Migração do appliances Bluecoat 8000-10 para 9000-5 Ariel Cassins Pós Graduação em Redes e Segurança de Sistemas Pontifícia Universidade Católica do Paraná Curitiba, novembro de 2010. Resumo O objetivo deste trabalho é apresentar o processo mais eficaz de realizar a migração dos appliances Bluecoat do modelo 8000-10 para 9000-5. O tema foi escolhido tendo em vista o fato de que muitas funções da versão antiga mudaram. Essa tarefa, que antes era considerada uma tarefa de risco baixo, hoje ela passou a ser considerada de alto risco. 1. Introdução Atualmente existem diversas ferramentas que fazem à tarefa de Proxy, temos ferramentas open source e ferramentas proprietárias onde cada uma delas tem um grupo de vantagens e desvantagens, hoje a maioria das grandes corporações acabam adotando ferramentas proprietárias para administrar seus acessos à internet ou extranet. Apesar de todo o suporte fornecido pelos revendedores encontram-se grandes problemas em uma migração ainda que utilizados produtos do mesmo fabricante. Esse trabalho foi baseado em diversas dificuldades enfrentadas por uma grande empresa. 2. Ferramentas Abordadas Nesse projeto utilizou-se o Bluecoat 8000-10 e 9000-5 e o software BCAAA. 2.1 Proxy Bluecoat 8000-10 O hardware Bluecoat 8000-10 tem o papel de administrar toda a parte de acesso à internet e extranet de uma empresa, alem de varias outras funções. Ele executa um SGOS (sistema operacional) onde esta toda a inteligência do Bluecoat. Esse hardware será descontinuado e esta em end of support pelo fabricante. Por isso existe a necessidade de realizar a substituição tanto do hardware, como do SGOS. A ultima versão suportada pelo 8000-10 e a versão SGOS 4.5.3 que e um sistema sem suporte a muitas novas tecnológicas que as grandes corporações precisam ou vão precisa num futuro próximo. O hardware Bluecoat 9000-5 tem a mesma função de seu antecessor, ou seja, ser o Proxy da rede, fazendo assim o controle de acessos à internet, como da extranet. Esse hardware e mais robusto em todos os aspectos. Inclui: quinze discos de 1 T cada um para realizar cache, 4 gb de memória, SGO 5.0 que, entre varias funções, tem suporte a IPV-6 (uma das necessidades que a empresa em questão terá apartir de 2011), alem de ter suporte do fabricante por um tempo maior. 1
2.2 BCAAA O BCAAA e um software que faz uma consulta em uma base LDAP ou em um Active Directory. A cada acesso realizado, o navegador manda as credenciais do usuário para o BCAAA que, por sua vez, encaminha para o autenticador de domínio (Active Directory). Esse software e instalado em uma maquina Windows que pode estar em qualquer local da rede. Depois de fazer a migração dos arquivos de configuração e regras devemos fazer a atualização do BCAAA para a mesma versão do SGOS existente no Proxy novo. Vide figura 2.2.1 a 2.2.4 Fig. 2.2.1 Tela inicial de instalação. Fig. 2.2.2 Tela de Escolha da Porta aonde vai se conectar o BCAAA 2
Fig. 2.2.3 Tela com o check-list final da instalação. Fig. 2.2.4 Tela de configuração inicial. 3
Fig.2.2.5 Tela de configuração dos endereços dos servidores BCAAA. 3. Instalação e configurando o Bluecoat 9000-5. O primeiro passo que se deve fazer e executar um export das regras do Proxy antigo. Por razões de incompatibilidade de versões, não se pode simplesmente realizar um import das regras do Proxy antigo para o novo Proxy. Deve-se primeiramente colocar no Bluecoat 9000-5 a versão de SGOS 4.0, realizar um import das configs e logo após, fazer um upgrade de SGOS para a versão 5.0. Esse procedimento não está documentado na Bluecoat, ela indica outros procedimentos onde se usam mais de duas caixas de Proxy para realizar essa mudança. Vide Figura 3.1 e 3.2 Fig. 3.1 Endereço de onde está à versão a ser feita o download. 4
Fig. 3.2 Tela de escolha de versões. 4.Websense: O Websense e um software que faz o gerenciamento de conteúdo. Fig. 4.1 Tela de configuração do Websense 5
5.ICAP. E a configuração do antivírus com o Bluecoat. Vide figura 5.1 a 5.2 Fig. 5.1 Tela de inclusão dos Antivírus. Fig.5.2 Tela de parâmetros dos Bluecoat com o antivírus 6
6.Attack Blocked : Essa função tem como objetivo bloquear os ips que tenham um comportamento classificado como fora do habitual. Na versão 4.0. X tinha como parâmetro múltiplos de 5 na versão 5.0.X passou a usar múltiplos de 10 (minutos que os ips ficaram bloqueados). Ver figura 6.1 a 6.2. Fig.6.1 Clientes Bloqueados por causa da configuração padrão Fig.6.2 Figura que mostra parâmetros corretos 7. Web Access Na versão 5.0. X as configurações de Web Access permanecem iguais às versões anteriores, caso feito o procedimento de instalação descrito no inicio de trabalho. Ver figura 7.1 Fig. 7.1 lista de web Access. 7
8
8.Conclusão: A versão SGOS 5.x trouxe muitas melhorias. Apesar de a migração ter vários detalhes o resultado final e satisfatório. 9. referencias bibliográficas. 1.www.bluecoat.com 2.www.blueknights.com 3.www.google.com.br 9