicado ao seu lado que eles não possuem DNS reverso configurado. É possível ordenar a lista das sessões por qualquer um de seus campos, bastanto para isso clicar no título do campo. O primeiro click produzirá uma ordenação ascendente e o segundo uma ordenação descendente. Significado dos campos de uma sessão de usuário ativa Cada linha presente na lista de sessões de usuários representa uma sessão. O significado de seus campos é o seguinte: Ícone: É mostrado a esquerda do nome de cada usuário e pode assumir três formas distintas: Cadeado: Este ícone indica que o usuário se logou através do cliente de criptografia apenas. Usuário: Este ícone indica que o usuário se logou através do cliente de autenticação apenas. Usuário dentro do cadeado: Este ícone indica que o usuário se logou através do cliente de autenticação e de criptografia. Máquina: Endereço IP ou nome (caso o DNS esteja ativo) da máquina na qual a sessão foi estabelecida. Nome: Nome do usuário que estabeleceu a sessão. Domínio: Nome do domínio, i.e. autenticador, no qual o usuário se autenticou. Caso o usuário não tenha especificado domínio ao se logar, este campo aparecerá em branco. Perfil: Qual o perfil de acesso correspondente a esta sessão. Se este campo está em branco, o usuário se autenticou antes de a tabela de perfis ser alterada, de forma que ele está utilizando um perfil que não existe mais. Aker Security Solutions 198

199 Início: Hora de abertura da sessão Utilizando a Interface Texto A Interface Texto para acesso à lista de usuários logados possui as mesmas capacidades da Interface Remota e é simples de ser utilizado. Ele é o mesmo programa que produz a lista de conexões ativas TCP e UDP, mostrado anteriormente. E possível usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, então todos os comando poderão ser acessados sem o prefixo FW ). Localização do programa: /aker/bin/awg/fwlist Sintaxe: Aker Web Gateway fwlist - Lista e remove conexoes TCP/UDP e sessoes ativas Uso: fwlist ajuda fwlist mostra [[-w] [TCP]] [UDP] fwlist mostra [sessoes roaming bloqueados quotas www] fwlist remove [TCP UDP] IP_origem Porta_origem IP_destino Porta_destino fwlist remove sessao IP_origem [usuario] fwlist remove bloqueado IP_origem fwlist reinicia [ usuario <nome> ] [ quota <nome> ] [tempo] [volume] ajuda = mostra esta mensagem mostra = lista as conexoes ou sessoes ativas remove = remove uma conexao ou sessao ativa reinicia = reinicia a quota dos usuarios Exemplo 1: (listando as sessões de usuários logados no Aker Web Gateway) #list mostra sessoes Nome/Dominio Perfil IP origem Inicio Aker Security Solutions 199

200 administrador/bsb Admin :11:27 jose.silva/goa Padrao :39:54 joao.souza/poa Padrao :58:10 josemaria/gru Padrao :01:02 angelam/bsb 1 Restrito :48:31 marciam/poa Restrito :49:44 antonioj/poa Especial :02:19 operador/bsb Padrao :44:34 Exemplo 2: (removendo a sessão do usuário logado a partir da máquina ) #list remove sessao A remocao da sessao foi solicitada ao servidor de usuarios Aker Security Solutions 200

201 Quotas Aker Security Solutions 201

202 13. Quotas Neste capítulo mostraremos como são utilizadas as quotas Utilizando as quotas O que são quotas? A produtividade dos funcionários é de fundamental importância para o desenvolvimento e o crescimento de uma empresa. Portanto, os seus recursos de rede devem ser utilizados de forma racional. A partir dessa necessidade, o Aker Web Gateway tornou-se uma ferramenta indispensável para o controle de acesso às páginas web, que são visitadas pelos empregados de uma corporação. Com o uso desse produto, os usuários só terão acesso à sites dentro dos limites estabelecidos pelas quotas de acesso. As Quotas são utilizadas para controlar e racionalizar o tempo gasto pelos funcionários, com acesso à sites da WEB. Assim as quotas são os limites em termos de tempo de acesso e volume de dados, por usuário. Estes limites são definidos na seguinte forma: Quanto a periodicidade de acesso, pode ser definido diariamente, semanalmente e mensalmente; Quanto a quantidade de horas e de dias disponíveis; Quanto ao volume de dados de bytes trafegados. Observação 1: A contagem do tempo funciona da seguinte forma: quando o usuário acessa uma página, conta um relógio de 31 segundos, se o usuário acessar uma outra página, começa a contar do zero, mas não deixar de contar, por exemplo, os 10 segundos que o usuário gastou ao acessar a página anterior. Observação 2: Para o consumo de quota, funciona da seguinte forma: no MSN, para cada janela de conversação, o tempo é contado separadamente, já na WEB se tiver acessando 10 sites, será contato somente o tempo de um. Aker Security Solutions 202

203 13.2. Editando os parâmetros do Uso da Quota Figura 136 Informação (Uso de quotas) Clicar no menu Informação da janela do Aker Web Gateway Selecionar o item Uso da quota Aker Security Solutions 203

204 Visualização do Uso da quota Agrupamento por usuário Figura 137 Uso de quotas agrupamento por usuário Esta janela permite mostrar todas as informações de quota de acesso, especificadas por usuário. Reinicia tempo de todas as quotas do usuário: Ao clicar com o botão direito do mouse em cima do usuário e ao selecionar essa opção zera toda a quota de tempo de acesso para todas as quotas desse usuário. Caso clique em cima da quota, só será zerado aquela quota específica referente a esse usuário. Reinicia tráfego de todas as quotas do usuário: Ao clicar com o botão direito do mouse em cima do usuário e ao selecionar essa opção opta em zerar todas as quotas de volume de dados desse usuário. Caso clique em cima da quota, só será zerado aquela quota específica referente a esse usuário. Reinicia tempo e tráfego de todas as quotas do usuário: Ao clicar com o botão direito do mouse em cima do usuário e ao selecionar essa opção opta em zerar toda Aker Security Solutions 204

205 quota de tempo de acesso e a quota de volume, para esse usuário. Caso clique em cima da quota, só será zerado aquela quota específica referente a esse usuário. Usuário: Usuário para qual foi aplicado a quota. Quota: Nome da quota criada. Tempo: Tempo gasto da quota. Volume: Quantidade de bytes trafegados. Regularidade: Período que a quota vai ser aplicada, se é diariamente, semanalmente ou mensalmente. Mostra valores relativos: Mostra em forma de porcentagem as quotas gastas. Agrupamento por quota Figura Uso de quotas agrupamento por quota Esta janela permite mostrar todas as informações de quota de acesso, especificados por quota. Aker Security Solutions 205

206 Reinicia tempo do usuário: Ao clicar com o botão direito do mouse em cima do usuário e ao selecionar essa opção zera toda a quota de tempo de acesso para todas as quotas desse usuário. Caso clique em cima da quota, só será zerado aquela quota específica referente a esse usuário. Reinicia tráfego do usuário: Ao clicar com o botão direito do mouse em cima do usuário e ao selecionar essa opção opta em zerar todas as quotas de volume de dados desse usuário. Caso clique em cima da quota, só será zerado aquela quota específica referente a esse usuário. Reinicia hora e tráfego do usuário: Ao clicar com o botão direito do mouse em cima do usuário e ao selecionar essa opção opta em zerar toda quota de tempo de acesso e a quota de volume, para esse usuário. Caso clique em cima da quota, só será zerado aquela quota específica referente a esse usuário. Quota: Nome da quota criada. Usuário: Usuário para qual foi aplicado a quota. Tempo: Tempo gasto da quota. Volume: Quantidade de bytes trafegados. Regularidade: Período que a quota vai ser aplicada, se é diariamente, semanalmente ou mensalmente. Mostra valores relativos: Mostra em forma de porcentagem os valores das quotas. Aker Security Solutions 206

207 Configurando Filtro Web Aker Security Solutions 207

208 14. Configurando Filtro Web Neste capítulo mostraremos para que serve e como configurar o Filtro Web Planejando a instalação O que é o Filtro Web do Aker Web Gateway? O Filtro Web é um programa especializado do Aker Web Gateway feito para trabalhar com os protocolos que compõem a chamada WWW (World Wide Web). Dentre entre estes protocolos, estão o HTTP, HTTPS, FTP e Gopher. Este produto possui como principal função controlar o acesso dos usuários internos à Internet, definindo quais páginas os usuários poderão acessar e se podem ou não transferir arquivos, por exemplo. Além disso, ele pode bloquear tecnologias consideradas perigosas para algumas instalações como o Active-X TM, scripts (JavaScript) e até applets Java TM. Mais ainda, ele possibilita a remoção dos banners das páginas, de forma a aumentar a sua velocidade de carga e reduzir a utilização do link. Ele é um proxy simultaneamente transparente (apenas para HTTP) e não transparente (para maiores informações, veja o capítulo intitulado Trabalhando com proxies), facilitando a instalação do sistema. Quando utilizado da forma transparente, o proxy é normalmente mais rápido de ser configurado do que quando utilizado como um proxy normal, não necessitando de configuração extra nos clientes. Por outro lado, a capacidade de filtrar URLs para os protocolos HTTPS, FTP e GOPHER só existe no proxy normal. Para que o proxy não transparente tenha a mesma performance do transparente, é necessário que os browsers suportem o envio de requisições HTTP 1.1 via proxies. O que é um servidor de cache WWW? Um servidor de cache é um programa que visa aumentar o velocidade de acesso às páginas da Internet. Para conseguir isso, ele armazena internamente as páginas mais utilizadas pelas diversas máquinas clientes e todas as vezes que recebe uma nova solicitação, ele verifica se a página desejada já se encontra armazenada. Caso a página esteja disponível, ela é retornada imediatamente, sem a necessidade de consultar o servidor externo, caso contrário a página é carregada normalmente do servidor desejado e armazenada, fazendo com que as próximas requisições a esta página sejam atendidas rapidamente. Aker Security Solutions 208

209 O Filtro Web do Aker Web Gateway trabalhando com um servidor de cache O Aker Web Gateway não implementa por si só um servidor de cache no seu proxy WWW, entretanto ele pode ser configurado para trabalhar com qualquer um que siga os padrões de mercado. Este servidor de cache pode estar rodando na própria máquina onde o Aker Web Gateway se encontra ou em uma máquina separada. Caso utilize-se de um servidor de cache em uma máquina separada (modo de instalação recomendado), esta máquina deve ficar em uma sub-rede diferente de onde estão as máquinas clientes, caso contrário todo o controle de segurança pode ser facilmente ultrapassado. Este tipo de configuração pode ser visualizado na seguinte figura: Figura Conexão (Internet, rede interna, firewall e DMZ. Neste tipo de instalação, para assegurar uma total proteção, basta configurar o servidor de Cache para permitir conexões com origem somente do Aker Web Gateway e não permitir que as máquinas clientes não possam abrir conexões em sua direção. Feito isso, configura-se todas as máquinas clientes para utilizarem o proxy WWW do Aker Web Gateway e configura-se o Aker Web Gateway para utilizar o cache na máquina desejada. Utilizando o Filtro Web Para se utilizar o Filtro web do Aker Web Gateway no modo não transparente (normal), é necessária a seguinte sequência de passos: 1. Criar os perfis de acesso desejados e os associar com os usuários e grupos desejados. Isso foi descrito no capítulo chamado Perfis de acesso de usuários. Aker Security Solutions 209

210 2. Editar os parâmetros de configuração do proxy WWW (isso será mostrado no tópico chamado Editando os parâmetros do Filtro Web). O proxy WWW não transparente escuta conexões na porta 80, utilizando o protocolo TCP. Caso seja necessário, pode-se alterar este valor para qualquer porta, bastando para isso acrescentar o parâmetro -p porta, onde porta é o número da porta que queira que ele escute, na hora de iniciá-lo. Esta chamada se encontra no arquivo /aker/bin/awg/rc.aker, e deve ser alterada de /aker/bin/awg/fwhttppd para /aker/bin/awg/fwhttppd -p 8080, por exemplo. Somente será gerado eventos de acesso a sites seguros (https) quando estivermos utilizando o Aker Web Gateway como Proxy WWW Ativo, nos browsers dos usuários, para os clientes que utilizam o Aker Web Gateway como proxy WWW Transparente o único log gerado é o de acesso ao host e a porta tcp 443 (https) Editando os parâmetros do Filtro Web Para utilizar o proxy www, é necessário a definição de alguns parâmetros que determinarão características básicas de seu funcionamento. Esta definição é feita na janela de configuração do Filtro Web. Para acessá-la, deve-se: Figura 140 Aplicação (Filtro Web) Clicar no menu Aplicação da janela do Aker Web Gateway Selecionar o item Filtro Web A janela de configuração de parâmetros do Filtro Web Aker Security Solutions 210

211 Figura 141 Filtro Web (aba Geral) O botão OK fará com que a janela de configuração do Filtro Web seja fechada e as alterações salvas. O botão Aplicar enviará para o Aker Web Gateway todas as alterações feitas porém manterá a janela aberta. O botão Cancelar, fará com que todas as alterações feitas sejam desprezadas e a janela seja fechada. O botão Retornar à Configuração Inicial - Desconsidera as configurações personalizadas e retorna ao padrão; é aplicável em todas as abas e encontra-se na barra de ferramentas do Aker Web Gateway, bem como o botão Assistente. Aba geral Cache Cache Interno Habilitado: Esta opção permite o AWG funcionar como servidor de cache. Aker Security Solutions 211

212 Cache externo Habilitado: Esta opção permite definir se o filtro web irá redirecionar suas requisições para um servidor de cache. Caso esta opção esteja habilitada, todas as requisições recebidas serão repassadas para o servidor de cache, no endereço IP e porta especificados. IP: Este campo especifica o endereço IP dos servidores de cache para onde todos os pedidos serão encaminhados se a opção Cache Externo Habilitado estiver ativa. Porta: Este campo especifica a porta na qual o servidor de cache irá esperar por conexões se a opção Cache Externo Habilitado estiver ativa. Parâmetros Esta pasta possibilita ajustar o funcionamento do filtro web para situações especiais. Ela consiste dos seguintes campos: Autenticar usuários WWW: Este campo ativa ou não a autenticação de usuários do filtro web. Caso ele esteja marcado, será solicitada ao usuário uma identificação e uma senha todas as vezes que ele tentar iniciar uma sessão e esta somente será iniciada caso ele seja autenticado por algum dos autenticadores. Utiliza cliente de autenticação em Java: Esta opção instrui o proxy a utilizar o cliente de autenticação em Java, mesmo quando operando de modo não transparente. A vantagem deste cliente é permitir que a autenticação do usuário seja completa (como quando se usa o cliente de autenticação para Windows, e não apenas para o filtro web). Caso o usuário esteja utilizando o Cliente de Autenticação Aker para Windows e esteja com uma sessão estabelecida com o Aker Web Gateway, então não será solicitado nome nem senha, ou seja, o proxy se comportará como se não estivesse realizando autenticação de usuários, mas ele está de fato fazendo-o. Se a sessão do Cliente de Autenticação for finalizada, então o proxy solicitará um nome de usuário e senha no próximo acesso. Para o cliente de autenticação em Java funcionar em seu browser, ele deve ter o suporte a Java instalado e habilitado, além de permitir o uso do protocolo UDP para applets Java. Apenas o Internet Explorer da Microsoft traz esta opção desabilitada por padrão, e, para habilitá-la você deve escolher configurações personalizadas de segurança para Java e liberar o acesso a todos os endereços de rede para applets não assinados. Forçar autenticação: Se esta opção estiver marcada o proxy obrigará a autenticação do usuário, ou seja, somente permitirá acesso para usuários autenticados. Se ela estiver desmarcada e um usuário desejar se autenticar, ele poderá fazê-lo (para ganhar um perfil diferente do padrão), mas acessos não identificados serão permitidos. Aker Security Solutions 212

213 Tempos Limite Leitura: Definir o tempo máximo, em segundos, que o proxy aguarda por uma requisição do cliente, a partir do momento que uma nova conexão for estabelecida. Caso este tempo seja atingido sem que o cliente faça uma requisição, a conexão será cancelada. Resposta: Definir o tempo máximo, em segundos, que o proxy aguarda por uma resposta de uma requisição enviada para o servidor WWW remoto ou para o servidor de cache, caso a opção habilita cache esteja ativa. Caso este tempo seja atingido sem que o servidor comece a transmitir uma resposta, a conexão com o servidor será cancelada e o cliente receberá uma mensagem de erro. HTTPS: Definir o tempo máximo, em segundos, que o proxy pode ficar sem receber dados do cliente ou do servidor em uma conexão HTTPS, sem que ele considere a conexão inativa e a cancele. Manter ativo: Definir quanto tempo um usuário pode manter uma conexão keepalive (HTTP 1.1) com o proxy inativa, antes que o proxy a encerre, liberando o processo para outro usuário. Recomenda-se manter este tempo bastante baixo, para evitar o uso desnecessário de todos os processos do sistema. Timeout das sessões web: Indica quanto tempo uma sessão web vai ficar sendo monitorada, permitindo ao administrador do Aker Web Gateway saber quais são as sessões web ativas do seu Aker Web Gateway. Exemplo: Se for marcado 30 segundos nesse campo, a janela de sessões web (information > web sessions) só vai mostrar as sessões ativas dos últimos 30 segundos. Performance Número de processos: Definir o número de processos do proxy WWW que vão permanecer ativos aguardando conexões. Como cada processo atende uma única conexão, este campo também define o número máximo de requisições que podem ser atendidas simultaneamente. Não permitir transferências comprimidas (menos CPU, maior largura de banda): Permite que o Aker Web Gateway não aceite transferências do Filtro Web que tenham dados compactados. Em uma requisição HTTP, pode ser especificado que os dados venham compactados. Caso os dados venham comprimidos, caso exista ActiveX, java ou Java script compactados, o Aker Web Gateway precisa descompactá-los para fazer a análise dos dados, por isso que nesses casos, essa opção é bastante importante. O mais aconselhado é deixar esta opção desmarcada, pois é o padrão da janela. Aker Security Solutions 213

214 Logar toda URL aceita: Permite que o Web Gateway logue todas as URL que são realizadas um método (GET, POST e etc), sendo assim teremos um volume de logs muito maior para geração de relatórios e contabilização de Quotas. Exemplo: com esta opção desmarcado o acesso ao endereço será gerado apenas um log informando o acesso ao portal, já com a opção marcada será gerado logs para cada GET que o browser faz para receber todo o site. Por razões de performance, os processos do proxy WWW ficarão ativos sempre, independente de estarem ou não atendendo requisições. Isto é feito com o objetivo de aumentar a performance. Normalmente, deve-se trabalhar com valores entre 5 e 60 neste campo, dependendo do número de máquinas clientes que utilizarão o proxy (cabe ressaltar que uma única máquina costuma abrir até 4 conexões simultâneas ao acessar uma única página WWW). O valor 0 inviabiliza a utilização do proxy. Quotas Interromper transferências caso a quota seja excedida: Essa opção permite interromper a transferência dos arquivos caso a quota tenha excedido. Caso essa opção não esteja marcada o Aker Web Gateway vai verificar a quota do usuário antes que ele comece a fazer download. Exemplo: Se o usuário tiver 50 MB de quota, e quer fazer um download de um arquivo de 100 MB, com certeza ele não irá conseguir finalizar essa transferência. Todas às vezes que essa opção estiver marcada, e for mais de um download simultâneo ou um download que seu tamanho não foi informado, o Aker Web Gateway vai deixar ele fazer o download mas vai interromper antes do término. Contabilizar duração de download: Permite que o tempo da quota seja "gasto" enquanto durar o tempo do download, por exemplo, se o usuário quiser fazer o download de uma arquivo de 100 MB e esse download levar 30 minutos, vão ser gastos 100 MB de volume e 30 minutos de tempo da quota, caso essa opção não esteja marcada, só vão ser gastos 100 MB, e não os 30 minutos. Normalmente o tempo de quota só é utilizado quando o usuário fica navegando, mandando mensagens pelo MSN e etc. Quando ele está fazendo o download de um arquivo grande, não é gasto o tempo de sua quota, somente o volume de bytes. Aker Security Solutions 214

215 Arquivos Permitir a retomada de transferência de arquivo: Está opção deverá ser selecionada caso o usuário queira permitir, que um download continue de onde havia parado. Aba Cliente de Autenticação Figura 142 Filtro Web (aba Cliente de autenticação) Esta aba serve para compor o Layout da janela de autenticação do Aker Web Gateway. Título da janela de autenticação: Este campo irá aparecer como título da aplicação de autenticação Java. Autenticação: Este campo é composto por duas opções que serão disponibilizadas para o usuário quando do logon no Aker Web Gateway; e poderá se conectar habilitando-o: Aker Security Solutions 215

216 Mostrar botão S/Key - Esta opção permite que os usuários se autentiquem usando S/Key Mostrar campo domínio - O usuário informará o domínio para logar-se no proxy www. Logotipo Usar logo personalizado: Neste caso ao marcar esta opção, será preciso indicar o caminho que se encontra a logotipo. Sendo possível acompanhar as mudanças na Visualização. Mostrar tela de splash antes da janela de autenticação: Ao selecionar esse campo, opta-se por mostrar uma tela de apresentação que antecede a janela de autenticação. Mostrar tela de splash antes da janela de autenticação: Esta opção exibe uma janela com a URL especificada após solicitar a autenticação do usuário através do cliente de autenticação em Java. URL: Nesse campo é informado o link da tela de splash. Aker Security Solutions 216

217 Aba controle de conteúdo Figura 143 Filtro web (aba Controle de conteúdo) Analisador de URL: Especificar o agente analisador de URLs que será utilizado para categorizar as páginas da Internet. Esse agente deve ter sido previamente cadastrado no Aker Web Gateway. Para maiores informações veja o capítulo intitulado Cadastrando entidades. Ignorar erros do analisador de URL (pode permitir a passagem de dados não autorizados): Quando este campo estiver selecionado, havendo um erro de categorização de URLs, o AWG permitirá o acesso à URL que originou o erro, caso contrário, se o campo estiver desmarcado, o AWG bloqueará o acesso à URL. URL Bloqueada: Permitir a configuração de qual ação deve ser executada pelo Aker Web Gateway quando um usuário tentar acessar uma URL não permitida. Ela consiste das seguintes opções: Aker Security Solutions 217

218 Mostra mensagem dafault ao bloquear URL: Ao selecionar essa opção, o Aker Web Gateway mostrará uma mensagem de erro informando que a URL que se tentou acessar se encontra bloqueada. Redirecionar URL bloqueada: Ao selecionar essa opção, o Aker Web Gateway redirecionará todas as tentativas de acesso as URLs bloqueadas para uma URL especificada pelo administrador. Nesse caso, deve-se especificar a URL para qual os acessos bloqueados serão redirecionados (sem o prefixo no campo abaixo. Mostrar: Essa opção permite definir a página que será mostrada ao usuário, quando a tentativa de acesso a uma URL for bloqueada. Então pode-se optar em mostrar a página padrão ou redirecionar para a página escolhida, que será personalizada de acordo com os chekboxs selecionados. Segue abaixo a descrição de cada opção e o detalhamentos das variáveis criadas. Cada um desses checkbox selecionado, é um parâmetro. Isso é utilizado para identificar aonde e porque a página foi bloqueada, por exemplo, se a página foi bloqueada porque caiu em alguma categoria, passar por parâmetro qual a categoria que causou o bloqueio da página. Domínio: Ao selecionar essa opção será mostrada o domínio da URL. Exemplo: Na url o seu domínio seria aker.com.br. Ao selecionar o domínio, é criada a variável domain. Método: Informa qual o método utilizado pelo protocolo HTTP. Ex: GET, PUT, POST. Ao selecionar o Método é criada a variável method. Nome do Perfil: Nome dado, pelo usuário, ao perfil escolhido. Ao selecionar essa opção é criada a variável profile. Ip do usuário: Endereço IP do usuário que tentou acessar a URL que foi bloqueada. Ao selecionar o Método é criada a variável ip. Razões: Ao selecionar a Razão é criada a variável reason. Ao habilitar essa opção será mostrada a razão do bloqueio do site. Por exemplo temos as seguintes razões: "categoria da URL", "regra de bloqueio", "quota bytes excedidos", "quota bytes insuficientes", "quota tempo excedido", "tipo de objeto nao permitido", "tipo de arquivo nao permitido globalmente", "tipo de arquivo nao permitido no perfil", "connect para a porta especificada nao permitido" Nome da Categoria: Nome da Categoria que a URL foi associada. Ao selecionar a Categoria é criada a variável cats. Aker Security Solutions 218

219 Nome do Usuário: Nome do usuário que tentou acessar a URL. Ao selecionar o Nome do usuário é criada a variável user. Número da regra: Número da Regra de Filtragem que a URL se enquadrou. Ao selecionar o número da regra é criada a variável rule. URL do site bloqueado: Mostra a URL que o usuário tentou acessar e foi bloqueada. Ao selecionar o Site da URL bloqueado é criada a variável url. No preview, aparece como será a URL e o que será enviado via método GET. Aker Security Solutions 219

220 Aba tipos de arquivos Opção Arquivos Bloqueados Figura 144 Filtro web (aba Tipos de Arquivo) Especificar os arquivos que serão bloqueados pelo Filtro Web. É possível utilizar dois critérios complementares para decidir se um arquivo transferido deve ser bloqueado: a extensão do arquivo ou seu tipo MIME. Se um destes critérios for atendido, em outras palavras, se a extensão do arquivo estiver entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre aqueles a serem bloqueados, então o arquivo deverá ser bloqueado pelo Aker web Gateway. O tipo MIME é usado para indicar o tipo de dado que está no corpo de uma resposta em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo e o segundo indica o subtipo. O navegador usa esta informação para decidir como mostrar a informação que ele recebeu do mesmo modo como o sistema operacional usa a extensão do nome do arquivo. Aker Security Solutions 220

221 URL Bloqueada: Permitir a configuração de qual ação deve ser executada pelo Web Gateway quando um usuário tentar acessar uma URL não permitida. Ela consiste das seguintes: opções: Mostra mensagem padrão ao bloquear URL: Ao selecionar essa opção, o Aker Web Gateway mostrará uma mensagem de erro informando que a URL que se tentou acessar se encontra bloqueada. Redireciona URL bloqueada: Ao selecionar essa opção, o Aker Web Gateway redirecionará todas as tentativas de acesso a URLs bloqueadas para uma URL especificada pelo administrador. Nesse caso, deve-se especificar a URL para quais os acessos bloqueados serão redirecionados (sem o prefixo no campo abaixo. Mostrar: Essa opção permite definir a página que será mostrada ao usuário, quando a tentativa de acesso a uma URL for bloqueada. Então pode-se optar em mostrar a página padrão ou redirecionar para a página escolhida, que será personalizada de acordo com os chekboxs selecionados. Segue abaixo a descrição de cada opção e o detalhamento das variáveis criadas. Cada um desses checkbox selecionado, é um parâmetro. Isso é utilizado para identificar aonde e porque a página foi bloqueada, por exemplo, se a página foi bloqueada porque caiu em alguma categoria, passar por parâmetro qual a categoria que causou o bloqueio da página. Domínio: Ao selecionar essa opção será mostrada o domínio da URL. Exemplo: Na url o seu domínio seria aker.com.br. Ao selecionar o domínio, é criada a variável domain. Método: Informa qual o método utilizado pelo protocolo HTTP. Ex: GET, PUT, POST. Ao selecionar o Método é criada a variável method. Nome do Perfil: Nome dado, pelo usuário, ao perfil escolhido. Ao selecionar essa opção é criada a variável perfil. Ip do usuário: Endereço IP do usuário que tentou acessar a URL que foi bloqueada. Ao selecionar o Método é criada a variável ip. Razões: Ao selecionar a Razão é criada a variável reason. Ao habilitar essa opção será mostrada a razão do bloqueio do site. Por exemplo, temos as seguintes razões: "categoria da URL", "regra de bloqueio", "quota bytes excedidos", "quota bytes insuficientes", "quota tempo excedido", "tipo de objeto nao permitido", Aker Security Solutions 221

222 "tipo de arquivo nao permitido globalmente", "tipo de arquivo nao permitido no perfil", "connect para a porta especificada nao permitido" Nome da Categoria: Nome da Categoria que a URL foi associada. Ao selecionar a Categoria é criada a variável cats. Nome do Usuário: Nome do usuário que tentou acessar a URL. Ao selecionar o nome do usuário é criada a variável user. Número da regra: Número da Regra de Filtragem que a URL se enquadrou. Ao selecionar o número da regra é criada a variável rule. Site da URL bloqueado: Mostra a URL que o usuário tentou acessar e foi bloqueada. Ao selecionar o Site da URL bloqueado é criada a variável url. GET. No preview, aparece como será a URL e o que será enviado via método Opção Downloads Especificar os arquivos que serão analisados contra vírus pelo Download manager do Aker Web Gateway, ou seja, para os quais o Aker Web Gateway mostrará ao usuário uma página web com o status do download do arquivo e realizará seu download em background. Esta opção é interessante para arquivos potencialmente grandes (arquivos compactados, por exemplo) ou para arquivos que normalmente não são visualizáveis de forma on-line pelo navegador. É possível utilizar dois critérios complementares para decidir se um arquivo transferido deve ser analisado: a extensão do arquivo e seu tipo MIME. Se um destes critérios for atendido, em outras palavras, se a extensão do arquivo estiver entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre aqueles a serem analisados, então o arquivo deverá ser analisado pelo Aker Web Gateway. O tipo MIME é usado para indicar o tipo de dado que está no corpo de uma resposta em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo e o segundo indica o subtipo. O navegador usa esta informação para decidir como mostrar a informação que ele recebeu, do mesmo modo como o sistema operacional usa a extensão do nome do arquivo. Sites Excluídos: Deve-se escolher a operação e o texto a ser incluído para análise. Sites que se enquadrarem na lista de excluídos não serão analisados. Aker Security Solutions 222

223 Opções de operação: Figura 145 Opções de operação Configurações: Anexos Encriptados: Deve-se escolher entre aceitar ou rejeitar um anexo encriptado. Anexos Corrompidos: Deve-se escolher entre aceitar ou rejeitar um anexo corrompidos. Opção Av Online Da mesma maneira que em downloads o administrador do Aker Web Gateway deve escolher os tipos MIME e as extensões. Na configuração padrão do Aker Web Gateway são cadastrados os seguintes tipos conforme a figura abaixo: Aker Security Solutions 223

224 Figura 146 Filtro web (aba Tipo de Arquivo AV On Line) As demais opções são iguais aos campos descritos na aba download. Aker Security Solutions 224

225 Aba Antivírus Figura 147 Filtro web (aba Antivírus) Habilitar antivírus: Ao selecionar essa caixa, permitirá que o Aker Web Gateway faça a verificação antivírus dos conteúdos que tiverem sendo baixados. O botão Retornar à configuração padrão restaura a configuração original do Aker Web Gateway para esta pasta. Agente antivírus utilizado: Permitir a escolha de um agente antivírus previamente cadastrado para realizar a verificação de vírus. Esse agente deve ter sido previamente cadastrado no Aker Web Gateway. Para maiores informações veja o capítulo intitulado Cadastrando entidades. Ignorar erros online do antivírus (podem permitir a passagem de anexos contaminados): Quando este campo estiver selecionado, se houver um erro de análise do antivírus no tráfego on-line, o mesmo não bloqueará o conteúdo, permitindo a transferência dos dados. Caso o campo não esteja marcado, a transferência de dados será bloqueada. Aker Security Solutions 225

226 Ignorar erros de download do antivírus (pode permitir a passagem de anexos contaminados): Quando este campo estiver selecionado, se houver erro de análise do antivírus no tráfego on-line, o mesmo não bloqueará o download, permitindo a transferência dos dados. Caso o campo não esteja marcado, o download será bloqueado. Habilitar janela de progresso do antivírus: Esta opção permite desabilitar o Download manager do Aker Web Gateway. Intervalo de atualização do status: Esta opção determina o tempo em a página de download exibida pelo Aker Web Gateway deve ser atualizada. Número de tentativas: Número máximo de tentativas de download para cada arquivo, caso seja necessário tentar mais de uma vez. Número máximo de downloads simultâneos: Configura o número máximo de downloads simultâneos que o Aker Web Gateway irá permitir. Análise de Vírus: Esta opção é utilizada para mostrar uma página caso seja encontrado um vírus durante a análise do antivírus. A página poderá ser a do próprio Aker Web Gateway ou personalizada pelo usuário. É possível personalizar a mensagem para cada tipo de vírus encontrado, bastando utilizar a string {VIR} que será substituída pelo nome do vírus. Mostrar URL padrão quando um vírus for encontrado: Quando marcada, esta opção determina que, quando um vírus for encontrado, a página web será redirecionada para uma página padrão do Aker Web Gateway. Redirecionar para: Ao selecionar esta opção, permite determinar que quando um vírus for encontrado, a página web será redirecionada para uma página especificada pelo usuário. Caso a url informada possua o texto "{VIR}", este texto será substituído pelo nome do vírus encontrado, possibilitando que seja mostrada uma página personalizada, de acordo com o vírus encontrado. O Aker Antivírus Module suporta diversas opções de varredura de vírus, worms, dialers, hoax, cavalo de troia e analise heurísticas, abaixo segue uma lista de opções suportadas: Opções de análise: Utilizado para selecionar quais os tipos de bloqueio que devem ser realizados (Spywares, Jokes, Dialers, Ferramentas Hacker) e se será ou não utilizado um método de detecção heurístico (caso seja marcado, poderá ser utilizado às opções baixo, médio ou alto); Habilitar análise heurística: A Heurística é um conjunto de regras e métodos que podem levar o parceiro instalado a detectar um vírus sem a necessidade de uma base de assinaturas de vírus, ou seja, é um algoritmo Aker Security Solutions 226

227 capaz de detectar programas maliciosos baseando-se em seu comportamento; Detectar Malware: Habilita a analise de programas maliciosos e ferramentas hackers. Varredura de Arquivos: Habilitado: Permite habilitar a análise do conteúdo de arquivos compactados; Nível Máximo de profundidade: Define o nível máximo de recursão ao analisar um arquivo compactado; Tamanho máximo do Arquivo: Define o tamanho máximo permitido de um arquivo a ser analisado dentro de um arquivo compactado; Número Máximo de Arquivos: Define a quantidade máxima de arquivos a serem analisados dentro de um arquivo compactado. O Aker Antivírus Module suporta a analise de arquivos compactados das seguintes extensões: ZIP, ARJ, LHA, Microsoft CAB, ZOO, ARC, LZOP, RAR, BZIP2, UPX, AsPack, PEPack, Petite, Telock, FSG, Crunch, WWWPack32, DOC, PDF, TAR, QUAKE, RTF, CHM, 7Zip, CPIO, Gzip, MS OLE2, MS Cabinet Files (+ SFX), MS SZDD compression format, BinHex, SIS (SymbianOS packages), AutoIt, NSIS, InstallShield. Aker Security Solutions 227

228 Aba SSL Figura 148 Filtro web (aba SSL) Controle SSL(proxy Ativo): Permitir a definição das portas de conexão segura (https) que serão aceitas pelo Aker Web Gateway. Caso um cliente tente abrir uma conexão para uma porta não permitida, o Aker Web Gateway mostrará uma mensagem de erro e não possibilitará o acesso. Caso queira utilizar apenas a porta padrão (443), deve-se selecionar a primeira opção. Essa é a configuração a ser utilizada na grande maioria dos sistemas. A opção Permite HTTPS para todas as portas indica ao Aker Web Gateway que ele deve aceitar conexões HTTPS para quaisquer portas. Essa configuração não é recomendada para nenhum ambiente que necessite de um nível de segurança razoável, já que é possível para um usuário utilizar o proxy para acessar serviços não permitidos simulando uma conexão HTTPS. Por último, existe a opção Permite HTTPS para as entidades abaixo que possibilita ao administrador definir exatamente quais portas serão permitidas. Nesse Aker Security Solutions 228

229 caso devem ser cadastradas as entidades correspondentes aos serviços desejados. Para maiores informações, veja o capítulo intitulado Cadastrando Entidades. Aba Avançado Filtro de Navegador Figura 149 Filtro web (aba Avançado - Filtro de navegador) Ao selecionar a opção Filtro de navegador habilitado, permite ao usuário aceitar ou rejeitar os navegadores inseridos na lista. Essa lista é criada pelo próprio usuário e nela devem ser inseridos os vários tipos de navegadores que se deseja bloquear ou liberar, abaixo segue um exemplo de como devem ser incluídos: Internet Explorer 6: " MSIE 6.0 "; Internet Explorer 7: " MSIE 7.0"; Internet Explorer (qualquer um): " MSIE "; Media Player: " Windows-Media-Player "; Firefox: " Firefox "; Firefox 2: " Firefox/2 ". Aker Security Solutions 229

230 A validação do browser é feita ANTES do header stripping, assim sendo é possível substituir versão por uma string fixa sem perder esta filtragem. Reescrita de URLs Figura 150 Filtro web (aba Avançado Reescrita de URLs) A reescrita de URL é semelhante ao redirecionamento de sites. É um processo interno ao servidor web que funciona de forma transparente resolvendo os problemas com links quebrados no site web. No campo URL anterior como o próprio o nome já diz deve ser informado o endereço que será traduzido para um novo endereço informado no campo. URL reescrita. Por exemplo: URL anterior: URL reescrita: Stripping do cabeçalho HTTP Aker Security Solutions 230

231 Figura 151 Filtro web (aba Avançado Stripping do cabeçalho HTTP) Essa opção permite remover e modificar partes do Header. Potencialmente aumenta a segurança interna, evitando que informações internas sejam enviadas para fora. Por exemplo: cookies e versão do navegador do usuário. O Header stripping funciona da seguinte forma, todas as linhas do header HTTP são comparadas individualmente com todas as expressões cadastradas. Caso uma se encaixe, a linha é substituída e a próxima linha é tratada. A primeira linha (com a requisição) não é filtrada (ou seja, não é comparada com as expressões). O Header Stripping funciona apenas na remoção do header do cliente para o servidor; O Header Stripping é realizado imediatamente após a versão do browser cliente ser verificada e ANTES de todos os demais processamentos do proxy HTTP, sendo assim, o proxy tratará a versão modificada do header (caso ele tenha sido) como o que foi enviado pelo cliente; Seguem abaixo, exemplos de como preencher os campos: O que procurar e o Substituir por: Para a remoção de cookies (sem as aspas): Procurar: " Cookie: * " - Substituir por: "" (nada). Aker Security Solutions 231

232 Para esconder a versão dos browsers dos clientes: Procurar: " User-Agent: *\r\n " - Substituir por: " User Agent: Mozilla/4.0\r\n". A configuração do Header Stripping deve ser feita com muito cuidado já que ele pode potencialmente inviabilizar o uso da Internet. Deve-se tomar o cuidado de SEMPRE acrescentar um \r\n no final de uma substituição que envolva uma linha. Aker Security Solutions 232

233 Editando os parâmetros de Cache Para configurar as caches cadastradas é necessário a definição de alguns parâmetros que determinarão características básicas de seu funcionamento. Esta definição é feita na janela de configuração da cache. Para acessá-la, deve-se: Figura 152 Aplicação (Cache) Ao selecionar a opção Habilita Cache Hierárquico, permite configurar as caches cadastradas, dentro do campo Lista de Caches Remotos. Figura Cache Aker Security Solutions 233

234 Ao clicar dentro da área branca que se refere a Lista de Caches Remotos, e selecionar a opção insere, aparecerá a seguinte tela: Figura 154 Configuração do nodo de cache Para configurar as caches cadastradas é necessário preencher os seguintes campos: Nome do host: Define o endereço da cache. Tipo: Define a hierarquia de cache, podendo optar pelo "Pai" e pelo "Filho". Porta de Cache: Número da porta pelo qual o proxy atende aos seus pedidos. Porta ICP: Utilizada para perguntar a sua vizinhança sobre o estado dos objetos. Logar na cache: Permite definir um usuário e senha, para logar na cache pai e nas caches filhos, para que assim possa obter informações sobre o estado dos objetos, através do protocolo ICP. Não buscar na cache os domínios: Nessa opção permite restringir quais os domínios estarão relacionados para cada cache. Aker Security Solutions 234

235 14.3. Editando os parâmetros Sessões Web Sessões Web Figura 155 Sessões web Esta janela permite ao administrador do Aker Web Gateway, visualizar as sessões ativas, verificando o que foi acessado e por quem, no tempo definido na janela de Filtro Web, opção Sessões web. As informações serão visualizadas e distribuídas nos seguintes campos: Tempo: Indica o dia e horário e a URL que foi acessada. Máquina: Indica a máquina de onde foi acessada a URL. Usuário: Indica o usuário que acessou a URL. Perfil: Indica qual o perfil de acesso que o usuário caiu quando tentou acessar a URL. Aker Security Solutions 235

236 Regra: Indica qual a regra de acesso que a URL se enquadrou. Categoria: Indica qual a categoria que a URL se enquadrou. Ação: Indica se as Sessões web que passaram pelo Aker Web Gateway foram aceitas ou rejeitadas. Aker Security Solutions 236

237 Configurando proxy MSN Aker Security Solutions 237

238 15. Configurando o Proxy MSN Neste capítulo mostraremos para que serve e como configurar o Proxy MSN Planejando a instalação O que é o MSN Messenger? MSN Messenger, ou apenas MSN, é um programa de mensagens instantâneas criado pela Microsoft Corporation. O programa permite que um usuário da Internet converse com outro, que tenha o mesmo programa em tempo real, por meio de conversas de texto, voz ou até com vídeo. Ele é uma ferramenta gratuita com um grande número de funcionalidades, algumas potencialmente prejudiciais ao ambiente coorporativo. O que é o proxy MSN - Messenger do Aker Web Gateway? Este proxy possui como função principal controlar um importante canal de trânsito de informações que é o MSN Messenger, possibilitando que não se abra mão de seu uso, ao mesmo tempo em que se evita a perda de produtividade. Integrado ao sistema de perfis de acesso, esse sistema se adaptará à realidade das corporações, onde cada usuário terá privilégios distintos. As funcionalidades do produto baseiam-se em: Estar integrado ao sistema de perfil de acesso (permitindo controle por usuários e grupos); Definir white-lists e black-lists, por perfil; Controlar o horário de uso; Controlar o tempo de uso por dia (configurado no perfil) para cada usuário; Controlar o envio/recebimento de arquivo (inclusive por tipo); Controlar convites para outros serviços (vídeo, áudio, games, etc..). Realizar um log de sessões. Utilizando o proxy MSN O MSN Messenger por padrão trabalha na porta TCP 1863, porém também pode se conectar aos servidores através do protocolo HTTP e SOCKS. O Proxy MSN da Aker controla os dados que trafegarão através de um proxy transparente (ver mais detalhes em Trabalhando com proxies). Para utilizar o proxy MSN do Aker Web Gateway é necessário a seguinte sequência de passos: 1. Definir os parâmetros genéricos do proxy MSN; Aker Security Solutions 238

239 2. Criar os perfis de acesso desejados e associá-los aos usuários e grupos desejados. (Isso foi descrito no capítulo chamado Perfis de acesso de usuários); 3. Associar à uma regra de filtragem possibilitando que os usuários possam utilizar o serviço MSN Editando os parâmetros do Proxy Messenger Para utilizar o proxy MSN é necessário a definição de alguns parâmetros que determinarão características básicas de seu funcionamento. Esta definição é feita na janela de configuração do proxy MSN. Para acessá-la, deve-se: Figura 156 Aplicação (Proxy Messenger) Clicar no menu Aplicação da janela de administração do Aker Web Gateway Selecionar o item Proxy Messenger Aker Security Solutions 239

240 A janela de configuração de parâmetros do proxy Messenger Figura 157 Proxy Messenger (aba Tipo de Serviço) O botão OK fará com que a janela de configuração do proxy MSN seja fechada e as alterações salvas. O botão Aplicar enviará para o Aker Web Gateway todas as alterações feitas porém manterá a janela aberta. O botão Cancelar, fará com que todas as alterações feitas sejam desprezadas e a janela seja fechada. Essa nova configuração permite com que os usuários do AWG ou do web gateway possam usar o Microsoft Messenger sem precisar se autenticar no agente de autenticação. Com isso é especificado qual é o perfil vinculado ao login. Exemplo: Quando o login do msn for jose.silva@aker.com.br, o perfil a ser usado deve ser o "Desenvolvimento", assim as restrições e as regras estarão associadas ao perfil. Esta janela é composta por quatro abas: Aba Tipo de Serviços Esta aba define os serviços adicionais e as operações que poderão ser utilizados através de uma conexão MSN. Estes serviços poderão posteriormente ser controlados a partir das regras dos perfis de cada usuário. É composta dos seguintes campos: Aker Security Solutions 240

241 Nome: Esse campo indica o nome do serviço, são informações definidas pelo usuário. Descrição: Nesse campo o usuário vai informar o tipo de serviço relacionado ao campo nome. GUID de aplicação: É o código que indica o serviço. São códigos do próprio MSN, o usuário pode cadastrar novos códigos caso ele encontre um que já não seja cadastrado. Exemplo de preenchimento da aba: Nome: Câmera Descrição: Controle de webcam no MSN Aplicação da GUID: 2A23868E- B45F- 401D-B8B0-1E16B774A5B7 Para inserir um novo tipo de serviço, deve-se clicar com o botão direito e selecionar a opção Nova. Para remover um tipo de serviço, deve-se clicar com o botão direito sobre o serviço a ser removido e escolher a opção Remover. Para editar qualquer um dos campos de um serviço basta clicar com o botão direito sobre a coluna cujo valor se deseja alterar e modificar o dado diretamente no menu que irá aparecer. É possível adicionar automaticamente vários serviços pré-configurados, bastando para isso clicar no ícone, localizado na barra de tarefas. Aker Security Solutions 241

242 Aba Mensagens Figura 158 Proxy Messenger (aba Mensagens) Esta aba permite configurar as mensagens que serão mostradas aos usuários internos e externos quando eles não tiverem permissão de executar uma determinada ação através do proxy Messenger. São mensagens que aparecem no meio do chat podendo ser customizadas pelo usuário. Aba de Controle de Acesso Essa aba controla o acesso dos usuários, por meio da vinculação de um login a um perfil. No campo Passport, seleciona-se uma entidade do tipo lista de s, essa entidade será associada a algum perfil definido no Web Gateway. Por exemplo: *@aker.com.br --> perfil "Teste", isso significa que todos os usuários que tiverem o login no msn terminando irá automaticamente cair no perfil teste. Aker Security Solutions 242

243 Figura 159 Proxy Messenger (aba Controle de Acesso) Aba de Configurações Figura 160 Proxy Messenger (aba Configurações) Aker Security Solutions 243

244 Essa aba permite configurar a quantidade máxima de socket e/ou arquivos que o processo do proxy MSN pode abrir. O valor padrão é de 1024, mas pode chegar em até 8192 no máximo. O Aker Web Gateway conta com a análise de vírus para arquivos transferidos. Para ativar essa verificação marque a opção Habilitar Antivírus no MSN caso deseje que o Web Gateway analise os arquivos. A opção Permitir a passagem de arquivos se ocorrer erro no Antivírus permite transferência de arquivos infectados, caso o servidor de antivírus estiver indisponível. Marque "Usar Antivírus Local" para que o Web Gateway utilize o antivírus já incluído nele, caso contrário, inclua a autenticação e o endereço de IP do seu servidor Antivírus. Aker Security Solutions 244

245 Utilizando as Ferramentas da Interface Remota Aker Security Solutions 245

246 16. Utilizando as Ferramentas da Interface Remota Neste capítulo será mostrada a função das diversas ferramentas presentes na Interface Remota do Aker Web Gateway. O que são as ferramentas da Interface Remota do Aker Web Gateway? As ferramentas são um conjunto de utilitários presentes apenas na Interface Remota do Aker Web Gateway. Elas servem para facilitar a administração do Aker Web Gateway, provendo uma série de funções bastante úteis no dia-a-dia Chaves de Ativação Esta opção permite atualizar a chave de ativação do Aker Web Gateway e dos demais produtos que possam estar instalados juntos como o Aker Antivírus Module e o Aker Web Content Analyzer. Para visualizar ou atualizar a licença, deve-se: Clicar no botão Licença na barra de tarefas do Aker Web Gateway que estiver conectado. Aker Security Solutions 246

247 A janela de licença de ativação Figura 161 Janela de ativação de Licença Esta janela é apenas informativa. Nela são mostrados todos os produtos que estão instalados junto com o Aker Web Gateway e os dados referentes à licença de cada um deles. Entre estes dados pode-se verificar a data de expiração, número de licenças, etc, para cada produto. Caso se deseje inserir uma nova licença, deve-se clicar no botão Carregar, localizado na barra de tarefas. Esta opção abrirá um diálogo onde se pode especificar o arquivo de onde a nova chave será carregada. No caso do Aker Web Gateway, caso exista mais de um produto instalado junto com o Aker Web Gateway, as chaves dos produtos adicionais também serão atualizadas Salvar configurações Esta opção permite salvar a configuração completa do Aker Web Gateway na máquina onde está administrando. No caso de algum desastre, pode-se facilmente restaurar esta configuração posteriormente. Para realizar uma cópia de segurança, deve-se: Aker Security Solutions 247

248 Figura 162 Icone para salvar configurações Clicar no Aker Web Gateway para o qual será salva a cópia de segurança Selecionar a opção Salvar configurações na barra de ferramentas ou no menu com o nome do Aker Web Gateway selecionado A janela para salvar configurações: Figura 163 Janela para salvar configurações Após digitar o nome do arquivo salvo, deve-se clicar no botão Salvar. Caso não queira mais gravar a cópia de segurança, deve-se clicar no botão Cancelar Carregar configurações Esta opção permite restaurar a cópia de segurança da configuração completa do Aker Web Gateway realizada através da opção anterior. Para restaurar uma cópia de segurança, deve-se: Figura 164 Icone para carregar configurações Aker Security Solutions 248

249 Clicar no Aker Web Gateway para o qual será carregada a cópia de segurança Selecionar o item Carregar configurações na barra de ferramentas ou no menu com o nome do Aker Web Gateway selecionado A janela para carregar configurações: Figura 165 Janela para carregar configuração Esta janela permite escolher o nome do arquivo de onde a configuração será restaurada. Após seu nome ser especificado, o Aker Web Gateway lerá todo seu conteúdo, fará vários testes de consistência e se o seu conteúdo estiver válido será carregado. O botão Abrir fará com que a cópia seja carregada e a configuração do Aker Web Gateway imediatamente atualizada. O Botão Cancelar fará com que a janela seja fechada porém a cópia de segurança não seja carregada. Aker Security Solutions 249

250 16.4. DNS Reverso DNS reverso é utilizado para resolver nomes de máquinas a partir de endereços IP. A janela de resolução de DNS reverso do Aker Web Gateway serve para prover resolução de endereços sem a necessidade de utilização de programas adicionais. Para ter acesso a janela de resolução de DNS reverso, deve-se: Figura 166 Ferramentas (DNS reverso) Clicar no menu Ferramentas da janela de administração do Aker Web Gateway Selecionar o item DNS Reverso Aker Security Solutions 250

251 A janela de resolução de DNS reverso Figura 167 DNS reverso Esta janela consiste de um campo para digitar o endereço IP que deseja resolver e uma lista com os endereços IP já resolvidos anteriormente. O botão OK fará com que a janela seja fechada. A opção Mostrar tudo, se estiver marcada, fará com que sejam mostrados todos os endereços já resolvidos na lista na parte inferior da janela. Para resolver um endereço, deve-se digitá-lo no campo e pressionar o botão DNS. Neste momento o endereço será mostrado na lista na parte inferior da janela, junto com o status da resolução. Após algum tempo, será mostrado o nome da máquina correspondente ao endereço ou uma indicação de que o endereço informado não possui DNS reverso configurado Atualizações O que são atualizações e onde consegui-las? Como todo software, o Aker Web Gateway pode eventualmente apresentar bugs em seu funcionamento. À medida que estes problemas são resolvidos, a Aker produz Aker Security Solutions 251

252 um arquivo que permite a atualização de seu Aker Web Gateway e a eliminação destes erros. Algumas vezes também são adicionadas determinadas características novas em uma versão já existente, de modo a aumentar sua performance ou aumentar sua flexibilidade. Em ambos os casos, os arquivos de atualização ou correção são disponibilizados de forma gratuita no site da Aker: basta procurar o menu Download e selecionar a opção Correções e Atualizações. Estes arquivos são sempre cumulativos, ou seja, é necessário apenas baixar a última versão disponível e esta incluirá as correções presentes nos arquivos de correção/atualização anteriores. A janela de atualizações Esta opção permite aplicar uma atualização ou correção do Aker Web Gateway remotamente, através da Interface Remota. É possível também atualizar completamente a versão do produto. Para ter acesso à janela de atualizações devese clicar no ícone localizado na barra de ferramentas. Automaticamente a janela será aberta, para que sejam escolhidas as atualizações a serem aplicadas. Essa janela se divide em duas abas: Atualização e Histórico, conforme explicadas a baixo: Aba Atualização Figura 168 Janela de atualização do sistema Aker Security Solutions 252

253 Por meio dessa janela é possível visualizar o status atual das atualizações/correções aplicadas no Web Gateway. Caso se trate de cluster a janela apresentará as informações das máquinas que o compõem. Possui os seguintes campos: Id: Refere-se à identificação das máquinas que compõe o cluster. Nome: Refere-se ao apelido atribuído às máquinas. Restauração: Este campo informa se a última atualização aplicada pode ser desfeita. As atualizações aplicadas por meio dos Patches e dos Hotfixes são alterações que podem ser desfeitas. Essa opção permite desfazer a última atualização aplicada na máquina, seja hotfix ou patch. Deve-se observar que as alterações são desfeitas uma por uma, ou seja, se a versão já estiver no Patch 3, e deseja-se voltar a versão inicial, deve ser desfeito o patch 3, depois o patch 2, e assim por diante. Última atualização: Identificação do último patch aplicado no membro do cluster. Hotfixes: Lista de hotfixes aplicados dentro do patch. Nessa lista, mostra a ordem direta de aplicação dos hotfixes. O hotfix é uma pequena atualização ou correção feita para um patch específico. Pode ser aplicado independente da ordem, o que não acontece com o patch, que deve ser aplicado na ordem sequencial de atualização. Caso a atualização ou correção sejam destinadas a uma versão diferente de sistema operacional ou de versão do Aker Web Gateway, então o botão Aplicar ficará desabilitado, não permitindo sua aplicação. Para carregar um arquivo de atualização ou correção deve-se clicar no ícone que se encontra na barra de ferramentas. Com isso é aberta uma janela, que permite carregar um arquivo de atualização do patch ou do hotfix, conforme mostra a figura abaixo. Aker Security Solutions 253

254 Figura 169 Janela para carregar um arquivo de atualização Para aplicar o arquivo de atualização/correção, deve-se primeiramente selecionar uma máquina na aba Patch, e logo em seguida clicar no ícone para que o patch ou o hotfix seja aplicado. Caso queira aplicar o rollback, pelo menos uma máquina deve ser selecionada na aba Patch, e logo em seguida deve-se clicar no ícone, sendo que essas alterações serão desfeitas uma a uma, na sequência que foram atualizadas. Para aplicar rollback em mais de uma máquina ao mesmo tempo, as mesmas devem estar com a mesma atualização, por exemplo: todas estão com a versão patch 3, e quer voltar para o patch 1. Aker Security Solutions 254

255 Aba Histórico Figura 170 Sistema de Atualização (aba Histórico) Essa aba permite, visualizar todo o histórico das aplicações dos patches e hotfixes. A aba é composta dos seguintes campos: ID: Mostra a identificação da máquina de onde foi feita a atualização. Usuário: Indica o usuário que aplicou a atualização. Restauração: Indica se pode ser ou não desfeito a atualização. Data: Indica a data que foi feita alguma aplicação de patch ou hotfix. A expressão "Versão Corrente" significa que não foi aplicado nenhuma patch. Ao clicar no botão OK, o Patch ou o Hotfix não são aplicados, somente é fechada a janela. Aker Security Solutions 255

256 16.6. Janela de Alarmes Esta opção permite visualizar os alarmes gerados pelo Aker Web Gateway, quando esta opção estiver marcada nas regras de filtragem ou na janela de ações. Para ter acesso à janela de alarmes deve-se: Figura 171 Ferramentas (Janela de alarmes) Clicar no menu Ferramentas da janela de administração do Aker Web Gateway Selecionar o item Janela de alarmes Aker Security Solutions 256

257 A janela de alarmes Figura 172 Janela de alarmes Esta janela consiste de um campo de descrição com as entradas correspondentes a ação executada pela regra de filtragem. O botão Fechar fará com que a janela seja fechada. A opção Não mostrar essa janela automaticamente da próxima vez, se estiver marcada, fará com que a janela não seja mostrada automaticamente quando ocorrer um evento. O botão Salvar grava as entradas em um arquivo de log do tipo texto. O botão Apagar limpa todas as entradas contidas na janela. Na parte superior da janela são mostradas as informações de uso do CPU. Essas informações estão dividas em três partes: porcentagem ociosa, porcentagem dedicada ao sistema e porcentagem sendo usada por programas iniciados pelo usuário. A parte inferior da janela mostra a situação da memória do sistema em Megabytes. Também está dividida em três partes: quantidade de memória livre, quantidade de memória sendo usada e quantidade de memória armazenando informações em forma de cache. Aker Security Solutions 257

258 A quantidade de memória não afeta de forma significativa a performance do Aker Web Gateway. Entretanto, pode ocorrer queda de desempenho se o sistema possuir área de memória swap e estiver fazendo muito uso dessa, o que irá afetar apenas os proxies. É importante observar que a memória cache não é considerada memória usada. Ela é acessada apenas quando o sistema precisa reabrir um programa. Caso esse programa ainda esteja em cache, a reabertura será mais rápida. Porém, se o sistema precisar de uma quantidade maior de memória livre, a área usada para cache é liberada Visualizando o Estado dos Agentes Externos A janela de estado dos agentes externos é puramente informativa e serve para indicar ao administrador o estado dos Agentes Externos. Isso é muito útil quando se quer configurar um novo agente externo ou para detectar a ocorrência de possíveis problemas. Para ter acesso à janela de estado dos agentes externos deve-se: Figura 173 Informação (Agentes externos) Clicar no menu Informação da janela de administração do Aker Web Gateway Selecionar o item Agentes Externos Aker Security Solutions 258

259 A janela de agentes externos Figura 174 Agentes externos Esta janela consiste de uma lista com o nome de todos os agentes externos ativos que sejam um dos seguintes tipos: Agentes de Antivírus, Analisadores de URL, Autenticadores (Usuário/Senha, Token, RADIUS e LDAP) e Servidores de Log. Para cada agente listado serão mostradas as seguintes informações: Nome: Nome da entidade do agente externo Tipo: Tipo do agente externo. Status: Informa o estado atual da conexão com o agente externo. Os seguintes estados podem ser mostrados nesta coluna: Estado indefinido: Ainda não existem informações disponíveis sobre o estado deste agente. Conectado ao principal: O Aker Web Gateway conectou-se com sucesso ao IP principal do agente externo. Conectado ao primeiro backup: O Aker Web Gateway conectou-se com sucesso ao IP do 1º backup do agente externo. Por alguma razão ele não conseguiu inicialmente conectar-se ao principal Conectado ao segundo backup: O Aker Web Gateway conectou-se com sucesso ao IP do 2º backup do agente externo. Por alguma razão ele não conseguiu inicialmente conectar-se ao principal nem ao 1º backup. Erro de conexão: Existe um problema de comunicação com o agente externo. Verifique os eventos para maiores informações. Aker Security Solutions 259

260 Erro interno: Não foi possível conectar-se ao agente externo por um problema interno. Verifique os eventos para maiores informações. Vírus não detectado: Este estado só aparece nos agentes de antivírus e indica que embora o Aker Web Gateway tenha conseguido se conectar corretamente ao agente, ele não foi capaz de detectar o vírus de teste que o Aker Web Gateway enviou. Verifique a configuração do antivírus. IP do servidor: Endereço(s) IP(s) do agente externo no qual(s) o Aker Web Gateway está conectado. Para os servidores de log, além dos estados Conectado ou Erro, haverá mais um estado: parcialmente conectado, que ocorrerá quando mais de um servidor estiver disponível (primeiro e segundo backup) porém o agente não está conectado a todos eles Visualizando estatísticas do sistema A janela de estatísticas do sistema possui informações sobre uso do processador e uso de memória do sistema. Para ter acesso à essa janela, deve-se: Figura 175 Informação (Estatísticas do sistema) Aker Security Solutions 260

261 A janela a seguir aparecerá: Figura 176 Estatística do sistema Na parte superior da janela são mostradas as informações de uso do CPU. Essas informações estão dividas em três partes: porcentagem ociosa, porcentagem dedicada ao sistema e porcentagem sendo usada por programas iniciados pelo usuário. A parte inferior da janela mostra a situação da memória do sistema em Megabytes. Também está divida em três partes: quantidade de memória livre, quantidade de memória sendo usada e quantidade de memória armazenando informações em forma de cache. Aker Security Solutions 261

262 A quantidade de memória não afeta de forma significativa a performance do Web Gateway. Entretanto, pode ocorrer queda de desempenho se o sistema possuir área de memória swap e estiver fazendo muito uso dessa, o que irá afetar apenas os proxies. É importante observar que a memória cache não é considerada memória usada. Ela é acessada apenas quando o sistema precisa reabrir um programa. Caso esse programa ainda esteja em cache, a reabertura será mais rápida. Porém, se o sistema precisar de uma quantidade maior de memória livre, a área usada para cache é liberada Utilizando a Interface Texto nas Chaves de Ativação É possível configurar as Chaves de Ativação pela Interface Texto. Localização do programa: /aker/bin/awg/fwkey arquivo Arquivo: Caminho completo do arquivo com a chave de ativação a ser substituída. Após a execução do programa a chave será instalada com sucesso. Aker Security Solutions 262

263 Configurações TCP/IP Aker Security Solutions 263

264 17. Configurações TCP/IP Neste capítulo mostraremos realizar configurações TCP/IP. Esta opção permite configurar todos os parâmetros de TCP/IP do gateway através da Interface Remota. É possível configurar os endereços de interfaces de rede, DNS e roteamento básico e avançado, bem como as opções de PPPoE, e Servidor/Relay DHCP. Para ter acesso à janela de configuração TCP/IP deve-se: Figura TCP/IP. Clicar no menu TCP/IP na janela de administração do gateway. Aker Security Solutions 264

265 17.1. DHCP Para ter acesso à janela de configuração DHCP, deve-se: Figura DHCP Clicar no menu TCP/IP na janela do gateway que queira administrar. Escolher o item DHCP Aker Security Solutions 265

266 A janela abaixo será exibida: Figura Servidor DHCP. Nesta aba são definidas as opções do gateway em relação ao serviço DHCP. Ela consiste das seguintes opções: Não está usando DHCP: Ao selecionar essa opção, o gateway não atuará como servidor DHCP nem efetuará relay entre redes conectadas a ele. Relay DHCP entre redes: Permitir que se defina que o gateway realizará o relay de pacotes DHCP entre as redes selecionadas. Ela é utilizada quando se possui apenas um servidor DHCP e se deseja que ele forneça endereços para máquinas localizadas em sub-redes distintas, conectadas diretamente ao gateway. Aker Security Solutions 266

267 Figura Relay DHCP entre redes. Ao selecioná-la, deve-se especificar em Interfaces de Escuta as interfaces nas quais o gateway escutará broadcasts DHCP e os encaminhará para os servidores, especificados em Servidores DHCP. No caso de haver mais de um servidor, o gateway encaminhará as requisições para todos e retornará ao cliente a primeira resposta recebida. Servidor DHCP Interno: Esta opção é designada para redes pequenas que não possuem um servidor DHCP ou que possuíam em um modem ADSL. Ela permite que o gateway atue como um servidor DHCP. Aker Security Solutions 267

268 17.2. DNS Para ter acesso à janela de configuração DNS deve-se: Figura DNS. Clicar no menu TCP/IP do gateway que queria administrar. Escolher o item DNS. A janela abaixo será exibida: Figura TCP/IP - DNS Nesta pasta são configuradas todas as opções relacionadas com a resolução de nomes ou DNS. Ela consiste dos seguintes campos: Aker Security Solutions 268

269 Máquina: Nome da máquina na qual o gateway está rodando. Domínio: Nome do domínio no qual o gateway está rodando. DNS Ativo: Esta opção deve ser marcada para ativar a resolução de nomes via DNS e desmarcada para desativá-la. Servidor primário: Definir o servidor DNS primário que será consultado para se resolver um nome. Ele é obrigatório se a opção DNS ativo estiver marcada. Servidor secundário: Definir o servidor DNS secundário que será consultado se o primário estiver fora do ar. Ele é opcional. Servidor terciário: Definir o servidor DNS terciário que será consultado se o primário e o secundários estiverem fora do ar. Ele é opcional Interfaces de Rede Para ter acesso à janela de configuração Interfaces de rede deve-se: Figura Interfaces de rede. Clicar no menu TCP/IP do gateway que queira administrar. Escolher o item Interfaces de rede. A janela abaixo será exibida: Aker Security Solutions 269

270 Figura Interfaces de redes. Nesta aba podem ser configurados os endereços IP atribuídos a todas as interfaces de rede reconhecidas pelo gateway. Ela consiste de uma lista onde são mostrados os nomes de todas as interfaces e os endereços IP e máscaras de cada uma (é possível configurar até 31 endereços distintos para cada interface). Caso uma interface não tenha um endereço IP configurado, os campos correspondentes ao endereço e à máscara serão mostrados em branco. Possui os seguintes campos: IPv4 IP: Endereço da rede. Não pode ser informado um endereço auto-configurado. Máscara de rede: Informa o endereço da máscara de rede. Ponto a ponto: Configuração ponto a ponto Alias Para configurar ou modificar o endereço IP ou máscara de uma interface e até mesmo atribuir um alias para a interface, deve-se clicar sobre a entrada do dispositivo correspondente e usar o menu suspenso que irá surgir: Aker Security Solutions 270

271 Figura Menu: configuração ou modificação de endereço IP. VLAN Para criar uma VLAN associada a uma interface, deve-se clicar na interface desejada no lado esquerdo da janela. Aparecerá o seguinte menu suspenso: Figura Menu de criação: VLAN. Uma VLAN usa o sistema de VLAN tagging (802.1q) para permitir que, com uma conexão somente o switch tenha acesso a todas as suas VLANs, inclusive controlando o acesso entre elas. Para cada uma, uma interface virtual será criada dentro do gateway. Nesse menu também permite habilitar o monitoramento e escolher a opção Habilitar monitoramento, possibilita monitorar todas as interfaces de rede do cluster e detalhes de replicação de sessão, identificando possíveis falhas, caso uma interface de algum no do cluster falhe "falta de conectividade ou falha de rota, ou etc." o no do cluster irá desativar todas as outras interfaces e fazer com que outro nó assuma, permitindo assim uma maior disponibilidade dos links. PPPoE A opção Usar PPPoE permite definir que esta interface trabalhe com PPPoE (usado basicamente para a conexão com modems ADSL). Ao ser selecionada, a seguinte janela será mostrada: Aker Security Solutions 271

272 Figura Configuração PPPoE. Nome do dispositivo: Este campo indica o nome do dispositivo interno que será utilizado na comunicação PPPoE. É importante que no caso de que haja mais de uma interface trabalhando em PPPoE, que eles sejam distintos. Ativar no boot: Se esta opção estiver marcada, o AWG ativará o PPPoE automaticamente, ao iniciar a maquina. Serviço PPPoE ativado sob demanda: Se esta opção estiver marcada, o AWG ativará o serviço PPPoE apenas quando houver tráfico de rede direcionado através desta interface de rede. Nome do Usuário: Nome do usuário que será utilizado na autenticação durante o estabelecimento da sessão PPPoE. Senha: Senha que será utilizada na autenticação durante o estabelecimento da sessão PPPoE. Confirmação: Confirmação da senha que será utilizada na autenticação durante o estabelecimento da sessão PPPoE. Provedor: É o provedor do serviço de PPPoE. O protocolo IP permite a fragmentação de pacotes, possibilitando que um datagrama seja dividido em pedaços, cada um pequeno o suficiente para poder ser Aker Security Solutions 272

273 transmitido por uma conexão com o MTU menor que o datagrama original. Esta fragmentação acontece na camada IP (camada 3 do modelo OSI) e usa o parâmetro MTU da interface de rede que irá enviar o pacote pela conexão. O processo de fragmentação marca os fragmentos do pacote original para que a camada IP do destinatário possa montar os pacotes recebidos, reconstituindo o datagrama original.o protocolo da Internet define o "caminho MTU" de uma transmissão Internet como o menor valor MTU de qualquer um dos hops do IP do path" desde o endereço de origem até ao endereço de destino. Visto de outro modo, o "caminho MTU" define o maior valor de MTU que pode passar pelo caminho sem que os seus pacotes sofram posterior fragmentação. Só é possível configurar endereços IP de interfaces de rede reconhecidas pelo sistema operacional no qual o gateway está rodando. Caso tenha acrescentado uma nova interface de rede e seu nome não apareça na lista de interfaces, é necessário configurar o sistema operacional de forma a reconhecer esta nova interface antes de tentar configurá-la nesta pasta. Valor padrão de O IP e o prefixo têm que ser informados juntos. Não será possível ao usuário remover ou editar os endereços auto-configurados (que são derivados dos endereços MAC). As interfaces que estiverem em vermelho, indicam que não estão presentes em todos os nodos do cluster. Aker Security Solutions 273

274 17.3. Roteamento Para acessar a janela de configuração de Roteamento deve-se: Figura Roteamento. Click no menu TCP/IP do AWG que queria administrar. Selecione o item Roteamento. Aker Security Solutions 274

275 Geral Esta janela possibilita configurar rotas IPv4. Figura Roteamento - Geral. A configuração do endereçamento IPv4 e consiste dos seguintes campos: Rede: Configuração dos endereços IP Máscara de rede: Informa o endereço da máscara de rede Gateway: Nesse campo deve ser informado o endereço IP do roteador. Métrica: É o valor de distância da rede. A distância pode ser medida, por número de dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por um valor associado à velocidade do link. Rota Padrão: Pode-se especificar o roteador padrão, por qual todos os pacotes serão encaminhados. Aker Security Solutions 275

276 Para a inclusão de uma nova rota, basta clicar no botão direito do mouse e irá aparecer o menu. Para remover ou editar uma rota, basta clicar com o botão direito sobre ela Utilizando a Interface Texto na Configuração TCP/IP É possível configurar os parâmetros do TCP/IP pela Interface Texto. Localização do programa: /aker/bin/commom/akinterface O programa é interativo e as opções de configuração são as descritas abaixo: Figura 190 Modulo de configuração para interfaces de rede Analogamente a configuração da Interface Remota, a Interface Texto possui 6 opções conforme visualizado na figura acima. Na janela abaixo é possível visualizar, configurar e desconfigurar uma interface de rede Aker Security Solutions 276

277 Figura 191 Configuração de interfaces Na tela abaixo é apresentada a opção de listar interfaces Figura 192 Lista das interfaces de rede Para configurar uma interface deve-se digitar o nome da mesma. A tecla <enter> retorna ao menu anterior Aker Security Solutions 277

278 Figura 193 Nome da interface Nesta tela é apresentada a opção de cadastrar VLAN Figura 194 Configurar uma interface vlan filha Após a digitação dos valores de configuração é perguntado se deseja configurar álias para a interface. Aker Security Solutions 278

279 Figura configurar álias para a interface Com os dados já digitados é perguntado se deseja configurar interface para os novos valores. Figura configurar interface para os novos valores Após a digitação da Opção 2 da tela principal, é possível realizar a configuração de rotas estáticas. Aker Security Solutions 279

280 Figura 197 Configuração de rotas estáticas Após as informações terem sido digitadas é perguntado se deseja gravar as novas configurações. Figura 198 Confirmar nova configuração Após a digitação da Opção 3 da tela principal, é possível realizar a configuração dos Servidores DNS. Aker Security Solutions 280

281 Figura 199 Configuração DNS Após a digitação da Opção 4 da tela principal, é possível realizar a configuração da rota padrão. Figura 200 Configuração da rota padrão Aker Security Solutions 281

282 Configurando Proxy SSL Reverso Aker Security Solutions 282

283 18. Configurando Proxy SSL Reverso Neste capítulo será mostrado para que servem e como configurar o Proxy SSL no Aker Web Gateway. O que é um Proxy SSL? Um Proxy SSL é uma VPN cliente-awg, feita através do protocolo SSL, e que tem como principal característica a utilização do suporte nativo a este protocolo que está presente em várias aplicações: navegadores, leitores de , emuladores de terminal, etc. Devido ao suporte nativo destas aplicações, não é necessária a instalação de nenhum cliente para o estabelecimento da VPN. O seu funcionamento é simples: de um lado o cliente se conecta ao Aker Web Gateway através do protocolo SSL, autenticando-se através de certificados X.509 (caso seja o desejo do administrador que a autenticação seja demandada) e o Aker Web Gateway então se conecta em claro ao servidor interno. Dessa forma, o cliente enxerga uma conexão SSL com o servidor e, este, enxerga uma conexão em claro (transparente) com o cliente. Utilizando um Proxy SSL Para utilizar um Proxy SSL em uma comunicação, é necessário executar uma sequência de 2 passos: 1. Criar um serviço que será interceptado pelo proxy SSL e edita-se os parâmetros do contexto a ser usado por este serviço (para maiores informações, veja o capítulo intitulado Cadastrando Entidades; 2. Acrescentar serviços de perfis SSL, permitindo o uso do serviço criado no passo 1, para as redes ou máquinas desejadas (para maiores informações, veja o item Configurando regras de Proxy SSL Reverso Editando os parâmetros de um contexto SSL A janela de propriedades de um contexto SSL será mostrada quando a opção Proxy SSL for selecionada. Através dela é possível definir o comportamento do proxy SSL quando este for lidar com o serviço em questão. Aker Security Solutions 283

284 A janela de propriedades de um contexto SSL Figura 201 Janela de propriedades de um contexto SSL aba Geral (F5-aba serviço) Na janela de propriedades são configurados todos os parâmetros de um contexto associado a um determinado serviço. Ela consiste de duas abas distintas: a primeira permite a configuração dos parâmetros e a segunda permite a definição do certificado que será apresentado ao cliente no estabelecimento da VPN. Aba Geral Porta do servidor: Este campo indica a porta que o servidor estará esperando receber a conexão, em claro, para o serviço em questão. Permitir autenticação de usuário: Este campo, se estiver marcado, indica que os usuários podem se autenticar no estabelecimento dos Proxies SSL. Caso ele esteja desmarcado, somente sessões anônimas serão autorizadas, o que implica na utilização do perfil de acesso padrão sempre. Aker Security Solutions 284

285 Forçar autenticação de usuário: Se este campo estiver marcado, não serão aceitas sessões de Proxy SSL nas quais o usuário não tenha apresentado um certificado X.509 válido. Inatividade do cliente: Este campo indica o tempo máximo em segundos que o Web Gateway manterá a sessão de Proxy SSL ativa (desde que a sessão já tenha sido estabelecida) sem o recebimento de dados por parte do cliente. Conexão: Este campo indica o tempo máximo em segundos que o Aker Web Gateway aguardará pelo estabelecimento da conexão com o servidor. Autenticação SSL: Este campo indica o tempo máximo em segundos que o Aker Web Gateway aguardará para que o cliente realize, com sucesso, uma autenticação SSL. Avançado: Este botão permite o acesso aos parâmetros de configuração que não são normalmente utilizados. São eles: Permitir um usuário acessar de IPs diferentes ao mesmo tempo: Este campo, se estiver marcado, permite que um mesmo usuário estabeleça sessões simultâneas a partir de máquinas diferentes. Caso esteja desmarcado, se um usuário já possuir uma sessão em uma máquina, as tentativas de abertura a partir de outras máquinas serão recusadas. Tempo de manutenção de sessão: Como não existe o conceito de sessão em um Proxy SSL, é necessário que o proxy simule uma sessão, mantendo um usuário logado por algum tempo após o fechamento da última conexão, caso seja necessário impedir que um mesmo usuário acesse simultaneamente máquinas diferentes. O que este campo especifica é por quanto tempo, em segundos, o Web Gateway deve considerar um usuário como logado após o fechamento da última conexão. Permitir o uso de SSL v2: Este campo indica se o Aker Web Gateway deve ou não aceitar uma conexão SSL usando a versão 2 deste protocolo. A versão 2 do protocolo SSL possui sérios problemas de segurança e é recomendado que ela não seja utilizada, a não ser que isso seja estritamente necessário. Aker Security Solutions 285

286 Aba Certificado Figura 202 Aba Certificado Esta aba é utilizada para especificar o certificado X.509 que será apresentado ao cliente quando ele tentar estabelecer um Proxy SSL. É possível criar uma requisição que posteriormente será enviada para ser assinada por uma CA ou importar um certificado X.509 já assinado, em formato PKCS#12. Criar requisição: Este botão permite que seja criada uma requisição que posteriormente será enviada a uma CA para ser assinada. Ao ser clicado, serão mostrados os campos do novo certificado a ser gerado e que devem ser preenchidos. Após o preenchimento devese clicar no botão OK, que fará com que a janela seja alterada para mostrar os dados da requisição recém criada bem como dois botões para manipulá-la: O botão Salvar em arquivo permite salvar a requisição em um arquivo para que ela seja então enviada a uma CA que irá assiná-la. O botão Instalar esta requisição permite importar o certificado já assinado pela CA. Importar certificado PKCS#12: Este botão provocará o aparecimento de um diálogo onde pode especificar o nome do arquivo com o certificado X.509 que será importado. Aker Security Solutions 286

287 18.2. Configurando regras de Proxy SSL Reverso Figura 203 Configurando regras de proxy SSL reverso Esta aba permite que pessoas que estão externamente à rede acessem o servidor interno por meio de uma conexão SSL. Serviço Proxy SSL: Este campo possibilita o cadastro de um serviço que será interceptado pelo proxy SSL. Inicia uma conexão segura que vai começar no Aker Web Gateway. As opções disponíveis nesse campo estão relacionadas às entidades serviços criadas. Na entidade serviço, a configuração deve ser feita optando pelo Proxy SSL. Destino: Indica o servidor interno que será mapeado. O Aker Web Gateway se conecta em claro ao servidor interno. Dessa forma, o cliente enxerga uma conexão SSL com o servidor e este, enxerga uma conexão em claro (transparente) com o destino. Aker Security Solutions 287

288 Proteção Flood Aker Security Solutions 288

289 19. Proteção de Flood Neste capítulo será mostrado para que servem e como configurar a Proteção de Flood no Aker Web Gateway. O que é um ataque de Flood? Os ataques de Flood se caracterizam por existir um elevado número de conexões abertas e estabelecidas contra servidores web, FTP, smtp e etc, a partir de outras máquinas existentes na Internet que foram invadidas e controladas para perpetrar ataques de negação de serviço (DoS). A proteção também é útil para evitar abuso do uso de determinados serviços (sites de download, por exemplo) e evitar estragos maiores causados por vírus, como o NIMDA, que fazia com que cada máquina infectada abrisse centenas de conexões simultaneamente. Como funciona a proteção contra Flood do Aker Web Gateway? O Aker Web Gateway possui um mecanismo que visa impedir que um ataque de Flood seja bem sucedido. Seu funcionamento baseia na limitação de conexões que possam ser abertas simultaneamente a partir de uma mesma máquina para uma entidade que está sendo protegida. O administrador do Web Gateway deve estimar este limite dentro do funcionamento cotidiano de cada servidor ou rede a ser protegida. Aker Security Solutions 289

290 19.1. Utilizando a Interface Remota para Proteção de Flood Figura 204 Configurações (Proteção de flood) Clicar no menu Segurança na janela do Web Gateway. Escolher o item Proteção de Flood. A janela de configuração da proteção de Flood Figura 205 Proteção de flood Aker Security Solutions 290

291 O botão OK fará com que os parâmetros de configuração sejam atualizados e a janela fechada. O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas e a janela fechada. O botão Aplicar enviará para o Web Gateway todas as alterações feitas porém manterá a janela aberta. Significado dos campos da janela: Número: Corresponde ao número da regra de Proteção de Flood. Origem: Neste campo pode ser uma rede ou máquina de onde poderá ser originado um ataque de DDoS. Destino: Incluir neste campo máquinas ou redes que deseja proteger. Serviços: Portas de serviços que desejam-se proteger. Poderá ser incluído no campo mais de uma entidade. Conexões Máximas: Campo numérico onde deve informar o número máximo de conexões que a entidade pode receber a partir de uma mesma origem. A quantidade máxima de conexões nas regras de proteção de flood não é a quantidade agregada de conexões a partir da origem especificada, mas sim a quantidade, por endereço IP único que encaixa na origem informada, de conexões simultâneas. Desta forma, por exemplo, havendo a necessidade de limitar o número de downloads simultâneos por usuário em 2, esse número dever ser 2, independentemente do número de usuários que façam os downloads. Aker Security Solutions 291

292 Configurando o Web Gateway em Cluster Aker Security Solutions 292

293 20. Configurando o Web Gateway em Cluster Neste capítulo mostraremos como configurar a tolerância a falhas do Aker Web Gateway Planejando a Instalação O que é um sistema de tolerância às falhas? Quanto mais os computadores ganham espaço nas empresas, nos escritórios e na vida das pessoas em geral, mais se ouve falar em "alta disponibilidade". Por um simples e bom motivo: nenhum usuário quer que a sua máquina pare de funcionar ou que os recursos de rede não possam mais ser acessados. É justamente a alta disponibilidade que vai garantir a continuidade de operação do sistema na prestação de serviços de rede, armazenamento ou processamento, mesmo se houver falhas em um ou mais de seus elementos. Assim, alta disponibilidade é hoje um assunto que interessa a um número cada vez maior de usuários. Tornou-se um requisito fundamental para os sistemas que ficam no ar 24 horas por dia, sete dias por semana, ou que não possam ficar fora do ar por até mesmo alguns minutos. Afinal, paradas não planejadas podem comprometer, no mínimo, a qualidade do serviço, sem contar os prejuízos financeiros. Tolerância às falhas nada mais é que um agrupamento de recursos que fornece ao sistema a ilusão de um recurso único. A maioria dos seus componentes, encontramse duplicados, desta forma, mesmo que um componente individual apresente falhas o serviço não é comprometido. Para possibilitar a redundância de recursos é necessário um mecanismo de gerência, de forma a tornar seu funcionamento transparente. Como trabalha a Tolerância às Falhas do Aker Web Gateway? A tolerância às falhas do Aker Web Gateway é composta por dois sistemas idênticos, ou seja, duas máquinas com o mesmo Sistema Operacional, mesmas placas de rede e com a mesma versão do software, conectadas entre si. A exigência de se usar o mesmo sistema operacional se dá pelo fato de poder aplicar correções através da Interface Remota e essas correções serem replicadas automaticamente de uma máquina para a outra. Além de estarem conectadas entre si, o que deve ser feito por uma interface de rede, é necessário que todas as placas de rede correspondentes das duas máquinas estejam conectadas em um mesmo hub ou switch, de forma que ambos os web gateways tenham acesso às mesmas máquinas e roteadores. Aker Security Solutions 293

294 20.2. Configuração do Cluster O que é um sistema de tolerância às falhas? Quanto mais os computadores ganham espaço nas empresas, nos escritórios e na vida das pessoas em geral, mais se ouve falar em "alta disponibilidade". Por um simples e bom motivo: nenhum usuário quer que a sua máquina pare de funcionar ou que os recursos de rede não possam mais ser acessados. É justamente a alta disponibilidade que vai garantir a continuidade de operação do sistema na prestação de serviços de rede, armazenamento ou processamento, mesmo se houver falhas em um ou mais de seus elementos. Assim, alta disponibilidade é hoje um assunto que interessa a um número cada vez maior de usuários. Tornou-se um requisito fundamental para os sistemas que ficam no ar 24 horas por dia, sete dias por semana, ou que não possam ficar fora do ar por até mesmo alguns minutos. Afinal, paradas não planejadas podem comprometer, no mínimo, a qualidade do serviço, sem contar os prejuízos financeiros. Tolerância às falhas nada mais é que um agrupamento de recursos que fornece ao sistema a ilusão de um recurso único. A maioria dos seus componentes, encontramse duplicados, desta forma, mesmo que um componente individual apresente falhas o serviço não é comprometido. Para possibilitar a redundância de recursos é necessário um mecanismo de gerência, de forma a tornar seu funcionamento transparente. Para que possa ser iniciada a configuração do Cluster, é necessário que previamente exista uma licença de cluster e que já tenha sido aplicada no Web Gateway. Para se ter acesso a janela de Configuração do Cluster deve-se: Aker Security Solutions 294

295 Figura 206 Configurações (Configuração do cluster) Clicar no menu Configuração do Sistema na janela de Administração do Web Gateway. Clicar no item Configuração do Cluster. Caso o usuário opte em configurar, deverá clicar no botão "sim", e automaticamente aparecerá a seguinte tela: Aker Security Solutions 295

296 Figura 207 Criar Cluster Essa janela permite a criação de um novo cluster. O usuário deverá preencher os seguintes campos: Nome: Nesse campo deve ser informado o nome do Web Gateway no cluster. Peso: Esse campo indica o balanceamento do tráfego. O administrador poderá escolher o valor mais apropriado. Interface: Esse campo permite a escolha de uma entidade que representa uma interface de controle do cluster. Essa entidade será usada pelo Web Gateway para controle do cluster. Botão Ok: Ao término da escolha das opções, deve-se clicar no botão Ok. Se a licença tiver sido aplicada anteriormente, o cluster será habilitado, caso tenha algum problema, aparecerá uma mensagem informando que não foi possível habilitá-lo. Se a criação do cluster tiver sido feita com sucesso a Interface Remota será desconectada para garantir que toda a configuração seja recarregada, assim o usuário deverá conectar novamente. Caso o usuário deseje fazer alguma alteração nas configurações do cluster criado, deverá acessar a Janela de Configuração de Cluster. Abaixo seguem as descrições dos campos: Aker Security Solutions 296

297 Figura 208 Configuração do cluster Informações Gerais Nessa parte da janela são mostradas informações gerais do cluster criado. Tipo de Cluster: Esta opção permite selecionar o tipo de cluster desejado ou desabilitá-lo. Interface de Controle: Essa informação é definida na hora da habilitação do cluster, não podendo ser alterada posteriormente. Todos os seus outros membros utilizarão essa mesma entidade. Informações dos Membros Nessa parte da Janela mostra todas as informações sobre os membros do cluster. Identificação: Esse campo informa o ID do Cluster. É gerado aleatoriamente, não podendo ser alterado. Nome: Indica o nome do Web Gateway do cluster. Aker Security Solutions 297

298 Peso: Esse campo indica o balanceamento do tráfego. O administrador poderá escolher o valor mais apropriado. Estado: Permite visualizar o status do cluster, se está ativado ou desativado Interfaces Nessa parte da janela permite a visualização das características de configuração das interfaces de rede dos membros do cluster. Essas características pertencem a todos os membros, incluindo os ativados, desativados e os que vierem a ser incluídos. Interface: Nesse componente permite adicionar uma nova interface. Virtual IP: É o IP virtual que representa as máquinas do cluster para a rede atual. Deverá ser definido apenas nos casos de cluster cooperativos. Modo: Esse campo informa o modo como os pacotes são redistribuídos dentro de um grupo de máquinas. O modo UNICAST é o padrão, mas pode ser alterado para o modo Multicast ou Multicast com IGMP. IP Multicast : As informações contidas nesse campo, são alteradas de acordo com o modo indicado/escolhido, mas só poderá ser editado quando for escolhido o modo multicast IGMP. Mac: Esse campo indica o endereço físico da placa de rede. Pode ser informado quando o modo escolhido for o Multicast. Caso não seja especificado o cluster, vai ser utilizado o endereço que consta na placa, se for escolhido o modo Multicast IGMP o MAC não será configurado, ou seja, não poderá ser editado. A opção de adicionar um IP virtual só é válida quando se tratar de cluster cooperativo. Observação: Deve haver no mínimo um membro ativo. Nessa janela pode-se incluir um novo membro do cluster. Para incluí-lo, clique com o botão direito do mouse no componente que mostra as informações dos membros. Clique no ícone, e a janela abaixo será exibida: Aker Security Solutions 298

299 Figura 209 Adicionar novo Web Gateway no cluster Nesta janela deve ser preenchida todas as informação do Web Gateway que será adicionado ao cluster. Abaixo segue a descrição dos campos: Informação da conexão IP: É o endereço IP do Web Gateway a ser adicionado ao cluster. Usuário: Usuário de administração do Web Gateway. Senha: Senha do usuário administrador do Web Gateway. Informação do Web Gateway Nome: Nome do Web Gateway no cluster Peso: Esse campo indica o balanceamento do tráfego. O administrador poderá escolher o valor mais apropriado. Hierarquia: Permite definir o status do cluster em mestre, escravo e nenhum. Podendo ser definido previamente qual status funcione (mestre ou escavo) ou selecionado a opção nenhum (para ser escolhido automaticamente). Aker Security Solutions 299

300 O membro do cluster, também pode ser incluído por meio do ícone presente na barra de ferramentas Estatística do Cluster A janela de estatística do Cluster permite a visualização das informações de cada nó do cluster. Para se ter acesso a janela de Estatística do Cluster deve-se: Figura 210 Informação (Estatística do Cluster) Clicar no menu Informação na janela de Administração do Web Gateway. Clicar no item Estatística do Cluster. Aba Web Gateway 1 A janela possui dois tipos de informações: as informações estáticas se referem ao nome do nodo, o identificador e o peso. As outras informações que constam na janela são estatísticas do tráfego de redes que permite, por exemplo, a visualização da quantidade de pacotes trafegados na rede. Os valores são acumulativos, a cada segundo os dados são somados ao valor anterior. Aker Security Solutions 300

301 Figura Estatística do Cluster (aba nod) Aba Gráfico Esta janela permite a visualização gráfica das informações referentes ao tratamento dado, aos pacotes dos nodos, pelo Web Gateway. Esse gráfico permite a visualização de até 8 nodos. As informações do tráfego de cada nodo são mostradas em porcentagem. Esta aba possui vários tipos de filtros, permitindo ao usuário, para uma eventual comparação de dados, filtrar informações em percentual, das atividades de cada Web Gateway. Aker Security Solutions 301

302 Figura Estatística do Cluster (aba Gráfico) Utilizando a Interface Texto A utilização da Interface Texto na configuração da tolerância às falhas é bastante simples. E possível usar todos os comandos sem o prefixo FW, para isso execute o comando fwshell, então todos os comando poderão ser acessados sem o prefixo FW ). Localização do programa: /aker/bin/awg/fwcluster Sintaxe: fwcluster [ajuda mostra] fwcluster interface_controle <if> fwcluster peso <peso> fwcluster <habilita desabilita> Aker Security Solutions 302