You are on page 1of 171

2

Nettion R Copyright 2002-2009 by Nettion Information Security. Este material1 pode ser livremente reproduzido, desde que mantidas as notas de copyright e o seu conte udo original. Envie cr ticas e sugest oes para suporte@nettion.com.br.

Revisado e atualizado por Deyvson Matos, em 5 de janeiro de 2009. Dispon vel tamb em no idioma Ingl es2 .

Este Manual est a baseado na S erie 4.0 do Nettion R . Para baixar o Manual da S erie 3.0 do Nettion R , acesse: http://www.nettion.com.br/comunication/geral/Manual-Nettion3.pdf 2 Vers ao em Ingl es do Manual dispon vel em: http://www.nettion.com.br/comunication/geral/Manual-Nettion-Eng.pdf

Sum ario
1 Introdu c ao 1.1 11

Apresenta c ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 13

2 Instala c ao/Registro/Login 2.1 2.2 2.3 2.4

Instala ca o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Registro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Login . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Tela Inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 17

3 Congura c oes 3.1 3.1.1 3.1.2 3.1.3 3.2 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 4 Objetos 4.1 4.1.1 4.1.2 4.1.3 4.1.4

B asicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Gr acos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Data/Hora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Interface/Conex oes . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Sub-Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Roteamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 DNS Din amico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Gr acos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 37 Inclus ao de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Edi c ao de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Manuten ca o dos Itens do Objeto . . . . . . . . . . . . . . . . . . . 38 Exclus ao de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Manuten c ao de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

4 4.1.5 4.2 4.3 4.4 4.5 4.2.1 4.3.1 4.4.1 4.5.1 4.5.2 4.6 4.6.1 4.6.2 4.7 4.7.1 4.7.2 4.7.3 4.8

SUMARIO Consulta de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Manuten ca o do Cadastro de Hosts e Redes . . . . . . . . . . . . . . 40 Manuten ca o do cadastro de dom nios . . . . . . . . . . . . . . . . . 41 Manuten ca o do Cadastro de Express oes . . . . . . . . . . . . . . . . 42 Manuten ca o do cadastro de hor arios . . . . . . . . . . . . . . . . . 43 Determinando Intervalos . . . . . . . . . . . . . . . . . . . . . . . . 43 Predenidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Predenidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Consulta de URLs . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

Hosts e Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Dom nios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Express oes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Hor arios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Servi cos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

Categorias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

Mime Type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 47

5 Usu arios/Grupos 5.1 5.1.1 5.1.2 5.1.3 5.2 5.3 5.4 5.2.1 5.3.1

Autentica c ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Base Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Servidor NIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Servidor Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

Grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Manuten ca o do cadastro de Grupos . . . . . . . . . . . . . . . . . . 52 Manuten ca o do cadastro de Usu arios . . . . . . . . . . . . . . . . . 53 Usu arios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Pers de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 57 Intranet Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Nettion Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Proxy com autentica c ao . . . . . . . . . . . . . . . . . . . . . . . . 58 Proxy transparente . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

6 Proxy 6.1 6.1.1 6.1.2 6.2 6.2.1 6.2.2

Regras de Firewall Necess arias . . . . . . . . . . . . . . . . . . . . . . . . . 57

Congura c oes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

SUMARIO 6.2.3 6.2.4 6.2.5 6.2.6 6.2.7 6.2.8 6.3 6.4 Congura co es gerais . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Limpeza do Cache do Proxy . . . . . . . . . . . . . . . . . . . . . . 60 Mensagens de erro . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Portas Autorizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Base de URLs Categorizadas . . . . . . . . . . . . . . . . . . . . . 61 Hist orico de Atualiza c oes de URLs . . . . . . . . . . . . . . . . . . 62

Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Composi c ao de regras do Proxy . . . . . . . . . . . . . . . . . . . . . . . . 64 6.4.1 6.4.2 6.4.3 6.4.4 6.4.5 Tela 1 - Deni ca o da regra . . . . . . . . . . . . . . . . . . . . . . . 64 Tela 2 Hor ario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Tela 3 - Filtros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Tela 4 - Aplicar para . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Tela 5 - Qos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

6.5

Relat orios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 6.5.1 6.5.2 6.5.3 6.5.4 6.5.5 Padr ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 Por dom nio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Top . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Acessos Bloqueados . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 On-line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

6.6

Gr acos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 6.6.1 6.6.2 6.6.3 Selecionando um per odo . . . . . . . . . . . . . . . . . . . . . . . . 71 Visualizando acessos a partir do gr aco . . . . . . . . . . . . . . . . 71 Monitoramento Realtime . . . . . . . . . . . . . . . . . . . . . . . . 72

6.7

Congurando as esta co es da rede . . . . . . . . . . . . . . . . . . . . . . . 72 73 . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

7 Controle de Banda 7.1 7.2 7.3 Re-prioriza ca o de pacotes

Realoca c ao din amica de banda . . . . . . . . . . . . . . . . . . . . . . . . . 74 Congura c oes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 7.3.1 7.3.2 7.3.3 Deni ca o da Interface de rede . . . . . . . . . . . . . . . . . . . . . 75 Classes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

7.4

Ativando o servi co de Controle de Banda . . . . . . . . . . . . . . . . . . . 78

6 8 Firewall 8.1 8.2 8.3

SUMARIO 79

Congura c oes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 8.2.1 8.3.1 8.3.2 8.3.3 Incluindo uma nova regra . . . . . . . . . . . . . . . . . . . . . . . 80 Acesso ao Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Acesso Nettion -> Internet . . . . . . . . . . . . . . . . . . . . . . . 85 Resolu ca o de nomes para a rede interna . . . . . . . . . . . . . . . 85 Regras b asicas do Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

8.4

Relat orios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 87 Congura co es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Manuten ca o do cadastro de clientes para VPN PPTP . . . . . . . . 89 Congura co es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Conex oes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

9 VPN 9.1 9.1.1 9.1.2 9.2 9.2.1 9.2.2 9.3

VPN PPTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

VPN IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 99

10 NIDS

10.1 Congura co es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 10.1.1 Sele ca o de Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . 99 10.1.2 Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 10.1.3 Congura c ao do PortScan . . . . . . . . . . . . . . . . . . . . . . . 100 10.1.4 Detec ca o de Assinaturas . . . . . . . . . . . . . . . . . . . . . . . . 101 10.1.5 Alerta por e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 10.1.6 Relat orios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 10.1.7 Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 10.1.8 Ultimas assinaturas . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 10.1.9 IPs Bloqueados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 11 DHCP 105

11.1 Congura co es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 11.1.1 Congura c oes Globais . . . . . . . . . . . . . . . . . . . . . . . . . 105 11.1.2 Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 11.2 Hosts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 11.2.1 Manuten c ao do cadastro dos Hosts . . . . . . . . . . . . . . . . . . 106 11.3 Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 11.3.1 Manuten c ao do cadastro de Redes . . . . . . . . . . . . . . . . . . . 107

SUMARIO 12 E-mail 109

12.1 Congura co es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 12.1.1 Gerais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 12.1.2 Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 12.1.3 Webmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 12.1.4 Mensagens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 12.1.5 Extens oes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 12.2 Dom nios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 12.2.1 Incluir um dom nio . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 12.3 Usu arios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 12.3.1 Buscando usu arios . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 12.3.2 Editando usu arios . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 12.3.3 Inserindo usu arios . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 12.4 Aliases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 12.4.1 Criando um alias . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 12.5 Antiv rus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 12.5.1 Atualiza ca o . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 12.5.2 Agendamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 12.5.3 Hist orico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 12.6 Antispam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 12.6.1 Congura c oes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 12.6.2 Aprendizado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 12.6.3 Whitelist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 12.7 Relat orios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 12.7.1 Fila . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 12.7.2 Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 12.7.3 Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 12.7.4 Quarentena . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 12.7.5 Top Usu arios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 12.7.6 Quota Utilizada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 13 Ferramentas 127

13.1 Reverso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 13.2 Whois . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 13.3 Ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 13.4 Tra car rota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 13.5 Diagn ostico de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

8 14 Sistema

SUMARIO 129

14.1 Servi cos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 14.2 Plugins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 14.3 Backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 14.3.1 Congura c oes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 14.3.2 Manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 14.3.3 Relat orios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 14.4 Restore . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 14.5 Expurgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 14.5.1 Congura c oes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 14.5.2 Manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 14.6 Update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 14.7 Gr acos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 14.7.1 CPUs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 14.7.2 Mem oria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 14.7.3 Discos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 14.8 Sobre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 14.9 Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 14.10Desliga/Reinicia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 15 NettionPlugs 141

15.1 O que s ao NettionPlugs? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 15.2 Instalando os NettionPlugs . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 15.3 Chat Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 15.3.1 Congura c oes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 15.3.2 Software Cliente (esta c oes) . . . . . . . . . . . . . . . . . . . . . . . 143 15.3.3 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 15.3.4 Iniciando o servi co Chat Server . . . . . . . . . . . . . . . . . . . . 144 15.3.5 Mais informa co es . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 15.4 Blitz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 15.4.1 Como funciona? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 15.4.2 Bloqueando o acesso direto ao MSN . . . . . . . . . . . . . . . . . . 144 15.4.3 Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 15.4.4 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 15.4.5 Congura c oes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 15.4.6 Cataloga ca o autom atica de contatos . . . . . . . . . . . . . . . . . 148 15.4.7 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

SUMARIO 15.4.8 Iniciando o servi co Blitz . . . . . . . . . . . . . . . . . . . . . . . . 151 15.4.9 Congurando as esta co es . . . . . . . . . . . . . . . . . . . . . . . . 151 15.4.10 Mais informa co es . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 15.5 OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 15.5.1 Nettion-Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 15.5.2 Congurando o Servidor OpenVPN . . . . . . . . . . . . . . . . . . 152 15.5.3 Nettion-Usu arios . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 15.5.4 Congura c oes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 15.5.5 Conex oes Ativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 15.5.6 Mais informa co es . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 15.6 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 15.6.1 Como funciona? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 15.6.2 Dom nios Masters . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 15.6.3 Itens do Dom nio Master . . . . . . . . . . . . . . . . . . . . . . . . 164 15.6.4 Dom nios Slaves . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 15.6.5 Itens do Dom nio Slave . . . . . . . . . . . . . . . . . . . . . . . . . 166 15.6.6 Dom nios Reversos . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 15.6.7 Iniciando o servi co DNS . . . . . . . . . . . . . . . . . . . . . . . . 166 15.6.8 Firewall com DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 15.6.9 Mais informa co es . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 15.7 GetMail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 15.7.1 Vantagens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 15.7.2 Congura c oes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 15.7.3 Contas de Origem . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 15.7.4 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 15.7.5 Iniciando o servi co GetMail . . . . . . . . . . . . . . . . . . . . . . 170 15.7.6 Mais informa co es . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

10

SUMARIO

Cap tulo 1 Introdu c ao


1.1 Apresenta c ao

Com a necessidade de conex ao direta das organiza co es ` a internet, o fator Seguran ca da Informa c ao tornou-se um investimento primordial, deixando de ser uma caracter stica apenas de grandes institui co es. O motivo desta mudan ca e que sem a devida prote ca o no ambiente de rede da empresa, ela estar a sujeita, cedo ou tarde, a um signicativo preju zo institucional, seja ele moral ou material. Al em disso, a facilidade da conex ao 24 horas com a internet leva, muitas vezes, os funcion arios a desperdi carem o tempo de trabalho acessando diversas informa c oes pessoais, provocando uma signicativa queda de produtividade individual e, conseq uentemente, da sua pr opria empresa. Muitas vezes sua internet se torna lenta, o que o obriga a adquirir um link de maior velocidade. No entanto, voc e n ao sabe que e poss vel implementar um controle sobre aquilo que trafega no seu link, n ao havendo necessidade de custos extras com links maiores em grande parte dos casos. Dentro desta realidade, a Nettion Information Security oferece, atrav es do Nettion R , a solu ca o completa para as 24 horas de conex ao da sua organiza ca o com a internet, propiciando a implanta c ao de uma pol tica administrativa de seguran ca e otimiza c ao do uso do seu link, al em do controle detalhado das informa co es que trafegam por dele. Tudo isso atrav es de uma ferramenta de administra ca o interativa de gerenciamento e monitoramento. Benef cios do Nettion R : o Nettion R pode fazer o balanceamento de carga e redund ancia dos seus links de Internet, onde, atrav es de regras simples e intuitivas, voc e estabelece por qual link os servi cos devem ser encaminhados por padr ao e por onde devem sair em caso de falha, tudo isso de forma autom atica. o m odulo proxy do Nettion R possibilita um aumento da velocidade ao acessar p aginas na internet sem que, necessariamente, tenha que se investir em links maiores. Isso e possivel devido a capacidade do Nettion R de armazenar as p aginas acessadas em seu cache. Outra vantagem e que o software permite que voc e fa ca um controle minucioso dos acessos dos usu arios da sua rede, estabelecendo regras, hor arios e bloqueando sites indesejados. Com o Nettion R , voc e tamb em implanta regras de

11

12

CAP ITULO 1. INTRODUC AO seguran ca no acesso a ` sua rede por parte de usu arios da internet e evita a exposi c ao total ao ataque de hackers. atrav es de relat orios e regras estabelecidas os usu arios de computadores far ao uso mais prossional da Internet, aumentando a produtividade e diminuindo os riscos associados a TI. As regras aplicadas s ao ex veis podendo-se fazer limites por usu arios e por hor arios. A congura c ao e bem simples e n ao haver a necessidade de M.O. especializada. Os relat orios s ao diversicados e intuitivos, propicinado an alises justas e reais. o sistema de detec c ao de tentativas de invas ao (NIDS) do Nettion R possui cadastrado, aproximadamente, 2.000 formas de tentativa de invas ao, o que possibilita o bloqueio de acesso de usu arios mal intencionados. Outro recurso que o Nettion R disp oe e o Controle de Banda, que permite estabelecer percentuais de uso do link para acesso a `s p aginas web, tr afego de e-mails e etc, otimizando e garantindo que todos estes servi cos estejam dispon veis simultaneamente. atrav es da VPN (Rede Virtual Privada) do Nettion R , voc e passa a utilizar a internet como meio de comunica c ao de forma segura, pois seus dados s ao criptografados (embaralhados) ao trafegarem atrav es de t uneis de comunica ca o pela internet. Atrav es deste recurso voc e pode diminuir sensivelmente os custos com interliga c ao de redes, como matriz e liais, e de usu arios sicamente separados da rede local utilizando a Internet como meio de comunica c ao e garantindo a seguran ca dos dados. o Sistema de Autentica c ao Integrada do Nettion facilita o controle dos usu arios na rede com a integra ca o e sincroniza ca o de usu arios e grupos com Dom nios Linux(NIS) e Windows, n ao havendo necessidade de recadastramento ou trabalhos adicionais de manuten ca o. Permite tamb em autentica ca o integrada NTLMV2, evitando que o usu ario tenha que digitar a senha sempre que inicie a navega c ao. o servi co de E-mail possibilita total autonomia para gerenciamento de contas de correio com m ultiplos dom nios, permitindo auditoria de mensagens, aplica ca o de sistema de AntiSPAM (com sistema de treinamento pelos pr oprios usu arios da rede) e sistema integredo de Anti-V rus. O gerenciamento das contas e autentica ca o dos usu arios ocorre de forma integrada com o sistema de Autentica ca o do Nettion, facilitando assim o gerenciamento das contas de e-mail. os sistemas de Backup automatizado e Restore possibilitam uma r apida recupera ca o de todos os servi cos e informa co es em caso de falha de hardware. atualiza ca o via Internet - as constantes atualiza co es proporcionam mais seguran ca com atualiza c oes de falhas de seguran ca e com a inclus ao de novos recursos ` a ferramenta Estas e outras ferramentas do Nettion R s ao disponibilizadas de maneira f acil e simples, n ao requerendo, portanto, conhecimentos t ecnicos avan cados para oper a-las. Com este documento voc e aprender a como fazer as congura co es do Nettion para adequ a-lo ao seu ambiente de rede.

Cap tulo 2 Instala c ao/Registro/Login


2.1 Instala c ao

O Nettion funciona sobre uma distribui ca o Linux (Nettion Linux) totalmente adequada e otimizada ao funcionamento de todos os seus recursos. Por isso, sua instala ca o, que exige uma m aquina dedicada, n ao requer um sistema operacional pr e-instalado. Seu instalador j a integra a instla ca o do Nettion Linux e a Interface de Administra c ao dos recursos. O Guia de Instala c ao do produto em seu hardware encontra-se em um documento separado, que pode ser facilmente acessado no site do Nettion R ou atrav es do link Guia de Instala c ao.

2.2

Registro

Ap os a instala ca o, acesse o seu Nettion atrav es de um browser (Mozilla Firefox ou Internet Explorer) utilizando o endere co IP que voc e congurou durante a instala c ao (ex: http://192.168.254.1). Neste momento voc e ter a acesso ` a tela de Logon da Interface de Administra c ao do produto, atrav es da qual voc e far a todas as congura co es necess arias para adequar o Nettion ao ambiente de rede da sua empresa. Ao logar-se pela primeira vez, o processo de registro do software ser a iniciado. O registro do produto e um procedimento obrigat orio, pois somente ap os registr a-lo e que o seu uso e liberado. No primeiro formul ario de registro, o administrador deve informar CNPJ/CPF, Denomina c ao Social e a edi c ao do Nettion R que est a registrando, de acordo com a gura 2.1.

Figura 2.1: Primeiro formul ario de registro

13

14

CAP ITULO 2. INSTALAC AO/REGISTRO/LOGIN CNPJ/CPF: CNPJ no caso de pessoa jur dica ou CPF, se pessoa f sica; Denomina c ao social: denomina ca o social de pessoa f sica ou jur dica. Ex.: Fortes Inform atica LTDA; Produto: Tipo do produto. Ex.: Nettion Professional (de acordo com a licen ca adquirida). Informados os campos do primeiro formul ario de registro, o administrador deve clicar no bot ao Avan car. O segundo formul ario de registro aparecer a, como mostrado na gura 2.2.

Figura 2.2: Segundo formul ario do registro C odigo Operacional: C odigo para gera c ao do c odigo de resposta; C odigo de Resposta: C odigo para liberar o registro do produto; Neste segundo formul ario, voc e deve fornecer o C odigo de Resposta. O administrador obter a o c odigo de resposta depois de solicitar a libera c ao da sua vers ao junto ao nosso departamento comercial, clicando no bot ao Obter On-line. Uma janela se abrir a com o c odigo e o administrador deve copiar o c odigo, informado para o campo C odigo de Resposta desse formul ario e, nalmente, clicar em Registrar. Nettion R registrado. Vamos ent ao descobrir como congur a-lo de forma a usar ecientemente todos os recursos que o software oferece.

2.3

Login

Para acessar a interface de administra ca o do Nettion R , o administrador deve logar-se, informando nome de usu ario e senha, como mostrado na gura 2.3 na p agina 15: Usu ario: nome do usu ario. Ex.: nettion; Senha: senha do usu ario. Ex.: nettion; Obs: a senha original do usu ario nettion e nettion. Por medidas de seguran ca e importante que voc e a altere logo ap os o primeiro logon. poss E vel escolher entre os idiomas portugu es e ingl es, al em de acessar a interface do Nettion R usando uma conex ao segura HTTPS. Caso deseje utilizar HTTPS, marque a caixa Conex ao Segura.

2.4. TELA INICIAL

15

Figura 2.3: Formul ario de login importante que voc Agora e hora de iniciarmos as congura co es propriamente ditas. E e inicie pelas Congura c oes B asicas do produto (veja cap tulo 3). Neste cap tulo voc e aprender a como alterar a senha do administrador, congurar as demais interfaces de rede do equipamento e como ligar o seu Nettion a ` Internet.

2.4

Tela Inicial

Ao logar-se no Nettion R , a tela inicial (home) e exibida. Nela, est ao contidas v arias informa c oes gerenciais importantes a respeito do estado do sistema. Veja a gura 2.4 a seguir:

Figura 2.4: Tela Inicial do Nettion A tela Homedo Nettion e dividida em quadros. Cada quadro agrupa um tipo espec co de informa c ao. Nela, e poss vel vericar atrav es de seus quadros:

16 Dados da licen ca do Nettion;

CAP ITULO 2. INSTALAC AO/REGISTRO/LOGIN

Os NettionPlugs instalados e datas de instala c ao e expira ca o; Estado atual dos links instalados no Nettion; Sum ario semanal do estado da CPU e Mem oria; Estado atual da parti c ao /var; Estat sticas dos ltros de e-mails; Estat sticas de acesso via Proxy; Ultimas not cias Nettion. Por em, tantas informa co es a serem exibidas podem fazer com que a carga inicial da interface demore. Devido a isto, e poss vel desativar alguns quadros, bastando para isso clicar no bot ao localizado no canto superior-direito do quadro que se deseja desativar. Para reativ a-lo, clique novamente no mesmo bot ao, como mostra a gura 2.5.

Figura 2.5: Desabilitando Quadros na Tela Inicial

Cap tulo 3 Congura c oes


3.1 B asicas

No primeiro acesso ao Nettion R , o administrador deve acessar o menu Congura co es B asicas e atualizar os seus dados, tais como senha padr ao, envio de e-mails do sistema e Data/Hora do sistema para registro nos relat orios. Para a sua seguran ca, o administrador deve alterar a senha do usu ario Nettion R por uma senha pessoal, que s o dever a ser conhecida por pessoas autorizadas a administrar o sistema. Lembre-se de alterar essa senha, caso ela se torne conhecida por terceiros. Obs.: No cap tulo 5, voc e poder a obter informa c oes sobre como criar usu arios e pers de acesso ao sistema. Desta forma, voc e poder a criar um usu ario e denir os m odulos do Nettion R que poder ao ser acessados.

3.1.1

Gr acos

Por padr ao, todos os gr acos do Nettion R s ao ativados. Por em, e poss vel informar ao sistema quais gr acos car ao ativos. Para isso, acesse o menu Congura co es Gr acos. Na tela que ser a exibida, clique na caixa de verica ca o dos gr acos que deseja desativar e clique no bot ao Salvar Congura co es.

Figura 3.1: Congura c ao dos Gr acos do Sistema

17

18

CAP ITULO 3. CONFIGURAC OES

3.1.2

Administrador

Senha Para alterar a senha, preencha os campos senha atual, nova senha e conrma c ao e clique no bot ao Salvar Congura co es.

Figura 3.2: Altera ca o de senha E-mail do Administrador Para congura c ao do E-mail, preencha os campos E-mail do Administrador, seu Servidor SMTP e clique no bot ao Salvar Congura c oes. Este e-mail ser a utilizado pelo Nettion R para enviar algumas notica co es ao administrador, como por exemplo, notica ca o de algum problema no sistema de backup.

Figura 3.3: Congura c oes de E-mail

Portas de Administra c ao Nesta tela e poss vel redenir as portas para acesso ao Nettion R (HTTP e SSH). Por padr ao, as portas denidas s ao 80/TCP para o acesso web (Interface de Administra ca o) e 22/TCP para acesso ao shell do Nettion R (Console do Nettion Linux). Modique-as conforme a necessidade e clique no bot ao Salvar Congura co es.

3.1. BASICAS

19

Figura 3.4: Portas de Administra c ao HTTP e SSH

3.1.3

Data/Hora

Para congurar data e hora do sistema, voc e tem duas op co es: congurar manualmente (Clock Local) ou sincronizar com algum servidor NTP (Network Time Protocol).

Figura 3.5: Congura c ao manual de data e hora

(a) Clock Local Time Zone: selecione seu fuso hor ario; Zona do rel ogio da CPU: escolha se deseja usar seu fuso hor ario (Hor ario Local) ou o hor ario de Greenwich (GMT); Data: ajuste a data no formato dia/m es/ano (DD/MM/AAAA); Hor ario: ajuste a hora no formato hora:minuto (HH:MM).

20

CAP ITULO 3. CONFIGURAC OES

Figura 3.6: Congura c ao Servidor NTP (b) Servidor NTP Time Zone: selecione seu fuso hor ario; Zona do rel ogio da CPU: escolha se deseja usar seu fuso hor ario (Hor ario Local) ou o hor ario de Greenwich (GMT); Servidores NTP: os endere cos dos servidores de NTP com os quais deseja sincronizar data e hora. Lembre-se de inserir pelo menos um servidor, caso deseje utilizar esse recurso.

Firewall necess E ario que algumas regras de Firewall sejam criadas para garantir que os recursos citados neste cap tulo funcionem corretamente. S ao elas: Data/Hora Servidor NTP Permite que o Nettion comunique-se com os servidores NTP congurados. Um resumo da regra necess aria encontra-se na tabela 3.1 a seguir: Regra: Nettion -> NTP Servers Origem Destino Serv. Destino A ca o localhost Qualquer ntp Aceitar Tabela 3.1: Liberando Nettion para NTP servers

3.1. BASICAS Acesso ao Console e ` a Interface Web do Nettion

21

Permite o acesso ao Nettion R pelo Administrador do Sistema e pelo Suporte Remoto Nettion. As regras a serem criadas dever ao utilizar os servi cos predenidos http, 1 https e ssh, se assim estiver denido na a rea de congura ca o Portas de Administra c ao. Se as portas padr ao forem modicadas, objetos de servi cos personalizados dever ao ser criados fazendo refer encia a ` cada porta modicada.

Nota: No cap tulo 4, voc e poder a obter mais informa co es sobre a utiliza ca o de objetos de servi cos pr e-denidos e personalizados.

Um resumo das regras de rewall necess arias encontra-se nas tabelas 3.2 e 3.3 a seguir.

Regra: Administrador -> Nettion Origem Destino Serv. Destino A ca o http Host Administrador localhost https Aceitar ssh Tabela 3.2: Liberando acesso ao Nettion R para o Admimistrador do Sistema

Regra: Suporte Remoto -> Nettion Origem Destino Serv. Destino A ca o http Suporte Remoto localhost https Aceitar ssh Tabela 3.3: Liberando acesso ao Nettion R para o Suporte Remoto Nettion

OBS.: Todos os detalhes de como congurar o Firewall e suas regras encontram-se no Cap tulo 8 na p agina 79.

A porta 443/TCP utilizada para acesso ao Nettion R via https n ao pode ser redenida.

22

CAP ITULO 3. CONFIGURAC OES

3.2
3.2.1

Rede
Interface/Conex oes

Nesta se c ao voc e poder a fazer a congura ca o das demais interfaces e conex oes de rede do seu equipamento (a primeira j a foi congurada durante a instala ca o). Interfaces Ethernet (LAN) Como comentado, o Nettion j a congura a primeira interface Ethernet do equipamento (eth0) durante a instala c ao do software. Para incluir as demais Interfaces de rede, acesse a op ca o de menu Congura co es Rede Interfaces/Conex oes. Na tela seguinte, voc e ter a acesso a listagem das interfaces j a cadastradas no seu Nettion, como segue no exemplo da gura 3.7 (p agina 22).

Figura 3.7: Listagem de Interfaces e Conex oes Para incluir uma nova Interface Ethernet siga os seguintes passos (veja tamb em a gura 3.8 na p agina 23): Clique no bot ao Incluir localizado abaixo da listagem; Na tela seguinte, selecione o tipo de interface Ethernet e clique em Avan care aguarde; Neste momento o Nettion far a a detec c ao das demais placas de rede instaladas e seus respectivos drivers. Cada interface detectada ser a mostrada na tela seguite. Selecione uma delas e clique em avan car. Importante: Caso o driver do dispositivo n ao tenha sido identicado automaticamente, o dispositivo ser a listado marcado com um *. Nestes casos, e prov avel que o Nettion n ao possua o driver apropriado para suport a-lo. Por favor, entre em contato com o fabricante atrav es do endere co suporte@nettion.com.br e envie o maior n umero de informa co es do dispositivo poss vel, tais como: modelo, fabricante e chipset. Na tela seguinte preencha as informa c oes do seu dispositivo de rede: Driver: Detectado automaticamente por padr ao. Endere co IP: indique o endere co IP que ser a atribu do ao dispositivo, ou clique na op ca o DHCP para que o Nettion utilize um IP fornecido por um servidor DHCP de sua rede;

3.2. REDE Mascara de Rede: Indique a mascara de rede utilizada; Velocidade: indique a velocidade do dispositivo. Esta informa ca o ser a utilizada no servi co de Controle de Banda; Descri c ao: indique uma descri c ao sobre a interface de rede, como Interface da Intranet; Obter DNS do servidor: Obter automaticamente a congura c ao de DNS. Isto e poss vel nos casos em que o DHCP e ativado. Responder requisi co es DNS nesta interface: esta op c ao faz com que o Nettion anuncie seu servi co de DNS nesta interface; Ativar no boot: indique Sim para ativar a interface automaticamente no boot do Nettion R .

23

Figura 3.8: Inclus ao/Edi ca o de Interface Ethernet

3.2.2

Sub-Interfaces

O Nettion suporta tamb em a inclus ao de sub-interfaces de rede. Elas est ao sempre associadas a uma Interface f sica e possuem basicamente duas nalidades: 1. IPs adicionais em uma Interface: permite que uma interface responda por outros endere cos IPs, al em do principal. 2. Conex oes ADSL: permite que uma conex ao ADSL seja atribu da a uma Interface. Esta op ca o s o estar a dispon vel quando a Interface for do tipo DHCP, como ser a visto mais a frente. IPs Adicionais Para incluir um endere co adicional a uma Interface siga os passos (veja tamb em gura 3.9 na p agina 24):

24

CAP ITULO 3. CONFIGURAC OES Na tela de listagem, selecione a Interface que receber a o IP adicional e clique no bot ao Itens; Na tela seguinte, ser a apresentada uma listagem de subinterfaces do dispositivo. Clique no bot ao Incluir; Na tela seguinte, selecione o tipo Sub-Interface e clique em avan car; Agora indique: Endere cco IP, M arcara de rede, Descri c ao e se a interface responder a por requisi c oes DNS na subinterface. Para nalizar, clique no bot ao Adicionar Interface.

Figura 3.9: Inclus ao de Sub-interface Ap os a inclus ao, a Sub-interface ser a listada como mostrado na gura 3.10 (p agina 24). Observe que o nome da subinterface tem o mesmo nome do Interface principal + n umero da subinterface. Caso seja necess ario, inclua outras subinterfaces seguindo o mesmo procedimento.

Figura 3.10: Listagem de Sub-interfaces de um dispositivo de rede

3.2. REDE Conex oes ADSL (WAN) Para incluir uma Conex ao ADSL a Interface principal (f sica) deve estar congurada para receber IP via DHCP e deve estar com a congura ca o Ativar no boot como N ao, como mostrado na gura 3.11 da p agina 25.

25

Figura 3.11: Congura ca o de Interface para conex ao ADSL Importante: Estas conex oes dependem de um modem ADSL devidamente instalado e congurado. Os modems ADSL podem estar congurados no modo bridge, onde o Nettion R far a o gerenciamento da conex ao ADSL e car a com o IP disponibilizado pelo provedor(recomendado), ou em modo router, onde o modem ser a o respons avel por fazer esta ger encia. As congura c oes a seguir s ao para o modo bridge. Caso esteja em modo routercongure a interface ethernet de modo que ela se comunique com o modem e congure o Gateway do Nettion R apontando para o IP do modem. O prodecimento e semelhante ao da inclus ao de IPs adicionais (veja tamb em gura 3.12 na p agina 26): Na tela de listagem, selecione a Interface que receber a a conex ao ADSL e clique no bot ao Itens; Na tela seguinte, ser a apresentada uma listagem de subinterfaces do dispositivo. Clique no bot ao Incluir; Na tela seguinte, selecione o tipo ADSL(wan) e clique em avan car; Na tela seguinte, preencha as inforna c oes do seu provedor ADSL: Usu ario: login de acesso; Senha: senha de acesso; Parametros extras: somente se necess arios e fornecidos pelo provedor; Velocidade: indique a velocidade do link;

26

CAP ITULO 3. CONFIGURAC OES Obter DNS do Servidor: marque para que o Nettion receba as informa co es de DNS do provedor; Ativar no boot: indique Sim para que a conex ao seja ativada automaticamente no boot;

Figura 3.12: Congura ca o de Conex ao ADSL Ap os a inclus ao sua interface ADSL ser a listada como segue a na gura 3.13 (p agina 26), com informa c oes de IP e Status da conex ao. Caso o Status n ao esteja ok (vermelho) verique novamente as congura co es da conex ao.

Figura 3.13: Listagem da Conex ao ADSL

3.2.3

Gateways

Para que o Nettion R possa ter acesso ` a Internet e necess ario que ele tenha pelo menos um Gateway, ou seja, pelo menos uma sa da de acesso para a Internet. Portanto, esta e uma congura ca o importante na implanta ca o do seu Nettion. Voc e ver a tamb em que o Nettion gerencia m ultiplos Gateways, fazendo todo o tratamento de redund ancia e balanceamento dos links.

3.2. REDE Edi c ao de Gateways Geralmente um Gateway j a e congurado durante a instala c ao do Nettion no equipamento. Caso voc e queira editar suas informa co es siga os passos abaixo: Acesse o menu Congura co es Rede Gateways Congura co es; Na tela seguinte, da listagem de gateways cadastrados, selecione o Gateway que deseja editar e clique no bot ao editar. Na tela seguinte: Interface: indique a interface do Nettion que est a diretamente ligada ao gateway. No caso de um Gateway para conex ao ADSL, selecione a Interface ADSL correspondente; Gateway: indique o IP do Gateway, ou seja, o IP atrav es do qual o Nettion ter a acesso a Internet - que e fornecido pelo seu provedor de acesso. No caso de um gateway din amico, como DHCP ou ADSL, marque a op c ao Obtido dinamicamente; Participa c ao na rota padr ao: indique a porcentagem de participa c ao deste link na sa da padr ao do Nettion para a Internet. Em caso de um u nico link o padr ao ser a 100%; Timeout: indique aqui o tempo m aximo sem resposta (em segundos) em que o Nettion ir a considerar que um gateway est a fora. O Nettion mudar a o estado de um gateway para down quando este parar de responder dentro do tempo aqui estipulado. Para n ao indicar um limite de tempo, selecione a op ca o ao lado Ilimitado; Redefenir congura co es na mudan ca de estado do gateway: marque esta op ca o caso deseje que o Nettion redena as congura co es dos gateways a cada mudan ca de estado, como por exemplo, as congura c oes de participa c ao dos gateways na rota padr ao. Inclus ao de novos Gateways e M ultiplos Links Internet Caso n ao haja nenhum Gateway congurado, ou voc e queira fazer a inclus ao de Gateways adicionais, para o caso de m ultiplos Links Internet, siga os passos a seguir. Acesse o menu Congura co es Rede Gateways Congura co es; Na tela seguinte, da listagem de gateways cadastrados, clique no bot ao Incluir. Na tela seguinte: Interface: indique a interface do Nettion que est a diretamente ligada ao gateway. No caso de um Gateway para conex ao ADSL, selecione a Interface ADSL correspondente; Gateway: indique o IP do Gateway, ou seja, o IP atrav es do qual o Nettion ter a acesso a Internet - que e fornecido pelo seu provedor de acesso. No caso de um gateway din amico, como DHCP ou ADSL, marque a op c ao Obtido dinamicamente;

27

28

CAP ITULO 3. CONFIGURAC OES Participa c ao na rota padr ao: indique a porcentagem de participa c ao deste link na sa da padr ao do Nettion para a Internet em rela ca o aos outros Gateways j a cadastrados. Em caso de um u nico link o padr ao ser a 100%. Timeout: indique aqui o tempo m aximo sem resposta (em segundos) em que o Nettion ir a considerar que um gateway est a fora. O Nettion mudar a o estado de um gateway para down quando este parar de responder dentro do tempo aqui estipulado. Para n ao indicar um limite de tempo, selecione a op ca o ao lado Ilimitado; Redefenir congura co es na mudan ca de estado do gateway: marque esta op ca o caso deseje que o Nettion redena as congura co es dos gateways a cada mudan ca de estado, como por exemplo, as congura c oes de participa c ao dos gateways na rota padr ao. Perceba que o tr afego pode ser dividido de acordo com um percentual especicado (Participa c ao na Rota Padr ao), permitindo denir prioridades quanto ao uso de um dos links. E poss vel tamb em que um gateway n ao participe da rota padr ao (0%). Neste caso, o link ser a utilizado atrav es de duas formas: por acessos, originados externamente a servi cos dispon veis na sua rede (Ex.: VPN, E-mail, Portal Web) e por tr afego, previstos nas regras de roteamento avan cado como ser a mostrado no t opico adiante. Monitoramento Por padr ao, os links s ao monitorados pelo sistema que recongura automaticamente o ambiente de acordo com a disponibilidade. Cada mudan ca e registrada no estado dos seus links, permitindo sua auditoria. Para isso acesse o menu Congura co es Rede Gateways Historico de Status. O relat orio de estado dos gateways ser a exibido, conforme mostra a gura 3.14 abaixo:

Figura 3.14: Monitoramento dos Gateways Por em, e poss vel editar as op c oes de monitoramento do estado dos gateways conforme a sua necessidade. Para isso, selecione o gateway desejado e clique no bot ao Editar. As op c oes de edi ca o do gateway ser ao exibidas, como mostra a gura 3.15 a seguir, modique as op co es de congura ca o conforme a se ca o Edi ca o de Gateways deste cap tulo.

3.2. REDE

29

Figura 3.15: Edi ca o de Gateways

3.2.4

DNS

Nesta se c ao, voc e congura o nome da m aquina e os servidores DNS que ser ao consultados pelo Nettion R para a resolu c ao de nomes Internet. O nome da m aquina deve ser completo (nome do maquina + dominio). Se voc e n ao possuir um dominio, poder a utilizar localdomain. Pelo menos um servidor DNS deve ser congurado para o correto funcionamento do produto. Essa congura c ao pode ser autom atica, se voc e tem uma interface Ethernet ativa congurada via DHCP, ou uma conex ao ADSL, sendo preciso, apenas, selecionar o item Obter DNS do servidor na congura c ao da respectiva conex ao. O pr oprio Nettion poder a ser o servidor DNS, desde que ele possua acesso direto a Internet na porta 53 TCP e UDP. Para utiliz a-lo como servidor, indique o IP 127.0.0.1.

Figura 3.16: Nome da m aquina e congura ca o de DNS

30

CAP ITULO 3. CONFIGURAC OES

3.2.5

Roteamento

Nessa se ca o e possivel incluir regras que controlar ao o destino do seu tr afego de rede.

B asico Roteamento b asico ou pelo destino e a funcionalidade que torna alcan ca vel uma rede/host por meio de um host (gateway), tamb em alcan ca vel. Ex.: A rota a seguir faz com que o tr afego para as redes 192.168.50.0/24 e 172.16.20.0/16 possa ser entregue com o interm edio dos hosts 192.168.1.254 e 192.168.1.253 respectivamente, atrav es da interface eth0 (veja gura 3.17).

Figura 3.17: Listagem de rotas

Figura 3.18: Inclus ao de rota b asica

3.2. REDE Avan cado O roteamento avan cado s o faz sentido em um ambiente que possua mais de um link de internet. Nele, voc e tem o poder de escolher um conjunto completo de caracter sticas do tr afego, que ser a encaminhado especicamente por um dos gateways cadastrados. Cada regra pode conter uma lista priorit aria de gateways por onde aquele tr afego deve ser encaminhado, sendo utilizado sempre o primeiro, com estado ativo, como na gura 3.19.

31

Figura 3.19: Listagem de regras do Roteamento Avan cado A cria c ao destas regras e bem simples. Primeiramente, seria interessante j a se ter bem claro o que se deseja fazer. Se necess ario, fa ca um esbo co do tr afego desejado antes. Ap os isso, utilizando o Wizard do Roteamento avan cado, crie as regras da forma desejada. O processo de cria ca o das regras e feito em quatro passos, os quais ser ao mostrados a seguir. Passo 1 Informe uma descri ca o, a posi c ao que a regra vai ocupar na lista e no seu estado (ativo ou inativo) conforme gura 3.20 a seguir.

Figura 3.20: Criando regra - Passo 1

32

CAP ITULO 3. CONFIGURAC OES Passo 2 Selecione o hor ario em que essa regra ser a v alida. Os hor arios dispon veis s ao os denidos em Objetos>Hor arios conforme a gura 3.21 a seguir.

Figura 3.21: Criando regra - Passo 2 Passo 3 Neste passo voc e selecionar a os servi cos e/ou hosts que ter ao seu tr afego roteados por um link espec co.

Figura 3.22: Criando regra - Passo 3 Em Filtros de Origem - Hosts selecione para a caixa da esquerda o(s) Host(s) ou Rede(s) de onde se originam as conex oes. Caso queira especicar qualquer origem, deixe a caixa da esqueda vazia; Em Filtros de Origem - Servi cos selecione para a caixa da esquerda o(s) servi co(s) de origem. Caso queira especicar qualquer servi co, deixe a caixa da esquerda vazia;

3.2. REDE Em Filtros de Destino - Hosts selecione para a caixa da esquerda o(s) Hosts(s) ou Rede(s) de destino da conex ao. Caso queira especicar qualquer destino, deixe a caixa da esqueda vazia; Em Filtros de Destino - Servi cos selecione para a caixa da esquerda o(s) servi co(s) de destino. Caso queira especicar qualquer servi co, deixe a caixa da esquerda vazia; Perceba que atrav es destas op co es voc e ter a toda exibilidade de especicar exatamente o tr afego que deseja controlar, seja de uma determinada origem e/ou para um determinado destino. Passo 4 Os gateways podem ser selecionados em uma lista de prioridades, onde aquele que estiver acima, ser a o primeiro utilizado. Os gateways seguintes ser ao utilizados de acordo com a ordem estabelecida a medida que os gateways superiores falharem. A marca c ao da op ca o Caso todos os Gateways selecionados falhem encaminhar pela rota padr ao faz com que o gateway padr ao do Nettion seja utilizado em caso de falha de todas as sa das selecionadas. Veja gura 3.23 abaixo.

33

Figura 3.23: Criando regra - Passo 4

Congura co es Avan cadas Por padr ao o Nettion faz o mascaramento (NAT) das conex oes feitas pelos hosts com IPs privados com destino a Internet (vindos da sua rede interna, por exemplo). Esta se ca o o permite desabilitar esta fun c ao, para o caso onde voc e queira explicitamente informar para o Nettion n ao mascarar o tr afego (vindo da rede DMZ com IPs p ublicos, por exemplo) ou permite a sele ca o do IP que ser a utilizado para o mascaramento de cada Gateway, conforme mostrado na gura 3.24 a seguir.

34

CAP ITULO 3. CONFIGURAC OES

Figura 3.24: Criando regra - Congura c oes Avan cadas

3.2.6

DNS Din amico

Os servi cos de DNS Din amico s ao especialmente u teis para conex oes Internet com endere co IP din amico pois permitem que voc e encontre seu Nettion a partir de um nome, como por exemplo, nettion-minhaempresa.dyndns.org e possa fazer conex oes, como VPN. A congura c ao deste servi co no Nettion garante a atualiza ca o do DNS quando houver mudan ca do endere co IP da sua interface dos tipos ADSL ou Ethernet com DHCP. Com isso, sempre ser a poss vel acessar o seu Nettion R pelo Host congurado. A listagem da gura 3.26 (p agina 35) mostra o exemplo de um servi co de DNS Din amico congurado no Nettion.

Figura 3.25: Listagem de servi cos de DNS din amico Para congurar este sevi co, voc e deve estar cadastrado em um dos servi cos gratuitos de DNS Din amico listados a seguir:

3.2. REDE No-IP (http://www.no-ip.com) DynDNS (http://www.dyndns.com) ChangeIP (http://www.changeip.com) Ap os o cadastro feito no site do servi co voc e ter a em m aos as informa co es de Usu ario, senhae hostque servir ao de entrada para as congura c oes do Nettion. Para incluir um servi co, clique no bot ao Incluire preencha as informa co es de acordo com a gura 3.26 abaixo.

35

Figura 3.26: Inclus ao de servi co de DNS din amico

3.2.7

Gr acos

Interfaces Nesta se ca o encontram-se os gr acos de consumo da banda por interface do Nettion. Al em do recurso do monitoramento on-line, voc e tem ainda a op ca o de consultar todo o hist orico de cada gr aco. Veja o exemplo na gura 3.27 abaixo.

Figura 3.27: Gr aco de consumo de banda por Interface de Rede

36

CAP ITULO 3. CONFIGURAC OES

Cap tulo 4 Objetos


Com o intuito de simplicar o modo de congurar os servi cos, o Nettion R trabalha com o conceito de objetos, que consiste em um conjunto de informa co es mapeadas em objetos que ser ao utilizadas pelos v arios servi cos disponibilizados pelo software. Os objetos est ao classicados conforme o tipo de informa c ao que armazenam, facilitando sua manuten ca o. O ideal e que o administrador fa ca um levantamento pr evio do ambiente de rede, identicando os objetos que devem ser criados, economizando tempo na congura ca o dos servi cos. Relacionamos abaixo alguns dos servi cos disponibilizados pelo Nettion R e os respectivos objetos por eles utilizados: Roteamento Avan cado: hosts e redes, servi cos e hor arios; Proxy: dom nios, express oes, hor arios, hosts e redes; Controle de Banda: hosts e redes; Firewall: hosts e redes, servi cos e hor arios; NIDS: hosts e redes; OpenVPN: hosts e redes; DHCP: hosts e redes; Observe este exemplo: Para referenciar o IP de uma esta c ao de trabalho da sua empresa, um administrador criou o objeto do tipo host com o nome Est 01, atribuindo-lhe um certo IP 192.168.254.10 com a M ascara de Rede 255.255.255.255. Em seguida, utilizou o objeto Est 01 nas regras do proxy, Controle de Banda, Firewall e NIDS. e alterar o IP do ObSe por algum motivo voc e tiver que alterar o IP da Est 01 basta voc jeto e todas as congura co es do Nettion que utilizam este Objeto ser ao automaticamente atualizadas para o novo IP.

37

38

CAP ITULO 4. OBJETOS

4.1

Manuten c ao de Objetos

Ap os selecionar uma classe (tipo) de objeto no menu principal, ser a exibida para o administrador uma lista contendo os objetos cadastrados (caso existam). A exibi c ao pode ser ordenada por qualquer uma das colunas mostradas, sendo necess ario somente que o administrador clique sobre a coluna espec ca para que o sistema alterne a exibi ca o e ordena ca o dos itens da lista. Use a barra de rolagem para navegar entre os objetos cadastrados. O administrador poder a, ent ao, incluir, alterar ou excluir um objeto, por exemplo, clicando nos respectivos bot oes.1

4.1.1

Inclus ao de Objetos

Para incluir novos objetos, o administrador deve dar um clique no bot ao Incluir (veja gura 4.1 na p agina 38).

Figura 4.1: Bot ao Incluir Ao clicar no bot ao Incluir, ser a exibida a tela de inclus ao, onde se deve preencher os campos referentes ao objeto a ser criado. Para conrmar a inclus ao, clique no bot ao Salvar Congura c oes.

4.1.2

Edi c ao de Objetos

Para acessar o m odulo de edi ca o, o administrador deve dar um clique duplo sobre o objeto que deseja editar ou selecion a-lo e clicar no bot ao Editar (veja gura 4.1.2 na p agina 38). Na tela de edi ca o, o administrador poder a alterar os dados cadastrais do objeto

Figura 4.2: Bot ao Editar selecionado e conrmar as altera co es com um clique no bot ao Salvar Congura c oes.

4.1.3

Manuten c ao dos Itens do Objeto

Os objetos do tipo Dom nios, Express oes, Hor arios e Servi cos s ao formados por grupos de objetos, ou seja, cada objeto possui seus itens. Para ter acesso aos itens, selecione o objeto desejado e clique no bot ao Itens (veja gura 4.1.3 na p agina 39). Ser a exibida a lista dos itens cadastrados para o objeto selecionado e os controles para a manuten c ao
1

Os bot oes Editar, Itens e Deletar. Estar ao habilitados apenas quando houver um objeto selecionado.

DE OBJETOS 4.1. MANUTENC AO

39

Figura 4.3: Bot ao Itens do cadastro dos itens do objeto. A manuten ca o dos itens utilizados segue o padr ao de procedimentos utilizados para a manuten c ao do objeto (inclus ao, edi ca o e exclus ao).

4.1.4

Exclus ao de Objetos

Para excluir um objeto espec co, basta selecion a-lo e clicar no bot ao Deletar. O ad-

Figura 4.4: Bot ao Deletar ministrador poder a selecionar mais de um objeto e apagar todos eles clicando uma u nica vez no bot ao apropriado. Para selecionar objetos consecutivos, mantenha pressionada a tecla Shift, clique uma vez no objeto que dar a in cio a ` sele c ao e clique uma segunda vez no objeto que nalizar a a sele ca o. Ser a exibida uma tela solicitando a conrma c ao da exclus ao do(s) objeto(s) selecionado(s). Isso evita que o administrador exclua um ou mais objetos acidentalmente. Nota: O sistema n ao efetuar a a exclus ao no caso do objeto possuir itens cadastrados ou quando estiver associado a regras de rewall, proxy ou controle de banda, etc, sem que antes seja removida a associa c ao. Uma tabela de resumo ser a exibida, listando todas as regras/servi cos em que o objeto esteja inserido.

4.1.5

Consulta de Objetos

Para realizar a consulta de um objeto, basta acessar a guia de consultas no cadastro do objeto desejado. Cada objeto possui suas pr oprias op co es de consulta, por em todas as telas seguem o mesmo padr ao de funcionamento. A gura 4.5 a seguir mostra, a t tulo 2 de ilustra ca o, a tela de consulta de objetos de Hosts e Redes.

Figura 4.5: Tela de Consulta de Objetos


Lembre-se que a tela de consultas segue o mesmo padr ao de funcionamento, mudando apenas os campos de acordo com o objeto selecionado.
2

40

CAP ITULO 4. OBJETOS

4.2

Hosts e Redes

No cadastro de hosts e redes o administrador criar a a lista dos IPs que ser ao utilizados na congura ca o do Nettion R . Entende-se por host o IP de uma m aquina espec ca, assim como entende-se por rede um IP que represente um intervalo de IPs. O Nettion R interpreta como host o objeto de m ascara 255.255.255.255; os demais, ser ao interpretados como sendo redes. Veja o exemplo de listagem de objetos de hosts e redes na gura 4.6 (p agina 40).

Figura 4.6: Hosts e Redes

4.2.1

Manuten c ao do Cadastro de Hosts e Redes

A manuten c ao do cadastro de hosts e redes segue o padr ao estabelecido anteriormente (vide se c ao 4.1) . Para hosts e redes dever ao ser preenchidos os seguintes campos (conforme gura 4.7 na p agina 40). Objeto: nome a ser dado ao objeto. Ex: Web Server; Endere co IP: endere co IP do host ou da rede. Ex: 192.168.1.2; M ascara: m ascara da rede onde o objeto se encontra. No caso de o objeto ser um host, lembre de usar a m ascara 255.255.255.255/32; Descri c ao: texto explicativo sobre o objeto. Ex: Servidor Web da empresa.

Figura 4.7: Adicionando objeto do tipo Host/Rede

4.3. DOM INIOS

41

4.3

Dom nios

No cadastro de dom nios, o administrador dever a criar a lista dos grupos de dom nios que ser ao utilizados na congura c ao do Nettion R . Cada grupo poder a conter um ou mais dom nios. Veja um exemplo de uma listagem de objetos de Dom nio na gura 4.8 na p agina 41.

Figura 4.8: Listagem de grupos de dom nios

4.3.1

Manuten c ao do cadastro de dom nios

A manuten c ao do cadastro de dom nios e dos itens segue o padr ao estabelecido anteriormente. Para dom nios, dever ao ser preenchidos os seguintes campos (veja gura 4.9 na p agina 41): Nome: nome que voc e deseja dar ao grupo Ex: Governamentais; Descri c ao: descri ca o acerca do grupo. Ex: Dom nios Governamentais.

Figura 4.9: Formul ario de congura c ao de grupo de dom nios Para Incluir os itens do Grupo de Dom nios, selecione o grupo desejado e clique no bot ao Itens. Na tela seguinte voc e encontrar a uma tela com a listagem de itens do dom nio. Clique no bot ao Incluire preencha as informa co es sobre o item:

42

CAP ITULO 4. OBJETOS Dom nio: digite o dom nio iniciando por ponto (.) para identicar todo o dom nio (ex:.hotmail.com) ou para identicar um host espec co do dom nio utilize sem o ponto (Ex: login.hotmail.com). Descri c ao: descri ca o acerca do item. Ex: Dom nios bloqueados. Obs.: O Nettion valida os dom nios inseridos, impedindo que dom nios inv alidos sejam adicionados.

4.4

Express oes

Nesta se ca o, o administrador poder a cadastrar grupos de express oes (palavras ou express oes regulares) para serem utilizados na congura ca o do proxy, e, como ocorre com os dom nios, cada grupo poder a conter um ou mais itens, tornando poss vel a utiliza c ao do grupo inteiro em uma u nica regra do proxy.

4.4.1

Manuten c ao do Cadastro de Express oes

A manuten ca o do cadastro de express oes e dos itens seguem o padr ao estabelecido anteriormente. Para express oes dever ao ser preenchidos os seguintes campos:. Nome: nome que voc e deseja dar ao grupo Ex: Express oes Proibidas; Descri c ao: descri ca o acerca do grupo. Ex: Express oes que devem ser bloqueadas. Para Incluir os itens do Grupo de Express oes, selecione o grupo desejado e clique no bot ao Itens. Na tela seguinte voc e encontrar a uma tela com a listagem de itens do grupo de express oes. Clique no bot ao Incluire preencha as informa co es sobre o item: Tipo: tipo do item a ser criado, se Palavra ou Express ao regular3 . Palavra: palavra que dever a ser identicidada na URL pelo Proxy do Nettion. Ex: sexo. Posi ca o: posi c ao na qual a palavra deve ser identicada. Caso queira, por exemplo, identicar URLs terminadas por .exe, escolha a op c ao no nal. Palavra inteira: selecione Simpara identicar apenas na palavra inteira, ou seja, n ao ser a identicada quando a palavra estiver contida em outras palavras. Para o exemplo da palavra sexo, sexologia n ao bateria com o padr ao. Selecione N aopara criticar a palavra mesmo dentro de outras palavras.

4.5

Hor arios

No cadastro de hor arios, dever a ser criada a lista dos hor arios que ser ao utilizados na congura ca o do Nettion R . Com base nesses hor arios, o administrador poder a criar regras no Proxy, no Firewall, etc, para fazer o controle de acesso.
o Nettion possibilita a inclus ao de express oes regulares mais complexas atrav es da escolha do tipo Express ao Regular, por em, a escolha do tipo Palavra associada as outras op c oes como Posi c aoe Palavra Inteiraatendem a grande maioria dos casos.
3

4.6. SERVICOS

43

4.5.1

Manuten c ao do cadastro de hor arios

A manuten c ao do cadastro de hor arios e dos itens segue o padr ao estabelecido anteriormente. Para hor arios, dever ao ser preenchidos os seguintes campos:

Objeto: nome a ser dado ao hor ario. Ex: Expediente; Descri c ao: texto para detalhamento do hor ario. Ex: Hor ario de trabalho normal.

4.5.2

Determinando Intervalos

O administrador poder a denir o hor ario selecionando uma ou mais c elulas da tabela composta por dias e hor arios. A sele ca o ser a feita com o mouse da seguinte forma: o administrador deve clicar na c elula inicial com o bot ao esquerdo do mouse, mantendo-o pressionado durante o deslocamento do cursor na tela e selecionando o intervalo desejado. Uma vez selecionada a regi ao desejada, clique no bot ao Marcar. Um mesmo objeto de hor ario pode ter v arias regi oes de hor arios selecionadas. Caso deseje fazer um ajuste para fracionamento de horas, ap os selecionar a regi ao desejada, ser a exibida uma linha com os campos para ajustes juntamente com os bot oes Marcar e Desmarcar. O usu ario poder a alterar o conte udo dos campos de acordo com sua necessidade e dar um clique em Marcar ou Desmarcar conforme o caso. Para conrmar as deni c oes de intervalo, o usu ario dever a clicar no bot ao Salvar Congura co es.

4.6

Servi cos

Nesta se ca o o administrador poder a cadastrar servi cos para serem utilizados mais adiante na congura c ao das funcionalidades do Nettion. H a tamb em a op ca o de checar os servi cos pr e-denidos pelo Nettion R . O Nettion j a possui cadastrado uma s erie de servi cos, os mais conhecidos na Internet, que s ao os objetos de servi cos Predenidos.

4.6.1

Predenidos

Aqui, o administrador poder a consultar a lista de servi cos predenidos pelo Nettion R . Ao selecionar um servi co, clique em itens para visualizar as portas que determinado servi co utiliza.

4.6.2

Personalizados

Caso o servi co desejado n ao esteja cadastrado no Nettion, o administrador pode criar servi cos personalizados e para tanto, ele dever a acrescentar um novo grupo de servi cos, cliando em Incluir. Na tela seguinte, identique um nome e uma descri ca o para o seu Servi co.

44

CAP ITULO 4. OBJETOS Para incluir itens a um servi co, selecione o servi co desejado e clique em Itens. Cada Servi co pode conter uma ou mais combina co es de protocolo/porta. Para cada item de um servi co os itens abaixo dever ao ser congurados: Protocolo: TCP, UDP, ICMP, GRE, ESP ou HA; Porta: Pode ser um n umero, uma faixa ou um servi co especial P2P; Descri c ao: Inclua uma descri ca o para o item; Incluir tamb em este servi co para o protocolo UDP: Marque esta op c ao caso queira inserir esta mesma porta para o protocolo UDP (esta op ca o s o estar a dispon vel caso voc e esteja inserindo um servi co TCP).

4.7

Categorias

Na se ca o categorias, o Administrador poder a categorizar/classicar URLs para a aplica ca o em regras do Proxy. O Administrador pode consultar se determinada URL est a cadastrada no Nettion e em que grupo de categorias ela est a. Caso o Nettion ainda n ao possua determinada URL pesquisada, o Administrador poder a incluir e denir a que grupo ela ir a pertencer.

4.7.1

Predenidos

Aqui, o administrador poder a consultar a lista de categorias predenidas pelo Nettion R . Existe integrada no Nettion uma lista de URLs, as quais o Administrador n ao consegue visualizar selecionando as categorias e clicando em itens, podendo apenas pesquisar se determinada url j a est a cadastrada no Nettion R .

Figura 4.10: Categorias Pr e-denidas

4.8. MIME TYPE

45

4.7.2

Personalizados

Caso a categoria desejada n ao esteja cadastrada no Nettion R , o administrador pode criar categorias personalizadas e para tanto, ele dever a acrescentar um novo grupo de categorias, clicando em Incluir. Na tela seguinte, identique um nome e uma descri ca o para a sua Categoria. Em seguida cadastrar as URLs desejadas.

4.7.3

Consulta de URLs

O Administrador pode pesquisar se determinada url est a contida em algum grupo de categorias, podendo mud a-la de categoria se necess ario. Caso n ao esteja cadastrada, o Administrador pode destinar um grupo para essa url.

Figura 4.11: Formul ario de busca de URLs

4.8

Mime Type

Cadastrar mime-Types e o mesmo que especicar tipos de arquivos. Nesta se ca o, o Administrador poder a incluir os mime-types de seu conhecimento. Com este recurso ser a poss vel o Administrador criar regras no Proxy, baseadas no tipo de arquivo e n ao apenas na sua extens ao.

Figura 4.12: Formul ario de inclus ao de Mime-Types Obs.: O Nettion R j a vem com v arios Mime-types cadastrados.

46

CAP ITULO 4. OBJETOS

Cap tulo 5 Usu arios/Grupos


5.1 Autentica c ao

O Nettion R possui tr es alternativas quanto a ` autentica ca o de usu arios. A primeira e utilizar uma base de dados de usu arios que ser ao cadastrados no pr oprio Nettion R ; a segunda e autenticar a partir de uma base de usu arios j a existente em uma m aquina UNIX/Linux, atrav es de NIS (Network Information System); e a terceira e atrav es de uma base de dados de usu arios cadastrados em um servidor Windows. Esta op c ao tamb em suporta o esquema de autentica ca o via NTLM, que n ao solicita login e senha no browser de esta co es Windows que fa cam parte de um dom nio Windows. Este esquema utiliza a informa c ao de login do dom nio Windows para se autenticar no proxy.

5.1.1

Base Nettion

Para indicar ao sistema que a base de usu arios para autentica ca o ser a provida pelo Nettion, selecione a op c ao Utilizar o Nettion. Existem duas formas de utiliza ca o de uma base nativa do Nettion: Local; Remota. Para utilizar a base que se encontra no pr oprio Nettion (Base Local), selecione a op ca o Autenticar na base de usu arios e grupos Local. Em seguida, crie os grupos e usu arios conforme a necessidade. Para saber como criar usu arios/grupos no Nettion, veja o t opico Grupos e o t opico Usu arios deste cap tulo. Para utilizar uma base de usu arios existente em um outro Nettion (Base Remota), selecione a op ca o Autenticar numa base de usu arios e grupos remota, preenchendo os campos conforme descri ca o abaixo: Endere co IP: Endere co IP do Nettion remoto onde encontra-se a base de usu arios; Porta: Porta onde funciona a Interface de Administra c ao do Nettion Remoto. Ser a atrav es desta porta que o Nettion Local acessar a o Nettion Remoto para sincronizar a base de usu arios (veja o cap tulo 3 para saber a porta denida). Uma regra poder a ser necess aria no rewall, liberando o tr afego entre os dois Nettions nesta porta;

47

48

CAP ITULO 5. USUARIOS/GRUPOS Senha: Senha de acesso denida no Nettion Remoto (veja o t opico Acesso Remoto deste cap tulo).

Figura 5.1: Autentica ca o no Nettion Para sincronizar a base, marque a op c ao Sincronizar Usu arios e Grupos com o Nettion Remoto. Obs.: Ao selecionar esta op c ao, a base de usu arios existente ser a sobrescrita pela base a ser importada. Acesso Remoto Para permitir que outro(s) Nettion(s) sincronize(m) sua base de Usu arios e Grupos com o Nettion local, e necess ario denir uma senha para cada Nettion. Para isso, crie um objeto de Host/Rede para cada Nettion que ir a sincronizar com o Nettion Local (veja o cap tulo 4 para saber como criar objetos de Hosts/Redes), e acesse o menu Usu arios/Grupos Congura c oes Acesso Remoto e selecione o objeto de Host/Rede criado no campo Host e dena a senha. Para nalizar, clique no bot ao Salvar Congura co es.

Figura 5.2: Congura ca o do Acesso Remoto

5.1. AUTENTICAC AO

49

5.1.2

Servidor NIS

Para indicar so sistema que a base de usu arios ser a provida por um servidor NIS (Servidor de Autentica ca o UNIX/LINUX. Voc e deve possuir um em sua rede), utilize a op ca o Servidor NIS (Unix) e preencha os campos conforme descrito abaixo: Dom nio NIS(Network Information System): Dom nio onde se encontram os usu arios cadastrados no Servidor. Ex.: NISGROUP Endere co IP: Endere co IP do servidor NIS. Ex.: 192.168.0.1

Figura 5.3: Autentica ca o na base NIS Para sincronizar a base, marque a op c ao Sincronizar Usu arios e Grupos do Nettion com o Dom nio NIS e no campo Importar usu arios NIS a partir do UID, digite o ID a partir do qual os usu arios ser ao importados. Obs.: Ao selecionar esta op c ao, a base de usu arios existente ser a sobrescrita pela base a ser importada.

5.1.3

Servidor Windows

Para indicar ao sistema que a base de usu arios ser a provida por um servidor Windowstm, utilize a op c ao Dom nio Windows e preencha os campos conforme descri ca o abaixo: Dom nio: Dom nio onde se encontram os usu arios cadastrados no Servidor. Ex.: suaempresa.local Nome do servidor: Nome NETBIOS do servidor Windows. Ex.: Serv-corp Endere co IP: Endere co IP do servidor Windows. Ex.: 10.0.0.2 Ative as congura co es clicando no bot ao Salvar Congura c oes.

50 Servidor Windows com Sincroniza c ao e NTLM

CAP ITULO 5. USUARIOS/GRUPOS

Funcionamento do sistema NTLM Esta op c ao faz com que o Nettion negocie com o Servidor Windows a autentica ca o repassada pelo browser do usu ario, evitando assim a necessidade de identica c ao(janela de usu ario e senha) a cada navega ca o. Lembre-se que esta op ca o funcionar a somente em um ambiente de rede Windows/Samba onde as m aquinas e usu arios estejam devidamente logados ao dom nio. NTLM no Nettion Desde a vers ao 2.5, o Nettion R Security Software suporta o esquema de autentica ca o NTLM, tornando transparente o esquema de autentica ca o do proxy para o usu ario. Para utilizar este esquema de autentica ca o, faz-se necess aria a congura ca o de alguns campos referentes ao dom nio Windows. Outra caracter stica importante deste esquema de autentica ca o e a obrigatoriedade de sincroniza ca o dos usu arios entre o Nettion R e o controlador de dom nio. Habilitando autentica c ao NTLM Para habilitar o servi co NTLM, o administrador deve habilitar a op c ao Sincronizar Usu arios e Grupos do Nettion com Usu arios e Grupos do Dom nio Windows e adicionar o login e a senha de algum usu ario com n vel de administrador. Caso o servidor Windows seja do tipo AD (Active Directory) a op ca o O servidor Windows possui o servi co Active Directory habilitado deve ser ativada.

Figura 5.4: Autentica ca o na base Windows Caso o n umero de usu arios existentes no seu dom nio Windows seja superior a ` quantidade de usu arios da sua Licen ca de Uso Nettion R , e poss vel importar apenas os usu arios de grupos espec cos do Windows. Desta forma, ser a feita a importa c ao de uma quantidade de usu arios que esteja dentro dos limites da Lince ca de Uso do Nettion.

5.1. AUTENTICAC AO Para isso, crie no seu Windows os grupos contendo os usu arios que deseja importar, e no Nettion, clique no bot ao Atualizar Grupos. Todos os grupos do Windows ser ao exibidos na caixa Grupos, selecione os grupos desejados e clique no bot ao < para inclu -los na sincroniza c ao. Logo ap os, basta salvar as informa co es para que o Nettion R se conecte ao Controlador de Dom nio, sincronizando os usu arios e autenticando via NTLM. Observa c oes importantes: 1. Os usu arios t em que estar conectados ao dom nio Windows para ter direito a se autenticar e navegar na Internet; 2. Deve-se criar uma regra de rewall adicional de permiss ao de acesso Nettion -> Servidor Controlador de dom nio utilizando os Servi cos Predenidos smb, win2000 e winnt. 3. Para a autentica ca o funcionar, e primordial que existam as regras de proxy. Veja o cap tulo 6 (Proxy) para mais informa c oes. 4. A cada altera ca o nas informa co es dos usu arios no Controlador de dom nio, deve-se sincronizar novamente os usu arios no Nettion R . 5. Em algumas situa c oes, o Nettion R pode perder sua comunica ca o com o controlador de dom nio (Em caso de desligamento tempor ario do Controlador de Dom nio, por exemplo). Nestes casos, o Nettion R dever a ser reconectado, para voltar a fazer as autentica c oes normalmente. ATENC AO: Ao sincronizar os dados com o controlador de dom nio, todos os grupos e usu arios previamente cadastrados ser ao apagados. E de extrema import ancia fazer um backup das congura c oes antes de realizar este procedimento. Agendamento Lembre-se que, sempre que uma altera ca o for realizada na base de usu arios do Windows(inclus ao/exclus ao de usu arios, cria ca o/altera ca o de grupos, altera co es de senhas, etc.), o Nettion deve ser resincronizado. Por em, e poss vel criar um agendamento, permitindo assim que a tarefa de resincroniza c ao do Nettion R com a base Windows seja automatizada. Para isso, acesse o menu Usu arios/Grupos Autentica c ao Agendamento. Existem quatro op co es de agendamento: A cada 6h; A cada 12h; Di ario; Semanal. Selecione o tipo de agendamento desejado, marcando dia e hor ario (quando aplic avel), e clique no bot ao Salvar Congura c oes. Obs.: Para as duas primeiras op co es, o hor ario n ao pode ser especicado. Desta forma o agendamento seria realizado ` as 06:00hs, 12:00hs, 18:00hs e 00:00hs para a op c ao A cada 6h, e a `s 12:00hs e 00:00hs para a op ca o A cada 12h.

51

52

CAP ITULO 5. USUARIOS/GRUPOS

Figura 5.5: Agendamento da Sincroniza c ao de Usu arios

5.2

Grupos

O Nettion R permite que o administrador crie grupos de usu arios e os utilize na forma ca o das regras do proxy, o que possibilita que os usu arios de um grupo sejam submetidos a regras espec cas, controlando seu acesso a internet.

Figura 5.6: Administra ca o de Grupos

5.2.1

Manuten c ao do cadastro de Grupos

Temos duas formas de trabalhar com grupos de usu arios, sendo divididos de acordo com o tipo de autentica ca o escolhido: Caso 1: Autentica ca o em base remota via NIS ou Windows sem sincroniza ca o de usu arios, ou em base Local. A manuten c ao do cadastro de grupos segue ao padr ao estabelecido anteriormente. Para grupos de usu arios dever ao ser preenchidos os seguintes campos (veja gura 5.7 abaixo.) Nome: nome que voc e deseja dar ao grupo. Ex.: Financeiro

5.3. USUARIOS Descri c ao: descri ca o sobre a que se refere este grupo. Ex.: Setor Financeiro

53

Figura 5.7: Inclus ao/Edi ca o de Grupos Caso 2: Autentica ca o com Sincroniza ca o de Usu arios (via Nettion Remoto, NIS ou Windows). Neste caso, o administrador deve editar os grupos no controlador de dom nio Windows, no Nettion Remoto ou no Servidor NIS e sincronizar novamente as bases de usu arios na op ca o Autentica c ao do menu Usu arios e Grupos. Em caso de d uvida, veja os itens: Base Nettion, Servidor NIS e Servidor Windows.

5.3

Usu arios

Temos duas formas de trabalhar com usu arios, sendo divididas de acordo com o tipo de autentica c ao escolhido: Caso 1: Autentica ca o por NIS, Local ou Windows sem NTLM. O Nettion R permite que voc e cadastre, independente da autentica ca o utilizada, os usu arios que necessitam de um tratamento diferenciado quanto ao acesso a ` internet, podendo o administrador atribuir ao usu ario um ou mais grupos para facilitar a manuten ca o das regras do proxy para estes. Caso 2: Autentica ca o Windows com NTLM Neste caso, o administrador deve editar os usu arios no controlador de dom nio e sincronizar novamente as bases de usu arios na op ca o Autentica c ao do menu Usu arios e Grupos. Em caso de d uvida, veja o item Servidor-Windows.

5.3.1

Manuten c ao do cadastro de Usu arios

A manuten c ao do cadastro dos usu arios segue ao padr ao estabelecido anteriormente. Para cadastro de usu arios dever ao ser preenchidos os seguintes campos (veja gura 5.8 a seguir): Campo Usu ario: login do usu ario. Ex.: lauro Nome: nome do usu ario. Ex.: Lauro Cavalcante Senha: senha para acesso. Ex.: ****** Conrma c ao: conrma ca o da senha. Ex.: ******

54

CAP ITULO 5. USUARIOS/GRUPOS Grupo: grupo padr ao do qual o usu ario far a parte. Ex.: Comercial Grupos adicionais: grupo adicionais dos quais o usu ario far a parte. Ex.: Financeiro

Figura 5.8: Inclus ao/Edi ca o de Usu arios

5.4

Pers de acesso

A partir da vers ao 3.98, o Nettion R Security Software passa a conter pers de acesso. Para criar pers de acesso e atribuir um perl a cada usu ario, acesse Usu arios/Grupos Pers de acesso.

Figura 5.9: Lista de pers Esta funcionalidade permite ao Administrador denir quais m odulos da ferramenta poder ao ser visualizados no menu de acesso dos usu arios em um determinado perl. O manuseio e bem simples, como mostra a gura 5.10 a seguir.

5.4. PERFIS DE ACESSO

55

Figura 5.10: Sele c ao dos M odulos Ap os criar um perl, o Administrador deve vincul a-lo aos usu arios no qual ele se aplica. Este vinculo e feito diretamente no cadastro do usu ario. Ser a atribu do automaticamente um perl padr ao com acessos limitados aos usu arios que n ao forem vinculados a um perl espec co.

56

CAP ITULO 5. USUARIOS/GRUPOS

Cap tulo 6 Proxy


O servi co de Proxy possui duas fun c oes b asicas. A primeira e o Cache, que possibilita um aumento da velocidade ao acessar p aginas na internet sem que voc e precise, necessariamente, investir em links maiores, pois otimiza a navega c ao fazendo um cache local dos objetos(web) acessados pelos usu arios. Isso permite que objetos j a acessados e que ainda sejam v alidos sejam disponibilizados localmente aos usu arios que precisarem daquele mesmo objeto, evitando assim a utiliza c ao do link para cada acesso ao mesmo site ou arquivo, por exemplo. Al em disso, o Proxy tamb em atua como um rewall em n vel de aplica c ao. Assim, e poss vel que o administrador fa ca um controle dos acessos dos usu arios atrav es de regras relacionadas a: hor arios, dom nios, palavras ou express oes regulares, categoria de URLs, grupos de usu ario ou relacionados aos pr oprios objetos de Hosts/Redes.

6.1

Regras de Firewall Necess arias

Assim como qualquer outro servi co, o Proxy precisa que libera c oes sejam feitas no Firewall para que possa funcionar adequadamente. As regras necess arias s ao:

6.1.1

Intranet Nettion

necess E ario criar uma regra que permita que os usu arios da rede interna (e das redes que tamb em forem necess arias) acessem o Nettion nos servi cos squid (porta 3128) e dns(porta 53). Veja na tabela 6.1 um resumo da regra de Firewal (p agina 57). Regra: Intranet Nettion Origem Destino Serv. Destino A ca o squid Intranet localhost Aceitar dns Tabela 6.1: Libera c ao do Firewall Intranet -> Nettion

57

58

CAP ITULO 6. PROXY

6.1.2

Nettion Internet

Tamb em e necess ario permitir que o Nettion acesse a Internet para buscar os sites. Para isso o Nettion dever a acessar os servi cos Web padr ao (http, https e tomcat) e tamb em o servi co DNS (resolu ca o de nomes). Veja um resumo da regra necess aria na tabela 6.2 na p agina 58. Regra: Nettion Internet Destino Serv. Destino A ca o http https localhost Qualquer Aceitar tomcat dns Origem Tabela 6.2: Libera c ao do Firewall Nettion -> Internet

6.2

Congura co es

O Nettion R possibilita que se trabalhe com um proxy transparente ou com autentica ca o. Abordaremos os dois casos:

6.2.1

Proxy com autentica c ao

No uso do proxy com autentica ca o, trabalha-se com cache e controle de acessos, havendo a possibilidade de restri co es quanto aos usu arios. Para uso do proxy com autentica ca o e necess ario congur a-lo no browser de cada esta c ao.

6.2.2

Proxy transparente

No uso do proxy transparente trabalha-se apenas com cache, n ao havendo a possibilidade de restri co es quanto aos usu arios. No caso do Proxy Transparente, e necess ario que uma regra adicional de Firewall seja criada. Ela ser a respons avel por redirecionar o tr afego em dire ca o a porta 80 para a porta do Proxy, no caso a 3128 (objeto squid) por padr ao. Regra: Proxy Transparente Origem Destino Serv. Destino A ca o Intranet Qualquer http Redirecionar para localhost:3128 Tabela 6.3: Redirecionamento Proxy Transparente

6.2. CONFIGURAC OES

59

6.2.3

Congura c oes gerais

Para acessar a tela de congura co es gerais do proxy acesse: Proxy Congura c oes Gerais. A gura 6.1 abaixo mostra um exemplo de congura ca o do Proxy.

Figura 6.1: Congura co es do Proxy Abaixo, segue uma descri c ao dos campos da tela de congura c oes: Porta: porta na qual rodar a o servi co de Proxy. Ex.: 3128 (padr ao); Tamanho do cache: tamanho espa co em disco a ser alocado para o cache em MB. Ex.: 1000 Quantidade de mem oria: quantidade de mem oria RAM (em MB) que ser a utilizada para armazenar objetos frequentemente acessados. Ex.: 100; Pode se fazer um c alculo de 10% da mem oria RAM da m aquina para esta congura ca o caso o Nettion tamb em seja utilizado para outras fun co es como Firewall, VPN, E-mail, etc. Caso o Nettion seja utilizado apenas para o m de Proxy, pode-se chegar a valores maiores, como 60 a 70% da RAM dispon vel. O armazenamento de objetos em mem oria RAM acelera ainda mais a navega ca o devido a maior velocidade de acesso comparada ao acesso ao disco; Tamanho m aximo de um objeto em disco: tamanho m aximo de um objeto (em MB) permitido para armazenado em Cache. Ex: 64; Pol tica padr ao: pol tica padr ao a ser utilizada Ex.: negar qualquer acesso. O ideal e que o padr ao seja negar os acessos e que voc e crie regras liberando o que for necess ario; Mensagens de erro: determina em que idioma as mensagens de erro aparecer ao para os usu arios; Processos de Autentica c ao B asica (para o caso de autentica ca o na base local do Nettion): determina quantos processos o Nettion R deve manter abertos para realizar

60

CAP ITULO 6. PROXY a autentica c ao dos usu arios. Varia de acordo com o n umero de pessoas que v ao acessar simultaneamente a Internet; Processos de Autentica c ao NTLM (para o caso de autentica c ao na base de usu arios de um dom nio Windows): determina quantos processos de autentica c ao NTLM R o Nettion deve manter abertos para realizar a autentica c ao dos usu arios. Este n umero varia em fun c ao da quantidade de usu arios de proxy via autentica c ao NTLM. O Padr ao s ao 20 processos, por em, em algumas redes com muitos usu arios e muitas autentica c oes simult aneas, pode ser necess ario aumentar este n umero; Empresa (para as mensagens de erro): permite que seja especicado aqui o nome da sua empresa, o qual ser a exibido nas mensagens de erro do proxy.

6.2.4

Limpeza do Cache do Proxy

Agora, e poss vel efetuar a limpeza do cache do Proxy do Nettion a qualquer momento, bastando para isso clicar no bot ao Limpar Cache da tela de Congura c oes Gerais do Proxy. A limpeza do cache deve ser for cada em v arias situa co es, como por exemplo: Problemas na visualiza ca o de atualiza c oes de p aginas da web e problemas com espa co no disco r gido do Nettion. Para este u ltimo caso, geralmente e sinal de que chegou a hora de substituir o disco r gido do sistema por um outro maior.

6.2.5

Mensagens de erro

No Nettion R , todas as mensagens de erro do Proxy podem ser editadas, permitindo assim maior exibilidade na congura c ao. Para editar as mensagens do Proxy acesse: Proxy Congura c oes Mensagens de Erro. A gura 6.2 abaixo exibe a tela de mensagens de erro do Proxy.

Figura 6.2: Listagem de mensagens de erro do Proxy Para editar uma mensagem, selecione-a e clique no bot ao Editar. Na tela que ser a exibida, altere o conte udo da mensagem conforme a necessidade, por em sem fugir do motivo real da mensagem. Veja a gura 6.3 a seguir.

6.2. CONFIGURAC OES

61

Figura 6.3: Edi ca o de mensagens de erro do Proxy Note que a mensagem deve ser transcrita tamb em no idioma Ingl es. Para nalizar, clique no bot ao Salvar Congura co es, como mostra a gura 6.3 a seguir.

6.2.6

Portas Autorizadas

Eventualmente, pode ser necess ario efetuar a libera ca o de algumas portas para acesso via Proxy. Alguns sites possuem acessos a ` areas espec cas atrav es de portas especiais. Tais portas devem ser liberadas para permitir a sua navega c ao atrav es do Proxy. Para isso, acesse o menu Proxy Congura c oes Portas de Autorizadas. Por padr ao, algumas porta j a v em previamente liberadas no sistema. Para incluir uma porta, clique no bot ao Incluir. Na tela que ser a exibida, digite a porta que deseja liberar e sua descri ca o, depois clique no bot ao Salvar Congura co es como mostra a gura a serguir.

Figura 6.4: Inclus ao de uma porta autorizada - Proxy

6.2.7

Base de URLs Categorizadas

O Nettion R possui uma base de dados com milhares de URLs divididas em categorias. Tais categorias de urls s ao utilizadas na confec c ao de regras do Proxy. A Nettion Information Security mant em essa base de URLs e a distribui a seus clientes por meio de um esquema de atualiza c ao automatizado.

62 Atualiza c ao e Agendamento

CAP ITULO 6. PROXY

Para manter a base de URLs sempre atualizada, e necess ario que um agendamento seja criado. Para isso, acesse o menu Proxy Congura c oes Base de URLs Atualiza c ao. Existem quatro op co es de agendamento:

A cada 6h; A cada 12h; Di ario; Semanal.

Selecione o tipo de agendamento desejado, marcando dia e hor ario (quando aplic avel), e clique no bot ao Salvar Congura c oes.

Figura 6.5: Agendamento da Atualiza c ao da Base de Urls Obs.: Para as duas primeiras op co es, o hor ario n ao pode ser especicado. Desta forma o agendamento seria realizado ` as 06:00hs, 12:00hs, 18:00hs e 00:00hs para a op c ao A cada 6h, e a `s 12:00hs e 00:00hs para a op ca o A cada 12h. poss IMPORTANTE: E vel tamb em for car a atualiza c ao a qualquer momento, bastando para isso clicar no bot ao Atualizar na tela Atualiza c ao Manual contida no mesmo menu de acesso.

6.2.8

Hist orico de Atualiza c oes de URLs

O Nettion R guarda um hist orico de todas as atualiza c oes realizadas, dando informa co es, tais como: data e hora da atualiza c ao, vers ao da base de dados, quantidade de urls adicionadas e se a opera c ao foi bem-sucedida ou n ao. Veja gura 6.6 a seguir.

6.3. REGRAS

63

Figura 6.6: Hist orico das Atualiza c oes da Base de Urls

6.3

Regras

As regras do proxy podem ser interpretadas como frases (veja gura 6.7 abaixo), cabendo ao administrador construir aquelas que devem ser aplicadas no controle de acesso. Para a forma c ao das regras, s ao utilizadas informa c oes previamente cadastradas. Veja refer encia no Cap tulo 4 (Objetos) e no Cap tulo 5 (Usu arios e Grupos).

Figura 6.7: Listagem de regras do Proxy Caber a ao administrador elaborar as regras para gerenciamento dos acessos.

64

CAP ITULO 6. PROXY

6.4

Composi c ao de regras do Proxy

A cria ca o/edi ca o das regras do Proxy e feita atrav es de um Wizard que o guiar a na composi ca o dos ltros de acesso. Cada regra permite aplica c ao de ltros por dom nio, por express oes regulares, por categorias de URLs, por mime-types, por hor ario e por IP, que s ao aplicadas a Usu arios e/ou Grupos de Usu arios. poss E vel tamb em, criar controles de tr afego como por exemplo: Velocidade M axima permitida; Tamanho M aximo da Requisi c ao HTTP; Rotas para pacotes TCP. Note que, as regras s ao analisadas uma a uma de acordo com a sua posi ca o, iniciando pela regra de n umero 1, estabelecendo-se assim uma ordem de prioridade. Desta forma, e importante que as regras mais espec cas quem acima das regras mais gen ericas. Importante: Caso voc e selecione mais de um ltro em uma mesma regra, o Nettion R aplicar a a regra somente se a URL acessada satiszer ` as exig encias de todos os ltros selecionados (l ogica AND). O crit erio para posicionamento das regras ir a variar de acordo com a pol tica de seguran ca implementada. Sugerimos, entretanto, alguns conceitos que podem ser observados nesse sentido. Regras de permiss ao que n ao requerem autentica ca o devem estar nas primeiras posi c oes. OBSERVAC OES: 1. Permitir os dom nios sem autentica ca o dentro do hor ario comercial para qualquer usu ario. 2. Regras de permiss ao que requerem autentica ca o de usu arios selecionados devem estar posicionadas abaixo das regras que n ao requerem autentica ca o. Ex: Permitir qualquer dom nio em qualquer hor ario para os usu arios do grupo Diretoria. 3. Regras de permiss ao que requerem autentica c ao para usu arios v alidos devem estar posicionadas abaixo das regras referentes a usu arios selecionados. Ex: Permitir qualquer dom nio, sem palavras proibidas em qualquer hor ario, para usu arios v alidos. 4. A regra referente ` a pol tica padr ao selecionada nas congura co es do proxy estar a impl cita e ser a escrita ap os a u ltima regra cadastrada pelo usu ario. Assim, a pol tica padr ao somente ser a interpretada pelo proxy caso o acesso solicitado n ao se encaixe em nenhuma das regras anteriores.

6.4.1

Tela 1 - Deni c ao da regra

Para criar uma regra no Proxy, acesse o menu Proxy Regras, e clique no bot ao Incluir para iniciar o Wizard. Preencha as informa c oes conforme a descri ca o a seguir e clique no bot ao Avan car.

DE REGRAS DO PROXY 6.4. COMPOSIC AO Descri c ao: um breve resumo do objetivo da regra; A ca o: a a c ao da regra, Permitir ou Negar. Posi ca o: posi c ao da regra na tabela. Determina qual a prioridade de interpreta c ao das regras. Status: status da regra. Indica se a regra est a Ativa ou Inativa. Op c oes: Ativa ou Inativa

65

Figura 6.8: Deni c ao da regra

6.4.2

Tela 2 Hor ario

Determina o hor ario para a a ca o. Dene o hor ario no qual a regra atuar a com base em um hor ario previamente cadastrado (Para saber mais sobre como criar objetos de hor arios no Nettion, veja a se ca o Hor arios do cap tulo 4). Op c oes: Qualquer, Dentro do hor arioou Fora do hor ario. O padr ao Qualquerser a utilizado quando o administrador n ao especicar uma rela ca o com um hor ario durante a elabora ca o da regra. Para especicar uma rela c ao com um hor ario, o administrador deve selecionar uma op ca o diferente de Qualquerpara que seja exibida a lista de hor arios cadastrados e entre os quais ele selecionar a o hor ario desejado, que ser a exibido em amarelo, isto e, o hor ario no qual a regra ir a atuar. Veja tela de sele ca o de hor arios na gura 6.9 a seguir.

66

CAP ITULO 6. PROXY

Figura 6.9: Sele ca o de hor ario para aplica ca o da Regra

6.4.3

Tela 3 - Filtros

Aqui, voc e especica os ltros que deseja aplicar ` a regra. Os seguintes ltros podem ser utilizados: Objetos de Dom nios; Objetos de Express oes Regulares; Categorias de Urls1 ; Objetos de Mime-type. Para selecionar objetos de Dom nios e/ou Express oes, selecione os objetos desejados, e clique no bot ao < para inclu -los ` a regra. Para especicar como Qualquer, simplesmente deixe a caixa de sele c ao de objetos vazia. No caso das Categorias de Urls e dos Objetos de Mime-type, para utiliz a-los, voc e deve primeiramente marcar a(s) caixa(s) de verica c ao Habilitar Categorias e/ou Habilitar Mime Type. Em seguida, selecione os objetos desejados da mesma forma dos objetos de Dom nios e de Express oes. Veja a gura 6.10 a seguir.
O Nettion R possui uma base de dados com milhares de Urls cadastradas. Essas urls est ao organizadas segundo a sua categoria. Isto facilita muito a cria c ao de uma regra onde se deseja, por exemplo, liberar todos os sites de institui c oes nanceiras. Assim, ao contr ario do que ocorre com os Objetos de Dom nios, o administrador n ao precisa conhecer necessariamente todos os sites de institui c oes nanceiras existentes, nem cadastr a-los. O Nettion possibilita a atualiza c ao automatizada desta base de urls. Para saber mais sobre o objeto Categoria de Urls, veja a se c ao Categorias do cap tulo 4.
1

DE REGRAS DO PROXY 6.4. COMPOSIC AO

67

Figura 6.10: Aplica ca o de ltros ` a regra

6.4.4

Tela 4 - Aplicar para

Nesta tela, determine para quem a regra deve ser aplicada. Aqui, o administrador poder a denir se a regra exigir a autentica ca o ou n ao. Se a regra for autenticada, ele poder a aplic a-la a um ou mais usu arios, bem como a grupos de usu arios. Poder a tamb em criar exce c oes a ` regra. Para isso, marque a caixa de verica c ao Solicitar Autentica c ao. No campo Grupos, selecione o(s) grupo(s) de usu arios aos quais a regra ser a aplicada e/ou no campo Usu arios, selecione o(s) usu ario(s) a(o) qual(is) deseja aplicar a regra. Caso algum grupo de usu arios seja selecionado, exce co es poder ao ser especicadas no campo Exceto Usu arios. Obs.: Se voc e n ao desejar especicar usu arios ou grupos, mas deseja que a autentica c ao 1 seja solicitada a todos os usu arios , especique a op ca o Qualquer. Para isso, simplesmente deixe os campos Grupos, Usu arios e Exceto usu arios vazios. Tamb em, e poss vel aplicar a regra a ` redes e/ou hosts espec cos. Para isso, selecione os objetos de Hosts/Redes desejados no campo Hosts e clique no bot ao <. O padr ao Qualquer ser a utilizado quando o administrador n ao especicar uma rela ca o com um host/rede durante a elabora c ao da regra.
Caso o Nettion R esteja utilizando a autentica c ao integrada NTLM a autentica c ao j a foi negociada e n ao aparecer a caixa de autentica ca o solicitando-a novamente.
1

68

CAP ITULO 6. PROXY

Figura 6.11: Sele c ao de Objetos (Usu arios/Hosts) da Regra Observa c ao: Para otimizar o tempo de carga de usu arios e grupos o Nettion carrega somente os 100 primeiros registros de cada de caixa de sele ca o. No nal da lista possui um item chamado mais.... Clique nele duas vezes para que carregue mais 100 registros. Caso prera, voc e tamb em poder a utilizar o campo de busca que ca acima das caixas.

6.4.5

Tela 5 - Qos

Para nalizar, clique no bot ao Avan cado, se desejar, para especicar retri c oes quanto ao tr afego. Estas op c oes devem ser utilizadas com muita cautela para garantir que o efeito desejado seja obtido realmente. Para restringir a velocidade de acesso aos sites que ser ao tratados por esta regra, marque a caixa de verica ca o Habilitar Controle Tr afego. Em seguida, especique a velocidade desejada (em Kbit ou Mbit) no campo Vel. M axima Permitida. Para restringir a quantidade de dados que ser a trazido por vez (isto se aplica ` a qualquer requisi c ao HTTP, n ao somente aos donwnloads), marque a caixa de verica ca o Habilitar Controle de Requisi c ao HTTP. Em seguida, especique o valor desejado (em Kbyte, Mbyte ou Gbyte) no campo Tamanho m aximo da requisi c ao. Tamb em, e poss vel direcionar o tr afego a ser tratado pela regra por um link espec co (geralmente diferente do link padr ao de sa da do Proxy). Para isso, marque a caixa de verica c ao Habilitar Rotas para pacotes TCP, e selecione o link desejado na caixa de listagem.

6.5. RELATORIOS Ao nal, clique no bot ao Concluir. A regra ser a criada na posi ca o especicada e j a entrar a em funcionamento instant aneamente, sem a necessidade de reiniciar qualquer servi co ou recurso. Veja a gura 6.12 a seguir.

69

Figura 6.12: Aplica ca o de Restri co es de Tr afego ` a Regra Obs.: As op co es Habilitar Controle Tr afego e Habilitar Rotas para pacotes TCP n ao funcionam para objetos de Categorias de Urls e Objetos de Mime-types aplicados a ` regra.

6.5

Relat orios

O Nettion R disponibiliza ao administrador relat orios gerenciais referentes aos acessos via Proxy. Quando utilizada a autentica c ao, ser a poss vel ao administrador ltrar os acessos referentes a cada usu ario.

6.5.1

Padr ao

Este relat orio possibilita ao administrador do Nettion R gerar relat orios anal ticos dos sites acessados, espec cos em um determinado per odo. Caso os campos n ao sejam preenchidos, o relat orio ser a geral. Os campos para composi c ao de relat orios s ao: Usu ario: seleciona sobre qual usu ario o relat orio ser a demonstrado. Ex.: Fernanda. Trar a todos os acessos realizados pelo usu ario Fernanda no per odo especicado nos campos DE (DATA) e ATE (DATA).

70

CAP ITULO 6. PROXY Host: especica de qual m aquina partiu acesso a ` internet. Ex.: 10.0.0.36. Trar a todos os acessos realizados a partir da m aquina 10.0.0.36 no per odo especicado. URL: endere co completo ou trecho de um endere co que se deseja saber quem o acessou no per odo especicado. Ex.: www.nettion.com.br. Trar a uma lista com todos os usu arios que acessaram a este site: www.nettion.com.br. Ex: Nettion. Trar a uma lista com todos os usu arios que acessaram a algum site (URL) que contenha a palavra Nettion.

6.5.2

Por dom nio

Este relat orio possibilita ao administrador do Nettion R gerar relat orios de acessos em um determinado per odo agrupados por dom nios, conforme os campos DE (DATA) e ATE (DATA). O administrador pode selecionar um grupo espec co para qual o relat orio ser a exibido ou especicar apenas um usu ario. Clicando na coluna hits, o administrador visualizar a o relat orio detalhado referente ao dom nio. Grupo: especicar sobre qual grupo o relat orio ser a demonstrado. Ex.: Desenvolvimento. Exibir a todos os acessos realizados pelo desenvolvimento no per odo especicado nos campos DE (DATA) e ATE (DATA). Usu ario: Especicar sobre qual usu ario o relat orio ser a demonstrado. Ex.: Fernanda. Exibir a todos os acesso realizados pela Fernanda no per odo especicado nos campos DE (DATA) e ATE (DATA).

6.5.3

Top

Este relat orio possibilita ao administrador do Nettion R identicar quais foram os Top acessos atrav es de tr es relat orios diferentes. Por Usu ario, por Dom nio ou por Host. O Top Usu arios permite ainda a sele c ao de tr es unidades de medida, podendo ser por Tr afego (quantidade de bytes transferidos), por Hits (quantidade de acessos feitos - cada item de um site representa um hit) ou por tempo de acesso (considera o tempo de carga dos sites/arquivos da web, ou seja, o tempo em que o usu ario realmente utilizou o Proxy).

6.5.4

Acessos Bloqueados

Este relat orio possibilita que o administrador do Nettion R gere relat orios anal ticos dos sites acessados e que est ao bloqueados para o respectivo usu ario em um determinado per odo, para simples identica c ao de tentativa de acesso n ao permitido. Caso os campos n ao sejam preenchidos, o relat orio ser a geral.

6.5.5

On-line

Este relat orio possibilita que o administrador do Nettion R efetue o acompanhamento online dos sites que est ao sendo acessados. Para iniciar o acompanhamento, o administrador deve clicar no bot ao Iniciare para interromper, deve clicar o bot ao Parar.

6.6. GRAFICOS

71

6.6

Gr acos

Al em dos relat orios, o Nettion R tamb em disponibiliza gr acos em real time dos acessos dos usu arios ou hosts da rede. Atrav es deles o administrador poder a analisar gracamente os acessos de todos ou de um usu ario espec co dentro do per odo escolhido. Duas op co es de gr acos s ao disponibilizadas, podendo ser por usu ario ou por host. Para ter acesso aos Gr acos, acesse o menu Proxy Gr acos Usu arios ou Hosts. Os gr acos s ao inicialmente carregados com os dados de todos os usu arios ou hosts, conforme exemplo na gura 6.13 abaixo. Utilize a sele c ao na parte superior do gr aco, para visualizar o gr aco de um usu ario ou host espec co.

Figura 6.13: Gr aco de Usu arios

6.6.1

Selecionando um per odo

Para selecionar um per odo espec co para visualiza ca o do gr aco, clique na lupa que ca na parte superior direita do gr aco. Na pr oxima tela voc e ter a duas op co es de sele ca o do per odo. A primeira delas e atrav es da caixa de sele c ao na base do gr aco, que permite a sele ca o dos per odos de 30 minutos a 1 ano. A segunda op c ao e utilizando o mouse. Clique com o bot ao esquerdo em uma posi c ao do gr aco e arraste, fazendo uma sele c ao de uma area. Ao soltar o bot ao, o gr aco ser a recarregado com o per odo selecionado.

6.6.2

Visualizando acessos a partir do gr aco

poss E vel tamb em visualizar os acessos do usu ario a partir de uma a rea selecionada do gr aco. Para isso, ap os selecionar um per odo, clique no icone que ca na parte superior direita do gr aco.

72

CAP ITULO 6. PROXY

6.6.3

Monitoramento Realtime

Uma vez selecionado o usu ario desejado, clique no bot ao Monitorarpara acompanhar a forma c ao do gr aco a ` medida que o usu ario faz seus acessos. Para parar o monitoramento, clique no bot ao Parar.

6.7

Congurando as esta co es da rede

Para que as esta co es da rede utilizem o Proxy do Nettion R (em modo n ao transparente) e necess ario que as congura c oes de Proxy de seus navegadores estejam apontando para o IP e Porta do Nettion. Esta congura ca o pode variar de acordo com o navegador utilizado. Listamos abaixo a congura ca o necess aria nos mais conhecidos e utilizados: Firefox (vers ao 3.0) Com o navegador aberto, clique no menu Ferramentas Op co es. . . ; Na tela seguinte, clique na op ca o Avan cado; Agora clique na aba Rede e depois no bot ao Congurar. . . ; Na tela seguinte, selecione a op ca o Congura ca o manual de proxy e preencha as informa co es de HTTP com o IP de acesso ao Nettion e a porta do Proxy, que por padr ao e a porta 3128. Nesta mesma tela, na op ca o Sem proxy para: indique tamb em o IP do Nettion - isso vai evitar que os acessos ao pr oprio Nettion sejam feitos via Proxy. Depois clique em OK e o navegador estar a congurado. Internet Explorer (vers ao 7.0) Com o navegador aberto, clique no menu Ferramentas Op co es de Internet. . . ; Clique na aba Conex oes e depois no bot ao Congura c oes da LAN; Na tela seguinte, selecione a op c ao Utilizar um servidor Proxy. . . e indique o IP e porta de acesso ao Nettion. A porta padr ao do Proxy do Nettion e a 3128; Nas op c oes avan cadas, digite o IP do Nettion nas exe co es para evitar que o acesso ao pr oprio Nettion seja feito via proxy; Clique em OK e o navegador estar a congurado.

Cap tulo 7 Controle de Banda


O gerenciamento de banda do Nettion R tem o objetivo de otimizar o uso dos links atrav es da re-prioriza ca o dos pacotes de dados. Com ele e poss vel alocar uma maior quantidade de banda do link para os servi cos ou m aquinas mais importantes da sua rede. Al em disso, o controle tem a exibilidade de fazer a aloca ca o de forma din amica, o que permite que uma banda alocada e n ao utilizada possa ser consumida por um outro servi co de forma autom atica. Para que que mais claro, o conceito do controle de banda, e necess ario antes entendermos os conceitos de Re-prioriza c ao de pacotes e de Realoca c ao din amica de banda.

7.1

Re-prioriza c ao de pacotes

A Re-prioriza ca o age sobre a entrega dos pacotes, fazendo uma diminui ca o da velocidade de entrega dos pacotes ou fazendo uma libera ca o maior de banda de acordo com as regras estabelecidas. Por exemplo, imagine que voc e esteja recebendo seus e-mails de um provedor externo a ` sua organiza ca o de acordo com o cen ario da gura 7.1 a seguir.

Figura 7.1: Cen ario Controle Banda

73

74

CAP ITULO 7. CONTROLE DE BANDA A linha 1 (verde) da imagem indica o sentido da sua solicita c ao ao provedor na porta 110 (conta POP3) e a linha 2 (azul) indica os pacotes de dados (seus e-mails) saindo do servidor de E-mails e indo em dire ca o a sua m aquina. Ao chegarem ao Nettion, que faz a intermedia ca o da conex ao, entrar ao pela interface de rede Eth1, e sair ao em dire ca o a sua m aquina, indicada pela linha 3 (amarela), atrav es da interface Eth0. E e neste momento, da entrega, que o Nettion far a a reprioriza c ao dos pacotes, restringindo ou liberando mais banda para a conex ao. Se para este cen ario quis essemos, por exemplo, restringir a banda para a obten c ao de e-mails, aplicar amos uma regra na interface Eth0(interface de entrega dos dados), restringindo o tr afeto originado na porta 110 com destino ` a rede interna ou a ` alguma m aquina em espec co. Veremos mais a frente a cria ca o de regras.

7.2

Realoca c ao din amica de banda

O segundo conceito, por em n ao menos importante, e o de realoca ca o din amica de banda. Ele vai permitir que uma banda alocada para um determinado servi co ou host/rede seja consumido por outro servi co, quando ociosa. Para car claro, imagine a situa c ao onde voc e alocou uma parte da sua banda (300Kbits) para um determinado host da sua rede, por em, voc e deseja que, quando ociosa, esta banda seja distribuida para as demais m aquinas da rede. Para isso, utilizamos o conceito de velocidade m nima e velocidade m axima, onde a velocidade m nima ser a o que car a reservado, ou seja, n ao ser a compartilhado, e velocidade m axima, ser a a banda que poder a ser utilizada caso exista banda ociosa. Todo este controle e feito atrav es de Classes, que representam reservas de banda, e suas Regras. Na pr oxima se c ao voc e aprender a como as congura co es de classes e regras s ao feitas.

7.3

Congura co es

Para congurar o Controle de Banda do Nettion R , voc e deve acessar o menu Controle de Banda > Congura c oes. Na tela que ser a exibida, estar ao dispon veis todas as interfaces de rede existentes no sistema, como mostra a gura 7.2 abaixo.

Figura 7.2: Lista de interfaces de rede dispon veis

7.3. CONFIGURAC OES

75

7.3.1

Deni c ao da Interface de rede

Antes de iniciar a congura ca o de um controle de banda, e necess ario que voc e fa ca a avalia ca o do cen ario e identique a origem e o destino dos dados que devem ser controlados. Ap os identicar de onde os dados partem e para onde v ao, voc e identicar a em qual interface o controle ser a feito, que e aquela que faz a entrega dos dados diretamente a quem os solicitou.

7.3.2

Classes

O primeiro passo ser a criar uma classe, que signica criar uma reserva de banda do seu link. Neste momento ainda n ao iremos dizer a quem (host ou servi co) se destina esta reserva. Isso ser a feito na cria c ao das regras. Al em das classes criadas pelo administrador do Nettion, existe tamb em o conceito da Classe Default. A classe Default representa o restante de banda dispon vel no dispositivo de rede, ou seja, aquele que ainda n ao foi alocado em nenhuma classe e que ser a utilizado por qualquer tr afego que n ao tenha sido classicado em qualquer regra. O total de banda de um dispositivo e denida na congura c ao da pr opria interface de rede, no menu Congura co es -> Rede -> Interfaces. Utilizaremos o cen ario apresentado, da entrega de E-mails, para que o conceito que mais claro. Imagine que neste ambiente, n os temos 1Mbit de banda com a internet e a nossa necessidade e restringir a banda do download de e-mails, impedindo que este tr afego atrapalhe outros servi cos. Uma vez denida a interface de rede (veja se c ao 7.3.1), o pr oximo passo e fazer a cria ca o da classe de acordo com os passos a seguir: 1. Clique no menu Controle de Banda-> Congura co es; 2. Clique no bot ao Congurar da interface denida na se ca o 7.3.1; 3. A pr oxima tela mostrar a uma listagem de Classes. Clique no bot ao Incluir; 4. Preencha os campos: Nome: Nome da Classe. Ex: Classe 1; Descri c ao: Descri ca o da Classe. Ex: Classe 1; Vel. M nima: insira a banda reservada para esta classe. Para o nosso exemplo ser a de 1 Mbit; Vel. M axima: insira a banda m axima permitida para a classe. Para o nosso exemplo ser a de 1 Mbit; 5. Clique no bot ao Salvar Congura c oes. Para que voc e tenha uma id eia de como est a cando a sua congura ca o, o Nettion oferece um gr aco que mostra a Interface e suas divis oes de Classes e Objetos. Para visualiz a-lo: 1. Clique no menu Controle de Banda-> Congura co es; 2. Clique no bot ao Visualizar Gr aco da interface desejada;

76

CAP ITULO 7. CONTROLE DE BANDA Observando a imagem, o c rculo laranja representa a Interface de rede, os c rculos azuis representam as classes. Posicionando o mouse sobre os c rculos voc e ter a maiores informa c oes sobre suas congura c oes de banda, conforme mostrado na gura 7.3 a seguir.

Figura 7.3: Gr aco da Interface Eth0 Uma vez criada a Classe, o pr oximo passo ser a criar as regras, conforme veremos na pr oxima se ca o.

7.3.3

Regras

As regras, que estarar ao sempre ligadas a uma classe, identicar ao o tr afego ao qual o controle ser a aplicado. Nela indicaremos a origem (de onde partem os dados), o destino (onde os dados chegam) e as bandas m nimas e m aximas. Os conceitos de banda m nima (reserva) e banda m axima s ao equivalentes aos vistos nas Classes. Seguindo o nosso exemplo, supondo que o limite a ser estabelecido para o tr afego vem da Internet (qualquer origem) na porta 110 com destino as m aquinas da rede interna seja de 100Kbits. Siga os passos a seguir para a cria ca o desta regra: Clique no menu Controle de Banda-> Congura co es; Clique no bot ao Congurarda interface Eth0; Selecione a Classe Classe 1 e clique no bot ao Itens; Na tela seguinte, da listagem das regras, clique no bot ao Incluir; Insira agora as informa c oes da regra. Veja gura 7.4 (p agina 77). Nome: nome da regra. Ex: POP3; Obs: N ao e permitido espa co no nome da regra; Descri c ao: insira uma descri c ao. Ex: Banda para POP3; Objeto de Origem: insira o objeto de onde os dados se originam. Neste caso selecione o objeto Qualquer, signicando qualquer host de origem; Objeto de Destino: insira o objeto de destino dos dados. Neste caso selecione o objeto Rede Interna, previamente criado.

7.3. CONFIGURAC OES Porta de Origem: insira a porta de origem dos dados. Neste caso insira 110. Porta de Destino: insira a porta de destino dos dados. Neste caso selecione Qualquer clicando na caixa ao lado; Vel. M nima: insira a banda reservada. Neste caso insira 100 Kbits; Vel. M axima: insira a banda m axima permitida. Este campo dene at e quando da banda ociosa pode ser utilizada para esta regra. Neste caso, como queremos restringir insira o valor 100 Kbits; Prioridade: dene a prioridade desta regra em rela c ao as demais. Neste exemplo selecione o valor 1;

77

Figura 7.4: Regra POP3 Novamente, acesse o gr aco da Interface Eth0 para visualizar como est a aplicado seu controle de banda. Observe que agora surgiu um c rculo branco representando a regra criada. Veja na gura 7.5 (p agina 77).

Figura 7.5: Novo Gr aco da Interface Eth0

78

CAP ITULO 7. CONTROLE DE BANDA

7.4

Ativando o servi co de Controle de Banda

Ap os as congura co es, e necess ario que o servi co seja ativado. Para isso, clique no menu Sistema > Servi cos. Depois clique no bot ao Startreferente ao servi co de Controle de Banda. Para que o servi co seja ativado automaticamente durante a inicializa c ao do Nettion, marque a op ca o Auto do servi co e clique no bot ao Ativar mudan cas para os selecionadosconforme a gura 7.6 abaixo.

Figura 7.6: Ativa ca o do Servi co do Controle de Banda

Cap tulo 8 Firewall


O Firewall e um recurso de seguran ca que faz o controle do que e permitido ou n ao passar atrav es do Nettion R , como por exemplo, entre a sua rede e a internet. Funciona como um ltro, evitando que servi cos indevidos sejam acessados, diminuindo os riscos da exposi ca o da rede ` a internet. O simples fato de ter um Firewall na rede n ao quer dizer que ele esteja sendo u til. Para tal, e necess ario que ele esteja bem congurado e sintonizado com as necessidades da pol tica de seguran ca da sua organiza c ao. O Nettion R utiliza as mais avan cadas tecnologias de Firewall dispon veis para o Sistema Operacional Linux atrav es do IPTables e do Kernel 2.6, e, aliado a isso, oferece tamb em uma interface bastante simples de inclus ao e manuten ca o das regras, evitando que em pouco tempo, o administrador se perca diante de tantas regras j a criadas.

8.1

Congura co es

Em Firewall Congura c oes, o administrador denir a a pol tica de acesso padr ao que ser a utilizada pelo rewall do Nettion R . A pol tica padr ao estabelece a a c ao que ser a tomada sobre qualquer acesso que n ao tenha sido explicitamente liberado pelo administrador atrav es das regras. O ideal, e o recomend avel, e que a pol tica padr ao seja congurada para Negar tudo. Mas aten ca o. Antes de fazer esta congura ca o, algumas regras b asicas devem ser criadas, como as que liberam o acesso ao pr oprio Nettion. A pol tica padr ao de acesso pode ser: Negar tudo, barrando qualquer acesso n ao liberado nas regras; Permitir tudo, barrando somente o que foi denido nas regras. Originalmente a pol tica est a denida como Permitir tudo, a m de que o usu ario tenha acesso ao Nettion R e possa cadastrar as regras necess arias aos seus acessos. Somente ap os efetuar esse processo, e que se deve alterar a pol tica padr ao para Negar tudo:

79

80

CAP ITULO 8. FIREWALL

Figura 8.1: Congura c ao da pol tica padr ao do Firewall

8.2

Regras

Cada pacote1 que trafega atrav es do Nettion R e analisado pelo ltro de pacotes, que o abre e extrai informa co es como IP de origem, destino do pacote, portas, etc., vericando se estas informa co es batem com alguma regra cadastrada no rewall. Caso sim, o rewall toma a a c ao que a regra diz (bloqueia, aceita ou audita). Caso n ao haja uma regra espec ca no rewall que trate este pacote, ser a utilizada a pol tica padr ao denida no rewall do Nettion R para este uxo, que pode ser Permitir tudo ou Negar tudo.

8.2.1

Incluindo uma nova regra

Para que o usu ario possa incluir as regras do rewall do Nettion R , faz-se necess ario que aconselh os objetos a serem utilizados tenham sido previamente cadastrados. E avel que se tenha tra cado um esbo co das regras que ser ao cadastradas. O Nettion R j a disponibiliza a grande maioria dos servi cos que voc e precisar a na congura c ao do rewall, mas voc e tamb em tem liberdade para adicionar novos, caso seja necess ario. Para efetuar a inclus ao de uma regra, clique no bot ao Incluir, no menu Firewall > Regras, e preencha os campos solicitados: Deni co es B asicas da Regra Descri c ao: uma descri ca o da regra, como por exemplo: Acesso VNC ao Micro01; A ca o: indica a a ca o que o rewall tomar a sobre os pacotes tratados por esta regra, que podem ser: Permitir Libera o tr afego; Negar Bloqueia o tr afego; especialmente Auditar Gera registros sobre as conex oes tratadas pela regra. E u til quando se deseja descobrir as portas utilizadas por um determinado servi co. Todo o tr afego auditado pode ser visto atrav es do Relat orio do Firewall. Pos: a posi c ao na lista de regras. As regras s ao processadas sequencialmente e a ordem, nesse caso, e importante, pois uma vez que um pacote e abrangido por uma regra, a a c ao desta e tomada e ele n ao e mais processado pelas regras seguintes2 ;
Os dados numa rede IP s ao enviados em blocos referidos como pacotes ou datagramas (os termos s ao basicamente sin onimos no IP, sendo utilizados para os dados, em diferentes locais nas camadas de IPs) 2 Caso algum pacote seja tratado por uma regra cuja a c ao seja Auditar, ele continua at e que seja tratado por alguma outra regra de Permitir ou Negar ou pela pol tica padr ao
1

8.2. REGRAS Status: dene status da regra como ativa ou inativa.

81

Figura 8.2: Deni c oes b asicas da regra de Firewall Ap os preencher esse formul ario, clique em Avan car e escolha os hor arios nos quais esta regra deve atuar, como mostrado na gura 8.2 acima:

Hor arios Se voc e deseja que a regra sempre atue, escolha Qualquer (op c ao padr ao). Voc e tamb em pode usar os objetos do tipo Hor ario para determinar quando a regra deve atuar. Denido quando a regra deve atuar, clique em Avan car e vamos congurar a regra propriamente dita.

Figura 8.3: Deni c ao do hor ario de aplica ca o da regra

82 Sele c ao de objetos para aplica c ao da Regra

CAP ITULO 8. FIREWALL

Em Filtros de Origem > Hosts, voc e denir a a partir de qual ou quais hosts ou redes a conex ao ser a iniciada. Para fazer a sele c ao, selecione os objetos desejados da caixa de sele c ao a ` direita (lista de objetos de Hosts e Redes precadastrados), transferindo-os para a caixa a ` esquerda. A transfer encia pode ser feita clicando-se duas vezes no objeto desejado ou utilizando os controles entre as caixas. Para especicar que n ao importa a origem dos pacotes, ou seja, de qualquer Host/Rede de origem, deixe a caixa de sele c ao da esquerda vazia. Para especicar que e o Nettion, utilize o objeto especial chamado localhost. Dica: Caso voc e esteja utilizando o Browser Mozilla Firefox ou Internet Explorer a partir da vers ao 7.0, e poss vel obter maiores informa co es sobre os objetos durante a cria c ao da regra. Para isso, basta posicionar o mouse sobre o objeto desejado, como mostrado na gura 8.4 abaixo.

Figura 8.4: Informa co es sobre os objetos

Em Filtros de Destino > Hosts voc e selecionar a os hosts ou redes de destino da conex ao, ou seja, aqueles que receber ao a conex ao. Para especicar que n ao importa o destino dos pacotes, ou seja, deixe a caixa de sele c ao da esquerda vazia. Para especicar que e o Nettion, utilize o objeto especial chamado localhost. Em Filtros de Destino > Servi cos voc e selecionar a qual ou quais servi cos ser ao acessados no destino da conex ao. Por padr ao o Nettion oferece uma lista de servi cos Predenidos com os principais servi cos, mas voc e pode criar seus pr oprios no menu Objetos > Servi cos > Personalizados.

8.2. REGRAS

83

Figura 8.5: Sele ca o de objetos para aplica c ao da regra Congura c oes Avan cadas Caso voc e esteja fazendo uma regra de redirecionamento de pacotes, ou queira aplicar outras congura c oes a ` sua regra, antes de Concluir clique no bot ao Congura co es Avan cadas.

Figura 8.6: Congura c oes avan cadas da regra Nesta se c ao, voc e poder a: Otimizar o tr afego: Esta op c ao permite que o tr afego tratado por esta regra seja otimizado. A otimiza c ao e feita atrav es da congura ca o de um cabe calho especial dos pacotes (TOS - Type Of Service ) que tem a fun ca o de especicar uma das seguintes congura co es: Minimiza Custo Maximiza a conabilidade

84 Maximiza Throughput Minimiza Delay

CAP ITULO 8. FIREWALL

Redirecionar este tr afego para outro host: utilize esta op ca o quando voc e estiver criando uma regra de redirecionamento de pacotes, por exemplo, redirecionando as conex oes de VNC que chegarem ao Nettion para um host espec co da sua rede. Observa c ao importante: Caso a sua inten c ao seja fazer o redirecionamento do servi co que chegar ao Nettion para outro host, sem alterar as portas de desntino, deixe o campo Porta vazio. Caso n ao, indique um n umero de porta diferente. Auditar este tr afego: permite que o tr afego tratado por esta regra seja auditato. Isso vai fazer com que o Nettion gere registros das conex oes que poder ao ser acessados atrav es dos Relat orios do Firewall. Mascarar dinamicamente este tr afego quando necess ario: esta op c ao faz com que o Nettion aplique o NAT (Network Address Translation ) nos pacotes tratados por esta regra, quando necess ario. Isso ocorre, por exemplo, quando um host da rede interna, com um IP privado, precisa acessar um servi co diretamente na Internet. Estado estabelecido e/ou relacionado no retorno da conex ao: Esta op ca o permite tratar o estado da conex ao (Stateful Firewall ). Quando marcada, vai permitir que somente os hosts de origem iniciem a conex ao em dire c ao aos hosts de destino da regra. Quando houver a necessidade de deixar que ambos os lados (Origem e Destino) originem a conex ao, como entre duas redes de uma VPN, desmarque esta op ca o. Dica: durante a inclus ao das regras, e importante que voc e avalie se a nova regra se encaixa com alguma j a criada. Caso sim, basta voc e editar a regra existente e incluir os objetos desejados. Isso vai fazer com que seu Firewall que mais organizado, facilitando sua manuten c ao.

8.3

Regras b asicas do Firewall

A congura c ao do Firewall requer a an alise detalhada do ambiente para que todo o tr afego necess ario seja contemplado atrav es de suas regras. Seguem abaixo algumas regras b asicas, que s ao u teis na maioria dos ambientes.

8.3.1

Acesso ao Nettion

necess E ario que voc e crie uma regra que o permita acessar a interface de administra c ao do Nettion. A libera c ao desta regra pode ser feita apenas para um IP xo na rede, o da m aquina do administrador, ou para toda a rede interna, com destino ao Nettion. Segue um resumo da regra a ser criada na tabela 8.1 (p agina 85). Obs: como comentado anteriormente, o objeto especial localhost referencia o pr oprio Nettion.

8.3. REGRAS BASICAS DO FIREWALL Regra: Administra c ao do Nettion Origem Destino Serv. Destino A ca o http Host Administrador localhost Aceitar https ssh Tabela 8.1: Libera c ao do acesso ao Nettion

85

8.3.2

Acesso Nettion -> Internet

Na maioria dos casos, o Nettion e utilizado com a fun c ao de Proxy da rede. Isso requer que o Nettion acesse alguns servi cos na Internet, como DNS, HTTP e HTTPS. Veja um resumo da regra a ser criada na tabela 8.2 abaixo. Regra: Nettion -> Internet Origem Destino Serv. Destino A ca o http localhost Qualquer Aceitar https dns Tabela 8.2: Libera c ao Nettion -> Internet

8.3.3

Resolu c ao de nomes para a rede interna

Na maioria das vezes, o Nettion e respons avel pela resolu c ao de nomes na Internet para as m aquinas da rede interna. Para isso, segue o resumo da regra a ser criada na tabela 8.3 a seguir. Regra: DNS para Intranet Origem Destino Serv. Destino A ca o Rede Interna localhost dns Aceitar Tabela 8.3: Libera c ao do DNS para Rede Interna

OBS.: Lembramos que estas s ao dicas de regras b asicas do rewall, que podem e devem ser complementadas, por em, existem ainda muitas outras regras que devem ser criadas para tornar o seu rewall realmente eciente. Tais regras dependem de alguns fatores como: Pol tica de Seguran ca da Empresa; Servi cos e Aplicativos externos utilizados; Servi cos e Aplicativos internos a serem acessados externamente; Etc.

Exemplos de outras regras poder ao ser encontradas neste documento nas congura co es de outros m odulos do Nettion, como Proxy e VPN.

86

CAP ITULO 8. FIREWALL

8.4

Relat orios

Atrav es do relat orio do Firewall voc e ter a acesso aos registros gerados pelas regras de Auditoria do seu Firewall. Os ltros de pesquisa permitem que voc e fa ca o ltro tanto por uma regra espec ca de auditoria, quanto por uma sele ca o avan cada de hosts e servi cos.

Figura 8.7: Relat orios do Firewall

Cap tulo 9 VPN


A VPN (Virtual Private Network ou Rede Privada Virtual) envolve a utiliza ca o da internet como meio seguro de comunica ca o entre dois pontos. Para garantir a seguran ca no tr afego das informa c oes pelo meio p ublico que a internet representa, o Nettion R , atrav es de sua funcionalidade de VPN, cria um t unel de comunica ca o entre os dois pontos pelo qual os dados trafegados s ao criptografados. Isso quer dizer que somente os dois pontos ter ao a chave de descriptograa e de interpreta c ao dos dados recebidos. O Nettion R possui quatro tipos de VPN: PPTP IPSec Chave P ublica RSA IPSec Chave Compartilhada PSK OpenVPN (Plugin)

9.1

VPN PPTP

O protocolo PPTP permite estabelecer a conex ao de 1 host pertencente a internet a ` rede local controlada pelo Nettion R . Sua criptograa e m edia ou baixa, dependendo do cliente utilizado. Em sistemas operacionais Windows, com a vers ao igual ou posterior a 2000, estabelecem-se conex oes de criptograa m edia de 128 bits. Em clientes Windows 98, estabelecem-se conex oes com 40 bits de criptograa. Um caso de uso comum se apresenta quando o usu ario quer ter acesso a ` rede da empresa, controlada pelo Nettion R , a partir de uma conex ao discada (DialUP) ou ADSL. Aten ca o: para utiliza ca o da VPN-PPTP, e necess ario que o administrador inclua no rewall as regras para prever o acesso. Fa ca uso do objeto pr e-denido pptp. Segue um resumo da regra necess aria na tabela 9.1. Regra: Libera c ao da VPN PPTP Origem Destino Serv. Destino A ca o Qualquer localhost pptp Aceitar Tabela 9.1: Liberando VPN PPTP

87

88

CAP ITULO 9. VPN

9.1.1

Congura c oes

Para congurar o servidor de VPN - PPTP, acesse VPN > PPTP > Congura c oes. A tela de congura co es ser a exibida, como mostra a gura 9.1 abaixo.

Figura 9.1: Congura c oes da VPN PPTP Interface de Funcionamento: Indique a interface de rede pela qual o servidor ir a responder por requisi co es PPTP. Normalmente ser a a interface de rede que se conecta a Internet (com IP p ublico) ou Todas, para qualquer interface. Ex.: eth0(200.200.200.200); IP do Servidor: IP que ser a o Gateway do cliente PPTP ap os a conex ao. Ex.: 128.0.0.1 Intervalo de IPs dos clientes: range (faixa) de IPs que ser a fornecido aos clientes da VPN. Ex.: 128.0.0.11-20. O administrador dever a cadastrar os usu arios que utilizar ao a VPN PPTP, que chamaremos de clientes, podendo atribuir ao cliente um IP, que ser a selecionado para os que necessitem de um tratamento diferenciado quanto ao rewall a cada conex ao. Ou, pode permitir que o servidor PPTP atribua um dos IPs dentro do range, informado na congura ca o do servidor dispon vel no momento da conex ao. Importante: Para que os clientes PPTP possam acessar a sua rede e para que tamb em possam ser acessados, e necess ario que se fa ca uma regra liberando este tr afego. Veja o resumo de uma regra para o exemplo onde a rede VPN e a rede interna est ao na rede 128.0.0.0/24 na tabela 9.2 (p agina 89), considerando que: Rede Interna: Objeto de Host/Rede congurado para 128.0.0.0/24; Qualquer: Qualquer servi co possa ser acessado entre as redes. Escolha os servi cos espec cos caso necess ario. Obs: Para permitir que a conex ao possa ser iniciada a partir de ambos os lados, desmarque a op c ao Estado estabelecido e/ou relacionado no retorno da conex ao nas congura co es avan cadas desta regra. A exibi ca o da lista de clientes cadastrados pode ser ordenada pela coluna: Login ou Nome ou Descri c ao. O cliente deve clicar sobre a coluna espec ca para que o sistema alterne a exibi ca o e a ordena ca o dos itens da tabela. Ser a poss vel utilizar a barra de rolagem para navegar entre os itens da tabela.

9.1. VPN PPTP Regra: Libera c ao da VPN PPTP Origem Destino Serv. Destino A ca o Rede Interna Rede Interna Qualquer Aceitar Tabela 9.2: Liberando tr afego rede interna rede VPN

89

9.1.2

Manuten c ao do cadastro de clientes para VPN PPTP

A manuten c ao do cadastro de clientes PPTP segue ao padr ao estabelecido anteriormente. Para clientes PPTP dever ao ser preenchidos os seguintes campos:

Figura 9.2: Adicionando/Editando usu arios PPTP Usu ario: login do usu ario. Ex.: Jo ao Senha: senha de autentica c ao. Ex.: senhapptp Conrma c ao: conrma ca o da senha. Ex.: senhapptp IP: IP que a m aquina externa deste cliente ir a receber ao fechar VPN com o Nettion. Caso seja preenchido este campo com um asterisco (*), o cliente receber a um dos IP existentes dentro do Range (faixa) de IP disponibilizado pelo Servidor. Caso seja especicado um IP, este cliente sempre receber a este IP ao conectar-se. Para uma maior seguran ca indicamos que o IP seja xo. Ex. 1: * Ex. 2: 128.0.0.11 Conex oes Ativas O Nettion R possibilita que o administrador tenha conhecimento sobre quais conex oes est ao ativas no momento da consulta. Estas informa c oes estar ao dispon veis nos relat orios posteriores.

Relat orios Nesta se c ao, o administrador poder a visualizar relat orios sobre as conex oes PPTP realizadas.

90

CAP ITULO 9. VPN

Figura 9.3: Relat orio de conex oes realizadas.

Conex oes O administrador poder a efetuar o acompanhamento dos acessos feitos via poss PPTP, facilitando o gerenciamento da rede. E vel ainda que o administrador desconecte manualmente um usu ario conectado clicando no bot ao Stop, conforme mostrado na gura 9.4 a seguir.

Figura 9.4: Listagem de conex oes ativas

9.2

VPN IPSec

O IPSec e um dos protocolos mais seguros que existem para o estabelecimento VPNs atrav es de redes p ublicas de comunica ca o. Este fato d a-se pelo uso dos mais fortes algoritmos p ublicos de criptograa, com n veis de seguran ca congur aveis pelo administrador. Aten ca o: para a utiliza ca o da VPN-IPSec e necess ario que o administrador inclua no rewall regras para prever seu acesso. Segue um resumo da regra a ser criada na tabela 9.3 (p agina 91).

9.2. VPN IPSEC Regra: Liberando IPSec Origem Destino Serv. Destino A ca o Localhost Qualquer ipsec Aceitar Tabela 9.3: Liberando IPsec Al em desta regra, e necess ario fazer uma regra que libere o tr afego entre as redes conectadas via IPSEC. Segue um resumo da regra a ser criada para este m na tabela 9.4 abaixo, considerando que: Rede Local: Objeto de Host/Rede previamente congurado com o IP da sua rede local; Rede Remota: Objeto de Host/Rede previamente congurado com o IP da rede remota; Qualquer Serv: considerando que qualquer servi co estar a dispon vel entre as redes. Escolha os servi cos espec cos caso necess ario. Obs: Para permitir que a conex ao possa ser iniciada a partir de ambos os lados (rede local e rede remota), desmarque a op ca o Estado estabelecido e/ou relacionado no retorno da conex ao nas congura co es avan cadas desta regra. Regra: Liberando tr afego dentro da VPN Origem Destino Serv. Destino A ca o Rede Local Rede Remota Qualquer Aceitar Tabela 9.4: Liberando Tr afego dentro da VPN

91

9.2.1

Congura c oes

Chaves de Autentica c ao e Criptograa Existem 2 tipos poss veis de chave: DICA: caso voc e esteja utilizando 2 Nettions R para estabelecer a VPN, abra uma janela do browser atrav es de conex ao segura com cada um dos lados. Desta forma, ca mais simples congurar sua VPN. Chave PSK O sistema de autentica ca o sob chave PSK consiste em uma u nica chave, compartilhada entre os 2 lados da VPN, que promove o sistema de criptograa, descriptograa e autentica ca o. Vantagens: Por utilizar o protocolo IPSec, projetado especicamente para o tr afego seguro de informa c oes atrav es do protocolo TCP/IP, a VPN IPSec do Nettion R se torna uma das mais seguras escolhas para o tr afego de informa co es; O sistema PSK e mais simples de ser congurado que o de dupla chave RSA. Por em, o n vel de criptograa e seguran ca e mais baixo;

92

CAP ITULO 9. VPN Compatibilidade total com outros sistemas de VPN PSK, como o Raptor R da Symantec R . Desvantagens: N ao suporta NAT; Menos seguro que o sistema RSA. Precau co es: N ao utilize chaves humanamente compreens veis; N ao forne ca sua chave para o outro lado da VPN por e-mail, mensagens instant aneas ou outros meios p ublicos de comunica ca o. Utilize ssh, https ou outro meio seguro de transfer encia de mensagens. Caso voc e utilize um disquete ou CDROM para o transporte da chave, destrua-o; N ao revele sua chave para ningu em; Gere chaves seguras, com mais de 128bits.

Chave RSA O sistema de autentica ca o sob chaves RSA consiste em 2 chaves, uma p ublica e uma privada, que promovem o sistema de criptograa, descriptograa e autentica ca o. Esta congura ca o requer a gera c ao da chave secreta, que o pr oprio Nettion R tem capacidade para fornecer. A chave secreta possui um alt ssimo n vel de criptograa (ex.: 2048bits ou 4096bits), congur avel pelo administrador, que garante um alt ssimo n vel de seguran ca nas transa c oes . Vantagens: Por utilizar o protocolo IPSec, projetado especicamente para o tr afego seguro de informa c oes atrav es do protocolo TCP/IP, a VPN IPSec se torna uma das mais seguras escolhas para o tr afego de informa c oes; O sistema RSA e extremamente seguro; Sistema utilizado h a muitos anos, com uma base s olida de teste de seguran ca e usabilidade. Desvantagens: N ao suporta NAT; Precau co es: N ao forne ca sua chave para o outro lado da VPN por e-mail, mensagens instant aneas ou outros meios p ublicos de comunica ca o. Utilize ssh, https ou outro meio seguro de transfer encia de mensagens. Caso voc e use um disquete ou CDROM para o transporte da chave, destrua-o; N ao revele sua chave para ningu em;

9.2. VPN IPSEC Congura c oes Gerais Para congurar o servidor de VPN - IPSec, acesse VPN > IPSEC > Congura c oes. A tela de congura co es ser a exibida, como mostra a gura 9.5 a seguir. Interface de Funcionamento: Interface pela qual o servidor ir a se conectar. Normalmente ser a a interface de rede que se conecta a Internet (com IP p ublico). Utilize a op ca o Rota Padr ao caso o seu Link com a Internet possua um IP p ublico din amico (vari avel). Tipo de Encripta ca o: tipo de chave que ser a utilizada para encripta ca o: 3des, 3desmd5-96 ou 3des-sha1-96 Ex.: 3des-md5-96 Regerar chave secreta (somente RSA): marcando o campo SIM ser a regerada a chave de encripta ca o demonstrada no campo Chave P ublica.. Ser a ativado o campo Tamanho, em que o administrador poder a especicar o tamanho da chave que deseja utilizar em bits (512, 1024, 2048, etc.). Chave P ublica(somente RSA): chave gerada pelo Nettion para este servidor.

93

Figura 9.5: Congura c oes do servidor IPSEC

9.2.2

Conex oes

Neste m odulo, o administrador ir a cadastrar e controlar as conex oes de VPN - IPSec. E apresentada ao administrador uma lista de conex oes j a cadastradas. Para cada conex ao listada, h a um indicador de Status que poder a estar verde (ativo) ou vermelho (inativo), de acordo com o estado da conex ao, e um bot ao Start ou Stop, que deve ser acionado com um clique para iniciar ou parar a conex ao de acordo com o seu estado. S ao listados

94

CAP ITULO 9. VPN em cada conex ao: seu nome, a rede A e seu Gateway, a rede B e seu Gateway, o Status da conex ao e o bot ao A c ao (Start ou Stop) . Aten c ao: Antes de iniciar a sua conex ao, certique-se que o servi co VPN IPSec no menu Sistema->Servi cos. Lembre-se tamb em de ter marcado como Auto para que o Nettion inicie o servi co no boot da m aquina.

Figura 9.6: Listagem de conex oes IPSEC A exibi c ao da lista de conex oes cadastradas pode ser ordenada por qualquer uma das colunas exibidas. Para que o sistema alterne a exibi c ao e a ordena c ao dos itens da tabela o usu ario deve clicar sobre a coluna espec ca. A barra de rolagem poder a ser utilizada para navegar entre estes itens. Manuten c ao do cadastro de conex oes A manuten c ao do cadastro de conex oes segue ao padr ao estabelecido anteriormente. Para novas conex oes, dever ao ser preenchidos os campos a seguir. Para facilitar o entendimento, identicamos como A e B os dois lados que fechar ao a VPN. Nome: indique um nome com o qual voc e deseja identicar a conex ao. Ex.: Filial 1 Gateway A: Endere co IP da m aquina que servir a de gateway, ou seja, a m aquina que se interligar a com a outra rede. Ex.: 200.253.5.10 (Geralmente o pr oprio Nettion R ). O administrador possui 3 op c oes neste item: IP, Qualquer, Default Route. IP: quando o Nettion R possui um IP V alido e Fixo de sa da. Ex: Link IP Telemar, Link Embratel; Qualquer: quando no lado (A) da VPN, nesta mesma posi c ao, for cadastrada a op ca o Rota Padr ao, no lado (B) da VPN ser a cadastrado Qualquer. Ex.: conex ao entre um Nettion com IP Fixo aceitando uma conex ao com um Nettion R com IP din amico. Rota Padr ao: quando o administrador for realizar a congura ca o de uma VPN utilizando um link com IP Din amico, e imposs vel determinar qual ser a o IP do Nettion R e, conseq uentemente, seu Gateway. Neste caso, ser a marcada a op ca o Rota Padr ao. Ex: congura ca o de VPN utilizando ADSL, Cable. Rede A: rede que ir a fazer parte da conex ao e que, portanto, estar a acess vel pela outra ponta (Rede B). Ex.: 128.0.0.0/16 NextHop A: sa da padr ao do Nettion R que atua como Gateway A. Ex.: 200.253.5.9 (gateway do Nettion). Caso esteja cadastrando dados de uma VPN que utilize IP Din amico, esta op c ao ser a desabilitada, pois seria imposs vel determinar o Gateway do Nettion R de forma est atica.

9.2. VPN IPSEC Chave gateway A: chave de comunica c ao do Gateway A Exemplo: 0sAQO7tMehTP69r+Pr4PSTUmiYMDLQ4Lf70kWBgbhf+hhBKuh7Dk4XRNZcn8AYL15Pmig hjuUoAhJEQWW1VzsdzmQosWAh6URQpQmYQ+bwymJpFAVTBFEgaJo6r+vP0Irn7/FhI41I tnioJ7rCpEKtq4lfDEe0K5MDeNK6za+Rx4WEO8Dr8kjR0ePK9uPzb1xEwEizrIBUZfm4h BXVI/7LKXZG1Hf9Ouc6RKhPXlN/HkhIC2s0m61TIwTzqHwx+Qd48B7oITZslcmsOkK2Wl JjZgq+5dPZQnHjoXsAuNJaNVXkQZFMNQziwznFJ7D2D1qfuVIzeVYgLso6yBJgW+QG7ush Gateway B: endere co IP da m aquina que servir a de gateway, isto e, interliga ca o com outra rede. Ex.: 200.195.152.2 Rede B: rede que ir a fazer parte da conex ao e que, portanto, estar a acess vel pela outra ponta (Rede A). Ex.: 192.168.1.0/24. NextHop B: sa da padr ao do Nettion que atua como Gateway B. Ex.: 200.195.152.1 . Veja o item NextHop A. Chave gateway B: Chave de comunica ca o do Gateway B Exemplo: 0sAQPZfUID9sYTuasmkJYfU8JmpKwphyfxT0NtUmzTT6S58FXla6qEFJrv9JgIHFtp8Dl h6wHa6a9069bHg+MZX3GLtb4ynGaFtVsqvuNx9aVgnuliunxaXwsq2zShTBBgrCTed5o9 YBMms1ItdxI6Pu5oeD1JrzQkI5J0b0qo3ukx07nqwUmDJRVHfL1zgbVeeTmn86LmhuMYp zwcBdBB5RZae8xnL0roUN7XUnjOg2VeHWVUk9giwS628KKLbclWIBcl8hIn1xc30qzrjl vqPAZggNGNt3w85925oxPRn+UvXNkadxfOxKeoF8DyLsrbvl61RAq7erQWyNVUvCz Conex ao: se a conex ao ser a ativada manualmente ou automaticamente. Congure esta op ca o para Auto para que a VPN seja sempre reiniciada automaticamente. Ex.: Auto. Status da conex ao: se a conex ao est a ativa ou n ao. Obs: o Administrador poder a importar a chave do Nettion que estiver sendo congurado dando um clique no bot ao IMPORTAR MINHA CHAVE PUBLICA Dicas de Congura ca o: 1. Ao congurar uma VPN entre 2 Nettions R , abra uma janela do browser para cada um deles; 2. As congura co es dos 2 lados ser ao totalmente IDENTICAS, salvo em casos de utiliza ca o de IPs din amicos. Isto quer dizer que, se o administrador cadastrar os dados do Nettion R 1 como sendo o Nettion R (A) da congura c ao, quando ele for realizar a congura ca o do Nettion R 2, as informa c oes ser ao id enticas, inclusive no posicionamento, tendo o Nettion R 1 como sendo o lado (A); 3. Em congura co es tendo Nettion 1, lado (A) , IP Fixo e o Nettion 2, lado (B), IP Din amico, obrigatoriamente o lado (B) ter a como gateway a marca c ao do item Rota Default. Seguindo a dica do item anterior, o administrador e levado a congurar o mesmo item, na mesma posi c ao, em cada um dos Nettion R . Por em, esta eau nica exce ca o a ` regra. Observando o Nettion R 2, nos itens de congura ca o do lado (B), o administrador ir a congurar o item Rota Default. Ao olhar esta mesma congura ca o, na mesma posi ca o, no lado (A), o administrador ter a que congurar o item Qualquer. Obs: sempre que houver uma congura ca o de VPN entre um

95

96

CAP ITULO 9. VPN IP Fixo e um IP Din amico, os campos correspondentes ao IP xo ser ao id enticos em ambos os Nettions R . Por em, os campos de congura ca o correspondentes ao lado do IP Din amico ir ao ser diferentes: no Nettion R com IP din amico, veremos marcado o item Rota Default, e no Nettion R com IP Fixo, veremos marcado o item Qualquer; 4. O Nettion possibilita que ambas as conex oes (Nettion A e Nettion B) possuam IPs Din amicos, do tipo ADSL, por exemplo. Para isso e necess ario fazer as congura co es utilizando o nome do host e n ao o IP. Como o IP e vari avel, utilize o servi co de DNS Din amico do Nettion e para cada Nettion associe um nome DNS. Uma vez feita as congura c oes, o Nettion tratar a de manter a conex ao ativa mesmo que os IPs variem.

Figura 9.7: Incluir/Editar de Conex ao IPSEC

9.3. OPENVPN

97

9.3

OpenVPN

A documenta ca o do NettionPlug OpenVPN encontra-se no item 15.5 do Cap tulo 15 sobre NettionPlugs, na p agina 152. Leia tamb em sobre o que s ao NettionPlugs no Cap tulo 15 na p agina 141.

98

CAP ITULO 9. VPN

Cap tulo 10 NIDS


O sistema de detec c ao de tentativa de invas ao (Network Intrusion Detection System) do Nettion R trabalha investigando se existe algu em tentando aplicar algum dos mais de 1.600 tipos de tentativas de invas ao, catalogados no Nettion, atrav es de sua conex ao. Uma vez detectada a tentativa, o Nettion R enviar a um e-mail para o administrador noticando o acontecimento e registrar a o fato em um log referente ao NIDS.

10.1

Congura c oes

Dene as informa c oes referentes ao sistema de detec ca o, que podem ser: Interface, utilizada para monitorar o tr afego; IPs e redes que s ao monitorados por ataques; Filtros por assinaturas etc. A atualiza ca o das assinaturas e feita atrav es do sistema de atualiza ca o (Update) do Nettion R . Verique as novas vers oes do software no m odulo do sistema.

10.1.1

Sele c ao de Interfaces

O administrador pode selecionar qual interface deseja monitorar referente a detec ca o de tentativas de invas ao. Caso deseje monitorar todas, n ao ser a necess ario clicar individualmente em cada uma delas. Basta clicar na op c ao Todas, como mostra a gura abaixo.

Figura 10.1: Sele c ao de Interfaces do NIDS

99

100

CAP ITULO 10. NIDS

10.1.2

Objetos

apresentada uma lista de objetos cadastrados no Nettion R para que o administrador E classique quais s ao con aveis e quais ser ao monitorados. Ao selecionar um objeto para ser monitorado, todo o tr afego referente ao item escolhido ser a analisado. Ap os realizar as altera co es desejadas, e necess ario clicar no bot ao Salvar altera co espara que estas surtam efeito.

Figura 10.2: Sele c ao de Objetos a serem Monitorados

10.1.3

Congura c ao do PortScan

O administrador deve especicar aqui o n umero de portas e o intervalo de tempo necess arios para considerar um portscan vindo de uma mesma m aquina. Esta congura c ao e v alida tanto para pacotes UDP como TCP. O valor padr ao e a detec ca o de quatro portas, num intervalo de tr es segundos, para a caracteriza ca o de um portscan. Aqui, o administrador pode aumentar ou diminuir a sensibilidade do NIDS para a detec c ao das tentativas de invas ao. Para aumentar a sensibilidade, basta diminuir o n umero de portas por intervalo de tempo. Para diminuir, aumente o n umero de portas por intervalo de tempo, como mostra a gura 10.3 abaixo. Em seguida, clique no bot ao Salvar Congura co es.

10.1. CONFIGURAC OES

101

Figura 10.3: Congura ca o do PortScan do NIDS

10.1.4

Detec c ao de Assinaturas

O Nettion R possui cadastradas mais de 1.600 tipos de tentativas de invas ao, que est ao separadas por tipos e s ao exibidas quando o administrador clica no campo Tipos de Assinaturas. Como alguns exemplos de tipo de assinaturas, podemos citar: Backdoors, Dos, Exploit, WEB IIS etc. Ao clicar em um destes tipos de assinaturas, ser a ativado o bot ao Ativar/Desativar Assinaturas. Ao clicar neste bot ao, ser a apresentada uma lista das assinaturas, referentes ao item selecionado (Ex.: WEB IIS), ao administrador. Este, por sua vez, selecionar a as assinaturas que considerar importantes para que o NIDS monitore. Como mostra a gura 10.4 abaixo.

Figura 10.4: Sele c ao de Assinaturas do NIDS Ao nal das listas, h a um bot ao que seleciona todas as assinaturas referentes ao item (Ex.: WEB IIS). Portanto, caso deseje marcar todas, n ao e necess ario selecionar uma a uma. Esta congura c ao inuencia diretamente a performance por isso, deve ser feita com muito cuidado e consci encia.

10.1.5

Alerta por e-mail

Especique a freq u encia caso queira receber notica co es de alertas por e-mail. Para desabilitar essa op ca o, especique a freq u encia de envio para Nenhumae salve a congura c ao.

102

CAP ITULO 10. NIDS

Figura 10.5: Congura ca o de Alertas via E-mail

10.1.6

Relat orios

Exibe relat orios dos alertas e tentativas de invas ao com detalhes sobre os pacotes capturados: IPs de origem e destino, protocolo, portas e etc.

10.1.7

Alertas

O administrador pode visualizar as u ltimas assinaturas detectadas e tamb em os portscans realizados. Lista de informa co es gerais a respeito da congura c ao do NIDS: Assinaturas ativas: informa a quantidade de regras ativas e o total de regras existentes. Ex.: 721 de 1601 Assinaturas detectadas: exibe a quantidade de assinaturas ativas que foram detectadas pelo NIDS em sua conex ao Ex.: 101 PortScan detectados: n umero de portscan que foram detectados pelo NIDS. Ex.: 247 Data do u ltimo alerta: data e hora no qual foi gerado o u ltimo alerta. Ex.: 21/12/2002 - 14:27:13

10.1.8

Ultimas assinaturas

Aqui o administrador visualiza, p agina por p agina, os u ltimos alertas por assinaturas, especicando os seguintes campos: Assinatura: assinatura a qual o alerta faz referencia. Ex.: WEB-PHP contentdisposition IP Origem: IP que originou o alerta. Ex.: 10.0.3.30 PO: porta de origem da m aquina de onde partiu a tentativa de acesso. Ex.: 6040 IP Destino: IP que se destina a ` conex ao. Ex.: 10.0.3.12 PD: porta de destino para onde se direcionava o acesso. Ex.: 80

10.1. CONFIGURAC OES Protocolo: tipo do protocolo utilizado para acesso. Ex.: TCP Hora e Data: hora e data na qual o NIDS registrou o alerta. Ex.: 16:20:47 07-04-2003

103

Figura 10.6: Relat orio de Assinaturas Detectadas O administrador pode selecionar a quantidade de alertas que deseja visualizar por p agina atrav es da altera ca o do campo Lista com intervalo de 15 alertas, que por padr ao apresenta 15 alertas. Caso o administrador deseje incluir um dos IPs apresentados na lista aos IP bloqueados, ele deve clicar sobre o IP desejado e conrmar o bloqueio no quadro que solicitar a conrma ca o.

Ultimos PortScans Este relat orio mostra especica c oes sobre os portscans realizados: IP de origem, quantidade de conex oes por host, protocolos utilizados e hora e data do portscan. Clicando em um dos itens da lista, ser a solicitada ao administrador a conrma ca o de inclus ao do IP de origem do portscan na lista de IPs bloqueados, como mostra a gura 10.7 abaixo.

Figura 10.7: Relat orio de PortScans Detectados

104

CAP ITULO 10. NIDS

10.1.9

IPs Bloqueados

Exibe uma lista com os IPs bloqueados atrav es da interface web do NIDS. Os IPs contidos nesta lista n ao ter ao acesso nenhum ao Nettion R , seja ele em qualquer dire ca o, passando por qualquer interface. Atrav es desta lista, tamb em e poss vel a remo c ao de IPs bloqueados. Obs.: os IPs ser ao bloqueados somente se o Firewall estiver ativo. Lista de IP bloqueados por data de inclus ao (Figura 10.8 abaixo):

Figura 10.8: Relat orio de IPs Bloqueados

Cap tulo 11 DHCP


O servidor DHCP do Nettion R pode ser congurado para distribuir os endere cos de IPs das esta c oes de uma ou mais redes ligadas a solu ca o, permitindo tratar de forma diferente cada uma delas.

11.1
11.1.1

Congura c oes
Congura co es Globais

Para congurar o servidor DHCP do Nettion, acesse DHCP > Congura c oes. Na tela que ser a exibida os campos devem ser preenchidos conforme a descri ca o abaixo:

Figura 11.1: Congura co es Globais do Servidor DHCP Dom nio: especicar o dom nio o qual ao DHCP responder a. Ex.: cticia.com.br DNS Prim ario: servidor de nomes prim ario. Ex.: 128.0.0.1 DNS Secund ario: servidor de nomes secund ario. Ex.: 128.0.0.2 Gateway padr ao: m aquina de sa da da rede. Ex.: 128.0.0.1 M ascara da Rede: m ascara da rede a qual o IP do servidor DHCP pertence. Ex.: Classe B padr ao /16.

105

106

CAP ITULO 11. DHCP

11.1.2

Interface

Ainda na tela de congura c oes globais, selecione as interfaces que respoder ao por requisi c oes DHCP na sua rede, conforme mostra a gura 11.2 abaixo.

Figura 11.2: Sele c ao da Interface de funcionamento do DHCP

11.2

Hosts

Esta se c ao permite que o administrador associe endere cos IP a mac addresses da rede, especialmente fazendo com que determinadas m aquinas recebam sempre o ip indicado. E u til quando se deseja fazer regras espec cas para alguns IPs da rede. A exibi ca o da lista de hosts cadastrados pode ser ordenada pela coluna: hostouendere co IP. Para que o sistema alterne a exibi c ao e a ordena ca o dos itens da tabela, e necess ario, somente, que o usu ario clique sobre a coluna espec ca. O usu ario poder a utilizar a barra de rolagem para navegar entre os itens da tabela.

11.2.1

Manuten c ao do cadastro dos Hosts

A manuten ca o do cadastro dos hosts segue ao padr ao estabelecido anteriormente. Para hosts, dever ao ser preenchidos os seguintes campos:

Figura 11.3: Inclus ao de Novo Host

11.3. REDES Nome do host: descri ca o do host. Ex.: M aquina do Jo ao; Endere co MAC: especica ca o do endere co f sico da placa (Mac-Address). 00:E0:7D:00:E3:23; Endere co IP: Endere co IP a ser fornecido; Rede: rede da qual o host far a parte. Ex.: 128.0.0.0. Ex.:

107

11.3

Redes

O servidor DHCP atribuir a IPs dentro das redes especicadas para a interface a qual estiver direcionada. A exibi c ao da lista de redes cadastradas pode ser ordenada pela coluna: redeou m ascara. Para isso, o administrador deve clicar sobre a coluna espec ca. Isso far a com que o sistema alterne a exibi c ao e a ordena ca o dos itens da tabela. O administrador poder a utilizar a barra de rolagem para navegar entre os itens da tabela.

11.3.1

Manuten c ao do cadastro de Redes

A manuten ca o do cadastro de redes segue o padr ao estabelecido anteriormente. Para redes, dever ao ser preenchidos os seguintes campos:

Figura 11.4: Especica ca o da Rede do DHCP

108 IP da rede: IP da rede. Ex.: 128.0.0.0

CAP ITULO 11. DHCP

M ascara da Rede: m ascara da nova rede. Ex.: Classe B padr ao /16 Faixa de IPs que ser ao distribu dos: faixa de IPs que ser a fornecida pelo Nettion. In cio: IP inicial da faixa de IP. Ex.: 128.0.0.21 Fim: u ltimo IP da faixa. Ex.: 128.0.0.50 Interface: interface que responder a pelas requisi c oes desta rede. Caso se deseje trabalhar com os registros nas Congura c oes Globais do DHCP, os demais campos n ao s ao necess arios. Caso contr ario, dever ao ser preenchidos.

Cap tulo 12 E-mail


12.1 Congura c oes

O Nettion R pode tamb em ser utilizado como o seu servidor de e-mails, fazendo todo o trabalho de gerenciamento de m ultiplos dom nios e usu arios, integrado com um sistema bastante robusto de antiv rus (atualizado diariamente) e anti-spam com sistema de aprendizado e quarentena. Como base para este recurso, o Nettion utiliza um servidor de e-mails do Linux chamado Qmail, bastante conhecido por sua seguran ca e estabilidade no gerenciamento de um grande n umero de contas. Al em disso, este recurso do Nettion oferece: autentica ca o integrada, sistema de quota por usu ario, sistema de bloqueio de anexos de e-mails de acordo com o tamanho e a sua extens ao, sistema de auditoria, controle da la (possibilita ao administrador acompanhar se uma mensagem ainda n ao foi enviada, o motivo e at e mesmo sua exclus ao), sistema de logs e quarentena, que possibilita o acompanhamento dos e-mails que foram bloqueados por conter v rus, e v arias outras fun co es que s ao decisivas no monitoramento do seu servidor de e-mail. Para o recebimento dos e-mails, os usu arios tem a possibilidade de utilizar contas POP3, POP3s, IMAP ou IMAPs ou at e mesmo um webmail que e disponibilizado pelo Nettion R .

12.1.1

Gerais

Autentica co es simult aneas permitidas: Esta op ca o n ao se refere ao modo de autentica ca o, j a que foi previamente denido no cap tulo referente a Usu arios e Grupos, mas sim ao n umero m aximo de autentica co es simult aneas permitidas. Isto depender a do n umero de usu arios para o sistema. Quanto maior o n umero de usu arios, maior ser a o n umero de autentica c oes simult aneas. Vinte e, comprovadamente, um valor ideal. Entretanto, o administrador poder a increment a-lo, ao perceber que seus usu arios est ao necessitando fazer v arias tentativas de autentica ca o no cliente de e-mail at e conseguir concluir a opera c ao, ou diminu -lo, para que n ao seja utilizada mem oria sem necessidade no servidor. Tamanho m aximo permitido de anexos:

109

110

CAP ITULO 12. E-MAIL

Figura 12.1: Email - autentica c ao

12.1.2

Relay

Uma das principais preocupa co es que um administrador de um servidor de e-mail deve ter e n ao deixar que ele seja utilizado indevidamente para enviar mensagens in uteis, desagrad aveis e quase sempre indesej aveis - os spams, o que geralmente e feito por algum usu ario que n ao faz parte de sua rede. O Nettion R permite que o administrador dena quais redes ou hosts ter ao liberdade de enviar e-mail atrav es do seu servidor. Tecnicamente, essa permiss ao chama-se relay. Abrir o relay para algu em signica permitir que determinado host ou rede envie e-mails atrav es do seu servidor. Um sistema bem administrado, certamente, s o permitir a acesso ` aqueles que s ao de direito faz e-lo. Portanto, e necess ario manter o relay fechado contra intrusos.

Figura 12.2: Relay do servidor de E-mails

12.1. CONFIGURAC OES Temos aqui uma lista de hosts/redes com permiss ao para usar o servidor para envio de mensagens. O cadastro para libera ca o se d a de forma simples, levando em considera ca o os objetos pr e-cadastrados e preenchendo um formul ario como o seguinte: ` esquerda est A ao os hosts/redes que t em permiss ao e a ` direita est ao todos os objetos inseridos no Nettion R . Fazendo-se uso dos bot oes entre as duas janelas, de caracter sticas intuitivas, pode-se incluir ou excluir aqueles que ter ao direito de envio de mensagens atrav es deste servidor. Bastando, ao nal de todas as altera c oes, clicar sobre Salvar Congura co es para efetiv a-las.

111

Figura 12.3: Administra c ao de Relays

12.1.3

Webmail

O Nettion oferece um sistema de Webmail como op c ao para envio/recebimento de e-mails via Web sendo necess ario para isto apenas a identica ca o, com uma combina c ao de e-mail completo e senha do usu ario. O Webmail do Nettion pode ser acessado atrav es do seu IP seguido de webmail, por exemplo: http://200.200.200.200/webmail. Algumas caracter sticas s ao congur aveis para personalizar o webmail do Nettion R como o idioma padr ao do webmail, o cone que aparece na tela de login (o qual precisa conter um endere co absoluto como o exemplicado no padr ao) e o nome das pastas que guardar ao as mensagens apagadas, enviadas e os rascunhos de e-mail.

Figura 12.4: Congura co es do Webmail

112

CAP ITULO 12. E-MAIL

12.1.4

Mensagens

Nesta se c ao o administrador pode editar as tr es seguintes mensagens: mensagem de retorno para o remetente que tentar enviar email para usu ario inv alido; mensagem informando que o limite da quota est a prestes a ser atingido mensagem retornada para o rementente quando o destinat ario de seu email excedeu a quota limite

Figura 12.5: Congura ca o de mensagens do servidor de E-mails

12.1.5

Extens oes

Inicialmente, o antiv rus dever a manter afastados os arquivos que facilmente s ao infectados e que podem carregar v rus para os clientes de e-mail. Algumas extens oes, j a cl assicas, podem carregar v rus. Em termos gerais, os arquivos chamados auto-execut aveis como os de extens ao .exe e .com s ao os infectados com maior freq u encia. Devido a maior incid encia de v rus e maior probabilidade de infec c ao em arquivos com determinadas extens oes, o Nettion R impede a entrega ou sa da de e-mails que contenham anexos com tais extens oes.

Figura 12.6: Lista de extens oes bloqueadas

12.2. DOM INIOS A tela de inclus ao ou edi c ao e simples e intuitiva, onde e necess ario, apenas, cadastrar a extens ao propriamente dita e uma pequena descri c ao, como mostrado na gura a seguir:

113

Figura 12.7: Inclus ao/Edi c ao de extens oes bloqueadas

12.2

Dom nios

poss Nesta se ca o o admnistrador controlar a os dom nios de emails. E vel criar e remover dom nios, bem como adicionar ou remover usu arios de tais dom nios. Observe que para

Figura 12.8: Listagem de dom nios de E-mail que seu dom nio de e-mail funcione perfeitamente na Internet, e necess ario que o DNS do dom nio esteja devidamente congurado e apontando que o Nettion ser a o respons avel pelos e-mails.

12.2.1

Incluir um dom nio

Caso deseje adicionar um dom nio, clique no bot ao Incluir e preencha os campos conforme as descri c oes abaixo: Dom nio: nome do dom nio a ser incluso. Ex.: nettion.com.br; Quota: espa co m aximo em disco que cada conta pode ocupar;

114

CAP ITULO 12. E-MAIL No m aximo de mensagens: quota por mensagem. N umero de mensagens por conta; Senha do administrador (postmaster): senha do administrador do dom nio; - Caso deseje redirecionar as mensagens inv alidas (enviadas para destinat arios inexistentes) para outra conta de email, marque o checkbox Redirecionar mensagens destinadas a usu arios inv alidos e digite a conta no campo abaixo. O procedimento padr ao seria enviar uma mensagem ao remetente informando que a conta destino n ao existe. - Caso deseje Usar a autentica c ao congurada no Nettion, marque esse checkbox poss e escolha os grupos para importar os usu arios. E vel importar os usu arios de todos os grupos, ou de algum grupo espec co. Veja a gura 12.9 a seguir.

Figura 12.9: Inclus ao/Edi c ao de Dom nios

12.3

Usu arios

Nesta se ca o o administrador pode pesquisar e editar usu arios, al em de poder cri a-los tamb em.

12.3.1

Buscando usu arios

Para visualizar os usu arios (contas de e-mails) existentes no sistema, acesse E-mail > Usu arios. Na tela que ser a exibida, ser ao mostrados todos os usu arios, de todos os

12.3. USUARIOS dom nios existentes no servidor de e-mail e em ordem alfab etica. Por em, a ordem de exibi ca o pode ser alterada, bastando para isso clicar no cabe calho correspondente a ` ordem desejada. Para facilitar a busca, a barra de ltros de pesquisa localizada acima da tela de usu arios pode ser utilizada.

115

Figura 12.10: Gerenciamento de Usu arios

12.3.2

Editando usu arios

Ao efetuar a busca, voc e pode editar a conta clicando no bot ao Editar. A seguinte tela aparecer a:

Figura 12.11: Edi ca o de Usu ario

116

CAP ITULO 12. E-MAIL Os campos Nome, Quota e No de mensagens s ao edit aveis. Altere-os de acordo com a sua necessidade. Caso queira utilizar o recurso de enviar c opias dos emails recebidos para outra conta, marque a op ca o Encaminhar uma c opia para outros emails e preencha o seguinte campo com a conta para a qual ser a enviada a c opia. Se deseja encaminhar para mais de uma conta, separe-as com ponto e v rgula (;). N ao esque ca de Salvar as Altera co es, caso fa ca alguma.

12.3.3

Inserindo usu arios

Ao clicar no bot ao Incluir, a seguinte tela aparecer a e permitir a a adi ca o de um novo usu ario de email:

Figura 12.12: Inclus ao/Edi ca o de Usu arios de E-mail

Login: Login, a primeira parte do endere co de email, a que aparece antes da arroba (@). Ex.: sergio; Dom nio: Os dom nios existentes ser ao listados em um combo box. Voc e deve escolher o dom nio para o qual est a criando a nova conta; Nome: Nome do usu ario. Ex. S ergio Luis; Quota: Espa co m aximo em disco que a conta pode ocupar; No m aximo de mensagens: quota por n umero de mensagens; Senha: senha do usu ario; - Caso deseje encaminhar uma c opia das mensagens recebidas para outro email, marque a op ca o Encaminhar uma c opia para outros emails e preencha o seguinte

12.4. ALIASES campo com a(s) conta(s) para onde dever ao ser encaminhadas as novas mensagens. Lembre-se de separ a-las com ponto e v rgula (;).

117

12.4

Aliases

Nesta se c ao o administrador pode denir Aliases, uma esp ecie de apelido, um outro nome pelo qual determinada(s) conta(s) ser a( ao) conhecida(s).

12.4.1

Criando um alias

Na se ca o Aliases, clique em Incluir e a seguinte tela aparecer a:

Figura 12.13: Inclus ao de Alias de E-mail Neste exemplo, foi criado um alias sergioluis@padrao.com.br. Este endere co apontar a para sergio@padrao.com.br. Logo, enviar uma mensagem para sergioluis@padrao.com.br e o mesmo que enviar uma mensagem para sergio@padrao.com.br. Alias: nome do alias. Neste exemplo, sergioluis; Dom nio: selecione na lista o dom nio para o qual voc e est a criando o alias. no exemplo, padrao.com.br ; Dena os usu arios para os quais o alias ir a se referir; No exemplo, sergio@padrao.com.br.

12.5

Antiv rus

A cada instante, pessoas mal intencionadas criam v rus para prejudicar e infectar sistemas e computadores. Seria de pouca utilidade um antiv rus que barrasse todos os arquivos suspeitos, mas n ao contivesse uma lista atualizada de v rus em sua base de dados. Sendo assim, uma boa ferramenta deve fornecer um sistema de atualiza c ao instant aneo e congur avel.

118

CAP ITULO 12. E-MAIL

12.5.1

Atualiza c ao

Essa e a primeira forma de atualiza ca o do Nettion R , feita de modo imediato, no momento em que for mais apropriado ao administrador. O Nettion R faz uma busca por uma base mais atualizada e sincroniza-a com a base local, mantendo o sistema ainda mais prevenido.

Figura 12.14: Atualiza ca o do Anti-V rus

12.5.2

Agendamento

Tamb em e poss vel denir um momento ideal a crit erio do administrador para que o R Nettion fa ca as atualiza c oes na base de v rus. Para isso, dena os dias/hor arios para que as atualiza co es aconte cam, preenchendo o formul ario abaixo e depois, salve as congura co es.

Figura 12.15: Agendamento da atualiza ca o do Antiv rus

12.5.3

Hist orico

O Nettion R permite um acompanhamento direto sobre o hist orico de atualiza co es da base de dados. Tr es s ao os estados poss veis para cada atualiza ca o: Bem sucedida com atualiza c oes - quando o Nettion R investiga atualiza c oes na base de dados e torna-se necess ario atualizar a base local;

12.6. ANTISPAM Bem sucedida sem atualiza co es - quando o Nettion R consegue conectar-se a `s bases remotas, mas a base local j a est a atualizada; Mal sucedida - quando o Nettion R n ao consegue se conectar ` as bases remotas.

119

Figura 12.16: Hist orico das atualiza co es

12.6

Antispam

O antispam do Nettion R e uma funcionalidade que controla mensagens indesej aveis. Mesmo que o relay do servidor de e-mails do Nettion R esteja fechado, em alguns lugares, h a administradores incautos que n ao t em a devida preocupa c ao com o fechamento do relay. Os spammers, aqueles que enviam centenas ou at e milhares de mensagens n ao solicitadas, aproveitam-se desta fragilidade. Isso signica que um bom administrador deve se preocupar, inclusive, com o mau trabalho feito por outros e assegurar que seus usu arios sejam menos afetados por esse mal. Um antispam e um software que se baseia em algumas caracter sticas de e-mails, notoriamente classicadas como spam, como algumas palavras-chaves e formato HTML1

12.6.1

Congura co es

A cada caracter stica de spam encontrada em um e-mail, a mensagem recebe uma pontua ca o, que depende do que foi localizado. Quando esta pontua ca o alcan ca o limite estimado nas congura c oes de sensibilidade, o e-mail sofre uma altera ca o. O t tulo da mensagem identicada como spam ser a precedido pela express ao **POSSIVEL SPAM**. A mensagem ser a entregue normalmente ao cliente. Ela n ao e exclu da automaticamente, pois pode existir uma mensagem que possua palavras-chaves e formatos que a identiquem
a linguagem utilizada para se HTML - Hypertext Markup Language, Linguagem de Marca c ao de Hipertexto. E fazer p aginas na internet e e-mails com formata c ao mais rica, como negrito, cores das fontes e inser c ao de imagens.
1

120

CAP ITULO 12. E-MAIL como uma mensagem indesejada, mas que realmente n ao seja. Sendo assim, cabe a cada usu ario denir ltros, nos seus leitores de e-mail, para separar as mensagens leg timas daquelas indesejadas. O n umero indicativo da sensibilidade representa o limite de pontos que uma mensagem pode alcan car at e ser considerada spam. Quanto MENOR o n umero, mais facilmente uma mensagem ser a assim classicada.

Figura 12.17: Congura c oes do Antispam A nova vers ao do antispam do Nettion R inclui suporte ao treinamento de mensagens em spam e n ao-spam pelos usu arios. Marque a op c ao Aprender mensagens classicadas pelos usu arios caso deseje ativar tal suporte. Caso decida utilizar este recurso, voc e dever a congurar duas contas de email, uma para mensagens classicadas como spam e a outra para as mensagens classicadas como n aospam. Nesse exemplo, as contas ser ao, respectivamente, spam@padrao.com.br e nospam@padrao.com.br. Lembrando, novamente, que estas contas dever ao ser criadas no dom nio escolhido, como as demais contas de usu arios. O funcionamento do sistema de aprendizado do antispam do Nettion R e descrito a seguir: O antispam funcionar a como sempre, marcando como *** POSSIVEL SPAM *** os emails que ele considere como tal. No caso de os usu arios receberem SPAMs que n ao foram marcados pelo antispam, eles poder ao encaminhar essa mensagem como anexo para o email selecionado para receber spam, no caso, spam@padrao.com.br. Funciona da mesma forma com as mensagens que n ao s ao spams, mas foram classicadas assim. Os usu arios t em a op ca o de encaminh a-las para o email que foi selecionado para receber as mensagens que n ao s ao spams. No nosso caso nospam@padrao.com.br. Periodicamente (mediante agendamento pelo administrador), o antispam checa as duas contas

12.6. ANTISPAM e treina como spam as mensagens da conta spam e como n ao spam as mensagens da conta n ao-spam. Este treinamento continuado melhora a ec acia do antispam e permite que ele atinja ndices melhores, quando classicar futuros emails. Caso deseje que o sistema antispam execute o treinamento das mensagems nas caixas comum que o administrador agende o spam e antispam clique no bot ao Aprender. E treinamento do antispam na pr oxima se c ao, Aprendizado. Obs1.: Lembre-se que, ao encaminhar e-mails para as contas spam@padrao.com.br e nospam@padrao.com.br, isso deve ser feito encaminhado o e-mail desejado como anexo e n ao no corpo do e-mail. Exemplo: Voc e recebeu um e-mail marcado como ***POSSIVEL SPAM***, e vericou que este e-mail realmente e um SPAM e deseja envi a-lo para que o Nettion R aprenda este e-mail como um SPAM. Ent ao, clique no e-mail com o bot ao direito (no caso do Outlook Express ), e selecione a op ca o Encaminhar como anexo. Em seguida prossiga com os procedimentos normais de envio de um e-mail; Obs2.: Veja no seu cliente de email como encaminhar um e-mail como anexo.

121

12.6.2

Aprendizado

Nesta se c ao, o administrador congurar a o agendamento do sistema de treinamento do antispam do Nettion R , bem como ter a informa co es a respeito de tais treinamentos. Agendamento Aqui, o administrador vai agendar o treinamento do sistema de antispam, denindo em que periodicidade ele ser a executado. As op co es dispon veis s ao:

Figura 12.18: Agendamento do aprendizado Di ario: treinamento di ario, o administrador dene o hor ario do treinamento; Semanal: treinamento semanal, o administrador dene o dia da semana em que o treinamento ser a realizado, al em do hor ario; Mensal: treinamento mensal, o administrador dene o dia do m es em que o treinamento ser a realizado, al em do hor ario.

122 Hist orico

CAP ITULO 12. E-MAIL

Nesta se ca o, o adminstrador obter a um hist orico dos treinamentos realizados pelo sistema de antispam, com informa co es tais como:

Figura 12.19: Hist orico dos treinamentos realizados n umero de spams e n ao-spams treinados; quantidade de novos spams e antispams; status do treinamento, se bem ou mal sucedido.

12.6.3

Whitelist

H a, tamb em, uma possibilidade de se denir uma lista de usu arios chamados con aveis, que poder ao enviar mensagens que superem o limite da sensibilidade e mesmo assim n ao sejam classicadas como spam. Esta e a whitelist do sistema.

Figura 12.20: Whitelist do Antispam

12.7. RELATORIOS Para incluir um e-mail na WhiteList, clique no bot ao Incluir. Na tela que ser a exibida, digite o endere co de e-mail completo e sem erros e uma descri ca o que dena a que se refere este e-mail. Ao nal, clique no bot ao Salvar Congura c oes como mostra a gura 12.21 a seguir.

123

Figura 12.21: Inclus ao de e-mail na Whitelist do Antispam

12.7
12.7.1

Relat orios
Fila

Todas as mensagens que foram enviadas pelos usu arios de e-mail do Nettion R passam por uma la para serem processadas e, denitivamente, transmitidas aos seus destinat arios. Enquanto aguardam o processamento, estas mensagens cam em uma la a qual o ad poss ministrador pode vericar, conforme a gura. E vel aplicar ltros ` a consulta da la, e com isso obter a origem e o destino do e-mail, o n umero de tentativas de entrega e o tamanho e o hor ario que o e-mail entrou na la.

Figura 12.22: Registros de logs do E-mail

124

CAP ITULO 12. E-MAIL

12.7.2

Logs

Ap os o processamento de uma mensagem na la, e feito um registro do que ocorreu com ela. Na tela acima, e visto o status da mensagem, se foi entregue com sucesso ou se houve algum problema na entrega.

Figura 12.23: Consulta de Mensagens

12.7.3

Auditoria

Na auditoria, h a uma lista de todas as mensagens que passaram pelo servidor. A auditoria possibilita que o administrador visualize a c opia de cada mensagem processada.

Figura 12.24: Auditoria de mensagens

12.7.4

Quarentena

A quarentena funciona de forma semelhante a ` auditoria, guardando todos os e-mails que estiverem contaminados com v rus. Tamb em e permitido que o administrador visualize uma c opia de cada mensagem da quarentena. Tamb em e poss vel gerenciar a quarentena, excluindo ou liberando os e-mails por ela capturados. Para isso, no relat orio exibido da gura 12.25, selecione o e-mail o qual deseja excluir ou liberar e clique no bot ao Editar. O e-mail retido ser a exibido.

12.7. RELATORIOS

125

Figura 12.25: Quarentena de mensagens com v rus

Abaixo, como mostra a gura 12.26, o corpo do e-mail retido. Nesta tela, e poss vel ver o e-mail retido e decidir por delet a-lo ou liber a-lo para ser entregue ao seu destinat ario atrav es dos bot oes Deletar ou Liberar.

Figura 12.26: Libera ca o/Exclus ao de e-mail retido na quarentena

Clique no bot ao Deletar para excluir denitivamente a mensagem da quarentena ou no bot ao Liberar para retirar a mensagem da quarentena e entreg a-la ao seu destinat ario. Obs1.: Para simplesmente excluir a mensagem da quarentena, n ao e necess ario edit a-la, pois o bot ao Deletar tamb em est a dispon vel na tela da quarentena como mostra a gura 12.25.

126

CAP ITULO 12. E-MAIL

12.7.5

Top Usu arios

Os gr acos de acessos no m odulo de E-mail podem ser visualizados. Com isso, o administrador acompanha qual usu ario envia mais e-mails e qual gera mais tr afego no servidor de e-mail. Veja na gura 12.27 a seguir:

Figura 12.27: Gr aco do Top Mail

12.7.6

Quota Utilizada

Neste relat orio, o administrador pode visualizar a porcentagem de uso das contas de email. A visualiza c ao pode ser efetuada por dom nio, ou mesmo por contas espec cas. Para isso, utilize as op co es de ltros dispon veis. Veja a gura 12.28 a seguir.

Figura 12.28: Relat orio de Uso da Quota de E-mail.

Cap tulo 13 Ferramentas


Todas as ferramentas possuem uma mesma interface, mas cada um dos servi cos se aplicam a `s fun co es denidas, como descritas abaixo:

13.1

Reverso

Esta op c ao existe para identicar a qual dom nio se refere um IP ou qual IP se refere a um dom nio espec co. Caso o administrador preencha o campo IP/HOSTcom um IP, o resultado ser a o seu dom nio equivalente. Ex.1: IP/HOST: 200.253.251.31. Retorno: 200.253.251.31 www.pronix.com.br Ex.2: IP/HOST: www.pronix.com.br. Retorno: www.pronix.com.br 200.253.251.31

Figura 13.1: Resolu c ao de nomes

13.2

Whois

O Whois ir a retornar o relat orio de cadastro do respectivo IP ou dom nio na FAPESP. O relat orio tamb em poder a ser impresso.

13.3

Ping

O ping e utilizado para checar se uma determinada m aquina est a conectada e ligada. O processo, assim como os demais desta se ca o, e bastante simples: preencha o campo IP/HOST com o IP a ser testado.

127

128

CAP ITULO 13. FERRAMENTAS

13.4

Tra car rota

Para saber qual o caminho para uma determinada m aquina (IP), preencha o campo IP/HOST e aguarde a apresenta ca o do relat orio da rota percorrida para alcan ca -lo.

13.5

Diagn ostico de DNS

Nesta se c ao, o administrador pode executar um diagn ostico de DNS, que vai apresentar informa c oes a respeito dos servidores SMTP, lista de nomes e IPS, lista dos nameservers e autoridade do host. A consulta pode ser feita utilizando-se o endere co IP do host ou o seu nome.

Figura 13.2: Diagn ostico de DNS

Cap tulo 14 Sistema


14.1 Servi cos

Atrav es desta op c ao e poss vel visualizar de forma centralizada o estado atual (status) de todos os servi cos fornecidos pelo Nettion, tamb em e poss vel iniciar ou parar qualquer servi co. Para isso, clique na op ca o Sistema Servi cos para ter acesso ` a lista dos servi cos do Nettion R . Ser ao exibidos o status atual de cada servi co (se iniciado ou n ao), e a op c ao de altera c ao deste status. Tamb em existe a possibilidade de faz e-lo iniciar juntamente com o Nettion R , atrav es da sele ca o da op ca o Auto. Veja gura 14.1 abaixo.

Figura 14.1: Lista de servi cos A coluna A c ao apresentar a para cada servi co tr es bot oes: Start, Stop e Restart, com os quais o administrador poder a inicializar, parar ou reinicializar o respectivo servi co. Caso o servi co esteja em funcionamento, aparecer ao ativados os bot oes Stop para par a-lo e

129

130

CAP ITULO 14. SISTEMA Restart para reinicializ a-lo. Caso esteja parado, somente o bot ao Start para inicializ a-lo aparece a ativo. Lembre-se de clicar no bot ao Ativar mudan cas para os selecionado(s) se a coluna Auto for alterada.

14.2

Plugins

Para informa co es mais detalhadas sobre os NettionPlugs, veja o Cap tulo 15 - NettionPlugs.

14.3

Backup

O Nettion R e um sistema que prov e muitos servi cos, dos quais alguns s ao bastante cr ticos. Tais servi cos compreendem uma grande quantidade de informa co es e congura c oes. Os preju zos causados pela poss vel perda de tais informa co es podem ser, dependendo do caso, incalcul aveis. Neste cen ario, reinstalar e recongurar tudo, no momento de uma emerg encia, seria um processo bastante desgastante. Considerando-se este fator, foi criada uma forma de backup do sistema que possibilita a restaura ca o imediata de todas as informa co es e congura co es existentes no Nettion R e, conseq uentemente, o retorno ao seu funcionamento normal. O processo consiste na gera ca o de um arquivo compactado contendo os dados do sistema, bem como o envio de uma c opia deste arquivo para uma m aquina da sua rede atrav es R de um compartilhamento Windows . O administrador pode congurar o conte udo do arquivo de backup, o qual poder a conter logs do Nettion, e-mails, al em de suas congura c oes. O backup se d a automaticamente de acordo com a periodicidade determinada pelo Administrador. Ser a poss vel ainda efetuar o acionamento manual do backup.

14.3.1
M odulos

Congura co es

Para acessar o servi co de Backup do Nettion, acesse o menu Sistema > Backup > Congura c oes > M odulos. Na tela que ser a exibida, e poss vel selecionar os m odulos desejados os quais ir ao comp or o arquivo de backup. Para concluir, clique no bot ao Salvar Congura c oes. Lembre-se que, quanto mais m odulos voc e selecionar, mais espa co em disco ser a necess ario, principalmente ao selecionar os m odulos de e-mail e de alguns tipos de logs do sistema. A gura 14.2 a seguir, exibe a tela de sele ca o de m odulos do Backup do Nettion.

14.3. BACKUP

131

Figura 14.2: M odulos para backup Armazenamento Al em do arquivo de backup criado no Nettion R , e importante tamb em criar uma c opia deste arquivo em uma outra m aquina da sua rede, pois assim o backup pode ser facilmente armazenado em m dias pr oprias, criando assim jogos de backup. Para isso, clique na op c ao Armazenamento e preencha os campos conforme a descri c ao apresentada abaixo:

Figura 14.3: Compartilhamento Windows M aquina: nome da m aquina da rede onde ser ao realizadas as c opias do arquivo. Ex.: backup IP: IP correspondente ` a m aquina acima. Ex.: 128.0.021

132

CAP ITULO 14. SISTEMA Compartilhamento: nome do compartilhamento da m aquina. Ex.: bkpnettion Usu ario1 : login do usu ario com direito a gravar nestes diret orios. Ex.: Backup. Senha: senha para poder realizar o acesso ao compartilhamento. Ex.: senha. Obs.: A senha aparece sob m ascara. Ao m, clique no bot ao Salvar Congura co es, como mostra a gura 14.3 acima. Agendamento Na gura 14.4 a seguir, e exibida e tela onde denimos a periodicidade com que ser ao realizados os backups, especicando:

Figura 14.4: Congurando a freq u encia com que o backup ser a feito Freq u encia: periodicidade de realiza ca o do backup: di aria, semanal ou mensal. Ex.: semanal Dia: dia da semana ou do m es em que ser a realizado o backup. Caso a freq u encia escolhida tenha sido semanal, ser ao listados os dias da semana (domingo, segunda, ter ca, [...], s abado) nesta op c ao. Caso seja mensal, apresentar a os dias do m es (1, 2, 3, [...], 31). E, caso a freq u encia escolhida tenha sido di ario, esta op ca o estar a inativa. Ex.: segunda. Hor ario: hor ario em que ser a realizada a c opia de seguran ca. Ex.: 01 : 00 Ao concluir, clique em Salvar Congura c oes.

14.3.2

Manual

Vamos imaginar o caso em que, ap os terem sido adicionadas congura c oes ao produto, o administrador deseja realizar uma c opia de backup imediatamente, ao inv es de aguardar pela c opia a ser realizada pelo agendamento.
Caso o Nettion esteja sincronizado com um dom nio Windows, indique um usu ario/senha v alidas para o dom nio e certique-se que este usu ario tenha poder de escrita no compartilhamento selecionado.
1

14.3. BACKUP Neste caso, selecione os m odulos e inicie o backup clicando no bot ao Iniciar backup.

133

Figura 14.5: Backup manual

14.3.3
Hist orico

Relat orios

O hist orico dos backups ser a exibido com as seguintes informa co es: data, hora, arquivo e status. O status poder a ter um sinal verde ou vermelho. O primeiro, sinalizando que o backup foi realizado com sucesso e este u ltimo, sinalizando que a grava ca o do arquivo n ao foi executada com sucesso.

Figura 14.6: Hist orico de backups

134

CAP ITULO 14. SISTEMA Caso ocorra algum problema com o bakcup, o Nettion enviar a automaticamente um e-mail ao Administrador denido nas Congura co es B asicas do produto.

14.4

Restore

O processo de restaura ca o de um backup e extremamente simples. Primeiramente, sele poss cione o arquivo de backup e clique no bot ao Upload. E vel selecionar o arquivo, atrav es do bot ao Procurar... que abrir a uma janela de navega c ao no diret orio, ou clicar no bot ao Selecionar Arquivo, que apresentar a uma lista dos arquivos de c opia de seguran ca dispon veis para restaura ca o.

Figura 14.7: Restore O administrador deve selecionar o arquivo de backup desejado e clicar no bot ao Selecionar. Observa c ao: o arquivo de backup deve estar na mesma vers ao do Nettion instalado. Ap os a sele c ao do arquivo, por um dos meios citados, selecione dentre os m odulos contidos no backup quais ser ao restaurados e, em seguida, clique em Selecionar m odulos . N ao esque ca que o(s) m odulo(s) selecionado(s) ser a( ao) descompactado(s) e gravado(s) na m aquina sobrescrevendo os atuais dados, existentes para o m odulo correspondente. Este ATENC AO: e um processo muito simples, entretanto, extremamente delicado, pois, ao se recuperar um backup, dependendo do caso, estaremos sobrescrevendo as congura c oes atuais do sistema.

14.5. EXPURGO

135

14.5

Expurgo

Os diversos servi cos que rodam no Nettion R realizam constantemente o registro de suas atividades, chamados logs. O tamanho do(s) arquivo(s) de logs varia dependendo da quantidade de usu arios, da liberdade de acesso que estes tenham e da quantidade de servi cos ativos. Com o intuito de liberar espa co em disco, os logs mais antigos devem ser gradualmente apagados. Este processo recebe o nome de expurgo.

14.5.1

Congura co es

Status do disco por parti c ao

Figura 14.8: Status do disco por parti ca o O quadro mostra por parti c ao um gr aco em formato de pizza, que apresenta: 1. Em vermelho, o espa co do disco consumido; 2. Em amarelo, o espa co livre para a utiliza c ao com os seus respectivos percentuais.

Figura 14.9: Congura ca o da freq u encia de expurgo Para congurar o expurgo autom atico, deve-se informar e preencher o intervalo m nimo para os logs que ser ao mantidos e os m odulos cujos logs deseja-se apagar. Ap os isso,

136

CAP ITULO 14. SISTEMA deve-se dar um clique no bot ao Iniciar Expurgoe clicar em Salvar Congura co es. O processo de expurgo ser a iniciado. A escolha da periodicidade depende da quantidade de acessos que a empresa realiza e do espa co em disco ocupado.

14.5.2

Manual

O administrador pode efetuar, a qualquer tempo, um expurgo diferenciado do expurgo autom atico congurado, bastando informar qual o intervalo m nimo para os logs que ser ao mantidos e os m odulos cujos logs deseja-se apagar. Em seguida, clique no bot ao Iniciar Expurgo, para iniciar o processo de expurgo.

Figura 14.10: Formul ario de congura ca o de expurgo manual

14.6

Update

Por ser uma solu ca o baseada em software, o Nettion R est a em constante evolu ca o. Conseq uentemente, novas vers oes do sistema s ao lan cadas, disponibilizando ao administrador novas ferramentas que agregam uma maior funcionalidade a ` solu ca o. A notica ca o de novas vers oes s ao enviadas por e-mail ao clientes Nettion e tamb em s ao noticadas atrav es da barra superior do pr oprio software, que exibe uma mensagem em destaque indicando a exist encia de uma nova vers ao disponivel para atualiza ca o. Atrav es do update (menu Sistema Update), o administrador confere as novidades da vers ao lan cada em rela ca o a vers ao instalada. Veja a seguir como fazer o Update do seu Nettion. Na tela de update, temos dois quadros com os t tulos Passo 1 - Verica c ao das atualiza c oes e download e Passo 2 - Selecionar arquivo para update. Clicando no bot ao Vericar Atualiza c oes, no quadro 1, o Nettion R checar a a poss vel exist encia de uma vers ao mais recente. Caso n ao haja atualiza co es, a mensagem Sem atualiza c oes

14.7. GRAFICOS no momento! ser a exibida. Do contr ario, as vers oes mais recentes que ser ao listadas, incluindo as informa co es detalhadas de cada uma delas.

137

Figura 14.11: Verica c ao de Atualiza co es O pr oximo passo e fazer o download do arquivo de Update. Para isso, clique no bot ao Downloadno nal da p agina. Neste momento, de acordo com as condi c oes do seu contrato, o arquivo de atualiza ca o ser a fornecido.

Figura 14.12: Upload do arquivo de update Feito o download, volte a ` p agina anterior e inicie a atualiza ca o selecionando o arquivo correspondente a ` nova vers ao, atrav es do bot ao Procurar.... Ap os selecion a-lo, clique em Upload! e, na tela seguinte em Update para iniciar efetivamente a atualiza c ao do seu Nettion R . As congura c oes existentes no sistema ser ao mantidas, ou seja, todos os objetos, grupos, regras e demais informa co es permanecer ao como anteriormente. Caso exista alguma conseq u encia para o update, esta ser a avisada junto com o update.

14.7

Gr acos

O Nettion oferece gr acos de consumo dos recursos do seu equipemaneto que s ao u teis para avalia ca o de uma poss vel sobrecarga da m aquina. Veja a seguir os gr acos de consumo de CPU, Mem oria e Discos.

138

CAP ITULO 14. SISTEMA

14.7.1

CPUs

No gr aco de utiliza c ao da CPU, voc e pode obter um hist orico de uso do processador pelo usu ario e pelo sistema dentro de um per odo de tempo, sendo poss vel tamb em o acompanhamento em tempo real clicando no bot ao Start.

Figura 14.13: Gr aco de consumo de CPU

14.7.2

Mem oria

No gr aco de utiliza ca o da Mem oria, voc e pode obter um hist orico de uso tanto da mem oria principal quanto do SWAP dentro de um per odo de tempo, sendo poss vel tamb em o acompanhamento em tempo real, para isso clique no bot ao Start.

Figura 14.14: Gr aco de consumo de Mem oria

14.8. SOBRE

139

14.7.3

Discos

No gr aco de utiliza ca o dos Discos, voc e pode obter um hist orico de todos os dados lidos e escritos dentro de um per odo de tempo, para ver em tempo real, clique no bot ao Start.

Figura 14.15: Gr aco de utiliza ca o de Discos

14.8

Sobre

O administrador ter a acesso, nesta se c ao, aos dados referentes ` a licen ca e ` a vers ao do Nettion R .

Figura 14.16: Dados de licen ca do Nettion

14.9

Auditoria

Diariamente, diversas opera co es s ao realizadas no Nettion R Security Software tais como mudan cas de objetos, regras de rewall e de proxy, dentre outras. Para visualizar

140

CAP ITULO 14. SISTEMA e acompanhar todas as a c oes realizadas no Nettion R , voc e pode utilizar o servi co de auditoria. Ela informa a data de altera ca o, o m odulo e o sub-m odulo que foi alterado, qual a c ao foi realizada, o usu ario e o IP. Acesse o menu Auditoria atrav es de Sistema > Auditoria, conforme a gura 14.17 a seguir.

Figura 14.17: Auditoria de interven c oes realizadas no Nettion Dica! Congure os pers de usu ario para que o administrador do sistema tenha um usu ario pr oprio para a administra ca o do produto. Assim, o usu ario padr ao nettion ser a utilizado exclusivamente pela equipe de suporte.

14.10

Desliga/Reinicia

Caso haja necessidade, o administrador poder a reiniciar ou mesmo desligar o Nettion R , selecionando um dos bot oes desse t opico.

Figura 14.18: Reiniciar ou Desligar o Nettion

Cap tulo 15 NettionPlugs


15.1 O que s ao NettionPlugs?

Os NettionPlugs R s ao funcionalidades adicionais (plugins) que a Nettion Information Security desenvolveu pensando nas necessidades espec cas de cada cliente. Cada NettionPlug tem uma aplica ca o diferente. Assim, voc e decide qual plugin e o mais indicado para o seu neg ocio. Cada plugin pode ser instalado para avalia ca o por 15 dias. Ap os este per odo entre em contato com a sua revenda Nettion para fazer a aquisi c ao. A aquisi c ao dos NettionPlugs e muito f acil. Se a sua empresa j a possui o Nettion R , basta acessar o menu Sistemas, selecionar a op c ao Plugins e instalar a funcionalidade desejada. Voc e ainda ganha quinze dias totalmente gratuitos para testar a eci encia dos aplicativos.

15.2

Instalando os NettionPlugs

Para fazer a instala c ao de NettionPlugs no seu Nettion, acesse o menu Sistema > Plugins, conforme mostra a gura 15.1 abaixo e siga os seguintes passos:

Figura 15.1: Instala c ao dos NettionPlugs Na listagem que ser a exibida, o Nettion mostrar a todos os NettionPlugs disponibilizados pela NIS;

141

142

CAP ITULO 15. NETTIONPLUGS Clique no bot ao Instalar do plugin desejado. Observe que caso a sua vers ao seja anterior a requerida pelo plugin, esta op ca o estar a desabilitada. Neste caso atualize ser a necess ario atualizar o seu Nettion antes; Ap os a instala ca o, o sinalizador de status assumir a a cor verde caso a sua empresa j a tenha adquirido a licen ca do plugin, ou assumir a a cor laranja no caso de uma instala c ao para avalia c ao. Uma vez instalado, o plugin funcionar a de forma totalmente integrada ao Nettion e estar a dispon vel na a rvore de menu, assim como as outras funcionalidades.

15.3

Chat Server

O Chat Server e um NettionPlug desenvolvido pela NIS para ser o comunicador instant aneo da sua empresa. O programa tem como base o Jabber, conhecido como o melhor sistema de mensagens instant aneas para Linux. Criado seguindo os padr oes de qualidade da NIS, o Chat Server possui um servidor pr oprio para a troca de mensagens internas. Com isso, voc e evita a adi c ao de usu arios externos e assegura a produtividade dentro da empresa. O NettionPlug tamb em permite a comunica ca o com outras unidades de uma mesma rede. Al em de economizar tarifas telef onicas voc e ainda garante o sigilo e a seguran ca das mensagens trocadas, pois o aplicativo n ao est a sujeito a v rus e demais amea cas comuns a internet.

15.3.1

Congura co es

A congura c ao do Chat Server e bastante simples uma vez que seus usu arios e sua autentica ca o s ao totalmente integradas ao Nettion. Com isso, a integra c ao do Chat a ` sua organiza c ao torna-se ainda mais simples e r apida. Para congur a-lo, acesse o menu Chat Server > Congura c oes do seu Nettion. Na tela seguinte informe os dados a seguir, conforme mostrado na gura 15.2 abaixo.

Figura 15.2: Congura co es do Chat Server Dom nio: dom nio internet da sua empresa. Este dom nio far a parte da indentica ca o do usu ario para o servidor Chat;

15.3. CHAT SERVER E-mail do administrador: indique o e-mail do administrador do servidor Chat; Interface de funcionamento: Indique a interface de rede do Nettion que receber a as conex oes. E importante ressaltar que, se voc e selecionar somente a sua interface local, apenas as m aquinas da sua rede local conseguir ao conectar-se ao Chat server. Logo, se voc e selecionar somente a sua interface externa (interface ligada a internet), apenas as m aquinas na internet conseguir ao ter acesso ao Chat Server. Selecionando TODAS, tanto as suas m aquinas da sua rede local, como as m aquinas da internet conseguir ao se conectar.

143

15.3.2

Software Cliente (esta c oes)

Para que os usu arios acessem o Chat, e necess ario a utiliza c ao de algum software compat vel com o protocolo Jabber instalado em suas esta co es. Os softwares a seguir s ao bastante conhecidos e utilizados para este m: Windows Pandion Exodus Linux Kopete Gaim Congura c ao do software cliente Nas congura co es do software cliente, insira o IP interno do Nettion como sendo o servidor, e, para autenticar o usu ario utilize nomedousuario+@suaempresa.com.br, onde suaempresa.com.br e o dom nio utilizado nas congura co es do servidor (veja se ca o 15.3.1). Ex: joao@suaemprsa.com.br. A senha ser a de acordo com a autentica ca o integrada do Nettion, podendo ser no pr oprio Nettion, em um Windows Active Directory ou um servidor NIS (Linux).

15.3.3

Firewall

Para que as esta co es de rede tenham acesso ao servidor, e necess ario que voc e fa ca uma libera ca o no Firewall do Nettion. A porta a ser liberada, por padr ao, e a 5222 do protocolo TCP. Segue um resumo da regra de Firewall a ser criada na tabela 15.1 abaixo. Regra: Intranet Nettion Origem Destino Serv. Destino A ca o Intranet localhost Chat Server1 Aceitar Tabela 15.1: Libera ca o do Chat Server Observe que esta regra est a contemplando o acesso do objeto Rede Interna ao Chat Server do Nettion. Inclua outras redes caso necess ario.
Crie um objeto de servi co para esta porta chamado Chat Server com a porta TCP 5222 - veja Cap tulo 4 Objetos.
1

144

CAP ITULO 15. NETTIONPLUGS

15.3.4

Iniciando o servi co Chat Server

Para iniciar o servi co, clique no menu Sistema > Servi cos. Depois clique no bot ao Start referente ao servi co Chat Server. Para manter o servi co sempre ativo no boot do Nettion, marque a caixa Auto e clique em Ativar mudan cas para os servi cos selecionados.

15.3.5

Mais informa co es

Acesse tamb em o Passo a Passo dispon vel no site do Nettion (www.nettion.com.br) para mais informa c oes de como congurar o servidor e os clientes deste plugin.

15.4

Blitz

Blitz e o NettionPlug respons avel pelo controle e gerenciamento do uso de MSN nas empresas. Foi desenvolvido para organiza co es que necessitam usar comunicadores instant aneos para contatos comerciais. Al em de controlar os n veis de permiss ao de MSN por usu ario ou grupo de usu arios, o Blitz possibilita a administra ca o de listas de contatos. Assim, se a sua empresa precisa utilizar IM para se relacionar com contatos externos, com o NettionPlug voc e garante que a comunica c ao seja estabelecida para ns apropriados. O Blitz e um plugin totalmente web (integrado ao Nettion), ou seja, n ao e necess ario a aquisi ca o de um novo hardware para a sua instala ca o. Facilmente adquirido, o aplicativo possui interface intuitiva e de simples administra c ao atrav es de um wizard. A funcionalidade foi desenvolvida pela NIS, visando o aumento da produtividade do seu neg ocio, bem como a redu c ao do consumo de banda e tarifas telef onicas.

15.4.1

Como funciona?

O Blitz funciona como uma esp ecie de servidor Proxy (Socks5) que tem a fun ca o de poss intermediar o acesso MSN da sua rede, fazendo toda a ltragem do acesso. E vel estabelecer, atrav es de suas regras, quais usu arios ter ao acesso ao MSN e at e com quais contatos eles poder ao se comunicar, al em da auditoria das conversas. Para isso, e necess ario bloquear qualquer outra forma de acesso do MSN e congurar nas esta co es (congura c oes do MSN) o Nettion como servidor Socks e Proxy obrigatoriamente. Veja agora como evitar o acesso direto ao MSN.

15.4.2

Bloqueando o acesso direto ao MSN

Por padr ao o software MSN procura v arias alternativas de comunica ca o com seu servidor na Internet, e para for carmos a sua saida somente via Blitz, e necess ario bloquear tais alternativas de acesso direto. Caso as esta c oes da sua rede estejam utilizando o Proxy do Nettion, algumas congura co es devem ser feitas:

15.4. BLITZ 1. Bloquear a express ao gateway.dll, e para isso siga os seguintes passos: Crie um grupo de objetos de express oes chamado Bloquear MSN. Qualquer d uvida a respeito de como congurar os objetos de express oes, veja o Cap tulo 4 - Objetos. Inclua neste grupo o termo gateway.dll como sendo do tipo palavra, n ao-inteira, qualquer posi ca o. 2. Criar uma regra no seu Proxy bloqueando o grupo de express oes criado acima. Aplique esta regra a todos os usu arios ou aos usu arios que voc e deseja bloquear o acesso direto ao MSN. Crie esta regra na primeira posi ca o para evitar que outra regra mais gen erica libere o acesso. Qualquer d uvida sobre regras de Proxy, acesse o Cap tulo 6 - Proxy. 3. Liberar algumas URLS que o MSN utiliza para fazer a autentica c ao do usu ario em seu servidor. Da mesma forma, crie um grupo de express oes chamado Liberar logon MSN e nele inclua os seguintes termos como sendo do tipo express ao regular:

145

nexus.passport.com:443 login.live.com:443 loginnet.passport.com:443 omega.contacts.msn.com:443 storage.msn.com:443 Install Messenger.exe 4. Criar outra regra no Proxy liberando este grupo de express oes. Voc e pode liberar para qualquer usu ario uma vez que o controle vai car no pr oprio Blitz. Crie esta regra na posi ca o 2, ap os a regra de bloqueio do MSN. Qualquer d uvida sobre regras de Proxy, acesse o Cap tulo 6 - Proxy. Tamb em e necess ario criar regras no rewall que impe cam qualquer tentativa de acesso ao MSN atrav es de um poss vel mascaramento. Para isso, deve-se criar no rewall uma regra bloqueando o acesso de toda a intranet (ou pelo menos dos IPs dos usu arios que dever ao acessar via Blitz) ` as redes da Microsoft (65.52.0.0/14 e 207.46.0.0/16) nas portas 1863/TCP, 80/TCP e 443/TCP. Esta regra deve car nas primeiras posi co es, assegurando assim que ela que acima de qualquer mascaramento existente (salvo os mascaramentos de usu arios que, porventura, n ao acessem o MSN via Blitz) como mostra a tabela 15.2. Regra: Intranet -> Microsoft Origem Destino Serv. Destino Rede Interna Range MS1/Range MS2 msn/http/https

A ca o Bloquear

Tabela 15.2: Bloqueando o acesso ao MSN via mascaramento Obs1: Antes de criar a regra, crie objetos de Hosts e Redes contendo as ranges da Microsoft aqui citadas (por exemplo RangeMS1 e RangeMS2). Para maiores informa c oes sobre como criar objetos de Hosts e Redes, veja o Cap tulo 4 Objetos.

146

CAP ITULO 15. NETTIONPLUGS Obs2: Crie tamb em um objeto de servi co com a porta 1863/TCP chamado msn. Para maiores informa co es sobre como criar objetos de servi cos, veja o Cap tulo 4 Objetos. Obs3: Os servi cos http e https tamb em devem ser inclusos na regra de bloqueio. Veja a regra de resumo a seguir na tabela 15.2.

15.4.3

Auditoria

Todas as conversas realizadas via Blitz s ao auditadas. Para acompanhar as conversas, clique no menu Blitz > Auditoria, todas as conversas ser ao exibidas por data. Para visualizar o conte udo de uma conversa, selecione-a e clique no bot ao itens, como mostra a gura 15.3 abaixo.

Figura 15.3: Auditoria de Conversas do Blitz

15.4.4

Firewall

Agora e necess ario liberar que o pr oprio Nettion fa ca conex oes a partir do servi co Blitz. Para isso e preciso criar uma regra liberando o tr afego partindo do Nettion com destino a porta 1863/TCP, como segue na regra de resumo a seguir na tabela 15.3. Regra: Blitz -> Internet Origem Destino Serv. Destino A ca o localhost Qualquer msn Aceitar Tabela 15.3: Liberando o servi co Blitz

15.4. BLITZ Obs: antes de criar a regra, verique a exist encia de alguma regra que j a contemple esta libera ca o, caso contr ario, crie antes de criar a regra sugerida um objeto de servi co com a porta 1863/TCP chamado msn. Para maiores informa c oes sobre como criar objetos de servi cos, veja o Cap tulo 4 - Objetos. Al em desta regra, e necess ario tamb em liberar o acesso da rede interna ao servi co Blitz, que funciona por padr ao na porta TCP 1080. Veja a regra de resumo a seguir na tabela 15.4. Regra: Intranet -> Blitz Origem Destino Serv. Destino A ca o Rede Interna localhost blitz Aceitar Tabela 15.4: Liberando acesso ao Blitz Obs: antes de criar a regra, verique a exist encia de alguma regra que j a contemple esta libera ca o, caso contr ario, crie antes de criar a regra sugerida um objeto de servi co com a porta 1080/TCP chamado blitz. Para maiores informa c oes sobre como criar objetos de servi cos, veja o Cap tulo 4 - Objetos.

147

15.4.5

Congura co es

Assim como o Proxy e o Firewall do Nettion, o Blitz tamb em possui uma pol tica de padr ao de acesso. Ela vai denir o que ser a feito caso o usu ario n ao se encaixe em alguma regra de acesso, que ser ao vistas mais ` a frente. A pol tica padr ao e congurada atrav es do menu Blitz > Congura c oes. Neste menu, tamb em e poss vel denir se os usu arios ser ao avisados que as suas conversas estar ao sendo auditadas e gravadas. Para isso, marque a op c ao Habilitar notica c ao de auditoria no in cio da sess ao como mostra a gura 15.4 abaixo.

Figura 15.4: Congura co es B asicas do Blitz

148

CAP ITULO 15. NETTIONPLUGS Normalmente a pol tica padr ao e denida como Negar qualquer acesso e atrav es das regras s ao liberados somente os usu arios que realmente tenham que acessar o MSN, bem como os contatos com os quais podem se comunicar.

15.4.6

Cataloga c ao autom atica de contatos

Atrav es dos menus Contatos e Grupos do Blitz voc e pode inserir manualmente os contatos com quem seus usu arios poder ao se comunicar com mostra a gura 15.5 abaixo.

Figura 15.5: Inclus ao Manual de um Contato Por em, o Blitz oferece uma maneira autom atica de cataloga c ao destes contatos, que ocorre 1 no momento em que o usu ario faz a sua primeira conex ao atrav es do Blitz. Este processo facilita bastante a manuten c ao das regras, como ser a visto mais ` a frente. Na guia Passports de Usu arios, e poss vel ver os contatos organizados por cada passport. Para ver os contatos de um passport, selecione-o e clique no bot ao Itens como mostra a gura 15.6 a seguir.

Figura 15.6: Visualiza ca o de Contatos por Passaporte

15.4.7

Regras

O Wizard de cria c ao das regras do Blitz e muito semelhante ao dos outros servi cos do Nettion, como o Firewall e o Proxy.
1

Nas conex oes seguintes o Blitz s o faz a manuten c ao destes contatos, incluindo ou excluindo, conforme necess ario.

15.4. BLITZ Para criar regras no Blitz, clique no menu Blitz > Regras e siga os passos a seguir: Passo 1: Na tela de listagem de regras, clique no bot ao Incluir, conforme exibido na gura 15.7 a seguir.

149

Figura 15.7: Listagem/Inclus ao de Regras do Blitz

Passo 2: Na primeira tela do Wizard, dena uma descri c ao para a regra, uma a ca o, a posi ca o (dene a ordem de priodidade da regra) e, por m, selecione o status da regra, como exibido na gura 15.8 a seguir.

Figura 15.8: Descri c ao da Regra no Blitz

Passo 3:

150

CAP ITULO 15. NETTIONPLUGS Na tela seguinte, selecione o hor ario em que a regra ser a aplicada, de acordo com os objetos de hor arios previamente denidos, veja a gura 15.9.

Figura 15.9: Sele c ao de Hor ario para Regra no Blitz Passo 4: Nesta tela voc e denir a com quais contatos os usu arios poder ao se comunicar. Em Filtros de Origem selecione o(s) usu ario(s), e em Filtros de Destino selecione o(s) contato(s) permitidos para este(s) usu ario(s). Veja gura 15.10.

Figura 15.10: Sele ca o de Usu arios e Passaportes da Regra Passo 5: Na u ltima tela do Wizard, voc e dene se ser a permitido para o(s) usu ario(s) da regra bate-papo e/ou transfer encia de arquivos com o(s) contato(s) selecionados. Para nalizar a cria c ao da regra, clique no bot ao Concluir. Veja gura 15.11 a seguir.

15.4. BLITZ

151

Figura 15.11: Deni ca o das Atividades Permitidas via Blitz

15.4.8

Iniciando o servi co Blitz

Para iniciar o servi co, clique no menu Sistema > Servi cos. Depois clique no bot ao Start referente ao servi co Blitz. Para manter o servi co sempre ativo no boot do Nettion, marque a caixa Auto e clique em Ativar mudan cas para os servi cos selecionados.

15.4.9

Congurando as esta c oes

Agora e necess ario fazer a congura ca o das esta c oes, apontando no MSN o IP do Nettion Blitz. Dependendo da vers ao do MSN, o local da congura ca o pode variar. Por em, de um modo geral, voc e deve indicar o servidor socks e http do seu MSN. Geralmente o caminho e Ferramentas > Op c oes > Conex ao. Aponte para o IP do Nettion o servi co socks e http proxy. E necess ario que voc e tamb em indique as informa c oes de autentica c ao do usu ario (usu ario e senha).

Figura 15.12: Congura c oes de Conex ao do MSN via Blitz

152

CAP ITULO 15. NETTIONPLUGS

15.4.10

Mais informa c oes

Acesse tamb em o Passo a Passo dispon vel no site do Nettion (www.nettion.com.br) para mais informa c oes de como congurar o servidor e os clientes deste plugin.

15.5

OpenVPN

O OpenVPN e mais uma forma de VPN oferecida pelo Nettion. Atrav es deste recurso voc e pode interligar redes entre matriz e liais, ou permitir que um usu ario externo acesse a sua rede de forma simples e segura. Um grande diferencial do OpenVPN e sua possibilidade de operar mesmo em ambientes de internet com mascaramento(NAT), como em redes de hoteis, cyber-caf es ou aeroportos. Ap os a instala ca o (ver t opico 15.2 deste cap tulo), voc e acessa este plugin atrav es do menu VPN > OpenVPN do seu Nettion. Ele oferece dois tipos de conex oes, coforme ser a mostrado a seguir:

15.5.1

Nettion-Nettion

Esta op ca o permite interligar duas ou mais redes atrav es da VPN (como interligar liais a ` Matriz). Cada uma com um Nettion e com o Plugin OpenVPN instalado. Neste caso, um dos Nettions vai ser o servidor da VPN e o outro ser a o Cliente.

15.5.2

Congurando o Servidor OpenVPN

Para congurar uma conex ao OpenVPN Nettion-Nettion, acesse o menu VPN > OpenVPN > Nettion-Nettion > Conex oes. A seguinte tela ser a exibida:

Figura 15.13: Listagem das Conex oes OpenVPN Para criar uma nova conex ao, clique no bot ao Incluir. Os seguintes passos devem ser seguidos: Passo 1: Na primeira p agina do Wizard dena os seguintes campos:

15.5. OPENVPN Tipo: Servidor; Nome: identique o nome da conex ao; Status: Ativo; Porta: o Nettion j a oferece uma sugest ao de porta automaticamente. Cada t unel OpenVPN funcionar a em uma porta diferente - lembre-se de criar a regra de Firewall correspondente a esta porta para liberar a conex ao VPN; Protocolo: UDP (padr ao); Compress ao LZO: aplique para otimizar o tr afego dentro da VPN com a compress ao dos dados. Veja a gura a seguir:

153

Figura 15.14: Cria c ao da Regra OpenVPN Passo 2: Na p agina seguinte dena: Local IP: indique o IP/Hostname pelo qual o(s) Nettion(s) cliente(s) encontrar ao este Nettion; IP Virtual: indique um IP virtual para conex ao entre os Nettions ap os o estabelecimento da VPN. Ex: 192.168.200.1; Redes: indique a(s) rede(s) locais que far ao comunica c ao com a(s) rede(s) remota(s); Remoto IP: indique o IP do Nettion cliente. Caso ele n ao possua um IP xo, deixe este campo em branco. IP Virtual: este campo ser a preenchido automaticamente. Redes: indique a(s) rede(s) remotas que far ao comunica ca o com a(s) rede(s) locais(s); Clique no bot ao Concluir para criar a conex ao. Veja a gura a seguir:

154

CAP ITULO 15. NETTIONPLUGS

Figura 15.15: Deni c ao das Redes da Conex ao OpenVPN Congurando o Cliente OpenVPN Agora que o servidor est a criado, e hora de congurar o(s) Nettion(s) cliente(s). Para facilitar esta tarefa, o Nettion servidor da VPN oferece a exporta ca o do arquivo que faz toda a congura ca o do cliente. Para exportar o arquivo, acesse o Nettion Servidor da OpenVPN, v a at e a listagem de conex oes e clique duas vezes na conex ao servidor que voc e acabou de criar. Na tela seguinte, em Exportar congura c oes para clientes Nettion, dena uma senha de seguran ca para o arquivo e clique em no bot ao Exportar. Em seguida, salve o arquivo para que seja utilizado na congura ca o do Nettion cliente. Veja a imagem a seguir:

Figura 15.16: Exporta c ao do arquivos de Congura ca o do Cliente Nettion OpenVPN Agora, acesse o Nettion cliente da VPN e siga os passos a seguir: Acesse o menu VPN > OpenVPN > Nettion-Nettion > Conex oes;

15.5. OPENVPN Na tela seguinte, da listagem de conex oes, clique no bot ao Incluir; Na primeira p agina do Wizard dena os seguintes campos: Tipo: Selecione agora o tipo Cliente; Nome: indique um nome para a conex ao; Em Importar congura co es, selecione o arquivo exportado pelo servidor, insira a senha de seguran ca do arquivo e clique em Importar. Neste momento o Nettion importar a toda a congura ca o necess aria da conex ao. Clique no bot ao Concluir conforme a gura a seguir.

155

Figura 15.17: Importa ca o do arquivo de Congura ca o do OpenVPN

Firewall Como comentado anteriormente, cada t unel OpenVPN funciona em uma porta diferente, de acordo com a sua congura c ao no momento de criar o t unel servidor. Para que as conex oes possam ser estabelecidas, libere no seu Firewall a conex ao entre os servidores nas portas utilizadas. Supondo que o servidor esteja congurado para a porta 1184/UDP, crie um objeto de servi co com esta porta e crie uma regra de Firewall conforme mostrado na tabela 15.5: Regra: Liberando servidor OpenVPN Origem Destino Serv. Destino A ca o ClienteOpenVPN localhost openvpn1 Aceitar Tabela 15.5: Acesso ao servidor OpenVPN Neste caso, estamos liberando apenas para o objeto ClienteOpenVPn conectar ao servidor. Caso n ao seja poss vel identicar a origem da conex ao, deixe a origem em branco (Qualquer). Al em da regra para permitir a interliga ca o entre os Nettions, e necess ario tamb em liberar o tr afego entre as redes da VPN de acordo com as suas necessidades. Veja resumo da regra necess aria na tabela 15.6.

156

CAP ITULO 15. NETTIONPLUGS Regra: Liberando tr afego dentro da VPN Origem Destino Serv. Destino A ca o Rede Local Rede Remota Qualquer Aceitar Tabela 15.6: Liberando Tr afego dentro da VPN Iniciando o servi co OpenVPN Agora que o servidor e o cliente est ao devidamente congurados, inicie o servi co OpenVPN em cada Nettion (servidor e cliente) no menu Sistema > Servi cos. Por u ltimo, inicie o t unel. Atrav es da tela de listagem das conex oes clique no bot ao Start correspodente a ` conex ao criada para iniciar o t unel entre os Nettions (Veja o t opico 15.5.2). Neste momento o status indicativo da conex ao deve car verde e as esta co es das redes j a podem se comunicar entre si. Caso n ao, verique se n ao esqueceu algum passo acima.

15.5.3

Nettion-Usu arios

Esta modalidade de OpenVPN permite a conex ao segura de usu arios externos a ` sua organiza c ao. Atrav es do t unel estabelecido, os usu arios podem ter acesso aos recursos da rede como compartilhamentos, sistemas e impressoras de acordo com a pol tica de seguran ca adotada, como se estivessem conectados localmente ` a rede. Como comentado anteriormente, um dos grandes diferenciais deste plugin e sua possibilidade de operar mesmo em ambientes de internet com mascaramento(NAT), como em redes de hoteis, cyber-caf es ou aeroportos. Outras caracter sticas importantes s ao a sua facilidade de congura c ao (tanto servidor quanto clientes) e a sua exibiliza ca o quanto a ` autentica ca o dos usu arios, que opera juntamente com a autentica ca o centralizada do Nettion.

15.5.4

Congura co es

Para congurar o servidor OpenVPN, acesse VPN > OpenVPN > Nettion-Usu arios > Congura c oes e siga os passos a seguir: Passo 1: Na primeira p agina da tela de congura ca o informe os seguintes itens: Status: indique o status do servidor - Ativo; Nome da conex ao: indique um nome para a conex ao - o Nettion j a far a uma sugest ao; Interface de funcionamento: aqui voc e pode escolher uma interface espec ca (a que possui IP p ublico) ou Todas para esperar conex oes em qualquer interface; IP do Servidor: indique o IP atrav es do qual seu Nettion ser a encontrado pelos clientes. Geralmente ser a o IP p ublico do seu Nettion, mas em situa co es onde o Nettion est a sendo mascarado (NAT) por um roteador, por exemplo, indique o IP p ublico do roteador; Rede virtual - Rede que ser a criada entre o Nettion e os usu arios conectados

15.5. OPENVPN Rede: ser a a rede virtual - o Nettion j a far a a indica c ao autom atica; Marcara da rede: indique a m ascara da rede - o Nettion tamb em indicar a; IP do servidor: ser a o IP do Nettion dentro da rede virtual; IPs dos clientes: ser a o intervalo de IPs que ser a fornecido aos clientes da VPN;

157

Redes acessadas pelos usu arios - Redes que o nettion fornece acesso para usu arios conectados; Selecione para a coluna da esquerda as redes locais que ser ao oferecidas aos usu arios da VPN; Veja a tela a seguir:

Figura 15.18: Congura c ao da Conex ao Nettion-Usu arios Passo 2: Na p agina de Controle de Acesso indique: Por padr ao os usu arios v alidos (autenticados) da rede ter ao acesso. Mas e poss vel especicar quais usu arios ter ao acesso. Para isso, selecione a op c ao Permitir apenas os usu arios selecionados; Em Grupos e Usu ario, especique quais grupos e/ou usu arios ter ao permiss ao de acesso. Como dito anteriormente, os usu arios ser ao autenticados, no momento da conex ao, na base indicada no sistema de Autentica c ao centralizada do Nettion. Obs 1.: Para criar um usu ario e conceder-lhe o acesso via OpenVPN ele deve ser criado antes da cria ca o da regra do OPenVPN. Para isso veja como proceder para a cria c ao de Usu arios no cap tulo 5 deste manual; recomend Obs 2.: E avel que sejam selecionados SOMENTE os usu arios que devem ter acesso a ` VPN para evitar a a ca o de usu arios mal-intencionados; recomend Obs 3.: E avel o uso de senhas fortes, ou seja, senhas que contenham letras (mai usculas e min usculas), n umeros e caracteres especiais.

158 Veja a gura a seguir:

CAP ITULO 15. NETTIONPLUGS

Figura 15.19: Sele ca o de Usu arios para Acesso via OpenVPN Passo 3: Na p agina de congura co es Avan cadas indique: Porta: o Nettion j a sugere a porta de conex ao; Procoloco: o protocolo padr ao e o UDP; Compress ao LZO: utilize compress ao para otimizar o tr afego dentro do t unel; Tipo do servidor: utilize a op c ao Tunel para ponto a ponto (padr ao) ou Ethernet para conex ao semelhante a uma rede Ethernet; Permitir conex ao entre clientes: Por padr ao a conex ao entre clientes e permitida. Veja a seguinte gura:

Figura 15.20: Especica c oes Avan cadas da Conex ao OpenVPN

15.5. OPENVPN

159

15.5.5

Conex oes Ativas

Em Conex oes Ativas ser ao listadas as conex oes VPN atualmente estabelecidas ao Nettion. Na listagem e poss vel identicar o nome do Usu ario, data e hora em que a conex ao foi etabelecida e e poss vel tamb em desconectar o usu ario atrav es do bot ao Stop. Veja gura 15.21.

Figura 15.21: Lista de Usu arios Ativos

Relat orios Em VPN > OpenVPN > Nettion-Usu arios > Relat orios > Conex oes voc e tem acesso ao hist orico de conex oes feitas ao servidor OpenVPN. Atrav es do ltro, e poss vel fazer buscas detalhadas sobre os acessos feitos, como mostra a gura 15.22 abaixo.

Figura 15.22: Relat orio de Acessos do OpenVPN

Firewall Para que os usu arios externos possam conectar-se ao Nettion e necess ario fazer uma libera c ao no Firewall do Nettion. Para isso crie uma regra permitindo o acesso de Qualquer host (Internet) em dire ca o ao Nettion na porta estabelecida para o servidor. Supondo que o servidor esteja congurado para a porta padr ao, 1183/UDP, crie um objeto de servi co com esta porta chamado openvpn-clientes, e crie uma regra de Firewall conforme mostrado na tabela 15.7:

160

CAP ITULO 15. NETTIONPLUGS Regra: Liberando servidor OpenVPN Origem Destino Serv. Destino A ca o Qualquer localhost openvpn-Clientes Aceitar Tabela 15.7: Acesso ao servidor OpenVPN Al em da regra para permitir a interliga ca o dos clientes ao Nettions, e necess ario tamb em liberar o tr afego entre as redes locais permitidas e a rede virtual congurada. Veja resumo da regra necess aria na tabela 15.8. Regra: Liberando tr afego dentro da VPN Origem Destino Serv. Destino A ca o Rede Local Rede Virtual Qualquer Aceitar Tabela 15.8: Liberando Tr afego dentro da VPN Observa c ao: o objeto Rede Virtual corresponde ao IP estabelecido na congura c ao do servidor OpenVPN - veja se c ao 15.5.4. Iniciando o servi co OpenVPN Inicie o servidor OpenVPN atrav es do menu Sistema > Servi cos. Para obter mais informa c oes sobre como iniciar servi cos no Nettion, consulte o t opico 14.1. Congura c ao dos clientes Nas esta co es clientes Windows, baixe e instale o software OpenVPN Client. A instala c ao nas esta c oes e bastante simples e segue o padr ao de instaladores de software para esta plataforma.

Figura 15.23: Exporta c ao das Congura c oes para o OpenVPN Client Uma vez instalado, e hora de fazer a congura ca o. Para facilitar esta tarefa, o Nettion servidor da VPN oferece a exporta ca o do arquivo que faz toda a congura c ao do cliente. Veja a gura acima.

15.6. DNS Para exportar este arquivo, entre novamente nas congura co es do OpenVPN NettionUsu arios e clique no bot ao Download. Caso esta op ca o ainda n ao esteja dispon vel e porque a congura ca o do servidor ainda n ao foi efetuada. Agora, na esta ca o Windows, com o OpenVPN Client instaldo, clique com o bot ao direito no cone do OpenVPN Client e escolha a op ca o Nova Conex ao (Nettion). Na janela seguinte, selecione o arquivo exportado pelo Nettion. Com isso a congura c ao estar a nalizada. Obs.: Ap os a instala ca o, note que um novo cone aparecer a ao lado do rel ogio do Windows, na barra do menu Iniciar.

161

Figura 15.24: Importa ca o do Arquivo de Congura c ao no OpenVPN Client Agora e hora de conectar. para isso, clique novamente com o bot ao direito no cone do OpenVPN Client e escolha a op c ao Conectar. Neste momento aparecer a uma tela solicitando seu nome de usu ario e senha para autentica ca o no Nettion. Lembrando que esta autentica c ao e feita de acordo com a autentica ca o centralizada congurada no seu Nettion. Ap os a conex ao acesse a sua rede normalmente.

15.5.6

Mais informa co es

Acesse tamb em o Passo a Passo dispon vel no site do Nettion (www.nettion.com.br) para mais informa c oes sobre a congura c ao deste plugin.

15.6

DNS

DNS e o NettionPlug respons avel pelas resolu co es de nomes diretos e reversos. O DNS e um sistema hier arquico. O mais alto n vel e representado por . e denominado raiz. Sob . h a diversos Dom nios de Alto N vel (TLDs), sendo ORG, COM, EDU e NET os mais conhecidos.

162

CAP ITULO 15. NETTIONPLUGS Existem 13 servidores DNS raiz no mundo todo e sem eles a Internet n ao funcionaria. Destes, dez est ao localizados nos Estados Unidos da Am erica, um na Asia e dois na Europa. Para Aumentar a base instalada destes servidores, foram criadas R eplicas localizadas por todo o mundo, inclusive no Brasil desde 2003. Ou seja, os servidores de diret orios respons aveis por prover informa co es como nomes e endere cos das m aquinas s ao normalmente chamados servidores de nomes. Na Internet, o servi co de nomes usado e o DNS, que apresenta uma arquitetura cliente/servidor, podendo envolver v arios servidores DNS durante a resposta a uma consulta.

15.6.1

Como funciona?

A Arquitetura do servi co DNS e distribuida em Masters e Slaves. O primeiro e o re spons avel e deve ser alterado inicialmente. E ele quem notica os outros servidores, onde est ao as replicas das informa c oes. Esses s ao chamados de Slaves, pois apenas recebem as informa c oes do Master. Existem dois tipos de resolu co es: uma direta, quando queremos encontrar um IP de um nome, e outra quando temos um IP e queremos saber o seu nome. Esta segunda forma tem uma organiza ca o diferenciada e garante que um determinado IP e de uma rede conhecida. Por exemplo, um servidor de E-Mail (SMTP) recebe uma conex ao do host de origem reconhecido por 192.168.5.4. Para este IP poder enviar e-mails tem que ter o reverso congurado. Isto, para prevenir uma poss vel fraude. Os dom nios reversos est ao na arvore in-addr.arpa. Esta arvore n ao est a aberta ao p ublico. Por isso, e con avel. No exemplo acima o reverso do IP seria 4.5.168.192.in-addr.arpa. Ap os a instala c ao, voc e acessa este plugin atrav es do menu DNS > Dom nios.

Figura 15.25: Demonstra ca o de um esquema de DNS

15.6.2

Dom nios Masters

Esta modalidade permite que voc e crie e gerencie seus dom nios Masters. Existem dois campos que aparecem somente na cria c ao do dom nio: SOA e NS, itens necess arios ao funcionamento de qualquer DNS. O SOA (Start Of Autority) e o servidor de consulta ele quem determinar inicial. E a os outros nomes do dom nio. O NS e a autoridade do dom nio ele pode ser usado para resolver os nomes do dom nio, mas geralmente e utilizado para desafogar o SOA.

15.6. DNS Para congurar um dom nio, acesse no menu DNS > Dom nios e clique no bot ao Incluir. Na primeira tela do wizard de inclus ao, congure: Nome: Nome do dom nio que voc e ir a criar; Descri c ao: Descri ca o do dom nio a qual voc e ir a gerenciar; Tipo: O tipo de dom nio que voc e ir a criar. Neste caso Master; Status: Ativo; SOA: In cio da autoriade do dom nio (Somente na cria ca o do master); NS: NS do dom nio master. Como mostra a gura abaixo.

163

Figura 15.26: Congura c ao de um Dom nio DNS Na segunda tela do wizard, selecione os servidores slaves que ser ao noticados pelo master, lembrando que a toda a lista de Itens do tipo NS ser ao noticados tamb em.

Figura 15.27: Sele ca o de Slavers DNS Na terceira tela do wizard (Bot ao de congura co es avan cadas), que e opcional, congure:

164

CAP ITULO 15. NETTIONPLUGS TTL: Tempo de validade das informa co es de cache em outros servidores; Expira em: Tempo total de tentativas de atualiza ca o; Atualiza em: Tempo requerido para a atualiza c ao; Retenta em: Tempo de retentativas em caso de falhas nas atualiza co es; Postmaster: E-mail do administrador do dom nio; Veja a gura.

Figura 15.28: Congura c oes Avan cadas de um Dom nio DNS

15.6.3

Itens do Dom nio Master

Para acessar esta modalidade, selecione o dom nio ao qual se deseja incluir os itens e clique no bot ao Itens, no lado direito e inferior da tela. Na janela seguinte, clique no bot ao Incluir. Na tela que ser a exibida, informe: No campo Tipo: Denir o tipo do item. Existem 6 tipos de de itens: SOA: Start of Authority, marca o come co dos dados de uma zona e dene par ametros que afetam a zona inteira. NS: Identica o servidor de nomes de um dom nio. MX: Mail eXchange, Lista de servidores de e-mail para entrega (SMTP). A: Resolu ca o direta de um nome para um IP. CNAME: Dene um alias para um hostname. PTR: Mapeia o endere co para um hostname. TXT: Permite a cria ca o de registros SPF, DKIM (DomainKeys ) e fornecimento de informa c oes adicionais. Exemplo: SPF: example.net. IN TXT v=spf1 a mx ip4:192.0.2.32/27 -all DKIM: mail. domainkey.example.net. IN TXT g=\; k=rsa\; t=y\;p=MF...XYZ INFO: example.net. IN TXT em caso de problema ligue (85)4005-1188

15.6. DNS Campo descri ca o: Descri c ao para o gerenciamento dos itens; Campo Prioridade: Denir a prioridade do servidor MX; Campo IP/Host: Para denir hosts de resolu c oes aos tipos PTR, A e CNAME; Campo Resolve em: Usado para determinar a resolu ca o do nome ou tipo; Campo Status: Denir o status do item;

165

Figura 15.29: Inclus ao de Itens no Dom nio DNS

15.6.4

Dom nios Slaves

Esta modalidade permite que voc e crie e gerencie seus dom nios Slaves. Para isso, acesse no menu DNS > Dom nios e clique no bot ao Incluir. Na primeira tela do wizard de inclus ao, congure: Nome: Nome do dom nio que voc e ir a criar; Descri c ao: Descri ca o do dom nio a qual voc e ir a gerenciar; Tipo: O tipo de dom nio que voc e ir a criar. Neste caso Slave; Status: Ativo;

Figura 15.30: Inclus ao de Dom nio Slave no DNS

166

CAP ITULO 15. NETTIONPLUGS Na segunda tela do wizard, selecione os servidores Masters que ele deve sincronizar. Deve ser selecionado obrigatoriamente um servidor1 , como mostra a gura abaixo.

Figura 15.31: Sele ca o de Masters DNS

15.6.5

Itens do Dom nio Slave

Os itens do dom nio Slave ser ao todos os itens importados do dom nio Master.

15.6.6

Dom nios Reversos

Os dom nios reversos s ao tipos especiais. Sua sintax e in-addr.arpa. Eles seguem Ao lado do campo NOME, existe um bot ao chamado GERAR O REVERSO, no wizard de cria ca o, que facilitar a o trabalho. Ao ser clicado, ele solicitar a o ip/m ascra no formato xxx.xxx.xxx.xxx/yyy.yyy.yyy.yyy. Assim, o nome ser a mudado para o formato correto.

15.6.7

Iniciando o servi co DNS

Inicie o servidor DNS atrav es do menu Sistema > Servi cos > Servidor de Nomes. Para obter mais informa co es sobre como iniciar servi cos no Nettion, consulte o t opico 14.1.

15.6.8

Firewall com DNS

Para que os usu arios externos possam conectar-se ao Nettion e necess ario fazer uma libera ca o no Firewall do Nettion. Para isso, crie uma regra permitindo o acesso de qualquer host (Internet) em dire ca o ao Nettion, na porta estabelecida para o servidor. Supondo que o servidor esteja congurado para a porta padr ao, 53/UDP 53/TCP, utilize o servi co predenido DNS e crie uma regra de Firewall, conforme mostrado na tabela 15.9:
1

Crie um objeto com o nome do servidor e seu IP associado. Veja o cap tulo 4 - Objetos

15.7. GETMAIL Regra: Liberando servidor DNS Origem Destino Serv. Destino A ca o Qualquer localhost DNS Aceitar Tabela 15.9: Acesso ao servidor DNS

167

15.6.9

Mais informa co es

Para maiores informa c oes sobre a congura ca o deste plugin, acesse tamb em o Passo a Passo, dispon vel no site do (www.nettion.com.br).

15.7

GetMail

O NettionPlug GetMail funciona como um captador de mensagens de e-mail de servidores remotos (POP ou IMAP) e direciona-os a um u nico servidor de e-mail (geralmente o servidor de e-mails padr ao da empresa), facilitando a ger encia de mensagens que dizem respeito ao neg ocio da empresa. Com o GetMail os usu arios n ao precisam acessar contas de e-mails de terceiros, nem webmails, e contam ainda com a seguran ca de um anti-v rus e um anti-spam para ltrar as mensagens baixadas, caso o servidor de e-mails da empresa seja o pr oprio Nettion (contas locais). Dessa forma, voc e diminui signicativamente os riscos de adquirir v rus e garante uma maior produtividade dos seus colaboradores.

15.7.1

Vantagens

O NettionPlug GetMail proporciona as seguintes vantagens: Velocidade e seguran ca no acesso aos e-mails; Controle de v rus e spam no acesso ` as mensagens de provedores externos; Melhor ger encia de recursos; Compatibilidade com a solu c ao de mensagens utilizada na sua empresa, estando apto para qualquer ambiente de rede; Busca de mensagens em diversos servidores de -mail, independente do provedor; Cria ca o de permiss ao de acesso, determinando quais contas externas podem ser acessadas.

15.7.2

Congura co es

Para congurar o GetMail, acesse o menu GetMail > Congura c oes. Na tela que ser a exibida, informe: Intervalo de verica c ao: Intervalo de tempo (em segundos) dentro do qual as verica co es por novos e-mails ser ao efetuadas; Servidor de Destino (SMTP): Servidor que ser a utilizado para o envio das mensagens (Geralmente o pr oprio Nettion).

168

CAP ITULO 15. NETTIONPLUGS Depois, clique no bot ao Salvar Congura co es, como mostra a gura 15.32 abaixo.

Figura 15.32: Congura c ao B asica do GetMail

15.7.3

Contas de Origem

Para iniciarmos a cria ca o das regras do GetMail, precisamos primeiramente cadastrar as contas de origem, ou seja, as contas das quais desejamos obter os e-mails. Para incluir as contas, cliqe no bot ao Incluirconforme mostrado na gura 15.33 apresentada a seguir.

Figura 15.33: Lista de Contas de Origem Criadas Na tela que ser a exibida, informe: Servidor de Origem: o nome/IP do servidor POP/POP3 da conta de origem. Exemplo: pop3.bol.com.br; Usu ario: o usu ario de acesso da conta; Senha: a senha utilizada para login; Conrma c ao: redigite a senha para login. As informa co es acima devem ser digitadas corretamente para que o acesso do GetMail a ` conta possa ser realizado com sucesso. Tais informa co es devem ser obtidas diretamente com os usu arios de cada conta de origem cadastrada. Veja a gura 15.34 a seguir.

15.7. GETMAIL

169

Figura 15.34: Cria c ao da Conta de Origem

15.7.4

Regras

O processo de cria ca o de uma regra no GetMail e bastante simples. Basicamente, consiste em especicar uma ou mais contas de origem e especicar uma conta de destino, que pode ser local(Contas no pr oprio Nettion) ou remota (Contas em outros servidores). Para isso, siga os seguintes passos: Passo 1: Para criar uma regra no GetMail, acesse Getmail > Regras. Na tela que ser a exibida, informe: Descri c ao: Descri ca o resumida da regra; Protocolo: Selecione aqui o protocolo a ser utilizado POP ou IMAP; Status: Ativo, para fazer com que a regra entre em efeito imediatamente. Veja a gura 15.35 a seguir.

Figura 15.35: Cria c ao da Regra no GetMail

170 Passo 2:

CAP ITULO 15. NETTIONPLUGS

Na tela seguinte, especique em Contas de Origem as contas das quais voc e deseja obter os e-mails (Lembre-se que elas devem ser criadas previamente). Em Conta de Destino, especique se a conta de destino e Local ou Remota. Para Local, selecione a conta de e-mail local para a qual os e-mails ser ao encaminhados. Para Remota, digite o endere co eletr onico da conta de e-mail do servidor remoto. Selecione tamb em uma das tr es op c oes abaixo: Obter tamb em os e-mails j a lidos: Especica que o GetMail tamb em deve trazer e-mails que j a tenham sido lidos; Manter mensagens no servidor: Especica se ser a deixada no servidor de origem c opias das mensagens que est ao sendo obtidas; Conectar de forma segura (TLS): Marque esta op c ao se o servidor de origem exigir autentica c ao segura. Veja a gura 15.36 abaixo.

Figura 15.36: Sele ca o das Contas de Origem/Destino Ao nal, clique no bot ao Concluir para nalizar a cria ca o da regra.

15.7.5

Iniciando o servi co GetMail

Inicie o GetMail atrav es do menu Sistema > Servi cos > Getmail. Para obter mais informa c oes sobre como iniciar servi cos no Nettion, consulte o t opico 14.1.

15.7.6

Mais informa co es

Para maiores informa co es sobre este plugin, acesse tamb em o site em (www.nettion.com.br).

You might also like