Versão 04/02/2013 - Aker Security Solutions

Transcrição

Versão 04/02/2013
Índice
Índice ......................................................................................................................... 2
Índice de Figuras ............................................................................................................... 4
1.
Introdução ......................................................................................................11
2.
Utilizando a Interface Remota .......................................................................16
2.1.
Iniciando a interface remota ...................................................................................18
2.2.
Finalizando a administração remota .......................................................................34
2.3.
Mudando sua senha de usuário .............................................................................34
2.4.
Visualizando Informação de Sessão ......................................................................36
3.
Administrando usuários ................................................................................39
3.1.
Utilizando a Interface Remota ................................................................................39
3.2.
Utilizando a Interface Texto ....................................................................................49
4.
Configurando os parâmetros configurações do sistema ...........................54
4.1.
Utilizando a Interface Remota ................................................................................54
4.2.
Utilizando a Interface Texto ....................................................................................65
5.
Cadastrando Entidades .................................................................................70
5.1.
Planejando a instalação .........................................................................................70
5.2.
Cadastrando entidades utilizando a Interface Remota ...........................................73
5.3.
Utilizando a interface de texto ..............................................................................101
5.4.
Utilizando o Assistente de Entidades ...................................................................104
6.
Configurando as Ações do sistema ...........................................................111
6.1.
Utilizando a Interface Remota ..............................................................................111
6.2.
Utilizando a Interface Texto ..................................................................................115
7.
Visualizando Eventos do sistema ..............................................................121
7.1.
Utilizando a Interface Remota ..............................................................................122
7.2.
Formato e significado dos campos das mensagens de eventos ..........................129
7.3.
Utilizando a Interface Texto ..................................................................................130
8.
Utilizando o Gerador de Relatórios ............................................................134
8.1.
Acessando Relatórios...........................................................................................134
8.2.
Configurando os Relatórios ..................................................................................135
8.3.
Lista dos relatórios disponíveis.............................................................................141
9.
9.1.
Exportação Agendada de Eventos .............................................................143
Acessando a Exportação Agendada ....................................................................143
© Aker Security Solutions
2
9.2.
Configurando a Exportação ..................................................................................144
10.
Configurando parâmetros de autenticação ...............................................149
10.1.
Utilizando a Interface Remota ...........................................................................149
10.2.
Utilizando a Interface Texto...............................................................................164
11.
Perfil de Acesso de Usuários......................................................................168
11.1.
Planejando a instalação ....................................................................................168
11.2.
Cadastrando perfis de acesso...........................................................................169
11.3.
Associando Usuários com Perfis de Acesso .....................................................190
12.
Perfil de Acesso de Usuários......................................................................196
12.1.
Visualizando e Removendo Usuários Logados no Aker Web Gateway ............196
12.2.
13.
Quotas ..........................................................................................................202
13.1.
Utilizando as quotas ..........................................................................................202
13.2.
Editando os parâmetros do Uso da Quota ........................................................203
14.
Configurando Filtro Web .............................................................................208
14.1.
14.2.
Editando os parâmetros do Filtro Web ..............................................................210
14.2.1. Editando os parâmetros de Cache ....................................................................233
14.3.
15.
Editando os parâmetros Sessões Web .............................................................235
Configurando o Proxy MSN ........................................................................238
15.1.
15.2.
Editando os parâmetros do Proxy Messenger ..................................................239
16.
Utilizando as Ferramentas da Interface Remota .......................................246
16.1.
Chaves de Ativação ..........................................................................................246
16.2.
Salvar configurações .........................................................................................247
16.3.
Carregar configurações .....................................................................................248
16.4.
DNS Reverso ....................................................................................................250
16.5.
Atualizações ......................................................................................................251
16.6.
Janela de Alarmes.............................................................................................256
16.7.
Visualizando o Estado dos Agentes Externos ...................................................258
16.8.
Visualizando estatísticas do sistema .................................................................260
16.9.
Utilizando a Interface Texto nas Chaves de Ativação .......................................262
17.
Configurações TCP/IP .................................................................................264
3
17.1.
DHCP ................................................................................................................265
17.2.
DNS...................................................................................................................268
17.2.1. Interfaces de Rede ............................................................................................269
17.3.
Roteamento.......................................................................................................274
17.3.1. Geral .................................................................................................................275
17.4.
18.
Utilizando a Interface Texto na Configuração TCP/IP .......................................276
Configurando Proxy SSL Reverso .............................................................283
18.1.
Editando os parâmetros de um contexto SSL ...................................................283
18.2.
Configurando regras de Proxy SSL Reverso ....................................................287
19.
19.1.
20.
Proteção de Flood........................................................................................289
Utilizando a Interface Remota para Proteção de Flood .....................................290
Configurando o Web Gateway em Cluster.................................................293
20.1.
Planejando a Instalação ....................................................................................293
20.2.
Configuração do Cluster....................................................................................294
20.3.
Estatística do Cluster ........................................................................................300
20.4.
21.
Aker Web Gateway.......................................................................................305
22.
Apêndica A – Mensagens do Sistema ........................................................309
22.1.
Mensagens dos eventos do Aker Web Gateway ...............................................309
22.1.1. Eventos gerados pelo Filtro Web ......................................................................323
22.1.2. Eventos gerados pelo Proxy MSN ....................................................................326
Índice de Figuras
Figura 1 - Acessando o Aker Control Center 2............................................................18
Figura 2 - Janela de Acesso: Menu opções. ...............................................................19
Figura 3 - Tempo de sessão ociosa. ...........................................................................20
Figura 4 - Esconder regras..........................................................................................20
Figura 5 - Desabilitar perguntas. .................................................................................20
Figura 6 - Escolha do idioma que deseja acessar o Aker Control Center. ..................21
Figura 7 - Cor de fundo do Aker Control Center..........................................................21
Figura 8 - Selecionar cor. ............................................................................................22
Figura 9 - Botão: Padrão. ............................................................................................22
Figura 10 - Aviso de sair do programa. .......................................................................22
Figura 11 - Menu Janelas............................................................................................23
4
Figura 12 - Janela de Acesso: dispositivo remoto. ......................................................23
Figura 13 - Janela de Acesso: Entidades. ...................................................................24
Figura 14 - Janela de Acesso: janelas. .......................................................................24
Figura 15 - Configuração Automática de Atualização. ................................................24
Figura 16 - Notificador de Atualizações. .....................................................................25
Figura 17 - Notificador de Instalação de Atualizações. ...............................................25
Figura 18 - Atualizações prontas.................................................................................26
Figura 19 - Informações sobre o item: Sobre .............................................................26
Figura 20 - Janela de Acesso: Aker Web Gateway. ....................................................27
Figura 22 – Botão: Criar novo dispositivo remoto. ......................................................28
Figura 25 – Ícone utilizado para o carregamento de arquivo. .....................................31
Figura 26 - Ícone utilizado para mostrar informações do certificado. ..........................31
Figura 27 - Tipos de autenticação (usuário, domínio e senha) para editar o Dispositivo
Remoto........................................................................................................................32
Figura 28 – Botão Conectar. .......................................................................................33
Figura 31 – Botão: Sair deste programa. ....................................................................34
Figura 32 – AWG menu Ferramentas .........................................................................35
Figura 33 – Mudar senha ............................................................................................35
Figura 34 – AWG menu Informação............................................................................36
Figura 35 – Informação de sessão ..............................................................................37
Figura 0-16 – AWG menu configurações ....................................................................39
Figura 37 – Usuários administradores ........................................................................40
Figura 38 – Aba Agentes externos ..............................................................................44
Figura 39 – Aba X.509 ................................................................................................46
Figura 40 – Interface Texto .........................................................................................49
Figura 41 – Inclusão de usuário ..................................................................................50
Figura 42 – Remoção de usuário ................................................................................51
Figura 43 – Listagem de usuários ...............................................................................51
Figura 44 – Compactação do arquivo de usuários ......................................................52
Figura 45 – Menu Configurações (Parâmetros de configuração) ................................54
Figura 46 – Aba Global ...............................................................................................55
Figura 47 – Aba Log....................................................................................................57
Figura 47 – Aba SNMP ...............................................................................................60
Figura 48 – Aba Serviços ............................................................................................62
Figura 49 – Data/Hora .................................................................................................64
Figura 50 – Entidades .................................................................................................74
Figura 51 - Entidades ..................................................................................................74
Figura 52 – Entidade tipo Máquina .............................................................................76
Figura 53 – Entidade tipo Rede...................................................................................77
Figura 54 – Entidade tipo Conjunto .............................................................................78
Figura 55 – Adicionando entidades .............................................................................80
5
Figura 56 - Lista de categorias ...................................................................................81
Figura 57 – Lista de padrões de Busca .......................................................................82
Figura 58 - Quota ........................................................................................................83
Figura 59 – Lista de e-mails ........................................................................................84
Figura 60 – Lista de e-mails (menu de opções) ..........................................................85
Figura 61 – Agentes externos .....................................................................................86
Figura 62 – Agente externo (Autenticador ) ................................................................88
Figura 63 – Autoridade Certificadora ..........................................................................89
Figura 64 – Pseudo-Grupo ..........................................................................................90
Figura 65 – (Módulo de antivírus e Servidor de log Remoto) ......................................91
Figura 66 – Autenticador LDAP...................................................................................92
Figura 67 – Autenticador Radius .................................................................................94
Figura 68 - Serviço ......................................................................................................96
Figura 69 – Lista de tipos de arquivos ........................................................................98
Figura 70 – Adicionando tipo de arquivo .....................................................................98
Figura 71 - Canais .......................................................................................................99
Figura 72 – Assistente de Entidades.........................................................................105
Figura 73 – Selecionando o tipo de entidade ............................................................106
Figura 74 – Adicionando endereço IP .......................................................................107
Figura 75 – Seleção de ícone ...................................................................................108
Figura 76 – Entidade esta pronta para ser utilizada ..................................................109
Figura 77 – Aker Web Gateway ( Ações) ..................................................................111
Figura 78 – Aba Mensagens de eventos ...................................................................112
Figura 79 – Opções de ações ...................................................................................112
Figura 80 – Ações (aba Parâmetros) ........................................................................114
Figura 81 – Auditoria (Eventos).................................................................................122
Figura 82 – Barra de ferramentas (Eventos) .............................................................122
Figura 83 – Filtro de eventos.....................................................................................124
Figura 84 – Eventos ..................................................................................................127
Figura 85 – Janela de exportação .............................................................................129
Figura 86 – Auditoria (Relatório) ...............................................................................134
Figura 87 – Relatório .................................................................................................135
Figura 88 – Configuração de relatório aba Geral ......................................................136
Figura 89 – Configuração de relatório aba Sub-relatorio ..........................................137
Figura 90 – Configuração de relatório aba Método de Publicação (FTP) .................139
Figura 91 – Configuração de relatório aba Método de Publicação (SMTP) ..............140
Figura 92 – Auditoria (Exportação agendada de eventos ) .......................................143
Figura 93 – Exportação agendada de eventos..........................................................144
Figura 94 – Aba Geral ...............................................................................................145
Figura 95 – Aba Método de Publicação (FTP) ..........................................................146
Figura 96 ...................................................................................................................147
6
Figura 97 – Configuração (Autenticação) ..................................................................149
Figura 98 – Aba Controle de Acesso ........................................................................150
Figura 99 – Autenticação de acesso: Listagem de grupos ou usuários ...................151
Figura 100 – Autenticação de acesso: Escolha do perfil desejado. .........................152
Figura 101 – Aba Métodos ........................................................................................153
Figura 102 - Autenticação de acesso: Adicionar entidades ......................................155
Figura 103 - Autenticação de acesso: Remover entidades .......................................155
Figura 104 – Aba Token ............................................................................................156
Figura 105 – Aba PKI ................................................................................................157
Figura 106 – Aba Autenticação para proxies ............................................................158
Figura 0-2 – Aba Autenticação Local ........................................................................159
Figura 0-3 – Menu para inclusão de usuário .............................................................159
Figura 109 - Criar ou remover grupos .......................................................................160
Figura 110 – Autenticação (Alteração de senha ou grupo) .......................................160
Figura 111 – Aba Controle de Acesso por IP ............................................................161
Figura 112 – Aba NTLM ............................................................................................162
Figura 113 – Autenticação Java ................................................................................164
Figura 114 – Configuração (Perfis) ...........................................................................169
Figura 115 – Perfis ....................................................................................................170
Figura 116 – Opções de configuração de perfil.........................................................171
Figura 117 – Perfis (Geral) ........................................................................................172
Figura 118 – Perfis (FTP/GOPHER) .........................................................................173
Figura 120 – HTTP/HTTPS .......................................................................................177
Figura 121 – Aplicação (Bloqueio de banners) .........................................................178
Figura 122 – Bloqueio de banners .................................................................................
Figura 123 – Aba Filtro de Url ...................................................................................181
Figura 124 – Menu de opções (Filtro de Url) .............................................................182
Figura 125 – Aba Arquivos Bloqueados ....................................................................184
Figura 126 – Opções de operação ............................................................................185
Figura 127 – MSM Messenger (Perfis) .....................................................................187
Figura 128 – Menu de opções (MSN Messenger).....................................................188
Figura 129 – Configurações (Autenticação) ..............................................................190
Figura 130 – Autenticação ........................................................................................191
Figura 131 – Escolha de usuário...............................................................................192
Figura 132 – Menu de opções...................................................................................192
Figura 133 – Autenticação (Aba Controle de Acesso) ..............................................193
Figura 134 – Informação ( Usuários conectados) .....................................................196
Figura 135 – Usuários conectados............................................................................197
Figura 136 – Informação (Uso de quotas) .................................................................203
Figura 137 – Uso de quotas – agrupamento por usuário ..........................................204
Figura 138 - Uso de quotas – agrupamento por quota.............................................205
7
Figura 139 - Conexão (Internet, rede interna, firewall e DMZ. ..................................209
Figura 140 – Aplicação (Filtro Web) ..........................................................................210
Figura 141 – Filtro Web (aba Geral)..........................................................................211
Figura 142 – Filtro Web (aba Cliente de autenticação) .............................................215
Figura 143 – Filtro web (aba Controle de conteúdo) .................................................217
Figura 144 – Filtro web (aba Tipos de Arquivo) ........................................................220
Figura 145 – Opções de operação ............................................................................223
Figura 146 – Filtro web (aba Tipo de Arquivo – AV On Line) ....................................224
Figura 147 – Filtro web (aba Antivírus) .....................................................................225
Figura 148 – Filtro web (aba SSL) ............................................................................228
Figura 149 – Filtro web (aba Avançado - Filtro de navegador) .................................229
Figura 150 – Filtro web (aba Avançado – Reescrita de URLs) .................................230
Figura 151 – Filtro web (aba Avançado – Stripping do cabeçalho HTTP).................231
Figura 152 – Aplicação (Cache) ................................................................................233
Figura 153 - Cache ...................................................................................................233
Figura 154 – Configuração do nodo de cache ..........................................................234
Figura 155 – Sessões web ........................................................................................235
Figura 156 – Aplicação (Proxy Messenger) ..............................................................239
Figura 157 – Proxy Messenger (aba Tipo de Serviço) ..............................................240
Figura 158 – Proxy Messenger (aba Mensagens) ....................................................242
Figura 159 – Proxy Messenger (aba Controle de Acesso) ........................................243
Figura 160 – Proxy Messenger (aba Configurações) ................................................243
Figura 161 – Janela de ativação de Licença .............................................................247
Figura 162 – Icone para salvar configurações ..........................................................248
Figura 163 – Janela para salvar configurações.........................................................248
Figura 164 – Icone para carregar configurações.......................................................248
Figura 165 – Janela para carregar configuração.......................................................249
Figura 166 – Ferramentas (DNS reverso) .................................................................250
Figura 167 – DNS reverso.........................................................................................251
Figura 168 – Janela de atualização do sistema ........................................................252
Figura 169 – Janela para carregar um arquivo de atualização .................................254
Figura 170 – Sistema de Atualização (aba Histórico) ...............................................255
Figura 171 – Ferramentas (Janela de alarmes) ........................................................256
Figura 172 – Janela de alarmes ................................................................................257
Figura 173 – Informação (Agentes externos) ............................................................258
Figura 174 – Agentes externos .................................................................................259
Figura 175 – Informação (Estatísticas do sistema) ...................................................260
Figura 176 – Estatística do sistema ..........................................................................261
Figura 178 - DHCP. ...................................................................................................265
Figura 180 - Relay DHCP entre redes. .....................................................................267
Figura 181 - DNS. .....................................................................................................268
8
Figura 183 - Interfaces de rede. ................................................................................269
Figura 184 - Interfaces de redes. ..............................................................................270
Figura 185 - Menu: configuração ou modificação de endereço IP. ...........................271
Figura 188 - Roteamento. .........................................................................................274
Figura 190 – Modulo de configuração para interfaces de rede .................................276
Figura 191 – Configuração de interfaces ..................................................................277
Figura 192 – Lista das interfaces de rede .................................................................277
Figura 193 – Nome da interface ................................................................................278
Figura 194 – Configurar uma interface vlan filha.......................................................278
Figura 195 - configurar álias para a interface ............................................................279
Figura 196 - configurar interface para os novos valores ...........................................279
Figura 197 – Configuração de rotas estáticas ...........................................................280
Figura 198 – Confirmar nova configuração ...............................................................280
Figura 199 – Configuração DNS ...............................................................................281
Figura 200 – Configuração da rota padrão ...............................................................281
Figura 201 – Janela de propriedades de um contexto SSL – aba Geral (F5-aba
serviço)......................................................................................................................284
Figura 202 – Aba Certificado.....................................................................................286
Figura 203 – Configurando regras de proxy SSL reverso .........................................287
Figura 204 – Configurações (Proteção de flood).......................................................290
Figura 205 – Proteção de flood .................................................................................290
Figura 206 – Configurações (Configuração do cluster) .............................................295
Figura 207 – Criar Cluster .........................................................................................296
Figura 208 – Configuração do cluster .......................................................................297
Figura 209 – Adicionar novo Web Gateway no cluster .............................................299
Figura 210 – Informação (Estatística do Cluster) ......................................................300
Figura 211 - Estatística do Cluster (aba nod) ............................................................301
Figura 212 - Estatística do Cluster (aba Gráfico) .....................................................302
9
Introdução
10
1.
Introdução
Este é o manual do usuário da versão 1.5 do Aker Web Gateway. Nos próximos
capítulos você aprenderá como configurar esta poderosa ferramenta de proteção às
redes. Esta introdução tem como objetivo descrever a organização deste manual e
tentar tornar sua leitura o mais simples e agradável possível. Aker Web Gateway
será referenciado neste manual como AWG.
Como está disposto este manual.
Este manual está organizado em vários capítulos. Cada capítulo mostrará um
aspecto da configuração do produto e todas as informações relevantes ao aspecto
tratado.
Todos os capítulos começam com uma introdução teórica sobre o tema a ser
tratado seguido dos aspectos específicos de configuração do Aker Web Gateway.
Juntamente com esta introdução teórica, alguns módulos possuem exemplos
práticos do uso do serviço a ser configurado, em situações hipotéticas, porém
bastante próximas da realidade. Buscamos com isso tornar o entendimento das
diversas variáveis de configuração o mais simples possível.
Recomendamos que este manual seja lido pelo menos uma vez por inteiro, na
ordem apresentada. Posteriormente, se for necessário, pode-se usá-lo como fonte
de referência (para facilitar seu uso como referência, os capítulos estão divididos em
tópicos, com acesso imediato pelo índice principal. Desta forma, pode-se achar
facilmente a informação desejada).
Em vários locais deste manual, aparecerá o símbolo
seguido de uma frase
escrita em letras vermelhas. Isto significa que a frase em questão é uma observação
muito importante e deve ser totalmente entendida antes de prosseguir com a leitura
do capítulo.
Interface Texto e Interface Remota
O Aker Web Gateway possui duas interfaces distintas para sua configuração: uma
Interface Remota e uma Interface Texto local.
•
A Interface Remota
A Interface Remota é chamada de remota porque através dela é possível
administrar remotamente, via Internet, um Aker Web Gateway localizado em
qualquer parte do mundo. Esta administração é feita através de um canal seguro
entre a interface e o Aker Web Gateway, com um forte esquema de autenticação e
criptografia, de modo a torná-la totalmente segura.
11
A Interface Remota é de uso bastante intuitivo e está disponível para
plataformas Windows XPTM, Windows VistaTM, Windows 7TM, Windows 8TM e Linux e
sob demanda em outras distribuições Unix.
•
A Interface Texto
A Interface Texto é uma interface orientada à linha de comando que roda na
máquina onde o Aker Web Gateway está instalado. O seu objetivo básico é
possibilitar a automação de tarefas da administração do Aker Web Gateway
(através da criação de scripts) e possibilitar uma interação de qualquer script escrito
pelo administrador com o Aker Web Gateway.
Praticamente todas as variáveis que podem ser configuradas pela Interface Remota
poderão ser configuradas também pela Interface Texto.
Como as duas interfaces tratam das mesmas variáveis, a funcionalidade, os valores
e os comentários destas têm validade tanto para Interface Remota quanto para a
Interface Texto. Devido a isso, os tópicos referentes à Interface Texto normalmente
serão curtos e se limitarão a mostrar seu funcionamento. Caso tenha dúvida sobre
algum parâmetro, deve-se recorrer à explicação do mesmo no tópico relativo à
Interface Remota.
É possível o uso simultâneo de várias interfaces gráficas para um mesmo AWG,
entretanto apenas o primeiro a se conectar terá acesso de administração.
O Aker Web Gateway
A produtividade é fundamental para todas as empresas. Para isso, buscam utilizar
de forma racional seus recursos de rede. Apesar de a Web ser uma incrível
ferramenta de trabalho, ela também pode causar uma enorme queda na
produtividade. Definir algumas regras pode proteger seu negócio e seus
funcionários.
Páginas Web contêm programas que são usualmente inocentes e algumas vezes
úteis - por exemplo, animações e menus pop-up. Mas existem sites questionáveis e
maliciosos que nem sempre estão com as melhores intenções. Ao navegar na Web,
operadores de sites podem identificar seu computador na Internet, dizer quais
páginas você acessou, de que página você veio, usar cookies para criar um perfil
seu e instalar spywares em seu computador - tudo sem o seu conhecimento. Worms
destrutivos podem ainda entrar em seu sistema através de seu navegador.
O Aker Web Gateway foi desenvolvido para permitir que as empresas aproveitem
todos os benefícios da Internet, sem correr estes riscos e sem perder a
produtividade dos seus funcionários.
• Cookies: são informações que um servidor web pode armazenar temporariamente
junto a um browser. Os cookies são usados para manter informações de estado
12
enquanto você navega em páginas diferentes em um site da Web ou retorna ao site
da Web em um momento posterior.
;
• Spywares: são programas de computador que, em vez de serem úteis, tentam
rastrear alguma informação do computador, como os sites que são navegados,
programas que possui e outras informações do seu computador;
• Worms: é um software que tem objetivos maliciosos. Neles se incluem: trojans,
vírus e spywares.
Além de atividades maliciosas instigadas por usuários externos, os negócios podem
ser colocados em uma posição vulnerável por funcionários que se engajarem em
uma atividade ilegal e/ou indesejável durante o horário de trabalho e usando
computadores da empresa.
Características do Aker Web Gateway?
• Possui cache interno e permite a configuração hierárquica de cachês;
• Realiza autenticação de usuários (via applet java ou outro método);
• Opera em modos transparente e não transparente;
• Suporta os protocolos HTTP , FTP e HTTPS;
• Possui antivírus interno;
• Possibilidade em trabalhar com antivírus externo;
• Faz a filtragem de categorias por usuários, grupos e endereços IP;
• Suporta filtragem de categorias por horário, possibilita a criação de novas
categorias pelo administrador do sistema;
• Possibilita a criação de novas categorias pela Aker (que deverão ser baixadas
automaticamente, sem a necessidade de realização de upgrades ou instalação de
patches);
• Permite a limitação da navegação por tempo (estimando o tempo de acesso de
cada página), kbytes e tempo de login (número de horas logado, mesmo sem
acessar nenhuma página);
• Possui sistema de quota de navegação flexível, com a opção da criação de cotas
diárias, semanais, mensais ou únicas (é uma cota fixa de navegação que uma vez
utilizada não é renovada), por usuário, grupos ou endereços IP;
• O produto é gerenciado remotamente pelo Aker Control Center;
13
• Permite a criação de diversos relatórios, por exemplo: categoria dos sites
acessados, MSN - Duração do chat , quota bytes consumidos, sites bloqueados por
usuário, downloads bloqueados por usuário, sites por usuário e categorias
bloqueadas por usuário;
• Gera uma macro com a categoria de um site ao bloquear um acesso e redirecionálo para a página de bloqueio;
• Permite que se tenha páginas de redirecionamento personalizado;
• Filtragem de MSN Messenger;
• Autenticação transparente via NTLM.
Copyrights do Sistema
•
•
•
•
•
•
•
•
•
•
•
Copyright (c) 1997-2003 Aker Security Solutions;
Utiliza a biblioteca SSL escrita por Eric Young ([email protected]). Copyright ©
1995 Eric Young;
Utiliza o algoritmo AES implementação do Dr. B. R. Gladman
([email protected]);
Utiliza o algoritmo MD5 retirado da RFC 1321. Copyright © 1991-2 RSA Data
Security, Inc;
Utiliza a biblioteca CMU SNMP. Copyright© 1997 Carnegie Mellon University;
Utiliza a biblioteca de compressão Zlib. Copyright © 1995-1998 Jean-loup Gailly and
Mark Adler;
Utiliza a biblioteca QWT escrita por Josef Wilgen. Copyright © 1997;
Inclui software desenvolvido pela Universidade da California, Berkeley e seus
colaboradores;
Inclui software desenvolvido por Luigi Rizzo, Universita` di Pisa Portions Copyright
2000 Akamba Corp;
Inclui software desenvolvido por Niklas Hallqvist, Angelos D. Keromytis and Haan
Olsson;
Inclui software desenvolvido por Ericsson Radio Systems.
14
Utilizando a Interface Remota
15
2.
Neste capítulo mostraremos como funciona a Interface Remota de administração do
Aker Web Gateway. Aker Web Gateway será referenciado neste manual como
AWG.
O que é a administração remota do Aker Web Gateway?
O Aker Web Gateway pode ser totalmente configurado e administrado remotamente
a partir de qualquer máquina que possua um sistema operacional compatível com
uma das versões da interface remota, que tenha TCP/IP e que consiga acessar a
máquina na qual o AWG se encontra. Isto permite um alto grau de flexibilidade e
facilidade de administração, possibilitando que um administrador monitore e
configure vários Aker Web Gateways a partir de sua estação de trabalho.
Além dessa facilidade, a administração remota permite uma economia de recursos
na medida em que possibilita que a máquina que rode o Aker Web Gateway não
possua monitor e outros periféricos.
Como funciona a administração remota do Aker Web Gateway?
Para possibilitar a administração remota existe um processo rodando na máquina do
Aker Web Gateway responsável por receber as conexões, validar os usuários e
executar as tarefas solicitadas por estes usuários. Quando um usuário inicia uma
sessão de administração remota, a Interface Remota estabelece uma conexão com
o módulo de administração remota do Aker Web Gateway e mantém esta conexão
aberta até que o usuário finalize a sessão.
Toda a comunicação entre a interface remota e o Aker Web Gateway é feita de
maneira segura, utilizando-se criptografia e autenticação. Para cada sessão são
geradas novas chaves de criptografia e autenticação. Além disso, são empregadas
técnicas de segurança para impedir outros tipos de ataques, como por exemplo:
ataques de repetição de pacotes.
Seguem comentários
administração remota:
sobre
algumas
observações
importantes
sobre
a
1. Só é possível a abertura de uma conexão de administração remota em um
determinado instante. Se já existir uma interface conectada, pedidos
subsequentes de conexão irão assumir o status read-only e a interface remota
informará que já existe uma sessão ativa;
2. Cada um dos usuários que for utilizar a interface remota deve estar cadastrado
no sistema. O programa de instalação pode criar automaticamente um
administrador com poderes para cadastrar os demais administradores. Caso se
tenha eliminado este administrador ou perdido sua senha, é necessário o uso do
módulo local da Interface Remota ou da Interface Texto para criar um novo
16
administrador. Detalhes de como fazer isso se encontram no capítulo intitulado:
Administrando Usuários do Aker Web Gateway.
Como utilizar a interface
A interface é bastante simples de ser utilizada, entretanto, existe uma observação
que deve ser comentada:
Os botões, esquerdo e direito do mouse, tem funções diferentes na interface. O
botão esquerdo é usado para selecionar entradas em uma lista e para clicar em
botões. O botão direito tem como função mostrar um menu de opções para uma
determinada lista.
17
2.1. Iniciando a interface remota
Para iniciar a execução da Interface Remota deve-se executar um dos seguintes
passos:
•
Em máquinas Windows, clicar no menu ‘Iniciar’ e selecionar o ‘“Aker
Control Center 2’”.
É exibida a seguinte janela:
Figura 1 - Acessando o Aker Control Center 2.
•
Em Linux deve-se acessar o diretório de instalação do Control Center e
executar o seguinte script: 'aker_control_center2_init.sh'.
A janela mostrada acima é a principal do AWG e é a partir dela que se tem acesso a
todas as opções de configuração, inclusive à ativação da licença do Aker Web
Gateway (AWG). Sem ativação da licença não é possível realizar as configurações
subsequentes.
No primeiro acesso, todos os dados referentes à licença aparecem em branco e
habilitados para que o Administrador possa carregá-lo. A Licença de Uso consta em
18
um arquivo, que, será indicado após o botão ‘Carregar’ ter sido clicado, e assim
que forem confirmados, os dados carregados, a janela abre com todos os dados da
licença atual, então, surgirá uma janela confirmando e reiniciando o dispositivo.
Portanto clique no botão ‘Carregar’, no canto superior direito da interface:
A Interface Remota é composta de 4 menus descritos brevemente a seguir:
Opções
O menu ‘Opções’ contém as configurações relacionadas ao layout da Interface
Remota.
Figura 2 - Janela de Acesso: Menu opções.
Ao clicar neste menu, as seguintes opções aparecem:
•
•
Mostrar Tooltips: é uma dica de contexto. É aquela moldura pop up que
abre quando você passa o mouse sobre um elemento HTML (normalmente
uma palavra em um texto) e que contém uma explicação adicional sobre
aquele elemento que recebeu o ponteiro do mouse sobre ele.
Sessão ociosa: Permite definir o tempo máximo, em minutos, que a interface
permanecerá conectada ao AWG sem receber nenhum comando do
administrador. Assim que este tempo limite for atingido, a interface
automaticamente será desconectada do AWG, permitindo que uma nova
sessão seja estabelecida. Seu valor pode variar entre 1 e 60. A caixa ‘Sem
limite’ quando estiver marcada não desconectará a interface do AWG. O
Valor padrão é de 1 minuto. Após alterações clicar no botão ‘OK’, caso não
realize nenhuma alteração, clicar no botão ‘Cancelar’.
19
Figura 3 - Tempo de sessão ociosa.
•
•
•
Remoção: Caso deseje remover alguma regra, filtro, etc., será enviado uma
mensagem com um a pergunta se deseja realmente remover o item
selecionado;
Suprimir plugins inexistentes: caso não tenha um plugin da Aker instalado,
ao clicar nessa opção, será mostrada a mensagem do que está faltando.
Aker Web Gateways (Esta opção terá o nome que foi defino ao criar o
dispositivo remoto):Este menu serve para cadastrar mais Aker Web
Gateways na Interface Remota de modo que possibilite simultaneamente a
administração de diversos Aker Web Gateways. Com a interface conectada a
mais de um Aker Web Gateway simultaneamente, é possível usar a facilidade
de arrastar-e-soltar as entidades e regras entre Aker Web Gateways, de
modo a facilitar a replicação de determinadas configurações entre eles. Este
menu será descrito em detalhes mais abaixo.
Figura 4 - Esconder regras.
•
Esconder regras: colapsa as politicas de regra.
Figura 5 - Desabilitar perguntas.
•
Desabilitar perguntas
•
•
•
Assistente de regras de filtragem: assistente para a criação de
regras de filtragem;
Assistente de Nat: cria regras de Nat;
Verificador de regras: checagem das regras de filtragem para
verificar se não há regras sobrepostas.
20
•
Idiomas: é possível escolher em qual idioma deseja acessar a Interface
Remota (Inglês ou Português).
Figura 6 - Escolha do idioma que deseja acessar o Aker Control Center.
•
Editar cor de fundo: é possível escolher com qual cor de fundo deseja-se
trabalhar. Posteriormente serão dados maiores explicações;
Figura 7 - Cor de fundo do Aker Control Center.
o Formato: define o formato como deseja padronizar a tela do Aker Control Center:
o Pontos: podem-se alterar as cores finais e iniciais. Basta escolher a cor e
clicar no botão ‘OK’.
21
Figura 8 - Selecionar cor.
o Opção Padrão: Quando selecionada está opção a tela seguirá com uma
configuração padrão pré-determinada pela Aker.
Figura 9 - Botão: Padrão.
Após realizar as escolhas desejadas, clicar no botão ‘OK’.
•
Sair: Quando selecionada a opção sair surgirá à mensagem abaixo:
Figura 10 - Aviso de sair do programa.
Se clicar no botão ‘Sim’ a Interface Remota será fechada, se clicar no botão
‘Não’, a interface continua aberta.
22
Janelas
O Menu “Janelas” possui as funções de configuração das janelas abertas e da barra
de menu.
Figura 11 - Menu Janelas.
•
•
Barra de ferramentas: esta opção permite definir se a barra de ferramentas
na parte superior da janela principal será mostrada ou não.
Janelas: mostra o item de dispositivos remotos (essa opção também pode
ser acessada pressionando o botão do teclado ‘F9’).
Figura 12 - Janela de Acesso: dispositivo remoto.
•
Entidades: mostra as entidades (pode também ser acessada pressionando o
botão ‘F9’ do teclado).
23
Figura 13 - Janela de Acesso: Entidades.
•
•
Lado a Lado: selecionando esta opção, as janelas abertas do lado direito da
Interface Remota se ajustam de forma que todas aparecem visíveis.
Cascata: esta opção faz com que as janelas abertas no lado direito da
Interface Remota fiquem posicionadas em forma de cascata, uma na frente
da outra.
Janelas:
Figura 14 - Janela de Acesso: janelas.
•
Configuração de atualização automática: permite a configuração
automática. Nesta janela é possível ‘Habilitar atualização automática’,
‘Baixar atualizações automaticamente’, e ‘Habilitar atualizações dos
manuais’.
Figura 15 - Configuração Automática de Atualização.
Realizado as escolhas, basta clicar no botão ‘OK’.
24
•
Janelas de Atualizações: neste menu encontram-se os itens Janelas de
Downloads que mostram as atualizações que se deseja baixar.
Figura 16 - Notificador de Atualizações.
A janela ‘Notificador de Instalação de Atualizações' permite selecionar as
atualizações que se deseja instalar.
Figura 17 - Notificador de Instalação de Atualizações.
•
Busca por atualizações: Quando selecionada esta opção uma busca por
atualizações pendentes é realizada, conforme mostra imagem abaixo:
25
Figura 18 - Atualizações prontas.
•
Sobre: mostra informações sobre o Aker Control Center.
Figura 19 - Informações sobre o item: Sobre
Para encerrar, clicar no botão ‘OK’.
26
Aker Web Gateway
Figura 20 - Janela de Acesso: Aker Web Gateway.
Inicialmente nem todas as opções dos menus se encontram habilitadas, por
funcionarem apenas quando houver uma conexão estabelecida. Para ter acesso às
demais opções devem estabelecer uma sessão de administração remota com o
dispositivo que deseja administrar. Para tanto se devem seguir os seguintes passos:
Cadastrar o Aker Web Gateway selecionando o menu ‘Aker Web Gateway’ e a
opção ‘Novo dispositivo remoto’.
Selecionar o dispositivo com o qual se deseja conectar;
Clicar na opção Conectar.
•
•
•
•
•
•
•
Novo Dispositivo Remoto: Cadastra um novo disposto
Editar: realiza edições;
Excluir: exclui dispositivo;
Conectar ao dispositivo selecionado: conecta ao dispositivo;
Reiniciar dispositivo: reinicia o mesmo;
Desligar dispositivo: desliga o dispositivo remoto;
Salva backup automaticamente: os backups serão salvos.
Os itens descritos acima serão abordados nas próximas páginas.
27
•
Textos nos botões: marcando esta opção será mostrada juntamente com
cada ícone a ação correspondente do botão. Desmarcando esta opção, será
mostrado apenas o ícone.
•
Dicas para Entidades: quando esta opção estiver ativada, uma pequena
caixa com a descrição de cada entidade irá aparecer quando o mouse for
passado sobre seu ícone.
Figura 21 - Caixa de descrição de entidade.
•
Mostrar ícones nos botões: esta opção, se ativada, faz com que sejam
mostrados ícones nos botões ‘OK’, ‘Cancelar’ e ‘Aplicar’ das janelas.
Janelas: esta opção permite mostrar ou não as janelas padrão do sistema: ‘ajuda’,
‘AWG’ e ‘entidades’.
Cadastrando Gateways
Nesta seção demonstramos como cadastrar um ou mais AWGs quando
selecionamos a opção ‘Novo dispositivo remoto’ dentro do menu ‘Gateway’ ou no
ícone ‘Criar dispositivo remoto’.
Figura 22 – Botão: Criar novo dispositivo remoto.
Aparecerá a seguinte janela ‘Editar Dispositivo remoto’. Nessa janela, é possível
escolher o tipo de autenticação desejada. De acordo com cada opção a janela será
alterada, mostrando os campos correspondentes.
Tipo de Autenticação: Usuário/Senha
28
Figura 23 - Caixa de edição do dispositivo remoto.
Modo de demonstração: Quando selecionada essa opção, será criado um AWG de
demonstração com uma configuração padronizada. Nenhuma conexão real será
feita ao tentar se conectar neste dispositivo, podendo-se criar quantos AWGs de
demonstração for desejado, cada um com a configuração distinta um do outro;
Nome: cadastrar o nome pelo qual o dispositivo será referenciado na Interface
Remota;
Nome da máquina: Caso o servidor do AWG no qual se deseja conectar possua
um nome associado ao IP da máquina, basta colocar este nome nesta opção para
que o Control Center resolva o DNS automaticamente e se conecte no servidor;
Endereço IPv4 e IPv6: cadastrar o endereço IP para conectar no AWG;
Usuário: esse campo identifica o usuário que acessará o AWG. Este campo grava o
usuário, onde aparecerá todas as vezes que o AWG for acessado.
Senha: a senha do usuário. Caso deixe a caixa ‘Salvar Senha’ marcada, não será
necessário digitar a senha quando fizer a conexão (a senha aparecerá na tela como
vários asteriscos ’*’). Caso ela esteja desmarcada, este campo estará desabilitado.
A cada 3 tentativas inválidas, o cliente é bloqueado de acessar a Control Center por
3 minutos. A cada tentativa inválida gera-se um evento ‘Excesso de tentativas invalidas’
do módulo Daemons do AWG.
29
No final basta clicar em ‘OK’ e o dispositivo estará cadastrado, como o tipo de
autenticação selecionado. No caso de cancelar o cadastro do dispositivo, basta
clicar em ‘Cancelar’.
Tipo de Autenticação: X.509
Figura 24 - Informações requeridas para Editar o Dispositivo Remoto.
Essa opção permite autenticação com certificação digital X509.
Certificado da CA: representa o certificado raiz da autoridade certificadora, mostra
o Domínio (C.N) desse certificado.
30
Ao clicar no ícone mostrado abaixo, carrega-se um arquivo com extensão ‘*.cer/*.crt’
que contém o certificado.
Figura 25 – Ícone utilizado para o carregamento de arquivo.
O ícone a seguir, mostra um resumo das informações do certificado.
Figura 26 - Ícone utilizado para mostrar informações do certificado.
Certificado do Usuário: essa opção permite carregar um pacote de certificado no
formato PKCS#12. Ele desmembra o pacote em dois arquivos, um com o certificado
e outro com a chave. Carrega um certificado com uma senha e a outra senha é para
salvar o arquivo da chave, salvando assim, de forma encriptada.
Senha: Senha com a qual a chave primária foi salva. Se informar (cadastro), decifra
a chave e manda para o AWG fazer a autenticação. Caso deixe a caixa ‘Salvar
Senha’ marcada, não será necessário digitar a senha quando fizer a conexão (a
senha aparecerá na tela como vários asteriscos ‘*’). Caso ela esteja desmarcada,
este campo estará desabilitado.
Alterar Senha: Altera a senha cadastrada no campo senha.
Salvar Senha: Permite que a senha seja salva automaticamente.
31
Tipo de Autenticação: Agente externo usuário/senha
Figura 27 - Tipos de autenticação (usuário, domínio e senha) para editar o Dispositivo Remoto.
Essa opção permite autenticação por meio de Agentes Externos.
Usuário: O usuário que acessará o AWG. Este campo grava o usuário, é onde
aparecerá todas as vezes que o AWG for acessado.
Domínio: Nome do domínio no qual o agente externo está rodando
Senha: A senha do usuário. Caso deixe a caixa ‘Salvar Senha’ marcada, não será
necessário digitar a senha quando fizer a conexão (a senha aparecerá na tela como
vários asteriscos ‘*’). Caso ela esteja desmarcada, este campo estará desabilitado.
Fingerprint: É um resumo da identificação do certificado digital do AWG. Essa
opção possibilita ao usuário identificar quando tem uma mudança do AWG que se
costuma conectar.
Observação: Na primeira vez que há a tentativa da conexão não haverá a
identificação do AWG. A partir da segunda vez todas às vezes que é conectado vai
comparar com o fingerprint.
32
Eraser Fingerprint: Zera e começa do estado inicial. Se há uma troca do AWG a
identificação será diferente, então não será possível à conexão, somente se clicar
no erase fingerprint.
Depois de cadastrarmos o dispositivo, pode-se clicar duas vezes no ícone do AWG
criado, no lado esquerdo da janela, ou clicar uma vez para selecioná-lo e, em
seguida, no botão ‘Conectar’.
Figura 28 – Botão Conectar.
Ele fará com que a interface se conecte ao dispositivo escolhido, como mostrado na
figura abaixo:
Figura 29 - Interface conectada ao AWG escolhido.
33
2.2. Finalizando a administração remota
Existem três formas de finalizar a administração remota do Aker Web Gateway:
Finalizando a sessão clicando com o botão direito do mouse no AWG conectado e
selecionando ‘Desconectar do dispositivo remoto’;
Figura 30 - Desconectar do dispositivo remoto.
Clicando em ‘Desconectar do dispositivo remoto’ na barra de ferramentas
ou fechando a Interface Remota. Neste caso você perderá a conexão com todos os
dispositivos que estiverem conectados.
Caso queira sair do programa, deve-se clicar no botão ‘Sair’, na barra de
ferramentas da janela principal ou clicar no ‘x’ no canto superior direito da janela.
Figura 31 – Botão: Sair deste programa.
2.3. Mudando sua senha de usuário
É possível para qualquer usuário do AWG alterar a sua senha sempre que
desejado. Para tanto se deve primeiro estabelecer uma sessão de administração
(como mostrado no tópico Iniciando a interface remota) e após isso executar os
seguintes passos:
34
Figura 32 – AWG menu Ferramentas
•
•
•
Selecionar o Web Gateway a ser configurado.
Clicar em Ferramentas.
Clicar duas vezes em Mudar senha.
Será mostrada então a seguinte janela:
Figura 33 – Mudar senha
Deve-se digitar a senha anterior no campo Senha antiga e digitar a nova senha nos
campos Nova senha e Confirmar a nova senha (as senhas aparecerão na tela
como vários asteriscos "*").
Após preencher os campos, deve-se pressionar o botão OK, para alterar a senha ou
o botão Cancelar, caso não queira mudá-la.
35
2.4. Visualizando Informação de Sessão
É possível a qualquer momento visualizar algumas informações sobre a sessão de
administração ativa. Para isso existe uma janela específica que mostra informações
úteis como: login, nome e direitos do usuário que está administrando o Web
Gateway e a versão e o release do AWG que estiver sendo administrado. São
mostradas também a hora de início da conexão e há quanto tempo ela está ativa.
Para abrir esta janela, execute os seguintes passos:
Figura 34 – AWG menu Informação
•
•
•
Selecionar o Aker Web Gateway a ser configurado;
Clicar em Informação;
Clicar duas vezes em Informação de sessão.
Será mostrada então a seguinte janela:
36
Figura 35 – Informação de sessão
37
Administrando usuários
38
3.
Administrando usuários
Neste capítulo mostraremos como criar os usuários que irão administrar
remotamente o Aker Web Gateway. Aker Web Gateway será referenciado neste
manual como AWG.
Quem são os usuários do Aker Web Gateway?
Para que alguma pessoa consiga administrar remotamente o Aker Web Gateway é
preciso ser reconhecida e validada pelo sistema. Esta validação é feita na forma de
senhas, sendo que cada um dos administradores deverá ser previamente
cadastrado com um login e uma senha, já definindo as suas atribuições.
Além disso, o Aker Web Gateway permite a existência de vários administradores
distintos, cada um responsável por uma determinada tarefa da administração. Isso,
além de facilitar a administração, permite um maior controle e uma maior segurança.
3.1. Utilizando a Interface Remota
Para ter acesso à janela de administração de usuários, na interface remota deve-se:
Figura 6 – AWG menu configurações
•
•
Clicar em Configurações da janela do Aker Web Gateway que quer administrar
Selecionar o item Usuários Administrativos
39
Esta opção só estará habilitada se o usuário que estiver com a sessão aberta na
interface remota, tiver autoridade para gerenciar usuários. Isso será comentado em
detalhes no próximo tópico.
A janela de Usuários Administrativos
Aba usuários internos
Figura 37 – Usuários administradores
Esta janela consiste de uma lista de todos os usuários atualmente definidos para
acesso à administração do Aker Web Gateway, além de um segredo compartilhado
(ou senha), para administração centralizada pelo Aker Configuration Manager. Não
havendo o segredo compartilhado, a configuração será apenas efetuado pelos
usuários cadastrados.
Para cada usuário, é mostrado seu login, seu nome completo e suas permissões:
40
•
•
•
•
O botão OK fará com que a janela de administração de usuários seja fechada e as
modificações salvas;
O botão Aplicar fará com que as alterações realizadas sobre um determinado
usuário sejam aplicadas, isto é, realizadas permanentemente, sem fechar a janela;
O botão Cancelar fechará a janela de administração de usuários e descartará todas
as alterações efetuadas;
Quando um usuário for selecionado, os seus atributos completos serão mostrados
nos campos Permissões.
Para alterar os atributos de um usuário, deve-se proceder da seguinte forma:
1. Selecionar o usuário a ser alterado clicando sobre seu nome com o botão
esquerdo do mouse. Neste momento serão mostrados os seus atributos nos
campos após a listagem de usuários;
2. Alterar o valor dos atributos desejados e clicar no botão Aplicar ou no botão OK.
A partir deste momento as alterações serão efetivadas.
Para incluir um usuário na lista, deve-se proceder da seguinte forma:
1. Clicar com o botão direito do mouse em qualquer lugar da área reservada para
mostrar a lista (aparecerá o botão Inserir) e selecionar a opção Incluir no menu
pop-up ou clicar no ícone
que representa a inclusão na barra de
ferramentas;
2. Preenche os campos do usuário a ser incluído e clicar no botão Aplicar ou no
botão OK.
Para remover um usuário da lista, deve-se proceder da seguinte forma:
1. Selecionar o usuário a ser removido, clicando sobre seu nome com o botão
esquerdo do mouse e clicar no ícone
que representa a remoção na barra de
ferramentas;
ou
2. Clicar com o botão direito do mouse sobre o nome do usuário a ser removido e
selecionar a opção Excluir no menu pop-up.
Significado dos atributos de um usuário
•
Login
É a identificação do usuário para o Aker Web Gateway. Não podem existir dois
usuários com o mesmo login. Este login será pedido ao administrador do Aker Web
Gateway quando este for estabelecer uma sessão de administração remota.
O login deve ter entre 1 e 14 caracteres. Não há diferenças entre letras maiúsculas
e minúsculas neste campo.
41
•
Nome
Este campo contém o nome completo do usuário associado ao login. Os seus
objetivos são de informação, não sendo usado para qualquer validação.
Este nome deve ser um conjunto de caracteres de comprimento entre 0 e 40.
•
Senha
Este campo será usado em conjunto com o campo login para identificar um usuário
perante o Aker Web Gateway. Ao digitar a senha, serão mostrados na tela
asteriscos "*" ao invés das letras.
O campo senha deve ter no máximo 14 caracteres. Seu tamanho mínimo é
configurável por meio da janela de parâmetros da interface (para maiores
informações veja o tópico Utilizando a interface remota ). Neste campo, letras
maiúsculas e minúsculas são consideradas diferentes.
É extremamente importante que as senhas usadas tenham um comprimento
grande, o mais próximo possível do limite de 14 caracteres. Além disso, deve-se
sempre utilizar uma combinação de letras minúsculas, maiúsculas, números e
caracteres especiais nas senhas (caracteres especiais são aqueles encontrados no
teclado dos computadores e que não são números nem letras: "$", "&", "]", etc.).
Nunca use como senhas palavras em qualquer idioma ou apenas números.
•
Confirmação
Este campo serve para confirmar a senha digitada no campo anterior, uma vez que
esta aparece como asteriscos.
•
Permissões
Este campo define o que um usuário pode fazer dentro do Aker Web Gateway. Ele
consiste de três opções que podem ser marcadas independentemente.
O objetivo destas permissões é possibilitar a criação de uma administração
descentralizada para o Aker Web Gateway. É possível por exemplo, numa empresa
que possua vários departamentos e vários Aker Web Gateways, deixar um
administrador responsável pela configuração de cada um dos produtos e um
responsável central com a tarefa de supervisionar a administração. Este supervisor
seria a única pessoa capaz de apagar e alterar a configuração de log e eventos dos
Aker Web Gateways. Desta forma, apesar de cada departamento ter autonomia de
administração é possível ter um controle central do que cada administrador alterou
na configuração e quando ele realizou cada alteração. Isto é um recurso muito
importante para realizar auditorias internas, além de aumentar a segurança da
administração.
42
Caso um usuário não possua nenhum atributo de autoridade, então, esse terá
permissão apenas para visualizar a configuração do Aker Web Gateway e
compactar os arquivos de log e de eventos.
•
Configurar Servidor
Se esta permissão estiver marcada, o usuário em questão poderá administrar o Aker
Web Gateway, isto é, alterar a configuração das entidades, regras de filtragem,
conversão de endereços, criptografia, proxies e parâmetros de configuração que
não estejam relacionados ao log.
•
Configurar Log
Se esta opção estiver marcada, o usuário em questão terá poderes para alterar os
parâmetros relacionados ao log (como por exemplo, tempo de permanência do log),
alterar a configuração da janela de ações (tanto as mensagens quanto os
parâmetros) e apagar permanentemente o log e os eventos.
•
Administrar usuários
Se esta opção estiver marcada, o usuário em questão terá acesso à janela de
administração de usuários, podendo incluir, editar e excluir outros usuários.
Um usuário que possuir esta autoridade somente poderá criar, editar ou excluir
usuários com autoridades iguais ou menores às que ele possuir (por exemplo, se
um usuário tiver poderes de gerenciar usuários e configurar log, então ele poderá
criar usuários que não possuam nenhuma autoridade, que somente possam
configurar o log, que somente possam criar novos usuários ou que possam
gerenciar usuários e configurar log. Ele não poderá nunca criar, nem editar ou
excluir, um usuário que possa configurar o Aker Web Gateway).
43
Aba Agentes Externos
Figura 38 – Aba Agentes externos
Esta aba consiste na configuração dos agentes externos que serão utilizados para a
autenticação dos usuários que administram o Aker Web Gateway, definindo assim
regras de autenticação para o acesso destes.
Habilitar autenticação via agentes externos
Ao selecionar essa opção permite a autenticação dos usuários, por meio dos
agentes externos que estão cadastrados no Aker Web Gateway. Permite definir o
autenticador externo, qual o usuário/grupo que ele pertence, quais as suas
permissões de acesso e a definição das entidades que o usuário utilizará para
conectar ao Aker Web Gateway.
Autenticador
Ao clicar com o botão direito em cima da opção autenticador, poderá selecionar um
autenticador (agente externo) habilitados na Janela autenticação aba Métodos. Esse
44
autenticador será responsável por intermediar o processo de autenticação da
interface com o Aker Web Gateway.
Usuário/Grupo
Os usuários e os grupos estarão relacionados ao autenticador escolhido. Pode-se
associar um usuário somente ou um grupo deles.
Permissões
Este campo define o que um usuário pode fazer dentro do Aker Web Gateway . Ele
consiste de três opções que podem ser marcadas independentemente.
O objetivo destas permissões é possibilitar a criação de uma administração
descentralizada para o Aker Web Gateway. É possível por exemplo, numa empresa
que possua vários departamentos e vários Aker Web Gateways, deixar um
administrador responsável pela configuração de cada um dos Aker Web Gateways e
um responsável central com a tarefa de supervisionar a administração. Este
supervisor seria a única pessoa capaz de apagar e alterar a configuração de log e
eventos dos Aker Web Gateways. Desta forma, apesar de cada departamento ter
autonomia de administração é possível ter um controle central do que cada
administrador alterou na configuração e quando ele realizou cada alteração. Isto é
um recurso muito importante para realizar auditorias internas, além de aumentar a
segurança da administração.
Entidades
As Entidades são representações de objetos do mundo real para o Aker Web
Gateway. Através delas, podem-se representar máquinas, redes, serviços a serem
disponibilizados, entre outros. Nessa opção permite definir de qual entidade o
usuário se conectará ao Aker Web Gateway.
Servidor Fingerprint
É um resumo da identificação do certificado digital do Aker Web Gateway. Essa
opção possibilita ao usuário identificar quando tem uma mudança do Aker Web
Gateway que se costuma conectar.
45
Aba Autenticação X509
Figura 39 – Aba X.509
Essa aba consiste no método de autenticação com certificação digital X509. O
Certificado Digital pode ser considerado como a versão eletrônica (digital) de uma
cédula de identidade, associa uma chave pública com a identidade real de um
indivíduo, de um sistema servidor, ou de alguma outra entidade. Um certificado
digital normalmente é usado para ligar uma entidade a uma chave pública. Para
garantir a integridade das informações contidas neste arquivo ele é assinado
digitalmente, no caso de uma Infraestrutura de Chaves Públicas (ICP), o certificado
é assinado pela Autoridade Certificadora (AC) que o emitiu e no caso de um modelo
de Teia de Confiança ( Web of trust ) como o PGP o certificado é assinado pela
própria entidade e assinado por outros que dizem confiar naquela entidade. Em
ambos os casos as assinaturas contidas em um certificado são atestamentos feitos
por uma entidade que diz confiar nos dados contidos naquele certificado.
Um certificado normalmente inclui:
46
•
•
•
•
•
Informações referentes à entidade para o qual o certificado foi emitido (nome,
email, CPF/CNPJ, PIS etc.);
A chave pública referente à chave privada de posse da entidade especificada
no certificado;
O período de validade;
A localização do "centro de revogação" (uma URL para download da CRL, ou
local para uma consulta OCSP;
A(s) assinatura(s) da(s) AC/entidade(s) que afirma que a chave pública
contida naquele certificado confere com as informações contidas no mesmo;
Um certificado padrão X.509 é um outro formato de certificado muito comum. Todos
os certificados X.509 obedecem o padrão internacional ITU-T X.509; assim
(teoricamente) certificados X.509 criados para uma aplicação podem ser usados por
qualquer aplicação que obedece X.509.
Um certificado exige alguém para validar que uma chave pública e o nome do dono
da chave vão juntos. Com certificados de PGP, qualquer um pode representar o
papel de validador. Com certificados X.509, o validador é sempre uma Autoridade
de Certificação ou alguém designado por uma CA.
Um certificado X.509 é uma coleção de um conjunto padrão de campos contendo
informações sobre um usuário ou dispositivo e sua correspondente chave pública. O
padrão X.509 define qual informação vai no certificado, e descreve como codificar
isto(o formato dos dados). Todos certificados X.509 têm os seguintes dados:
•
•
O número da versão do X.509 que identifica qual o padrão é aplicado na
versão do X.509 para este certificado, o que afeta e qual informação pode ser
especificada neste;
A chave pública do possuidor do certificado junto com um algoritmo de
identificação, especifica qual sistema de criptografia pertence à chave e
quaisquer parâmetros associados.
Abaixo, seguem os campos que contém a aba:
•
•
•
•
Habilitar autenticação X.509: Ao selecionar essa opção permite habilitar a
autenticação do usuário via certificado digital x.509;
Certificado CN do Servidor: Nessa opção mostra qual certificado o Aker
Web Gateway está utilizando na sua autenticação;
Importa Certificado: Ao clicar nesse ícone, permite a inclusão de um novo
certificado, ou seja carrega-se o certificado cadastrado no arquivo e
incluindo-o no Aker Web Gateway;
Exporta Certificado: Gravam os dados do certificado, para transportá-lo
para uma futura aplicação desse certificado. Tira uma cópia do certificado;
47
•
•
•
Remove Certificado: Ao clicar nesse ícone, permite a remoção do
certificado que foi incluído. Com isso o Aker Web Gateway fica sem nenhum
certificado;
Mostra detalhes dos certificados: Mostra todas as informações contidas no
certificado habilitado;
Autoridade Certificadora: A autoridade certificadora (CA- certificate
authority) deve garantir ao usuário, através da assinatura de seus
certificados, que tais entidades são realmente quem dizem ser. Então, a CA
tem um papel básico de garantir a correspondência entre a identidade e a
chave pública de uma determinada entidade, sabendo que tal chave pública
corresponde a uma chave privada que permanece sob guarda exclusiva
dessa entidade.
Para tanto, a CA deve ser capaz de realizar todos os processos de emissão de
certificados, verificação de validade, armazenamento, publicação ou acesso on-line,
revogação e arquivamento para verificação futura.
Em consequência, uma autoridade certificadora constitui-se de um sistema
computacional completo, com capacidade de comunicação processamento e
armazenamento. Além disso, tanto as comunicações envolvendo esse sistema,
assim como o próprio sistema, devem ser também protegidos e a própria identidade
do sistema deve ser garantida, necessidades estas que são atendidas por
intermédio da publicação de uma chave pública pertencente à própria autoridade
certificadora. Como tal chave deve também ser garantida com um certificado digital,
então, em geral, uma autoridade certificadora deposita sua chave pública junto à
outra autoridade certificadora, formando uma estrutura de certificação onde algumas
CA funcionam como autoridades certificadoras para outras CAs.
Essa opção permite selecionar uma autoridade a qual o usuário está vinculado.
Pseudo-Grupos: Corresponde aos grupos de certificados, relacionados à
autoridade certificadora selecionada na opção acima. Este campo não é editável.
Permissões: Esse campo das permissões é editável, podendo, para cada CA
selecionada relacionar as permissões para cada grupo.
Nessa opção, uma vez escolhida uma Autoridade Certificadora e definidos os
níveis/permissões de acesso para cada grupo, ao trocar de CA todos as permissões
relacionadas à outra CA serão perdidos.
48
3.2. Utilizando a Interface Texto
Além da Interface Remota de administração de usuários, existe uma interface local
orientada a caracteres que possui praticamente as mesmas capacidades da
Interface Remota. A única função não disponível é a de alteração das permissões
dos usuários. Essa Interface Texto, ao contrário da maioria das demais interfaces
orientadas a caracteres do Aker Web Gateway, é interativa e não recebe
parâmetros da linha de comando.
Localização do programa: /aker/bin/awg/admin
Ao ser executado, o programa mostrará a seguinte tela:
Figura 40 – Interface Texto
Para executar qualquer uma das opções mostradas, basta digitar a letra mostrada
em negrito. Cada uma das opções será mostrada abaixo, em detalhes:
•
Inclui um novo usuário
Esta opção permite a inclusão de um novo usuário que poderá administrar o Aker
Web Gateway remotamente. Ao ser selecionada, será mostrada uma tela pedindo
as diversas informações do usuário. Após todas as informações serem preenchidas,
será pedida uma confirmação para a inclusão do usuário.
49
Figura 41 – Inclusão de usuário
Observações importantes:
1. Nos campos onde aparecem as opções (S/N), deve-se digitar apenas S, para sim e
N para não.
2. A senha e a confirmação das senhas não serão mostradas na tela.
•
Remove um usuário existente
Esta opção, remove um usuário existente que esteja cadastrado no sistema. Será
pedido o login do usuário a ser removido caso o usuário esteja cadastrado, será
pedida a seguir uma confirmação para realizar a operação.
50
Figura 42 – Remoção de usuário
Para prosseguir com a remoção, deve-se digitar S, caso contrário digita-se N.
•
Lista usuários cadastrados
Esta opção mostra uma lista com o nome e as permissões de todos os usuários
autorizados a administrar remotamente o Aker Web Gateway. Um exemplo de uma
possível listagem de usuários é a seguinte:
Figura 43 – Listagem de usuários
51
O campo permissões consiste de 3 possíveis valores: CF, CL, e GU, que
correspondem respectivamente às permissões de: Configura Aker Web Gateway,
Configura Log e Gerencia Usuários. Se um usuário possuir uma permissão, ela será
mostrada com o código acima, caso contrário será mostrado o valor --, indicando
que o usuário não a possui.
•
Compacta arquivo de usuários
Figura 44 – Compactação do arquivo de usuários
Esta opção não está presente na Interface Remota e não possui uso frequente. Ela
serve para compactar o arquivo de usuários, removendo entradas não mais usadas.
Ele somente deve ser usada quando for removido um grande número de usuários
do sistema.
Ao ser selecionada, o arquivo será compactado e ao final será mostrada uma
mensagem indicando que a operação foi completada (a compactação do arquivo
costuma ser uma operação bastante rápida, durando poucos segundos).
•
Sai do admin
Esta opção encerra o programa admin e retorna para a linha de comando.
52
Configurando os parâmetros
do sistema
53
4.
Configurando os parâmetros configurações do sistema
Neste capítulo será mostrado como configurar as variáveis que irão influenciar nos
resultados de todo o sistema. Estes parâmetros de configuração atuam em aspectos
como a segurança, log do sistema e tempos de inatividade das conexões. Aker Web
Gateway será referenciado neste manual como AWG.
Para ter acesso a janela de configuração de parâmetros deve-se:
Figura 45 – Menu Configurações (Parâmetros de configuração)
•
•
Clicar no menu Configurações do Sistema da janela do Aker Web Gateway que quer
administrar;
Selecionar o item Parâmetros de Configuração;
54
A janela de Parâmetros de configuração:
Figura 46 – Aba Global
•
•
•
O botão OK fará com que a janela de configuração de parâmetros seja fechada e as
alterações que foram efetuadas sejam aplicadas;
O botão Cancelar fará com que a janela seja fechada porém as alterações
efetuadas não sejam aplicadas;
O botão Aplicar enviará para o Aker Web Gateway todas as alterações feitas porém
manterá a janela aberta.
Significado dos parâmetros
•
Aba Global
Nesta janela, estes parâmetros são utilizados pelo filtro de estados e pelo conversor
de endereços. Eles consistem dos seguintes campos:
- Valor padrão: Configurado durante a instalação do Aker Web Gateway pelo
administrador;
55
- Tempo limite TCP: Define o tempo máximo, em segundos, que uma conexão TCP
pode permanecer sem tráfego e ainda ser considerada ativa pelo Aker Web
Gateway. Seu valor pode variar de 0 a259200 (72 horas);
Valor padrão: 900 segundos;
- Tempo limite UDP: Define o tempo máximo, em segundos, que uma conexão
UDP pode permanecer sem tráfego e ainda ser considerada ativa pelo Aker Web
Gateway. Seu valor pode variar de 0 a259200 (72 horas) - Valor padrão: 180
segundos;
Estes campos são de vital importância para o correto funcionamento do Aker
Web Gateway: valores muito altos poderão causar problemas de segurança para
serviços baseados no protocolo UDP, farão com que o sistema utilize mais memória
e o tornarão mais lento. Valores muito baixos poderão causar constantes quedas de
sessão e o mau funcionamento de alguns serviços.
- Tamanho mínimo de senha: Define o número mínimo de caracteres que as
senhas dos administradores devem ter para serem aceitas pelo sistema. Seu valor
pode variar entre 4 e 14 caracteres - Valor padrão: 6 caracteres;
É importante que este valor seja o maior possível, de modo a evitar a utilização de
senhas que possam ser facilmente quebradas;
- Servidor NTP (Network Time Protocol): Define o servidor de tempo que será
utilizado
pelo
Aker
Web
Gateway
para
sincronizar
seu
relógio
interno. (Este campo só aparece para o Aker Web Gateway);
-Endereços
fixos
de
configuração
remota: São
endereços
que,
independentemente de regras e de extrapolação dos limites de licenças,
podem administrar o Aker Web Gateway (isto é conectar na porta 1020). Eles
servem
como
medida
de
prevenção
anti-bloqueio
do
Aker Web Gateway, uma vez que só podem ser configurados via Interface Texto;
- Restringir conexão de configuração: Esta opção, quando selecionada, permite
ao
administrador
especificar,
de
forma
clara,
quais
entidades
terão acesso à configuração do Web Gateway. Automaticamente, as opções abaixo
descritas, ficam habilitadas;
- Aceitar entidades: Esta opção especifica que as entidades listadas no campo
IP/Rede poderão ter acesso para configuração ao web gateway;
- Bloquear entidades: Esta opção especifica que as entidades listadas no campo
IP/Rede não poderão ter acesso para configuração ao web gateway;
- IP/Rede: Este componente é utilizado para a especificação das entidades que
serão utilizadas no bloqueio/liberação do acesso de configuração do web gateway.
56
•
Aba Log
Figura 47 – Aba Log
Local: Indica que os eventos devem ser salvos em um disco local, na máquina onde
o AWG estiver rodando.
Tempo de vida no eventos /: Os registros de eventos do AWG são mantidos em
arquivos diários. Esta configuração define o número máximo de arquivos que serão
mantidos pelo sistema, em caso de log local. Os valores possíveis vão de 1 a 365
dias.
Valor padrão: 7 dias
Tamanho (GB) eventos: Os arquivos de eventos serão limitados em tamanho total
em disco, ou seja, caso o total de logs em disco ultrapasse o valor estipulado, os
logs mais antigos serão apagados.
57
Exemplo da nova rotação de logs do AWG
Período
rotação
Controles
exclusão
arquivos
de
para
dos
ANTES
ATUAL
01 vez por dia
01 vez por hora ou arquivo
atual atingindo o tamanho
máximo configurado.
Ultrapassando
o
tempo
limite
configurado.
Ultrapassando o tempo ou
tamanho limite configurado.
Exemplo:
Configuração do ambiente:
Tempo limite: 07 dias tamanho máximo de log de 2,4 GB
São gerados 100 MB de arquivos de log por hora.
Às 11:59 do 1º dia, haverá aproximadamente 2,4 GB de arquivos de log.
À meia-noite do 2º dia, o AWG rotacionará os logs.
Isso fará com que o primeiro arquivo de log de 100 MB, criado no 1º dia, seja
excluído do HD, fazendo com que este fique com 2,3 GB de arquivos de log.
Depois disso, o AWG recebeu um ataque de flood e começou a gerar 3,4 GB de log
por hora.
Quando o arquivo de log (APENAS O ARQUIVO QUE ESTÁ SENDO ESCRITO,
SEM CONTAR OS OUTROS) alcançar 2,4 GB (neste momento o diretório terá 4,7
GB de log), o AWG rotacionará os logs, excluindo TODOS os registros de log,
inclusive o arquivo de 2,4 GB. Na sequência, criará outro arquivo zerado e
começará a gravar os logs nele.
O evento acima aconteceu um pouco antes do natal, em uma sexta-feira, e a
empresa resolveu dar folga a semana toda para emendar com o ano novo. O
arquivo de log, após o ataque de flood, ficou um 01 GB de tamanho e o AWG
passou a produzir 1 KB de log por hora.
06 dias, 23 horas e 59 minutos se passaram e o AWG criou vários arquivos de log,
completando um tamanho total de 1,000160217 GB. À meia-noite, após 07 dias, o
58
AWG rotacionou os logs excluindo apenas o arquivo de 1 GB, criado uma semana
atrás, e deixando apenas 0,000160217 GB de arquivos de log.
- Servidor Remoto: Esta opção indica o servidor de log remoto para o qual o log
será enviado;
- Logar syslog do Unix: Habilita o envio do log e dos eventos do Aker Web
Gateway para o daemon de log do Unix, o syslogd - Valor padrão: Não envia log
para o syslogd;
Ao habilitar essa opção, os registros de log serão enviados para a fila local0 e os de
eventos para a fila local1;
Esta opção não altera em nada o registro interno do log e dos eventos realizado
pelo próprio Aker Web Gateway.
59
•
Aba SNMP
Figura 47 – Aba SNMP
- Comunidade de leitura: Este parâmetro indica o nome da comunidade que está
autorizada a ler dados do Aker Web Gateway via SNMP. Caso este campo esteja
em branco, nenhuma máquina estará autorizada a lê-los - Valor padrão: campo em
branco;
- Comunidade de escrita: Este parâmetro indica o nome da comunidade que está
autorizada a alterar dados do Aker Web Gateway via SNMP. Caso este campo
esteja em branco, nenhuma máquina estará autorizada a alterá-los - Valor padrão:
campo em branco;
Mesmo com uma comunidade de escrita definida, por razões de segurança,
somente poderão ser alterados algumas variáveis do grupo system.
- Descrição: Tipo de serviço que a máquina ira disponibilizar para o usuário;
60
- Contato: Tipo de contato (e-mail, home page) que o administrador disponibiliza
para o usuário;
- Nome: Nome abreviado do sistema que o identifica na rede, ex: DNS;
- Local: Local físico onde a máquina está instalada;
O SNMPv3 inclui três importantes serviços: autenticação (authentication) ,
privacidade (privacy) e controle de acesso (access control).
- Habilita SNMPv3: Ao selecionar essa opção permite definir o tipo de permissão de
um usuário e qual o nível de segurança que ele estará relacionado;
- Nome do usuário: Nome do usuário que terá permissão para conferir ou modificar
as informações;
- Tipo de permissão: Permite a escolha do tipo de permissão do usuário. Poderá
ter acesso de somente leitura dos dados ou de leitura e escrita;
- Nível de segurança: Permite a escolha do tipo de segurança dos dados. Pode-se
optar por nenhuma autenticação, com autenticação ou autenticação com cifragem.
Caso a escolha seja com autenticação, as opções Método de autenticação e senha
de autenticação serão habilitados. Caso a escolha seja autenticação com cifragem,
as opções Método de cifragem e senha de cifragem serão habilitados;
- Método de autenticação: Possuem dois métodos de autenticação, um com o
algoritmo MD5 e o outro com o algoritmo SHA;
- Senha de autenticação: Deve ser informada uma senha para autenticação, com
no mínimo 8 caracteres;
- Método de encriptação: Possuem dois métodos de cifragem dos dados, um por
meio do algoritmo DES e o outro por meio do algoritmo AES;
- Senha de encriptação: Deve ser informada uma senha para cifragem, com no
mínimo 8 caracteres;
- Ramo de acesso: Permite restringir, por meio de subárvores, quais os grupos de
dados/informações que o usuário terá acesso.
61
•
Aba Serviços
Figura 48 – Aba Serviços
Esta aba serviços permite configurar quais são as portas (serviços), que devem ser
redirecionadas para o Proxy HTTP, isso significa que pode ser definido quais as
portas (serviços) o Web Gateway filtra o protocolo HTTP.
Ao selecionar a opção Filtro Web Habilitado, permite a filtragem do tráfego HTTP
das entidades selecionadas. Nesse campo aparecerão as entidades serviços
criadas.
Ao selecionar essa opção Restringir redes e máquinas do filtro web, permite
filtrar as entidades do tipo máquinas/redes que vão passar pelo filtro web.
Se a opção Filtrar entidades abaixo estiver selecionado, significa que as entidades
que não estiverem listadas terão todo acesso liberado.
62
Caso a opção Não filtrar as entidades abaixo estiver selecionada, significa que as
entidades que estiverem listadas terão o acesso liberado.
- Suporte ao MSN: Habilita o suporte para o MSN Messenger - Valor padrão:
Suporte ao MSN Messenger está habilitado.
O MSN Messenger é um protocolo de mensagens instantâneas que permite a
comunicação entre duas ou mais pessoas ao mesmo tempo. Este parâmetro faz
com que o Aker Web Gateway trate o Messenger de forma especial possibilitando
que seu uso seja controlado por meio dos perfis de acesso.
A opção Habilitar proxy ativo permite utilizar o AWG como proxy ativo. Para isso,
deve-se configurar o browser com o mesmo endereço IP e Porta de saída do AWG,
que no caso, será a porta 80. Caso esta opção não esteja habilitada, o usuário
poderá utilizar apenas proxy transparente.
•
Aba Prox SSL Reverso
Consulte o capítulo Configurando Proxy SSL Reverso.
63
•
Data e Hora
Figura 49 – Data/Hora
Esta opção permite ao administrador verificar e alterar a data e a hora do Web
Gateway. A data e hora configuradas corretamente são essenciais para o
funcionamento da tabela de horário das regras e dos perfis de acesso WWW
(WORLD WIDE WEB) e eventos.
•
Data e hora
Esta janela consiste de dois campos que mostram o valor da data e hora
configurado no Web Gateway. Para alterar qualquer um destes valores, basta
colocar o valor desejado no campo correspondente. Para escolher o mês podese utilizar as setas de navegação.
•
Fuso Horário
Escolha o fuso horário que mais se aproxima da região aonde o Web Gateway
será instalado.
64
•
•
•
•
O botão Aplicar alterará a data e hora e manterá a janela aberta.
O botão OK fará com que a janela seja fechada e as alterações salvas.
O botão Cancelar fechará a janela e descartará as modificações
efetuadas.
Servidor NTP (Network Time Protocol)
Define o servidor de tempo que será utilizado pelo Web Gateway para
sincronizar seu relógio interno.
A Interface Texto de configuração de parâmetros é bastante simples de ser utilizada
e possui exatamente as mesmas capacidades da Interface Remota.
Ela possui entretanto a possibilidade, não disponível na Interface Remota, de
adicionar até três máquinas possíveis de administrarem o Aker Web Gateway
remotamente, mesmo sem a existência de uma regra liberando sua conexão. O
objetivo desta funcionalidade é permitir que, mesmo que um administrador tenha
feito uma configuração equivocada que impeça sua conexão, ainda assim ele
poderá continuar administrando remotamente o Aker Web Gateway. Este
parâmetro chama-se end_remoto. E possível usar todos os comandos sem o
prefixo “FW”, para isso execute o comando “fwshell”, então todos os comando
poderão ser acessados sem o prefixo “FW”).
Nome do programa: par
Sintaxe:
Uso: fwpar [mostra | ajuda]
fwpar [tempo_limite_tcp | tempo_limite_udp] <segundos>
fwpar interface_externa <nome>
fwpar [ip_direcionado] <sim | nao>
fwpar [suporte_ftp | suporte_real_audio | suporte_rtsp | suporte_pptp ] <si
m | nao>
fwpar [suporte_h323 | suporte_msn | suporte_sip | suporte_dce_rpc | manter_
cons_exp ] <sim | nao>
fwpar [loga_conversao | loga_syslog] <sim | nao>
fwpar [permanencia_log | permanencia_event | permanencia_stat] <dias>
65
fwpar [tamanho_log | tamanho_event | tamanho_stat] <GB>
fwpar [serv_log_remoto <nome>]
fwpar [end_remoto <n> <end>]
fwpar [snmp] [rocommunidade | rwcommunidade | descricao | contato | nome |
local] [nome]
mostra
= mostra a configuracão atual
ajuda
= mostra esta mensagem
tempo_limite_tcp = tempo máximo de inatividade para conexões TCP
tempo_limite_udp = tempo máximo de inatividade para conexões UDP
suporte_msn
= habilita suporte ao procotolo MSN Messenger
interface_externa = configura o nome da interface externa (conexões que
vierem por esta interface nao contam na licenca)
ip_direcionado
suporte_ftp
= aceita pacotes IP direcionados
= habilita suporte ao protocolo FTP
suporte_real_audio = habilita suporte ao protocolo Real Audio
suporte_rtsp
= habilita suporte ao protocolo RTSP
suporte_pptp
= habilita suporte ao protocolo Microsoft(R) PPTP
suporte_h323
= habilita suporte ao protocolo H.323
suporte_sip
= habilita suporte ao protocolo SIP
suporte_dce_rpc
= habilita suporte ao protocolo DCE-RPC sobre TCP
manter_cons_exp
loga_conversao
loga_syslog
= mantem conexões de regras expiradas
= registra mensagens de conversão de endereços
= envia mensagens de log e eventos para o syslogd
66
permanencia_log
= tempo de permanência (dias) dos registros de log
permanencia_stat = tempo de permanência (dias) das estatísticas
permanencia_event = tempo de permanência (dias) dos registros de evento
tamanho_log
= tamanho máximo (GB) dos registros de log
tamanho_stat
= tamanho máximo (GB) das estatísticas
tamanho_event
= tamanho máximo (GB) dos registros de evento
serv_log_remoto
= servidor de log remoto (nome da entidade)
end_remoto
snmp
= endereço dos três controladores remotos
= configurações de SNMP
Exemplo 1: (visualizando a configuração):
par mostra
#
Parâmetros
------------------tempo_limite_tcp
:
tempo_limite_udp
:
suporte_msn
:
end_remoto : 1) 10.4.0.31 2) 10.4.0.3 3)
Parâmetros
de
---------------------------------permanencia_event : 7 dias
Parâmetros
de
----------------------------------rocommunidade
rwcommunidade
descrição
contato
nome
local :
globais:
900
180
segundos
segundos
nao
configuração
configuração
de
de
log:
SNMP:
:
:
:
:
:
Exemplo 2: (configurando endereço para controle remoto):
#par end_remoto 1 10.4.0.21
67
Exemplo 3: (configurando o nome da comunidade de leitura SNMP):
#/aker/bin/awg/par comunidade_leitura public
Exemplo 4: (apagando o nome da comunidade de escrita SNMP):
#/aker/bin/awg/par comunidade_escrita
68
Cadastrando Entidades
69
5.
Cadastrando Entidades
Será mostrado neste capítulo o que são, para que servem e como cadastrar
entidades no Aker Web Gateway. Aker Web Gateway será referenciado neste
manual como AWG.
5.1. Planejando a instalação
O que são e para que servem as entidades?
Entidades são representações de objetos do mundo real para o Aker Web Gateway.
Através delas, podem ser representados máquinas, redes, serviços a serem
disponibilizados, entre outros.
A principal vantagem da utilização de entidades para representar objetos reais é que
a partir do momento em que são definidas no Aker Web Gateway, elas podem ser
referenciadas como se fossem os próprios objetos, propiciando uma maior facilidade
de configuração e operação. Todas as alterações feitas em uma entidade serão
automaticamente propagadas para todos os locais onde ela é referenciada.
Pode-se definir, por exemplo, uma máquina chamada de Servidor WWW (WORLD
WIDE WEB), com o endereço IP de 10.0.0.1. A partir deste momento, não é mais
necessário se preocupar com este endereço IP. Em qualquer ponto onde seja
necessário referenciar esta máquina, a referência será feita pelo nome. Caso
futuramente seja necessário alterar seu endereço IP, basta alterar a definição da
própria entidade que o sistema automaticamente propagará esta alteração para
todas as suas referências.
Definindo entidades
Antes de explicar como cadastrar entidades no Aker Web Gateway é necessário
uma breve explicação sobre os tipos de entidades possíveis e o que caracteriza
cada uma delas.
Existem 6 tipos diferentes de entidades no Aker Web Gateway: máquinas, redes,
conjuntos, serviços, autenticadores e interfaces.
As entidades do tipo máquina e rede, como o próprio nome já diz, representam
respectivamente máquinas individuais e redes. Entidades do tipo conjunto
representam uma coleção de máquinas e redes, em qualquer número. Entidades do
tipo serviço representam um serviço a ser disponibilizado através de um protocolo
qualquer que rode em cima do IP. Entidades do tipo autenticador, representam um
tipo especial de máquina que pode ser utilizada para realizar autenticação de
70
usuários e as entidades do tipo interface, representam uma interface de rede do
Aker Web Gateway.
Por definição, o protocolo IP, exige que cada máquina possua um endereço
diferente. Normalmente estes endereços são representados da forma byte a byte,
como por exemplo 172.16.17.3. Desta forma, pode-se caracterizar unicamente uma
máquina em qualquer rede IP, incluindo a Internet, com apenas seu endereço.
Para definir uma rede deve-se utilizar uma máscara além do endereço IP. A
máscara serve para definir quais bits do endereço IP serão utilizados para
representar a rede (bits com valor 1) e quais serão utilizados para representar as
máquinas dentro da rede (bits com valor 0). Assim, para representar a rede cujas
máquinas podem assumir os endereços IP de 192.168.0.1 a 192.168.0.254, deve-se
colocar como rede o valor 192.168.0.0 e como máscara o valor 255.255.255.0. Esta
máscara significa que os 3 primeiros bytes serão usados para representar a rede e
o último byte será usado para representar a máquina.
Para verificar se uma máquina pertence a uma determinada rede, basta fazer um E
lógico da máscara da rede, com o endereço desejado e comparar com o E lógico do
endereço da rede com sua máscara. Se eles forem iguais, a máquina pertence à
rede, se forem diferentes não pertence. Vejamos dois exemplos:
Suponha que desejamos verificar se a máquina 10.1.1.2 pertence à rede 10.1.0.0,
máscara 255.255.0.0. Temos:
10.1.0.0
E
255.255.0.0
=
10.1.0.0
(para
a
rede)
10.1.1.2 E 255.255.0.0 = 10.1.0.0 (para o endereço) Temos então que os dois
endereços são iguais após a aplicação da máscara, portanto a máquina 10.1.1.2
pertence à rede 10.1.0.0.
Suponha agora que desejamos saber se a máquina 172.16.17.4 pertence à rede
172.17.0.0, máscara 255.255.0.0. Temos:
172.17.0.0
E
255.255.0.0
=
172.17.0.0
(para
a
rede)
172.16.17.4 E 255.255.0.0 = 172.16.0.0 (para o endereço) Como os endereços
finais são diferentes, temos que a máquina 172.16.17.4 não pertence à rede
172.17.0.0
Caso seja necessário definir uma rede onde qualquer máquina seja considerada
como pertencente a ela (ou para especificar qualquer máquina da Internet), deve-se
colocar como endereço IP desta rede o valor 0.0.0.0 e como máscara o valor
0.0.0.0. Isto é bastante útil na hora de disponibilizar serviços públicos, onde todas as
máquinas da Internet terão acesso.
71
Toda a vez que ocorre uma comunicação entre duas máquinas, usando o protocolo
IP, estão envolvidos não apenas os endereços de origem e destino, mas também
um protocolo de nível mais alto (nível de transporte) e algum outro dado que
identifique a comunicação unicamente. No caso dos protocolos TCP e UDP (que
são os dois mais utilizados sobre o IP), uma comunicação é identificada por dois
números: a Porta Origem e a Porta Destino.
A porta destino é um número fixo que está associado, geralmente, a um serviço
único. Assim, temos que o serviço Telnet está associado com o protocolo TCP na
porta 23, o serviço FTP com o protocolo TCP na porta 21 e o serviço SNMP com o
protocolo UDP na porta 161, por exemplo.
A porta origem é um número sequencial escolhido pelo cliente de modo a
possibilitar que exista mais de uma sessão ativa de um mesmo serviço em um dado
instante. Assim, uma comunicação completa nos protocolos TCP e UDP pode ser
representada da seguinte forma:
10.0.0.1
1024
->
10.4.1.2
23
------------------------------------------------------------------------Endereço origem Porta origem Endereço destino Porta destino Protocolo
TCP
Para um Aker Web Gateway, a porta de origem não é importante, uma vez que ela é
randômica. Devido a isso, quando se define um serviço, leva-se em consideração
apenas a porta de destino.
Além dos protocolos TCP e UDP, existe um outro protocolo importante: o ICMP.
Este protocolo é utilizado pelo próprio IP para enviar mensagens de controle,
informar sobre erros e testar a conectividade de uma rede.
O protocolo ICMP não utiliza o conceito de portas. Ele usa um número que varia de
0 a 255 para indicar um Tipo de Serviço. Como o tipo de serviço caracteriza
unicamente um serviço entre duas máquinas, ele pode ser usado como se fosse a
porta destino dos protocolos, TCP e UDP, na hora de definir um serviço.
Por último, existem outros protocolos que podem rodar sobre o protocolo IP e que
não são TCP, UDP ou ICMP. Cada um destes protocolos tem formas próprias para
definir uma comunicação e nenhum deles é utilizado por um grande número de
máquinas. Ainda assim, o Aker Web Gateway optou por adicionar suporte para
possibilitar ao administrador o controle sobre quais destes protocolos podem ou não
passar através do Aker Web Gateway.
Para entender como isso é feito, basta saber que cada protocolo tem um número
único que o identifica para o protocolo IP. Este número varia de 0 a 255. Desta
forma, podemos definir serviços para outros protocolos usando o número do
protocolo como identificação do serviço.
O que é Qualidade de Serviço (QoS)
72
A qualidade de serviço pode ser compreendida de duas formas: do ponto de vista
da aplicação ou da rede.
Para uma aplicação oferecer seus serviços com qualidade, tem que atender às
expectativas do usuário em relação ao tempo de resposta e da qualidade do serviço
que está sendo provido. Por exemplo, no caso de uma aplicação de vídeo,
fidelidade adequada do som e/ou da imagem sem ruídos nem congelamentos.
A qualidade de serviço da rede depende das necessidades da aplicação, ou seja, do
que ela requisita da rede a fim de que funcione bem e atenda, por sua vez, às
necessidades do usuário. Estes requisitos são traduzidos em parâmetros
indicadores do desempenho da rede como, por exemplo, o atraso máximo sofrido
pelo tráfego da aplicação entre o computador origem e destino.
O Aker Web Gateway implementa um mecanismo com o qual é possível definir uma
banda máxima de tráfego para determinadas aplicações. Através de seu uso,
determinadas aplicações que tradicionalmente consomem muita banda, podem ter
seu uso controlado. As entidades do tipo Canal são utilizadas para este fim e serão
explicadas logo abaixo.
5.2. Cadastrando entidades utilizando a Interface Remota
Para ter acesso à janela de cadastro de entidades deve-se:
Clicar no menu Janelas do Aker Web Gateway da janela do Aker Web Gateway que
se quer administrar;
Selecionar o item Entidades (a janela será mostrada abaixo da janela com os menus
de configuração dos Aker Web Gateways).
A janela de cadastro de entidades:
73
Figura 50 – Entidades
Figura 51 - Entidades
A janela de cadastro de entidades é onde são cadastradas todas as entidades do
Aker Web Gateway, independente do seu tipo. Esta janela, por ser constantemente
utilizada em praticamente todas as demais configurações do Aker Web Gateway,
normalmente é mostrada sempre aberta na horizontal, abaixo da janela com os
menus de configuração de cada Aker Web Gateway.
Dica: Possui uma janela única para todos os Aker Web Gateways abertos. A janela
continuará a mesma, só mudará o conteúdo que será referente ao Aker Web
Gateway selecionado. Os tipos de entidades mais usados ficam únicos na aba. As
entidades menos utilizadas aparecem no menu.
Dica: É possível posicionar a janela de entidades como se fosse uma janela comum,
bastando para isso clicar sobre sua barra de título e arrastá-la para a posição
desejada.
Dica: Para criar uma nova entidade, caso a lista de entidades criadas esteja cheia,
deve-se clicar em cima da aba que fica na parte inferior da janela.
74
Nesta janela estão desenhados oito ícones, em forma de árvore, que representam
os oito tipos de entidades possíveis de serem criados.
Dica: Para visualizar as entidades criadas é só clicar no sinal de '+' e as entidades
ficarão listadas logo abaixo do logotipo, ou clicar sobre a aba correspondente a
entidade que se deseja visualizar.
Para cadastrar uma nova entidade, deve-se proceder da seguinte forma:
Clicar uma vez no ícone correspondente à entidade do tipo que deseja criar com o
botão direito do mouse e selecionar a opção Inserir no menu pop-up
ou,
Clicar no ícone correspondente à entidade do tipo que deseja criar e pressionar a
tecla Insert.
Para editar ou excluir uma entidade, deve-se proceder da seguinte forma:
Selecionar a entidade a ser editada ou excluída (se necessário, expande-se a lista
do tipo de entidade correspondente)
Clicar com o botão direito do mouse e selecionar a opção Editar ou Apagar,
respectivamente, no menu pop-up que aparecer.
ou
Clicar no ícone correspondente à entidade do tipo que deseja criar e pressionar a
tecla Delete.
No caso das opções Editar ou Incluir, aparecerá à janela de edição de parâmetros
da entidade a ser editada ou incluída. Esta janela será diferente para cada um dos
tipos possíveis de entidades.
O ícone
, localizado na parte inferior da janela aciona o assistente de
cadastramento de entidades que será descrito no final deste capítulo.
75
Incluindo / editando máquinas
Figura 52 – Entidade tipo Máquina
Para cadastrar uma entidade do tipo máquina deve-se preencher os seguintes
campos:
Nome: É o nome pelo qual a máquina será sempre referenciada pelo Aker Web
Gateway. É possível especificar este nome manualmente ou deixar que ele seja
atribuído automaticamente. A opção Automático permite escolher entre estes dois
modos de operação: caso ela esteja marcada, a atribuição será automática, caso
contrário, manual.
Letras maiúsculas e minúsculas são consideradas diferentes nos nomes das
entidades. Desta forma, é possível a existência de várias entidades compostas de
nomes com as mesmas letras, porém com combinações distintas de maiúsculas e
minúsculas. As entidades Aker, AKER e aker são, portanto, consideradas diferentes.
Ícone
: É o ícone que aparecerá associado à máquina em todas as referências.
Para alterá-lo, basta clicar sobre o desenho do ícone atual. O Aker Web Gateway
então mostrará uma lista com todos os possíveis ícones para representar máquinas.
Para escolher entre eles basta clicar no ícone desejado e no botão OK. Caso não
queira alterá-lo após ver a lista, basta clicar no botão Cancelar.
Endereço IP: É o endereço IP da máquina a ser criada.
Após todos os campos estarem preenchidos, deve-se clicar no botão OK para
realizar a inclusão ou alteração da máquina. Para cancelar as inclusões ou
alterações realizadas deve pressionar o botão Cancelar.
Para facilitar a inclusão de várias máquinas seguidamente, existe um botão
chamado Nova (que não estará habilitado durante uma edição). Ao ser clicado, este
76
botão fará com que a máquina inclua os dados preenchidos e mantenha aberta a
janela de inclusão de máquinas onde estará pronta para uma nova inclusão. Desta
forma é possível cadastrar rapidamente um grande número de máquinas.
Incluindo / editando redes
Figura 53 – Entidade tipo Rede
Para cadastrar uma entidade do tipo rede deve-se preencher os seguintes campos:
- Nome: É o nome pelo qual a rede será sempre referenciada pelo Aker Web
contrário, manual.
minúsculas. As entidades Aker, AKER e aker são consideradas diferentes.
- Ícone
: É o ícone que aparecerá associado à rede em todas as referências.
Para alterá-lo deve clicar sobre o desenho do ícone atual. O Aker Web Gateway
então mostrará uma lista com todos os possíveis ícones para representar redes.
Para escolher entre eles tem que clicar no ícone desejado e no botão OK. Caso não
- Endereço IP: É o endereço IP da rede a ser criada.
- Máscara de Rede: Define quais bits do endereço IP serão utilizados para
representar a rede (bits com valor 1) e quais serão utilizados para representar as
máquinas dentro da rede (bits com valor 0)
77
- Intervalo: Este campo mostra a faixa de endereço IP a que pertence à rede e
realiza uma crítica quanto à máscara que está sendo cadastrada, ou seja não
permite cadastramento de máscaras erradas.
Após estarem todos os campos preenchidos, deve-se clicar no botão OK para
realizar a inclusão ou alteração da rede. Para cancelar as alterações realizadas ou a
inclusão, deve-se pressionar o botão Cancelar.
Para facilitar a inclusão de várias redes seguidamente, existe um botão chamado
Nova (que não estará habilitado durante uma edição). Ao clicar neste botão fará
com que sejam incluídos os dados preenchidos e manterá aberta a janela de
inclusão de redes onde estará pronta para uma nova inclusão. Desta forma é
possível cadastrar rapidamente um grande número de redes.
Incluindo / editando conjuntos
Figura 54 – Entidade tipo Conjunto
Para cadastrar uma entidade do tipo conjunto deve-se preencher os seguintes
campos:
- Nome: É o nome pelo qual o conjunto será sempre referenciado pelo Aker Web
78
modos de operação: caso ela esteja marcada, a atribuição será automática se não,
manual.
- Ícone
: É o ícone que aparecerá associado ao conjunto em todas as
referências. Para alterá-lo, basta clicar sobre o desenho do ícone atual. O Aker Web
Gateway então mostrará uma lista com todos os possíveis ícones para representar
conjuntos. Para escolher entre eles basta clicar no ícone desejado e no botão OK.
Caso não queira alterá-lo após ver a lista, basta clicar no botão Cancelar.
Após preencher o nome e escolher o ícone para o conjunto, deve-se definir quais
máquinas e redes farão parte do mesmo. Abaixo estão os passos que deverão ser
seguidos.
Clicar com o botão direito do mouse no campo em branco e selecionar a opção
Adicionar Entidades (a entidade pode ser adicionada clicando-se duas vezes sobre
ela
ou
clicando
uma
vez
e
logo
abaixo
em
Adicionar).
ou
Clicar sobre a entidade que deseja incluir, com isso deve arrastá-la e soltá-la dentro
da janela de entidades do conjunto.
79
Figura 55 – Adicionando entidades
Para remover uma rede ou máquina do conjunto, deve-se proceder da seguinte
forma:
Clicar com o botão direito do mouse sobre a entidade a ser removida e selecionar a
opção Remover.
ou
Clicar na máquina ou rede a ser removida e pressionar a tecla Delete.
Após todos os campos estarem preenchidos e todas as redes e máquinas que
devem fazer parte do conjunto selecionadas, deve-se clicar no botão OK para
realizar a inclusão ou alteração do conjunto. Para cancelar as alterações realizadas
ou a inclusão, deve-se pressionar o botão Cancelar.
Para facilitar a inclusão de vários conjuntos seguidamente, existe um botão
chamado Nova (que não estará habilitado durante uma edição). Ao ser clicado, este
botão fará com que o conjunto cujos dados foram preenchidos seja incluído e a
80
janela de inclusão de conjuntos mantida aberta, pronta para uma nova inclusão.
Desta forma é possível cadastrar rapidamente um grande número de conjuntos.
Incluindo/Editando lista de categorias
Figura 56 - Lista de categorias
Para definir uma lista de categorias é necessário proceder da seguinte forma:
1- Selecionar a opção Automático, caso queira atribuir um nome padrão a lista;
2- Preencher o campo nome, onde pode definir um nome específico para a lista de
categorias.
O botão atualiza permite buscar as categorias no Aker Web Gateway caso tenha
havido alguma atualização.
Ao selecionar a opção Tentar recuperar categorias pelo critério nome quando o
Analisador de Contexto for trocado, permite identificar as categorias pelos nomes
que foram cadastradas, pois ao trocar o analisador de contexto muitas categorias
podem ser perdidas.
81
Incluindo/Editando Lista de Padrões de Busca
Figura 57 – Lista de padrões de Busca
Para definir um padrão de pesquisa é necessário proceder da seguinte forma:
Selecionar a opção Automático, caso queira atribuir um nome padrão ao tipo de
pesquisa.
Preencher o campo Nome, onde pode definir um nome específico para a pesquisa.
Os campos, Padrão e Texto, permitem definir qual será a string ou os parâmetros
que serão pesquisados na URL acessada e qual operação a ser efetuada.
82
Incluindo/Editando Quota
Figura 58 - Quota
Esta janela permite definir, vários tipos de quotas de acesso do usuário à rede.
Para criar uma quota pode-se selecionar a opção automático para que seja atribuído
um nome padrão ao tipo de quota a ser definido ou então preencher o campo nome,
onde pode atribuir um nome específico para a lista de quotas.
A opção Tipo de Quota, permite escolher se a quota definida será atribuída
diariamente, semanalmente ou mensalmente. Ao marcar qual o tipo de quota
desejada, pode associar a ela o limite de tempo de acesso e/ou o limite de volume
de dados.
A opção Limitar Tempo pode ser definida em dias e/ou horas. Por exemplo,
diariamente só vai ser liberado 3 horas de acesso à Internet, ou semanalmente 3
dias ou até mesmo semanalmente liberado 7 dias. A opção Limitar Volume,
permite especificar a quantidade do volume de dados em Kbytes, Mbytes e Gbytes
que cada usuário poderá manipular.
A contagem de tempo funciona da seguinte forma: quando o usuário acessa
uma página, conta um relógio de 31 segundos, se o usuário acessar uma outra
página, começa a contar do zero, mas não deixar de contar, por exemplo, os 10
segundos que o usuário gastou ao acessar a página anterior.
83
Para o consumo de quota, funciona da seguinte forma: no MSN, para cada janela
de conversação, o tempo é contato separadamente, já na WEB ser tiver acessando
10 sites, será contato somente o tempo de um.
Incluindo / editando Lista de e-mails
Listas de e-mails são entidades usadas no proxy MSN com o objetivo de definir com
quais pessoas um determinado usuário pode conversar através do MSN Messenger.
Figura 59 – Lista de e-mails
Para cadastrar uma entidade do tipo lista de e-mails deve-se preencher os seguintes
campos:
- Nome: É o nome pelo qual a lista de e-mails será sempre referenciado pelo aker
web gateway. É possível especificar este nome manualmente ou deixar que ele seja
contrário, manual.
84
- Domínio de E-mail: Este campo é composto pelos e-mails ou domínios que farão
parte da lista. É possível especificar um e-mail completo ou utilizar o símbolo * para
representar um caractere qualquer. As seguintes opções são e-mails válidos:
· *@* - Corresponde a qualquer e-mail
· *@aker.com.br - Corresponde a todos os e-mails do domínio aker.com.br
Para executar qualquer operação sobre um e-mail ou domínio, deve-se clicar sobre
ele com o botão direito e a seguir escolher a opção desejada no menu que será
mostrado. As seguintes opções estão disponíveis:
Figura 60 – Lista de e-mails (menu de opções)
- Incluir: Esta opção permite incluir um novo endereço
- Excluir: Esta opção remove da lista o endereço selecionado.
- Importar: Esta opção importa a lista de e-mails a partir de um arquivo .ctt (formado
de contatos do Messenger) ou .txt (arquivo texto com um e-mail por linha)
Exportar: Esta opção exporta a lista de e-mails para um arquivo .ctt (formado de
contatos do Messenger) ou .txt (arquivo texto com um e-mail por linha)
Incluindo / Editando agentes externos
Agentes externos são utilizados para a definição de programas complementares ao
Aker Web Gateway. São responsáveis por funções específicas que podem estar
rodando em máquinas distintas. Quando houver necessidade de realização de uma
85
determinada tarefa por um dos agentes externos, ou vice-versa, o Aker Web
Gateway se comunicará com eles e requisitará sua execução.
Figura 61 – Agentes externos
Existem 8 diferentes tipos de agentes externos, cada um responsável por um tipo
distinto de tarefas:
•
Autenticadores
Os agentes de autenticação são utilizados para fazer a autenticação de usuários no
Aker Web Gateway utilizando usuários/senhas de bases de dados de diversos
sistemas operacionais (Windows NT, Linux, etc).
•
Autenticadores LDAP
O autenticador LDAP permite ao Aker Web Gateway autenticar usuário usando uma
base LDAP compatível com o protocolo X500.
•
Autenticador Radius
O autenticador Radius é utilizado para fazer autenticação de usuários no Aker Web
Gateway a partir de uma base Radius.
•
Autenticadores Token
Os autenticadores token são utilizados para fazer autenticação de usuários no Aker
Web Gateway utilizando SecurID(R) , Alladin e outros.
•
Autoridades certificadoras
Autoridades certificadoras são utilizadas para fazer autenticação de usuários através
de PKI, com o uso de Smart Cards e para autenticação de Aker Web Gateways com
criptografia IPSEC.
•
Módulos de antivírus
86
Os agentes antivírus são utilizados pelo proxy SMTP, POP3 e Proxy WWW
(WORLD WIDE WEB) para realizarem a checagem e a desinfecção de vírus de
forma transparente em e-mails e nos downloads FTP e HTTP.
•
Servidores remotos de log
Os servidores de log remoto são utilizados pelo Aker Web Gateway para enviar o
log para armazenamento em uma máquina remota.
É possível a instalação de diversos agentes externos em uma mesma máquina,
desde que sejam distintos.
Para cadastrar um agente externo deve-se inicialmente selecionar seu tipo, abrindo
o diretório de Agentes Externos.
Independente de seu sub-tipo, todos os agentes externos possuem os seguintes
campos (os demais campos serão então modificados de acordo com o tipo do
agente a ser cadastrado):
- Nome: É o nome pelo qual o agente será sempre referenciado pelo Aker Web
contrário, manual.
- Ícone: É o ícone que aparecerá associado ao agente em todas as referências.
então mostrará uma lista com todos os possíveis ícones para representar agentes
do sub-tipo selecionado. Para escolher entre eles basta clicar no ícone desejado e
no botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão
Cancelar.
Para cadastrar um agente externo do tipo Autenticador ou Autenticador Token, é
necessário preencher os seguintes campos adicionais:
87
Figura 62 – Agente externo (Autenticador )
- IP: É o endereço IP da máquina onde o agente está rodando.
- Backup 1 e Backup 2: Estes campos permitem com que seja especificado até
dois endereços de outras máquinas que também estarão rodando o agente e que
servirão como backup no caso de quedas da máquina principal.
A máquina principal e as de backup deverão compartilhar uma mesma base de
usuários, ou seja, elas deverão ser controladoras de domínio primárias e de backup
(PDCs e BDCs), no caso de redes Windows, ou várias máquinas Unix utilizando
NIS.
- Senha: É a senha utilizada para gerar as chaves de autenticação e criptografia
usadas na comunicação com o agente. Esta senha deverá ser igual à configurada
no agente.
- Confirmação: Este campo é utilizado apenas para verificar se a senha foi digitada
corretamente. Deve-se digitá-la exatamente como no campo Senha.
- Tempo limite de uso da cache: Todas as vezes que é realizada uma
autenticação com sucesso, o Aker Web Gateway mantém em memória os dados
recebidos do usuário e do agente. Nas autenticações seguintes, o Aker Web
Gateway possui todos os dados necessários e não mais precisa consultar o agente.
Isso permite um grande ganho de performance.
Este parâmetro permite definir em segundos o tempo em que o Aker Web Gateway
deve manter as informações de autenticação em memória.
88
Para cadastrar um agente externo do tipo Autoridade Certificadora, deve-se
preencher os seguintes campos adicionais:
Figura 63 – Autoridade Certificadora
Localização da publicação da lista de certificados revogados (CRL): É a URL da
qual será baixada a lista de certificados revogados da CA (CRL). Esta URL deve ser
obrigatoriamente do protocolo HTTP e deve ser especificada sem o http:// na sua
frente.
O botão Importar certificado raiz permite carregar o certificado root da CA no Aker
Web Gateway. Ao ser clicado, a interface abrirá uma janela para que especificar o
nome do arquivo com o certificado a ser importado.
É necessário importar um certificado raiz para cada Autoridade Certificadora
criada, caso contrário não será possível autenticar usuários por meio dela.
O Campo Pseudo-grupos permite definir grupos para usuários que se autenticarem
por meio da autoridade certificadora, da mesma forma como define grupos em um
sistema operacional. Desta maneira, é possível criar pseudo-grupos que
representem todos os usuários de uma determinada empresa, departamento,
cidade, etc. Após serem criados os pseudo-grupos, eles podem ser associados a
89
perfis de acesso, da mesma forma como se faz com grupos de autenticadores ou
autenticadores token.
Clicando com o botão direito podemos selecionar as seguintes opções:
-Inserir:
Esta
opção
permite
incluir
um
novo
pseudo-grupo.
- Excluir: Esta opção remove da lista o pseudo-grupo selecionado.
- Editar: Esta opção abre a janela de edição para o pseudo-grupo selecionado.
Ao clicar no botão Inserir ou Editar, a seguinte janela será mostrada:
Figura 64 – Pseudo-Grupo
- Nome: Campo de preenchimento obrigatório é o campo que, indicará o nome pelo
qual o pseudo-grupo será referenciado pelo Aker Web Gateway. Os demais campos
representam dados que serão comparados com os dados presentes no certificado
X509 de cada usuário autenticado. Se um determinado campo estiver em branco
então qualquer valor será aceito no campo correspondente do certificado, se não
apenas certificados que possuírem o campo igual ao valor informado serão
considerados como parte do grupo.
- Domínio: Nome da pessoa certificada;
- E-mail: Endereço de e-mail da pessoa certificada;
90
- Empresa: Nome da empresa onde trabalha a pessoa certificada;
- Departamento: Departamento dentro da empresa onde trabalha a pessoa
certificada;
- Cidade: Cidade onde se localiza a empresa onde trabalha a pessoa certificada;
- Estado: Estado onde se localiza a empresa onde trabalha a pessoa certificada;
- País: País onde se localiza a empresa onde trabalha a pessoa certificada.
Os campos: Domínio, E-mail, Empresa, Departamento, Cidade, Estado e País
se referem à pessoa que o certificado foi emitido;
Para que um usuário autenticado através da autoridade certificadora seja
considerado como membro de um pseudo-grupo, todos os campos de seu
certificado X509 devem ser iguais aos valores dos campos correspondentes do
pseudo-grupo. Campos em branco de um pseudo-grupo são ignorados na
comparação e, portanto, quaisquer valores do certificado para estes campos serão
aceitos.
Para cadastrar um agente externo do tipo Antivírus ou Servidor de Log Remoto,
deve-se preencher os seguintes campos adicionais:
Figura 65 – (Módulo de antivírus e Servidor de log Remoto)
91
- Backup 1 e Backup 2: Estes campos permitem especificar até dois endereços de
outras máquinas que também estarão rodando o agente e que servirão como
backup no caso de quedas da máquina principal.
- Senha: É a senha utilizada para gerar as chaves de autenticação e criptografia
usadas na comunicação com o agente. Esta senha deve ser igual à configurada no
agente.
- Confirmação: Este campo é utilizado apenas para verificar se a senha foi digitada
corretamente. Deve-se digitá-la exatamente como no campo Senha.
Para cadastrar um agente externo do tipo Autenticador LDAP deve-se preencher os
seguintes campos:
Figura 66 – Autenticador LDAP
- Backup 1 e Backup 2: Estes campos permitem especificar até dois endereços de
outras máquinas que também estarão rodando o servidor LDAP e que servirão
como backup no caso de quedas da máquina principal.
- Tempo limite da cache: Todas as vezes que uma autenticação é realizada com
sucesso, o Aker Web Gateway mantém em memória os dados recebidos do usuário
e do agente. Nas autenticações seguintes, o Aker Web Gateway possui todos os
92
dados necessários e não mais precisa consultar o agente. Isso permite um grande
ganho de performance.
Este parâmetro permite definir em segundos o tempo que o Aker Web Gateway
- Configurações LDAP: Neste conjunto de campos deve-se especificar as
configurações do servidor LDAP que será utilizado para a realização das
autenticações. A descrição de cada campo pode ser vista a seguir:
- DN Root de conexão: DN do usuário utilizado pelo Aker Web Gateway para as
consultas;
- Senha Root de conexão: a senha deste usuário;
- DN Base: DN para começar a busca;
- ObjectClass da Conta: valor de objectclass que identifica objetos de contas
válidas;
- Atributo nome do usuário: o atributo onde encontra o nome do usuário;
- Atributo senha: o atributo onde se encontra a senha do usuário;
- Atributo grupo: o atributo onde se encontra o grupo do usuário
- Permitir senha em branco: permite senhas em branco para o usuário quando
marcado;
- Método de Autenticação: Este campo especifica se o Aker Web Gateway deve
buscar a senha ou deve se conectar na base LDAP com as credenciais do usuário
para validá-lo;
- Conexão LDAP segura: Este campo especifica se a conexão ao servidor LDAP
será encriptada ou não. Ele consiste das seguintes opções:
- SSL: especifica que o Aker Web Gateway usará conexão encriptada via SSL;
- TLS: especifica que o Aker Web Gateway usará conexão encriptada via TLS;
- Nenhuma: especifica que o Aker Web Gateway não usará criptografia ao se
conectar ao servidor LDAP.
Para cadastrar um agente externo do tipo Autenticador Radius deve-se preencher
os seguintes campos adicionais:
93
Figura 67 – Autenticador Radius
- Porta: Número da porta onde o servidor RADIUS estará escutando as requisições
de autenticação.
- 1º Backup: Este campo permite com que se especifique outra máquina que
também estará rodando o servidor RADIUS e que servirá como backup no caso de
queda da máquina principal.
- Segredo: É o segredo compartilhado utilizado no servidor RADIUS.
- Confirmação: Este campo é utilizado apenas para se verificar se o segredo foi
digitado corretamente. Deve-se digitá-lo exatamente como no campo Segredo.
- Tempo limite de uso da cache: Todas as vezes que é realizado uma
autenticação com sucesso, o Aker Web Gateway mantém em memória os dados
recebidos do usuário e do agente. Nas autenticações seguintes, o Aker Web
Gateway possui todos os dados necessários e não mais precisa consultar o agente.
Isso permite um grande ganho de performance.
Este parâmetro permite definir o tempo, em segundos, que o Aker Web Gateway
94
- Usuários: Este campo serve para que se possa cadastrar e posteriormente
associar usuários específicos RADIUS com perfis de acesso do Aker Web Gateway,
uma vez que com este protocolo não é possível para o Aker Web Gateway
conseguir a lista completa de usuários. Somente é necessário realizar o
cadastramento dos usuários que queira se associar com perfis específicos.
- Grupos: Este campo serve para cadastrar e posteriormente associar grupos
específicos RADIUS com perfis de acesso do Aker Web Gateway, uma vez que com
este protocolo não é possível para o Aker Web Gateway conseguir a lista completa
de grupos. Somente é necessário realizar o cadastramento dos grupos que quer
associar com perfis específicos.
Existe um grupo chamado de RADIUS USERS, gerado automaticamente pelo
Aker Web Gateway que pode ser utilizado para a associação de usuários RADIUS
com um perfil de acesso específico. Todos os usuários autenticados em um
determinado servidor RADIUS são considerados como pertencentes a este grupo.
Desta forma, caso queira utilizar um único perfil de acesso para todos os usuários,
não é necessário o cadastramento de nenhum usuário e/ou grupo.
realizar a inclusão ou alteração do agente externo. Para cancelar as alterações
realizadas ou a inclusão, deve-se pressionar o botão Cancelar.
Para facilitar a inclusão de vários agentes seguidamente, existe um botão chamado
Nova (que não estará habilitado durante uma edição). Ao clicar, neste botão fará
com que o dados preenchidos do agente, sejam incluídos e a janela de inclusão de
agentes mantida aberta, pronta para uma nova inclusão. Desta forma, é possível
cadastrar rapidamente um grande número de agentes.
Para facilitar a inclusão de vários agentes seguidamente, existe um botão chamado
Nova
95
Incluindo / editando Serviço
Figura 68 - Serviço
Para cadastrar uma entidade do tipo serviço deve-se preencher os seguintes
campos:
- Nome: É o nome pelo qual o serviço será sempre referenciado pelo Aker Web
contrário, manual.
- Ícone
: É o ícone que aparecerá associado ao serviço em todas as
referências. Para alterá-lo, deve-se clicar sobre o desenho do ícone atual. O Aker
Web Gateway então mostrará uma lista com todos os possíveis ícones para
representar serviços. Para escolher entre eles basta clicar no ícone desejado e no
botão OK. Caso não queira alterá-lo após ver a lista, basta clicar no botão Cancelar.
- Protocolo: É o protocolo associado ao serviço. (TCP, UDP, ICMP ou OUTROS)
- Serviço: É o número que identifica o serviço. No caso dos protocolos TCP e UDP,
este número é a porta destino. No caso de ICMP é o tipo de serviço e no caso de
outros protocolos é o número do protocolo. Para cada protocolo, o Aker Web
Gateway possui uma lista dos valores mais comuns associados a ele, de modo a
96
facilitar a criação do serviço. Entretanto, é possível colocar valores que não façam
parte da lista, simplesmente digitando-os neste campo.
Caso queira especificar uma faixa de valores, ao invés de um único valor, deve-se
clicar no botão ao lado dos nomes De e Para e especificar o menor valor da faixa
em De e o maior em Para. Todos os valores compreendidos entre estes dois,
inclusive, serão considerados como fazendo parte do serviço.
- Proxy: Este campo só se encontra habilitado para os protocolos TCP e UDP e
permite especificar se a conexão que se enquadrar neste serviço, será
automaticamente desviada para um dos proxies transparentes do Aker Web
Gateway Aker ou não. O valor padrão é
Sem Proxy, que significa que a conexão não deve ser desviada para nenhum proxy.
Quando o protocolo TCP está selecionado, a outra opção é o proxy SSL.
O serviço Telnet está associado à porta 23, o SMTP à porta 25, o FTP à porta
21, o HTTP à porta 80 e o POP3 à porta 110. É possível especificar que conexões
de quaisquer outras portas sejam desviadas para um destes proxies, entretanto, isto
não é o comportamento padrão e não deve ser feito a não ser que tenha
conhecimento de todas as possíveis implicações.
Caso tenha especificado que a conexão deve ser desviada para um proxy, pode ser
necessário definir os parâmetros do contexto que será utilizado pelo proxy para este
serviço. Caso isso seja necessário, no momento em que o proxy for selecionado, a
janela será expandida para mostrar os parâmetros adicionais que devem ser
configurados.
realizar a inclusão ou alteração do serviço. Para cancelar as alterações realizadas
ou a inclusão, deve-se pressionar o botão Cancelar.
Para facilitar a inclusão de vários serviços seguidamente, existe um botão chamado
Nova (que não estará habilitado durante uma edição). Ao ser clicado, este botão
fará com que o serviço, cujos dados foram preenchidos, seja incluído e a janela de
inclusão de serviços mantida aberta, pronta para uma nova inclusão. Desta forma é
possível cadastrar rapidamente um grande número de serviços.
Incluindo / editando Listas de tipos de arquivo
Listas de tipos de arquivos são entidades usadas no proxy MSN com o objetivo de
definir quais tipos de arquivos podem ser enviados e recebidos, através do MSN
Messenger.
97
Figura 69 – Lista de tipos de arquivos
Para cadastrar uma entidade do tipo lista de arquivos deve-se preencher os
seguintes campos:
- Nome: É o nome pelo qual a lista de tipos de arquivos será sempre referenciado
pelo Aker Web Gateway. É possível especificar este nome manualmente ou deixar
que ele seja atribuído automaticamente. A opção Automático permite escolher entre
estes dois modos de operação: caso ela esteja marcada, a atribuição será
automática, caso contrário, manual.
entidades. Desta forma é possível a existência de várias entidades compostas de
Para executar qualquer operação sobre uma entrada da lista, deve-se clicar sobre
ela com o botão direito e a seguir escolher a opção desejada no menu que será
mostrado. As seguintes opções estão disponíveis:
Figura 70 – Adicionando tipo de arquivo
98
- Incluir: Incluir um novo tipo de arquivo;
- Excluir: Remover da lista o tipo de arquivo selecionado.
Duplicar: Criar uma nova entrada na lista, idêntica à entrada selecionada, sendo
indicada para criar vários tipos com a mesma descrição.
Para cada entrada, os seguintes campos devem ser preenchidos:
- Extensão: Extensão do arquivo sem o ponto. Ex.: zip, exe, etc.
- Descrição: Breve descrição do tipo associado à extensão.
Incluindo / editando Canais
Canais são entidades usadas nas regras de filtragem com o objetivo de limitar a
banda de determinados serviços, máquinas, redes e/ou usuários. Seu uso está
descrito no capítulo: O Filtro de Estados.
Figura 71 - Canais
99
Para cadastrar uma entidade do tipo Canal deve-se preencher os seguintes campos:
- Nome: É o nome pelo qual o canal será sempre referenciado pelo Aker Web
atribuído automaticamente. A opção Nome automático permite escolher entre estes
dois modos de operação: caso ela esteja marcada, a atribuição será automática,
caso contrário, manual.
- Ícone
: É o ícone que aparecerá associado ao Canal em todas as referências.
então mostrará uma lista com todos os possíveis ícones para representar interfaces.
Para escolher entre eles basta clicar no ícone desejado e no botão OK. Caso não
- Banda: É um campo texto usado para designar a largura de banda (velocidade
máxima de transmissão em bits por segundo) deste Canal. Esta banda será
compartilhada entre todas as conexões que usarem este Canal. Deve ser escolhida
a unidade de medida mais conveniente.
- Buffer: É um campo texto usado para designar o tamanho do buffer (espaço
temporário de dados utilizado para armazenar pacotes que serão
transmitidos) utilizado por este Canal. Deve ser escolhido a unidade de medida. É
possível especificar este tamanho manualmente ou deixar que ele seja atribuído
automaticamente. A opção Automático permite escolher entre estes dois modos de
operação: se ela estiver marcada, a atribuição será automática, senão manual.
realizar a inclusão ou alteração do Canal. Para que as alterações e as inclusões
sejam canceladas deve-se pressionar o botão Cancelar.
Para facilitar a inclusão de vários Canais seguidamente, existe um botão chamado
Nova (que não estará habilitado durante uma edição). Ao clicar este botão fará com
que os dados da canal que foram preenchidos sejam incluídos e mantida aberta a
janela de inclusão de canais onde estará pronta para uma nova inclusão. Desta
forma é possível cadastrar rapidamente um grande número de canais.
100
5.3. Utilizando a interface de texto
A utilização da Interface Texto na configuração das entidades é bastante simples e
possui praticamente todos os recursos da Interface Remota. As únicas opções não
disponíveis são a criação de serviços que utilizem proxies transparentes e a edição
de pseudo-grupos de uma autoridade certificadora. É importante comentar,
entretanto, que na Interface Texto os agentes externos são mostrados e criados
diretamente pelo seu sub-tipo. E possível usar todos os comandos sem o prefixo
“FW”, para isso execute o comando “fwshell”, então todos os comando poderão ser
acessados sem o prefixo “FW”).
Localização do programa : /aker/bin/awg/fwent
Sintaxe:
Uso: ent ajuda
Aker Web Gateway
ent - Interface Texto para configuracao das entidades
Uso: fwent ajuda
ent mostra
ent remove <nome>
ent inclui maquina <nome> <IP>
ent inclui rede <nome> <IP> <mascara>
ent inclui conjunto <nome> [<entidade1> [<entidade2>] ...] ent inclui autenticador
<nome> <IP1> [<IP2>] [<IP3>] <senha> <t. cache>
ent inclui token <nome> <IP1> [<IP2>] [<IP3>] <senha> <t. cache>
ent inclui ldap <nome> <IP1> [<IP2>] [<IP3>] <root_dn> <root_pwd>
<base_dn> <act_class> <usr_attr> <grp_attr>
< <pwd_attr>|<-bind> > < <-ssl>|<-tls>|<-nenhuma> >
< <-no_pwd>|<-pwd> > <t.cache>
ent inclui radius <nome> <IP1> <porta1> [ <IP2> <porta2> ] <senha> <t.cache>
ent inclui anti-virus <nome> <IP1> [<IP2>] [<IP3>] <senha>
ent inclui servico <nome> TCP <valor>[..<valor>]
ent inclui ca <nome> <Arquivo com certificado root> <URL com CRLs>
ent inclui pipe <nome> <banda em Kbits/s> [ <banda_rev>
[<tamanho da fila> <bytes|pacts>] ]
ent inclui log_remoto <nome> <IP> [IP] [IP] <senha>
ent inclui quota <nome kbytes <max kbytes> ] [ segundos <max seconds> ]
<tipo>
mostra = mostra todas as entidades configuradas no sistema
inclui = inclui uma nova nova entidade
101
remove = remove uma entidade existente
ajuda = mostra esta mensagem
Para remove / inclui temos:
nome = nome da entidade a ser criada ou removida
Para inclui temos:
IP = endereco IP da maquina ou da rede
mascara = mascara da rede
entidade = nome das entidades a serem acrescentadas no conjunto
(OBS: Somente podem fazer parte de um conjunto entidades
do tipo maquina ou rede)
senha = senha de acesso
t. cache = tempo em segundos de permanencia de uma entrada no cache de
autenticacao
TCP = servico utiliza protocolo TCP
Para inclui ldap temos:
root_dn = DN do usuario utilizado pelo aker web gateway para as consultas
root_pwd = a senha deste usuario
base_dn = DN para comecar a busca
act_class= valor de objectclass que identifica objetos de contas validas
usr_attr = o atributo onde se encontra o nome do usuario
grp_addr = o atributo onde se encontra o grupo do usuario
pwd_addr = o atributo onde se encontra a senha do usuario
-bind = nao tenta buscar a senha, em vez disso tenta conectar na base
LDAP com as credenciais do usuario para valida-lo
-ssl = usar conexao encriptada via ssl
-tls = usar conexao encriptada via tls
-nenhuma = nao usar conexao encriptada
-no_pwd = permite senhas em branco para o usuario
-pwd = nao permite senhas em branco para o usuario
Para inclui quota temos:
tipo = "mensal", "semanal" ou "diaria"
Exemplo 1:(visualizando as entidades definidas no sistema)
#ent
Maquinas:
--------cache 10.4.1.12
Aker
mostra
Web
Gateway 10.4.1.11
102
Redes:
-----AKER 10.4.1.0 255.255.255.0
Internet 0.0.0.0 0.0.0.0
Conjuntos:
---------Maquinas
Internas cache Aker
Web
Autenticadores:
--------------Autenticador
Unix 192.168.0.1 192.168.0.2 192.168.0.3 600
Autenticadores
do
----------------------------Autenticador
Gateway
NT 10.0.0.1 10.0.0.2 600
tipo
token:
token 10.0.0.1 10.0.0.2 600
Anti-Virus:
----------Anti-virus
local 127.0.0.1
Servicos:
--------echo
echo
ftp TCP 21
snmp UDP 161
telnet TCP 23
reply ICMP 8
request ICMP 0
Exemplo
2:(cadastrando
uma
entidade
#/aker/bin/awg/ent inclui maquina Servidor_1 10.4.1.4
do
tipo
máquina)
Entidade
Exemplo 3:(cadastrando uma entidade do tipo rede)
#/aker/bin/awg/ent
Entidade incluida
inclui
Exemplo
4:(cadastrando
#/aker/bin/awg/ent
inclui
Entidade incluida
rede
uma
Rede_1
incluida
10.4.0.0
entidade
do
servico
DNS
255.255.0.0
tipo
UDP
serviço)
53
Exemplo
5:(cadastrando
uma
entidade
do
tipo
autenticador)
#/aker/bin/awg/ent inclui autenticador "Autenticador Unix" 10.4.2.2 senha_123 900
Entidade
incluida
103
O uso de "" ao redor do nome da entidade é obrigatório quando inclui ou remove
entidades cujo nome contém espaços.
Exemplo 6: (incluindo uma entidade do tipo conjunto, cujos membros são as
máquinas
cache
e
Aker
Web
Gateway,
previamente
definidas)
#/aker/bin/awg/ent inclui conjunto "Conjunto de teste" cache Aker Web Gateway
Entidade incluida
Exemplo 7: (incluindo uma entidade do tipo autenticador token, utilizando uma
máquina
primária
e
uma
secundária,
como
backup)
#/aker/bin/awg/ent inclui token "Autenticador token" 10.0.0.1 10.0.0.2 senha 600
Entidade incluida
Exemplo
#/aker/bin/awg/ent
Entidade incluída
8:
(removendo
remove
uma
"Autenticador
entidade)
Unix"
5.4. Utilizando o Assistente de Entidades
O assistente de criação de entidades pode ser invocado clicando-se no ícone
,
localizado na parte inferior da janela de entidades. O seu intuito é simplificar a tarefa
de criação das entidades, podendo ser utilizado sempre que desejado. Ele consiste
de várias janelas mostradas em série, dependendo do tipo de entidade a ser criada.
Seu uso é extremamente simples e o exemplificaremos para a criação de uma
entidade do tipo máquina:
104
1 - A primeira janela mostrada é uma breve explicação dos procedimentos a serem
realizados:
Figura 72 – Assistente de Entidades
105
2 - Escolher tipo de entidade. Na segunda janela deve escolher o tipo de entidade a
ser cadastrada:
Figura 73 – Selecionando o tipo de entidade
106
3 - Localizar o endereço IP. Para cadastrar uma máquina deve ser especificado o
endereço IP correspondente. Caso queira obter esse endereço, deve ser informado
o nome da máquina e logo em seguida clicar no botão Resolva:
Figura 74 – Adicionando endereço IP
107
4 - Escolha do ícone da entidade. Para escolher o ícone da entidade deve-se clicar
em um dos ícones que aparecem na janela. Observe que o ícone selecionado irá
aparecer à direita da janela:
Figura 75 – Seleção de ícone
108
5 - Finalização do cadastramento. Será mostrado um resumo dos dados da
entidade. Para cadastrá-la deve-se clicar no botão Finalizar:
Figura 76 – Entidade esta pronta para ser utilizada
109
Configurando as Ações do
Sistema
110
6.
Configurando as Ações do sistema
Neste capítulo será mostrado como configurar as respostas automáticas do sistema
para situações pré-determinadas. Aker Web Gateway será referenciado neste
manual como AWG.
O que são as ações do sistema?
O Aker Web Gateway possui um mecanismo que possibilita a criação de respostas
automáticas para determinadas situações. Estas respostas automáticas são
configuradas pelo administrador em uma série de possíveis ações independentes
que serão executadas quando uma situação pré-determinada ocorrer.
Para que servem as ações do sistema?
O objetivo das ações é possibilitar um alto grau de interação do Aker Web Gateway
com o administrador. Com o uso delas, é possível, por exemplo, que seja executado
um programa capaz de chamá-lo através de um Pager quando a máquina detectar
que um ataque está em andamento. Desta forma, o administrador poderá tomar
uma ação imediata, mesmo que ele não esteja no momento monitorando o
funcionamento do Aker Web Gateway.
Para ter acesso a janela de configuração das ações deve-se:
Figura 77 – Aker Web Gateway ( Ações)
111
•
•
Expandir o item Configurações do Sistema
Selecionar o item Ações
A janela de configuração das ações
Ao selecionar esta opção será mostrada a janela de configuração das ações a
serem executadas pelo sistema. Para cada mensagem de log e de eventos e para
os pacotes que não se enquadrarem em nenhuma regra é possível determinar
ações independentes. A janela mostrada terá a seguinte forma:
Figura 78 – Aba Mensagens de eventos
Para selecionar as ações a serem executadas para as mensagens mostradas na
janela, deve-se clicar com o botão direito do mouse sobre as mensagens. A cada
opção selecionada aparecerá um ícone correspondente.
Figura 79 – Opções de ações
112
Se a opção estiver marcada com o ícone aparente, a ação correspondente será
executada pelo Aker Web Gateway quando a mensagem ocorrer. São permitidas
as seguintes ações:
•
•
•
•
•
Logar: Ao selecionar essa opção, todas as vezes que a mensagem correspondente
ocorrer, ela será registrada pelo Aker Web Gateway;
Enviar email: Ao selecionar essa opção, será enviado um e-mail todas as vezes
que a mensagem correspondente ocorrer (a configuração do endereço de e-mail
será mostrada no próximo tópico);
Executar programa: Ao marcar essa opção, será executado um programa definido
pelo administrador todas as vezes que a mensagem correspondente ocorrer (a
configuração do nome do programa a ser executado será mostrada no próximo
tópico);
Disparar mensagens de alarme: Ao selecionar essa opção, o Aker Web Gateway
mostrará uma janela de alerta todas as vezes que a mensagem correspondente
ocorrer. Esta janela de alerta será mostrada na máquina onde a Interface Remota
estiver aberta e, se a máquina permitir, será emitido também um aviso sonoro. Caso
a Interface Remota não esteja aberta, não será mostrada nenhuma mensagem e
esta opção será ignorada (esta ação é particularmente útil para chamar a atenção
do administrador quando ocorrer uma mensagem importante);
Enviar trap SNMP: Ao selecionar essa opção, será enviada uma Trap SNMP para o
gerente SNMP todas as vezes que a mensagem correspondente ocorrer (a
configuração dos parâmetros de configuração para o envio das traps será mostrada
no próximo tópico).
Não é possível alterar as ações para a mensagem de inicialização do Aker Web
Gateway (mensagem número 43). Esta mensagem sempre terá como ações
configuradas apenas a opção Logar.
Significado dos botões da janela de ações
•
•
•
O botão OK fará com que a janela de ações seja fechada e as alterações efetuadas
aplicadas;
efetuadas não serão aplicadas;
O botão Aplicar, fará com que as alterações sejam aplicadas sem que a janela
feche.
A janela de configuração dos parâmetros
Para que o sistema consiga executar as ações deve-se configurar certos
parâmetros (por exemplo, para o Aker Web Gateway enviar um e-mail, o endereço
tem que ser configurado). Estes parâmetros são configurados através da janela de
configuração de parâmetros para as ações.
Esta janela é mostrada ao selecionar Parâmetros na janela de Ações. Ela tem o
seguinte formato:
113
Figura 80 – Ações (aba Parâmetros)
Significado dos parâmetros:
•
Parâmetros para executar um programa
Arquivo de programa: Este parâmetro configura o nome do programa que será
executado pelo sistema quando ocorrer uma ação marcada com a opção Programa.
Deve ser colocado o nome completo do programa, incluindo o caminho. Deve-se
atentar para o fato de que o programa e todos os diretórios do caminho devem ter
permissão de execução pelo usuário que irá executá-lo (que é configurado na
próxima opção).
O programa receberá os seguintes parâmetros pela linha de comando (na ordem
em que serão passados):
1. Nome do próprio programa sendo executado (isto é um padrão do sistema
operacional Unix);
2. Tipo de mensagem (1 - para log ou 2- para evento);
3. Prioridade (7 - depuração, 6 - informação, 5 - notícia, 4 - advertência ou 3 erro);
4. Número da mensagem que provocou a execução do programa ou 0 para
indicar a causa não foi uma mensagem. (neste caso, a execução do
programa foi motivada por uma regra);
5. Cadeia de caracteres ASCII com o texto completo da mensagem (esta cadeia
de caracteres pode conter o caractere de avanço de linha no meio dela).
114
No sistema operacional UNIX, usa-se a barra "/" para especificar o caminho de
um programa. Isto pode causar confusão para quem estiver acostumado com o
ambiente DOS/Windows, que usa a barra invertida "\".
Nome efetivo do usuário: Este parâmetro indica a identidade com a qual o
programa externo será executado. O programa terá os mesmos privilégios deste
usuário.
Este usuário deve ser um usuário válido, cadastrado no FreeBSD ou Linux. Não
se deve confundir com os usuários do Aker Web Gateway, que servem apenas para
a administração do Aker Web Gateway.
•
Parâmetros para enviar traps SNMP
Endereço IP do servidor SNMP: Este parâmetro configura o endereço IP da
máquina gerente SNMP para a qual o Aker Web Gateway deve enviar as traps.
Comunidade SNMP: Este parâmetro configura o nome da comunidade SNMP que
deve ser enviada nas traps.
As traps SNMP enviadas terão o tipo genérico 6 (enterprise specific) e o tipo
específico 1 para log ou 2 para eventos. Elas serão enviadas com o número de
empresa (enterprise number) 2549, que é o número designado pela IANA para a
Aker Consultoria e Informática.
Existe um arquivo chamado /aker/bin/awg/mibs/AKER-MIB.TXT que traz as
informações sobre a sub-árvore da Aker Consultoria e Informática na árvore global.
Este arquivo está escrito na notação ASN.1.
•
Parâmetros para enviar e-mail
Endereço de e-mail: Este parâmetro configura o endereço de e-mail do usuário
para o qual devem ser enviados os e-mails. Este usuário pode ser um usuário da
própria máquina ou não (neste caso deve-se colocar o endereço completo, por
exemplo [email protected]).
Caso queira enviar e-mails para vários usuários, pode-se criar uma lista e colocar o
nome da lista neste campo.
É importante notar que caso algum destes parâmetros esteja em branco, à ação
correspondente não será executada, mesmo que ela esteja marcada para tal.
A Interface Texto para a configuração das ações possui as mesmas capacidades da
Interface Remota e é de fácil uso.
115
Localização do programa: /aker/bin/awg/action
Sintaxe:
Aker Web Gateway
fwaction - Interface texto para a configuracao das acoes do sistema
Uso: fwaction ajuda
fwaction mostra
fwaction atribui <numero> [loga] [mail] [trap] [programa] [alerta]
fwaction <programa | usuario | comunidade> [nome]
fwaction ip [endereco IP]
fwaction e-mail [endereco]
ajuda
mostra
= lista as mensagens e as acoes configuradas para cada uma
atribui
= configura as acoes para uma determinada mensagem
programa = define o nome do programa a ser executado
usuario
= define o nome do usuario que executara o programa
comunidade = define o nome da comunidade SNMP para o envio das traps
ip
e-mail
= define o endereco IP do servidor SNMP que recebera as traps
= define o nome do usuario que recebera os e-mails
Para atribui temos:
numero = numero da mensagem a atribuir as acoes
(o numero de cada mensagem aparece na esquerda ao se
selecionar a opcao mostra)
loga
= Loga cada mensagem que for gerada
mail
= Manda um e-mail para cada mensagem que for gerada
trap
= Envia uma trap SNMP para cada mensagem que for gerada
116
programa = Executa programa para cada mensagem que for gerada
alerta = Abre janela de alerta para cada mensagem que for geradaExemplo 1:
(configurando os parâmetros para envio de e-mail e execução de programa)
#action
#action
#action usuario nobody
e-mail
programa
root
/etc/pager
Exemplo 2: (mostrando a configuração completa das ações do sistema)
#action
Condicoes
mostra
Gerais:
Mensagens de eventos:
000
Aker
Web
Gateway
1.5
Inicializacao
completa
>>>>
Loga
001
Erro
de
alocacao
de
memoria
>>>>
Loga
002
Dados
invalidos
recebidos
pelo
modulo
do
kernel
>>>>
Loga
003
Erro
ao
ler
o
arquivo
de
parametros
>>>>
Loga
004
Erro
ao
carregar
perfis
de
acesso
>>>>
Loga
005
Erro
ao
carregar
entidades
>>>>
Loga
006
Nome
de
perfil
de
acesso
invalido
>>>>
Loga
007
Erro
ao
criar
socket
de
conexao
>>>> Loga
(...)
100
>>>>
101
>>>>
102
>>>>
103
>>>>
104
>>>>
-
Erro
Erro
-
-
Quota
-
carregando
de
comunicacao
Quota
de
bytes
Quota
lista
com
o
de
insuficiente
de
de
categorias
Loga
servico
de
quotas
Loga
bytes
expirada
Loga
para
a
operacao
Loga
tempo
expirada
Loga
117
105
>>>> Loga
-
Consumo
de
quota
Parametros de configuracao:
programa
usuario
e-mail
comunidade:
ip
:
:
:
Devido ao grande número de mensagens, só estão sendo mostradas as
primeiras e as últimas. O programa real mostrará todas ao ser executado.
Exemplo 3: (atribuindo as ações para o Erro de alocação de memoria e mostrando
as mensagens)
#action
#action
Condições
atribui
1
000
Aker
Web
>>>>
001
Erro
>>>> Loga Mail Alerta
loga
Gateway
1.5
de
mail
-
alerta
mostra
Gerais:
Inicialização
alocação
de
completa
Loga
memoria
Devido ao grande número de mensagens, só estão sendo mostradas as
primeiras e as últimas. O programa real mostrará todas as mensagens, ao ser
executado.
Exemplo 4: (cancelando todas as ações para a mensagem de Erro ao carregar
entidades e mostrando as mensagens)
#action
#action
Condições
003
>>>>
004
>>>>
005
>>>>
006
>>>> Loga
atribui
Erro
Erro
-
ao
ler
ao
Erro
Nome
o
carregar
ao
de
perfil
5
mostra
Gerais:
arquivo
de
de
parâmetros
Loga
acesso
Loga
entidades
acesso
invalido
perfis
carregar
de
118
Devido ao grande número de mensagens, só estão sendo mostradas as primeiras e
as últimas. O programa real mostrará todas ao ser executado.
119
Visualizando Eventos do
Sistema
120
7.
Visualizando Eventos do sistema
Neste capítulo será mostrado como visualizar os eventos do sistema, um recurso
muito útil para acompanhar o funcionamento do Aker Web Gateway e detectar
possíveis ataques e erros de configuração. Aker Web Gateway será referenciado
neste manual como AWG.
O que são os eventos do sistema?
Eventos são as mensagens do Aker Web Gateway de nível mais alto, ou seja, não
relacionadas diretamente a pacotes (como é o caso do log). Nos eventos, podem
aparecer mensagens geradas por qualquer um dos três grandes módulos (filtro de
pacotes, conversor de endereços e autenticação/criptografia) e por qualquer outro
componente como por exemplo os proxies e os processos servidores encarregados
de tarefas específicas.
Basicamente, o tipo de informação mostrada varia desde mensagens úteis para
acompanhar o funcionamento do sistema (uma mensagem gerada todas as vezes
que a máquina é reinicializada e todas as vezes que alguém estabelece uma sessão
com o Aker Web Gateway, etc) até mensagens provocadas por erros de
configuração ou de execução.
O que é um filtro de eventos?
Mesmo que o sistema tenha sido configurado para registrar todos os possíveis
eventos, muitas vezes está interessado em alguma informação específica (por
exemplo, suponha que queira ver todas as mensagens do dia de ontem). O filtro de
eventos é um mecanismo oferecido pelo Aker Web Gateway para criar visões do
conjunto total de mensagens, possibilitando que obtenha as informações desejadas
facilmente.
O filtro só permite a visualização de informações que tiverem sido registradas nos
eventos. Caso queira obter uma determinada informação deve-se inicialmente
configurar o sistema para registrá-la e então utilizar um filtro para visualizá-la.
121
Para ter acesso a janela de eventos deve-se:
Figura 81 – Auditoria (Eventos)
•
•
Clicar no menu Auditoria do Aker Web Gateway que se deseja visualizar os
eventos;
Selecionar a opção Eventos.
A barra de ferramentas de Eventos
Todas as vezes que a opção Eventos é selecionada, é mostrada automaticamente a
barra de ferramentas de Eventos. Esta barra, que estará ao lado das outras barras,
poderá ser arrastada e ficar flutuando acima das informações dos Eventos. Ela tem
o seguinte formato:
Figura 82 – Barra de ferramentas (Eventos)
Significado dos Ícones:
Abre a janela de filtragem do Aker Web Gateway.
Este ícone somente irá aparecer quando o Aker Web Gateway estiver fazendo
uma procura nos Eventos. Ele permite interromper a busca do programa.
Exporta os Eventos para diversos formatos de arquivos.
122
Apaga os Eventos do Aker Web Gateway.
Permite fazer uma atualização da tela de logs dentro de um determinado
período definido no campo seguinte.
Define o tempo que o Aker Web Gateway irá atualizar a janela com
informações de log.
Percorre os Eventos para frente e para trás.
Expande as mensagens de Eventos, mostrando as mesmas com o
máximo de informação.
Ao clicar no ícone de filtragem a seguinte janela será mostrada:
123
A janela de filtro de eventos
Figura 83 – Filtro de eventos
Na parte superior da janela, encontram-se os botões Salvar, Remover e Novo. O
botão Salvar permite que seja salvo os campos de um filtro de forma a facilitar sua
aplicação posterior e o botão excluir permite que seja excluído um filtro salvo não
mais desejado.
Para salvar um filtro de eventos, deve-se proceder da seguinte forma:
1. Preencher todos os seus campos da forma desejada;
2. Definir, no campo Filtros, o nome pelo qual ele será referenciado;
3. Clicar no botão Salvar.
Para aplicar um filtro salvo, deve-se selecionar seu nome no campo Filtros e todos
os campos serão automaticamente preenchidos com os dados salvos.
124
Para excluir um filtro que não mais seja desejado, deve-se proceder da seguinte
forma:
1. Selecionar o filtro a ser removido, no campo Filtros;
2. Clicar no botão Excluir.
O filtro padrão é configurado para mostrar todos as mensagens do dia atual. Para
alterar a visualização para outros dias, pode-se configurar a Data Inicial e a Data
Final para os dias desejados (a faixa de visualização compreende os registros da
data inicial à data final, inclusive).
Além de especificar as datas é possível também determinar quais mensagens
devem ser mostradas. A opção Filtrar por permite escolher entre a listagem de
mensagens ou de prioridades.
•
Filtragem por mensagens
Ao selecionar filtragem por mensagens, será mostrado na lista do lado esquerdo da
janela o nome de todos os módulos que compõem o Aker Web Gateway. Ao clicar
em um destes módulos, será mostrada na lista à direita as diferentes mensagens
que podem ser geradas por ele.
Dica: Para selecionar todas as mensagens de um módulo, deve-se clicar sobre a
caixa à esquerda do nome do módulo.
•
Filtragem por prioridade
Diferentes tipos de mensagens possuem prioridades diferentes. Quanto maior for à
prioridade associada a um determinado registro, mais importância deve-se dar a ele.
Ao selecionar filtragem por prioridade, será mostrado na lista do lado esquerdo da
janela o nome de todos os módulos que compõem o Aker Web Gateway. Ao clicar
em um destes módulos, será mostrada na lista à direita as diferentes prioridades
das mensagens que podem ser geradas por ele.
Abaixo está a lista com todas as prioridades possíveis, ordenada da mais importante
para a menos (caso tenha configurado o Aker Web Gateway para mandar uma
cópia dos eventos para o syslog, as prioridades com as quais as mensagens serão
geradas no syslog são as mesmas apresentadas abaixo):
•
Erro
Os registros que enquadrem nesta prioridade indicam algum tipo de erro de
configuração ou de operação do sistema (por exemplo, falta de memória).
Mensagens desta prioridade são raras e devem ser tratadas imediatamente.
125
•
Alerta
Os registros que se enquadrarem nesta prioridade indicam que algum tipo de
situação séria e não considerada normal ocorreu (por exemplo, uma falha na
validação de um usuário ao estabelecer uma sessão de administração remota).
•
Aviso
Enquadram-se nesta prioridade registros que trazem informações que são
consideradas importantes para o administrador do sistema, mas estão associadas a
uma situação normal (por exemplo, um administrador iniciou uma sessão remota de
administração).
•
Informação
Os registros desta prioridade acrescentam informações úteis mas não tão
importantes para a administração do Aker Web Gateway (por exemplo, uma sessão
de administração remota foi finalizada).
•
Depuração
Os registros desta prioridade não trazem nenhuma informação realmente
importante, exceto no caso de uma auditoria. Nesta prioridade encaixam as
mensagens geradas pelo módulo de administração remota todas as vezes que é
feita uma alteração na configuração do Aker Web Gateway e uma mensagem
gerada todas as vezes que o Aker Web Gateway é reinicializado.
Como última opção de filtragem, existe o campo Encontrar complemento para.
Este campo permite que seja especificado um texto que deve existir nos
complementos de todas as mensagens para que elas sejam mostradas. Desta
forma, é possível, por exemplo, visualizar todas as páginas WWW (WORLD WIDE
WEB) acessadas por um determinado usuário, bastando para isso que coloque seu
nome neste campo.
•
•
O botão OK aplicará o filtro escolhido e mostrará a janela de eventos, com as
informações selecionadas;
O botão Cancelar fará com que a operação de filtragem seja cancelada e a janela
de eventos será mostrada com as informações anteriores.
126
A janela de eventos
Figura 84 – Eventos
A janela de eventos será mostrada após a aplicação de um filtro novo. Ela consiste
de uma lista com várias mensagens. Normalmente, cada linha corresponde a uma
mensagem distinta, porém existem mensagens que podem ocupar 2 ou 3 linhas. O
formato das mensagens será mostrado na próxima seção.
Observações importantes:
•
•
•
As mensagens serão mostradas de 100 em 100;
Só serão mostradas as primeiras 10.000 mensagens que são enquadradas no filtro
escolhido. As demais podem ser vistas exportando os eventos para um arquivo ou
utilizando um filtro que produza um número menor de mensagens;
No lado esquerdo de cada mensagem, será mostrado um ícone colorido
simbolizando sua prioridade. As cores têm o seguinte significado:
127
•
Azul
Depuração
Verde
Informação
Amarelo
Notícia
Vermelho
Advertência
Preto
Erro
Ao clicar com o botão esquerdo sobre uma mensagem, aparecerá na parte inferior
da tela uma linha com informações adicionais sobre ela.
Ao apagar todos os eventos, não existe nenhuma maneira de recuperar as
informações anteriores. A única possibilidade de recuperação é a restauração de
uma cópia de segurança.
•
O botão Salvar, localizado na barra de ferramentas, gravará todas as informações
selecionadas pelo filtro atual em um arquivo em formato texto ou em formatos que
permitem sua importação pelos analisadores de log da Aker e da WebTrends(R). Os
arquivos consistirão de várias linhas de conteúdo igual ao mostrado na janela.
Se a opção Expande mensagens estiver marcada e se tiver escolhido a opção
de exportação em formato texto, os eventos serão exportados com as mensagens
complementares; caso contrário, os eventos serão exportados sem elas.
Esta opção é bastante útil para enviar uma cópia do log para alguma outra pessoa,
para guardar uma cópia em formato texto de informações importantes ou para
importar os eventos por um analisador de log citado acima. Ao ser clicado, será
mostrada a seguinte janela:
128
Figura 85 – Janela de exportação
Para exportar o conteúdo dos eventos, basta fornecer o nome do arquivo a ser
criado, escolher seu formato e clicar no botão Salvar. Para cancelar a operação,
clique em Cancelar.
Se já existir um arquivo com o nome informado ele será apagado.
•
•
•
O botão Próximos 100, representado como uma seta para a direita na barra de
ferramentas, mostrará as últimas 100 mensagens selecionadas pelo filtro. Se não
existirem mais mensagens, esta opção estará desabilitada;
O botão Últimos 100, representado como uma seta para a esquerda na barra de
ferramentas, mostrará as 100 mensagens anteriores. Se não existirem mensagens
anteriores, esta opção estará desabilitada;
O botão Ajuda mostrará a janela de ajuda específica para a janela de eventos.
7.2. Formato e significado dos campos das mensagens de eventos
Abaixo segue a descrição do formato das mensagens, seguido de uma descrição de
cada um de seus campos. A listagem completa de todas as possíveis mensagens e
seus significados se encontra no Apêndice A.
Formato do registro:
129
<Data>
<Hora>
[Mensagem
[Mensagem complementar 2]
<Mensagem>
complementar
[Complemento]
1]
Descrição dos campos:
•
•
•
•
•
Data: Data em que o registro foi gerado.
Hora: Hora em que o registro foi gerado.
Mensagem: Mensagem textual que relata o acontecimento.
Complemento: Este campo traz informações complementares e pode ou não
aparecer, dependendo da mensagem. Na Interface Texto, caso ele apareça, virá
entre parênteses.
Mensagem complementar 1 e 2: Estes complementos só existem no caso de
mensagens relacionadas à conexões tratadas pelos proxies transparentes e nãotransparentes e são mostrados sempre na linha abaixo da mensagem a que se
referem. Nestas mensagens complementares, se encontram o endereço origem da
conexão e, no caso dos proxies transparentes, o endereço destino.
A Interface Texto para o acesso aos eventos tem funcionalidade similar à da
Interface Remota. Todas as funções da Interface Remota estão disponíveis, exceto
a opção de filtragem de mensagens e o fato de que através da Interface Texto não
tem acesso às informações complementares que são mostradas quando
selecionada uma mensagem de eventos na Interface Remota ou quando se ativa a
opção Expande mensagens. E possível usar todos os comandos sem o prefixo
“FW”, para isso execute o comando “fwshell”, então todos os comando poderão ser
acessados sem o prefixo “FW”).
O programa que faz a Interface Texto com os eventos é o mesmo usado para a
interface com o log e foi mostrado também no capítulo anterior.
Localização do programa: /aker/bin/awg/fwlog
Sintaxe:
Aker Web Gateway
Uso: fwlog ajuda
fwlog apaga eventos [<data_inicio> <data_fim>]
fwlog mostra eventos [<data_inicio> <data_fim>] [prioridade]
fwlog - Interface texto para visualizar log e eventos
mostra = lista os registros do tipo especificado
130
apaga
ajuda
= apaga todos os registros do tipo especificado
Para mostra temos:
data_inicio = data a partir da qual os registros serao mostrados
data_fim
= data ate onde mostrar os registros
(As datas devem estar no formato dd/mm/aaaa)
(Se nao forem informadas as datas, mostra os registros de
hoje)
prioridade = campo opcional. Se for informado deve ter um dos seguintes
valores:
DEPURACAO
ERRO,
ADVERTENCIA,
NOTICIA,
INFORMACAO
ou
(Ao selecionar uma prioridade, somente serao listados
registros cuja prioridade for igual a informada)
Exemplo 1: (mostrando os eventos do dia 05/01/2007 ao dia 06/01/2007)
#log
mostra
eventos
05/01/2007
06/01/2007
06/01/2007
11:39:35
Sessao
de
administracao
finalizada
06/01/2007 09:13:09 Sessao de administracao estabelecida (administrador, CF CL
GU)
06/01/2007 09:13:09 Pedido de conexao de administracao (10.4.1.14)
06/01/2007 09:09:49 Operacao sobre o arquivo de log (Compactar)
05/01/2007 10:27:11 Aker Web Gateway v1.5 - Inicializacao completa
05/01/2007 08:57:11 Tabela de conversão UDP cheia
Exemplo 2: (mostrando os eventos do dia 05/01/2007 ao dia 06/01/2007, apenas
prioridade depuração)
#log
mostra
eventos
05/01/2007
06/01/2007
06/01/2007 09:09:49 Operacao sobre o arquivo de log
05/01/2007 10:27:11 Aker Web Gateway v1.5 - Inicializacao completa
depuracao
(Compactar)
Exemplo 3: (removendo todo o conteúdo do arquivo de eventos)
131
#log
apaga
eventos
21/01/2007
23/01/2007
Remocao dos registros foi solicitada ao servidor
132
Utilizando o Gerador de
Relatórios
133
8.
Utilizando o Gerador de Relatórios
Visando disponibilizar informações a partir de dados presentes nos registros de log
e eventos, bem como apresentar uma visão sumarizada dos acontecimentos para a
gerência do Web Gateway, foi desenvolvida mais esta ferramenta. Neste contexto
trataremos dos relatórios que nutrirão as informações gerenciais. Aker Web
Gateway será referenciado neste manual como AWG.
Os relatórios são gerados nos formatos HTML, TXT ou PDF, publicados via FTP em
até três sites distintos ou enviados através de e-mail para até três destinatários
distintos. Podem ser agendados das seguintes formas: "Diário", "Semanal",
"Quinzenal", "Mensal", "Específico" e também em tempo real de execução.
8.1. Acessando Relatórios
Para ter acesso à janela de Relatórios deve-se:
Figura 86 – Auditoria (Relatório)
•
•
Clicar no menu Auditoria da janela de administração do Aker Web Gateway;
Selecionar o item Relatório.
134
8.2. Configurando os Relatórios
Figura 87 – Relatório
Esta janela é composta pelos tipos de agendamentos: "Diário", "Semanal", "Mensal",
"Quinzenal", "Específico" e em tempo real. Em todos será necessário escolher quais
sub-relatórios serão incluídos.
Para executar qualquer relatório, deve-se clicar com o botão direito do mouse sobre
ele. Aparecerá o seguinte menu: (este menu será acionado sempre que for
pressionado o botão direito, mesmo que não exista nenhum relatório selecionado.
Neste caso, somente as opção Inserir estará habilitada); inclusive podendo ser
executada a partir da barra de ferramentas.
•
Inserir: Esta opção permite incluir um novo relatório.
Ao tentar inserir um novo relatório constará três abas:
135
Aba Geral
Nesta aba serão configurados os seguintes campos:
Figura 88 – Configuração de relatório aba Geral
•
•
•
Título do Relatório: Atribuir nome ao relatório.
Agendamento: Definir hora que será gerado o relatório.
Formato do Relatório: Define em qual formato será gerado o relatório. As
opções de formato são:
•
•
•
TXT: Ao selecionar esta opção é gerado um arquivo chamado report.txt
que contém o relatório;
HTML: Ao selecionar esta opção é gerado um arquivo chamado
index.html que contém o relatório;
PDF: Ao selecionar esta opção é gerado um arquivo chamado report.pdf
que contém o relatório.
136
Em ambos os casos, o navegador será aberto automaticamente, exibindo o
conteúdo do arquivo correspondente ao relatório.
Aba Sub-relatório
Um sub-relatório é oferecido para que os níveis de detalhamento possam ser
evidenciados e a informação que compõe o relatório, seja mais objetiva.
Figura 89 – Configuração de relatório aba Sub-relatorio
Esta aba é composta por duas colunas, onde será necessário indicar filtros para
ambas.
Na coluna de "Subrelatório" deverá ser incluído qual tipo de subrelatório e como
será agrupado, por exemplo: "Não agrupar", "Quota", "Usuário". Esta opção varia
137
conforme o tipo de subrelatório selecionado. É possível definir relacionamentos com
lógica "E" ou "OU" e um limite para TOP.
Métodos de Publicação
•
Método FTP
Nesta aba, o usuário poderá indicar até três servidores para onde serão enviados os
relatórios via FTP.
Como utilizar:
•
•
•
•
Selecione o(s) servidor (es);
Digite o usuário;
Digite a senha de acesso;
Digite o caminho de destino do relatório.
138
Figura 90 – Configuração de relatório aba Método de Publicação (FTP)
•
Método SMTP
Nesta aba o usuário poderá indicar até três destinatários, para onde serão enviados
os relatórios através de e-mail.
Como utilizar:
•
•
Digite o endereço do remetente ("De");
Digite o endereço do destinatário ("Para");
139
•
•
Digite o "Assunto";
Caso deseje é possível incluir uma mensagem, no campo "Mensagem".
Figura 91 – Configuração de relatório aba Método de Publicação (SMTP)
Método Tempo Real
Esta opção permite a geração de relatório em tempo real, ou seja, o administrador
do Web Gateway pode gerar relatórios no momento em que desejar. O produto
continuará funcionando normalmente. Quando o relatório estiver pronto, salve-o em
um diretório conforme desejado, logo em seguida será exibido uma janela
mostrando o relatório.
140
8.3. Lista dos relatórios disponíveis
Abaixo segue os tipos de relatórios possíveis de serem gerados:
1.
2.
3.
4.
5.
6.
Quantidade de acessos web por usuários do autenticador;
Quantidade de acessos web por grupos do autenticador;
Quantidade de acessos web por perfis de acesso;
Quantidade de acessos web por endereço IP origem;
Quantidade de acessos web por endereço IP destino;
Quantidade de acesso por páginas Web (domínio), com possibilidade de seleção
das N páginas mais acessadas;
7. Quantidade de acesso por páginas Web (domínio), com possibilidade de seleção
das N páginas mais acessadas por grupos do autenticador;
8. Quantidade de acesso, relacionando conjunto de usuários e respectivas páginas
web mais acessadas;
9. Quantidade de acessos bloqueados por usuários, com possibilidade de seleção dos
N usuários com maior número de requisições a páginas proibidas;
10. Quantidade de downloads realizados (HTTP e FTP), com possibilidade de seleção
dos N arquivos mais baixados;
11. Categoria dos sites;
12. Downloads;
13. Sites bloqueados;
14. Categorias bloqueadas;
15. Downloads bloqueados;
16. IPs web;
17. IPs web bloqueados;
18. Quota - consumo de bytes;
19. Quota - consumo de tempo;
20. MSN - duração do chat;
21. Contabilidade de tráfego web - upload consumido;
22. Contabilidade de tráfego web - download consumido;
23. Contabilidade de tráfego web - tempo consumido;
24. Contabilidade de tráfego de downloads - upload consumido;
25. Contabilidade de tráfego de downloads - download consumido;
26. Contabilidade de tráfego de downloads - tempo consumido;
27. Contabilidade de tráfego de FTP - upload consumido;
28. Contabilidade de tráfego de FTP - download consumido;
29. Usuários que acessaram um site;
30. Usuários que foram bloqueados tentando acessar um site.
141
Exportação Agendada de
Eventos
142
9.
Exportação Agendada de Eventos
Este capítulo mostrará como configurar a exportação automática de Eventos. Aker
Web Gateway será referenciado neste manual como AWG.
Os registros de Eventos são exportados nos formatos TXT ou CSV, publicados via
FTP em até três sites distintos ou localmente em uma pasta do próprio Web
Gateway. Podem ser agendados das seguintes formas: "Diário", "Semanal" e/ou
“Mensal”.
9.1. Acessando a Exportação Agendada
Para ter acesso à janela de Exportação Agendada de Logs e Eventos deve-se:
Figura 92 – Auditoria (Exportação agendada de eventos )
•
•
Clicar no menu Auditoria da janela de administração do Aker Web Gateway;
Selecionar o item Exportação Agendada de Eventos.
143
9.2. Configurando a Exportação
Figura 93 – Exportação agendada de eventos
Esta janela é composta pelos tipos de agendamentos: "Diário", "Semanal" e
"Mensal".
Para executar qualquer exportação, deve-se clicar com o botão direito do mouse
sobre ele. Aparecerá o seguinte menu: (este menu será acionado sempre que for
pressionado o botão direito, mesmo que não exista nenhum relatório selecionado.
Neste caso, somente as opção Inserir estará habilitada); inclusive podendo ser
executada a partir da barra de ferramentas.
•
Inserir: Esta opção permite incluir um novo agendamento.
Ao tentar inserir um novo relatório constará duas abas:
144
Aba Geral
Nesta aba serão configurados os seguintes campos:
Figura 94 – Aba Geral
•
•
Título: Atribuir nome a exportação.
Formato do Relatório: Define em qual formato será gerado o relatório. As
opções de formato são:
• TXT;
•
CSV.
•
Tipo: Define qual informação será exportada:
• Eventos.
Agendamento: Definir hora que será realizada a exportação.
•
145
Aba Método de Publicação
Tipo de publicação FTP
Nesta aba, o usuário poderá indicar até três servidores para onde serão enviados os
dados via FTP.
Como utilizar:
•
•
•
•
Selecione o(s) servidor (es);
Digite o usuário;
Digite a senha de acesso;
Digite o caminho de destino do relatório
Figura 95 – Aba Método de Publicação (FTP)
146
Tipo de publicação Local
Nesta aba, o usuário poderá indicar em qual pasta local do Aker Web Gateway
deseja salvar os dados exportados.
Figura 96
147
Configurando parâmetros de
autenticação
148
10.
Configurando parâmetros de autenticação
Neste capítulo serão mostrados quais são e como devem ser configurados os
parâmetros de autenticação, essenciais para que seja possível a autenticação de
usuários pelo Aker Web Gateway. Aker Web Gateway será referenciado neste
manual como AWG.
O que são os parâmetros de autenticação ?
Os parâmetros de autenticação servem para informar ao Aker Web Gateway quais
as formas de autenticação que são permitidas, quais autenticadores devem ser
pesquisados na hora de autenticar um determinado usuário e em qual ordem. Além
disso, eles controlam a forma com que a pesquisa é feita, permitindo uma maior ou
menor flexibilidade para as autenticações.
10.1.
Figura 97 – Configuração (Autenticação)
•
•
Clicar no menu Configuração da janela Aker Web Gateways;
Selecionar o item Autenticação.
Essa janela consiste de quatro partes distintas:
•
•
a primeira aba corresponde ao Controle de Acesso onde os usuários e grupos
de autenticadores são associados com perfis de acesso. A configuração desta
aba será vista em detalhes em Perfis de Acesso de Usuários;
na segunda aba escolhe-se os Métodos de Autenticação onde se determina os
parâmetros relativos à autenticação de usuários por meio de nomes/senhas e se
149
•
•
•
•
configuram os parâmetros de autenticação por token (SecurID) e Autoridade
Certificadora (PKI);
a terceira aba configura-se a Autenticação para Proxies;
Na quarta e última aba é configurado o Controle de Acesso por IP que também
será visto com mais detalhes em Perfis de Acesso de Usuários.
O botão OK fará com que a janela de configuração de parâmetros seja fechada e as
alterações feitas manterão a janela aberta
efetuadas não sejam aplicadas.
Para ter acesso a janela de parâmetros de autenticação deve-se:
Aba Controle de Acesso
Figura 98 – Aba Controle de Acesso
A janela de controle de acesso permite que seja criada a associação de
usuários/grupos com um perfil de acesso.
Na parte inferior da janela existe um campo chamado Perfil Padrão onde é possível
selecionar o perfil que será associado aos usuários, que não se enquadrem em
nenhuma regra de associação.
150
A última coluna, quando preenchida, especifica redes e máquinas onde a
associação é válida. Se o usuário se encaixar na regra, mas estiver em um
endereço IP fora das redes e máquinas cadastradas, então a regra será pulada,
permitindo a atribuição de outro perfil ao usuário. Esse tipo de restrição é muito útil
para permitir acesso à áreas sensíveis da rede apenas de alguns locais físicos com
segurança aumentada.
Para associar um usuário ou grupo com um determinado perfil de acesso, deve-se
proceder da seguinte maneira:
1. Clicar com o botão direito do mouse na lista de regras e selecionar a opção
Inserir;
2. Selecionar o autenticador do qual se deseja obter a lista de usuários ou grupos,
clicando-se com o botão direito no campo Autenticador;
3. Clicar com o botão direito sobre o campo Usuário/Grupo e selecionar entre
listagem de usuários ou grupos e sua lista será montada automaticamente a
partir do autenticador selecionado. A partir da lista selecionar o usuário ou grupo
desejado.
Figura 99 – Autenticação de acesso: Listagem de grupos ou usuários
4. Clicar com o botão direito sobre o campo Perfil para selecionar o perfil desejado,
conforme o menu abaixo:
151
Figura 100 – Autenticação de acesso: Escolha do perfil desejado.
5. Caso queira, arraste algumas entidades máquina, rede ou conjuntos para o
campo entidades. Se o usuário estiver fora dessas entidades, a regra será
pulada.
Para remover uma regra entre um usuário/grupo e um perfil, deve-se proceder da
seguinte maneira:
1. Clicar na regra a ser removida, na lista da janela;
2. Clicar no botão Apagar.
Para alterar a posição de uma regra dentro da lista, deve-se proceder da seguinte
forma:
1. Clicar na regra a ser movida de posição;
2. Arrastar para a posição desejada.
A ordem das associações na lista é de fundamental importância. Quando um
usuário se autenticar, o Aker Web Gateway pesquisará a lista a partir do início
procurando pelo nome desse usuário ou por um grupo de que ele faça parte. Tão
logo um desses seja encontrado, o perfil associado ao mesmo será utilizado.
152
•
Aba Métodos
Figura 101 – Aba Métodos
•
Usuário/ Senha
Habilita autenticação usuário/senha: Essa opção indica se o Aker Web Gateway
aceitará ou não autenticação de usuários por meio de nomes/senhas. Caso ela
esteja ativa, deve-se configurar os demais parâmetros relativos a esse tipo de
autenticação:
Pesquisar todos autenticadores: Este parâmetro indica se o Aker Web Gateway
deve tentar validar um usuário nos próximos autenticadores da lista no caso de um
autenticador retornar uma mensagem de senha inválida.
Se esta opção estiver marcada, o Aker Web Gateway percorre todos os
autenticadores da lista, um a um, até receber uma resposta de autenticação correta
ou até a lista terminar. Caso ela não esteja marcada, a pesquisa será encerrada no
primeiro autenticador que retornar uma mensagem de autenticação correta ou de
senha inválida.
Esta opção só é usada para respostas de senha inválida. Caso um autenticador
retorne uma resposta indicando que o usuário a ser validado não está cadastrado
na base de dados de sua máquina, o Aker Web Gateway continuará a pesquisa no
próximo autenticador da lista, independentemente do valor desta opção.
153
Pesquisar autenticador interno: Este parâmetro indica se a base de usuários
locais do Aker Web Gateway - definida na pasta Autenticação Local - deve ser
consultada para validar a senha dos usuários. Se sim, também deve escolher no
combo box ao lado se essa base deve ser consultada antes ou depois dos demais
autenticadores.
Permitir domínios especificados pelo usuário: Este parâmetro indica se o
usuário na hora de se autenticar pode informar ao Aker Web Gateway em qual
autenticador ele deseja ser validado.
Se esta opção estiver marcada, o usuário pode acrescentar juntamente ao seu
nome, um sufixo formado pelo símbolo / e um nome de autenticador, fazendo com
que a requisição de autenticação seja enviada diretamente para o autenticador
informado. Caso ela não esteja marcada, a autenticação será feita na ordem dos
autenticadores configurada pelo administrador.
O uso desta opção não obriga o usuário a informar o nome do autenticador,
apenas permite que ele o faça, se desejar. Caso o usuário não informe, a
autenticação seguirá na ordem normal.
Para ilustrar a especificação de domínio, pode-se tomar como base um sistema no
qual existam dois autenticadores configurados, chamados de Unix e Windows
Server. Neste sistema, se um usuário chamado administrador desejar se autenticar
na máquina Windows Server, então ele deverá entrar com o seguinte texto, quando
lhe for solicitado seu login ou username: administrador/Windows Server. Caso ele
não informe o sufixo, o Aker Web Gateway tentará autenticá-lo inicialmente pela
máquina Unix e caso não exista nenhum usuário cadastrado com este nome ou a
opção Pesquisa em todos os autenticadores estiver marcada, ele então tentará
autenticar pela máquina Windows Server.
O nome do autenticador informado pelo usuário deve estar obrigatoriamente na
lista de autenticadores a serem pesquisados.
Desabilita inserção automática de regras de IDS: Ao selecionar esse campo, as
regras utilizadas para identificar invasões ao sistema não serão aplicadas de forma
automática.
Autenticadores a pesquisar
Para incluir um autenticador na lista de autenticadores a serem consultados, devese proceder da seguinte forma:
1. Clicar com o botão direito do mouse onde aparecerá um menu suspenso (figura
abaixo) ou arrastando a entidade autenticador para o local indicado.
154
Figura 102 - Autenticação de acesso: Adicionar entidades
2. Seleciona-se o a opção Adicionar entidades e o autenticador a ser incluído, na
lista mostrada à direita.
Para remover um autenticador da lista de pesquisa, deve-se proceder da seguinte
forma:
1. Selecionar o autenticador a ser removido e apertar a tecla delete ou
2. Clicar no botão direito do mouse e selecionar no menu suspenso o item Apagar
Figura 103 - Autenticação de acesso: Remover entidades
Para mudar a ordem de pesquisa dos autenticadores, deve-se proceder da seguinte
forma:
1. Selecionar o autenticador a ser mudado de posição na ordem de pesquisa;
2. Clicar em um dos botões à direita da lista: o botão com o desenho da seta para
cima fará com que o autenticador selecionado suba uma posição na lista. O
botão com a seta para baixo fará com que ele seja movido uma posição para
baixo na lista.
155
Dica: A adição ou remoção dos autenticadores pode ser feita diretamente com o
mouse, bastando clicar e arrastar os mesmos para a janela correspondente,
soltando em seguida.
Os autenticadores serão pesquisados na ordem que se encontram na lista, de
cima para baixo.
•
Token
Figura 104 – Aba Token
Habilita autenticação por token: Essa opção indica se o Aker Web Gateway
aceitará ou não a autenticação de usuários por meio de
tokens. Caso ela esteja
ativa, deve-se configurar o nome do autenticador token a ser consultado para validar
os dados recebidos.
Autenticador token a pesquisar: Este campo indica o autenticador token para o
qual os dados a serem validados serão repassados.
156
•
PKI
Figura 105 – Aba PKI
Habilita autenticação PKI: Essa opção indica se o Aker Web Gateway aceitará ou
não a autenticação de usuários por meio de smart cards. Caso ela esteja ativa,
deve-se configurar as autoridades certificadoras nas quais o Aker Web Gateway
confia.
Autoridades Certificadoras Confiáveis
Para incluir uma autoridade certificadora na lista de autoridades certificadoras
confiáveis, deve-se proceder da seguinte forma:
1.
2.
3.
4.
Clicar com o botão direito do mouse e escolher a opção Incluir Entidades;
Selecionar a autoridade a ser incluída;
Clique em Incluir;
Pode-se também clicar em uma autoridade certificadora e arrastá-la para
posição desejada.
Para remover uma autoridade certificadora da lista de autoridades confiáveis, devese proceder da seguinte forma:
1. Selecionar a autoridade a ser removida e apertar a tecla delete ou
157
2. Clicar no botão direito do mouse sobre a entidade a ser removida e escolher a
opção Apagar
•
Aba Autenticação para proxies
Figura 106 – Aba Autenticação para proxies
Estes parâmetros indicam que tipos de autenticação serão aceitas nos proxies e em
que ordem serão validadas. Isso é importante pois quando um usuário é autenticado
através de um browser, por exemplo, não é possível que ele especifique se está
utilizando token ou usuário/senha. As opções possíveis da configuração são:
•
•
•
•
Autenticador Token antes da autenticação usuário/senha;
Autenticação usuário/senha antes do autenticador token;
Somente autenticação por Token;
Somente autenticação usuário/senha.
158
•
Aba Autenticação Local
Figura – Aba Autenticação Local
Nessa pasta é possível cadastrar uma série de usuários e associar um grupo a cada
um deles. Se a opção de usar a base local de usuários estiver habilitada, então
esses usuários também serão verificados como se estivessem em um autenticador
remoto. Eles compõem o autenticador local.
Para incluir um usuário é necessário clicar com o botão da direita e escolher a
opção inserir, ou então usar a barra de ferramentas e até mesmo o botão insert do
teclado.
Figura – Menu para inclusão de usuário
Para alterar o nome do usuário e seu nome completo, basta dar um duplo clique no
campo correspondente:
159
Figura 109 - Criar ou remover grupos
Para alterar a senha ou o grupo a que está associado o usuário, use o menu de
contexto sobre o item, clicando com o botão direito do mouse.
Figura 110 – Autenticação (Alteração de senha ou grupo)
Para criar ou remover grupos, o procedimento é o mesmo, mas na lista lateral
direita.
160
•
Aba Controle de Acesso por IP
Figura 111 – Aba Controle de Acesso por IP
O Aker Web Gateway pode controlar os acessos por intermédio de endereços IP
conhecidos juntamente com perfis criados para este fim. Esta aba permite a
habilitação e a desabilitação individual das regras que configuram a autenticação
por IP, não sendo mais necessário ter que removê-las para desabilitá-las, podendo
ser habilitada ou desabilitada por meio da opção no menu suspenso ou por meio do
botão
localizado na barra de tarefas.
É necessário escolher uma entidade rede ou uma entidade máquina, que definirão a
origem do tráfego e associá-las ao perfil, de forma que o tráfego originário dessas
entidades não precisarão de autenticação por usuário.
O Acesso por IP estará habilitado sempre que houver pelo menos uma regra
habilitada nesta aba.
161
Aba NTLM
Figura 112 – Aba NTLM
A janela acima tem a função de configurar a integração do Aker Web Gateway ao
Microsoft Active Directory (AD) e utilizar o login automaticamente, sem que seja
solicitada a digitação no browser.
Esta integração é realizada através do Kerberos, Winbind e Samba e o
comportamento deste autenticador será idêntico aos outros tipos de autenticações
suportadas pelo Aker Web Gateway podendo listar os usuários e grupos para a
vinculação com os perfis de acesso.
Habilitar NTLM: ativando esta opção, uma entidade com o nome NTLM_Auth,
estará disponível para a configuração na Aba Métodos da janela de Autenticação.
Active directory:
Endereço IPv4: endereço IP do servidor com o Microsoft Active Directory;
Hostname: nome netbius do servidor com o Microsoft Active Directory, obtido
a partir do comando hostname executado neste servidor.
162
Autenticação
Usuário: usuário com privilégios de administração do domínio para
integração.
Senha: senha do usuário citado acima.
Status/Atualizar status: Informa o status da integração e logs em caso de falhas.
Para o bom funcionamento da integração o Web Gateway com o servidor com o
Microsoft Active Directory devem estar com a data e horas sincronizados através de
um servidor NTP.
Para que a integração funcione o domínio configurado no Aker Web Gateway na
janela Configuração do Sistema, TCP/IP, aba DNS, deve ser o mesmo domínio do
Microsoft Active Directory.
Esta integração está disponível somente para o Filtro Web, em próximas versões
a integração se estenderá para todas as funcionalidades do Aker Web Gateway.
Os usuários que não estiverem cadastrados no domínio do Microsoft Active
Directory a autenticação será realizada através de um POP-UP no browser do
usuário que será solicitada a cada 15 minutos. A janela que será apresentada a
estes usuários:
163
Figura 113 – Autenticação Java
A autenticação transparente está disponível somente para o Filtro Web e Modo
PROXY ATIVO, em próximas versões a integração se estenderá para todas as
funcionalidades do Aker Web Gateway.
10.2.
Utilizando a Interface Texto
A Interface Texto permite configurar qual o tipo de autenticação será realizada e a
ordem de pesquisa dos autenticadores. (E possível usar todos os comandos sem o
prefixo “FW”, para isso execute o comando “fwshell”, então todos os comando
poderão ser acessados sem o prefixo “FW”).
Localização do programa: /aker/bin/awg/fwauth
Sintaxe:
Aker Web Gateway
fwauth - Configura parametros de autenticacao
Uso: fwauth [mostra | ajuda]
fwauth [habilita | desabilita] [usuario/senha | pki | token]
fwauth [inclui | remove] [ca | token | autenticador] <entidade>
164
fwauth [dominio | pesquisa_todos] [sim | nao]
fwauth local [primeiro | ultimo | nao]
fwauth proxy [token | senha] [sim | nao]
fwauth proxy primeiro [token | senha]
mostra
= mostra a configuracao atual
ajuda
habilita
= habilita a autenticacao
desabilita
inclui
= desabilita a autenticacao
= inclui entidade na lista de autenticadores ativos
remove
= remove entidade da lista de autenticadores ativos
dominio
= configura se o usuario pode ou nao especificar dominio
local
= indica se o autenticador local deve ser consultado antes
dos demais autenticadores (primeiro), depois de todos
(ultimo) ou se nao deve ser utilizado (nao)
pesquisa_todos = configura se deve pesquisar em todos os autenticadores
proxy senha
= habilita autenticacao por proxies do tipo usuario/senha
proxy token
= habilita autenticacao por proxies do tipo Token
proxy primeiro = configura qual tipo de autenticacao sera usada primeiro
Exemplo 1: (mostrando os parâmetros de autenticação)
#auth
AUTENTICACAO
--------------------------Pesquisa
em
todos
Usuario
pode
especificar
Autenticador
local:
Nao ha autenticadores cadastrados
mostra
USUARIO/SENHA
autenticadores:
dominio:
nao
nao
primeiro
165
AUTENTICACAO
----------------Nao ha autenticadores cadastrados
PKI
AUTENTICACAO
----------------------Nao ha autenticadores cadastrados
TOKEN
Exemplo 2: (incluindo um autenticador na lista de autenticadores ativos)
#auth
inclui
Autenticador incluido
autenticador
"agente
10.0.0.12"
166
Perfil de Acesso de Usuários
167
11.
Neste capítulo mostraremos para que servem e como configurar perfis de acesso no
Aker Web Gateway.
11.1.
Planejando a instalação
O que são perfis de acesso?
O Aker Web Gateway baseia a sua proteção e o seu controle de acesso a partir de
máquinas, através de seus endereços IP. O AWG além desse tipo de controle
permite também o controle de acesso por usuários. Desta forma, é possível que
determinados usuários tenham seus privilégios e restrições garantidos,
independentemente de qual máquina estejam utilizando em um determinado
momento. Isso oferece o máximo em flexibilidade e segurança.
Para possibilitar este controle de acesso a nível de usuários, o Aker Web Gateway
introduziu o conceito de perfis de acesso. Perfis de acesso representam os direitos
a serem atribuídos a um determinado usuário no Aker Web Gateway. Estes direitos
de acesso englobam todos os serviços suportados pelo Aker Web Gateway, o
controle de páginas WWW (WORLD WIDE WEB) e o controle de acesso através do
proxy SOCKS. Desta forma, a partir de um único local, consegue definir exatamente
o que pode e não pode ser acessado.
Como funciona o controle com perfis de acesso?
Para utilizar os perfis de acesso, inicialmente cadastra-se os perfis desejados e
posteriormente associa-se estes perfis com usuários e grupos de um ou mais
autenticadores. A partir deste momento, todas as vezes que um usuário se logar no
Aker Web Gateway com o Aker Client ou outro produto que ofereça funcionalidade
equivalente, o Aker Web Gateway identificará o perfil de acesso correspondente a
este usuário e configurará as permissões de acesso de acordo com este perfil. Tudo
é feito de forma completamente transparente para o usuário final.
Para que seja possível o uso de perfis de acesso é necessário que o Cliente de
Autenticação ou o Cliente de Criptografia Aker estejam instalados em todas as
máquinas clientes ou que se use a opção de autenticação por Java no proxy HTTP.
Caso contrário, só será possível a utilização de controle de acesso a páginas WWW
(WORLD WIDE WEB) ou a serviços através do proxy SOCKS. A autenticação de
usuários através dos proxies WWW (WORLD WIDE WEB) (sem Java) e SOCKS é
possível na medida em que eles solicitarão um nome de usuário e uma senha e
pesquisarão o perfil correspondente quando não identificarem uma sessão ativa
para uma determinada máquina.
168
11.2.
Cadastrando perfis de acesso
Os perfis de acesso do Aker Web Gateway definem quais páginas WWW (WORLD
WIDE WEB) podem ser visualizadas e quais tipos de serviço podem ser acessados.
Para cada página WWW ou serviço, existe uma tabela de horários associada,
através da qual é possível definir os horários nos quais o serviço ou página podem
ser acessados.
Para ter acesso à janela de perfis de acesso deve-se:
Figura 114 – Configuração (Perfis)
•
•
Clicar no menu Configuração da janela de administração do Aker Web Gateway;
Selecionar o item Perfis.
169
A janela de Perfis
Figura 115 – Perfis
A janela de perfis contém todos os perfis de acesso definidos no Aker Web
Gateway. Ela consiste de uma lista onde cada perfil é mostrado em uma linha
separada.
•
•
O botão OK fará com que a janela de perfis seja fechada;
O botão Aplicar enviará para o Aker Web Gateway todas as alterações feitas
porém manterá a janela aberta.
Para executar qualquer operação sobre um determinado perfil, deve-se clicar sobre
ele e a seguir clicar na opção correspondente na barra de ferramentas. As
seguintes opções estão disponíveis:
170
Figura 116 – Opções de configuração de perfil
•
•
•
•
•
Inserir perfil filho: Incluir um novo perfil que é filho do perfil atual, i.e.,
estabelece uma hierarquia de perfis;
Inserir: Permitir a inclusão de um novo perfil na lista;
Copiar: Copiar o perfil selecionado para uma área temporária;
Colar: Copiar o perfil da área temporária para a lista;
Excluir: Remover da lista o perfil selecionado.
Todas as opções mostradas acima podem ser executadas a partir da barra de
ferramentas, bem como a opção de relatório dos Perfis, todos localizados logo
acima da lista. Neste caso, primeiro seleciona-se os itens para relatório, e em
seguida indica o caminho e clique no botão Gerar.
•
Relatório dos perfis: Gera relatório da lista de perfis em um documento HTML.
Para excluir um perfil de acesso, ele não poderá estar associado a nenhum
usuário (para maiores informações veja o tópico Associando Usuários com Perfis
de Acesso.
O perfil filho, criado com a opção Inserir perfil filho herdará automaticamente as
configurações do perfil pai.
Na parte superior de ambas as pastas, se encontra o campo Nome do Perfil, que
serve para especificar o nome que identificará unicamente o perfil de acesso. Este
nome será mostrado na lista de perfis e na janela de controle de acesso. Não
podem existir dois perfis com o mesmo nome.
Cada perfil de acesso é composto de sete tópicos diferentes. Dependendo do tópico
selecionado em um momento, a parte direita da janela mudará de modo a mostrar
as diferentes opções. Os tópicos de configuração são:
171
Geral
Figura 117 – Perfis (Geral)
As opções gerais de filtragem são definidas pelos seguintes campos:
Prioridade das Regras: Permite definir a prioridade entre as regras do perfil e as
regras de seus perfis filhos.
Configura a prioridade para as regras dos perfis filhos: Se esta opção
estiver marcada, as regras dos perfis filhos irão aparecer acima das regras
dos perfis pais, isto é, elas terão prioridade sobre as regras do pai. Caso
contrário, as regras do perfil pai terão prioridade sobre as regras dos seus
172
perfis filhos. Ou seja, nos perfis filhos, as regras herdadas do pai irão
aparecer acima de suas regras.
Isso se aplica às Regras de FTP, GOPHER, HTTP/HTTPS e MSN
Messenger.
Horário padrão: Esta tabela define o horário padrão para as regras de filtragem
WWW (WORLD WIDE WEB). Posteriormente, ao incluir as regras de filtragem
WWW, existe uma opção para utilizar este horário padrão ou especificar um horário
diferente.
As linhas representam os dias da semana e as colunas as horas. Caso queria que a
regra seja aplicável em determinada hora então o quadrado deve ser preenchido,
caso contrário o quadrado deve ser deixado em branco. Para facilitar sua
configuração, pode-se clicar com o botão esquerdo do mouse sobre um quadrado e
a seguir arrastá-lo, mantendo o botão pressionado. Isto faz com que o a tabela seja
alterada na medida em que o mouse se move.
FTP/GOPHER
Figura 118 – Perfis (FTP/GOPHER)
A pasta de filtragem FTP/GOPHER permite a definição de regras de filtragem de
URLs para os protocolos FTP e Gopher. Ela consiste de uma lista onde cada regra
é mostrada em uma linha separada.
173
Na parte inferior da pasta existe um grupo que define a ação a ser executada caso o
endereço que o cliente desejou acessar não se encaixe em nenhuma regra de
filtragem. Este grupo é chamado de Ação padrão para o protocolo e consiste de
três opções.
Permitir: Se esta opção for a selecionada, então o Aker Web Gateway aceitará as
URLs que não se enquadrarem em nenhuma regra.
Bloquear: Se esta opção for a selecionada, então o Aker Web Gateway rejeitará as
Para executar qualquer operação sobre uma determinada regra, basta clicar sobre
ela e a seguir clicar na opção correspondente na barra de ferramentas. As seguintes
opções estão disponíveis:
Figura 119 – Menu de opções (Perfis)
•
•
•
•
Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova será inserida na posição da regra selecionada. Caso
contrário, a nova regra será incluída no final da lista.
Excluir: Remover da lista a regra selecionada.
Copiar: Copiar a regra selecionada para uma área temporária.
Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver
selecionada, a nova será copiada para a posição da regra selecionada. Caso
contrário ela será copiada para o final da lista.
Dica: A posição de cada regra pode ser alterada, bastando clicar e arrastar a
mesma para a nova posição desejada, soltando em seguida. Observe que o cursor
de indicação do mouse irá mudar para uma mão segurando um bastão.
A ordem das regras na lista de regras de filtragem WWW (WORLD WIDE WEB) é
de fundamental importância. Ao receber uma solicitação de acesso a um endereço,
o Aker Web Gateway pesquisará a lista a partir do início, procurando por uma regra
na qual o endereço se encaixe. Tão logo uma seja encontrada, a ação associada a
ela será executada.
Cada regra de filtragem consiste de uma operação, que indica que tipo de pesquisa
será feita e, o texto a ser pesquisado. As seguintes opções de operação estão
disponíveis:
•
CONTÉM: A URL deve conter o texto informado em qualquer posição.
174
•
•
•
•
•
•
•
•
•
NÃO CONTÉM: A URL não pode conter o texto informado.
É: O conteúdo da URL deve ser exatamente igual ao texto informado.
NÃO É: O conteúdo da URL deve ser diferente do texto informado.
COMEÇA COM: O conteúdo da URL deve começar com o texto informado.
NÃO COMEÇA COM: O conteúdo da URL não pode começar com o texto
informado.
TERMINA COM: O conteúdo da URL deve terminar com o texto informado.
NÃO TERMINA COM: O conteúdo da URL não pode terminar com o texto
informado.
Expressão Regular: O campo a ser pesquisado deverá ser uma expressão
regular.
TUDO: Aceitara todo conteúdo da URL
Seguem as definições dos campos da janela:
N: Número da regra de filtragem.
Limite da busca: Esse campo permite escolher em qual parte da URL será feito a
busca, sendo que os parâmetros a serem pesquisados foram definidos no campo
padrões de texto.
Padrões de Textos: Ao clicar com o botão direito do mouse nesse campo, permite
selecionar uma entidade lista de padrões criada anteriormente. Com isso, será
possível associar a regra à uma entidade padrão de pesquisa, permitindo definir
qual será a string ou os parâmetros que serão pesquisados na URL acessada e qual
operação a ser efetuada.
Ação: Define a ação a ser executada caso o endereço que o usuário desejou
acessar não se encaixe em nenhuma regra de filtragem. Consiste em duas opções.
Categorias: Nesse campo, permite associar alguma entidade categoria à regra que
está sendo criada.
Canal: Usado nas regras de filtragem com o objetivo de limitar a banda de
determinados serviços, máquinas, redes e/ou usuários.
Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gastos pelos
funcionários, com acesso à sites da WEB. Assim as quotas são os limites em
termos de tempo de acesso e volume de dados, por usuário. Nessa opção permite
associar ao usuário alguma entidade quota criada.
175
Tempo: Período em que a regra é aplicada. Dia da semana e horário. Exemplo:
Permite definir que nas segundas-feiras e nas quartas-feiras o usuário terá acesso a
Internet somente das 12:00 às 14:00.
Período de validade: Período de validade e aplicação da regra. É definido em mês
e ano.
176
HTTP/HTTPS – Aba Geral
Figura 120 – HTTP/HTTPS
Bloquear: Este campo define as opções de bloqueio em sites WWW (WORLD
WIDE WEB). São elas:
•
URLs com endereço IP: Se esta opção estiver marcada, não será permitido o
acesso a URLs com endereços IP ao invés de nome (por exemplo,
http://127.0.0.1/index.html), ou seja, somente será possível se acessar URLs por
nomes.
Caso tenha configurado o proxy WWW (WORLD WIDE WEB) para fazer filtragem
de URLs, deve-se configurar esta opção de modo que o usuário não possa acessar
através de endereços IP, caso contrário, mesmo com o nome bloqueado, o usuário
continuará podendo acessar a URL através de seu endereço IP. É possível
acrescentar endereços IP nas regras de filtragem WWW (WORLD WIDE WEB) do
177
perfil (caso queria realizar filtragem com esta opção ativa), entretanto, devido a
estes sofrerem mudanças e ao fato de muitos servidores terem mais de um
endereço IP, isto se torna extremamente difícil.
Por outro lado, muitos administradores percebem que sites mal configurados
(especialmente os de webmail) utilizam redirecionamento para servidores pelo seu
endereço IP, de forma que, com esta opção desmarcada, tais sites ficam
inacessíveis.
•
Java, Javascript e Activex: Este campo permite definir uma filtragem especial
para páginas WWW, bloqueando, ou não, tecnologias consideradas perigosas ou
incômodas para alguns ambientes. Ela possui quatro opções que podem ser
selecionadas independentemente: Javascript, Java e ActiveX.
A filtragem de Javascript, Java e ActiveX é feita de forma com que a página
filtrada seja visualizada como se o browser da máquina cliente não tivesse suporte
para a(s) linguagem(ns) filtrada(s). Em alguns casos, isto pode fazer com que as
páginas percam sua funcionalidade.
•
Banners: Esta opção realiza o bloqueio de banners publicitários em páginas
Web. Caso ela esteja marcada, o Aker Web Gateway substituirá os banners por
espaços vazios na página, diminuindo o seu tempo de carga.
Uma vez configurado que se deve realizar o bloqueio, o mesmo será feito através
de regras globais, iguais para todos os perfis. Para configurar estas regras de
bloqueio de banners, basta:
Figura 121 – Aplicação (Bloqueio de banners)
•
•
Clicar no menu Aplicação da janela principal
Selecionar o item Bloqueio de banners
A janela abaixo irá ser mostrada:
178
Esta janela é formada por uma série de regras no formato de expressão regular.
Caso uma URL se encaixe em qualquer regra, a mesma será considerada um
banner e será bloqueada.
URL Bloqueada:
Permitir a configuração de qual ação deve ser executada pelo Web Gateway
quando um usuário tentar acessar uma URL não permitida. Ela consiste das
seguintes: opções:
Mostra mensagem padrão ao bloquear URL: Ao selecionar essa opção, o
Web Gateway mostrará uma mensagem de erro informando que a URL que
se tentou acessar se encontra bloqueada.
Redireciona URL bloqueada: Ao selecionar essa opção, o Web Gateway
redirecionará todas as tentativas de acesso a URLs bloqueadas para uma
URL especificada pelo administrador. Nesse caso, deve-se especificar a URL
para quais os acessos bloqueados serão redirecionados (sem o prefixo
http://) no campo abaixo.
Mostrar: Essa opção permite definir a página que será mostrada ao usuário,
quando a tentativa de acesso a uma URL for bloqueada. Então pode-se optar
em mostrar a página padrão ou redirecionar para a página escolhida, que
será personalizada de acordo com os chekboxes selecionados. Segue abaixo
a descrição de cada opção e o detalhamento das variáveis criadas.
Cada um checkbox selecionado, é um parâmetro. Isso é utilizado para
identificar aonde e porque a página foi bloqueada, por exemplo, se a página
foi bloqueada porque caiu em alguma categoria, passar por parâmetro qual a
categoria que causou o bloqueio da página.
Domínio: Ao selecionar essa opção será mostrada o domínio da URL.
Exemplo: Na url www.aker.com.br, o seu domínio seria aker.com.br.
Ao selecionar o domínio, é criada a variável domain.
Método: Informa qual o método utilizado pelo protocolo HTTP. Ex: GET, PUT,
POST. Ao selecionar o Método é criada a variável method.
Nome do Perfil: Nome dado, pelo usuário, ao perfil escolhido. Ao selecionar
essa opção é criada a variável perfil.
Ip do usuário: Endereço IP do usuário que tentou acessar a URL que foi
bloqueada. Ao selecionar o Método é criada a variável ip.
Razões: Ao selecionar a Razão é criada a variável reason. Ao habilitar essa
opção será mostrada a razão do bloqueio do site. Por exemplo, temos as
seguintes
razões:
179
"categoria
da
URL",
"regra
de
bloqueio",
"quota
bytes
excedidos",
"quota
bytes
insuficientes",
"quota
tempo
excedido",
"tipo
de
objeto
nao
permitido",
"tipo
de
arquivo
nao
permitido
globalmente",
"tipo
de
arquivo
nao
permitido
no
perfil",
"connect
para
a
porta
especificada
nao
permitido"
Nome da Categoria: Nome da Categoria que a URL foi associada. Ao
selecionar a Categoria é criada a variável cats.
Nome do Usuário: Nome do usuário que tentou acessar a URL. Ao
selecionar o nome do usuário é criada a variável user.
Número da regra: Número da Regra de Filtragem que a URL se enquadrou.
Ao selecionar o número da regra é criada a variável rule.
Site da URL bloqueado: Mostra a URL que o usuário tentou acessar e foi
bloqueada. Ao selecionar o Site da URL bloqueado é criada a variável url.
No preview, aparece como será a URL e o que será enviado via método
GET.
180
HTTP/HTPS – Aba Filtro de URL
Figura 123 – Aba Filtro de Url
A pasta de filtragem HTTP/HTTPS permite a definição de regras de filtragem de
URLs para os protocolos HTTP e HTTPS. Ela consiste de uma lista onde cada regra
é mostrada em uma linha separada.
O protocolo HTTPS, para a URL inicial é filtrado como se fosse o protocolo
HTTP. Além disso, uma vez estabelecida a comunicação não é mais possível para o
Aker Web Gateway filtrar qualquer parte de seu conteúdo, já que a criptografia é
realizada diretamente entre o cliente e o servidor.
Na parte inferior da pasta existe um grupo que define a ação a ser executada caso o
endereço que o cliente desejou acessar não se encaixe em nenhuma regra de
filtragem. Este grupo é chamado de Ação padrão para o protocolo e consiste de
três opções.
Para executar qualquer operação sobre uma determinada regra, basta clicar sobre
ela e a seguir clicar na opção correspondente na barra de ferramentas. As seguintes
opções estão disponíveis:
181
Figura 124 – Menu de opções (Filtro de Url)
•
•
•
•
Inserir: Permitir a inclusão de uma nova regra na lista. Se alguma regra estiver
selecionada, a nova será inserida na posição da regra selecionada. Caso
contrário, a nova regra será incluída no final da lista.
Colar: Copiar a regra da área temporária para a lista. Se uma regra estiver
selecionada, a nova será copiada para a posição da regra selecionada. Caso
contrário ela será copiada para o final da lista.
Dica: A posição de cada regra pode ser alterada, bastando clicar e arrastar a
mesma para a nova posição desejada, soltando em seguida. Observe que o cursor
de indicação do mouse irá mudar para uma mão segurando um bastão.
A ordem das regras na lista de regras de filtragem WWW é de fundamental
importância. Ao receber uma solicitação de acesso a um endereço, o Aker Web
Gateway pesquisará a lista a partir do início, procurando por uma regra na qual o
endereço se encaixe. Tão logo uma seja encontrada, a ação associada a ela será
executada.
Cada regra de filtragem consiste de uma operação, que indica que tipo de pesquisa
será feita e, o texto a ser pesquisado. As seguintes opções de operação estão
disponíveis:
•
•
•
•
•
•
•
•
•
•
CONTÉM: A URL deve conter o texto informado em qualquer posição.
NÃO CONTÉM: A URL não pode conter o texto informado.
É: O conteúdo da URL deve ser exatamente igual ao texto informado.
NÃO É: O conteúdo da URL deve ser diferente do texto informado.
COMEÇA COM: O conteúdo da URL deve começar com o texto informado.
NÃO COMEÇA COM: O conteúdo da URL não pode começar com o texto
informado.
TERMINA COM: O conteúdo da URL deve terminar com o texto informado.
NÃO TERMINA COM: O conteúdo da URL não pode terminar com o texto
informado.
Expressão Regular: O campo a ser pesquisado deverá ser uma expressão
regular.
TUDO: Aceitara todo conteúdo da URL
182
Seguem as definições dos campos da janela:
N: Número da regra de filtragem.
Limite da busca: Esse campo permite escolher em qual parte da URL será feito a
busca, sendo que os parâmetros a serem pesquisados foram definidos no campo
padrões de texto.
Padrões de Textos: Ao clicar com o botão direito do mouse nesse campo, permite
selecionar uma entidade lista de padrões criada anteriormente. Com isso, será
possível associar a regra à uma entidade padrão de pesquisa, permitindo definir
qual será a string ou os parâmetros que serão pesquisados na URL acessada e qual
operação a ser efetuada.
Ação: Define a ação a ser executada caso o endereço que o usuário desejou
Categorias: Nesse campo, permite associar alguma entidade categoria à regra que
está sendo criada.
Canal: Usado nas regras de filtragem com o objetivo de limitar a banda de
determinados serviços, máquinas, redes e/ou usuários.
Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gastos pelos
Tempo: Período em que a regra é aplicada. Dia da semana e horário. Exemplo:
Permite definir que nas segundas-feiras e nas quartas-feiras o usuário terá acesso a
Internet somente das 12:00 às 14:00.
Período de validade: Período de validade e aplicação da regra. É definido em mês
e ano.
183
Aba Arquivos Bloqueados
Figura 125 – Aba Arquivos Bloqueados
Especificar os arquivos que serão bloqueados pelo perfil juntamente com o Filtro
Web.
É possível utilizar dois critérios complementares para decidir se um arquivo
transferido deve ser bloqueado: a extensão do arquivo ou seu tipo MIME. Se um
destes critérios for atendido, em outras palavras, se a extensão do arquivo estiver
entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre
aqueles a serem bloqueados, então o arquivo deverá ser bloqueado pelo Web
Gateway.
O tipo MIME é usado para indicar o tipo de dado que está no corpo de uma resposta
em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo
e o segundo indica o subtipo. O navegador usa esta informação para decidir como
mostrar a informação que ele recebeu do mesmo modo como o sistema operacional
usa a extensão do nome do arquivo.
184
Sites Excluídos:
Deve-se escolher a operação e o texto a ser incluído para análise. Sites que se
enquadrarem na lista de excluídos não serão analisados.
Opções de operação:
Figura 126 – Opções de operação
URL Bloqueada:
Permitir a configuração de qual ação deve ser executada pelo Web Gateway
quando um usuário tentar acessar uma URL não permitida. Ela consiste das
seguintes: opções:
Web Gateway mostrará uma mensagem de erro informando que a URL que
se tentou acessar se encontra bloqueada.
Redireciona URL bloqueada: Ao selecionar essa opção, o Web Gateway
redirecionará todas as tentativas de acesso a URLs bloqueadas para uma
URL especificada pelo administrador. Nesse caso, deve-se especificar a URL
para quais os acessos bloqueados serão redirecionados (sem o prefixo
http://) no campo abaixo.
185
será personalizada de acordo com os chekboxs selecionados. Segue abaixo
Cada um desses checkbox selecionado, é um parâmetro. Isso é utilizado para
seguintes
razões:
"categoria
da
URL",
"regra
de
bloqueio",
"quota
bytes
excedidos",
"quota
bytes
insuficientes",
"quota
tempo
excedido",
"tipo
de
objeto
nao
permitido",
"tipo
de
arquivo
nao
permitido
globalmente",
"tipo
de
arquivo
nao
permitido
no
perfil",
"connect
para
a
porta
especificada
nao
permitido"
186
GET.
MSN Messenger
Figura 127 – MSM Messenger (Perfis)
Essa pasta permite configurar as opções de uso do MSN Messenger e seus
serviços. Para mais informações, veja o capítulo Configurando o Proxy MSN. As
Permite Messenger: Se esta opção estiver desmarcada, os usuários que
pertencerem a este perfil não poderão acessar o Messenger, mesmo que exista
uma regra de filtragem permitindo este acesso.
É fundamental que o tipo mime do Messenger esteja bloqueado no proxy HTTP,
caso contrário poderá ser possível acessar o Messenger através deste serviço. Esta
opção de bloqueio já vem configurada como padrão, mas é importante atentar a isso
caso se realize configurações no proxy HTTP.
Não Filtrado: Esta opção só estará disponível caso a caixa Permite Messenger
esteja ativa. Ela indica que o usuário poderá usar MSN Messenger, sem nenhum
tipo de filtragem (ex: tempo de conversação, etc.).
Filtrado: Esta opção só estará disponível caso a caixa Permite Messenger esteja
ativa. Ela indica que o usuário poderá usar o MSN Messenger, porém de forma
controlada, ou seja, definida através das regras de filtragem para este serviço.
187
Permite notificações do Hotmail: Esta opção (que só estará ativa caso o acesso
filtrado ao MSN Messenger tenha sido selecionado) permite que o usuário receba
notificações de mensagens disponíveis no Hotmail.
Incluir conversas nos registros de log: Esta opção registrará todas as conversas
entre os usuários.
Bloquear versão: Estas opções permitem que sejam bloqueadas as versões
específicas do cliente MSN Messenger.
Caso tenha selecionado a opção de acesso controlado ao Messenger, é necessário
criar uma ou mais regras para definir que tipo de acesso será permitido. Para
executar qualquer operação sobre uma regra, basta clicar sobre ela com o botão
direito e a seguir escolher a opção desejada no menu que irá aparecer. As
Figura 128 – Menu de opções (MSN Messenger)
•
•
•
•
•
Inserir: Permitir a inclusão de uma nova regra na lista.
Colar: Copiar a regra da área temporária para a lista.
Desabilitar: Ativar ou desativar a regra selecionada na lista.
Cada regra MSN consiste das seguintes opções:
Origem: Endereço de e-mail do usuário que enviou a mensagem, ou seja que
iniciou a conversa.
Destino: Nesta coluna pode-se controlar com quem os usuários internos irão
conversar, para isso deve-se inserir uma ou mais entidades do tipo Lista de e-mails
(para maiores informações veja o capítulo (Cadastrando entidades), contendo a
lista de e-mails ou domínios liberados.
Tipos de Arquivos Permitidos: Nesta coluna pode-se definir que tipos de arquivos
podem ser enviados/recebidos através do Messenger. Para isso deve-se inserir uma
ou mais entidades do tipo Lista de Tipo de Arquivo (para maiores informações veja o
capítulo Cadastrando entidades), contendo a lista de tipos de arquivos permitidos.
Serviços Permitidos: Nesta coluna pode-se especificar quais serviços adicionais
podem ser utilizados através do Messenger. A definição dos tipos de serviços
188
possíveis é feita dentro da configuração do proxy MSN. Para maiores informações
veja o capítulo Configurando o proxy MSN.
Log: Se estiver marcado, informação sobre as conversas de todos os usuários
serão registradas. Os seguintes dados estarão disponíveis no log: logon/logoff de
usuário, transferência de arquivos, utilização de serviço adicional e início e fim de
conversa.
Pastas compartilhadas: Nesta opção opta por permitir ou não que o usuário
compartilhe pastas no MSN.
Tabela de Horários: Horário em que o usuário poderá utilizar o serviço Messenger,
dividido nas 24 horas do dia. Caso seja desejado é possível copiar o horário padrão
do perfil de acesso, clicando-se com o botão direito sobre a tabela de horários e
selecionando-se a opção Usar tabela de horário padrão do perfil.
Ação: Define a ação a ser executado caso o endereço que o usuário desejou
Permitir: Se esta opção for a selecionada, então o Web Gateway aceitará as URLs
que não se enquadrarem em nenhuma regra.
Bloquear: Se esta opção for a selecionada, então o Web Gateway rejeitará as URLs
que não se enquadrarem em nenhuma regra.
Quota: As Quotas são utilizadas para controlar e racionalizar o tempo gasto pelos
189
11.3.
Associando Usuários com Perfis de Acesso
Uma vez que os perfis de acesso estão criados, torna-se necessário associá-los a
usuários e grupos de um ou mais autenticadores ou autoridades certificadoras do
Aker Web Gateway. Isto é feito através da janela de controle de acesso.
Para ter acesso a janela de controle de acesso deve-se:
Figura 129 – Configurações (Autenticação)
•
•
•
Clicar no menu Configurações da janela principal
Selecionar o item Autenticação
Selecionar a pasta Controle de Acesso
190
Aba Controle de Acesso
Figura 130 – Autenticação
A janela de controle de acesso permite que seja criada a associação de
usuários/grupos com um perfil de acesso.
Na parte inferior da janela existe um campo chamado Perfil Padrão onde é possível
selecionar o perfil que será associado aos usuários, que não se enquadrem em
nenhuma regra de associação.
A última coluna, quando preenchida, especifica redes e máquinas onde a
associação é válida. Se o usuário se encaixar na regra, mas estiver em um
endereço IP fora das redes e máquinas cadastradas, então a regra será pulada,
permitindo a atribuição de outro perfil ao usuário. Esse tipo de restrição é muito útil
para permitir acesso à áreas sensíveis da rede apenas de alguns locais físicos com
segurança aumentada.
Para associar um usuário ou grupo com um determinado perfil de acesso, deve-se
proceder da seguinte maneira:
1. Clicar com o botão direito do mouse na lista de regras e selecionar a opção
Inserir.
2. Selecionar o autenticador do qual se deseja obter a lista de usuários ou grupos,
clicando-se com o botão direito no campo Autenticador. Para maiores
191
informações sobre os autenticadores, veja o capítulo intitulado Configurando
parâmetros de autenticação.
3. Clicar com o botão direito sobre o campo Usuário/Grupo e selecionar entre
listagem de usuários ou grupos e sua lista será montada automaticamente a
partir do autenticador selecionado. A partir da lista selecionar o usuário ou grupo
desejado.
Figura 131 – Escolha de usuário
4. Clicar com o botão direito sobre o campo Perfil para selecionar o perfil desejado,
conforme o menu abaixo:
Figura 132 – Menu de opções
192
5. Caso deseje, arraste algumas entidades máquina, rede ou conjuntos para o
campo entidades. Se o usuário estiver fora dessas entidades, a regra será
pulada.
Para remover uma regra entre um usuário/grupo e um perfil, deve-se proceder
da seguinte maneira:
1. Clicar na regra a ser removida, na lista da janela.
2. Clicar no botão Apagar.
Para alterar a posição de uma regra dentro da lista, deve-se proceder da seguinte
forma:
1. Clicar na regra a ser movida de posição.
2. Arrastar para a posição desejada.
A ordem das associações na lista é de fundamental importância. Quando um
usuário se autenticar, o Aker Web Gateway pesquisará a lista a partir do início
procurando pelo nome desse usuário ou por um grupo de que ele faça parte. Tão
logo um desses seja encontrado o perfil associado ao mesmo será utilizado.
Aba Controle de Acesso por IP
Figura 133 – Autenticação (Aba Controle de Acesso)
193
O Aker Web Gateway pode controlar os acessos por intermédio de endereços IP
conhecidos juntamente com perfis criados para este fim. Esta aba permite a
habilitação e a desabilitação individual das regras que configuram a autenticação
por Ip, não sendo mais necessário ter que removê-las para desabilitá-las, podendo
ser habilitada ou desabilitada por meio da opção no menu suspenso ou por meio do
botão
localizado na barra de tarefas.
É preciso escolher uma entidade rede ou uma entidade máquina, que definirão a
origem do tráfego e associá-las ao perfil, de forma que o tráfego originário dessas
entidades não precisarão de autenticação por usuário.
O Acesso por IP estará habilitado sempre que houver pelo menos uma regra
habilitada nesta aba.
194
Visualizando Usuários
Conectados
195
12.
Neste capítulo mostraremos a opção de visualizar os usuários conectados no Aker
Web Gateway.
12.1.
Visualizando e Removendo Usuários Logados no Aker Web Gateway
É possível visualizar a qualquer momento os usuários que possuem sessão
estabelecida com o Aker Web Gateway, através do cliente de autenticação, e
remover uma destas sessões. Isto é feito através da janela de usuários logados.
Para ter acesso a janela de usuários logados deve-se:
Figura 134 – Informação ( Usuários conectados)
•
•
Clicar no menu Informação da janela de administração do Aker Web Gateway
Selecionar Usuários Conectados
196
A janela de Usuários Conectados
Figura 135 – Usuários conectados
Esta janela consiste de uma lista com uma entrada para cada usuário. Na parte
inferior da janela é mostrada uma mensagem informando o número total de usuários
com sessões estabelecidas um determinado instante. Para os usuários logados via
Secure Roaming, serão mostrados também os dados da conexão (endereço IP e
portas) junto com o estado de estabelecimento da mesma.
•
•
•
O botão OK faz com que a janela de usuários seja fechada.
O botão Cancelar fecha a janela.
A caixa Itens selecionados no topo coloca os itens que foram selecionados
para o topo da janela de usuários conectados.
Barra de Ferramentas de Usuários Conectados:
O botão Atualiza faz com que as informações mostradas sejam atualizadas
periodicamente de forma automática ou não. Clicando-se sobre ele, alterna-se entre
os dois modos de operação. O intervalo de atualização pode ser configurado
mudando-se o valor logo a direita deste campo.
O botão Buscar, localizado na barra de ferramentas, permite remover uma sessão
de usuário. Para tal deve-se primeiro clicar sobre a sessão que deseja remover e a
197
seguir clicar neste botão (ele estará desabilitado enquanto não existir nenhuma
sessão selecionada).
O botão DNS, localizado na barra de ferramentas, acionará o serviço de nomes
(DNS) para resolver os nomes das máquinas cujos endereços IPs aparecem
listados. Cabem ser observados os seguintes pontos:
1. A resolução de nomes muitas vezes é um serviço lento e, devido a isso, a
tradução dos nomes é feita em segundo plano.
2. Muitas vezes, devido a problemas de configuração do DNS reverso (que é o
utilizado para resolver nomes a partir de endereços IP), não será possível a
resolução de certos endereços. Neste caso, os endereços não resolvidos serão
mantidos na forma original e será indicado ao seu lado que eles não possuem
DNS reverso configurado.
É possível ordenar a lista das sessões por qualquer um de seus campos, bastanto
para isso clicar no título do campo. O primeiro click produzirá uma ordenação
ascendente e o segundo uma ordenação descendente.
Significado dos campos de uma sessão de usuário ativa
Cada linha presente na lista de sessões de usuários representa uma sessão. O
significado de seus campos é o seguinte:
Ícone: É mostrado a esquerda do nome de cada usuário e pode assumir três formas
distintas:
Cadeado: Este ícone indica que o usuário se logou através do cliente de criptografia
apenas.
Usuário: Este ícone indica que o usuário se logou através do cliente de
autenticação apenas.
Usuário dentro do cadeado: Este ícone indica que o usuário se logou através do
cliente de autenticação e de criptografia.
Máquina: Endereço IP ou nome (caso o DNS esteja ativo) da máquina na qual a
sessão foi estabelecida.
Nome: Nome do usuário que estabeleceu a sessão.
Domínio: Nome do domínio, i.e. autenticador, no qual o usuário se autenticou. Caso
o usuário não tenha especificado domínio ao se logar, este campo aparecerá em
branco.
Perfil: Qual o perfil de acesso correspondente a esta sessão. Se este campo está
em branco, o usuário se autenticou antes de a tabela de perfis ser alterada, de
forma que ele está utilizando um perfil que não existe mais.
198
Início: Hora de abertura da sessão.
12.2.
A Interface Texto para acesso à lista de usuários logados possui as mesmas
capacidades da Interface Remota e é simples de ser utilizado. Ele é o mesmo
programa que produz a lista de conexões ativas TCP e UDP, mostrado
anteriormente. E possível usar todos os comandos sem o prefixo “FW”, para isso
execute o comando “fwshell”, então todos os comando poderão ser acessados sem
o prefixo “FW”).
Localização do programa: /aker/bin/awg/fwlist
Sintaxe:
Aker Web Gateway
fwlist - Lista e remove conexoes TCP/UDP e sessoes ativas
Uso: fwlist ajuda
fwlist mostra [[-w] [TCP]] | [UDP]
fwlist mostra [sessoes | roaming | bloqueados | quotas | www]
fwlist remove [TCP | UDP] IP_origem Porta_origem IP_destino Porta_destino
fwlist remove sessao IP_origem [usuario]
fwlist remove bloqueado IP_origem
fwlist reinicia [ usuario <nome> ] [ quota <nome> ] [tempo] [volume]
ajuda
mostra = lista as conexoes ou sessoes ativas
remove = remove uma conexao ou sessao ativa
reinicia = reinicia a quota dos usuarios
Exemplo 1: (listando as sessões de usuários logados no Aker Web Gateway)
#list mostra sessoes
Nome/Dominio
Perfil
IP
origem
------------------------------------------------------------------------------© Aker Security Solutions
Inicio
199
administrador/BSB
Admin
jose.silva/GOA
Padrao5
joao.souza/POA
Padrao3
josemaria/GRU
Padrao3
angelam/BSB
1
Restrito
marciam/POA
Restrito
antonioj/POA
Especial
operador/BSB Padrao 10.151.2.1 20:44:34
10.20.1.1
10.45.1.1
10.57.1.1
10.78.1.1
10.22.1.1
10.235.1.1
10.42.2.1
08:11:27
07:39:54
07:58:10
08:01:02
08:48:31
10:49:44
06:02:19
Exemplo 2: (removendo a sessão do usuário logado a partir da máquina 10.19.1.1)
#list
remove
sessao
A remocao da sessao foi solicitada ao servidor de usuarios
10.19.1.1
200
Quotas
201
13.
Quotas
Neste capítulo mostraremos como são utilizadas as quotas.
13.1.
Utilizando as quotas
O que são quotas?
A produtividade dos funcionários é de fundamental importância para o
desenvolvimento e o crescimento de uma empresa. Portanto, os seus recursos de
rede devem ser utilizados de forma racional. A partir dessa necessidade, o Aker
Web Gateway tornou-se uma ferramenta indispensável para o controle de acesso às
páginas web, que são visitadas pelos empregados de uma corporação. Com o uso
desse produto, os usuários só terão acesso à sites dentro dos limites estabelecidos
pelas quotas de acesso. As Quotas são utilizadas para controlar e racionalizar o
tempo gasto pelos funcionários, com acesso à sites da WEB. Assim as quotas são
os limites em termos de tempo de acesso e volume de dados, por usuário. Estes
limites são definidos na seguinte forma:
•
•
•
Quanto a periodicidade de acesso, pode ser definido diariamente, semanalmente
e mensalmente;
Quanto a quantidade de horas e de dias disponíveis;
Quanto ao volume de dados de bytes trafegados.
Observação 1: A contagem do tempo funciona da seguinte forma: quando o usuário
acessa uma página, conta um relógio de 31 segundos, se o usuário acessar uma
outra página, começa a contar do zero, mas não deixar de contar, por exemplo, os
10 segundos que o usuário gastou ao acessar a página anterior.
Observação 2: Para o consumo de quota, funciona da seguinte forma: no MSN,
para cada janela de conversação, o tempo é contado separadamente, já na WEB se
tiver acessando 10 sites, será contato somente o tempo de um.
202
13.2.
Editando os parâmetros do Uso da Quota
Figura 136 – Informação (Uso de quotas)
•
•
Clicar no menu Informação da janela do Aker Web Gateway
Selecionar o item Uso da quota
203
Visualização do Uso da quota
Agrupamento por usuário
Figura 137 – Uso de quotas – agrupamento por usuário
Esta janela permite mostrar todas as informações de quota de acesso, especificadas
por usuário.
Reinicia tempo de todas as quotas do usuário: Ao clicar com o botão direito do
mouse em cima do usuário e ao selecionar essa opção zera toda a quota de tempo
de acesso para todas as quotas desse usuário. Caso clique em cima da quota, só
será zerado aquela quota específica referente a esse usuário.
Reinicia tráfego de todas as quotas do usuário: Ao clicar com o botão direito do
mouse em cima do usuário e ao selecionar essa opção opta em zerar todas as
quotas de volume de dados desse usuário. Caso clique em cima da quota, só será
zerado aquela quota específica referente a esse usuário.
Reinicia tempo e tráfego de todas as quotas do usuário: Ao clicar com o botão
direito do mouse em cima do usuário e ao selecionar essa opção opta em zerar toda
204
quota de tempo de acesso e a quota de volume, para esse usuário. Caso clique em
cima da quota, só será zerado aquela quota específica referente a esse usuário.
Usuário: Usuário para qual foi aplicado a quota.
Quota: Nome da quota criada.
Tempo: Tempo gasto da quota.
Volume: Quantidade de bytes trafegados.
Regularidade: Período que a quota vai ser aplicada, se é diariamente,
semanalmente ou mensalmente.
Mostra valores relativos: Mostra em forma de porcentagem as quotas gastas.
Agrupamento por quota
Figura 138 - Uso de quotas – agrupamento por quota
Esta janela permite mostrar todas as informações de quota de acesso, especificados
por quota.
205
Reinicia tempo do usuário: Ao clicar com o botão direito do mouse em cima do
usuário e ao selecionar essa opção zera toda a quota de tempo de acesso para
todas as quotas desse usuário. Caso clique em cima da quota, só será zerado
aquela quota específica referente a esse usuário.
Reinicia tráfego do usuário: Ao clicar com o botão direito do mouse em cima do
usuário e ao selecionar essa opção opta em zerar todas as quotas de volume de
dados desse usuário. Caso clique em cima da quota, só será zerado aquela quota
específica referente a esse usuário.
Reinicia hora e tráfego do usuário: Ao clicar com o botão direito do mouse em
cima do usuário e ao selecionar essa opção opta em zerar toda quota de tempo de
acesso e a quota de volume, para esse usuário. Caso clique em cima da quota, só
será zerado aquela quota específica referente a esse usuário.
Quota: Nome da quota criada.
Usuário: Usuário para qual foi aplicado a quota.
Tempo: Tempo gasto da quota.
Volume: Quantidade de bytes trafegados.
Regularidade: Período que a quota vai ser aplicada, se é diariamente,
semanalmente ou mensalmente.
Mostra valores relativos: Mostra em forma de porcentagem os valores das quotas.
206
Configurando Filtro Web
207
14.
Configurando Filtro Web
Neste capítulo mostraremos para que serve e como configurar o Filtro Web.
14.1.
O que é o Filtro Web do Aker Web Gateway?
O Filtro Web é um programa especializado do Aker Web Gateway feito para
trabalhar com os protocolos que compõem a chamada WWW (World Wide Web).
Dentre entre estes protocolos, estão o HTTP, HTTPS, FTP e Gopher.
Este produto possui como principal função controlar o acesso dos usuários internos
à Internet, definindo quais páginas os usuários poderão acessar e se podem ou não
transferir arquivos, por exemplo. Além disso, ele pode bloquear tecnologias
consideradas perigosas para algumas instalações como o Active-XTM, scripts
(JavaScript) e até applets JavaTM. Mais ainda, ele possibilita a remoção dos banners
das páginas, de forma a aumentar a sua velocidade de carga e reduzir a utilização
do link.
Ele é um proxy simultaneamente transparente (apenas para HTTP) e não
transparente (para maiores informações, veja o capítulo intitulado Trabalhando
com proxies), facilitando a instalação do sistema.
Quando utilizado da forma transparente, o proxy é normalmente mais rápido de
ser configurado do que quando utilizado como um proxy normal, não necessitando
de configuração extra nos clientes. Por outro lado, a capacidade de filtrar URLs para
os protocolos HTTPS, FTP e GOPHER só existe no proxy normal.
Para que o proxy não transparente tenha a mesma performance do transparente,
é necessário que os browsers suportem o envio de requisições HTTP 1.1 via
proxies.
O que é um servidor de cache WWW?
Um servidor de cache é um programa que visa aumentar o velocidade de acesso às
páginas da Internet. Para conseguir isso, ele armazena internamente as páginas
mais utilizadas pelas diversas máquinas clientes e todas as vezes que recebe uma
nova solicitação, ele verifica se a página desejada já se encontra armazenada. Caso
a página esteja disponível, ela é retornada imediatamente, sem a necessidade de
consultar o servidor externo, caso contrário a página é carregada normalmente do
servidor desejado e armazenada, fazendo com que as próximas requisições a esta
página sejam atendidas rapidamente.
208
O Filtro Web do Aker Web Gateway trabalhando com um servidor de cache
O Aker Web Gateway não implementa por si só um servidor de cache no seu proxy
WWW, entretanto ele pode ser configurado para trabalhar com qualquer um que
siga os padrões de mercado. Este servidor de cache pode estar rodando na própria
máquina onde o Aker Web Gateway se encontra ou em uma máquina separada.
Caso utilize-se de um servidor de cache em uma máquina separada (modo de
instalação recomendado), esta máquina deve ficar em uma sub-rede diferente de
onde estão as máquinas clientes, caso contrário todo o controle de segurança pode
ser facilmente ultrapassado. Este tipo de configuração pode ser visualizado na
seguinte figura:
Figura 139 - Conexão (Internet, rede interna, firewall e DMZ.
Neste tipo de instalação, para assegurar uma total proteção, basta configurar o
servidor de Cache para permitir conexões com origem somente do Aker Web
Gateway e não permitir que as máquinas clientes não possam abrir conexões em
sua direção. Feito isso, configura-se todas as máquinas clientes para utilizarem o
proxy WWW do Aker Web Gateway e configura-se o Aker Web Gateway para
utilizar o cache na máquina desejada.
Utilizando o Filtro Web
Para se utilizar o Filtro web do Aker Web Gateway no modo não transparente
(normal), é necessária a seguinte sequência de passos:
1. Criar os perfis de acesso desejados e os associar com os usuários e grupos
desejados. Isso foi descrito no capítulo chamado Perfis de acesso de usuários.
209
2. Editar os parâmetros de configuração do proxy WWW (isso será mostrado no
tópico chamado Editando os parâmetros do Filtro Web).
O proxy WWW não transparente escuta conexões na porta 80, utilizando o
protocolo TCP. Caso seja necessário, pode-se alterar este valor para qualquer
porta, bastando para isso acrescentar o parâmetro -p porta, onde porta é o número
da porta que queira que ele escute, na hora de iniciá-lo. Esta chamada se encontra
no arquivo /aker/Bin/awg/rc.aker, e deve ser alterada de /aker/bin/awg/fwhttppd
para /aker/bin/awg/fwhttppd -p 8080, por exemplo.
Somente será gerado eventos de acesso a sites seguros (https) quando
estivermos utilizando o Aker Web Gateway como Proxy WWW Ativo, nos browsers
dos usuários, para os clientes que utilizam o Aker Web Gateway como proxy WWW
Transparente o único log gerado é o de acesso ao host e a porta tcp 443 (https).
14.2.
Editando os parâmetros do Filtro Web
Para utilizar o proxy www, é necessário a definição de alguns parâmetros que
determinarão características básicas de seu funcionamento. Esta definição é feita
na janela de configuração do Filtro Web. Para acessá-la, deve-se:
Figura 140 – Aplicação (Filtro Web)
•
•
Clicar no menu Aplicação da janela do Aker Web Gateway
Selecionar o item Filtro Web
A janela de configuração de parâmetros do Filtro Web
210
Figura 141 – Filtro Web (aba Geral)
•
•
•
O botão OK fará com que a janela de configuração do Filtro Web seja fechada e
as alterações salvas.
O botão Cancelar, fará com que todas as alterações feitas sejam desprezadas e
a janela seja fechada.
O botão Retornar à Configuração Inicial - Desconsidera as configurações
personalizadas e retorna ao padrão; é aplicável em todas as abas e encontra-se na
barra de ferramentas do Aker Web Gateway, bem como o botão Assistente.
Aba geral
•
Cache
Cache Interno Habilitado: Esta opção permite o AWG funcionar como servidor
de cache.
211
Cache externo Habilitado: Esta opção permite definir se o filtro web irá
redirecionar suas requisições para um servidor de cache. Caso esta opção esteja
habilitada, todas as requisições recebidas serão repassadas para o servidor de
cache, no endereço IP e porta especificados.
IP: Este campo especifica o endereço IP dos servidores de cache para onde
todos os pedidos serão encaminhados se a opção Cache Externo Habilitado
estiver ativa.
Porta: Este campo especifica a porta na qual o servidor de cache irá esperar
por conexões se a opção Cache Externo Habilitado estiver ativa.
•
Parâmetros
Esta pasta possibilita ajustar o funcionamento do filtro web para situações
especiais. Ela consiste dos seguintes campos:
Autenticar usuários WWW: Este campo ativa ou não a autenticação de
usuários do filtro web. Caso ele esteja marcado, será solicitada ao usuário uma
identificação e uma senha todas as vezes que ele tentar iniciar uma sessão e
esta somente será iniciada caso ele seja autenticado por algum dos
autenticadores.
Utiliza cliente de autenticação em Java: Esta opção instrui o proxy a utilizar o
cliente de autenticação em Java, mesmo quando operando de modo não
transparente. A vantagem deste cliente é permitir que a autenticação do usuário
seja completa (como quando se usa o cliente de autenticação para Windows, e
não apenas para o filtro web).
Caso o usuário esteja utilizando o Cliente de Autenticação Aker para Windows
e esteja com uma sessão estabelecida com o Aker Web Gateway, então não
será solicitado nome nem senha, ou seja, o proxy se comportará como se não
estivesse realizando autenticação de usuários, mas ele está de fato fazendo-o.
Se a sessão do Cliente de Autenticação for finalizada, então o proxy solicitará
um nome de usuário e senha no próximo acesso.
Para o cliente de autenticação em Java funcionar em seu browser, ele deve
ter o suporte a Java instalado e habilitado, além de permitir o uso do protocolo
UDP para applets Java. Apenas o Internet Explorer da Microsoft traz esta opção
desabilitada por padrão, e, para habilitá-la você deve escolher configurações
personalizadas de segurança para Java e liberar o acesso a todos os endereços
de rede para applets não assinados.
Forçar autenticação: Se esta opção estiver marcada o proxy obrigará a
autenticação do usuário, ou seja, somente permitirá acesso para usuários
autenticados. Se ela estiver desmarcada e um usuário desejar se autenticar, ele
poderá fazê-lo (para ganhar um perfil diferente do padrão), mas acessos não
identificados serão permitidos.
212
•
Tempos Limite
Leitura: Definir o tempo máximo, em segundos, que o proxy aguarda por uma
requisição do cliente, a partir do momento que uma nova conexão for
estabelecida. Caso este tempo seja atingido sem que o cliente faça uma
requisição, a conexão será cancelada.
Resposta: Definir o tempo máximo, em segundos, que o proxy aguarda por uma
resposta de uma requisição enviada para o servidor WWW remoto ou para o
servidor de cache, caso a opção habilita cache esteja ativa. Caso este tempo
seja atingido sem que o servidor comece a transmitir uma resposta, a conexão
com o servidor será cancelada e o cliente receberá uma mensagem de erro.
HTTPS: Definir o tempo máximo, em segundos, que o proxy pode ficar sem
receber dados do cliente ou do servidor em uma conexão HTTPS, sem que ele
considere a conexão inativa e a cancele.
Manter ativo: Definir quanto tempo um usuário pode manter uma conexão keepalive (HTTP 1.1) com o proxy inativa, antes que o proxy a encerre, liberando o
processo para outro usuário. Recomenda-se manter este tempo bastante baixo,
para evitar o uso desnecessário de todos os processos do sistema.
Timeout das sessões web: Indica quanto tempo uma sessão web vai ficar sendo
monitorada, permitindo ao administrador do Aker Web Gateway saber quais são
as sessões web ativas do seu Aker Web Gateway.
Exemplo: Se for marcado 30 segundos nesse campo, a janela de sessões web
(information > web sessions) só vai mostrar as sessões ativas dos últimos 30
segundos.
•
Performance
Número de processos: Definir o número de processos do proxy WWW que vão
permanecer ativos aguardando conexões. Como cada processo atende uma
única conexão, este campo também define o número máximo de requisições que
podem ser atendidas simultaneamente.
Não permitir transferências comprimidas (menos CPU, maior largura de
banda): Permite que o Aker Web Gateway não aceite transferências do Filtro
Web que tenham dados compactados.
Em uma requisição HTTP, pode ser especificado que os dados venham
compactados. Caso os dados venham comprimidos, caso exista ActiveX, java ou
Java script compactados, o Aker Web Gateway precisa descompactá-los para
fazer a análise dos dados, por isso que nesses casos, essa opção é bastante
importante. O mais aconselhado é deixar esta opção desmarcada, pois é o
padrão da janela.
213
Logar toda URL aceita: Permite que o Web Gateway logue todas as URL que
são realizadas um método (GET, POST e etc), sendo assim teremos um volume
de logs muito maior para geração de relatórios e contabilização de Quotas.
Exemplo: com esta opção desmarcado o acesso ao endereço
http://www.terra.com.br será gerado apenas um log informando o acesso ao
portal, já com a opção marcada será gerado logs para cada GET que o browser
faz para receber todo o site.
Por razões de performance, os processos do proxy WWW ficarão ativos
sempre, independente de estarem ou não atendendo requisições. Isto é feito
com o objetivo de aumentar a performance.
Normalmente, deve-se trabalhar com valores entre 5 e 60 neste campo,
dependendo do número de máquinas clientes que utilizarão o proxy (cabe
ressaltar que uma única máquina costuma abrir até 4 conexões simultâneas ao
acessar uma única página WWW). O valor 0 inviabiliza a utilização do proxy.
•
Quotas
Interromper transferências caso a quota seja excedida: Essa opção permite
interromper a transferência dos arquivos caso a quota tenha excedido. Caso
essa opção não esteja marcada o Aker Web Gateway vai verificar a quota do
usuário antes que ele comece a fazer download.
Exemplo: Se o usuário tiver 50 MB de quota, e quer fazer um download de um
arquivo de 100 MB, com certeza ele não irá conseguir finalizar
essa transferência. Todas às vezes que essa opção estiver marcada, e for mais
de um download simultâneo ou um download que seu tamanho não foi
informado, o Aker Web Gateway vai deixar ele fazer o download mas vai
interromper antes do término.
Contabilizar duração de download: Permite que o tempo da quota seja "gasto"
enquanto durar o tempo do download, por exemplo, se o usuário quiser fazer o
download de uma arquivo de 100 MB e esse download levar 30 minutos, vão ser
gastos 100 MB de volume e 30 minutos de tempo da quota, caso essa opção
não esteja marcada, só vão ser gastos 100 MB, e não os 30 minutos.
Normalmente o tempo de quota só é utilizado quando o usuário fica navegando,
mandando mensagens pelo MSN e etc. Quando ele está fazendo o download de
um arquivo grande, não é gasto o tempo de sua quota, somente o volume de
bytes.
214
•
Arquivos
Permitir a retomada de transferência de arquivo: Está opção deverá ser
selecionada caso o usuário queira permitir, que um download continue de onde
havia parado.
Aba Cliente de Autenticação
Figura 142 – Filtro Web (aba Cliente de autenticação)
Esta aba serve para compor o Layout da janela de autenticação do Aker Web
Gateway.
Título da janela de autenticação: Este campo irá aparecer como título da
aplicação de autenticação Java.
Autenticação: Este campo é composto por duas opções que serão disponibilizadas
para o usuário quando do logon no Aker Web Gateway; e poderá se conectar
habilitando-o:
215
•
•
Mostrar botão S/Key - Esta opção permite que os usuários se autentiquem
usando S/Key
Mostrar campo domínio - O usuário informará o domínio para logar-se no
proxy www.
Logotipo
•
•
Usar logo personalizado: Neste caso ao marcar esta opção, será preciso
indicar o caminho que se encontra a logotipo. Sendo
possível acompanhar
as mudanças na Visualização.
Mostrar tela de splash antes da janela de autenticação: Ao selecionar
esse campo, opta-se por mostrar uma tela
de apresentação que antecede
a janela de autenticação.
Mostrar tela de splash antes da janela de autenticação: Esta opção exibe uma
janela com a URL especificada após solicitar a autenticação do usuário através do
cliente de autenticação em Java.
URL: Nesse campo é informado o link da tela de splash.
216
Aba controle de conteúdo
Figura 143 – Filtro web (aba Controle de conteúdo)
Analisador de URL: Especificar o agente analisador de URLs que será utilizado
para categorizar as páginas da Internet. Esse agente deve ter sido previamente
cadastrado no Aker Web Gateway. Para maiores informações veja o capítulo
intitulado Cadastrando entidades.
Ignorar erros do analisador de URL (pode permitir a passagem de dados não
autorizados): Quando este campo estiver selecionado, havendo um erro de
categorização de URLs, o AWG permitirá o acesso à URL que originou o erro, caso
contrário, se o campo estiver desmarcado, o AWG bloqueará o acesso à URL.
URL Bloqueada: Permitir a configuração de qual ação deve ser executada pelo
Aker Web Gateway quando um usuário tentar acessar uma URL não permitida. Ela
consiste das seguintes opções:
217
•
•
Mostra mensagem dafault ao bloquear URL: Ao selecionar essa opção, o
Aker Web Gateway mostrará uma mensagem de erro informando que a URL
que se tentou acessar se encontra bloqueada.
Redirecionar URL bloqueada: Ao selecionar essa opção, o Aker Web
Gateway redirecionará todas as tentativas de acesso as URLs bloqueadas
para uma URL especificada pelo administrador. Nesse caso, deve-se
especificar a URL para qual os acessos bloqueados serão redirecionados
(sem o prefixo http://) no campo abaixo.
quando a tentativa de acesso a uma URL for bloqueada. Então pode-se optar em
mostrar a página padrão ou redirecionar para a página escolhida, que será
personalizada de acordo com os chekboxs selecionados. Segue abaixo a descrição
de cada opção e o detalhamentos das variáveis criadas.
identificar aonde e porque a página foi bloqueada, por exemplo, se a página foi
bloqueada porque caiu em alguma categoria, passar por parâmetro qual a categoria
que causou o bloqueio da página.
Exemplo: Na url www.aker.com.br, o seu domínio seria aker.com.br. Ao selecionar
o domínio, é criada a variável domain.
Nome do Perfil: Nome dado, pelo usuário, ao perfil escolhido. Ao selecionar essa
opção é criada a variável profile.
Razões: Ao selecionar a Razão é criada a variável reason. Ao habilitar essa opção
será mostrada a razão do bloqueio do site. Por exemplo temos as seguintes razões:
"categoria
"regra
"quota
"quota
"quota
"tipo
"tipo
"tipo
"connect
da
URL",
de
bloqueio",
bytes
excedidos",
bytes
insuficientes",
tempo
excedido",
de
objeto
nao
permitido",
de
arquivo
nao
permitido
globalmente",
de
arquivo
nao
permitido
no
perfil",
para
a
porta
especificada
nao
permitido"
Nome da Categoria: Nome da Categoria que a URL foi associada. Ao selecionar a
Categoria
é
criada
a
variável
cats.
218
Nome do Usuário: Nome do usuário que tentou acessar a URL. Ao selecionar o
Nome
do
usuário
é
criada
a
variável
user.
Número da regra: Número da Regra de Filtragem que a URL se enquadrou. Ao
selecionar
o
número
da
regra
é
criada
a
variável
rule.
URL do site bloqueado: Mostra a URL que o usuário tentou acessar e foi
No preview, aparece como será a URL e o que será enviado via método GET.
219
Aba tipos de arquivos
Figura 144 – Filtro web (aba Tipos de Arquivo)
•
Opção Arquivos Bloqueados
Especificar os arquivos que serão bloqueados pelo Filtro Web.
transferido deve ser bloqueado: a extensão do arquivo ou seu tipo MIME. Se um
destes critérios for atendido, em outras palavras, se a extensão do arquivo estiver
entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver entre
aqueles a serem bloqueados, então o arquivo deverá ser bloqueado pelo Aker web
Gateway.
O tipo MIME é usado para indicar o tipo de dado que está no corpo de uma resposta
em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro indica o tipo
e o segundo indica o subtipo. O navegador usa esta informação para decidir como
mostrar a informação que ele recebeu do mesmo modo como o sistema operacional
usa a extensão do nome do arquivo.
220
URL Bloqueada: Permitir a configuração de qual ação deve ser executada pelo
Web Gateway quando um usuário tentar acessar uma URL não permitida. Ela
consiste das seguintes: opções:
Aker Web Gateway mostrará uma mensagem de erro informando que a URL
que se tentou acessar se encontra bloqueada.
Redireciona URL bloqueada: Ao selecionar essa opção, o Aker Web
Gateway redirecionará todas as tentativas de acesso a URLs bloqueadas
para uma URL especificada pelo administrador. Nesse caso, deve-se
especificar a URL para quais os acessos bloqueados serão redirecionados
(sem o prefixo http://) no campo abaixo.
será personalizada de acordo com os chekboxs selecionados. Segue abaixo
seguintes
razões:
"categoria
"regra
"quota
"quota
"quota
"tipo
de
da
de
bytes
bytes
tempo
objeto
nao
URL",
bloqueio",
excedidos",
insuficientes",
excedido",
permitido",
221
"tipo
de
arquivo
nao
permitido
globalmente",
"tipo
de
arquivo
nao
permitido
no
perfil",
"connect
para
a
porta
especificada
nao
permitido"
GET.
•
Opção Downloads
Especificar os arquivos que serão analisados contra vírus pelo Download
manager do Aker Web Gateway, ou seja, para os quais o Aker Web Gateway
mostrará ao usuário uma página web com o status do download do arquivo e
realizará seu download em background. Esta opção é interessante para arquivos
potencialmente grandes (arquivos compactados, por exemplo) ou para arquivos
que normalmente não são visualizáveis de forma on-line pelo navegador.
transferido deve ser analisado: a extensão do arquivo e seu tipo MIME. Se um
destes critérios for atendido, em outras palavras, se a extensão do arquivo
estiver entre aquelas a serem analisadas ou o tipo MIME da mensagem estiver
entre aqueles a serem analisados, então o arquivo deverá ser analisado pelo
Aker Web Gateway.
O tipo MIME é usado para indicar o tipo de dado que está no corpo de uma
resposta em um protocolo HTTP. Ele consiste em dois identificadores, o primeiro
indica o tipo e o segundo indica o subtipo. O navegador usa esta informação
para decidir como mostrar a informação que ele recebeu, do mesmo modo como
o sistema operacional usa a extensão do nome do arquivo.
Sites Excluídos:
Deve-se escolher a operação e o texto a ser incluído para análise. Sites que se
enquadrarem na lista de excluídos não serão analisados.
222
Opções de operação:
Figura 145 – Opções de operação
Configurações:
Anexos Encriptados: Deve-se escolher entre aceitar ou rejeitar um anexo
encriptado.
Anexos Corrompidos: Deve-se escolher entre aceitar ou rejeitar um anexo
corrompidos.
•
Opção Av Online
Da mesma maneira que em downloads o administrador do Aker Web Gateway deve
escolher os tipos MIME e as extensões. Na configuração padrão do Aker Web
Gateway são cadastrados os seguintes tipos conforme a figura abaixo:
223
Figura 146 – Filtro web (aba Tipo de Arquivo – AV On Line)
As demais opções são iguais aos campos descritos na aba download.
224
Aba Antivírus
Figura 147 – Filtro web (aba Antivírus)
Habilitar antivírus: Ao selecionar essa caixa, permitirá que o Aker Web Gateway
faça a verificação antivírus dos conteúdos que tiverem sendo baixados.
O botão Retornar à configuração padrão restaura a configuração original do Aker
Web Gateway para esta pasta.
Agente antivírus utilizado: Permitir a escolha de um agente antivírus previamente
cadastrado para realizar a verificação de vírus. Esse agente deve ter sido
previamente cadastrado no Aker Web Gateway. Para maiores informações veja o
capítulo intitulado Cadastrando entidades.
Ignorar erros online do antivírus (podem permitir a passagem de anexos
contaminados): Quando este campo estiver selecionado, se houver um erro de
análise do antivírus no tráfego on-line, o mesmo não bloqueará o conteúdo,
permitindo a transferência dos dados. Caso o campo não esteja marcado, a
transferência de dados será bloqueada.
225
Ignorar erros de download do antivírus (pode permitir a passagem de anexos
contaminados): Quando este campo estiver selecionado, se houver erro de análise
do antivírus no tráfego on-line, o mesmo não bloqueará o download, permitindo a
transferência dos dados. Caso o campo não esteja marcado, o download será
bloqueado.
Habilitar janela de progresso do antivírus: Esta opção permite desabilitar o
Download manager do Aker Web Gateway.
Intervalo de atualização do status: Esta opção determina o tempo em a página de
download exibida pelo Aker Web Gateway deve ser atualizada.
Número de tentativas: Número máximo de tentativas de download para cada
arquivo, caso seja necessário tentar mais de uma vez.
Número máximo de downloads simultâneos: Configura o número máximo de
downloads simultâneos que o Aker Web Gateway irá permitir.
Análise de Vírus: Esta opção é utilizada para mostrar uma página caso seja
encontrado um vírus durante a análise do antivírus. A página poderá ser a do
próprio Aker Web Gateway ou personalizada pelo usuário. É possível personalizar a
mensagem para cada tipo de vírus encontrado, bastando utilizar a string {VIR} que
será substituída pelo nome do vírus.
Mostrar URL padrão quando um vírus for encontrado: Quando marcada,
esta opção determina que, quando um vírus for encontrado, a página web
será redirecionada para uma página padrão do Aker Web Gateway.
Redirecionar para: Ao selecionar esta opção, permite determinar que
quando um vírus for encontrado, a página web será redirecionada para uma
página especificada pelo usuário. Caso a url informada possua o texto
"{VIR}", este texto será substituído pelo nome do vírus encontrado,
possibilitando que seja mostrada uma página personalizada, de acordo com o
vírus encontrado.
O Aker Antivírus Module suporta diversas opções de varredura de vírus, worms,
dialers, hoax, cavalo de troia e analise heurísticas, abaixo segue uma lista de
opções suportadas:
Opções de análise: Utilizado para selecionar quais os tipos de bloqueio que devem
ser realizados (Spywares, Jokes, Dialers, Ferramentas Hacker) e se será ou não
utilizado um método de detecção heurístico (caso seja marcado, poderá ser utilizado
às opções baixo, médio ou alto);
•
Habilitar análise heurística: A Heurística é um conjunto de regras e
métodos que podem levar o parceiro instalado a detectar um vírus sem a
necessidade de uma base de assinaturas de vírus, ou seja, é um algoritmo
226
•
capaz de detectar programas maliciosos baseando-se em seu
comportamento;
Detectar Malware: Habilita a analise de programas maliciosos e ferramentas
hackers.
Varredura de Arquivos:
•
•
•
•
Habilitado: Permite habilitar a análise do conteúdo de arquivos
compactados;
Nível Máximo de profundidade: Define o nível máximo de recursão ao
analisar um arquivo compactado;
Tamanho máximo do Arquivo: Define o tamanho máximo permitido de um
arquivo a ser analisado dentro de um arquivo compactado;
Número Máximo de Arquivos: Define a quantidade máxima de arquivos a
serem analisados dentro de um arquivo compactado.
O Aker Antivírus Module suporta a analise de arquivos compactados das
seguintes extensões: ZIP, ARJ, LHA, Microsoft CAB, ZOO, ARC, LZOP, RAR,
BZIP2, UPX, AsPack, PEPack, Petite, Telock, FSG, Crunch, WWWPack32, DOC,
PDF, TAR, QUAKE, RTF, CHM, 7Zip, CPIO, Gzip, MS OLE2, MS Cabinet Files (+
SFX), MS SZDD compression format, BinHex, SIS (SymbianOS packages), AutoIt,
NSIS, InstallShield.
227
Aba SSL
Figura 148 – Filtro web (aba SSL)
Controle SSL(proxy Ativo): Permitir a definição das portas de conexão segura
(https) que serão aceitas pelo Aker Web Gateway. Caso um cliente tente abrir uma
conexão para uma porta não permitida, o Aker Web Gateway mostrará uma
mensagem de erro e não possibilitará o acesso.
Caso queira utilizar apenas a porta padrão (443), deve-se selecionar a primeira
opção. Essa é a configuração a ser utilizada na grande maioria dos sistemas.
A opção Permite HTTPS para todas as portas indica ao Aker Web Gateway que
ele deve aceitar conexões HTTPS para quaisquer portas. Essa configuração não é
recomendada para nenhum ambiente que necessite de um nível de segurança
razoável, já que é possível para um usuário utilizar o proxy para acessar serviços
não permitidos simulando uma conexão HTTPS.
Por último, existe a opção Permite HTTPS para as entidades abaixo que
possibilita ao administrador definir exatamente quais portas serão permitidas. Nesse
228
caso devem ser cadastradas as entidades correspondentes aos serviços desejados.
Para maiores informações, veja o capítulo intitulado Cadastrando Entidades.
Aba Avançado
•
Filtro de Navegador
Figura 149 – Filtro web (aba Avançado - Filtro de navegador)
Ao selecionar a opção Filtro de navegador habilitado, permite ao usuário aceitar
ou rejeitar os navegadores inseridos na lista.
Essa lista é criada pelo próprio usuário e nela devem ser inseridos os vários tipos de
navegadores que se deseja bloquear ou liberar, abaixo segue um exemplo de como
devem ser incluídos:
•
•
•
•
•
•
Internet Explorer 6: " MSIE 6.0 ";
Internet Explorer 7: " MSIE 7.0";
Internet Explorer (qualquer um): " MSIE ";
Media Player: " Windows-Media-Player ";
Firefox: " Firefox ";
Firefox 2: " Firefox/2 ".
229
A validação do browser é feita ANTES do header stripping, assim sendo é
possível substituir versão por uma string fixa sem perder esta filtragem.
•
Reescrita de URLs
Figura 150 – Filtro web (aba Avançado – Reescrita de URLs)
A reescrita de URL é semelhante ao redirecionamento de sites. É um processo
interno ao servidor web que funciona de forma transparente resolvendo os
problemas com links quebrados no site web.
No campo URL anterior como o próprio o nome já diz deve ser informado o
endereço que será traduzido para um novo endereço informado no campo. URL
reescrita.
Por exemplo:
URL anterior: www.aker.com.br
URL reescrita: www.aker.security.com.br
•
Stripping do cabeçalho HTTP
230
Figura 151 – Filtro web (aba Avançado – Stripping do cabeçalho HTTP)
Essa opção permite remover e modificar partes do Header. Potencialmente aumenta
a segurança interna, evitando que informações internas sejam enviadas para fora.
Por exemplo: cookies e versão do navegador do usuário.
O Header stripping funciona da seguinte forma, todas as linhas do header HTTP são
comparadas individualmente com todas as expressões cadastradas. Caso uma se
encaixe, a linha é substituída e a próxima linha é tratada. A primeira linha (com a
requisição) não é filtrada (ou seja, não é comparada com as expressões). O Header
Stripping funciona apenas na remoção do header do cliente para o servidor;
O Header Stripping é realizado imediatamente após a versão do browser cliente ser
verificada e ANTES de todos os demais processamentos do proxy HTTP, sendo
assim, o proxy tratará a versão modificada do header (caso ele tenha sido) como o
que foi enviado pelo cliente;
Seguem abaixo, exemplos de como preencher os campos: O que procurar e o
Substituir por:
Para a remoção de cookies (sem as aspas):
Procurar: " Cookie: * " - Substituir por: "" (nada).
231
Para esconder a versão dos browsers dos clientes:
Procurar: " User-Agent: *\r\n " - Substituir por: " User Agent: Mozilla/4.0\r\n".
A configuração do Header Stripping deve ser feita com muito cuidado já que ele
pode potencialmente inviabilizar o uso da Internet.
Deve-se tomar o cuidado de SEMPRE acrescentar um \r\n no final de uma
substituição que envolva uma linha.
232
14.2.1.
Editando os parâmetros de Cache
Para configurar as caches cadastradas é necessário a definição de alguns
parâmetros que determinarão características básicas de seu funcionamento. Esta
definição é feita na janela de configuração da cache. Para acessá-la, deve-se:
Figura 152 – Aplicação (Cache)
Ao selecionar a opção Habilita Cache Hierárquico, permite configurar as caches
cadastradas, dentro do campo Lista de Caches Remotos.
Figura 153 - Cache
233
Ao clicar dentro da área branca que se refere a Lista de Caches Remotos, e
selecionar a opção insere, aparecerá a seguinte tela:
Figura 154 – Configuração do nodo de cache
Para configurar as caches cadastradas é necessário preencher os seguintes
campos:
Nome do host: Define o endereço da cache.
Tipo: Define a hierarquia de cache, podendo optar pelo "Pai" e pelo "Filho".
Porta de Cache: Número da porta pelo qual o proxy atende aos seus pedidos.
Porta ICP: Utilizada para perguntar a sua vizinhança sobre o estado dos objetos.
Logar na cache: Permite definir um usuário e senha, para logar na cache pai e nas
caches filhos, para que assim possa obter informações sobre o estado dos objetos,
através do protocolo ICP.
Não buscar na cache os domínios: Nessa opção permite restringir quais os
domínios estarão relacionados para cada cache.
234
14.3.
Editando os parâmetros Sessões Web
Sessões Web
Figura 155 – Sessões web
Esta janela permite ao administrador do Aker Web Gateway, visualizar as sessões
ativas, verificando o que foi acessado e por quem, no tempo definido na janela de
Filtro Web, opção “Sessões web”.
As informações serão visualizadas e distribuídas nos seguintes campos:
Tempo: Indica o dia e horário e a URL que foi acessada.
Máquina: Indica a máquina de onde foi acessada a URL.
Usuário: Indica o usuário que acessou a URL.
Perfil: Indica qual o perfil de acesso que o usuário caiu quando tentou acessar a
URL.
235
Regra: Indica qual a regra de acesso que a URL se enquadrou.
Categoria: Indica qual a categoria que a URL se enquadrou.
Ação: Indica se as Sessões web que passaram pelo Aker Web Gateway foram
aceitas ou rejeitadas.
236
Configurando proxy MSN
237
15.
Configurando o Proxy MSN
Neste capítulo mostraremos para que serve e como configurar o Proxy MSN.
15.1.
O que é o MSN Messenger?
MSN Messenger, ou apenas MSN, é um programa de mensagens instantâneas
criado pela Microsoft Corporation. O programa permite que um usuário da Internet
converse com outro, que tenha o mesmo programa em tempo real, por meio de
conversas de texto, voz ou até com vídeo. Ele é uma ferramenta gratuita com um
grande número de funcionalidades, algumas potencialmente prejudiciais ao
ambiente coorporativo.
O que é o proxy MSN - Messenger do Aker Web Gateway?
Este proxy possui como função principal controlar um importante canal de trânsito
de informações que é o MSN Messenger, possibilitando que não se abra mão de
seu uso, ao mesmo tempo em que se evita a perda de produtividade. Integrado ao
sistema de perfis de acesso, esse sistema se adaptará à realidade das corporações,
onde cada usuário terá privilégios distintos.
As funcionalidades do produto baseiam-se em:
•
•
•
•
•
•
•
Estar integrado ao sistema de perfil de acesso (permitindo controle por usuários
e grupos);
Definir white-lists e black-lists, por perfil;
Controlar o horário de uso;
Controlar o tempo de uso por dia (configurado no perfil) para cada usuário;
Controlar o envio/recebimento de arquivo (inclusive por tipo);
Controlar convites para outros serviços (vídeo, áudio, games, etc..).
Realizar um log de sessões.
Utilizando o proxy MSN
O MSN Messenger por padrão trabalha na porta TCP 1863, porém também pode se
conectar aos servidores através do protocolo HTTP e SOCKS. O Proxy MSN da
Aker controla os dados que trafegarão através de um proxy transparente (ver mais
detalhes em Trabalhando com proxies).
Para utilizar o proxy MSN do Aker Web Gateway é necessário a seguinte sequência
de passos:
1. Definir os parâmetros genéricos do proxy MSN;
238
2. Criar os perfis de acesso desejados e associá-los aos usuários e grupos
desejados. (Isso foi descrito no capítulo chamado Perfis de acesso de
usuários);
3. Associar à uma regra de filtragem possibilitando que os usuários possam
utilizar o serviço MSN.
15.2.
Editando os parâmetros do Proxy Messenger
Para utilizar o proxy MSN é necessário a definição de alguns parâmetros que
determinarão características básicas de seu funcionamento. Esta definição é feita
na janela de configuração do proxy MSN. Para acessá-la, deve-se:
Figura 156 – Aplicação (Proxy Messenger)
•
•
Clicar no menu Aplicação da janela de administração do Aker Web Gateway
Selecionar o item Proxy Messenger
239
A janela de configuração de parâmetros do proxy Messenger
Figura 157 – Proxy Messenger (aba Tipo de Serviço)
•
•
•
O botão OK fará com que a janela de configuração do proxy MSN seja fechada e
as alterações salvas.
O botão Cancelar, fará com que todas as alterações feitas sejam desprezadas e
a janela seja fechada.
Essa nova configuração permite com que os usuários do AWG ou do web gateway
possam usar o Microsoft Messenger sem precisar se autenticar no agente de
autenticação. Com isso é especificado qual é o perfil vinculado ao login.
Exemplo: Quando o login do msn for [email protected] , o perfil a ser usado
deve ser o "Desenvolvimento", assim as restrições e as regras estarão associadas
ao perfil.
Esta janela é composta por quatro abas:
•
Aba Tipo de Serviços
Esta aba define os serviços adicionais e as operações que poderão ser utilizados
através de uma conexão MSN. Estes serviços poderão posteriormente ser
controlados a partir das regras dos perfis de cada usuário. É composta dos
seguintes campos:
240
Nome: Esse campo indica o nome do serviço, são informações definidas pelo
usuário.
Descrição: Nesse campo o usuário vai informar o tipo de serviço relacionado ao
campo nome.
GUID de aplicação: É o código que indica o serviço. São códigos do próprio MSN,
o usuário pode cadastrar novos códigos caso ele encontre um que já não seja
cadastrado.
Exemplo de preenchimento da aba:
•
•
•
Nome: Câmera
Descrição: Controle de webcam no MSN
Aplicação da GUID: 2A23868E- B45F- 401D-B8B0-1E16B774A5B7
Para inserir um novo tipo de serviço, deve-se clicar com o botão direito e selecionar
a opção Nova.
Para remover um tipo de serviço, deve-se clicar com o botão direito sobre o serviço
a ser removido e escolher a opção Remover.
Para editar qualquer um dos campos de um serviço basta clicar com o botão direito
sobre a coluna cujo valor se deseja alterar e modificar o dado diretamente no menu
que irá aparecer.
É possível adicionar automaticamente vários serviços pré-configurados, bastando
para isso clicar no ícone
, localizado na barra de tarefas.
241
•
Aba Mensagens
Figura 158 – Proxy Messenger (aba Mensagens)
Esta aba permite configurar as mensagens que serão mostradas aos usuários
internos e externos quando eles não tiverem permissão de executar uma
determinada ação através do proxy Messenger. São mensagens que aparecem no
meio do chat podendo ser customizadas pelo usuário.
•
Aba de Controle de Acesso
Essa aba controla o acesso dos usuários, por meio da vinculação de um login a um
perfil.
No campo Passport, seleciona-se uma entidade do tipo lista de e-mails, essa
entidade será associada a algum perfil definido no Web Gateway.
Por exemplo: *@aker.com.br --> perfil "Teste", isso significa que todos os usuários
que tiverem o login no msn terminando por @aker.com.br irá automaticamente cair
no perfil teste.
242
Figura 159 – Proxy Messenger (aba Controle de Acesso)
•
Aba de Configurações
Figura 160 – Proxy Messenger (aba Configurações)
243
Essa aba permite configurar a quantidade máxima de socket e/ou arquivos que o
processo do proxy MSN pode abrir. O valor padrão é de 1024, mas pode chegar em
até 8192 no máximo.
O Aker Web Gateway conta com a análise de vírus para arquivos transferidos. Para
ativar essa verificação marque a opção “Habilitar Antivírus no MSN” caso deseje
que o Web Gateway analise os arquivos.
A opção “Permitir a passagem de arquivos se ocorrer erro no Antivírus” permite
transferência de arquivos infectados, caso o servidor de antivírus estiver
indisponível.
Marque "Usar Antivírus Local" para que o Web Gateway utilize o antivírus já incluído
nele, caso contrário, inclua a autenticação e o endereço de IP do seu servidor
Antivírus.
244
Utilizando as Ferramentas da
Interface Remota
245
16.
Utilizando as Ferramentas da Interface Remota
Neste capítulo será mostrada a função das diversas ferramentas presentes na
Interface Remota do Aker Web Gateway.
O que são as ferramentas da Interface Remota do Aker Web Gateway?
As ferramentas são um conjunto de utilitários presentes apenas na Interface Remota
do Aker Web Gateway. Elas servem para facilitar a administração do Aker Web
Gateway, provendo uma série de funções bastante úteis no dia-a-dia.
16.1.
Chaves de Ativação
Esta opção permite atualizar a chave de ativação do Aker Web Gateway e dos
demais produtos que possam estar instalados juntos como o Aker Antivírus
Module e o Aker Web Content Analyzer.
Para visualizar ou atualizar a licença, deve-se:
Clicar no botão Licença na barra de tarefas do Aker Web Gateway que estiver
conectado.
246
A janela de licença de ativação
Figura 161 – Janela de ativação de Licença
Esta janela é apenas informativa. Nela são mostrados todos os produtos que estão
instalados junto com o Aker Web Gateway e os dados referentes à licença de cada
um deles. Entre estes dados pode-se verificar a data de expiração, número de
licenças, etc, para cada produto.
Caso se deseje inserir uma nova licença, deve-se clicar no botão Carregar,
localizado na barra de tarefas. Esta opção abrirá um diálogo onde se pode
especificar o arquivo de onde a nova chave será carregada. No caso do Aker Web
Gateway, caso exista mais de um produto instalado junto com o Aker Web Gateway,
as chaves dos produtos adicionais também serão atualizadas.
16.2.
Salvar configurações
Esta opção permite salvar a configuração completa do Aker Web Gateway na
máquina onde está administrando. No caso de algum desastre, pode-se facilmente
restaurar esta configuração posteriormente.
Para realizar uma cópia de segurança, deve-se:
247
Figura 162 – Icone para salvar configurações
•
•
Clicar no Aker Web Gateway para o qual será salva a cópia de segurança
Selecionar a opção Salvar configurações na barra de ferramentas ou no menu
com o nome do Aker Web Gateway selecionado
A janela para salvar configurações:
Figura 163 – Janela para salvar configurações
Após digitar o nome do arquivo salvo, deve-se clicar no botão Salvar. Caso não
queira mais gravar a cópia de segurança, deve-se clicar no botão Cancelar.
16.3.
Carregar configurações
Esta opção permite restaurar a cópia de segurança da configuração completa do
Aker Web Gateway realizada através da opção anterior.
Para restaurar uma cópia de segurança, deve-se:
Figura 164 – Icone para carregar configurações
248
•
•
Clicar no Aker Web Gateway para o qual será carregada a cópia de segurança
Selecionar o item Carregar configurações na barra de ferramentas ou no menu
com o nome do Aker Web Gateway selecionado
A janela para carregar configurações:
Figura 165 – Janela para carregar configuração
Esta janela permite escolher o nome do arquivo de onde a configuração será
restaurada. Após seu nome ser especificado, o Aker Web Gateway lerá todo seu
conteúdo, fará vários testes de consistência e se o seu conteúdo estiver válido será
carregado.
•
•
O botão Abrir fará com que a cópia seja carregada e a configuração do Aker
Web Gateway imediatamente atualizada.
O Botão Cancelar fará com que a janela seja fechada porém a cópia de
segurança não seja carregada.
249
16.4.
DNS Reverso
DNS reverso é utilizado para resolver nomes de máquinas a partir de endereços IP.
A janela de resolução de DNS reverso do Aker Web Gateway serve para prover
resolução de endereços sem a necessidade de utilização de programas adicionais.
Para ter acesso a janela de resolução de DNS reverso, deve-se:
Figura 166 – Ferramentas (DNS reverso)
•
•
Clicar no menu Ferramentas da janela de administração do Aker Web Gateway
Selecionar o item DNS Reverso
250
A janela de resolução de DNS reverso
Figura 167 – DNS reverso
Esta janela consiste de um campo para digitar o endereço IP que deseja resolver e
uma lista com os endereços IP já resolvidos anteriormente.
•
•
O botão OK fará com que a janela seja fechada.
A opção Mostrar tudo, se estiver marcada, fará com que sejam mostrados todos
os endereços já resolvidos na lista na parte inferior da janela.
Para resolver um endereço, deve-se digitá-lo no campo e pressionar o botão DNS.
Neste momento o endereço será mostrado na lista na parte inferior da janela, junto
com o status da resolução. Após algum tempo, será mostrado o nome da máquina
correspondente ao endereço ou uma indicação de que o endereço informado não
possui DNS reverso configurado.
16.5.
Atualizações
O que são atualizações e onde consegui-las?
Como todo software, o Aker Web Gateway pode eventualmente apresentar bugs em
seu funcionamento. À medida que estes problemas são resolvidos, a Aker produz
251
um arquivo que permite a atualização de seu Aker Web Gateway e a eliminação
destes erros. Algumas vezes também são adicionadas determinadas características
novas em uma versão já existente, de modo a aumentar sua performance ou
aumentar sua flexibilidade.
Em ambos os casos, os arquivos de atualização ou correção são disponibilizados de
forma gratuita no site da Aker: basta procurar o menu Download e selecionar a
opção Correções e Atualizações. Estes arquivos são sempre cumulativos, ou seja, é
necessário apenas baixar a última versão disponível e esta incluirá as correções
presentes nos arquivos de correção/atualização anteriores.
A janela de atualizações
Esta opção permite aplicar uma atualização ou correção do Aker Web Gateway
remotamente, através da Interface Remota. É possível também atualizar
completamente a versão do produto. Para ter acesso à janela de atualizações devese clicar no ícone
localizado na barra de ferramentas. Automaticamente a janela
será aberta, para que sejam escolhidas as atualizações a serem aplicadas.
Essa janela se divide em duas abas: Atualização e Histórico, conforme explicadas
a baixo:
•
Aba Atualização
Figura 168 – Janela de atualização do sistema
252
Por meio dessa janela é possível visualizar o status atual das
atualizações/correções aplicadas no Web Gateway. Caso se trate de cluster a janela
apresentará as informações das máquinas que o compõem. Possui os seguintes
campos:
Id: Refere-se à identificação das máquinas que compõe o cluster.
Nome: Refere-se ao apelido atribuído às máquinas.
Restauração: Este campo informa se a última atualização aplicada pode ser
desfeita.
As atualizações aplicadas por meio dos Patches e dos Hotfixes são alterações que
podem ser desfeitas. Essa opção permite desfazer a última atualização aplicada na
máquina, seja hotfix ou patch. Deve-se observar que as alterações são desfeitas
uma por uma, ou seja, se a versão já estiver no Patch 3, e deseja-se voltar a versão
inicial, deve ser desfeito o patch 3, depois o patch 2, e assim por diante.
Última atualização: Identificação do último patch aplicado no membro do cluster.
Hotfixes: Lista de hotfixes aplicados dentro do patch. Nessa lista, mostra a ordem
direta de aplicação dos hotfixes.
O hotfix é uma pequena atualização ou correção feita para um patch específico.
Pode ser aplicado independente da ordem, o que não acontece com o patch, que
deve ser aplicado na ordem sequencial de atualização.
Caso a atualização ou correção sejam destinadas a uma versão diferente de
sistema operacional ou de versão do Aker Web Gateway, então o botão Aplicar
ficará desabilitado, não permitindo sua aplicação.
Para carregar um arquivo de atualização ou correção deve-se clicar no ícone
que se encontra na barra de ferramentas. Com isso é aberta uma janela, que
permite carregar um arquivo de atualização do patch ou do hotfix, conforme mostra
a figura abaixo.
253
Figura 169 – Janela para carregar um arquivo de atualização
Para aplicar o arquivo de atualização/correção, deve-se primeiramente selecionar
uma máquina na aba Patch, e logo em seguida clicar no ícone para que o patch ou
o hotfix seja aplicado.
Caso queira aplicar o rollback, pelo menos uma máquina deve ser selecionada na
aba Patch, e logo em seguida deve-se clicar no ícone
, sendo que essas
alterações serão desfeitas uma a uma, na sequência que foram atualizadas.
Para aplicar rollback em mais de uma máquina ao mesmo tempo, as mesmas
devem estar com a mesma atualização, por exemplo: todas estão com a versão
patch 3, e quer voltar para o patch 1.
254
•
Aba Histórico
Figura 170 – Sistema de Atualização (aba Histórico)
Essa aba permite, visualizar todo o histórico das aplicações dos patches e hotfixes.
A aba é composta dos seguintes campos:
ID: Mostra a identificação da máquina de onde foi feita a atualização.
Usuário: Indica o usuário que aplicou a atualização.
Restauração: Indica se pode ser ou não desfeito a atualização.
Data: Indica a data que foi feita alguma aplicação de patch ou hotfix.
A expressão "Versão Corrente" significa que não foi aplicado nenhuma patch. Ao
clicar no botão OK, o Patch ou o Hotfix não são aplicados, somente é fechada a
janela.
255
16.6.
Janela de Alarmes
Esta opção permite visualizar os alarmes gerados pelo Aker Web Gateway, quando
esta opção estiver marcada nas regras de filtragem ou na janela de ações.
Para ter acesso à janela de alarmes deve-se:
Figura 171 – Ferramentas (Janela de alarmes)
•
•
Clicar no menu Ferramentas da janela de administração do Aker Web Gateway
Selecionar o item Janela de alarmes
256
A janela de alarmes
Figura 172 – Janela de alarmes
Esta janela consiste de um campo de descrição com as entradas correspondentes a
ação executada pela regra de filtragem.
•
•
•
•
O botão Fechar fará com que a janela seja fechada.
A opção Não mostrar essa janela automaticamente da próxima vez, se
estiver marcada, fará com que a janela não seja mostrada automaticamente
quando ocorrer um evento.
O botão Salvar grava as entradas em um arquivo de log do tipo texto.
O botão Apagar limpa todas as entradas contidas na janela.
Na parte superior da janela são mostradas as informações de uso do CPU. Essas
informações estão dividas em três partes: porcentagem ociosa, porcentagem
dedicada ao sistema e porcentagem sendo usada por programas iniciados pelo
usuário. A parte inferior da janela mostra a situação da memória do sistema em
Megabytes. Também está dividida em três partes: quantidade de memória livre,
quantidade de memória sendo usada e quantidade de memória armazenando
informações em forma de cache.
257
A quantidade de memória não afeta de forma significativa a performance do Aker
Web Gateway. Entretanto, pode ocorrer queda de desempenho se o sistema possuir
área de memória swap e estiver fazendo muito uso dessa, o que irá afetar apenas
os proxies.
É importante observar que a memória cache não é considerada memória usada.
Ela é acessada apenas quando o sistema precisa reabrir um programa. Caso esse
programa ainda esteja em cache, a reabertura será mais rápida. Porém, se o
sistema precisar de uma quantidade maior de memória livre, a área usada para
cache é liberada.
16.7.
Visualizando o Estado dos Agentes Externos
A janela de estado dos agentes externos é puramente informativa e serve para
indicar ao administrador o estado dos Agentes Externos. Isso é muito útil quando se
quer configurar um novo agente externo ou para detectar a ocorrência de possíveis
problemas.
Para ter acesso à janela de estado dos agentes externos deve-se:
Figura 173 – Informação (Agentes externos)
•
•
Clicar no menu Informação da janela de administração do Aker Web Gateway
Selecionar o item Agentes Externos
258
A janela de agentes externos
Figura 174 – Agentes externos
Esta janela consiste de uma lista com o nome de todos os agentes externos ativos
que sejam um dos seguintes tipos: Agentes de Antivírus, Analisadores de URL,
Autenticadores (Usuário/Senha, Token, RADIUS e LDAP) e Servidores de Log.
Para cada agente listado serão mostradas as seguintes informações:
Nome: Nome da entidade do agente externo
Tipo: Tipo do agente externo.
Status: Informa o estado atual da conexão com o agente externo. Os seguintes
estados podem ser mostrados nesta coluna:
•
•
•
•
•
Estado indefinido: Ainda não existem informações disponíveis sobre o estado
deste agente.
Conectado ao principal: O Aker Web Gateway conectou-se com sucesso ao IP
principal do agente externo.
Conectado ao primeiro backup: O Aker Web Gateway conectou-se com
sucesso ao IP do 1º backup do agente externo. Por alguma razão ele não
conseguiu inicialmente conectar-se ao principal
Conectado ao segundo backup: O Aker Web Gateway conectou-se com
sucesso ao IP do 2º backup do agente externo. Por alguma razão ele não
conseguiu inicialmente conectar-se ao principal nem ao 1º backup.
Erro de conexão: Existe um problema de comunicação com o agente externo.
Verifique os eventos para maiores informações.
259
•
•
Erro interno: Não foi possível conectar-se ao agente externo por um problema
interno. Verifique os eventos para maiores informações.
Vírus não detectado: Este estado só aparece nos agentes de antivírus e indica
que embora o Aker Web Gateway tenha conseguido se conectar corretamente
ao agente, ele não foi capaz de detectar o vírus de teste que o Aker Web
Gateway enviou. Verifique a configuração do antivírus.
IP do servidor: Endereço(s) IP(s) do agente externo no qual(s) o Aker Web
Gateway está conectado.
Para os servidores de log, além dos estados Conectado ou Erro, haverá mais um
estado: parcialmente conectado, que ocorrerá quando mais de um servidor estiver
disponível (primeiro e segundo backup) porém o agente não está conectado a todos
eles.
16.8.
Visualizando estatísticas do sistema
A janela de estatísticas do sistema possui informações sobre uso do processador e
uso de memória do sistema. Para ter acesso à essa janela, deve-se:
Figura 175 – Informação (Estatísticas do sistema)
260
A janela a seguir aparecerá:
Figura 176 – Estatística do sistema
Na parte superior da janela são mostradas as informações de uso do CPU. Essas
informações estão dividas em três partes: porcentagem ociosa, porcentagem
dedicada ao sistema e porcentagem sendo usada por programas iniciados pelo
usuário. A parte inferior da janela mostra a situação da memória do sistema em
Megabytes. Também está divida em três partes: quantidade de memória livre,
quantidade de memória sendo usada e quantidade de memória armazenando
informações em forma de cache.
261
A quantidade de memória não afeta de forma significativa a performance do Web
Gateway. Entretanto, pode ocorrer queda de desempenho se o sistema possuir área
de memória swap e estiver fazendo muito uso dessa, o que irá afetar apenas os
proxies.
É importante observar que a memória cache não é considerada memória usada.
Ela
é
acessada
apenas
quando
o
sistema
precisa
reabrir um programa. Caso esse programa ainda esteja em cache, a reabertura será
mais rápida. Porém, se o sistema precisar de uma quantidade maior de memória
livre, a área usada para cache é liberada.
16.9.
Utilizando a Interface Texto nas Chaves de Ativação
É possível configurar as Chaves de Ativação pela Interface Texto.
Localização do programa: /aker/bin/awg/fwkey arquivo
Arquivo: Caminho completo do arquivo com a chave de ativação a ser substituída.
Após a execução do programa a chave será instalada com sucesso.
262
Configurações TCP/IP
263
17.
Configurações TCP/IP
Neste capítulo mostraremos realizar configurações TCP/IP.
Esta opção permite configurar todos os parâmetros de TCP/IP do gateway através
da Interface Remota. É possível configurar os endereços de interfaces de rede, DNS
e roteamento básico e avançado, bem como as opções de PPPoE, e Servidor/Relay
DHCP.
Para ter acesso à janela de configuração TCP/IP deve-se:
Figura 177 - TCP/IP.
•
Clicar no menu TCP/IP na janela de administração do gateway.
264
17.1.
DHCP
Para ter acesso à janela de configuração DHCP, deve-se:
Figura 178 - DHCP
•
•
Clicar no menu TCP/IP na janela do gateway que queira administrar.
Escolher o item DHCP
265
A janela abaixo será exibida:
Figura 179 - Servidor DHCP.
Nesta aba são definidas as opções do gateway em relação ao serviço DHCP. Ela
consiste das seguintes opções:
Não está usando DHCP: Ao selecionar essa opção, o gateway não atuará como
servidor DHCP nem efetuará relay entre redes conectadas a ele.
Relay DHCP entre redes: Permitir que se defina que o gateway realizará o relay de
pacotes DHCP entre as redes selecionadas. Ela é utilizada quando se possui
apenas um servidor DHCP e se deseja que ele forneça endereços para máquinas
localizadas em sub-redes distintas, conectadas diretamente ao gateway.
266
Figura 180 - Relay DHCP entre redes.
Ao selecioná-la, deve-se especificar em Interfaces de Escuta as interfaces nas
quais o gateway escutará broadcasts DHCP e os encaminhará para os servidores,
especificados em Servidores DHCP. No caso de haver mais de um servidor, o
gateway encaminhará as requisições para todos e retornará ao cliente a primeira
resposta recebida.
Servidor DHCP Interno: Esta opção é designada para redes pequenas que não
possuem um servidor DHCP ou que possuíam em um modem ADSL. Ela permite
que o gateway atue como um servidor DHCP.
267
17.2.
DNS
Para ter acesso à janela de configuração DNS deve-se:
Figura 181 - DNS.
•
Clicar no menu TCP/IP do gateway que queria administrar.
•
Escolher o item DNS.
Figura 182 - TCP/IP - DNS
Nesta pasta são configuradas todas as opções relacionadas com a resolução de nomes ou
DNS. Ela consiste dos seguintes campos:
268
Máquina: Nome da máquina na qual o gateway está rodando.
Domínio: Nome do domínio no qual o gateway está rodando.
DNS Ativo: Esta opção deve ser marcada para ativar a resolução de nomes via
DNS e desmarcada para desativá-la.
Servidor primário: Definir o servidor DNS primário que será consultado para se
resolver um nome. Ele é obrigatório se a opção DNS ativo estiver marcada.
Servidor secundário: Definir o servidor DNS secundário que será consultado se o
primário estiver fora do ar. Ele é opcional.
Servidor terciário: Definir o servidor DNS terciário que será consultado se o
primário e o secundários estiverem fora do ar. Ele é opcional.
17.2.1.
Interfaces de Rede
Para ter acesso à janela de configuração Interfaces de rede deve-se:
Figura 183 - Interfaces de rede.
•
Clicar no menu TCP/IP do gateway que queira administrar.
•
Escolher o item Interfaces de rede.
269
Figura 184 - Interfaces de redes.
Nesta aba podem ser configurados os endereços IP atribuídos a todas as interfaces
de rede reconhecidas pelo gateway. Ela consiste de uma lista onde são mostrados
os nomes de todas as interfaces e os endereços IP e máscaras de cada uma (é
possível configurar até 31 endereços distintos para cada interface). Caso uma
interface não tenha um endereço IP configurado, os campos correspondentes ao
endereço e à máscara serão mostrados em branco. Possui os seguintes campos:
IPv4
IP: Endereço da rede. Não pode ser informado um endereço auto-configurado.
Máscara de rede: Informa o endereço da máscara de rede.
Ponto a ponto: Configuração ponto a ponto
Alias
Para configurar ou modificar o endereço IP ou máscara de uma interface e até
mesmo atribuir um alias para a interface, deve-se clicar sobre a entrada do
dispositivo correspondente e usar o menu suspenso que irá surgir:
270
Figura 185 - Menu: configuração ou modificação de endereço IP.
VLAN
Para criar uma VLAN associada a uma interface, deve-se clicar na interface
desejada no lado esquerdo da janela. Aparecerá o seguinte menu suspenso:
Figura 186 - Menu de criação: VLAN.
Uma VLAN usa o sistema de VLAN tagging (802.1q) para permitir que, com uma
conexão somente o switch tenha acesso a todas as suas VLANs, inclusive
controlando o acesso entre elas. Para cada uma, uma interface virtual será criada
dentro do gateway.
Nesse menu também permite habilitar o monitoramento e escolher a opção
Habilitar monitoramento, possibilita monitorar todas as interfaces de rede do
cluster e detalhes de replicação de sessão, identificando possíveis falhas, caso uma
interface de algum no do cluster falhe "falta de conectividade ou falha de rota, ou
etc." o no do cluster irá desativar todas as outras interfaces e fazer com que outro nó
assuma, permitindo assim uma maior disponibilidade dos links.
PPPoE
A opção Usar PPPoE permite definir que esta interface trabalhe com PPPoE (usado
basicamente para a conexão com modems ADSL). Ao ser selecionada, a seguinte
janela será mostrada:
271
Figura 187 - Configuração PPPoE.
Nome do dispositivo: Este campo indica o nome do dispositivo interno que será
utilizado na comunicação PPPoE. É importante que no caso de que haja mais de
uma interface trabalhando em PPPoE, que eles sejam distintos.
Ativar no boot: Se esta opção estiver marcada, o AWG ativará o PPPoE
automaticamente, ao iniciar a maquina.
Serviço PPPoE ativado sob demanda: Se esta opção estiver marcada, o AWG
ativará o serviço PPPoE apenas quando houver tráfico de rede direcionado através
desta interface de rede.
Nome do Usuário: Nome do usuário que será utilizado na autenticação durante o
estabelecimento da sessão PPPoE.
Senha: Senha que será utilizada na autenticação durante o estabelecimento da
sessão PPPoE.
Confirmação: Confirmação da senha que será utilizada na autenticação durante o
estabelecimento da sessão PPPoE.
Provedor: É o provedor do serviço de PPPoE.
O protocolo IP permite a fragmentação de pacotes, possibilitando que um
datagrama seja dividido em pedaços, cada um pequeno o suficiente para poder ser
272
transmitido por uma conexão com o MTU menor que o datagrama original. Esta
fragmentação acontece na camada IP (camada 3 do modelo OSI) e usa o parâmetro
MTU da interface de rede que irá enviar o pacote pela conexão. O processo de
fragmentação marca os fragmentos do pacote original para que a camada IP do
destinatário possa montar os pacotes recebidos, reconstituindo o datagrama
original.O protocolo da Internet define o "caminho MTU" de uma transmissão
Internet como o menor valor MTU de qualquer um dos hops do IP do path" desde o
endereço de origem até ao endereço de destino. Visto de outro modo, o "caminho
MTU" define o maior valor de MTU que pode passar pelo caminho sem que os seus
pacotes sofram posterior fragmentação.
Só é possível configurar endereços IP de interfaces de rede reconhecidas pelo
sistema operacional no qual o gateway está rodando. Caso tenha acrescentado uma
nova interface de rede e seu nome não apareça na lista de interfaces, é necessário
configurar o sistema operacional de forma a reconhecer esta nova interface antes de
tentar configurá-la nesta pasta. Valor padrão de 1500.
O IP e o prefixo têm que ser informados juntos.
Não será possível ao usuário remover ou editar os endereços auto-configurados
(que são derivados dos endereços MAC).
As interfaces que estiverem em vermelho, indicam que não estão presentes em
todos os nodos do cluster.
273
17.3.
Roteamento
Para acessar a janela de configuração de Roteamento deve-se:
Figura 188 - Roteamento.
•
Click no menu TCP/IP do AWG que queria administrar.
•
Selecione o item Roteamento.
274
17.3.1.
Geral
Figura 189 - Roteamento - Geral.
Esta janela possibilita configurar rotas IPv4.
A configuração do endereçamento IPv4 e consiste dos seguintes campos:
Rede: Configuração dos endereços IP
Máscara de rede: Informa o endereço da máscara de rede
Gateway: Nesse campo deve ser informado o endereço IP do roteador.
Métrica: É o valor de distância da rede. A distância pode ser medida, por número de
dispositivos que o pacote deve cruzar, tempo que leva da origem ao destino ou por
um valor associado à velocidade do link.
Rota Padrão: Pode-se especificar o roteador padrão, por qual todos os pacotes
serão encaminhados.
275
Para a inclusão de uma nova rota, basta clicar no botão direito do mouse e irá
aparecer o menu
.
Para remover ou editar uma rota, basta clicar com o botão direito sobre ela.
17.4.
Utilizando a Interface Texto na Configuração TCP/IP
É possível configurar os parâmetros do TCP/IP pela Interface Texto.
Localização do programa: /aker/bin/commom/akinterface
O programa é interativo e as opções de configuração são as descritas abaixo:
Figura 190 – Modulo de configuração para interfaces de rede
Analogamente a configuração da Interface Remota, a Interface Texto possui 6
opções conforme visualizado na figura acima.
Na janela abaixo é possível visualizar, configurar e desconfigurar uma interface de
rede
276
Figura 191 – Configuração de interfaces
Na tela abaixo é apresentada a opção de listar interfaces
Figura 192 – Lista das interfaces de rede
Para configurar uma interface deve-se digitar o nome da mesma. A tecla <enter>
retorna ao menu anterior
277
Figura 193 – Nome da interface
Nesta tela é apresentada a opção de cadastrar VLAN
Figura 194 – Configurar uma interface vlan filha
Após a digitação dos valores de configuração é perguntado se deseja configurar
álias para a interface.
278
Figura 195 - configurar álias para a interface
Com os dados já digitados é perguntado se deseja configurar interface para os
novos valores.
Figura 196 - configurar interface para os novos valores
Após a digitação da Opção 2 da tela principal, é possível realizar a configuração de
rotas estáticas.
279
Figura 197 – Configuração de rotas estáticas
Após as informações terem sido digitadas é perguntado se deseja gravar as novas
configurações.
Figura 198 – Confirmar nova configuração
Após a digitação da Opção 3 da tela principal, é possível realizar a configuração dos
Servidores DNS.
280
Figura 199 – Configuração DNS
Após a digitação da Opção 4 da tela principal, é possível realizar a configuração
da rota padrão.
Figura 200 – Configuração da rota padrão
281
Configurando Proxy SSL
Reverso
282
18.
Configurando Proxy SSL Reverso
Neste capítulo será mostrado para que servem e como configurar o Proxy SSL no
Aker Web Gateway.
O que é um Proxy SSL?
Um Proxy SSL é uma VPN cliente-awg, feita através do protocolo SSL, e que tem
como principal característica a utilização do suporte nativo a este protocolo que está
presente em várias aplicações: navegadores, leitores de e-mail, emuladores de
terminal, etc. Devido ao suporte nativo destas aplicações, não é necessária a
instalação de nenhum cliente para o estabelecimento da VPN.
O seu funcionamento é simples: de um lado o cliente se conecta ao Aker Web
Gateway através do protocolo SSL, autenticando-se através de certificados X.509
(caso seja o desejo do administrador que a autenticação seja demandada) e o Aker
Web Gateway então se conecta em claro ao servidor interno. Dessa forma, o cliente
enxerga uma conexão SSL com o servidor e, este, enxerga uma conexão em claro
(transparente) com o cliente.
Utilizando um Proxy SSL
Para utilizar um Proxy SSL em uma comunicação, é necessário executar uma
sequência de 2 passos:
1. Criar um serviço que será interceptado pelo proxy SSL e edita-se os parâmetros
do contexto a ser usado por este serviço (para maiores informações, veja o
capítulo intitulado Cadastrando Entidades;
2. Acrescentar serviços de perfis SSL, permitindo o uso do serviço criado no passo
1, para as redes ou máquinas desejadas (para maiores informações, veja o item
Configurando regras de Proxy SSL Reverso.
18.1.
Editando os parâmetros de um contexto SSL
A janela de propriedades de um contexto SSL será mostrada quando a opção Proxy
SSL for selecionada. Através dela é possível definir o comportamento do proxy SSL
quando este for lidar com o serviço em questão.
283
A janela de propriedades de um contexto SSL
Figura 201 – Janela de propriedades de um contexto SSL – aba Geral (F5-aba serviço)
Na janela de propriedades são configurados todos os parâmetros de um contexto
associado a um determinado serviço. Ela consiste de duas abas distintas: a primeira
permite a configuração dos parâmetros e a segunda permite a definição do
certificado que será apresentado ao cliente no estabelecimento da VPN.
•
Aba Geral
Porta do servidor: Este campo indica a porta que o servidor estará esperando
receber a conexão, em claro, para o serviço em questão.
Permitir autenticação de usuário: Este campo, se estiver marcado, indica que os
usuários podem se autenticar no estabelecimento dos Proxies SSL. Caso ele esteja
desmarcado, somente sessões anônimas serão autorizadas, o que implica na
utilização do perfil de acesso padrão sempre.
284
Forçar autenticação de usuário: Se este campo estiver marcado, não serão
aceitas sessões de Proxy SSL nas quais o usuário não tenha apresentado um
certificado X.509 válido.
Inatividade do cliente: Este campo indica o tempo máximo em segundos que o
Web Gateway manterá a sessão de Proxy SSL ativa (desde que a sessão já tenha
sido estabelecida) sem o recebimento de dados por parte do cliente.
Conexão: Este campo indica o tempo máximo em segundos que o Aker Web
Gateway aguardará pelo estabelecimento da conexão com o servidor.
Autenticação SSL: Este campo indica o tempo máximo em segundos que o Aker
Web Gateway aguardará para que o cliente realize, com sucesso, uma autenticação
SSL.
Avançado: Este botão permite o acesso aos parâmetros de configuração que não
são normalmente utilizados. São eles:
Permitir um usuário acessar de IPs diferentes ao mesmo tempo: Este campo,
se estiver marcado, permite que um mesmo usuário estabeleça sessões
simultâneas a partir de máquinas diferentes. Caso esteja desmarcado, se um
usuário já possuir uma sessão em uma máquina, as tentativas de abertura a partir
de outras máquinas serão recusadas.
Tempo de manutenção de sessão: Como não existe o conceito de sessão em um
Proxy SSL, é necessário que o proxy simule uma sessão, mantendo um usuário
logado por algum tempo após o fechamento da última conexão, caso seja
necessário impedir que um mesmo usuário acesse simultaneamente máquinas
diferentes. O que este campo especifica é por quanto tempo, em segundos, o Web
Gateway deve considerar um usuário como logado após o fechamento da última
conexão.
Permitir o uso de SSL v2: Este campo indica se o Aker Web Gateway deve ou não
aceitar uma conexão SSL usando a versão 2 deste protocolo.
A versão 2 do protocolo SSL possui sérios problemas de segurança e é
recomendado que ela não seja utilizada, a não ser que isso seja estritamente
necessário.
285
•
Aba Certificado
Figura 202 – Aba Certificado
Esta aba é utilizada para especificar o certificado X.509 que será apresentado ao
cliente quando ele tentar estabelecer um Proxy SSL. É possível criar uma requisição
que posteriormente será enviada para ser assinada por uma CA ou importar um
certificado X.509 já assinado, em formato PKCS#12.
Criar requisição:
Este botão permite que seja criada uma requisição que posteriormente será enviada
a uma CA para ser assinada. Ao ser clicado, serão mostrados os campos do novo
certificado a ser gerado e que devem ser preenchidos. Após o preenchimento devese clicar no botão OK, que fará com que a janela seja alterada para mostrar os
dados da requisição recém criada bem como dois botões para manipulá-la: O botão
Salvar em arquivo permite salvar a requisição em um arquivo para que ela seja
então enviada a uma CA que irá assiná-la. O botão Instalar esta requisição
permite importar o certificado já assinado pela CA.
Importar certificado PKCS#12:
Este botão provocará o aparecimento de um diálogo onde pode especificar o nome
do arquivo com o certificado X.509 que será importado.
286
18.2.
Configurando regras de Proxy SSL Reverso
Figura 203 – Configurando regras de proxy SSL reverso
Esta aba permite que pessoas que estão externamente à rede acessem o servidor
interno por meio de uma conexão SSL.
Serviço Proxy SSL: Este campo possibilita o cadastro de um serviço que será
interceptado pelo proxy SSL.
Inicia uma conexão segura que vai começar no Aker Web Gateway. As opções
disponíveis nesse campo estão relacionadas às entidades serviços criadas.
Na entidade serviço, a configuração deve ser feita optando pelo Proxy SSL.
Destino: Indica o servidor interno que será mapeado. O Aker Web Gateway se
conecta em claro ao servidor interno. Dessa forma, o cliente enxerga uma conexão
SSL com o servidor e este, enxerga uma conexão em claro (transparente) com o
destino.
287
Proteção Flood
288
19.
Proteção de Flood
Neste capítulo será mostrado para que servem e como configurar a Proteção de
Flood no Aker Web Gateway.
O que é um ataque de Flood?
Os ataques de Flood se caracterizam por existir um elevado número de conexões
abertas e estabelecidas contra servidores web, FTP, smtp e etc, a partir de outras
máquinas existentes na Internet que foram invadidas e controladas para perpetrar
ataques de negação de serviço (DoS).
A proteção também é útil para evitar abuso do uso de determinados serviços (sites
de download, por exemplo) e evitar estragos maiores causados por vírus, como o
NIMDA, que fazia com que cada máquina infectada abrisse centenas de conexões
simultaneamente.
Como funciona a proteção contra Flood do Aker Web Gateway?
O Aker Web Gateway possui um mecanismo que visa impedir que um ataque de
Flood seja bem sucedido. Seu funcionamento baseia na limitação de conexões que
possam ser abertas simultaneamente a partir de uma mesma máquina para uma
entidade que está sendo protegida.
O administrador do Web Gateway deve estimar este limite dentro do funcionamento
cotidiano de cada servidor ou rede a ser protegida.
289
19.1.
Utilizando a Interface Remota para Proteção de Flood
Figura 204 – Configurações (Proteção de flood)
•
•
Clicar no menu Segurança na janela do Web Gateway.
Escolher o item Proteção de Flood.
A janela de configuração da proteção de Flood
Figura 205 – Proteção de flood
290
•
•
•
O botão OK fará com que os parâmetros de configuração sejam atualizados e a
janela fechada.
O Botão Cancelar fará com que todas as alterações feitas sejam desprezadas e
a janela fechada.
O botão Aplicar enviará para o Web Gateway todas as alterações feitas porém
manterá a janela aberta.
Significado dos campos da janela:
Número: Corresponde ao número da regra de Proteção de Flood.
Origem: Neste campo pode ser uma rede ou máquina de onde poderá ser originado
um ataque de DDoS.
Destino: Incluir neste campo máquinas ou redes que deseja proteger.
Serviços: Portas de serviços que desejam-se proteger. Poderá ser incluído no
campo mais de uma entidade.
Conexões Máximas: Campo numérico onde deve informar o número máximo de
conexões que a entidade pode receber a partir de uma mesma origem.
A quantidade máxima de conexões nas regras de proteção de flood não é a
quantidade agregada de conexões a partir da origem especificada, mas sim a
quantidade, por endereço IP único que encaixa na origem informada, de conexões
simultâneas. Desta forma, por exemplo, havendo a necessidade de limitar o número
de downloads simultâneos por usuário em 2, esse número dever ser 2,
independentemente do número de usuários que façam os downloads.
291
Configurando o Web Gateway
em Cluster
292
20.
Configurando o Web Gateway em Cluster
Neste capítulo mostraremos como configurar a tolerância a falhas do Aker Web
Gateway.
20.1.
Planejando a Instalação
O que é um sistema de tolerância às falhas?
Quanto mais os computadores ganham espaço nas empresas, nos escritórios e na
vida das pessoas em geral, mais se ouve falar em "alta disponibilidade". Por um
simples e bom motivo: nenhum usuário quer que a sua máquina pare de funcionar
ou que os recursos de rede não possam mais ser acessados. É justamente a alta
disponibilidade que vai garantir a continuidade de operação do sistema na prestação
de serviços de rede, armazenamento ou processamento, mesmo se houver falhas
em um ou mais de seus elementos.
Assim, alta disponibilidade é hoje um assunto que interessa a um número cada vez
maior de usuários. Tornou-se um requisito fundamental para os sistemas que ficam
no ar 24 horas por dia, sete dias por semana, ou que não possam ficar fora do ar
por até mesmo alguns minutos. Afinal, paradas não planejadas podem
comprometer, no mínimo, a qualidade do serviço, sem contar os prejuízos
financeiros.
Tolerância às falhas nada mais é que um agrupamento de recursos que fornece ao
sistema a ilusão de um recurso único. A maioria dos seus componentes, encontramse duplicados, desta forma, mesmo que um componente individual apresente falhas
o serviço não é comprometido. Para possibilitar a redundância de recursos é
necessário um mecanismo de gerência, de forma a tornar seu funcionamento
transparente.
Como trabalha a Tolerância às Falhas do Aker Web Gateway?
A tolerância às falhas do Aker Web Gateway é composta por dois sistemas
idênticos, ou seja, duas máquinas com o mesmo Sistema Operacional, mesmas
placas de rede e com a mesma versão do software, conectadas entre si. A
exigência de se usar o mesmo sistema operacional se dá pelo fato de poder aplicar
correções através da Interface Remota e essas correções serem replicadas
automaticamente de uma máquina para a outra.
Além de estarem conectadas entre si, o que deve ser feito por uma interface de
rede, é necessário que todas as placas de rede correspondentes das duas
máquinas estejam conectadas em um mesmo hub ou switch, de forma que ambos
os web gateways tenham acesso às mesmas máquinas e roteadores.
293
20.2.
Configuração do Cluster
O que é um sistema de tolerância às falhas?
Quanto mais os computadores ganham espaço nas empresas, nos escritórios e na
vida das pessoas em geral, mais se ouve falar em "alta disponibilidade". Por um
simples e bom motivo: nenhum usuário quer que a sua máquina pare de funcionar
ou que os recursos de rede não possam mais ser acessados. É justamente a alta
disponibilidade que vai garantir a continuidade de operação do sistema na prestação
de serviços de rede, armazenamento ou processamento, mesmo se houver falhas
em um ou mais de seus elementos.
Assim, alta disponibilidade é hoje um assunto que interessa a um número cada vez
maior de usuários. Tornou-se um requisito fundamental para os sistemas que ficam
no ar 24 horas por dia, sete dias por semana, ou que não possam ficar fora do ar
por até mesmo alguns minutos. Afinal, paradas não planejadas podem
comprometer, no mínimo, a qualidade do serviço, sem contar os prejuízos
financeiros.
Tolerância às falhas nada mais é que um agrupamento de recursos que fornece ao
sistema a ilusão de um recurso único. A maioria dos seus componentes, encontramse duplicados, desta forma, mesmo que um componente individual apresente falhas
o serviço não é comprometido. Para possibilitar a redundância de recursos é
necessário um mecanismo de gerência, de forma a tornar seu funcionamento
transparente.
Para que possa ser iniciada a configuração do Cluster, é necessário que
previamente exista uma licença de cluster e que já tenha sido aplicada no Web
Gateway.
Para se ter acesso a janela de Configuração do Cluster deve-se:
294
Figura 206 – Configurações (Configuração do cluster)
•
•
Clicar no menu Configuração do Sistema na janela de Administração do Web
Gateway.
Clicar no item Configuração do Cluster.
Caso o usuário opte em configurar, deverá clicar no botão "sim", e automaticamente
aparecerá a seguinte tela:
295
Figura 207 – Criar Cluster
Essa janela permite a criação de um novo cluster. O usuário deverá preencher os
seguintes campos:
Nome: Nesse campo deve ser informado o nome do Web Gateway no cluster.
Peso: Esse campo indica o balanceamento do tráfego. O administrador poderá
escolher o valor mais apropriado.
Interface: Esse campo permite a escolha de uma entidade que representa uma
interface de controle do cluster. Essa entidade será usada pelo Web Gateway para
controle do cluster.
Botão Ok: Ao término da escolha das opções, deve-se clicar no botão Ok. Se a
licença tiver sido aplicada anteriormente, o cluster será habilitado, caso tenha algum
problema, aparecerá uma mensagem informando que não foi possível habilitá-lo.
Se a criação do cluster tiver sido feita com sucesso a Interface Remota será
desconectada para garantir que toda a configuração seja recarregada, assim o
usuário deverá conectar novamente.
Caso o usuário deseje fazer alguma alteração nas configurações do cluster criado,
deverá acessar a Janela de Configuração de Cluster. Abaixo seguem as descrições
dos campos:
296
Figura 208 – Configuração do cluster
Informações Gerais
Nessa parte da janela são mostradas informações gerais do cluster criado.
Tipo de Cluster: Esta opção permite selecionar o tipo de cluster desejado ou
desabilitá-lo.
Interface de Controle: Essa informação é definida na hora da habilitação do
cluster, não podendo ser alterada posteriormente. Todos os seus outros membros
utilizarão essa mesma entidade.
Informações dos Membros
Nessa parte da Janela mostra todas as informações sobre os membros do cluster.
Identificação: Esse campo informa o ID do Cluster. É gerado aleatoriamente, não
podendo ser alterado.
Nome: Indica o nome do Web Gateway do cluster.
297
Estado: Permite visualizar o status do cluster, se está ativado ou desativado
Interfaces
Nessa parte da janela permite a visualização das características de configuração
das interfaces de rede dos membros do cluster. Essas características pertencem a
todos os membros, incluindo os ativados, desativados e os que vierem a ser
incluídos.
Interface: Nesse componente permite adicionar uma nova interface.
Virtual IP: É o IP virtual que representa as máquinas do cluster para a rede atual.
Deverá ser definido apenas nos casos de cluster cooperativos.
Modo: Esse campo informa o modo como os pacotes são redistribuídos dentro de
um grupo de máquinas. O modo UNICAST é o padrão, mas pode ser alterado para
o modo Multicast ou Multicast com IGMP.
IP Multicast : As informações contidas nesse campo, são alteradas de acordo com
o modo indicado/escolhido, mas só poderá ser editado quando for escolhido o modo
multicast IGMP.
Mac: Esse campo indica o endereço físico da placa de rede. Pode ser informado
quando o modo escolhido for o Multicast. Caso não
seja especificado o cluster,
vai ser utilizado o endereço que consta na placa, se for escolhido o modo Multicast
IGMP o MAC não
será configurado, ou seja, não poderá ser editado.
A opção de adicionar um IP virtual só é válida quando se tratar de cluster
cooperativo.
Observação: Deve haver no mínimo um membro ativo.
Nessa janela pode-se incluir um novo membro do cluster. Para incluí-lo, clique com
o botão direito do mouse no componente que mostra as informações dos membros.
Clique no ícone
, e a janela abaixo será exibida:
298
Figura 209 – Adicionar novo Web Gateway no cluster
Nesta janela deve ser preenchida todas as informação do Web Gateway que será
adicionado ao cluster. Abaixo segue a descrição dos campos:
Informação da conexão
IP: É o endereço IP do Web Gateway a ser adicionado ao cluster.
Usuário: Usuário de administração do Web Gateway.
Senha: Senha do usuário administrador do Web Gateway.
Informação do Web Gateway
Nome: Nome do Web Gateway no cluster
Hierarquia: Permite definir o status do cluster em mestre, escravo e nenhum.
Podendo ser definido previamente qual status funcione (mestre ou escavo) ou
selecionado a opção nenhum (para ser escolhido automaticamente).
299
O membro do cluster, também pode ser incluído por meio do ícone
presente na barra de ferramentas.
20.3.
Estatística do Cluster
A janela de estatística do Cluster permite a visualização das informações de cada
nó do cluster.
Para se ter acesso a janela de Estatística do Cluster deve-se:
Figura 210 – Informação (Estatística do Cluster)
•
•
Clicar no menu Informação na janela de Administração do Web Gateway.
Clicar no item Estatística do Cluster.
Aba Web Gateway 1
A janela possui dois tipos de informações: as informações estáticas se referem ao
nome do nodo, o identificador e o peso. As outras informações que constam na
janela são estatísticas do tráfego de redes que permite, por exemplo, a visualização
da quantidade de pacotes trafegados na rede.
Os valores são acumulativos, a cada segundo os dados são somados ao valor
anterior.
300
Figura 211 - Estatística do Cluster (aba nod)
Aba Gráfico
Esta janela permite a visualização gráfica das informações referentes ao tratamento
dado, aos pacotes dos nodos, pelo Web Gateway. Esse gráfico permite a
visualização de até 8 nodos.
As informações do tráfego de cada nodo são mostradas em porcentagem. Esta aba
possui vários tipos de filtros, permitindo ao usuário, para uma eventual comparação
de dados, filtrar informações em percentual, das atividades de cada Web Gateway.
301
Figura 212 - Estatística do Cluster (aba Gráfico)
20.4.
A utilização da Interface Texto na configuração da tolerância às falhas é bastante
simples. E possível usar todos os comandos sem o prefixo “FW”, para isso execute
o comando “fwshell”, então todos os comando poderão ser acessados sem o prefixo
“FW”).
Localização do programa: /aker/bin/awg/fwcluster
Sintaxe:
fwcluster [ajuda | mostra]
fwcluster interface_controle <if>
fwcluster peso <peso>
fwcluster <habilita | desabilita>
302
fwcluster <inclui | remove> <if> [maquina | -f]
fwcluster <modo> <if> [multicast [igmp <ip>] [mac <mac>] | unicast]
Ajuda do programa:
Web Gateway
Uso: fwcluster [ajuda | mostra]
fwcluster tipo <off | failover | ha>
fwcluster interface_controle <if>
fwcluster peso <peso>
fwcluster nome <nome>
fwcluster <habilita | desabilita> [master / slave] [ -f ]
fwcluster <inclui | remove> <if> <maquina> [ -f ]
fwcluster <modo> <if> [multicast [igmp <ip>] [mac <mac>] | unicast]
fwcluster limpa [ -f ]
303
Aker Web Gateway
304
21.
Aker Web Gateway
Neste capítulo, mostraremos os comandos que podem ser utilizados no shell do
Aker Web Gateway.
O Aker Web Gateway
O Aker Web Gateway é composto por um sistema integrado de hardware e
software. A grande vantagem dessa plataforma é que ela dispensa maiores
conhecimentos de sistemas operacionais. Além disso, por não possuir disco rígido e
por ser formada por um hardware industrial, a plataforma apresenta potencialmente
maior resistência contra danos, especialmente picos de energia, o que acaba por
possibilitar um funcionamento ainda mais estável.
O Aker Web Gateway está disponível em diversos modelos, que visam atender as
necessidades de pequenas, médias e grandes empresas.
A lista completa dos modelos disponíveis é freqüentemente atualizada e está
disponível em:
http://www.aker.com.br/node/70
Como funciona o shell do Aker Web Gateway ?
Ao conectar-se um terminal serial comum configurado a 9600 bps à porta serial
correspondente no Aker Web Gateway, será possível utilizar a interface de linha de
comando do mesmo, isto é, seu shell.
Ao se realizar esse procedimento, primeiro será necessário apertar a tecla Enter até
que apareça o pedido de senha, que inicialmente é '123456'. Entrando-se
corretamente a senha, o prompt seguinte aparecerá:
Aker >
Caso tenha perdido a senha de acesso local ao Aker Web Gateway, deve-se
entrar em contato com o suporte técnico, para realizar o procedimento de reset da
mesma.
No prompt do shell, podem ser digitados todos os comandos normais do Aker Web
Gateway, conforme documentados nos tópicos relativos à Interface Texto de cada
capítulo. Além desses, existem comandos específicos ao Aker Web Gateway que
estão documentados abaixo.
É possível digitar os comandos do Aker Web Gateway no shell sem o prefixo
“fw”, isto é, entrar com o comando “ent” ao invés de “fwent”. Para isso entre com o
305
comando “Akshell”, antes de fazer qualquer operação, assim todos os comandos
estarão disponíveis sem o prefixo “FW”.
Para sair do shell, pode-se ou digitar os comandos exit ou quit ou simplesmente
apertar as teclas Ctrl + D.
Comandos específicos do Aker Web Gateway
Comando
quit
exit
Descrição
Encerram a sessão de administração no shell
Comando
help
?
Descrição
Mostram uma tela com a lista de comandos válidos
Comando
shutdown
Descrição
Paralisa o Aker Web Gateway, para que ele possa ser
desligado
Comando
reboot
Descrição
Reinicia o Aker Web Gateway
Comando
ping [-c n_pkt] [-i interv] ip_destino
Descrição
Envia pacotes ping para e espera a resposta do hosts
ip_destino
A opção -c especifica o número de pacotes a serem enviados
A opção -i especifica o intervalo de transmissão entre os
pacotes em milisegundos (ms)
306
Comando
password
Descrição
Troca a senha de acesso ao console do Aker Web Gateway
Comando
date <mostra> | <dd/mm/aaaa>
Descrição
Com o parâmetro mostra , informa a data do sistema.
Senão, acerta a data para a informada.
Comando
time <mostra> | <hh:mm[:ss]>
Descrição
Com o parâmetro mostra , informa a hora do sistema.
Senão, acerta o relógio para o horário informado.
Comando
hd <-habilita | -desabilita>
Descrição
Habilita ou desabilita o uso de um disco rígido
Comando
hd_format
Descrição
Permite formatar o disco.
Comando
hd_check
Descrição
Permite a checagem do disco, procura por erros e, caso os
encontrem, corrige-os.
307
Apêndice A – Mensagens do
Sistema
308
22.
Apêndica A – Mensagens do Sistema
Neste apêndice estão listadas as mensagens do sistema.
22.1.
Mensagens dos eventos do Aker Web Gateway
000 - Aker Web Gateway - Inicialização completa
Esta mensagem tem caráter puramente informativo, servindo para determinar os
horários que o Aker Web Gateway entrou em funcionamento. Ela será produzida a
cada reinicialização da máquina.
001 - Erro de alocação de memória
Esta mensagem indica que algum módulo do Aker Web Gateway tentou alocar
memória e não conseguiu. Esta mensagem pode ocorrer em sistemas com pouca
memória RAM utilizando conversão de endereços com um grande número de
conexões simultâneas ou com um grande número de conexões ativas passando
pelos proxies do Aker Web Gateway.
Solução: Adquira mais memória RAM ou aumente as partições de swap.
002- Dados inválidos recebidos pelo módulo do Kernel
Esta mensagem indica que o pacote de carga de dados que foi enviado para o
kernel é inválido.
003- Erro ao ler o arquivo de parâmetros
Esta mensagem é produzida por qualquer um dos módulos externos ao tentar ler o
arquivo de parâmetros do sistema e constatar que este não existe ou não pode ser
lido.
Solução: Reinicialize a máquina, que o programa de inicialização irá recriar o
arquivo de parâmetros. Se isso não funcionar, contate o suporte técnico.
004- Erro ao carregar perfis de acesso
Esta mensagem indica que o servidor de autenticação ou o servidor de login de
usuários não conseguiu carregar a lista de perfis de acesso cadastrados no sistema.
Solução: Contate o suporte técnico.
005 - Erro ao carregar entidades
309
Esta mensagem indica que algum processo servidor do Aker Web Gateway não
conseguiu carregar a lista de entidades cadastradas no sistema.
006- Nome de perfil de acesso inválido
Esta mensagem indica que o servidor de autenticação ao procurar o perfil de acesso
de um usuário constatou que o mesmo não se encontra cadastrado no sistema.
007 - Erro ao criar socket de conexão
Esta mensagem indica que algum dos módulos externos tentou criar um socket e
não conseguiu.
Solução: Verifique o número de arquivos que podem ser abertos por um processo e
o número total para o sistema. Se necessário aumente estes valores. Para maiores
informações de como fazer isso, contate o suporte técnico.
008 - Tamanho da linha excessivo
Esta mensagem indica que algum proxy do Aker Web Gateway recebeu uma linha
com um número excessivo de caracteres e devido a isso, derrubou a conexão. A
informação complementar entre parênteses indica o endereço IP da máquina que
causou o problema.
Solução: Esta mensagem é causada por um servidor ou cliente fora dos padrões
das RFCs. A única solução possível para o problema é contatar o administrador da
máquina causadora da mensagem.
009 - URL aceita
Esta mensagem indica que o proxy WWW aceitou um pedido de uma URL feito por
um usuário. A mensagem complementar entre parênteses indica o nome do usuário
que fez a requisição. A linha de mensagem seguinte indica o endereço IP da
máquina da qual a requisição se originou e a terceira linha indica qual URL foi
acessada.
Esta mensagem somente será produzida para URLs do protocolo HTTP quando
elas resultarem em código HTML. Para os protocolos FTP e Gopher, ela será
gerada para cada requisição aceita, independente do seu tipo.
010 - URL rejeitada
Esta mensagem indica que o proxy WWW rejeitou um pedido de uma URL feito por
um usuário. A mensagem complementar entre parênteses indica o nome do usuário
que fez a requisição. A linha de mensagem seguinte indica o endereço IP da
310
máquina da qual a requisição se originou e a terceira linha indica qual URL que o
usuário tentou acessar.
011 - Banner removido
Esta mensagem indica que o proxy WWW substitui uma requisição por uma imagem
em branco, visto que a URL se encaixou nas regras de filtragem de banners. A
mensagem complementar entre parênteses indica o nome do usuário que fez a
requisição. A linha de mensagem seguinte indica o endereço IP da máquina da qual
a requisição se originou e a terceira linha indica qual URL que o usuário tentou
acessar.
012 - Erro ao comunicar com servidor de autenticação
Esta mensagem indica que um dos proxies não conseguiu se comunicar com o
servidor de autenticação quando tentou realizar a autenticação de um usuário.
Devido a isso, o usuário não foi autorizado a continuar e a sua conexão foi
recusada.
Solução: Verifique se o processo do servidor de autenticação está ativo no Aker
Web Gateway. Para fazer isso, execute o comando
#ps -ax | grep fwauthd | grep -v grep. Caso o processo não apareça, execute-o
com o comando /etc/AWCA Gateway/fwauthd. Se o processo estiver ativo ou se
este problema voltar a ocorrer, contate o suporte técnico.
013 - Erro ao conectar com agente de autenticação
Esta mensagem indica que o servidor de autenticação não conseguiu se conectar
ao agente de autenticação que estaria rodando em uma determinada máquina. A
mensagem complementar indica o nome do agente de autenticação que não pode
ser conectado e o endereço IP que ele supostamente estaria rodando.
Solução: Verifique se o endereço IP da máquina onde o agente estaria rodando está
correto na definição do autenticador (para maiores informações, veja o capítulo
intitulado Cadastrando Entidades e que o agente está realmente sendo executado
na máquina em questão.
014 - Erro de comunicação com agente de autenticação
Esta mensagem indica que o servidor de autenticação conseguiu se conectar ao
agente de autenticação, porém não conseguiu estabelecer uma comunicação. A
mensagem complementar indica o nome do agente de autenticação que provocou o
problema.
Solução: Verifique se a senha de acesso na definição do autenticador está igual a
senha colocada na configuração do agente de autenticação. Para maiores
informações, veja o capítulo intitulado Cadastrando Entidades.
311
015 - Erro ao conectar com servidor de antivírus
Esta mensagem indica que o Aker Web Gateway não conseguiu se conectar ao
servidor de antivírus que estaria rodando em uma determinada máquina. A
mensagem complementar indica o nome do servidor que não pode ser conectado e
o endereço IP que ele supostamente estaria rodando.
Solução: Verifique se o endereço IP da máquina onde o agente estaria rodando está
correto na definição da entidade (para maiores informações, veja o capítulo
intitulado Cadastrando Entidades e que o agente está realmente sendo executado
na máquina em questão.
016 - Erro de comunicação com servidor de anti-vírus
Esta mensagem indica que o Aker Web Gateway conseguiu se conectar ao servidor
de anti-vírus porém não conseguiu estabelecer uma comunicação. A mensagem
complementar indica o nome do agente anti-vírus que provocou o problema e o
endereço IP da máquina onde ele está rodando.
Solução: Verifique se a senha de acesso na definição da entidade está igual a
senha colocada na configuração do agente anti-vírus. Para maiores informações,
veja o capítulo intitulado Cadastrando Entidades.
017 - Erro ao conectar com Web Content Analyzer
Esta mensagem indica que o Aker Web Gateway não conseguiu se conectar ao
Web Content Analyzer que estaria rodando em uma determinada máquina. A
mensagem complementar indica o nome do analisador que não pode ser conectado
e o endereço IP que ele supostamente estaria rodando.
Solução: Verifique se o endereço IP da máquina onde o analisador estaria rodando
está correto na definição da entidade (para maiores informações, veja o capítulo
intitulado Cadastrando Entidades e que ele está realmente sendo executado na
máquina em questão.
018 - Erro de comunicação com Web Content Analyzer
Esta mensagem indica que o Aker Web Gateway conseguiu se conectar no Web
Content Analyzer porém não conseguiu estabelecer uma comunicação. A
mensagem complementar indica o nome do analisador que provocou o problema e
o endereço IP da máquina onde ele está rodando.
Solução: Verifique se a senha de acesso na definição da entidade está igual a
senha colocada na configuração do Web Content Analyzer. Para maiores
informações, veja o capítulo intitulado Cadastrando Entidades.
019 - Falha de autenticação para proxy
312
Esta mensagem indica que um usuário informou uma senha inválida ao tentar
autenticar-se em um determinado proxy. As mensagens complementares indicam o
nome do usuário e as máquinas de origem e destino (no caso de proxy
transparente) da conexão.
020 - Usuário não cadastrado para proxy
Esta mensagem indica que um usuário não cadastrado tentou se autenticar em um
determinado proxy. A mensagem complementar indica as máquinas de origem e
destino (no caso de proxy transparente) da conexão.
021- Erro ao enviar dados para o kernel do Aker Web Gateway
Esta mensagem indica que algum dos módulos externos tentou enviar informações
para os módulos do Aker Web Gateway que rodam dentro do kernel e não
conseguiu. Se existir uma mensagem complementar entre parênteses, esta indicará
quais informações estavam sendo enviadas.
022 - Falha de autenticação para perfil de acesso
Esta mensagem indica que um usuário informou uma senha inválida ao tentar se
logar no Aker Web Gateway utilizando o Cliente de Autenticação Aker. As
mensagens complementares indicam o nome do usuário e a máquina de origem da
requisição.
023 - Usuário não cadastrado para perfil de acesso
Esta mensagem indica que um usuário não cadastrado tentou se logar no Aker Web
Gateway utilizando o Cliente de Autenticação Aker. A mensagem complementar
indica a máquina de origem da requisição.
024 - Sessão de perfil de acesso estabelecida
Esta mensagem indica que um usuário se logou corretamente no Aker Web
Gateway utilizando o Cliente de Autenticação Aker. As mensagens complementares
indicam o nome do usuário que estabeleceu a sessão e a máquina a partir da qual a
sessão foi estabelecida.
025 - Sessão de perfil de acesso finalizada
Esta mensagem indica que um usuário finalizou uma sessão no Aker Web Gateway
estabelecida através do Cliente de Autenticação Aker. As mensagens
complementares indicam o nome do usuário que finalizou a sessão e a máquina a
partir da qual a sessão foi finalizada.
026 - Requisição de perfil de acesso inválida
Esta mensagem, que pode ter várias causas, indica que o servidor de login de
usuários recebeu uma requisição inválida de um Cliente de Autenticação Aker.
313
As mensagens complementares indicam qual a causa do problema e o endereço da
máquina de origem da requisição.
027- Conflito de versão de cliente de autenticação
Estão sendo usadas duas versões diferentes de cliente de autenticação no mesmo
IP: uma que suporta múltiplos usuários logados e outra que não.
028- Erro ao carregar pseudo-grupos
Esta mensagem indica que o Aker Web Gateway não conseguiu carregar a lista de
pseudo-grupos das autoridades certificadoras.
Solução: Contate o suporte técnico
029- Erro ao carregar certificado
Esta mensagem é gerada quando não foi possível carregar um certificado X509.
030- Erro ao baixar CRL
Essa mensagem indica que o Aker Web Gateway não conseguiu baixar a lista de
certificados revogados (CRL) de uma autoridade certificadora. As mensagens
complementares mostram a razão pela qual não foi possível baixar a lista e a URL
da qual se tentou baixá-la.
Solução: Verifique que a URL informada na definição da entidade do tipo autoridade
certificadora está correta e que o serviço está no ar. É possível fazer isso digitandose a URL em um browser e verificando se é possível se receber o arquivo.
031 - Número de processos excessivo no sistema
Esta mensagem indica que algum dos módulos externos do Aker Web Gateway, ao
tentar criar uma nova instância de si próprio para tratar uma conexão, detectou que
o número de processos executando no sistema está próximo do limite máximo
permitido. Diante disso, a criação do novo processo foi cancelada e a conexão que
deveria ser tratada pelo novo processo foi abortada.
Solução: Aumente o número máximo de processos no sistema. Para maiores
informações, consulte o Apêndice B - Perguntas e respostas.
032 - Pedido de conexão de administração
Esta mensagem é gerada pelo módulo de administração remota do Aker Web
Gateway todas as vezes que este recebe um pedido de abertura de conexão. Na
mensagem complementar é mostrado o endereço IP da máquina que solicitou a
abertura de conexão.
033 - Sessão de administração estabelecida
314
Esta mensagem é gerada pelo módulo de administração remota do Aker Web
Gateway quando um usuário consegue se autenticar corretamente e iniciar uma
sessão de administração. Na mensagem complementar é mostrado o login do
usuário que estabeleceu a sessão e os seus direitos.
Os direitos do usuário são representados através de três siglas independentes.
Caso o usuário possua um determinado direito será mostrada a sigla
correspondente a ele, caso contrário será mostrado o valor "--". As siglas e seus
significados são os seguintes:
•
•
•
CF - Configura Aker Web Gateway
CL - Configura Log
GU - Gerencia usuários
034- Sessão de administração finalizada
Esta mensagem indica que a sessão de administração estabelecida anteriormente
foi terminada a pedido do cliente.
035- Usuário não cadastrado para administração
Esta mensagem indica que um usuário não cadastrado no sistema tentou
estabelecer uma sessão de administração.
036 - Erro de confirmação de sessão de administração
Esta mensagem indica que um usuário cadastrado no sistema tentou estabelecer
uma sessão de administração remota porém sua senha estava incorreta. A
mensagem complementar mostra o nome do usuário em questão.
037 - Aker Web Gateway sendo administrado por outro usuário
Esta mensagem indica que um usuário conseguiu se autenticar corretamente para
estabelecer uma sessão de administração remota, porém já existia um outro usuário
com uma sessão aberta para a mesma máquina e por isso a conexão foi recusada.
A mensagem complementar indica qual o usuário que teve sua sessão recusada.
038 - Alteração de parâmetro
Esta mensagem indica que o administrador que estava com a sessão de
administração aberta alterou algum parâmetro de configuração do sistema. A
mensagem complementar indica o nome do parâmetro que foi alterado.
039 - Alteração da configuração de SNMP
administração aberta alterou os parâmetros de configuração do agente SNMP.
040- Alteração dos perfis de acesso
315
administração aberta alterou a lista de perfis de acesso.
041 - Alteração da lista de controle de acesso
administração aberta alterou a lista de controles de acesso.
042 - Alteração de parâmetros de autenticação
administração aberta alterou os parâmetros globais de autenticação.
043 - Alteração de entidades
administração aberta alterou a lista de entidades do sistema.
044 - Alteração de parâmetros WWW
administração aberta alterou os parâmetros WWW.
045 - Remoção de sessão de usuário ativa
administração aberta removeu uma das sessões de usuários que estavam logados
no Aker Web Gateway através do Cliente de Autenticação Aker.
046 - Operação sobre o arquivo de eventos
administração aberta realizou uma operação sobre o arquivo de eventos. As
operações possíveis são Compactar e Apagar. A mensagem complementar indica
qual destas operações foi executada.
047 - Operação sobre o arquivo de usuários
administração aberta realizou uma operação sobre o arquivo de usuários. As
operações possíveis são Incluir, Excluir e Alterar. A mensagem complementar indica
qual destas operações foi executada e sobre qual usuário.
048 - Alteração na data/hora do Sistema
administração aberta alterou a data e/ou a hora do Aker Web Gateway.
049 - Alteração nos certificados
316
administração aberta alterou a lista de certificados das entidades certificadoras ou
de revogação do Aker Web Gateway.
050 - Alteração da configuração de TCP/IP
administração aberta alterou a configuração de TCP/IP do AWCA Gateway
(hostname, configuração de DNS, configuração de interfaces ou rotas).
051- Alteração nas licenças de ativação
A licença de ativação de um ou mais produtos foi alterada.
052 - Queda de sessão de administração por erro
Esta mensagem indica que a sessão de administração que estava ativa foi
interrompida devido a um erro de protocolo de comunicação.
Solução: Experimente estabelecer a conexão novamente. Se o problema voltar a
ocorrer, consulte o suporte técnico.
053 - Queda de sessão de administração por inatividade
Quando uma interface remota estabelece uma conexão de administração, ela passa
a enviar periodicamente pacotes para o Aker Web Gateway indicando que ela
continua ativa. Estes pacotes são enviados mesmo que usuário não execute
nenhuma operação.
Esta mensagem indica que a sessão de administração que estava ativa foi
interrompida devido a um tempo limite ter sido atingido, sem o servidor ter recebido
nenhum pacote da interface remota. A sua causa mais provável é uma queda na
máquina que rodava a interface gráfica ou uma queda na rede.
054 - Erro na operação anterior
Esta mensagem indica que a última operação executada pelo servidor de
comunicação remota não foi executada com sucesso.
Solução: Verifique se existe espaço disponível no diretório '/' do Aker Web Gateway.
Isto pode ser feito através do comando "$df -k". Se este comando mostrar o
diretório '/' com 100% de espaço utilizado, então é isto a causa do problema. Caso
exista espaço disponível e ainda assim este erro apareça, consulte o suporte
técnico.
055 - Usuário sem direito de acesso
Esta mensagem indica que o usuário tentou realizar uma operação que não lhe era
permitida.
317
Solução: Esta mensagem não deve ser mostrada em condições normais de
funcionamento do Aker Web Gateway. Se ela aparecer, contate o suporte técnico.
056 - Pacote não reconhecido
Esta mensagem indica que o servidor de comunicação do Aker Web Gateway
recebeu uma requisição de serviço desconhecida.
057 - Pedido de fluxo inexistente
Esta mensagem indica que uma inconsistência interna ocorreu, de forma que um
fluxo de dados para controle de banda (QoS), não foi encontrado.
058 - Pedido de pipe inexistente
Esta mensagem indica que uma inconsistência interna ocorreu, de forma que um
pipe para controle de banda (QoS), não foi encontrado.
059 - Erro executando shell
Esta mensagem informa que um erro grave de configuração foi encontrado que
impede o login no console do Aker Web Gateway. Contate o suporte técnico de seu
revendedor.
060 - Erro lendo licença
Esta mensagem indica que as informações de licença do Aker Web Gateway estão
com algum problema sério que impedem sua leitura. Reinsira a chave de ativação
no Aker Web Gateway.
061 - Tentativa de login (console) frustada por senha incorreta
Esta mensagem indica que alguém tentou efetuar login no console do Aker Web
Gateway, mas não tinha a senha correta.
062 - Sistema com defeito irremediável. Contate o revendedor
Esta mensagem informa que um erro grave de configuração foi encontrado que
impede o login no console do Aker Web Gateway. Contate o suporte técnico de seu
revendedor.
063 - Login no console efetuado
Esta mensagem registra o fato de algum operador ter efetuado login no console do
Aker Web Gateway.
064 - Arquivo com vírus desinfectado
318
Esta mensagem indica que um arquivo analisado pelo Aker Web Gateway estava
com vírus mas foi desinfectado.
065 - Arquivo com vírus bloqueado
Esta mensagem indica que um arquivo estava com vírus e não pode ser removido,
por isso o arquivo foi bloqueado.
066 - Arquivo não pode ser analisado pois estava corrompido
Esta mensagem indica que o antivírus do Aker Web Gateway não pode analisar o
arquivo pois o mesmo estava corrompido.
067 - Arquivo não pode ser analisado pois estava cifrado
Esta mensagem indica que o antivírus do Aker Web Gateway não pode analisar o
arquivo pois o mesmo estava cifrado.
068 - Mensagem do sistema operacional
Esta mensagem é utilizada para reportar mensagens produzidas pelo kernel do
sistema operacional, que normalmente seriam mostradas no console.
069 - Erro ao criar processo
Esta mensagem indica que o Aker Web Gateway tentou criar um novo processo
para cuidar de uma determinada tarefa e não conseguiu. Possíveis causas de erro
são memória insuficiente no Aker Web Gateway ou número de processos ativos
excessivamente alto.
070 - Processo recriado
Esta mensagem indica que o processo de monitoramento do Aker Web Gateway
recriou um processo crítico do sistema que não estava mais rodando. Se esta
mensagem aparecer frequentemente, é necessário contatar o suporte técnico para
determinar a causa do problema.
071 - Processo foi interrompido
Esta mensagem indica que o processo de monitoramento do Aker Web Gateway
detectou que um processo crítico do sistema não estava mais rodando. Se esta
mensagem aparecer frequentemente, é necessário contatar o suporte técnico para
determinar a causa do problema.
072 - Erro de rede
Esta é uma mensagem genérica para erros de rede. Favor verificar os
complementos para maiores informações sobre sua causa.
319
073 - Conexão TCP aceita pelo proxy reverso SSL
Esta mensagem indica que o Aker Web Gateway recebeu uma conexão de Proxy
Reverso SSL e a aceitou.
074 - Conexão TCP recusada pelo proxy reverso SSL
Esta mensagem indica que o Aker Web Gateway recebeu uma conexão de Proxy
Reverso SSL e a recusou.
075 - Conversação do MSN Messenger iniciada
Esta mensagem é gerada quando um usuário abre a janela de conversação no MSN
Messenger, passando através do Aker Web Gateway.
076 - Conversação do MSN Messenger finalizada
Esta mensagem é gerada quando um usuário fecha a janela de conversação no
MSN Messenger, passando através do Aker Web Gateway.
077 - Tempo diário de uso de MSN Messenger excedido
Esta mensagem indica que o tempo diário de conversa através do MSN Messenger
para o usuário em questão foi exercido. Este usuário não mais poderá acessar o
Messenger no dia corrente.
078 - Convite para transferência de arquivo via MSN Messenger permitido
Esta mensagem é gerada quando um pedido de transferência de arquivo através do
Messenger foi recebido e aceito pelo Aker Web Gateway.
079 - Transferência de arquivo via MSN Messenger bloqueada
Esta mensagem é gerada quando um pedido de transferência de arquivo através do
Messenger foi recebido e rejeitado pelo Aker Web Gateway.
080 - Convite para uso de aplicativo via MSN Messenger permitido
Esta mensagem é gerada quando um pedido de uso de aplicativo (jogos, video, etc)
através do Messenger foi recebido e aceito pelo Aker Web Gateway.
081 - Uso de aplicativo via MSN Messenger não permitido
Esta mensagem é gerada quando um pedido de uso de aplicativo (jogos, video, etc)
através do Messenger foi recebido e rejeitado pelo Aker Web Gateway.
082 - Conexão encerrada por timeout
320
Esta mensagem indica que uma conexão com um servidor do serviço MSN
Messenger foi encerrada por timeout. Verifique se o acesso à Internet está
funcionando corretamente.
083 - Erro analisando a mensagem
Esta mensagem indica que o Aker Web Gateway detectou um erro de parser em
uma mensagem do MSN Messenger. Caso esta mensagem apareça, favor contatar
o suporte técnico.
084- Servidor MSN Messenger não responde
Esta mensagem indica que os servidores do serviço MSN Messenger não estão
respondendo. Verifique se a conexão com a Internet está funcionando corretamente.
085 - Usuário entrou no MSN Messenger
Esta mensagem é gerada todas as vezes que um usuário se autentica no serviço
MSN Messenger através do Aker Web Gateway.
086 - Usuário saiu do MSN Messenger
Esta mensagem é gerada todas as vezes que um usuário sai do serviço MSN
Messenger, passando através do Aker Web Gateway.
087 - Usuário sem permissão tentou entrar no MSN Messenger
Esta mensagem é gerada todas a vezes que um usuário sem permissão tenta
acessar o serviço MSN Messenger passando através do Aker Web Gateway.
088 - Mensagem de debug do Antivírus
Esta é uma mensagem com prioridade de depuração gerada pelo antivírus.
Verifique os complementos para maiores informações.
089 - Informação do Antivírus
Esta é uma mensagem com prioridade de informação gerada pelo antivírus.
Verifique os complementos para maiores informações.
090 - Aviso importante do Antivírus
Esta é uma mensagem com prioridade de aviso gerada pelo antivírus. Verifique os
complementos para maiores informações.
091 - Mensagem de alerta do Antivírus
321
Esta é uma mensagem com prioridade de alerta gerada pelo antivírus. Verifique os
092 - O Antivírus encontrou um erro
Esta é uma mensagem com prioridade de erro gerada pelo antivírus. Verifique os
093 - Mensagem de debug do Web Content Analyzer
Esta é uma mensagem com prioridade de depuração gerada pelo Aker Web Content
Analyzer. Verifique os complementos para maiores informações.
094 - Informação do Web Content Analyzer
Esta é uma mensagem com prioridade de informação gerada pelo Aker Web
Content Analyzer. Verifique os complementos para maiores informações.
095 - Aviso importante do Web Content Analyzer
Esta é uma mensagem com prioridade de aviso gerada pelo Aker Web Content
096 - Mensagem de alerta do Web Content Analyzer
Esta é uma mensagem com prioridade de alerta gerada pelo Aker Web Content
097 - O Web Content Analyzer encontrou um erro
Esta é uma mensagem com prioridade de erro gerada pelo Aker Web Content
098 - Relatório gerado e publicado com sucesso
Esta mensagem indica que um relatório que estava agendado foi gerado e
publicado com sucesso pelo Aker Web Gateway.
099- Erro conectando ao serviço de quotas
Não foi possível se conectar ao servidor de quotas.
100- Erro carregando lista de categorias
Não foi possível carregar uma entidade do tipo lista de categorias.
101- Erro de comunicação como o serviço de quotas
O servidor de quotas não está respondendo.
322
102- Quota de bytes expirada
A quota de tráfego de um usuário expirou.
103- Quota de bytes insuficiente para a operação
Não existe quota suficiente para um usuário fazer a transferência que ele tentou
realizar (o tamanho do arquivo a ser transferido é maior do que a quota).
104- Quota de tempo expirada
A quota de tempo de navegação de um usuário expirou.
105- Consumo de quotas
Esta mensagem é gerada periodicamente pelo serviço de quotas quando um
usuário utilizou parte de sua quota de tráfego ou tempo. Ela é posteriormente usada
pelo gerador de relatórios para traçar gráficos de uso de quotas.
22.1.1.
Eventos gerados pelo Filtro Web
TAG MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO
DA MENSAGEM, MSG1, MSG2
ERRO_AUTH_PROXY
Usuario/Autenticado
ip
Origem
16/01/2010,15:28:51,Info,340, Proxy HTTP, Falha de autenticacao para proxy
,rodrigo.aranha/AD,source: 10.4.0.186
NAO_CADASTRADO_PROXY NULL ORIGEM
16/01/2010,15:28:51,Info,340,
Proxy HTTP, Usuario nao cadastrado para proxy, , source: 10.4.0.186
HTTP_VIRUS_CLEANED NOME DO VIRUS URL
do
20/01/2010,10:43:17,Warning,246,Proxy
HTTP,Arquivo
com
desinfectado,EICAR_Test,http://www.eicar.org/download/eicarcom2.zip
virus
virus
HTTP_VIRUS_BLOCKED NOME DO VIRUS URL
do
20/01/2010,10:43:17,Warning,247,Proxy
HTTP,Arquivo
com
bloqueado,EICAR_Test,http://www.eicar.org/download/eicarcom2.zip
virus
virus
323
HTTP_VIRUS_NS_CORRUPT NULL URL
do
Virus
20/01/2010,10:43:17,Warning,248,Proxy HTTP,Arquivo nao pode ser
analisado pois estava corrompido,,http://www.eicar.org/download/eicarcom2.zip
HTTP_VIRUS_NS_CRYPT
NULL URL
do
Virus
20/01/2010,10:43:17,Warning,249,Proxy HTTP,Arquivo nao pode ser
analisado pois estava cifrado,,http://www.eicar.org/download/eicarcom2.zip
HTTP_DOWNLOAD_ACCOUNTING Usuario/Autenticado - Perfil
Origem IP Destino IP e URL 19/01/2010,08:41:05,Info,341, Proxy HTTP,Contabilidade de
trafego HTTP (downloads),recepcao/AD - 0.102 s,Up 175 B - Dw 285 B URL:
http://www.google.com/
HTTP_WWW_ACCOUNTING Usuario/Autenticado - Perfil
Origem
IP
Destino IP e URL 16/01/2010,15:28:51,Info,340, Proxy HTTP, Contabilidade de
trafego HTTP (WWW),rodrigo.aranha/AD - 0.933 s,Up 424 B - Dw 562 B URL:
http://www.google.com/
QUOTA_EXPIRED_BYTES
Usuario/Autenticado - Perfil
Origem
IP
Destino IP e URL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de bytes
expirado,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229 Destino: 74.125.45.86
URL: http://www.google.com
QUOTA_EXPIRED_TIME Usuario/Autenticado - Perfil
Origem IP - Destino IP e
URL 19/01/2010,13:45:31,Notice,326,Proxy
HTTP,Quota
de
tempo
expirada,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229 Destino: 74.125.45.86
URL: http://www.google.com
QUOTA_INSUFFICIENT_BYTES
Usuario/Autenticado - Perfil
Origem IP Destino IP e URL 19/01/2010,13:45:31,Notice,326,Proxy HTTP,Quota de bytes
insuficiente para a operacao,lidia.silva/AD - Adminsitrativo,Origem: 10.0.0.229
Destino: 74.125.45.86 URL: http://www.google.com
324
URL_ACEITA
Usuario/Autenticado, Perfil
ip
19/01/2010,13:45:31,Info,095,Proxy
HTTP,URL
,Suporte Técnico,10.2.0.243,http://189.22.237.40/
URL_REJEITADA Usuario/Autenticado, Perfil
ip
19/01/2010,13:43:34,Notice,097 Proxy HTTP,URL
,Adminsitrativo,10.0.0.229,http://www.google.com
Origem,host
aceita,thiago.chaves/AD
Origem,host
rejeitada,lidia.silva/AD
URL_BANNER
Usuário/Autenticaçao - Perfil
Origem: IP Destino: IP URL:
URL 19/01/2010,08:49:19,Notice,098,
Proxy
HTTP,Banner
removido,apoio.administrativo/AD - Adminsitrativo,Origem: 10.0.0.234 Destino:
64.233.163.149
URL:
http://ad.doubleclick.net/adi/gna.br/homepage;tile=4;sz=234x100;ord=196681?area
ERRO_CON_ANALISADOR
IP do analizador
NULL
27/01/2010,19:38:24,Error,119, Proxy HTTP,Erro ao conectar com Web
Content Analyzer,127.0.0.1,
QUOTA_COMM_ERR
quota read: retorno e erro NULL
19/01/2010,18:42:01,Warning,324,Proxy HTTP,Erro de comunicacao com o
servico de quotas,quota read: -3 25,
NAO_LEU_ACL
NULL NULL 19/01/2010,18:42:01,Error,64,Proxy HTTP,Erro ao
carregar perfis de acesso,,
NAO_LEU_CATLIST
Retorno da função e errno NULL
19/01/2010,18:16:01,Error,323,Erro carregando lista de categorias, -2 34
QUOTA_INIT_ERR socket, errno NULL 20/01/2010,11:28:56,Error,318,Proxy
Messenger,Erro conectando ao servico de quotas, 7 13,
MSN
325
ERRO_SERV_AUTH
connect (errno)
NULL
20/01/2010,11:28:56,Error,109,Proxy MSN Messenger,Erro ao comunicar
com servidor de autenticacao,connect(10),
v_auth
NULL 20/01/2010,11:28:56,Error,109,Proxy
Messenger,Erro ao comunicar com servidor de autenticacao,v_auth,
22.1.2.
MSN
Eventos gerados pelo Proxy MSN
MSG1 MSG2 DATA, HORA, TIPO DE MENSAGEM, ID, MODULO, TEXTO DA
MENSAGEM, MSG1, MSG2
IP – Profiçao Passaportes Usuario->com quem [Tempo de conversa ]\nNome do
Usuario\Autenticação
27/01/2010,19:03:34,Info,279,
Proxy
MSN
Messenger,Conversacao do MSN Messenger finalizada,IP: 192.168.222.254 - Prof:
Suporte
Técnico,Passports:
[email protected]
->
[email protected] [ 00:01:15 ] Username: diogo.falcomer/AD
IP – Profiçao Passaporte [Tempo de conversa] \nNome do Usuario\Autenticação
27/01/2010,19:23:24,Info,290, Proxy MSN Messenger,Usuario saiu do MSN
Messenger,IP:
10.3.0.6
Prof:
Suporte
Técnico,Passport:
[email protected] [ 00:07:53 ] Username: edilson.moura/AD
Cant connect
Server : IP 27/01/2010,19:23:30,Warning,350,Proxy
Messenger,Erro no antivirus,Cant Connect, Server:xxx.xxx.xxx.xxx
MSN
av_auth
Unable to auth
27/01/2010,19:23:30,Warning,350,Proxy
Messenger,Erro no antivirus,av_auth,Unable to auth
MSN
av_greeting_h
Can't
receive
server
greeting
header
27/01/2010,19:23:30,Warning,350,Proxy
MSN
Messenger,Erro
no
antivirus,av_greeting_h,Can't receive server greeting headert
av_greeting_b
Can't
receive
server
27/01/2010,19:23:30,Warning,350,Proxy
MSN
antivirus,av_greeting_b,Can't receive server greeting body
greeting
Messenger,Erro
body
no
av_send_file Can't send file to AV
27/01/2010,19:23:30,Warning,350,Proxy
MSN Messenger,Erro no antivirus,av_send_file,Can't send file to AV
326
av_get_answer
Can't
get
answer
27/01/2010,19:23:30,Warning,350,Proxy
MSN
antivirus,av_get_answer, Can't get answer from AV
from
Messenger,Erro
AV
no
av_get_answer
Error
on
answer
received
27/01/2010,19:23:30,Warning,350,Proxy MSN Messenger,Erro no antivirus,
Error on answer received
IP: - TimeOut:
Passaporte:
\nNome
do
27/01/2010,18:18:30,Notice,286, Proxy MSN Messenger,Conexao encerrada
por timeout,IP: 10.2.0.217 - Timeout: 600 s,Passport: [email protected]
Username: edilson.moura/AD
sendto
Error: inteiro Errno: inteiro 20/01/2010,12:38:49,Warning,109,
Proxy
MSN Messenger,Erro ao comunicar com servidor de autenticacao,sendto,error: -3
errno: 11
find Prof: nome da profiçao
20/01/2010,12:38:49,Warning,109, Proxy MSN
Messenger,Erro ao comunicar com servidor de autenticacao,find,Suporte Técnico
IP – Profiçao Passaporte:
\nNome
do
20/01/2010,12:36:44,Info,289,Proxy MSN Messenger,Usuario entrou no MSN
Messenger,IP:
10.0.0.232
Prof:
Adminsitrativo,Passport:
[email protected] Username: recepcao/AD
From Cliente ou Servidor , Ret: erro
Mensagem
15/01/2010,17:39:57,Error,287,Proxy MSN Messenger,Erro analisando a
mensagem,from server, ret = -43,MSG [email protected]
[i][b]Mada..."HOJE%20tudo%20SERÃ<83>Â<81>%20para%20SEMPRE..."[/b][/i]
248^M
File infected FILENAME 20/01/2010,12:36:44,Warning,348,Proxy
Messenger,Arquivo infectado foi bloqueado,File Infected,trojan.exe
MSN
File clean
FILENAME 20/01/2010,16:16:58,Info,349,Proxy
Messenger,Arquivo nao tem virus,File clean,chines.TXT
MSN
327
session id: SESSION ID 25/01/2010,19:34:35,Warning,345,Proxy
MSN
Messenger,Pacote de transferencia de arquivo nao consta na lista de transferencias
ativas,session id:,2628610983
nome da função
Empty File! Sess_d: ID
20/01/2010,16:16:59,Error,346,Proxy
MSN Messenger,Erro interno no proxy messenger,msn_get_msnp2p_data,Empty
file! Sess_id: 26192345
nome da função
Out of order packet! Current: pkg, Expected: pkg
20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxy
messenger,msn_get_msnp2p_data,Out of order packet! Current:current_pkg
Expected: Expected_
nome da função
"Error
on
fork!
Numero
da
Linha
20/01/2010,16:16:59,Error,346,Proxy MSN Messenger,Erro interno no proxy
messenger,msn_get_msnp2p_data,Error on fork! Line: 2736
unable to write on disk!
errno: INTEIRO
20/01/2010,16:16:59,Error,347,Proxy
MSN Messenger,Proxy messenger nao pode salvar o arquivo em disco,unable to
write on disk, errno: 34
Nome do arquivo (tamanho) – Prof: profissao. Passaportes Usuario->com quem
\nNome do Usuario\Autenticação20/01/2010,11:43:39,Info,282,Proxy
MSN
Messenger,Convite para transferencia de arquivo via MSN Messenger
permitido,'messages_20jan10.RAR' (87976 bytes) - Prof: Suporte Té,Passports:
[email protected] -> [email protected] Username: victor.rossi/AD
Nome do arquivo (tamanho) – Prof: profissao. Passaportes Usuario->com quem
\nNome do Usuario\Autenticação20/01/2010,15:45:42,Notice,283,Proxy
MSN
Messenger,Transferencia de arquivo via MSN Messenger bloqueada,'VPNs.DOC'
(569856 bytes) - Prof: Suporte Técnico,Passports: [email protected] ->
[email protected] Username: edilson.moura/AD
id de um serviço do msn – Prof: Profição
Passaportes Usuario->com quem
\nNome do Usuario\Autenticação20/01/2010,15:45:42,Info,283,Convite para uso de
aplicativo via MSN Messenger permitido,transferencia de arquivo - Prof: Suporte
328
Técnico,Passports: [email protected]
Username: edilson.moura/AD
->
[email protected]
id de um serviço do msn – Prof: Profição
Passaportes Usuario->com quem
\nNome do Usuario\Autenticação20/01/2010,15:45:42,Notice,284,Uso de aplicativo
via MSN Messenger nao permitido, jogo - Prof: Suporte Técnico,Passports:
[email protected]
->
[email protected]
Username:
edilson.moura/ADse
IP – Profiçao Passaportes Usuario->com quem \nNome do Usuario\Autenticação
20/01/2010,11:28:56,Notice,278,Proxy MSN Messenger,Conversacao do
MSN Messenger bloqueada,IP: 10.0.0.234 - Prof: Adminsitrativo,Passports:
[email protected]
->
[email protected]
Username:
apoio.administrativo/AD
IP – Profiçao Passaportes Usuario->com quem \nNome do Usuario\Autenticação
20/01/2010,11:27:44,Info,277,Proxy MSN Messenger,Conversacao do MSN
Messenger iniciada,IP: 10.2.0.204 - Prof: Suporte Técnico,Passports:
[email protected] -> [email protected] Username: victor.rossi/AD
IP – Profiçao Passaporte
do
Usuario
\nNome
do
20/01/2010,11:27:44,Notice,291,Proxy
MSN
Messenger,Usuario
sem
permissao tentou entrar no MSN Messenger,10.4.0.19 – Prof: Estagiário,
[email protected] bruno.lobo/AD
IP – Profiçao Passaporte
do
Usuario
\nNome
do
20/01/2010,11:27:44,Notice,281,Proxy MSN Messenger,Notificacao do
Hotmail bloqueada,10.4.0.19 – Prof: Estagiário, [email protected]
bruno.lobo/AD
NULL IP do servidor : porta do servidor 19/01/2010,18:42:01,Warning,288,Proxy
MSN Messenger,Servidor MSN Messenger nao responde, ,65.54.52.254:1863
329
clfwquota_test_and_consume(): retorno e erro NULL
19/01/2010,18:42:01,Warning,324,Proxy
MSN
Messenger,Erro
comunicacao com o servico de quotas,clfwquota_test_and_consume(): -3 25,
de
clfwquota_read(): NULL 19/01/2010,18:42:01,Warning,324,Proxy
MSN
Messenger,Erro de comunicacao com o servico de quotas,clfwquota_read(): -3 25,
NULL NULL 20/01/2010,11:28:56,Notice,314,Proxy
bytes expirada,,
MSN
Messenger,Quota
de
NULL NULL 20/01/2010,11:28:56,Notice,316,Proxy
tempo expirada,,
MSN
Messenger,Quota
de
socket, errno NULL 20/01/2010,11:28:56,Error,318,Proxy
conectando ao servico de quotas, 7 13,
MSN
Messenger,Erro
330
Apêndice B – Copyrights e
Disclaimers
331
23.
Apêndica B – Copyrights e Disclaimers
Neste apêndice estão listados os disclaimers das bibliotecas e códigos fontes de
terceiros utilizadas no Aker Web Gateway. Estes disclaimers se aplicam apenas às
partes explicitamente citadas e não ao Aker Web Gateway como um todo. Eles
estão citados aqui devido a exigências das entidades desenvolvedoras:
Biblioteca SNMP
Copyright 1997 by Carnegie Mellon University All Rights Reserved
Permission to use, copy, modify, and distribute this software and its documentation
for any purpose and without fee is hereby granted, provided that the above copyright
notice appear in all copies and that both that copyright notice and this permission
notice appear in supporting documentation, and that the name of CMU not be used
in advertising or publicity pertaining to distribution of the software without specific,
written prior permission.
CMU DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE,
INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS,
IN NO EVENT SHALL CMU BE LIABLE FOR ANY SPECIAL, INDIRECT OR
CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING
FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF
CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF
OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.
Algoritmo MD5
Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. All rights reserved.
License to copy and use this software is granted provided that it is identified as the
"RSA Data Security, Inc. MD5 Message-Digest Algorithm" in all material mentioning
referencing this software or this function.
License is also granted to make and use derivative works provided that such works
are identified as "derived from the RSA Data Security, Inc. MD5 Message-Digest
Algorithm" in all material mentioning or referencing the derived work.
RSA Data Security, Inc. makes no representations concerning either the
merchantability of this software or the suitability of this software for any particular
purpose. It is provided "as is" without express or implied warranty of any kind.
These notices must be retained in any copies of any part of this documentation
and/or software.
332
Agente SNMP
Copyright (c) 1996,1997 Wes Hardaker and the University of California at Davis
COPYRIGHT
Many portions of the code in this package were distributed by Carnegie Mellon
University.
All other code and changes to the original code written by Wes Hardaker at the
University of California at Davis is copyrighted under the following copyright:
Permission is granted to use, copy, modify and distribute this software and
documentation. This software is distributed freely and usage of it is not subject to
fees of any kind. It may be included in a software compact disk set provided that the
author is contacted and made aware of its distribution.
333

Versão 04/02/2013 - Aker Security Solutions

Transcrição

Documentos relacionados

Introdução Mostraremos como bloquear o MSN utilizando o Firewall

Sejam bem-vindos à Aker Solutions

HOW TO Gerando certificado digital, auto

hacker ( sites )

Procedimento_de_Gravação_de_imagem_e

Como acessar rede UFPR de casa

Configurações Básicas para ativar e configurar o WebProtection

Manual de Configuração de Proxy do Mozilla Firefox

CONEXÃO DOMÉSTICA – GOOGLE CHROME 1

Baixar o arquivo

multiplos links de internet, balanceamento de tráfego