Manual do administrador do UTM Zeus versão 3.3.0 1
Index 1Configurando a solução módulo Base...3 1.1 Painel...3 1.2 Bases de Autenticação...4 1.3 Configuração de Rede...5 1.4 Senhas Painel...9 1.5 Certificadora...15 1.6 DNS...17 1.7 Relatórios do módulo Base...18 2. Administrando a solução...19 3 Configuração do módulo Cérberus...20 3.1 Configuração do Firewall...20 3.2 Configuração do squid...29 3.3 configuração do IPS...44 3.4 Configurando o Openvpn...45 3.5 Vendo os relatórios do módulo Cérberus...49 4 Configurações do módulo Hércules...50 4.1 Configuração das pastas do samba...50 4.2 Configurações dos usuários no samba 3.x...51 4.3 Configuração do DHCP...54 4.4 Configuração do Cups...56 4.5 Relatórios da solução Hércules...56 5 Configuração do Hades...57 6. Changelog...58 2
1 Configurando a solução módulo Base. Neste item acesse de qualquer desktop da sua rede interna o Painel da solução Zeus. Para isto abra qualquer navegador e coloque https://ip_do_zeus, como por exemplo https://192.168.0.1. Ele deve solicitar um login e senha. Login: administrador Senha: adminadministrador Quando formos configurar mais a frente o Configuuração/Senhas de Painel vamos mudar esta senha 80). 1.1 Painel Bem esta é a página inicial do painel do Zeus. Note que alguns itens podem não estar sendo mostrados ou ter itens a mais em seu painel. Na medida que você instala mais módulos, mais itens serão mostrados. 3
1.2 Bases de Autenticação Vamos fazer a configuração na ordem correta da solução. O primeiro item a ser checado é a configuração das bases de autenticação da solução como um todo. Aqui podem ser configuradas as bases de autenticação do LDAP e do AD para ambiente Windows. Por padrão é configurado no LDAP a base de autenticação da própria máquina no localhost ( 127.0.0.1) seguindo o DN que você colocou na instalação baseado no domínio da máquina ( hostname -d). Seguindo o exemplo esta máquina foi configurada com o nome cerberus e o domínio como sendo contatogs.com.br. Sendo assim na base do ldap ela está configurada com o DN=dc=contatogs,dc=com,dc=br A senha cadastrada por padrão é adminldap. Se você estiver usando o módulo Hércules ( samba+cups..), configure com as informações do seu AD na parte de autenticação AD. 4
1.3 Configuração de Rede Na sequência, vamos configurar as outras placas de rede e ip alias para nossa solução. Possivelmente será necessário adicionar novas placas de rede se você estiver configurando o módulo Cérberus ( firewall/proxy,..) Vamos checar por exemplo a Placa Lan de nossa configuração. Veja que ela já está configurada como placa eth0. IMPORTANTÍSSIMO: sempre configure a placa LAN como eth0, pois na solução do módulo Cérberus isto vai facilitar muito na configuração. Para ver a configuração clique na parte azul Configurações da Placa LAN. 5
Na caixa Tipo de Acesso selecione se o IP será dinâmico ou estático. Se o IP for estático adicione o resto das informações ou confira se as mesmas estão corretas. Note que no exemplo acima não foi configurado o Gateway pois nesta solução estamos configurando o módulo Cérberus e só pode existir um único gateway padrão em uma máquina linux. Na caixa comentários digite algo para se lembrar da função desta placa de rede. Exemplos: placa realtek, placa de rede ligada ao speedy,etc. Logo abaixo você pode completar com ips adicionais em sua placa de rede. Basta colocar o ip e clicar no + ao lado do IP Alias que você deseja. Ao lado dos IP alternativos temos a indicação de Rotas para outras redes. No caso se quiséssemos por exemplo indicar uma rota para a rede 192.168.100.0/24 e para se chegar nesta rede tivéssemos um roteador com o ip 192.168.10.254 deveríamos colocar na caixa da seguinte maneira: 192.168.100.0/24 192.168.10.254 e depois clicar no +. Note que a sintaxe é muito parecida com o comando ip route add 192.168.100.0/24 via 192.168.10.254 dev eth0 ( ou na sintaxe antiga como route add -net 192.168.100.0 netmask 255.255.255.0 gw 192.168.10.254). Na caixa de configurações do Ethtool você pode colocar as configurações da sua placa de rede Lan que tenha suporte ao ethtool mudando as características de sua placa, como velocidade entre outros. Como exemplo você poderia colocar na caixa de 6
diálogo: ethtool -s eth0 autoneg off speed 1000 duplex full Caso você tenha configurado sua interface como bond, configure as informações no quadro mais a direita das interfaces onde indica Configurações do Bond. Se tudo estiver correto, clique no botão Salvar. Se você não tiver mais nenhuma placa a ser configurada, clique no botão Reiniciar placas de Rede. Caso você esteja configurando o módulo Cérberus, vamos configurar agora a placa wan. No caso vamos escolher a placa WAN1 no painel de rede. Note que existe uma caixa onde você pode escolher diversas placas ( eth0,eth1, que são placas de rede normais ou bond0,bond1 para agregar a saída de placas, eth0.0, eth0.1, eth1.0... para configuração de VLANs.) Neste exemplo eu escolhi a placa eth1. IMPORTANTE: caso você esteja configurando o módulo Cérberus, escolha sempre a 1ª placa WAN1 para a configuração das placas WAN. Apesar de ser possível a configuração de 2 placas de rede WAN isto só será possível com o módulo segurançaiii que não faz parte da solução lançada como GPL3. Após escolher a placa eth1 como placa WAN1, clique em configurações 7
Observe que neste exemplo eu coloquei o Gateway e mudei a caixa de diálogo Padrão como sendo sim. Se estivéssemos configurando o Cérberus com o módulo de segurança III ( link backup/loadbalance) ambas as placas de rede WAN deveria estar com o gateway configurado MAS APENAS UMA das placas poderia estar com o Padrão como sim. Feitas as configurações, clique em Salvar e depois clique no botão Reiniciar placas de Rede. Pronto vamos configurar o próximo item comum a todas as soluções. 8
1.4 Senhas Painel Nesta parte do painel é possível configurar quem tem acesso a que e adicionar usuário, grupos tanto do linux quanto no samba 3.x. Neste ponto explicaremos apenas a parte referente a criação de usuário na base do LDAP e a como configurar estes usuários para terem acesso a partes do painel do Zeus. Por padrão é criado um usuário chamado administrador com a senha adminadministrador que tem acesso total a qualquer parte do painel do Zeus. Para acessar esta parte do painel, clique no usuário admin e coloque a senha adminldap ( que é a senha da base do LDAP) e logo a seguir clique no botão Início de Sessão. Esta é a única senha que você precisa se lembrar, pois de posse dela você pode mudar senhas, criar usuários/grupos, deletar usuários/grupos e muito mais na base do OpenLDAP. 9
Para ver os usuario na caixa onde está escrito Sufixo coloque em users > seudminio > com> br. Para deletar um usuário clique na caixa em branco e depois clique no simbolo com um x. Para editar um usuário e mudar as suas configurações clique na caixa em branco e depois no 1º símbolo ( o papel com uma caneta). Vamos mudar a senha do usuário administrador. Para isto selecione o usuário e clique na edição ( símbolo de papel e caneta). 10
Note que podemos adicionar informações para este usuário na 1ª tela (abaixo). 11
12
Podemos ver as outras abas: Unix onde podemos mudar/adicionar/mudar as configurações do usuário Unix na base do LDAP. Os itens obrigatório estão marcados com o símbolo *. Algumas dicas: acerte o nome do usuário. deixe o Diretório como /home/$user, pois quando você for salvar ele gravará como /home/ nome do usuário. acerte o Grupo primário como users. veja se é importante manter o Interpretador de comandos como /bin/bash. Ser o usuário não precisar de uma shell válida, mude para /bin/false. Na caixa Editar grupos adicione o usuário em todos os grupos que você achar necessário. Note que estes grupos se referem aos relatórios que o usuário poderá ver/mexer no painel do Zeus. 13
Caixa editar Grupos você verá nesta caixa os seguintes grupos pré-criados: RELMONITORAMENTO acesso ao relatório monitoramento. RELDIARIO acesso ao diário de bordo RELFIREWALLLOG acesso aos relatório do firewall RELIPS acesso aos relatórios do IPS LAM- acesso ao LDAP Account Manager RELLOG acesso aos relatórios dos logs RELMRTG- acesso as relatórios do MRTG RELMUNIN acesso aos relatórios do Munin/Machine Report RELSARG acesso aos relatórios do Sarg RELDISASTER acesso a imagem do disaster recovery RELSNORT acesso aos relatórios do Snort/Acidbase RELIPSEC acesso aos relatórios do IPSEC RELOPENVP acesso aos relatórios do OpenVPN RELQoS acesso a ferramenta de QoS RELMSN acesso aos relatórios do MSN RELEMAIL acesso aos relatórios De EMAIL REDE acesso ao painel de Rede RELDUPLICADOS acesso aos relatórios de arquivos duplicados RELHADES acesso aos relatórios do Backup RELAPOLO acesso aos relatórios ferramenta Apolo RELHA acesso aos relatórios do H.A. FIREWALL acesso a ferramenta de firewall HADES acesso a ferramenta Backuppc APOLO acesso a ferramenta Apolo ( Icinga) RELSOFTWARES acesso aos relatórios de software instalados no servidor BASESAUTENTICACAO acesso a Base de Autenticação. Clique no item Definir Senha e insira a senha do usuário clique em Salvar para salvar todas as configurações feitas até o momento. Pronto. Para configuração de usuarios/senhas e acesso ao Painel do Zeus já fechamos. 14
1.5 Certificadora Após a criação dos usuários, grupos você poderá criar os certificados que serão usados por exemplo pra a solução de Openvpn. Para acessar o painel da certificadora clique em Configuração Certificadora. Neste painel é possível ver todos os certificados com as respectivas datas de criação e validade e através dele é possível revogar um ou mais certificados. Para a criação de um certificado para um usuário clique em Configuração Certificadora criar certificado. Selecione um usuário cadastrado que você deseja criar o certificado como na fig abaixo: 15
Após escolher o usuário, complete as informações do certificado a ser criado para este usuário e depois de colocada as infs clique em Enviar. 16
1.6 DNS Nesta aba configuraremos o conteúdo da zona interna do seu domínio. 17
1.7 Relatórios do módulo Base Agora é uma boa hora de você criar um usuário pelo Senhas Painel e incluir este usuário em alguns grupos de REL para poder verificar se tudo está funcionando. Acostume-se com estes Relatórios pois eles contem MUITA informação a respeito da instalação, estado dos serviços entre outros. Cada um dos relatórios traz uma informação específica. Vamos detalhar alguns destes relatórios e suas funções, clicando em Zeus Relatórios. Soluções Instaladas este relatório mostra a versão do GNU Debian instalado, a data da instalação e ainda mostra todos os softwares instalados baseados na solução Zeus bem como se o mesmo tem algum tipo de serviço agregado contratado. Diário de Bordo mostra todos os comandos dados como usuário root neste servidor por dia/mês/ano. Machine Report (Munin) ele mostra vários relatórios a respeito do servidor como acesso ao apache, erros em placa de rede, e MUITOS MUITOS outros relatórios específicos desta máquina. Monitoramento : com este software é possível reinicializar os serviços através do navegador, parar os serviços entre outros. SMART HD se sua maquina tem suporte ao software smartmontools ele deve estar mostrando como está o/os seus Hd's. LOG aqui você pode acessar todos os logs do servidor pela interface do painel. 18
2. Administrando a solução. Antes de mencionarmos a administração em sí é conveniente mostrarmos a diferença entre administração e suporte. Na página da Contato em http://www.contatogs.com.br/index.php/faq/admxsup.html nós descrevemos o que nós entendemos como suporte e como administração. Veja abaixo um trecho da mesma. Administração É o processo ativo de corrigir o sistema para o perfeito funcionamento do mesmo, juntamente com a verificação de logs, disco, backup e se todos os serviços e relatórios estão funcionando de acordo. Exemplo de administração: quando o usuário solicita para a Contato a criação de um usuário de sistema, email ou para acesso a Internet, mudança de senhas, criação de grupos, se o backup está funcionando com teste de retorno aleatório de um arquivo entre outros. Suporte É o ato passivo de fornecer informação ou tomar as medidas necessárias para corrigir o problema mediante solicitação do cliente. Exemplos de suporte: quando cliente liga mencionando problemas no cadastramento de um usuário,falta de acesso ao sistema ou sistema instável. Ok, já que nos já definimos a diferença entre o suporte e administração, vamos para a administração em sí. Para administrar a solução você deve seguir os seguintes passos diariamente: a) abrir o navegador e apontar para o painel de controle da solução. b) no navegado clicar em Zeus -> Relatórios -> Log e verificar todos os logs do servidor. c) para os clientes que não tem a solução HADES, fazer o backup das partições de dados e de relatórios a seguir: /home - diretório pessoal dos usuários /srv/samba - diretório do servidor de arquivos /srv/backup - informações e relatórios antigos guardados do servidor /var/www - relatórios diversos estes diretórios estão disponíveis para cópia via rsync...80) 19
3 Configuração do módulo Cérberus Conforme vimos anteriormente o módulo Cérberus é responsável pela segurança. Neste capítulo teremos um passo a passo da configuração deste módulo pelo painel do Zeus. 3.1 Configuração do Firewall Vamos acessar o painel e clicar no Configuração firewall 20
Vamos acessar a 1ª seção Nesta página devemos configurar quem são as placas de rede com as respectivas redes e colocar os gateways nas placas de rede das WAN's. 21
Aqui você pode colocar as regras de iptables na mão caso você tenha alguma regra específica que não se enquadre nas páginas de configuração do firewall. Estas serão sempre as primeiras regras a serem lidas pelo iptables. Para colocar as regras siga as seguintes regras: a) insira suas regras usando a sintaxe do iptables. b) todas as regras e comentários devem OBRIGATÓRIAMENTE começar com #rule# para que sejam lidas pelo firewall c) espaços entre as regras são permitidos. d) comentários são permitidos desde que comecem com o símbolo #rule# # Abaixo um exemplo: #rule# # isto é um comentário - permitindo acesso irrestrito via ICMP pela placa eth0 #rule# iptables -A FORWARD -i eth0 -p icmp -j ACCEPT após colocar a regra clique no botão Salvar 22
Nesta páginas vamos configurar os ip's que tem acesso TOTAL e IRRESTRITO a qualquer rede. Neste caso é sempre interessante deixar pelo menos 1 ip ( de preferência o IP de alguém do suporte técnico) para que esta pessoa possa testar o acesso a páginas sem passar pelo proxy entre outras medidas de suporte). Veja que passando o mouse sobre os nomes aparece um pequeno help para entender como se deve configurar cada campo. Lembre-se também de sempre colocar um comentário para saber quem/quando e porque aquela regra foi inserida. 23
Vamos agora na próxima janela configurar o acesso de todas as redes aos serviços que rodam SOMENTE NO FIREWALL ( algo análogo a regras de INPUT) No exemplo acima podemos entender como: o acesso ao serviço NTOP que roda no firewall que responde na porta 3000/tcp está liberado para ser acessado somente através da placa eth0 e que venha da rede 192.168.x.x/24. 24
Na próxima página vamos liberar o acesso entre as redes ou de uma máquina a uma rede ( entenda-se como regra de FORWARD do iptables). Caso não se coloque a rede interna ou a rede externa o firewall irá entender como sendo qualquer rede ( 0/0). São permitidas até 15 portas nas regras de UDP e TCP. No exemplo acima podemos ler a regra da seguinte maneira: toda a rede 192.168.x.0/24 terá acesso a qualquer outra rede através das portas 25,53,80,110,143,587,873,993,995,3666 e 3667/tcp e também as portas 53 e 123/udp. Vamos supor que você tenha uma rede DMZ e nesta rede DMZ você tenha uma maquina no ip 172.16.0.5. Caso você queira que esta máquina tenha acesso aos seu servidor web localizado na rede interna no ip 192.168.0.5, você terá que colocar da seguinte maneira: IP Interno: 172.16.0.5 IP Externo: 192.168.0.5 Porta Tcp: 80 OBS NOTE que no IP Interno nós colocamos a maquina que está na DMZ...80) 25
Nesta página iremos configurar os redirecionamentos, ou seja as regras de NAT. IMPORTANTE: quando adicionamos as regras de redirecionamento automaticamente as regras de FORWARD são adicionadas também. Veja exemplo abaixo: Todo acesso a placa eth1 que for acessar o IP Externo: x.x.x.x na porta 22 será redirecionado para o IP 192.168.x.x. Nesta mesma regra se estabelece que todo o acesso do mundo a máquina 192.168.x.x. na porta 22/tcp está liberada. 26
Outro exemplo: IP Interno:192.168.x.x Porta TCP:80 Porta Udp:53 IP Remot0: 200.200.200.2 Placa: eth1 IP Externo 201.6.6.6 Porta Tcp: 8080 Porta Udp: 5353 comentário: exemplo2 No exemplo acima pode-se ler da seguinte maneira: todo o acesso do ip 200.200.200.2 que entrar na placa eth1 do firewall para o ip do firewall 201.6.6.6 na porta TCP 8080 e na porta UDP 5353 será redirecionado para o ip 192.168.x.x na porta TCP 80 e na porta udp 53 ( esta é a regra de redirecionamento NAT, mais especificamente DNAT). Alem desta regra o código do firewall adiciona automaticamente a seguinte regra que é totalmente transparente todo o acesso da máquina 200.200.200.2 que entrar na placa eth1 nas portas tcp 80 e udp 53 terão acesso a maquina 192.168.x.x ( que é uma regra de FORWARD). Note que você NÃO PRECISA colocar esta regra no página intitulada Acesso da LAN/DMZ ao Mundo. 27
Por último temos a parte relacionada ao pacote de segurançaiii que não é GPL. Este pacote permite o link backup e link balanceado entre 2 interfaces wan. A URL é o IP remoto que será testado para que o link saiba se ele está ok ou não. Este ip tem que ser alcançável sempre e nunca pode bloquear o ping. Sugerimos colocar nele o ip de alguma página conhecida ou algum outro ip que você conheça. O Def Gateway é o default gateway de um dos dois links por onde a maioria dos pacotes deve passar. No Squid você deve escolher por qual link a navegação do http/https/ftp deve sair. Pacotes Wan1 indica o número de pacotes que deve sair por aquela interface, excluindo-se o Squid. Tem que ser um número de 1 a 100 sendo que o 100 só pode ser colocado em apenas uma das interfaces Wan. Quando se colocar o numero 100 em uma das interfaces Wan o equipamento se comporta como link backup, isto é tudo vai passar por aquele link ( inclusive o squid, mesmo que esteja voltado para outra interface). Caso este link caia o outro link toma todos os pacotes para sí. 28
3.2 Configuração do squid O squid é um servidor de proxy/cache de protocolos htt/https/ftp e gopher. Nesta versão ele permite a configuração geral, configuração por grupos ou a configuração por grupos que estejam na base LDAP. Para a base do AD só funciona a parte de configuração geral. Vamos configurar inicialmente alguns aspectos do squid que não se referem aos usuários/grupo/geral. Abra seu navegador e insira https://ip_do_serevidor e clique no squid Outras conf. SEMPRE que você mexer em alguma pagina ao final você deve clicar no botão Recarregar as Configurações, ou se você preferir, pode mexer em todas as paginas e por último clicar no botão Recarregar as Configurações. 29
No caso do anti-vírus ele não está sob GPL ( módulo de segurança I) e não está instalado, mas a página dele seria assim: 30
Nesta outra página podemos escolher o tipo de autenticação que pode ser nenhuma, autenticação na base LDAP ou autenticação na base do AD. 31
Nesta outra página podemos definir o tamanho do nosso cache ( área de disco onde vão ficar armazenadas as páginas baixadas. Normalmente um bom número seria entre 1000 e 5000 dependendo da quantidade de memória RAM de sua maquina e do tamanho do seu disco. 32
Neste podemos controlar a banda total que o squid pode ter para sí. Imagine que você tem um link com a Internet de 10M e deseja que o acesso a pagina como um todo não passe de 6M do seu link. Basta então colocar a velocidade máxima que todos terão no acesso a Internet. Se houver 1 usuário usando o squid ele irá trafegar com a velocidade máxima de 6M. Se houverem 2 usuário cada um terá a velocidade de 3M cada e assim por diante. 33
Aqui você pode definir por quais portas seu squid vai responder as requisições. Lembre-se sempre de marcar apenas as portas da sua rede interna. Obs.: não basta definir as portas do squid somente aqui. É necessário também liberar as mesmas portas no firewall na parte de Portas serviços para o firewall. 34
Este é o mesmo módulo de segurança I utilizado na parte de antivirus tambem que não está sob GPL e deve ser contratado a parte caso se deseje. 35
Nesta página você pode colocar regras específicas que você não consiga colocar pelo menu dos usuários/grupos/geral. Estas regras serão as primeiras regras a serem lidas! E devem ser escritas usando-se a sintaxe do squid 3.x. Depois de inseridas as regras clique no botão salvar e depois no botão Recarregar Configurações. 36
Ok, até este ponto vimos as configurações básicas do squid. Vamos agora definir as configurações de acesso dos usuarios/grupos/geral. Para o acesso, lembre-se que o squid segue as regras da seguinte forma: regras cliente são lidas em 1º lugar regras de usuário são lidas em 2º lugar regras de grupos são lidas em 3º lugar regras gerais são as últimas regras a serem lidas Lembre-se tambem que nesta versão do squid só é possível considerar os usuários e grupos de uma base de autenticação LDAP. Tendo-se isto em mente, qual é a melhor forma de se configurar o squid para acesso a Internet? Mostramos o roteiro do FAQ que está na página http://www.contatogs.com.br/index.php/faq/conf-squid.html que transcrevemos aqui. Como eu configuro o squid? Bem antes de começarmos é importante dizer que o squid tem o papel de fazer proxy e cache de páginas. Ele trabalha com os protocolos http, https e ftp. a) como eu faço a configuração? A configuração do squid foi feita pensando da seguinte forma : Primeiro eu configuro a parte geral ( Zeus -> Usuarios/Grupos/Geral -> Geral -> Navegação Squid). Agora se sua empresa tem algum grupo em específico que precisa de regras mais restritas ou mais abertas que a configuração do geral você pode configurar estes grupos em Zeus -> Usuarios/Grupos/Geral -> Grupos -> Navegação Squid. E ainda se sua empresa necessita configurar um usuário que não se adeque as regras gerais nem aos grupos, você pode configurar este usuário em Zeus -> Usuarios/Grupos/Geral -> Usuários -> Navegação Squid. b) Como são lidas as regras? As regras são sempre lidas passando primeiro pelas regras do cliente, depois configurações do usuário, depois pelas configurações dos grupos e por último as regras gerais. Ainda falando nas regras ele as analisa na ordem no qual aparecem na interface do seu navegador, ou seja, a URL que seu usuário colocou no navegador vai passar pelos filtros na seguinte ordem: LISTA BRANCA DOMÍNIO LISTA BRANCA URL LISTA BRANCA URL PATH LISTA NEGRA DOMÍNIO LISTA NEGRA URL LISTA NEGRA URL PATH MAIS DE 4 NAVEGADORES ( SOMENTE PARA USUÁRIO E GERAL) REDES SOCIAIS MSN SKYPE RÁDIO VÍDEO STREAMING 37
c) como eu bloqueio totalmente o acesso de um usuário? Basta colocar na conf do mesmo em Zeus -> Usuarios/Grupos/Geral -> Usuários -> Navegação Squid ->Lista Negra URL a seguinte instrução: ^http:// salvar e depois clicar no botão Recarregar Configurações. d) como eu libero totalmente um usuário para acessar qualquer página? Basta colocar na conf do mesmo em Zeus -> Usuarios/Grupos/Geral -> Usuários -> Navegação Squid ->Lista Branca URL a seguinte instrução: ^http:// salvar e depois clicar no botão Recarregar Configurações. e) e se eu quizer em vez de bloquear/liberar um usuário liberar/barrar um grupo ou geral? Coloque a mesma sintaxe acima no Grupo ou no Geral. f) eu bloqueie um usuário usando a regra c) acima e deixei o msn e o skype em permitir, mas mesmo assim o usuário não consegue usar nem o msn nem o skype... Sim pois para o usuário/grupo/geral as regras são lidas seguindo a ordem de cima para baixo. Como você colocou a expressão ^http:// na Lista Negra URL, você bloqueou TUDO e as regras de msn e skype não serão lidas. g) Eu coloquei a expressão ^http:// acima na Lista Negra URL do grupo do comercial, salvei, cliquei no botão e mesmo assim o usuário consegue acessar alguns sites. O que ocorre? Bem possivelmente você colocou uma regra específica para este usuário e como o squid sempre lê na ordem as confs do usuário, depois dos grupos depois as gerais ele deve estar liberado nas regras específicas do usuário. Como vimos acima esta é a ordem de regras a serem seguidas. Vamos ver a seguir algumas das páginas de configurações de usuários/grupos e geral. Como você notará elas são muito semelhantes entre sí. 38
Entrando na configuração de usuários/grupo/geral. 39
Entrando na Configuração Geral Podemos em primeiro lugar definir os horários. Vejam que temos 3 horários que podem ser definidos/mudados. Por padrão deixamos tudo configurado no horário 1 que vai de segunda a domingo das 00:00 as 23:59hs. Por exemplo: você que definir que seus usuários acessem as redes sociais ( orkut, facebook, likedin etc ) no horário do almoço que vai das 12:00 as 14:00hs, você por fazer o seguinte: mude o horário 2 para segunda a sexta feira das 12:00 as 14:00hs em redes sociais clique para Permitir e mude para horário2. Pronto somente nestes dias/horários seus usuários poderão acessar as redes sociais. Mas se eu quisesse que eles acessassem também de manhã é possível? Não, a não ser que você crie nas Regras Cliente ( digitando). É justamente para isto que criamos regras de usuário, grupo e gerais para que você possa selecionar determinado usuário ou grupo que tem uma maior restrição ou liberação que os demais usuários/grupos. 40
Abaixo a sintaxe usada nas listas. Para visualizar passe o mouse em cima da palavra lista e clique nela. Um uso típico é colocar em um squid que tenha autenticação LDAP alguns links que qualquer usuário que não tenha login e senha e que tenha configurado o squid possa acessar sem ter que pedir autenticação. Outro uso típico é que você colocou uma pagina para ser bloqueada nas listas negras, mas parte deste site você quer liberar. Como fazer? Basta colocar na lista branca em Lista Branca URL a palavra que leva a parte deste site. 41
Se quisermos criar uma regra para um usuário em específico da base LDAP, temos primeiro que escolher o usuário conforme a tabela abaixo quando selecionamos zeus usuarios/grupos/geral navegação squid usuarios estes são os usuários na base do LDAP que podemos selecionar. 42
Quando selecionamos um usuário veja que aparecem alguns símbolos: o primeiro simbolo de uma pagina permite criar novas regras para este usuário. o segundo permite editar regras existentes para este usuário. o terceiro permite copiar regras deste usuário. o quarto permite colar regras de um usuario selecionado anteriormente para este novo usuário. O último permite excluir todas as regras de squid deste usuário selecionado. Para a configurações dos grupos valem as mesmas regras vistas até o momento para o geral e usuários. 43
3.3 configuração do IPS O ips tem um papel fundamental na área de segurança. É ele quem faz o meio de campo entre o firewall e o IDS ( SNORT), mandando o firewall bloquear as tentativas de invasão. Vamos começar com a configuração da ferramenta. Em Danger level mudamos a sensibilidade da ferramenta, que vai de 1 a 5. Por exemplo um danger level 3 significa que são necessários 150 pacotes para a ferramenta bloquear o agressor. O tempo de bloqueio é especificado logo abaixo em segundos. Por padrão a ferramenta nunca bloqueia a rede interna configurada na 1ª instalação da placa eth0, mas pode bloquear o IP da Internet. Caso isto aconteça, você deve marcar o ip da Internet na aba Nunca mais Bloquear e clicar no botão Enviar. Se algum ip de um cliente ao qual eu conheça o seu IP estivesse bloqueado, bastaria selecionar no Nunca mais Bloquear e logo a seguir clicar no botão Enviar. Com isto mesmo que a ferramenta identifique um possível ataque ela nunca mais bloqueará aquele ip. Na dúvida selecione o ip do atacante na aba do Desbloquear e a seguir clique no botão Enviar. Fazendo isto o ip do suposto atacante será desbloqueado e a contagem zerada. Caso o ataque continue ele será bloqueado novamente. 44
3.4 Configurando o Openvpn Para a configuração do Openvpn é necessário criar primeiro os certificados. Na primeira tela clique em configuração Openvpn e aparecerá a lista dos usuários já cadastrados no sistema e mais abaixo uma tela de relatório mostrando os atuais usuários e os respectivos ips da rede openvpn. 45
Mesmo que o certificado não tenha sido criado, na tela do openvpn ele mostrará a seguinte configuração quando se quer criar um cliente do openvpn e ainda não foi criado o certificado. Para isto Clique no usuário desejado( no exemplo acima escolhemos o usuário pauloric que não está cadastrado no relatório de usuáriox ip do openvpn e portanto não tem um certificado criado ainda. Basta clicar no editar( que é o simbolo da folha) que ela vai no certificadora criar certificado imediatamente. Apos criar o certificado do usuário volte os passos da criação do openvpn. Se o usuário já tiver um certificado criado para ele deve aparecer a seguinte tela abaixo: 46
Note que no certificado aparece a legenda este certificado esta dentro da validade e aqui você pode, se quiser revogar o certificado. Como neste caso queremos criar o cliente do openvpn, clique no editar na linha do openvpn. Escolha um dos IP's da rede do openvpn que ainda não foi escolhido para o cliente e clique em Enviar. Deve aparecer a tela logo abaixo: 47
Se estiver tudo ok clique em Criar e aparecerá a tela de redirecionamento e logo a seguir a tela inicial do openvpn logo abaixo: Após esta tela clique novamente no usuário criado. Agora basta clicar no simbolo do disquete para baixar o arquivo do openvpn que serve tanto em maquinas microsoft quanto em maquinas linux, abrir o arquivo e seguir as instruções dele. 48
3.5 Vendo os relatórios do módulo Cérberus Alguns relatórios desta solução já podem vistos: Network Usage (NTOP) nesta relatório você tem acesso a tudo o que a sua máquina acessa em termos de rede. Acostume-se com este relatório pois dentro dele tem várias informações interessantes, principalmente quem usa o módulo Cérberus. Firewall mostra as conexões que estão sendo bloqueadas no firewall. SNORT mostra a ferramenta de IDS e as assinaturas de ataque, tanto da rede interna como da rede externa. VPN-OpenVPN permite realizar busca e saber quem se logou via openvpn dentro de um determinado período de tempo. Squid-SARG mostra os relatórios de acesso a navegação por usuário. LOAD BALANCE mostra como estão os links, tempo de resposta a ping, histórico dos links ( este relatório só aparece para quem tem o contrato do modulo de segurança III). 49
4 Configurações do módulo Hércules. O módulo hércules gerencia a parte do samba/cups. Vamos ver a tela de configuração do Samba: 4.1 Configuração das pastas do samba Neste você tem acesso direto somente ao arquivo de configuração das pastas do samba. 50
4.2 Configurações dos usuários no samba 3.x Acesse o zeus senhas painel como foi mostrado na instalação do módulo base. Para inserir um usuário no samba 3.x edite o usuário e clique na aba Samba. Clique no botão adicionar uma extensão Samba3 51
Na tela acima confira as informações de seu usuário no Samba e depois clique no botão Salvar. 52
Na tela abaixo clique no Grupo para criar os grupos do samba ou para incluir o usuário no grupo. PS não se esqueça de mudar o sufixo da procura da base LDAP...80) Sufixo:contatogs > com > br computers > contatogs > com > br domains > contatogs > com > br groups > contatogs > com > br Idmap > contatogs > com > br painel > contatogs > com > br sudoers > contatogs > com > br users > contatogs > com > br depois de adicionar o usuário nos grupos, clique em salvar 53
4.3 Configuração do DHCP Para configurar o Dhcp ( baseado no pacote isc-dhcp-server), clique no zeus usuarios/grupos/geral geral DHCP Altere os dados que você achar necessários e depois clique no botão Recarregar Configurações 54
Para colocar um servidor ou um usuário na base do dhcp configurando este usuário com IP fixo no dhcp clique no zeus usuarios/grupos/geral usuarios. Escolha o usuário e clique no DHCP. Adicione o ip fixo para este usuário e insira o MAC ADDRESS da placa de rede deste usuário. 55
4.4 Configuração do Cups Para configurar o CUPS, entre como usuario administrador na console e digite: lynx http://localhost:631 Configure o cups para as impressoras locais ou via IP que você tenha em sua rede local. 4.5 Relatórios da solução Hércules. Abaixo o relatório que permite você identificar os tipo de de arquivos instalados no servidor samba e a possibilidade de removê-los sem necessitar entrar em linha de comando..80) Entre em zeus relatórios duplicados se quiser remover algum arquivo clique no box e no botão excluir. 56
5 Configuração do Hades O módulo Hades está baseado na solução conhecida como Backuppc que permite ter um backup dos arquivos da rede. Para acessar: zeus BackupHD Veja a tela principal abaixo: 57
6. Changelog 26.12.2013 versão 3.3.0 inserindo as modificações no openvpn 11.11.2013 versao 3.2.0 inserindo a certificadora e nova imagem do painel 16.09.2013 versao 3.0.1 mudando a imagem do psad para a nova versão. 58