2
R Copyright 2002-2008 by Nettion Information Security.
Nettion
Este material pode ser livremente reproduzido, desde que mantidas as notas de copyright
e o seu conteúdo original. Envie crı́ticas e sugestões para [email protected].
Atualizado por Deyvson Matos, em 30 de janeiro de 2008
Sumário
1 Introdução
1.1
9
Apresentação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2 Instalação/Registro/Login
9
11
2.1
Instalação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.2
Registro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.3
Login . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3 Configurações
3.1
3.2
15
Básicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.1.1
Administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.1.2
Data/Hora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.2.1
Interface/Conexões . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.2.2
Sub-Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.2.3
Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.2.4
DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.2.5
Roteamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
3.2.6
DNS Dinâmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.2.7
Gráficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4 Objetos
4.1
4.2
33
Manutenção de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.1.1
Inclusão de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.1.2
Edição de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.1.3
Manutenção dos Itens do Objeto . . . . . . . . . . . . . . . . . . . 34
4.1.4
Exclusão de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . 35
4.1.5
Consulta de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Hosts e Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3
4
SUMÁRIO
4.2.1
4.3
Domı́nios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.3.1
4.4
4.6
Manutenção do cadastro de domı́nios . . . . . . . . . . . . . . . . . 37
Expressões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.4.1
4.5
Manutenção do Cadastro de Hosts e Redes . . . . . . . . . . . . . . 36
Manutenção do Cadastro de Expressões . . . . . . . . . . . . . . . . 38
Horários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.5.1
Manutenção do cadastro de horários . . . . . . . . . . . . . . . . . 38
4.5.2
Determinando Intervalos . . . . . . . . . . . . . . . . . . . . . . . . 39
Serviços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
4.6.1
Predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
4.6.2
Personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
5 Usuários/Grupos
5.1
5.2
Autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
5.1.1
Servidor NIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
5.1.2
Servidor Windows
6.2
Manutenção do cadastro de Usuários . . . . . . . . . . . . . . . . . 44
Perfis de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
6 Proxy
6.1
Manutenção do cadastro de Grupos . . . . . . . . . . . . . . . . . . 43
Usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
5.3.1
5.4
. . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
5.2.1
5.3
41
47
Regras de Firewall Necessárias . . . . . . . . . . . . . . . . . . . . . . . . . 47
6.1.1
Intranet → Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
6.1.2
Nettion → Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
6.2.1
Proxy com autenticação . . . . . . . . . . . . . . . . . . . . . . . . 48
6.2.2
Proxy transparente . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
6.2.3
Configurações gerais . . . . . . . . . . . . . . . . . . . . . . . . . . 48
6.3
Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
6.4
Composição de regras do Proxy . . . . . . . . . . . . . . . . . . . . . . . . 50
6.5
6.4.1
Tela 1 - Definição da regra . . . . . . . . . . . . . . . . . . . . . . . 50
6.4.2
Tela 2 – Horário . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
6.4.3
Tela 3 - Aplicar para: . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
6.5.1
Padrão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
SUMÁRIO
6.6
6.7
5
6.5.2
Por domı́nio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
6.5.3
Top . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
6.5.4
Acessos Bloqueados . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
6.5.5
On-line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Gráficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
6.6.1
Monitoramento Realtime . . . . . . . . . . . . . . . . . . . . . . . . 54
6.6.2
Selecionando um perı́odo . . . . . . . . . . . . . . . . . . . . . . . . 54
6.6.3
Visualizando acessos a partir do gráfico . . . . . . . . . . . . . . . . 55
Configurando as estações da rede . . . . . . . . . . . . . . . . . . . . . . . 55
7 Controle de Banda
57
7.1
Re-priorização de pacotes
7.2
Realocação dinâmica de banda . . . . . . . . . . . . . . . . . . . . . . . . . 57
7.3
Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
7.4
. . . . . . . . . . . . . . . . . . . . . . . . . . . 57
7.3.1
Definição da Interface de rede . . . . . . . . . . . . . . . . . . . . . 59
7.3.2
Classes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
7.3.3
Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Ativando o serviço de Controle de Banda . . . . . . . . . . . . . . . . . . . 61
8 Firewall
63
8.1
Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
8.2
Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
8.2.1
8.3
8.4
Regras básicas do Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
8.3.1
Acesso ao Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
8.3.2
Acesso Nettion -> Internet . . . . . . . . . . . . . . . . . . . . . . . 69
8.3.3
Resolução de nomes para a rede interna
9.2
9.3
. . . . . . . . . . . . . . . 69
Relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
9 VPN
9.1
Incluindo uma nova regra . . . . . . . . . . . . . . . . . . . . . . . 64
71
VPN PPTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
9.1.1
Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
9.1.2
Manutenção do cadastro de clientes para VPN PPTP . . . . . . . . 73
VPN IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
9.2.1
Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
9.2.2
Conexões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
6
SUMÁRIO
10 NIDS
81
10.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
10.1.1 Seleção de Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . 81
10.1.2 Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
10.1.3 Configuração do PortScan . . . . . . . . . . . . . . . . . . . . . . . 81
10.1.4 Detecção de Assinaturas . . . . . . . . . . . . . . . . . . . . . . . . 82
10.1.5 Alerta por e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
10.1.6 Relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
10.1.7 Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
10.1.8 Últimas assinaturas . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
10.1.9 IPs Bloqueados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
11 DHCP
85
11.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
11.1.1 Configurações Globais . . . . . . . . . . . . . . . . . . . . . . . . . 85
11.1.2 Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
11.2 Hosts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
11.2.1 Manutenção do cadastro dos Hosts . . . . . . . . . . . . . . . . . . 86
11.3 Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
11.3.1 Manutenção do cadastro de Redes . . . . . . . . . . . . . . . . . . . 86
12 E-mail
87
12.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
12.1.1 Autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
12.1.2 Relay
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
12.1.3 Webmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
12.1.4 Mensagens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
12.1.5 Extensões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
12.2 Domı́nios
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
12.2.1 Incluir um domı́nio . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
12.3 Usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
12.3.1 Buscando usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
12.3.2 Editando usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
12.3.3 Inserindo usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
12.4 Aliases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
12.4.1 Criando um alias . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
12.5 Antivı́rus
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
SUMÁRIO
7
12.5.1 Atualização . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
12.5.2 Agendamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
12.5.3 Histórico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
12.6 Antispam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
12.6.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
12.6.2 Aprendizado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
12.6.3 Whitelist
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
12.7 Relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
12.7.1 Fila . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
12.7.2 Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
12.7.3 Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
12.7.4 Quarentena . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
12.7.5 Top Mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
13 Ferramentas
107
13.1 Reverso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
13.2 Whois . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
13.3 Ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
13.4 Traçar rota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
13.5 Diagnóstico de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
14 Sistema
111
14.1 Serviços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
14.2 Plugins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
14.3 Backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
14.3.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
14.3.2 Manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
14.3.3 Relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
14.4 Restore
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
14.5 Expurgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
14.5.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
14.5.2 Manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
14.6 Update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
14.7 Gráficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
14.7.1 CPUs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
14.7.2 Memória . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
14.7.3 Discos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
8
SUMÁRIO
14.8 Sobre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
14.9 Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
14.10Desliga/Reinicia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
15 NettionPlugs
125
15.1 O que são NettionPlugs? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
15.2 Instalando os NettionPlugs . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
15.3 Chat Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
15.3.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
15.3.2 Software cliente (estações) . . . . . . . . . . . . . . . . . . . . . . . 126
15.3.3 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
15.3.4 Iniciando o serviço Chat Server . . . . . . . . . . . . . . . . . . . . 127
15.3.5 Mais informações . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
15.4 Blitz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
15.4.1 Como funciona? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
15.4.2 Bloqueando o acesso direto ao MSN . . . . . . . . . . . . . . . . . . 128
15.4.3 Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
15.4.4 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
15.4.5 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
15.4.6 Catalogação automática de contatos
. . . . . . . . . . . . . . . . . 130
15.4.7 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
15.4.8 Iniciando o serviço Blitz . . . . . . . . . . . . . . . . . . . . . . . . 131
15.4.9 Configurando as estações . . . . . . . . . . . . . . . . . . . . . . . . 131
15.4.10 Mais informações . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
15.5 OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
15.5.1 Nettion-Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
15.5.2 Nettion-Usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
15.5.3 Mais informações . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
15.6 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
15.6.1 Como funciona? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
15.6.2 Domı́nios Maters . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
15.6.3 Itens do Domı́nio Master . . . . . . . . . . . . . . . . . . . . . . . . 137
15.6.4 Domı́nios Slaves . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
15.6.5 Itens do Domı́nio Slave . . . . . . . . . . . . . . . . . . . . . . . . . 138
15.6.6 Domı́nios Reversos . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
15.6.7 Iniciando o serviço DNS . . . . . . . . . . . . . . . . . . . . . . . . 139
15.6.8 Firewall com DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
15.6.9 Mais informações . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Capı́tulo 1
Introdução
1.1
Apresentação
Com a necessidade de conexão direta das organizações à internet, o fator Segurança da
Informação tornou-se um investimento primordial, deixando de ser uma caracterı́stica
apenas de grandes instituições. O motivo desta mudança é que sem a devida proteção no
ambiente de rede da empresa, ela estará sujeita, cedo ou tarde, a um significativo prejuı́zo
institucional, seja ele moral ou material.
Além disso, a facilidade da conexão 24 horas com a internet leva, muitas vezes, os funcionários a desperdiçarem o tempo de trabalho acessando diversas informações pessoais,
provocando uma significativa queda de produtividade individual e, conseqüentemente, da
sua própria empresa.
Muitas vezes sua internet se torna lenta, o que o obriga a adquirir um link de maior
velocidade. No entanto, você não sabe que é possı́vel implementar um controle sobre
aquilo que trafega no seu link, não havendo necessidade de custos extras com links maiores
em grande parte dos casos.
R
Dentro desta realidade, a Nettion Information Security oferece, através do Nettion,
a solução completa para as 24 horas de conexão da sua organização com a internet,
propiciando a implantação de uma polı́tica administrativa de segurança e otimização
do uso do seu link, além do controle detalhado das informações que trafegam por dele.
Tudo isso através de uma ferramenta de administração interativa de gerenciamento e
monitoramento.
R
Benefı́cios do Nettion:
R pode fazer o balanceamento de carga e redundância dos seus links de
• o Nettion
Internet, onde, através de regras simples e intuitivas, você estabelece por qual link
os serviços devem ser encaminhados por padrão e por onde devem sair em caso de
falha, tudo isso de forma automática.
R possibilita um aumento da velocidade ao acessar pági• o módulo proxy do Nettion
nas na internet sem que, necessariamente, tenha que se investir em links maiores.
R de armazenar as páginas acessadas
Isso é possivel devido a capacidade do Nettion
em seu cache. Outra vantagem é que o software permite que você faça um controle minucioso dos acessos dos usuários da sua rede, estabelecendo regras, horários
R você também implanta regras de
e bloqueando sites indesejados. Com o Nettion,
9
10
CAPÍTULO 1. INTRODUÇÃO
segurança no acesso à sua rede por parte de usuários da internet e evita a exposição
total ao ataque de hackers.
• através de relatórios e regras estabelecidas os usuários de computadores farão uso
mais profissional da Internet, aumentando a produtividade e diminuindo os riscos associados a TI. As regras aplicadas são flexı́veis podendo-se fazer limites por usuários
e por horários. A configuração é bem simples e não haverá necessidade de M.O. especializada. Os relatórios são diversificados e intuitivos, propicinado análises justas
e reais.
R possui cadastrado,
• o sistema de detecção de tentativas de invasão (NIDS) do Nettion
aproximadamente, 2.000 formas de tentativa de invasão, o que possibilita o bloqueio
de acesso de usuários ”mal intencionados”.
R dispõe é o Controle de Banda, que permite estab• Outro recurso que o Nettion
elecer percentuais de uso do link para acesso às páginas web, tráfego de e-mails e
etc, otimizando e garantindo que todos estes serviços estejam disponı́veis simultaneamente.
R você passa a utilizar a internet
• através da VPN (Rede Virtual Privada) do Nettion,
como meio de comunicação de forma segura, pois seus dados são criptografados (embaralhados) ao trafegarem através de túneis de comunicação pela internet. Através
deste recurso você pode diminuir sensivelmente os custos com interligação de redes,
como matriz e filiais, e de usuários fisicamente separados da rede local utilizando a
Internet como meio de comunicação e garantindo a segurança dos dados.
• o Sistema de Autenticação Integrada do Nettion facilita o controle dos usuários na
rede com a integração e sincronização de usuários e grupos com Domı́nios Linux(NIS)
e Windows, não havendo necessidade de recadastramento ou trabalhos adicionais de
manutenção. Permite também autenticação integrada NTLMV2, evitando que o
usuário tenha que digitar a senha sempre que inicie a navegação.
• o serviço de E-mail possibilita total autonomia para gerenciamento de contas de
correio com múltiplos domı́nios, permitindo auditoria de mensagens, aplicação de
sistema de AntiSPAM (com sistema de treinamento pelos próprios usuários da rede)
e sistema integredo de Anti-Vı́rus. O gerenciamento das contas e autenticação dos
usuários ocorre de forma integrada com o sistema de Autenticação do Nettion, facilitando assim o gerenciamento das contas de e-mail.
• os sistemas de Backup automatizado e Restore possibilitam uma rápida recuperação
de todos os serviços e informações em caso de falha de hardware.
• atualização via Internet - as constantes atualizações proporcionam mais segurança
com atualizações de falhas de segurança e com a inclusão de novos recursos à ferramenta
R são disponibilizadas de maneira fácil e simples,
Estas e outras ferramentas do Nettion
não requerendo, portanto, conhecimentos técnicos avançados para operá-las. Com este
documento você aprenderá como fazer as configurações do Nettion para adequá-lo ao seu
ambiente de rede.
Capı́tulo 2
Instalação/Registro/Login
2.1
Instalação
O Nettion funciona sobre uma distribuição Linux (Nettion Linux) totalmente adequada e
otimizada ao funcionamento de todos os seus recursos. Por isso, sua instalação, que exige
uma máquina dedicada, não requer um sistema operacional pré-instalado. Seu instalador
já integra a instlação do Nettion Linux e a Interface de Administração dos recursos.
O Guia de Instalação do produto em seu hardware encontra-se em um documento sepaR ou através do link Guia de
rado, que pode ser facilmente acessado no site do Nettion
Instalação.
2.2
Registro
Após a instalação, acesse o seu Nettion através de um browser (Mozzila Firefox ou Internet Explorer) utilizando o endereço IP que você configurou durante a instalação (ex:
http://192.168.254.1). Neste momento você terá acesso a tela de Logon da Interface de
Administração do produto, através da qual você fará todas as configurações necessárias
para adequar o Nettion ao ambiente de rede da sua empresa.
Antes de fazer o logon e começar as configurações, é necessário que você faça o registro do
software. Para isso, clique no ı́cone de registro (veja figura 2.1), no canto superior direito
da tela.
Figura 2.1: Botão de registro
Em seguida, o primeiro formulário de registro aparecerá. O administrador deve informar
R que está registrando, de acordo
CNPJ/CPF, Denominação Social e a edição do Nettion
com a figura 2.2.
11
12
CAPÍTULO 2. INSTALAÇÃO/REGISTRO/LOGIN
Figura 2.2: Primeiro formulário de registro
• CNPJ/CPF: CNPJ no caso de pessoa jurı́dica ou CPF, se pessoa fı́sica;
• Denominação social: denominação social de pessoa fı́sica ou jurı́dica. Ex.: Fortes
Informática LTDA;
• Produto: Tipo do produto. Ex.: Nettion Professional (de acordo com a licença
adquirida).
Informados os campos do primeiro formulário de registro, o administrador deve clicar no
botão Avançar. O segundo formulário de registro aparecerá, como mostrado na figura
2.3.
Figura 2.3: Segundo formulário do registro
• Código Operacional: Código para geração do código de resposta;
• Código de Resposta: Código para liberar o registro do produto;
Neste segundo formulário, você deve fornecer o Código de Resposta. O administrador
obterá o código de resposta depois de solicitar a liberação da sua versão junto ao nosso
2.3. LOGIN
13
departamento comercial, clicando no botão Obter On-line. Uma janela se abrirá com
o código e o administrador deve copiar o código, informado para o campo Código de
Resposta desse formulário e, finalmente, clicar em Registrar.
R registrado. Vamos então descobrir como configurá-lo de forma a usar eficienNettion
temente todos os recursos que o software oferece.
2.3
Login
R o administrador deve logar-se,
Para acessar a interface de administração do Nettion,
informando nome de usuário e senha, como mostrado na figura 2.4 na página 13:
Figura 2.4: Formulário de login
• Usuário: nome do usuário. Ex.: nettion;
• Senha: senha do usuário. Ex.: nettion;
Obs: a senha original do usuário nettion é ”nettion”. Por medidas de segurança é importante que você a altere logo após o primeiro logon.
É possı́vel escolher entre os idiomas português e inglês, além de acessar a interface do
R usando uma conexão segura HTTPS.
Nettion
Caso deseje utilizar HTTPS, marque a caixa Conexão Segura.
Agora é hora de iniciarmos as configurações propriamente ditas. É importante que você
inicie pelas Configurações Básicas do produto (veja capı́tulo 3). Neste capı́tulo você
aprenderá como alterar a senha do administrador, configurar as demais interfaces de rede
do equipamento e como ligar o seu Nettion à Internet.
14
CAPÍTULO 2. INSTALAÇÃO/REGISTRO/LOGIN
Capı́tulo 3
Configurações
3.1
Básicas
R o administrador deve acessar Configurações Básicas e
No primeiro acesso ao Nettion,
atualizar os seus dados, em relação à senha padrão e ao envio de e-mails do sistema, bem
como a Data/Hora do sistema para registro nos relatórios.
R por
Para a sua segurança, o administrador deve alterar a senha do usuário Nettion
uma senha pessoal, que só deverá ser conhecida por pessoas autorizadas a administrar o
sistema. Lembre-se de alterar essa senha, caso ela se torne conhecida por terceiros.
3.1.1
Administrador
Senha
Para alterar a senha, preencha os campos senha atual, nova senha e confirmação e clique
no botão Salvar Configurações.
Figura 3.1: Alteração de senha
Para configuração do E-mail, preencha os campos E-mail do Administrador, seu Servidor
SMTP e clique no botão Salvar Configurações. Este e-mail será utilizado pelo Nettion
para enviar algumas notificações ao administrador, como por exemplo, notificação de
algum problema no sistema de backup.
15
16
CAPÍTULO 3. CONFIGURAÇÕES
Figura 3.2: Configurações de E-mail
3.1.2
Data/Hora
Para configurar data e hora do sistema, você tem duas opções: configurar manualmente
(Clock Local) ou sincronizar com algum servidor NTP (Network Time Protocol).
(a) Clock Local
Figura 3.3: Configuração manual de data e hora
• Time Zone: selecione seu fuso horário;
• Zona do relógio da CPU: escolha se deseja usar seu fuso horário (Horário Local)
ou o horário de Greenwich (GMT);
• Data: ajuste a data no formato dia/mês/ano (DD/MM/AAAA);
• Horário: ajuste a hora no formato hora:minuto (HH:MM).
(b) Servidor NTP
• Time Zone: selecione seu fuso horário;
• Zona do relógio da CPU: escolha se deseja usar seu fuso horário (Horário Local)
ou o horário de Greenwich (GMT);
3.2. REDE
17
Figura 3.4: Configuração Servidor NTP
• Servidores NTP: os endereços dos servidores de NTP com os quais deseja sincronizar data e hora. Lembre-se de inserir pelo menos um servidor, caso deseje
utilizar esse recurso.
Firewall
É necessário que uma regra de Firewall seja criada para permitir que o Nettion comuniquese com os servidores NTP configurados. Um resumo da regra necessária encontra-se na
tabela 3.1 (página 17).
Regra: Nettion -> NTP Servers
Origem
Destino
Serv. Destino Ação
localhost Qualquer ntp
Aceitar
Tabela 3.1: Liberando Nettion para NTP servers
Todos os detalhes de como configurar o Firewall e suas regras encontram-se no Capı́tulo
8 na página 63.
3.2
3.2.1
Rede
Interface/Conexões
Nesta seção você poderá fazer a configuração das demais interfaces e conexões de rede do
seu equipamento (a primeira já foi configurada durante a instalação).
18
CAPÍTULO 3. CONFIGURAÇÕES
Interfaces Ethernet (LAN)
Como comentado, o Nettion já configura a primeira interface Ethernet do equipamento
(eth0) durante a instalação do software. Para incluir as demais Interfaces de rede, acesse
a opção de menu Configurações → Rede → Interfaces/Conexões. Na tela seguinte, você
terá acesso a listagem das interfaces já cadastradas no seu Nettion, como segue no exemplo
da figura 3.5 (página 18).
Figura 3.5: Listagem de Interfaces e Conexões
Para incluir uma nova Interface Ethernet siga os seguintes passos (veja também a figura
3.6 na página 19):
• Clique no botão “Incluir” localizado abaixo da listagem;
• Na tela seguinte, selecione o tipo de interface “Ethernet” e clique em “Avançar”e
aguarde;
• Neste momento o Nettion fará a detecção das demais placas de rede instaladas e
seus respectivos drivers. Cada interface detectada será mostrada na tela seguite.
Selecione uma delas e clique em avançar.
Importante: Caso o driver do dispositivo não tenha sido identificado automaticamente, o dispositivo será listado marcado com um “*”. Nestes casos, é provável que
o Nettion não possua o driver apropriado para suportá-lo. Por favor, entre em contato com o fabricante através do endereço [email protected] e envie o maior
numero de informações do dispositivo, como modelo, fabricante e chipset.
• Na tela seguinte preencha as informações do seu dispositivo de rede:
– Driver: Detectado automaticamente por padrão.
– Endereço IP: indique o endereço IP que será atribuı́do ao dispositivo, ou clique
na opção DHCP para que o Nettion utilize um IP fornecido por um servidor
DHCP de sua rede;
– Mascara de Rede: Indique a mascara de rede utilizada;
– Velocidade: indique a velocidade do dispositivo. Esta informação será utilizada
no serviço de Controle de Banda;
– Descrição: indique uma descrição sobre a interface de rede, como “Interface da
Intranet”;
– Obter DNS do servidor: Obter automaticamente a configuração de DNS. Isto é
possı́vel nos casos em que o DHCP é ativado.
– Responder requisições DNS nesta interface: esta opção faz com que o Nettion
anuncie seu serviço de DNS nesta interface;
– Ativar no boot: indique “Sim” para ativar a interface automaticamente no boot
do Nettion.
3.2. REDE
19
Figura 3.6: Inclusão/Edição de Interface Ethernet
20
CAPÍTULO 3. CONFIGURAÇÕES
3.2.2
Sub-Interfaces
O Nettion suporta também a inclusão de sub-interfaces de rede. Elas estão sempre associadas a uma Interface fı́sica e possuem basicamente duas finalidades:
1. IPs adicionais em uma Interface: permite que uma interface responda por outros
endereços IPs, além do principal.
2. Conexões ADSL: permite que uma conexão ADSL seja atribuı́da a uma Interface.
Esta opção só estará disponı́vel quando a Interface for do tipo DHCP, como será
visto mais a frente.
IPs Adicionais
Para incluir um endereço adicional a uma Interface siga os passos (veja também figura
3.7 na página 20):
• Na tela de listagem, selecione a Interface que receberá o IP adicional e clique no
botão “Itens”;
• Na tela seguinte, será apresentada uma listagem de subinterfaces do dispositivo.
Clique no botão “Incluir”;
• Na tela seguinte, selecione o tipo “Sub-Interface” e clique em avançar;
• Agora indique: Endereçco IP, Márcara de rede, Descrição e se a interface responderá
por requisições DNS na subinterface.
• Para finalizar, clique no botão “Adicionar Interface”.
Após a inclusão, a Sub-interface será listada como mostrado na figura 3.8 (página 21).
Observe que o nome da subinterface tem o mesmo nome do Interface principal + número
da subinterface. Caso seja necessário, inclua outras subinterfaces seguindo o mesmo
procedimento.
Conexões ADSL (WAN)
Para incluir uma Conexão ADSL a Interface principal (fı́sica) deve estar configurada para
receber IP via DHCP e deve estar com a configuração “Ativar no boot” como “Não”, como
mostrado na figura 3.9 da página 22.
Importante: Estas conexões dependem de um modem ADSL devidamente instalado e
configurado. Os modems ADSL podem estar configurados no modo ”bridge”, onde o
Nettion fará o gerenciamento da conexão ADSL e ficará com o IP disponibilizado pelo
provedor(recomendado), ou em modo ”router”, onde o modem será o responsável por
fazer esta gerência. As configurações a seguir são para o modo ”bridge”. Caso esteja em
modo ”router”configure a interface ethernet de modo que ela se comunique com o modem
e configure o Gateway do Nettion apontando para o IP do modem.
O prodecimento é semelhante ao da inclusão de IPs adicionais (veja também figura 3.10
(página 23):
• Na tela de listagem, selecione a Interface que receberá a conexão ADSL e clique no
botão “Itens”;
3.2. REDE
21
Figura 3.7: Inclusão de Sub-interface
Figura 3.8: Listagem de Sub-interfaces de um dispositivo de rede
22
CAPÍTULO 3. CONFIGURAÇÕES
Figura 3.9: Configuração de Interface para conexão ADSL
3.2. REDE
23
• Na tela seguinte, será apresentada uma listagem de subinterfaces do dispositivo.
Clique no botão “Incluir”;
• Na tela seguinte, selecione o tipo “ADSL(wan)” e clique em avançar;
• Na tela seguinte, preencha as infornações do seu provedor ADSL:
– Usuário: login de acesso;
– Senha: senha de acesso;
– Parametros extras: somente se necessários e fornecidos pelo provedor;
– Velocidade: indique a velocidade do link;
– Obter DNS do Servidor: marque para que o Nettion receba as informações de
DNS do provedor;
– Ativar no boot: indique “Sim” para que a conexão seja ativada automaticamente
no boot;
Figura 3.10: Configuração de Conexão ADSL
Após a inclusão sua interface ADSL será listada como segue a na figura 3.11 (página 23),
com informações de IP e Status da conexão. Caso o Status não esteja ok (vermelho)
verifique novamente as configurações da conexão.
3.2.3
Gateways
Para que o Nettion possa ter acesso à Internet é necessário que ele tenha pelo menos um
Gateway, ou seja, pelo menos uma saı́da de acesso para a Internet. Portanto, esta é uma
configuração importante na implantação do seu Nettion. Você verá também que o Nettion
gerencia múltiplos Gateways, fazendo todo o tratamento de redundância e balanceamento
dos links.
24
CAPÍTULO 3. CONFIGURAÇÕES
Figura 3.11: Listagem da Conexão ADSL
Edição de Gateways
Geralmente um Gateway já é configurado durante a instalação do Nettion no equipamento. Caso você queira editar suas informações siga os passos abaixo:
• Acesse o menu Configurações → Rede → Gateways;
• Na tela seguinte, da listagem de gateways cadastrados, selecione o Gateway que
deseja editar e clique no botão editar.
• Na tela seguinte:
– Interface: indique a interface do Nettion que está diretamente ligada ao gateway. No caso de um Gateway para conexão ADSL, selecione a Interface ADSL
correspondente;
– Gateway: indique o IP do Gateway, ou seja, o IP através do qual o Nettion
terá acesso a Internet - que é fornecido pelo seu provedor de acesso. No caso
de um gateway dinâmico, como DHCP ou ADSL, marque a opção “Obtido
dinamicamente”;
– Participação na rota padrão: indique a porcentagem de participação deste link
na saı́da padrão do Nettion para a Internet. Em caso de um único link o padrão
será 100%;
– Timeout: indique aqui o tempo máximo sem resposta (em segundos) em que o
Nettion irá considerar que um gateway está fora. O Nettion mudará o estado
de um gateway para “down” quando este parar de responder dentro do tempo
aqui estipulado. Para não indicar um limite de tempo, selecione a opção ao lado
“Ilimitado”;
– Redefenir configurações na mudança de estado do gateway: marque esta opção
caso deseje que o Nettion redefina as configurações dos gateways a cada mudança
de estado, como por exemplo, as configurações de participação dos gateways na
rota padrão.
Inclusão de novos Gateways e Múltiplos Links Internet
Caso não haja nenhum Gateway configurado, ou você queira fazer a inclusão de Gateways
adicionais, para o caso de múltiplos Links Internet, siga os passos a seguir.
• Acesse o menu Configurações → Rede → Gateways;
• Na tela seguinte, da listagem de gateways cadastrados, selecione o Gateway que
deseja editar e clique no botão “Incluir”.
3.2. REDE
25
• Na tela seguinte:
– Interface: indique a interface do Nettion que está diretamente ligada ao gateway. No caso de um Gateway para conexão ADSL, selecione a Interface ADSL
correspondente;
– Gateway: indique o IP do Gateway, ou seja, o IP através do qual o Nettion
terá acesso a Internet - que é fornecido pelo seu provedor de acesso. No caso
de um gateway dinâmico, como DHCP ou ADSL, marque a opção “Obtido
dinamicamente”;
– Participação na rota padrão: indique a porcentagem de participação deste link
na saı́da padrão do Nettion para a Internet em relação aos outros Gateways já
cadastrados. Em caso de um único link o padrão será 100%.
– Timeout: indique aqui o tempo máximo sem resposta (em segundos) em que o
Nettion irá considerar que um gateway está fora. O Nettion mudará o estado
de um gateway para “down” quando este parar de responder dentro do tempo
aqui estipulado. Para não indicar um limite de tempo, selecione a opção ao lado
“Ilimitado”;
– Redefenir configurações na mudança de estado do gateway: marque esta opção
caso deseje que o Nettion redefina as configurações dos gateways a cada mudança
de estado, como por exemplo, as configurações de participação dos gateways na
rota padrão.
Perceba que o tráfego pode ser dividido de acordo com um percentual especificado (Participação na Rota Padrão), permitindo definir prioridades quanto ao uso de um dos links.
É possı́vel também que um gateway não participe da rota padrão (0%). Neste caso, o link
será utilizado através de duas formas: por acessos, originados externamente a serviços
disponı́veis na sua rede (Ex.: VPN, E-mail, Portal Web) e por tráfego, previstos nas
regras de “roteamento avançado” como será mostrado no tópico adiante.
Monitoramento Por padrão, os links são monitorados pelo sistema que reconfigura
automaticamente o ambiente de acordo com a disponibilidade. Cada mudança é registrada
no estado dos seus links, permitindo sua auditoria. Para isso selecione um gateway e clique
no botão Itens. O relatório de estado dos gateways será exibido, conforme mostra a figura
3.12 abaixo:
Figura 3.12: Monitoramento dos Gateways
26
CAPÍTULO 3. CONFIGURAÇÕES
Porém, é possı́vel editar as opções de monitoramento do estado dos gateways conforme a
sua necessidade. Para isso, selecione o gateway desejado e clique no botão “Editar”. As
opções de edição do gateway serão exibidas, como mostra a figura 3.13 a seguir:
Figura 3.13: Edição de Gateways
Modifique as opções de configuração conforme a seção “Edição de Gateways” deste capı́tulo.
3.2.4
DNS
Nesta seção, você configura o nome da máquina e os servidores DNS que serão consultados
R para a resolução de nomes Internet. O nome da máquina deve ser compelo Nettion
pleto (nome do maquina + dominio). Se você não possuir um dominio, poderá utilizar
localdomain. Pelo menos um servidor DNS deve ser configurado para o correto funcionamento do produto. Essa configuração pode ser automática, se você tem uma interface
Ethernet ativa configurada via DHCP, ou uma conexão ADSL, sendo preciso, apenas,
selecionar o item Obter DNS do servidor na configuração da respectiva conexão. O
próprio Nettion poderá ser o servidor DNS, desde que ele possua acesso direto a Internet
na porta 53 TCP e UDP. Para utilizá-lo como servidor, indique o IP 127.0.0.1.
Figura 3.14: Nome da máquina e configuração de DNS
3.2. REDE
3.2.5
27
Roteamento
Nessa seção é possivel incluir regras que controlarão o destino do seu tráfego de rede.
Básico
Roteamento básico ou pelo destino é a funcionalidade que torna alcançável uma rede/host
por meio de um host (gateway), também alcançável. Ex.: A rota a seguir faz com que
o tráfego para a rede 192.168.254.0/24 possa ser entregue com o intermédio do host
10.0.0.254 pela interface eth0 (veja figura 3.15 na página 27).
Figura 3.15: Listagem de rotas
Figura 3.16: Inclusão de rota básica
Avançado
O roteamento avançado só faz sentido em um ambiente que possua mais de um link de
internet. Nele, você tem o poder de escolher um conjunto completo de caracterı́sticas do
tráfego, que será encaminhado especificamente por um dos gateways cadastrados. Cada
regra pode conter uma lista prioritária de gateways por onde aquele tráfego deve ser
encaminhado, sendo utilizado sempre o primeiro, com estado ativo, como na figura 3.17
(página 28).
A criação destas regras é feita em quatro passos e uma configuração avançada:
28
CAPÍTULO 3. CONFIGURAÇÕES
Figura 3.17: Listagem de regras do Roteamento Avançado
• Passo 1
Informe uma descrição, a posição que a regra vai ocupar na lista e no seu estado
(ativo ou inativo) conforme figura 3.18 a seguir.
Figura 3.18: Criando regra - Passo 1
• Passo 2
Selecione o horário em que essa regra será válida. Os horários disponı́veis são os
definidos em Objetos>Horários conforme a figura 3.19 a seguir.
Figura 3.19: Criando regra - Passo 2
• Passo 3
Neste passo você selecionará os serviços e/ou hosts que terão seu tráfego roteados
por um link especı́fico.
Em “Filtros de Origem - Hosts” selecione para a caixa da esquerda o(s) Host(s) ou
Rede(s) de onde se originam as conexões. Caso queira especificar qualquer origem,
deixe a caixa da esqueda vazia;
3.2. REDE
29
Em “Filtros de Origem - Serviços” selecione para a caixa da esquerda o(s) serviço(s)
de origem. Caso queira especificar qualquer serviço, deixe a caixa da esquerda vazia;
Em “Filtros de Destino - Hosts” selecione para a caixa da esquerda o(s) Hosts(s) ou
Rede(s) de destino da conexão. Caso queira especificar qualquer destino, deixe a
caixa da esqueda vazia;
Em “Filtros de Destino - Serviços” selecione para a caixa da esquerda o(s) serviço(s)
de destino. Caso queira especificar qualquer serviço, deixe a caixa da esquerda vazia;
Perceba que através destas opções você terá toda flexibilidade de especificar exatamente o tráfego que deseja controlar, seja de uma determinada origem e/ou para um
determinado destino.
Figura 3.20: Criando regra - Passo 3
• Passo 4
Os gateways podem ser selecionados em uma lista de prioridades, onde aquele que
estiver acima, será o primeiro utilizado. Os gateways seguintes serão utilizados de
acordo com a ordem estabelecida a medida que os gateways superiores falharem.
A marcação da opção Caso todos os Gateways selecionados falhem encaminhar pela rota padrão faz com que o gateway padrão do Nettion seja utilizado
em caso de falha de todas as saı́das selecionadas. Veja figura 3.21 abaixo.
Figura 3.21: Criando regra - Passo 4
• Configurações Avançadas
Por padrão o Nettion faz o mascaramento (NAT) das conexões feitas pelos hosts
30
CAPÍTULO 3. CONFIGURAÇÕES
com IPs privados com destino a Internet (vindos da sua rede interna, por exemplo).
Esta seção o permite desabilitar esta função, para o caso onde você queira explicitamente informar para o Nettion não mascarar o tráfego (vindo da rede DMZ com
IPs públicos, por exemplo) ou permite a seleção do IP que será utilizado para o
mascaramento de cada Gateway, conforme mostrado na figura 3.22 a seguir.
Figura 3.22: Criando regra - Configurações Avançadas
3.2.6
DNS Dinâmico
Os serviços de DNS Dinâmico são especialmente úteis para conexões Internet com endereço IP dinâmico pois permitem que você encontre seu Nettion a partir de um nome,
como por exemplo, nettion-minhaempresa.dyndns.org e possa fazer conexões, como VPN.
A configuração deste serviço no Nettion garante a atualização do DNS quando houver
mudança do endereço IP da sua interface dos tipos ADSL ou Ethernet com DHCP. Com
R pelo Host configurado.
isso, sempre será possı́vel acessar o seu Nettion
A listagem da figura 3.24 (página 31) mostra o exemplo de um serviço de DNS Dinâmico
configurado no Nettion. Para configurar este seviço, você deve estar cadastrado em um
Figura 3.23: Listagem de serviços de DNS dinâmico
dos serviços gratuitos de DNS Dinâmico listados a seguir:
• No-IP (http://www.no-ip.com)
• DynDNS (http://www.dyndns.com)
• ChangeIP (http://www.changeip.com)
Após o cadastro feito no site do serviço você terá em mãos as informações de “Usuário”,
“senha”e “host”que servirão de entrada para as configurações do Nettion. Para incluir um
3.2. REDE
31
serviço, clique no botão “Incluir”e preencha as informações de acordo com a figura 3.24
abaixo.
Figura 3.24: Inclusão de serviço de DNS dinâmico
3.2.7
Gráficos
Intefaces
Nesta seção encontram-se os gráficos de consumo da banda por interface do Nettion.
Além do recurso do monitoramento on-line, você tem ainda a opção de consultar todo o
histórico de cada gráfico. Veja o exemplo na figura 3.25.
Figura 3.25: Gráfico de consumo de banda por Interface de Rede
32
CAPÍTULO 3. CONFIGURAÇÕES
Capı́tulo 4
Objetos
R trabalha com
Com o intuito de simplificar o modo de configurar os serviços, o Nettion
o conceito de objetos, que consiste em um conjunto de informações mapeadas em objetos
que serão utilizadas pelos vários serviços, disponibilizados pelo software.
Os objetos estão classificados conforme o tipo de informação que armazenarão, facilitando
sua manutenção. O ideal é que o administrador faça um levantamento prévio do ambiente
de rede identificando os objetos que devem ser criados, economizando tempo na configuração dos serviços.
R e os respectivos
Relacionamos abaixo alguns dos serviços disponibilizados pelo Nettion
objetos por eles utilizados:
• Roteamento Avançado: hosts e redes, serviços e horários;
• Proxy: domı́nios, expressões, horários, hosts e redes;
• Controle de Banda: hosts e redes;
• Firewall: hosts e redes, serviços e horários;
• NIDS: hosts e redes;
• OpenVPN: hosts e redes;
• DHCP: hosts e redes;
Observe este exemplo:
Para referenciar o IP de uma estação de trabalho da sua empresa, um administrador criou o objeto do tipo host com o nome Est 01, atribuindo-lhe um certo
IP 192.168.254.10 com a Máscara de Rede 255.255.255.255. Em seguida,
utilizou o objeto Est 01 nas regras do proxy, Controle de Banda, Firewall e
NIDS.
Se por algum motivo você tiver que alterar o IP da Est 01 basta você alterar o IP do Objeto e todas as configurações do Nettion que utilizam este Objeto serão automaticamente
atualizadas para o novo IP.
33
34
CAPÍTULO 4. OBJETOS
4.1
Manutenção de Objetos
Após selecionar uma classe (tipo) de objeto no menu principal, será exibida para o administrador uma lista contendo os objetos cadastrados (caso existam). A exibição pode
ser ordenada por qualquer uma das colunas mostradas, sendo necessário somente que
o administrador clique sobre a coluna especı́fica para que o sistema alterne a exibição
e ordenação dos itens da lista. Use a barra de rolagem para navegar entre os objetos
cadastrados. O administrador poderá, então, incluir, alterar ou excluir um objeto, por
exemplo, clicando nos respectivos botões.1
4.1.1
Inclusão de Objetos
Para incluir novos objetos, o administrador deve dar um clique no botão “Incluir” (veja
figura 4.1 na página 34).
Figura 4.1: Botão Incluir
Ao clicar no botão Incluir, será exibida a tela de inclusão, onde se deve preencher os
campos referentes ao objeto a ser criado. Para confirmar a inclusão, clique no botão
Salvar Configurações.
4.1.2
Edição de Objetos
Para acessar o módulo de edição, o administrador deve dar um clique duplo sobre o objeto
que deseja editar ou selecioná-lo e clicar no botão Editar (veja figura 4.1.2 na página
34).
Figura 4.2: Botão Editar
A tela de edição onde o administrador poderá alterar os dados cadastrais do objeto
selecionado e confirmar as alteraões dando um clique no botão Salvar Configurações
será exibida.
4.1.3
Manutenção dos Itens do Objeto
Os objetos do tipo Domı́nios, Expressões, Horários e Serviços são formados por grupos
de objetos, ou seja, cada objeto possui seus itens. Para ter acesso aos itens, selecione o
objeto desejado e clique no botão Itens (veja figura 4.1.3 na página 35).
1
Os botões Editar, Itens e Deletar. Estarão habilitados apenas quando houver um objeto selecionado.
4.1. MANUTENÇÃO DE OBJETOS
Figura 4.3: Botão Itens
Será exibida a lista dos itens cadastrados para o objeto selecionado e os controles para
a manutenção do cadastro dos itens do objeto. A manutenção dos itens utilizados segue
o padrão de procedimentos utilizados para a manutenção do objeto (inclusão, edição e
exclusão).
4.1.4
Exclusão de Objetos
Para excluir um objeto especı́fico, basta selecioná-lo e clicar no botão Deletar.
Figura 4.4: Botão Deletar
O administrador poderá selecionar mais de um objeto e apagar todos eles clicando uma
única vez no botão apropriado. Para selecionar objetos consecutivos, mantenha pressionada a tecla Shift, clique uma vez no objeto que dará inı́cio à seleção e clique uma segunda
vez no objeto que finalizará a seleção. Será exibida uma tela solicitando a confirmação
da exclusão do(s) objeto(s) selecionado(s). Isso evita que o administrador exclua um ou
mais objetos acidentalmente.
Nota: O sistema não efetuará a exclusão no caso do objeto possuir itens
cadastrados ou quando estiver associado a regras de firewall, proxy ou controle de banda, etc, sem que antes seja removida a associação.
4.1.5
Consulta de Objetos
Para realizar a consulta de um objeto, basta acessar a guia de consultas no cadastro do
objeto desejado. Cada objeto possui suas próprias opções de consulta, porém todas as
telas seguem o mesmo padrão de funcionamento. A figura 4.5 a seguir mostra, a tı́tulo
de ilustração, a tela de consulta de objetos de “Hosts e Redes”.
Figura 4.5: Tela de Consulta de Objetos
Nota: Lembre-se que a tela de consultas segue o mesmo padrão de funcionamento, mudando apenas os campos de acordo com o objeto selecionado.
35
36
CAPÍTULO 4. OBJETOS
4.2
Hosts e Redes
No cadastro de hosts e redes o administrador criará a lista dos IP’s que serão utilizados
R Entende-se por host o IP de uma máquina especı́fica, asna configuração do Nettion.
R
sim como entende-se por rede um IP que represente um intervalo de IP’s. O Nettion
interpreta como host o objeto de máscara 255.255.255.255; os demais, serão interpretados
como sendo redes. Veja o exemplo de listagem de objetos de hosts e redes na figura 4.6
(página 36).
Figura 4.6: Hosts e Redes
4.2.1
Manutenção do Cadastro de Hosts e Redes
A manutenção do cadastro de hosts e redes segue o padrão estabelecido anteriormente
(vide seção 4.1) . Para hosts e redes deverão ser preenchidos os seguintes campos (conforme figura 4.7 na página 36).
• Objeto: nome a ser dado ao objeto. Ex: Web Server;
• Endereço IP: endereço IP do host ou da rede. Ex: 192.168.1.2;
• Máscara: máscara da rede onde o objeto se encontra. No caso de o objeto ser um
host, lembre de usar a máscara 255.255.255.255/32;
• Descrição: texto explicativo sobre o objeto. Ex: Servidor Web da empresa.
4.3
Domı́nios
No cadastro de domı́nios, o administrador deverá criar a lista dos grupos de domı́nios que
R
serão utilizados na configuração do Nettion.
Cada grupo poderá conter um ou mais
domı́nios. Veja um exemplo de uma listagem de objetos de Domı́nio na figura 4.8 na
página 37.
4.3. DOMÍNIOS
37
Figura 4.7: Adicionando objeto do tipo Host/Rede
Figura 4.8: Listagem de grupos de domı́nios
4.3.1
Manutenção do cadastro de domı́nios
A manutenção do cadastro de domı́nios e dos itens segue o padrão estabelecido anteriormente. Para domı́nios, deverão ser preenchidos os seguintes campos (veja figura 4.9 na
página 37):
• Nome: nome que você deseja dar ao grupo Ex: Governamentais;
• Descrição: descrição acerca do grupo. Ex: Domı́nios Governamentais.
Figura 4.9: formulário de configuração de grupo de domı́nios
Para Incluir os itens do Grupo de Domı́nios, selecione o grupo desejado e clique no botão
Itens. Na tela seguinte você encontrará uma tela com a listagem de itens do domı́nio.
Clique no botão ”Incluir”e preencha as informações sobre o item:
38
CAPÍTULO 4. OBJETOS
• Domı́nio: digite o domı́nio iniciando por ponto (“.”) para identificar todo o domı́nio
(ex:.hotmail.com) ou para identificar um host especı́fico do domı́nio utilize sem o
ponto (Ex: login.hotmail.com).
• Descrição: descrição acerca do item. Ex: Domı́nios bloqueados.
4.4
Expressões
Nesta seção, o administrador poderá cadastrar grupos de expressões (palavras ou expressões regulares) para serem utilizados na configuração do proxy, e, como ocorre com
os domı́nios, cada grupo poderá conter um ou mais itens, tornando possı́vel a utilização
do grupo inteiro em uma única regra do proxy.
4.4.1
Manutenção do Cadastro de Expressões
A manutenção do cadastro de expressões e dos itens seguem o padrão estabelecido anteriormente. Para expressões deverão ser preenchidos os seguintes campos:.
• Nome: nome que você deseja dar ao grupo Ex: Expressões Proibidas;
• Descrição: descrição acerca do grupo. Ex: Expressões que devem ser bloqueadas.
Para Incluir os itens do Grupo de Expressões, selecione o grupo desejado e clique no botão
Itens. Na tela seguinte você encontrará uma tela com a listagem de itens do grupo de
expressões. Clique no botão ”Incluir”e preencha as informações sobre o item:
• Tipo: tipo do item a ser criado, se Palavra ou Expressão regular2 .
• Palavra: palavra que deverá ser identificidada na URL pelo Proxy do Nettion. Ex:
sexo.
• Posição: posição na qual a palavra deve ser identificada. Caso queira, por exemplo,
identificar URLs terminadas por “.exe”, escolha a opção “no final”.
• Palavra inteira: selecione “Sim”para identificar apenas na palavra inteira, ou seja,
não será identificada quando a palavra estiver contida em outras palavras. Para o
exemplo da palavra sexo, sexologia não bateria com o padrão. Selecione “Não”para
criticar a palavra mesmo dentro de outras palavras.
4.5
Horários
No cadastro de horários, deverá ser criada a lista dos horários que serão utilizados na
R Com base nesses horários, o administrador poderá criar regras
configuração do Nettion.
no Proxy, no Firewall, etc, para fazer o controle de acesso.
2
o Nettion possibilita a inclusão de expressões regulares mais complexas através da escolha do tipo Expressão
Regular, porém, a escolha do tipo Palavra associada as outras opções como ”Posição”e ”Palavra Inteira”atendem a
grande maioria dos casos.
4.6. SERVIÇOS
4.5.1
Manutenção do cadastro de horários
A manutenção do cadastro de horários e dos itens segue o padrão estabelecido anteriormente. Para horários, deverão ser preenchidos os seguintes campos:
• Objeto: nome a ser dado ao horário. Ex: Expediente;
• Descrição: texto para detalhamento do horário. Ex: Horário de trabalho normal.
4.5.2
Determinando Intervalos
O administrador poderá definir o horário selecionando uma ou mais células da tabela
composta por dias e horários. A seleção será feita com o mouse da seguinte forma: o
administrador deve clicar na célula inicial com o botão esquerdo do mouse, mantendo-o
pressionado durante o deslocamento do cursor na tela e selecionando o intervalo desejado.
Uma vez selecionada a região desejada, clique no botão ”Marcar”. Um mesmo objeto de
horário pode ter várias regiões de horários selecionadas.
Caso deseje fazer um ajuste para fracionamento de horas, após selecionar a região desejada, será exibida uma linha com os campos para ajustes juntamente com os botões
Marcar e Desmarcar. O usuário poderá alterar o conteúdo dos campos de acordo com
sua necessidade e dar um clique em Marcar ou Desmarcar conforme o caso. Para confirmar as definições de intervalo, o usuário deverá clicar no botão Salvar Configurações.
4.6
Serviços
Nesta seção o administrador poderá cadastrar serviços para serem utilizados mais adiante
na configuração das funcionalidades do Nettion. Há também a opção de checar os serviços
R
pré-definidos pelo Nettion.
O Nettion já possui cadastrado uma série de serviços, os
mais conhecidos na Internet, que são os objetos de serviços Predefinidos.
4.6.1
Predefinidos
R Ao
Aqui, o administrador poderá consultar a lista de serviços predefinidos pelo Nettion.
selecionar um serviço, clique em itens para visualizar as portas que determinado serviço
utiliza.
4.6.2
Personalizados
Caso o serviço desejado não esteja cadastrado no Nettion, o administrador pode criar
serviços personalizados e para tanto, ele deverá acrescentar um novo grupo de serviços,
cliando em “Incluir”. Na tela seguinte, identifique um nome e uma descrição para o seu
Serviço.
39
40
CAPÍTULO 4. OBJETOS
Para incluir itens a um serviço, selecione o serviço desejado e clique em ”Itens”. Cada
Serviço pode conter uma ou mais combinações de protocolo/porta.
Para cada item de um serviço os itens abaixo deverão ser configurados:
• Protocolo: TCP, UDP, ICMP, GRE, ESP ou HA;
• Porta: Pode ser um número, uma faixa ou um serviço especial P2P;
• Descrição: Inclua uma descrição para o item;
• Incluir também este serviço para o protocolo UDP: Marque esta opção caso queira
inserir esta mesma porta para o protocolo UDP (esta opção só estará disponı́vel caso
você esteja inserindo um serviço TCP).
Capı́tulo 5
Usuários/Grupos
5.1
Autenticação
R possui três alternativas quanto à autenticação de usuários. A primeira
O Nettion
R
é utilizar uma base de dados de usuários que serão cadastrados no próprio Nettion;
a segunda é autenticar a partir de uma base de usuários já existente em uma máquina
UNIX/Linux, através de NIS (Network Information System); e a terceira é através de uma
base de dados de usuários cadastrados em um servidor Windows. Esta opção também
suporta o esquema de autenticação via NTLM, que não solicita login e senha no browser
de estações Windows que façam parte de um domı́nio Windows. Este esquema utiliza a
informação de login do domı́nio Windows para se autenticar no proxy.
Figura 5.1: Autenticação de usuários
5.1.1
Servidor NIS
Para utilizar a opção Servidor NIS (Unix), preencha os campos:
41
42
CAPÍTULO 5. USUÁRIOS/GRUPOS
• Domı́nio NIS(Network Information System): domı́nio onde se encontram os usuários
cadastrados no Servidor. Ex.: NISGROUP
• Endereço IP: Endereço IP do servidor. Ex.: 192.168.0.1
5.1.2
Servidor Windows
Para utilizar a opção Domı́nio Windows, preencha os campos:
• Domı́nio: domı́nio onde se encontram os usuários cadastrados no Servidor. Ex.:
corporativa
• Nome do servidor. Ex.: Serv-corp
• Endereço IP: Endereço IP do servidor. Ex.: 10.0.0.2
Ative as configurações clicando no botão Salvar Configurações.
Servidor Windows com Sincronização e NTLM
Funcionamento do sistema NTLM Esta opção faz com que o Nettion negocie com
o Servidor Windows a autenticação repassada pelo browser do usuário, evitando assim
a necessidade de identificação(janela de usuário e senha) a cada navegação. Lembre-se
que esta opção funcionará somente em um ambiente de rede Windows/Samba onde as
máquinas e usuários estejam devidamente logados ao domı́nio.
R Security Software suporta o esNTLM no Nettion Desde a versão 2.5, o Nettion
quema de autenticação NTLM, tornando transparente o esquema de autenticação do
proxy para o usuário.
Para utilizar este esquema de autenticação, faz-se necessária a configuração de alguns
campos referentes ao domı́nio Windows. Outra caracterı́stica importante deste esquema
R e o
de autenticação é a obrigatoriedade de sincronização dos usuários entre o Nettion
controlador de domı́nio.
Habilitando autenticação NTLM Para habilitar o serviço NTLM, o administrador
R com Usuários e
deve habilitar a opção ”Sincronizar Usuários e Grupos do Nettion
Grupos do Domı́nio Windows”e adicionar o login e a senha de algum usuário com nı́vel
de administrador. Caso o servidor Windows seja do tipo AD (Active Directory) ative a
opção O servidor Windows possui o serviço Active Directory habilitado.
R se conecte ao Controlador
Logo após, basta salvar as informações para que o Nettion
de Domı́nio, sincronizando os usuários e autenticando via NTLM.
Observações importantes:
1. Os usuários têm que estar conectados ao domı́nio Windows para ter direito a se
autenticar e navegar na Internet;
2. Deve-se criar uma regra de firewall adicional de permissão de acesso Nettion -> Servidor
Controlador de domı́nio utilizando os Serviços Predefinidos smb, win2000 e winnt.
5.2. GRUPOS
43
3. Para a autenticação funcionar, é primordial que existam as regras de proxy. Veja o
capı́tulo 6 (Proxy) para mais informações.
4. A cada alteração nas informações dos usuários no Controlador de domı́nio, deve-se
R
sincronizar novamente os usuários no Nettion.
R pode perder sua comunicação com o controlador de
5. Em algumas situações, o Nettion
domı́nio (Em caso de desligamento temporário do Controlador de Domı́nio, por exemplo).
R deverá ser reconectado, para voltar a fazer as autenticações
Nestes casos, o Nettion
normalmente.
IMPORTANTE: Ao sincronizar os dados com o controlador de domı́nio, todos os grupos
e usuários previamente cadastrados serão apagados. É de extrema importância fazer um
backup das configurações antes de realizar este procedimento.
Sincronização e reconexão Existem duas opções adicionais nas configurações NTLM:
• Sincronizar Usuários e Grupos
R com os usuários
Serve para sincronizar novamente os usuários do Nettion
do controlador de domı́nio. Deve ser usado sempre que forem efetuadas
alterações nos usuários e grupos do controlador de domı́nio.
• Reconectar ao Domı́nio
R ao controlador de domı́nio caso a comuServe para reconectar o Nettion
nicação entre eles seja perdida (Ex: desligamento do servidor).
5.2
Grupos
R permite que o administrador crie grupos de usuários e os utilize na formação
O Nettion
das regras do proxy, o que possibilita que os usuários de um grupo sejam submetidos a
regras especı́ficas, controlando seu acesso a internet.
Figura 5.2: Administração de Grupos
44
CAPÍTULO 5. USUÁRIOS/GRUPOS
5.2.1
Manutenção do cadastro de Grupos
Temos duas formas de trabalhar com grupos de usuários, sendo divididos de acordo com
o tipo de autenticação escolhido:
Caso 1: Autenticação em base remota via NIS ou Windows sem sincronização de usuários,
ou em base Local.
A manutenção do cadastro de grupos segue ao padrão estabelecido anteriormente. Para
grupos de usuários deverão ser preenchidos os seguintes campos (veja figura 5.3 abaixo.)
Figura 5.3: Inclusão/Edição de Grupos
• Nome: nome que você deseja dar ao grupo. Ex.: Financeiro
• Descrição: descrição sobre a que se refere este grupo. Ex.: Setor Financeiro
Caso 2: Autenticação com Sincronização de Usuários (via NIS ou Windows).
Neste caso, o administrador deve editar os grupos no controlador de domı́nio Windows
ou NIS e sincronizar novamente as bases de usuários na opção Autenticação do menu
Usuários e Grupos. Em caso de dúvida, veja o item Servidor-Windows.
5.3
Usuários
Temos duas formas de trabalhar com usuários, sendo divididas de acordo com o tipo de
autenticação escolhido:
Caso 1: Autenticação por NIS, Local ou Windows sem NTLM.
R permite que você cadastre, independente da autenticação utilizada, os usuários
O Nettion
que necessitam de um tratamento diferenciado quanto ao acesso à internet, podendo o
administrador atribuir ao usuário um ou mais grupos para facilitar a manutenção das
regras do proxy para estes.
Caso 2: Autenticação Windows com NTLM
Neste caso, o administrador deve editar os usuários no controlador de domı́nio e sincronizar novamente as bases de usuários na opção Autenticação do menu Usuários e
Grupos. Em caso de dúvida, veja o item Servidor-Windows.
5.4. PERFIS DE ACESSO
5.3.1
45
Manutenção do cadastro de Usuários
A manutenção do cadastro dos usuários segue ao padrão estabelecido anteriormente. Para
cadastro de usuários deverão ser preenchidos os seguintes campos (veja figura 5.4 a seguir):
Figura 5.4: Inclusão/Edição de Usuários
• Campo Usuário: login do usuário. Ex.: lauro
• Nome: nome do usuário. Ex.: Lauro Cavalcante
• Senha: senha para acesso. Ex.: ******
• Confirmação: confirmação da senha. Ex.: ******
• Grupo: grupo padrão do qual o usuário fará parte. Ex.: Comercial
• Grupos adicionais: grupo adicionais dos quais o usuário fará parte. Ex.: Financeiro
5.4
Perfis de acesso
R Security Software passa a conter perfis de acesso.
A partir da versão 3.98, o Nettion
Para criar perfis de acesso e atribuir um perfil a cada usuário, acesse Usuários/Grupos
> Perfis de acesso.
Figura 5.5: Lista de perfis
46
CAPÍTULO 5. USUÁRIOS/GRUPOS
Esta funcionalidade permite ao Administrador definir quais módulos da ferramenta poderão
ser visualizados no menu de acesso dos usuários em um determinado perfil. O manuseio
é bem simples, como mostra a figura 5.6 abaixo.
Figura 5.6: Seleção dos Módulos
Após criar um perfil, o Administrador deve vinculá-lo aos usuários no qual ele se aplica.
Este vinculo é feito diretamente no cadastro do usuário. Será atribuı́do automaticamente
um perfil padrão com acessos limitados aos usuários que não forem vinculados a um perfil
especı́fico.
Capı́tulo 6
Proxy
O serviço de Proxy possui duas funções básicas. A primeira é o Cache, que possibilita
um aumento da velocidade, ao acessar páginas na internet sem que você precise, necessariamente, investir em links maiores, pois otimiza a navegação fazendo um cache local dos objetos(web) acessados pelos usuários. Isso permite que objetos já acessados e
que ainda sejam válidos sejam disponibilizados localmente aos usuários que precisarem
daquele mesmo objeto, evitando assim a utilização do link para cada acesso ao mesmo
site ou arquivo, por exemplo. Além disso, o Proxy também atua como um firewall em
nı́vel de aplicação. Assim, é possı́vel que o administrador faça um controle dos acessos
dos usuários através de regras relacionadas a: horários, domı́nios, palavras ou expressões
regulares, grupos de usuário ou relacionados aos próprios objetos de hosts e redes.
6.1
Regras de Firewall Necessárias
Assim como qualquer outro serviço, o Proxy precisa que liberações sejam feitas no Firewall
para que possa funcionar adequadamente. As regras necessárias são:
6.1.1
Intranet → Nettion
É necessário criar uma regra que permita que os usuários da rede interna (e das redes que
também forem necessárias) acessem o Nettion nos serviços squid (porta 3128) e dns(porta
53). Veja na tabela 6.1 um resumo da regra de Firewal (página 47).
Regra: Intranet → Nettion
Origem Destino
Serv. Destino Ação
squid
Intranet localhost
Aceitar
dns
Tabela 6.1: Liberação do Firewall Intranet -> Nettion
6.1.2
Nettion → Internet
Também é necessário permitir que o Nettion acesse a Internet para buscar os sites. Para
isso o Nettion deverá acessar os serviços Web padrão (http, https e tomcat) e também o
47
48
CAPÍTULO 6. PROXY
serviço DNS (resolução de nomes). Veja um resumo da regra necessária na tabela 6.2 na
página 48.
Regra: Nettion → Internet
Destino
Serv. Destino Ação
http
https
localhost Qualquer
Aceitar
tomcat
dns
Origem
Tabela 6.2: Liberação do Firewall Nettion -> Internet
6.2
Configurações
R possibilita que se trabalhe com um proxy transparente ou com autenticação.
O Nettion
Abordaremos os dois casos:
6.2.1
Proxy com autenticação
No uso do proxy com autenticação, trabalha-se com cache e controle de acessos, havendo
a possibilidade de restrições quanto aos usuários.
Para uso do proxy com autenticação é necessário configurá-lo no browser de cada estação.
6.2.2
Proxy transparente
No uso do proxy transparente trabalha-se apenas com cache, não havendo a possibilidade
de restrições quanto aos usuários.
No caso do Proxy Transparente, é necessário que uma regra adicional de Firewall seja
criada. Ela será responsável por redirecionar o tráfego em direção a porta 80 para a porta
do Proxy, no caso a 3128 (objeto squid) por padrão.
Regra: Proxy Transparente
Origem Destino
Serv. Destino Ação
Intranet Qualquer http
Redirecionar para localhost:3128
Tabela 6.3: Redirecionamento Proxy Transparente
6.2.3
Configurações gerais
• Porta: porta na qual rodará o serviço de Proxy. Ex.: 3128 (padrão);
• Tamanho do cache: tamanho do cache em MB. Ex.: 1000
6.3. REGRAS
• Quantidade de memória: quantidade de memória RAM (em MB) que será utilizada
para armazenar objetos frequentemente acessados. Ex.: 100; Pode se fazer um
cálculo de 10% da memória RAM da máquina para esta configuração caso o Nettion
também seja utilizado para outras funções como Firewall, VPN, E-mail, etc. Caso o
Nettion seja utilizado apenas para o fim de Proxy, pode-se chegar a valores maiores,
como 60 a 70% da RAM disponı́vel. O armazenamento de objetos em memória RAM
acelera ainda mais a navegação devido a maior velocidade de acesso comparada ao
acesso a disco;
• Tamanho máximo de um objeto em disco: até qual tamanho (em MB) um objeto
fica armazenado em Cache. Ex: 64;
• Polı́tica padrão: polı́tica padrão a ser utilizada Ex.: negar qualquer acesso. O ideal
é que o padrão seja negar os acessos e que você crie regras liberando o que for
necessário;
• Mensagens de erro: determina em que lı́ngua as mensagens de erro aparecerão para
os usuários.
R deve
• Processos de Autenticação Básica: determina quantos processos o Nettion
manter abertos para realizar a autenticação dos usuários. Varia de acordo com o
número de pessoas que vão acessar simultaneamente a Internet.
• Processos de Autenticação NTLM: determina quantos processos de autenticação
R deve manter abertos para realizar a autenticação dos usuários.
NTLM o Nettion
Este número varia em função da quantidade de usuários de proxy via autenticação
NTLM. O Padrão são 20 processos, porém, em algumas redes com muitos usuários
e muitas autenticações simultâneas, pode ser necessário aumentar este número.
A figura 6.1 (página 49) mostra um exemplo de configuração do Proxy.
6.3
Regras
As regras do proxy podem ser interpretadas como frases (veja figura 6.2 na página 50),
cabendo ao administrador construir aquelas que devem ser aplicadas no controle de acesso.
Para a formação das regras, são utilizadas informações previamente cadastradas. Veja
referência no Capı́tulo 4 (Objetos) e no Capı́tulo 5 (Usuários e Grupos).
Caberá ao administrador elaborar as regras para gerenciamento dos acessos.
6.4
Composição de regras do Proxy
A criação/edição das regras do Proxy é feita através de um Wizard que o guiará na
composição dos filtros de acesso. Cada regra permite aplicação de filtros por domı́nio,
por expressões regulares, por horário e por IP, que são aplicadas a Usuários e/ou Grupos
de Usuários. As regras são analisadas uma a uma de acordo com a sua posição, iniciando
pela regra de número 1, estabelecendo-se assim uma ordem de prioridade. Desta forma,
é importante que as regras mais especı́ficas fiquem acima das regras mais genéricas.
49
50
CAPÍTULO 6. PROXY
Figura 6.1: Configurações do Proxy
Figura 6.2: Listagem de regras do Proxy
6.4. COMPOSIÇÃO DE REGRAS DO PROXY
Figura 6.3: Definição da regra
6.4.1
Tela 1 - Definição da regra
• Ação: a ação da regra, Permitir ou Negar.
• Domı́nios: indique “Qualquer”caso não queira fazer restrições quanto a domı́nios
nesta regra ou indique “Pertencentes ao grupo”e selecione um objeto de domı́nios
para aplicar a regra aos domı́nios do grupo ou, ainda, indique “Não pertencentes ao
grupo”e selecione um objeto de domı́nios para aplicar a regra a domı́nios que não
façam parte do grupo selecionado.
• Filtro: utilize aqui a mesma lógica aplicada aos domı́nios, aplicadas desta vez aos
objetos de Expressões;
• Posição: posição da regra na tabela. Determina qual a prioridade de interpretação
das regras.
• Status: status da regra. Indica se a regra está Ativa ou Inativa. Opções: Ativa ou
Inativa
Importante: Caso você selecione tanto filtro de Domı́nio quanto filtro de Expressões
em uma mesma regra, o Nettion aplicará a regra /textbfsomente se a URL acessada
satisfizer as exigências dos filtros de Domı́nio e de Expressões dos grupos selecionados
(lógica ”and”).
O critério para posicionamento das regras irá variar de acordo com a polı́tica de segurança
implementada. Sugerimos, entretanto, alguns conceitos que podem ser observados nesse
sentido. Regras de permissão que não requerem autenticação devem estar nas primeiras
posições.
REGRAS
1. Permitir os domı́nios sem autenticação dentro do horário comercial para qualquer
usuário.
2. Regras de permissão que requerem autenticação de usuários selecionados devem
estar posicionadas abaixo das regras que não requerem autenticação. Ex: Permitir
qualquer domı́nio em qualquer horário para os usuários do grupo Diretoria.
51
52
CAPÍTULO 6. PROXY
3. Regras de permissão que requerem autenticação para usuários válidos devem estar
posicionadas abaixo das regras referentes a ”usuários selecionados”. Ex: Permitir
qualquer domı́nio, sem palavras proibidas em qualquer horário, para usuários válidos.
4. A regra referente à polı́tica padrão selecionada nas configurações do proxy estará
implı́cita e será escrita após a última regra cadastrada pelo usuário. Assim, a polı́tica
padrão somente será interpretada pelo proxy caso o acesso solicitado não se encaixe
em nenhuma das regras anteriores.
6.4.2
Tela 2 – Horário
Determina o horário para a ação. Define o horário no qual a regra atuará com base em
um horário previamente cadastrado. Opções: “Qualquer”, “Dentro do horário”ou “Fora
do horário”. O padrão “Qualquer”será utilizado quando o administrador não especificar
uma relação com um horário durante a elaboração da regra. Para especificar uma relação
com um horário, o administrador deve selecionar uma opção diferente de “Qualquer”para
que seja exibida a lista de horários cadastrados e entre os quais ele selecionará o horário
desejado, que será exibido em amarelo, isto é, o horário no qual a regra irá atuar. Veja
tela de seleção de horários na figura 6.4 na página 52.
Figura 6.4: Seleção de horário par aplicação da Regra
6.4.3
Tela 3 - Aplicar para:
Para finalizar, determine para quem a regra deve ser aplicada.
• Host/Rede: Definição do host ou da rede que serão tratados por esta regra, com base
em host/rede previamente cadastrados. Opções: Qualquer, Igual a ou Diferente
de. O padrão Qualquer será utilizado quando o administrador não especificar uma
relação com um host/rede durante a elaboração da regra. Para especificar uma
relação com um host/rede, o administrador deve selecionar uma opção diferente de
6.5. RELATÓRIOS
53
“Qualquer”para que seja exibida a lista de hosts/redes cadastrados e entre os quais
o administrador escolherá o host/rede desejado.
• Grupos/Usuários: Definição dos usuários que serão tratados por esta regra, com
base em usuários e grupos previamente cadastrados ou sincronizados com uma base
externa. Opções:
– Qualquer - a regra será aplicada a qualquer usuário, autenticado ou não;
– Usuários Válidos - a regra será aplicada somente a usuários válidos, ou seja
usuários autenticados. Para isso, caso o usuário ainda não tenha sido autenticado, o Proxy o solicitará autenticação1 ;
– Somente selecionados - a regra será aplicada aos usuários autenticados que
forem selecionados nas caixas de Grupos e Usuários. Por isso, com a escolha
desta opção as caixas de seleção são habilitadas. Selecione para a caixa da
esquerda os Grupos e/ou Usuários desejados.
Observação: Para otimizar o tempo de carga de usuários e grupos o Nettion carrega
somente os 100 primeiros registros de cada de caixa de seleção. No final da lista possui
um item chamado “mais...”. Clique nele duas vezes para que carregue mais 100 registros.
Caso prefira, você também poderá utilizar o campo de busca que fica acima das caixas.
6.5
Relatórios
R disponibiliza ao administrador relatórios gerenciais referentes aos acessos via
O Nettion
Proxy. Quando utilizada a autenticação, será possı́vel ao administrador filtrar os acessos
referentes a cada usuário.
6.5.1
Padrão
R gerar relatórios analı́ticos dos
Este relatório possibilita ao administrador do Nettion
sites acessados, especı́ficos em um determinado perı́odo. Caso os campos não sejam
preenchidos, o relatório será geral.
Os campos para composição de relatórios são:
• Usuário: seleciona sobre qual usuário o relatório será demonstrado. Ex.: Fernanda.
Trará todos os acessos realizados pelo usuário Fernanda no perı́odo especificado nos
campos DE (DATA) e ATÉ (DATA).
• Host: especifica de qual máquina partiu acesso à internet. Ex.: 10.0.0.36. Trará
todos os acessos realizados a partir da máquina 10.0.0.36 no perı́odo especificado.
• URL: endereço completo ou trecho de um endereço que se deseja saber quem o acessou no perı́odo especificado. Ex.: www.nettion.com.br. Trará uma lista com todos
os usuários que acessaram a este site: www.nettion.com.br. Ex: Nettion. Trará
uma lista com todos os usuários que acessaram a algum site (URL) que contenha a
palavra “Nettion”.
1
Caso o Nettion esteja utilizando a autenticação integrada NTLM a autenticação já foi negociada e não aparecerá
caixa de autenticação solicitando-a novamente.
54
CAPÍTULO 6. PROXY
6.5.2
Por domı́nio
R gerar relatórios de acessos em um
Este relatório possibilita ao administrador do Nettion
determinado perı́odo agrupados por domı́nios, conforme os campos DE (DATA) e ATÉ
(DATA). O administrador pode selecionar um grupo especı́fico para qual o relatório será
exibido ou especificar apenas um usuário.
• Clicando na coluna “hits”, o administrador visualizará o relatório detalhado referente
ao domı́nio.
• Grupo: especificar sobre qual grupo o relatório será demonstrado. Ex.: Desenvolvimento. Exibirá todos os acessos realizados pelo desenvolvimento no perı́odo
especificado nos campos DE (DATA) e ATÉ (DATA).
• Usuário: Especificar sobre qual usuário o relatório será demonstrado. Ex.: Fernanda.
Exibirá todos os acesso realizados pela Fernanda no perı́odo especificado nos campos
DE (DATA) e ATÉ (DATA).
6.5.3
Top
R identificar quais foram os Top
Este relatório possibilita ao administrador do Nettion
acessos através de três relatórios diferentes. Por Usuário, por Domı́nio ou por Host.
O Top Usuários permite ainda a seleção de três unidades de medida, podendo ser por
Tráfego (quantidade de bytes transferidos), por Hits (quantidade de acessos feitos - cada
item de um site representa um hit) ou por tempo de acesso (considera o tempo de carga
dos sites/arquivos da web, ou seja, o tempo em que o usuário realmente utilizou o Proxy).
6.5.4
Acessos Bloqueados
R gere relatórios analı́ticos dos
Este relatório possibilita que o administrador do Nettion
sites acessados e que estão bloqueados para o respectivo usuário em um determinado
perı́odo, para simples identificação de tentativa de acesso não permitido. Caso os campos
não sejam preenchidos, o relatório será geral.
6.5.5
On-line
R efetue o acompanhamento onEste relatório possibilita que o administrador do Nettion
line dos sites que estão sendo acessados. Para iniciar o acompanhamento, o administrador
deve clicar no botão ”Iniciar”e para interromper, deve clicar o botão “Parar”.
6.6
Gráficos
Além dos relatórios, o Nettion também disponibiliza gráficos em real time dos acessos dos
usuários ou hosts da rede. Através deles o administrador poderá analisar graficamente os
acessos de todos ou de um usuário especı́fico dentro do perı́odo escolhido. Duas opções
de gráficos são disponibilizadas, podendo ser por usuário ou por host.
6.6. GRÁFICOS
55
Para ter acesso aos Gráficos, acesse o menu Proxy -> Gráficos -> Usuários ou Hosts. Os
gráficos são inicialmente carregados com os dados de todos os usuários ou hosts, conforme
exemplo na figura 6.5 (página 54).
Utilize a seleção na parte superior do gráfico, para visualizar o gráfico de um usuário ou
host especı́fico.
Figura 6.5: Gráfico de Usuários
6.6.1
Monitoramento Realtime
Uma vez selecionado o usuário desejado, clique no botão “Monitorar”para acompanhar a
formação do gráfico à medida que o usuário faz seus acessos. Para parar o monitoramento,
clique no botão ”Parar”.
6.6.2
Selecionando um perı́odo
Para selecionar um perı́odo especı́fico para visualização do gráfico, clique na lupa que fica
na parte superior direita do gráfico. Na próxima tela você terá duas opções de seleção do
perı́odo. A primeira delas é através da caixa de seleção na base do gráfico, que permite
a seleção dos perı́odos de 30 minutos a 1 ano. A segunda opção é utilizando o mouse.
Clique com o botão esquerdo em uma posição do gráfico e arraste, fazendo uma seleção
de uma área. Ao soltar o botão, o gráfico será recarregado com o perı́odo selecionado.
6.6.3
Visualizando acessos a partir do gráfico
É possı́vel também visualizar os acessos do usuário a partir de uma área selecionada do
gráfico. Para isso, após selecionar um perı́odo, clique no icone que fica na parte superior
direita do gráfico.
56
CAPÍTULO 6. PROXY
6.7
Configurando as estações da rede
Para que as estações da rede utilizem o Proxy do Nettion (em modo não transparente)
é necessário que as configurações de Proxy de seus navegadores estejam apontando para
o IP e Porta do Nettion. Esta configuração pode variar de acordo com o navegador
utilizado. Listamos abaixo a configuração necessária nos mais conhecidos e utilizados:
• Firefox (versão 2.0)
Com o navegador aberto, clique no menu “Ferramentas → Opções. . . ”;
Na tela seguinte, clique na opção “Avançado”;
Agora clique na aba “Rede” e depois no botão “Configurações. . . ”;
Na tela seguinte, selecione a opção “Configuração manual de proxy” e preencha
as informações de HTTP com o IP de acesso ao Nettion e a porta do Proxy, que
por padrão é a porta 3128.
– Nesta mesma tela, na opção “Sem proxy para:” indique também o IP do Nettion
- isso vai evitar que os acessos ao próprio Nettion sejam feitos via Proxy.
– Depois clique em “OK” e o navegador estará configurado.
–
–
–
–
• Internet Explorer (versão 7.0)
– Com o navegador aberto, clique no menu “Ferramentas → Opções de Internet. . . ”;
– Clique na aba “Conexões” e depois no botão “Configurações da LAN’;
– Na tela seguinte, selecione a opção “Utilizar um servidor Proxy. . . ” e indique o
IP e porta de acesso ao Nettion. A porta padrão do Proxy do Nettion é a 3128;
– Nas opções avançadas, digite o IP do Nettion nas exeções para evitar que o
acesso ao próprio Nettion seja feito via proxy;
– Clique em OK e o navegador estará configurado.→ Opções. . .
Capı́tulo 7
Controle de Banda
O gerenciamento de banda do Nettion tem o objetivo de otimizar o uso dos links através
da re-priorização dos pacotes de dados. Com ele é possı́vel alocar uma maior quantidade
de banda do link para os serviços ou máquinas mais importantes da sua rede. Além disso,
o controle tem a flexibilidade de fazer a alocação de forma dinâmica, o que permite que
uma banda alocada e não utilizada possa ser consumida por um outro serviço de forma
automática.
Para que fique mais claro, o conceito do controle de banda, é necessário antes entendermos
os conceitos de Re-priorização de pacotes e de Realocação dinâmica de banda.
7.1
Re-priorização de pacotes
A Re-priorização age sobre a entrega dos pacotes, fazendo uma diminuição da velocidade
de entrega dos pacotes ou fazendo uma liberação maior de banda de acordo com as regras
estabelecidas. Para ficar mais claro, veja o exemplo abaixo.
Imagine que você esteja recebendo seus e-mails de um provedor externo à sua organização
de acordo com o cenário da figura 7.1 (página 58).
A linha 1 (verde) da imagem indica o sentido da sua solicitação ao provedor na porta
110 (conta POP3) e a linha 2 (azul) indica os pacotes de dados (seus e-mails) saindo do
servidor de E-mails e indo em direção a sua máquina. Ao chegarem ao Nettion, que faz a
intermediação da conexão, entrarão pela interface de rede Eth1, e sairão em direção a sua
máquina, indicada pela linha 3 (amarela), através da interface Eth0. E é neste momento,
da entrega, que o Nettion fará a repriorização dos pacotes, restringindo ou liberando mais
banda para a conexão.
Se para este cenário quiséssemos, por exemplo, restringir a banda para a obtenção de
e-mails, aplicarı́amos uma regra na interface Eth0(interface de entrega dos dados), restringindo o tráfeto originado na porta 110 com destino à rede interna ou à alguma
máquina em especı́fico. Veremos mais a frente a criação de regras.
57
58
CAPÍTULO 7. CONTROLE DE BANDA
Figura 7.1: Cenário Controle Banda
7.2. REALOCAÇÃO DINÂMICA DE BANDA
7.2
Realocação dinâmica de banda
O segundo conceito, porém não menos importante, é o de realocação dinâmica de banda.
Ele vai permitir que uma banda alocada para um determinado serviço ou host/rede seja
consumido por outro serviço, quando ociosa.
Para ficar claro, imagine a situação onde você alocou uma parte da sua banda (300Kbits)
para um determinado host da sua rede, porém, você deseja que, quando ociosa, esta
banda seja distribuida para as demais máquinas da rede. Para isso, utilizamos o conceito
de velocidade mı́nima e velocidade máxima, onde a velocidade mı́nima será o que ficará
reservado, ou seja, não será compartilhado, e velocidade máxima, será a banda que poderá
ser utilizada caso exista banda ociosa.
Todo este controle é feito através de Classes, que representam reservas de banda, e suas
Regras. Na próxima seção você aprenderá como as configurações de classes e regras são
feitas.
7.3
7.3.1
Configurações
Definição da Interface de rede
Antes de iniciar a configuração de um controle de banda, é necessário que você faça a
avaliação do cenário e identifique a origem e o destino dos dados que devem ser controlados. Após identificar de onde os dados partem e para onde vão, você identificará em
qual interface o controle será feito, que é aquela que faz a entrega dos dados diretamente
a quem os solicitou.
7.3.2
Classes
O primeiro passo será criar uma classe, que significa criar uma reserva de banda do seu
link. Neste momento ainda não iremos dizer a quem (host ou serviço) se destina esta
reserva. Isso será feito na criação das regras.
Além das classes criadas pelo administrador do Nettion, existe também o conceito da
Classe Default. A classe Default representa o restante de banda disponı́vel no dispositivo
de rede, ou seja, aquele que ainda não foi alocado em nenhuma classe e que será utilizado
por qualquer tráfego que não tenha sido classificado em qualquer regra. O total de
banda de um dispositivo é definida na configuração da própria interface de rede, no menu
Configurações -> Rede -> Interfaces.
Utilizaremos o cenário apresentado, da entrega de E-mails, para que o conceito fique mais
claro. Imagine que neste ambiente, nós temos 1Mbit de banda com a internet e a nossa
necessidade é restringir a banda do download de e-mails, impedindo que este tráfego
atrapalhe outros serviços.
Uma vez definida a interface de rede (veja seção 7.3.1), o próximo passo é fazer a criação
da classe de acordo com os passos a seguir:
1. Clique no menu Controle de Banda-> Configurações;
59
60
CAPÍTULO 7. CONTROLE DE BANDA
2. Clique no botão ”Configurar” da interface definida na seção 7.3.1;
3. A próxima tela mostrará uma listagem de Classes. Clique no botão ”Incluir”;
4. Preencha os campos:
• Nome: Nome da Classe. Ex: Classe 1;
• Descrição: Descrição da Classe. Ex: Classe 1;
• Vel. Mı́nima: insira a banda reservada para esta classe. Para o nosso exemplo
será de 1 Mbit;
• Vel. Máxima: insira a banda máxima permitida para a classe. Para o nosso
exemplo será de 1 Mbit;
5. Clique no botão ”Salvar Configurações”.
Para que você tenha uma idéia de como está ficando a sua configuração, o Nettion oferece
um gráfico que mostra a Interface e suas divisões de Classes e Objetos. Para visualizá-lo:
1. Clique no menu Controle de Banda-> Configurações;
2. Clique no botão ”Visualizar Gráfico” da interface desejada;
Observando a imagem, o cı́rculo laranja representa a Interface de rede, os cı́rculos azuis
representam as classes. Posicionando o mouse sobre os cı́rculos você terá maiores informações sobre suas configurações de banda, conforme mostrado na figura 7.2 (página
60).
Figura 7.2: Gráfico da Interface Eth0
Uma vez criada a Classe, o próximo passo será criar as regras, conforme veremos na
próxima seção.
7.4. ATIVANDO O SERVIÇO DE CONTROLE DE BANDA
7.3.3
Regras
As regras, que estararão sempre ligadas a uma classe, identificarão o tráfego ao qual o
controle será aplicado. Nela indicaremos a origem (de onde partem os dados), o destino
(onde os dados chegam) e as bandas mı́nimas e máximas. Os conceitos de banda mı́nima
(reserva) e banda máxima são equivalentes aos vistos nas Classes.
Seguindo o nosso exemplo, supondo que o limite a ser estabelecido para o tráfego vem da
Internet (qualquer origem) na porta 110 com destino as máquinas da rede interna seja de
100Kbits. Siga os passos a seguir para a criação desta regra:
• Clique no menu Controle de Banda-> Configurações;
• Clique no botão ”Configurar”da interface Eth0;
• Selecione a Classe ”Classe 1” e clique no botão ”Itens”;
• Na tela seguinte, da listagem das regras, clique no botão ”Incluir”;
• Insira agora as informações da regra. Veja figura 7.3 (página 61).
– Nome: nome da regra. Ex: POP3; Obs: Não é permitido espaço no nome da
regra;
– Descrição: insira uma descrição. Ex: Banda para POP3;
– Objeto de Origem: insira o objeto de onde os dados se originam. Neste caso
selecione o objeto Qualquer, significando qualquer host de origem;
– Objeto de Destino: insira o objeto de destino dos dados. Neste caso selecione o
objeto Rede Interna, previamente criado.
– Porta de Origem: insira a porta de origem dos dados. Neste caso insira 110.
– Porta de Destino: insira a porta de destino dos dados. Neste caso selecione
”Qualquer” clicando na caixa ao lado;
– Vel. Mı́nima: insira a banda reservada. Neste caso insira 100 Kbits;
– Vel. Máxima: insira a banda máxima permitida. Este campo define até quando
da banda ociosa pode ser utilizada para esta regra. Neste caso, como queremos
restringir insira o valor 100 Kbits;
– Prioridade: define a prioridade desta regra em relação as demais. Neste exemplo
selecione o valor 1;
Novamente, acesse o gráfico da Interface Eth0 para visualizar como está aplicado seu
controle de banda. Observe que agora surgiu um cı́rculo branco representando a regra
criada. Veja na figura 7.4 (página 62).
7.4
Ativando o serviço de Controle de Banda
Após as configurações, é necessário que o serviço seja ativado. Para isso, clique no menu
Sistema->Serviços. Depois clique no botão “Start”referente ao serviço de Controle de
Banda.
Para que o serviço seja ativado automaticamente durante a inicialização do Nettion,
marque a opção Auto do serviço e clique no botão ”Ativar mudanças para os selecionados”.
61
62
CAPÍTULO 7. CONTROLE DE BANDA
Figura 7.3: Regra POP3
Figura 7.4: Gráfico da Interface Eth0
Capı́tulo 8
Firewall
O Firewall é um recurso de segurança que faz o controle do que é permitido ou não passar
através do Nettion, como por exemplo, entre a sua rede e a internet. Funciona como um
filtro, evitando que serviços indevidos sejam acessados, diminuindo os riscos da exposição
da rede à internet.
O simples fato de ter um Firewall na rede não quer dizer que ele esteja sendo útil. Para
tal, é necessário que ele esteja bem configurado e sintonizado com as necessidades da
polı́tica de segurança da sua organização.
R utiliza as mais avançadas tecnologias de Firewall disponı́veis para o Sistema
O Nettion
Operacional Linux através do IPTables e do Kernel 2.6, e, aliado a isso, oferece também
uma interface bastante simples de inclusão e manutenção das regras, evitando que em
pouco tempo, o administrador se perca diante de tantas regras já criadas.
8.1
Configurações
Em configurações, o administrador definirá a polı́tica de acesso padrão que será utilizada
R
pelo firewall do Nettion.
A polı́tica padrão estabelece a ação que será tomada sobre
qualquer acesso que não tenha sido explicitamente liberado pelo administrador através
das regras. O ideal, e o recomendável, é que a polı́tica padrão seja configurada para
“Negar tudo”. Mas atenção. Antes de fazer esta configuração, algumas regras básicas
devem ser criadas, como as que liberam o acesso ao próprio Nettion.
A polı́tica padrão de acesso pode ser:
• Negar tudo, barrando qualquer acesso não liberado nas regras;
• Permitir tudo, barrando somente o que foi definido nas regras. Originalmente a
polı́tica está definida como Permitir tudo, a fim de que o usuário tenha acesso ao
R e possa cadastrar as regras necessárias aos seus acessos. Somente após
Nettion
efetuar esse processo, é que se deve alterar a polı́tica padrão para Negar tudo:
63
64
CAPÍTULO 8. FIREWALL
Figura 8.1: Configuração da polı́tica padrão do Firewall
8.2
Regras
R é analisado pelo filtro de pacotes, que o
Cada pacote1 que trafega através do Nettion
abre e extrai informações como IP de origem, destino do pacote, portas, etc., verificando
se estas informações batem com alguma regra cadastrada no firewall. Caso sim, o firewall
toma a ação que a regra diz (bloqueia, aceita ou audita). Caso não haja uma regra
especı́fica no firewall que trate este pacote, será utilizada a polı́tica padrão definida no
R para este fluxo, que pode ser Permitir tudo ou Negar tudo.
firewall do Nettion
8.2.1
Incluindo uma nova regra
R faz-se necessário que
Para que o usuário possa incluir as regras do firewall do Nettion,
os objetos a serem utilizados tenham sido previamente cadastrados. É aconselhável que se
R já disponibiliza
tenha traçado um esboço das regras que serão cadastradas. O Nettion
a grande maioria dos serviços que você precisará na configuração do firewall, mas você
também tem liberdade para adicionar novos, caso seja necessário. Para efetuar a inclusão
de uma regra, clique no botão Incluir, no menu Firewall -> Regras, e preencha os campos
solicitados:
Definições Básicas da Regra
• Descrição: uma descrição da regra, como por exemplo: regra para liberar VNC;
• Ação: indica a ação que o firewall tomará sobre os pacotes tratados por esta regra,
que podem ser:
– Permitir Libera o tráfego;
– Negar Bloqueia o tráfego;
– Auditar Gera registros sobre as conexões tratadas pela regra. É especialmente
útil quando se deseja descobrir as portas utilizadas por um determinado serviço.
Todo o tráfego auditado pode ser visto através do Relatório do Firewall.
1
Os dados numa rede IP são enviados em blocos referidos como pacotes ou datagramas (os termos são basicamente
sinônimos no IP, sendo utilizados para os dados, em diferentes locais nas camadas de IPs)
8.2. REGRAS
65
Figura 8.2: Definições básicas da regra de Firewall
• Pos: a posição na lista de regras. As regras são processadas sequencialmente e a
ordem, nesse caso, é importante, pois uma vez que um pacote é abrangido por uma
regra, a ação desta é tomada e ele não é mais processado pelas regras seguintes2 ;
• Status: define status da regra como ativa ou inativa.
Após preencher esse formulário, clique em Avançar e escolha os horários nos quais esta
regra deve atuar, como mostrado na próxima figura:
Horários
Se você deseja que a regra sempre atue, escolha Qualquer (opção padrão). Você também pode usar os objetos do tipo “Horário” para determinar quando a regra deve atuar.
Definido quando a regra deve atuar, clique em Avançar e vamos configurar a regra propriamente dita.
Seleção de objetos para aplicação da Regra
Em “Filtros de Origem -> Hosts”, você definirá a partir de qual ou quais hosts ou
redes a conexão será iniciada. Para fazer a seleção, selecione os objetos desejados da caixa
de seleção à direita (lista de objetos de Hosts e Redes precadastrados), transferindo-os
para a caixa à esquerda. A transferência pode ser feita clicando-se duas vezes no objeto
desejado ou utilizando os controles entre as caixas.
Para especificar que não importa a origem dos pacotes, ou seja, de qualquer Host/Rede
de origem, deixe a caixa de seleção da esquerda vazia.
Para especificar que é o Nettion, utilize o objeto especial chamado “localhost”.
2
caso algum pacote seja tratado por uma regra cuja ação seja Auditar, ele continua até que seja tratado por alguma
outra regra de Permitir ou Negar ou pela polı́tica padrão
66
CAPÍTULO 8. FIREWALL
Figura 8.3: Definição do horário de aplicação da regra
Dica: Caso você esteja utilizando o Browser Mozilla Firefox, é possı́vel obter
maiores informações sobre os objetos durante a criação da regra. Para isso,
basta posicionar o mouse sobre o objeto desejado, como mostrado na figura 8.4
(página 66).
Figura 8.4: Informações sobre os objetos
Em “Filtros de Destino -> Hosts” você selecionará os hosts ou redes de destino da
conexão, ou seja, aqueles que receberão a conexão.
Para especificar que não importa o destino dos pacotes, ou seja, deixe a caixa de seleção
da esquerda vazia.
Para especificar que é o Nettion, utilize o objeto especial chamado “localhost”.
8.2. REGRAS
67
Em “Filtros de Destino -> Serviços” você selecionará qual ou quais serviços serão
acessados no destino da conexão. Por padrão o Nettion oferece uma lista de serviços Predefinidos com os principais serviços, mas você pode criar seus próprios no menu Objetos
-> Serviços -> Personalizados.
Figura 8.5: Seleção de objetos para aplicação da regra
Configurações Avançadas
Caso você esteja fazendo uma regra de redirecionamento de pacotes, ou queira aplicar
outras configurações à sua regra, antes de ”Concluir” clique no botão ”Configurações
Avançadas”.
Nesta seção, você poderá:
• Otimizar o tráfego: Esta opção permite que o tráfego tratado por esta regra seja
otimizado. A otimização é feita através da configuração de um cabeçalho especial dos
pacotes (TOS - Type Of Service) que tem a função de especificar uma das seguintes
configurações:
–
–
–
–
Minimiza Custo
Maximiza a confiabilidade
Maximiza Throughput
Minimiza Delay
• Redirecionar este tráfego para outro host: utilize esta opção quando você
estiver criando uma regra de redirecionamento de pacotes, por exemplo, redirecionando as conexões de VNC que chegarem ao Nettion para um host especı́fico da sua
rede. Observação importante: Caso a sua intenção seja fazer o redirecionamento do
serviço que chegar ao Nettion para outro host, sem alterar as portas de desntino,
deixe o campo Porta vazio. Caso não, indique um número de porta diferente.
68
CAPÍTULO 8. FIREWALL
Figura 8.6: Configurações avançadas da regra
• Auditar este tráfego: permite que o tráfego tratado por esta regra seja auditato.
Isso vai fazer com que o Nettion gere registros das conexões que poderão ser acessados
através dos Relatórios do Firewall.
• Mascarar dinamicamente este tráfego quando necessário: esta opção faz com
que o Nettion aplique o NAT (Network Address Translation) nos pacotes tratados
por esta regra, quando necessário. Isso ocorre, por exemplo, quando um host da rede
interna, com um IP privado, precisa acessar um serviço diretamente na Internet.
• Estado estabelecido e/ou relacionado no retorno da conexão: Esta opção
permite tratar o estado da conexão (Stateful Firewall ). Quando marcada, vai permitir que somente os hosts de origem iniciem a conexão em direção aos hosts de destino
da regra. Quando houver a necessidade de deixar que ambos os lados (Origem e
Destino) originem a conexão, como entre duas redes de uma VPN, desmarque esta
opção.
Dica: durante a inclusão das regras, é importante que você avalie se a nova
regra se encaixa com alguma já criada. Caso sim, basta você editar a regra
existente e incluir os objetos desejados. Isso vai fazer com que seu Firewall
fique mais organizado, facilitando sua manutenção.
8.3. REGRAS BÁSICAS DO FIREWALL
8.3
Regras básicas do Firewall
A configuração do Firewall requer a análise detalhada do ambiente para que todo o
tráfego necessário seja contemplado através de suas regras. Seguem abaixo algumas regras
básicas, que são úteis na maioria dos ambientes.
8.3.1
Acesso ao Nettion
É necessário que você crie uma regra que o permita acessar a interface de administração
do Nettion. A liberação desta regra pode ser feita apenas para um IP fixo na rede, o da
máquina do administrador, ou para toda a rede interna, com destino ao Nettion. Segue
um resumo da regra a ser criada na tabela 8.1 (página 69).
Regra: Administração do Nettion
Origem
Destino
Serv. Destino Ação
http
Host Administrador localhost
Aceitar
https
ssh
Tabela 8.1: Liberação do acesso ao Nettion
Obs: como comentado anteriormente, o objeto especial ”localhost” referencia o próprio
Nettion.
8.3.2
Acesso Nettion -> Internet
Na maioria dos casos, o Nettion é utilizado com a função de Proxy da rede. Isso requer
que o Nettion acesse alguns serviços na Internet, como DNS, HTTP e HTTPS. Veja um
resumo da regra a ser criada na tabela 8.2 (página 69).
Regra: Nettion -> Internet
Origem
Destino
Serv. Destino Ação
http
localhost Qualquer
Aceitar
https
dns
Tabela 8.2: Liberação Nettion -> Internet
8.3.3
Resolução de nomes para a rede interna
Na maioria das vezes, o Nettion é responsável pela resolução de nomes na Internet para
as máquinas da rede interna. Para isso, segue o resumo da regra a ser criada na tabela
8.3 (página 69).
Exemplos de outras regras poderão ser encontradas neste documento nas configurações
de outros módulos do Nettion, como Proxy e VPN.
69
70
CAPÍTULO 8. FIREWALL
Regra: DNS para Intranet
Origem
Destino
Serv. Destino Ação
Rede Interna localhost dns
Aceitar
Tabela 8.3: Liberação do DNS para Rede Interna
8.4
Relatórios
Através do relatório do Firewall você terá acesso aos registros gerados pelas regras de
Auditoria do seu Firewall.
Os filtros de pesquisa permitem que você faça o filtro tanto por uma regra especı́fica de
auditoria, quanto permitem uma seleção avançada de hosts e serviços, como mostrado na
figura 8.7 (página 70).
Figura 8.7: Relatórios do Firewall
Capı́tulo 9
VPN
A VPN (Virtual Private Network ou Rede Privada Virtual) envolve a utilização da internet como meio seguro de comunicação entre dois pontos. Para garantir a segurança no
R através
tráfego das informações pelo meio público que a internet representa, o Nettion,
de sua funcionalidade de VPN, cria um túnel de comunicação entre os dois pontos pelo
qual os dados trafegados são criptografados. Isso quer dizer que somente os dois pontos
terão a chave de descriptografia e de interpretação dos dados recebidos.
R possui quatro tipos de VPN:
O Nettion
• PPTP
• IPSec Chave Pública RSA
• IPSec Chave Compartilhada PSK
• OpenVPN (Plugin)
9.1
VPN PPTP
O protocolo PPTP permite estabelecer a conexão de 1 host pertencente a internet à
R Sua criptografia é média ou baixa, dependendo do
rede local controlada pelo Nettion.
cliente utilizado. Em sistemas operacionais Windows, com a versão igual ou posterior a
2000, estabelecem-se conexões de criptografia média de 128 bits. Em clientes Windows
98, estabelecem-se conexões com 40 bits de criptografia.
Um caso de uso comum se apresenta quando o usuário quer ter acesso à rede da empresa,
R a partir de uma conexão discada (DialUP) ou ADSL.
controlada pelo Nettion,
Atenção: para utilização da VPN-PPTP, é necessário que o administrador inclua no
firewall as regras para prever o acesso. Faça uso do objeto pré-definido pptp. Segue um
resumo da regra necessária na tabela 9.1.
Regra: Liberação da VPN PPTP
Origem
Destino
Serv. Destino Ação
Qualquer localhost pptp
Aceitar
Tabela 9.1: Liberando VPN PPTP
71
72
CAPÍTULO 9. VPN
9.1.1
Configurações
Deve-se inicialmente configurar o servidor de VPN - PPTP, informando:
Figura 9.1: Configurações da VPN PPTP
• Interface de Funcionamento: Indique a interface de rede pela qual o servidor irá responder por requisições PPTP. Normalmente será a interface de rede que se conecta a
Internet (com IP público) ou Todas, para qualquer interface. Ex.: eth0(200.200.200.200);
• IP do Servidor: IP que será o Gateway do cliente PPTP após a conexão. Ex.:
128.0.0.1
• Intervalo de IPs dos clientes: range (faixa) de IPs que será fornecido aos clientes
da VPN. Ex.: 128.0.0.11-20. O administrador deverá cadastrar os usuários que
utilizarão a VPN PPTP, que chamaremos de clientes, podendo atribuir ao cliente
um IP, que será selecionado para os que necessitem de um tratamento diferenciado
quanto ao firewall a cada conexão. Ou, pode permitir que o servidor PPTP atribua
um dos IPs dentro do range, informado na configuração do servidor disponı́vel no
momento da conexão.
Importante: Para que os clientes PPTP possam acessar a sua rede e para que também
possam ser acessados, é necessário que se faça uma regra liberando este tráfego. Veja o
resumo de uma regra para o exemplo onde a rede VPN e a rede interna estão na rede
128.0.0.0/24 na tabela 9.2 (página 73), considerando que:
• Rede Interna: Objeto de Host/Rede configurado para 128.0.0.0/24;
• Qualquer: Qualquer serviço possa ser acessado entre as redes. Escolha os serviços
especı́ficos caso necessário.
Obs: Para permitir que a conexão possa ser iniciada a partir de ambos os lados, desmarque a opção Estado estabelecido e/ou relacionado no retorno da conexão nas
configurações avançadas desta regra.
A exibição da lista de clientes cadastrados pode ser ordenada pela coluna: Login ou
Nome ou Descrição. O cliente deve clicar sobre a coluna especı́fica para que o sistema
alterne a exibição e a ordenação dos itens da tabela. Será possı́vel utilizar a barra de
rolagem para navegar entre os itens da tabela.
9.1. VPN PPTP
73
Regra: Liberação da VPN PPTP
Origem
Destino
Serv. Destino Ação
Rede Interna Rede Interna Qualquer
Aceitar
Tabela 9.2: Liberando tráfego rede interna ↔ rede VPN
9.1.2
Manutenção do cadastro de clientes para VPN PPTP
A manutenção do cadastro de clientes PPTP segue ao padrão estabelecido anteriormente.
Para clientes PPTP deverão ser preenchidos os seguintes campos:
Figura 9.2: Adicionando/Editando usuários PPTP
• Usuário: login do usuário. Ex.: Renato
• Senha: senha de autenticação. Ex.: senhapptp
• Confirmação: confirmação da senha. Ex.: senhapptp
• IP: IP que a máquina externa deste cliente irá receber ao fechar VPN com o Nettion.
Caso seja preenchido este campo com um asterisco (*), o cliente receberá um dos IP
existentes dentro do Range (faixa) de IP disponibilizado pelo Servidor. Caso seja
especificado um IP, este cliente sempre receberá este IP ao conectar-se. Para uma
maior segurança indicamos que o IP seja fixo. Ex. 1: * Ex. 2: 128.0.0.11
Conexões Ativas
R possibilita que o administrador tenha conhecimento sobre quais conexões esO Nettion
tam ativas no momento da consulta. Estas informações estarão disponı́veis nos relatórios
posteriores.
74
CAPÍTULO 9. VPN
Relatórios
Nesta seção, o administrador poderá visualizar relatórios sobre as conexões PPTP realizadas.
Figura 9.3: Relatório de conexões realizadas.
Conexões O administrador poderá efetuar o acompanhamento dos acessos feitos via
PPTP, facilitando o gerenciamento da rede. É possı́vel ainda que o administrador desconecte manualmente um usuário conectado clicando no botão“Stop”, conforme mostrado
na figura 9.4 (página 74).
Figura 9.4: Listagem de conexões ativas
9.2
VPN IPSec
O IPSec é um dos protocolos mais seguros que existem para o estabelecimento VPN’s
através de redes públicas de comunicação. Este fato dá-se pelo uso dos mais fortes algoritmos públicos de criptografia, com nı́veis de segurança configuráveis pelo administrador.
Atenção: para a utilização da VPN-IPSec é necessário que o administrador inclua no
firewall regras para prever seu acesso. Segue um resumo da regra a ser criada na tabela
9.3 (74).
Além desta regra, é necessário fazer uma regra que libere o tráfego entre as redes conectadas via IPSEC. Segue um resumo da regra a ser criada para este fim na tabela 9.4
(página 75), considerando que:
9.2. VPN IPSEC
75
Regra: Liberando IPSec
Origem
Destino
Serv. Destino Ação
Localhost Qualquer ipsec
Aceitar
Tabela 9.3: Liberando IPsec
• Rede Local: Objeto de Host/Rede previamente configurado com o IP da sua rede
local;
• Rede Remota: Objeto de Host/Rede previamente configurado com o IP da rede
remota;
• Qualquer Serv: considerando que qualquer serviço estará disponı́vel entre as redes.
Escolha os serviços especı́ficos caso necessário.
Obs: Para permitir que a conexão possa ser iniciada a partir de ambos os lados (rede
local e rede remota), desmarque a opção Estado estabelecido e/ou relacionado no
retorno da conexão nas configurações avançadas desta regra.
Regra: Liberando tráfego dentro da VPN
Origem
Destino
Serv. Destino Ação
Rede Local Rede Remota Qualquer
Aceitar
Tabela 9.4: Liberando Tráfego dentro da VPN
9.2.1
Configurações
Chaves de Autenticação e Criptografia
Existem 2 tipos possı́veis de chave:
R para estabelecer a VPN, abra uma janela
DICA: caso você esteja utilizando 2 Nettions
do browser através de conexão segura com cada um dos lados. Desta forma, fica mais
simples configurar sua VPN.
Chave PSK O sistema de autenticação sob chave PSK consiste em uma única chave,
compartilhada entre os 2 lados da VPN, que promove o sistema de criptografia, descriptografia e autenticação.
Vantagens:
• Por utilizar o protocolo IPSec, projetado especificamente para o tráfego seguro de
R se torna uma
informações através do protocolo TCP/IP, a VPN IPSec do Nettion
das mais seguras escolhas para o tráfego de informações;
• O sistema PSK é mais simples de ser configurado que o de dupla chave RSA. Porém,
o nı́vel de criptografia e segurança é mais baixo;
R da
• Compatibilidade total com outros sistemas de VPN PSK, como o Raptor
R
Symantec.
Desvantagens:
76
CAPÍTULO 9. VPN
• Não suporta NAT;
• Menos seguro que o sistema RSA.
Precauções:
• Não utilize chaves humanamente compreensı́veis;
• Não forneça sua chave para o outro lado da VPN por e-mail, mensagens instantâneas
ou outros meios públicos de comunicação. Utilize ssh, https ou outro meio seguro
de transferência de mensagens. Caso você utilize um disquete ou CDROM para o
transporte da chave, destrua-o;
• Não revele sua chave para ninguém;
• Gere chaves seguras, com mais de 128bits.
Chave RSA O sistema de autenticação sob chaves RSA consiste em 2 chaves, uma
pública e uma privada, que promovem o sistema de criptografia, descriptografia e autenR
ticação. Esta configuração requer a geração da chave secreta, que o próprio Nettion
tem capacidade para fornecer. A chave secreta possui um altı́ssimo nı́vel de criptografia
(ex.: 2048bits ou 4096bits), configurável pelo administrador, que garante um altı́ssimo
nı́vel de segurança nas transações .
Vantagens:
• Por utilizar o protocolo IPSec, projetado especificamente para o tráfego seguro de
informações através do protocolo TCP/IP, a VPN IPSec se torna uma das mais
seguras escolhas para o tráfego de informações;
• O sistema RSA é extremamente seguro;
• Sistema utilizado há muitos anos, com uma base sólida de teste de segurança e
usabilidade.
Desvantagens:
• Não suporta NAT;
Precauções:
• Não forneça sua chave para o outro lado da VPN por e-mail, mensagens instantâneas
ou outros meios públicos de comunicação. Utilize ssh, https ou outro meio seguro
de transferência de mensagens. Caso você use um disquete ou CDROM para o
transporte da chave, destrua-o;
• Não revele sua chave para ninguém;
Configurações Gerais
Deve-se inicialmente configurar o Servidor de VPN - IPSec, informando:
• Interface de Funcionamento: Interface pela qual o servidor irá se conectar. Normalmente será a interface de rede que se conecta a Internet (com IP público). Utilize a
opção “Rota Padrão” caso o seu Link com a Internet possua um IP público dinâmico
(variável).
9.2. VPN IPSEC
77
Figura 9.5: Configurações do servidor IPSEC
• Tipo de Encriptação: tipo de chave que será utilizada para encriptação: 3des, 3desmd5-96 ou 3des-sha1-96 Ex.: 3des-md5-96
• Regerar chave secreta (somente RSA): marcando o campo SIM será regerada a
chave de encriptação demonstrada no campo Chave Pública.. Será ativado o
campo Tamanho, em que o administrador poderá especificar o tamanho da chave
que deseja utilizar em bits (512, 1024, 2048, etc.).
• Chave Pública(somente RSA): chave gerada pelo Nettion para este servidor.
9.2.2
Conexões
Neste módulo, o administrador irá cadastrar e controlar as conexões de VPN - IPSec. É
apresentada ao administrador uma lista de conexões já cadastradas. Para cada conexão
listada, há um indicador de Status que poderá estar verde (ativo) ou vermelho (inativo),
de acordo com o estado da conexão, e um botão Start ou Stop, que deve ser acionado
com um clique para iniciar ou parar a conexão de acordo com o seu estado. São listados
em cada conexão: seu nome, a rede A e seu Gateway, a rede B e seu Gateway, o Status
da conexão e o botão Ação (Start ou Stop) .
Atenção: Antes de iniciar a sua conexão, certifique-se que o serviço VPN IPSec no menu
Sistema->Serviços. Lembre-se também de ter marcado como Auto para que o Nettion
78
CAPÍTULO 9. VPN
inicie o serviço no boot da máquina.
Figura 9.6: Listagem de conexões IPSEC
A exibição da lista de conexões cadastradas pode ser ordenada por qualquer uma das
colunas exibidas. Para que o sistema alterne a exibição e a ordenação dos itens da tabela
o usuário deve clicar sobre a coluna especı́fica. A barra de rolagem poderá ser utilizada
para navegar entre estes itens.
Manutenção do cadastro de conexões
A manutenção do cadastro de conexões segue ao padrão estabelecido anteriormente. Para
novas conexões, deverão ser preenchidos os campos a seguir. Para facilitar o entendimento,
identificamos como “A” e “B” os dois lados que fecharão a VPN.
• Nome: indique um nome com o qual você deseja identificar a conexão. Ex.: Filial 1
• Gateway A: Endereço IP da máquina que servirá de gateway, ou seja, a máquina que
R
se interligará com a outra rede. Ex.: 200.253.5.10 (Geralmente o próprio Nettion).
O administrador possui 3 opções neste item: IP, Qualquer, Default Route.
R possui um IP Válido e Fixo de saı́da. Ex: Link IP Telemar,
IP: quando o Nettion
Link Embratel;
Qualquer: quando no lado (A) da VPN, nesta mesma posição, for cadastrada a
opção Rota Padrão, no lado (B) da VPN será cadastrado Qualquer. Ex.: conexão
R com IP
entre um Nettion com IP Fixo aceitando uma conexão com um Nettion
dinâmico.
Rota Padrão: quando o administrador for realizar a configuração de uma VPN
utilizando um link com IP Dinâmico, é impossı́vel determinar qual será o IP do
R e, conseqüentemente, seu Gateway. Neste caso, será marcada a opção
Nettion
“Rota Padrão”. Ex: configuração de VPN utilizando ADSL, Cable.
• Rede A: rede que irá fazer parte da conexão e que, portanto, estará acessı́vel pela
outra ponta (Rede B). Ex.: 128.0.0.0/16
R que atua como Gateway A. Ex.: 200.253.5.9
• NextHop A: saı́da padrão do Nettion
(gateway do Nettion). Caso esteja cadastrando dados de uma VPN que utilize IP
Dinâmico, esta opção será desabilitada, pois seria impossı́vel determinar o Gateway
R de forma estática.
do Nettion
• Chave gateway A: chave de comunicação do Gateway A
Exemplo:
0sAQO7tMehTP69r+Pr4PSTUmiYMDLQ4Lf70kWBgbhf+hhBKuh7Dk4XRNZcn8AYL15Pmig
hjuUoAhJEQWW1VzsdzmQosWAh6URQpQmYQ+bwymJpFAVTBFEgaJo6r+vP0Irn7/FhI41I
9.2. VPN IPSEC
79
Figura 9.7: Incluir/Editar de Conexão IPSEC
80
CAPÍTULO 9. VPN
tnioJ7rCpEKtq4lfDEe0K5MDeNK6za+Rx4WEO8Dr8kjR0ePK9uPzb1xEwEizrIBUZfm4h
BXVI/7LKXZG1Hf9Ouc6RKhPXlN/HkhIC2s0m61TIwTzqHwx+Qd48B7oITZslcmsOkK2Wl
JjZgq+5dPZQnHjoXsAuNJaNVXkQZFMNQziwznFJ7D2D1qfuVIzeVYgLso6yBJgW+QG7ush
• Gateway B: endereço IP da máquina que servirá de gateway, isto é, interligação com
outra rede. Ex.: 200.195.152.2
• Rede B: rede que irá fazer parte da conexão e que, portanto, estará acessı́vel pela
outra ponta (Rede A). Ex.: 192.168.1.0/24.
• NextHop B: saı́da padrão do Nettion que atua como Gateway B. Ex.: 200.195.152.1
. Veja o item NextHop A.
• Chave gateway B: Chave de comunicação do Gateway B
Exemplo:
0sAQPZfUID9sYTuasmkJYfU8JmpKwphyfxT0NtUmzTT6S58FXla6qEFJrv9JgIHFtp8Dl
h6wHa6a9069bHg+MZX3GLtb4ynGaFtVsqvuNx9aVgnuliunxaXwsq2zShTBBgrCTed5o9
YBMms1ItdxI6Pu5oeD1JrzQkI5J0b0qo3ukx07nqwUmDJRVHfL1zgbVeeTmn86LmhuMYp
zwcBdBB5RZae8xnL0roUN7XUnjOg2VeHWVUk9giwS628KKLbclWIBcl8hIn1xc30qzrjl
vqPAZggNGNt3w85925oxPRn+UvXNkadxfOxKeoF8DyLsrbvl61RAq7erQWyNVUvCz
• Conexão: se a conexão será ativada manualmente ou automaticamente. Configure
esta opção para Auto para que a VPN seja sempre reiniciada automaticamente. Ex.:
Auto.
• Status da conexão: se a conexão está ativa ou não.
Obs: o Administrador poderá importar a chave do Nettion que estiver sendo configurado
dando um clique no botão IMPORTAR MINHA CHAVE PÚBLICA
Dicas de Configuração:
R abra uma janela do browser para cada
1. Ao configurar uma VPN entre 2 Nettions,
um deles;
2. As configurações dos 2 lados serão totalmente IDÊNTICAS, salvo em casos de utilização de IPs dinâmicos. Isto quer dizer que, se o administrador cadastrar os dados
R 1 como sendo o Nettion
R (A) da configuração, quando ele for realizar a
do Nettion
R 2, as informações serão idênticas, inclusive no posicionamento,
configuração do Nettion
R 1 como sendo o lado (A).
tendo o Nettion
3. Em configurações tendo Nettion 1, lado (A) , IP Fixo e o Nettion 2, lado
(B), IP Dinâmico, obrigatoriamente o lado (B) terá como gateway a marcação do item
Rota Default. Seguindo a dica do item anterior, o administrador é levado a configurar
R
o mesmo item, na mesma posição, em cada um dos Nettion.
Porém, esta é a única
R 2, nos itens de configuração do lado (B), o
exceção à regra. Observando o Nettion
administrador irá configurar o item Rota Default. Ao olhar esta mesma configuração,
na mesma posição, no lado (A), o administrador terá que configurar o item Qualquer.
Obs: sempre que houver uma configuração de VPN entre um IP Fixo e um IP Dinâmico,
R
os campos correspondentes ao IP fixo serão idênticos em ambos os Nettions.
Porém,
os campos de configuração correspondentes ao lado do IP Dinâmico irão ser diferentes:
9.3. OPENVPN
R com IP dinâmico, veremos marcado o item Rota Default, e no Nettion
R
no Nettion
com IP Fixo, veremos marcado o item Qualquer.
4. O Nettion possibilita que ambas as conexões (Nettion A e Nettion B) possuam IPs
Dinâmicos, do tipo ADSL, por exemplo. Para isso é necessário fazer as configurações utilizando o nome do host e não o IP. Como o IP é variável, utilize o serviço de DNS Dinâmico
do Nettion e para cada Nettion associe um nome DNS. Uma vez feita as configurações, o
Nettion tratará de manter a conexão ativa mesmo que os IPs variem.
9.3
OpenVPN
A documentação do NettionPlug OpenVPN encontra-se no item 15.5 do Capı́tulo 15 sobre
NettionPlugs, na página 131. Leia também sobre o que são NettionPlugs no Capı́tulo
15 na página 125.
81
82
CAPÍTULO 9. VPN
Capı́tulo 10
NIDS
O sistema de detecção de tentativa de invasão (Network Intrusion Detection System) do
R trabalha investigando se existe alguém tentando aplicar algum dos mais de
Nettion
1.600 tipos de tentativas de invasão, catalogados no Nettion, através de sua conexão.
R enviará um e-mail para o administrador
Uma vez detectada a tentativa, o Nettion
notificando o acontecimento e registrará o fato em um log referente ao NIDS.
10.1
Configurações
Define as informações referentes ao sistema de detecção, que podem ser:
• Interface, utilizada para monitorar o tráfego;
• IPs e redes que são monitorados por ataques;
• Filtros por assinaturas etc.
A atualização das assinaturas é feita através do sistema de atualização (Update) do
R Verifique as novas versões do software no módulo do sistema.
Nettion.
10.1.1
Seleção de Interfaces
O administrador pode selecionar qual interface deseja monitorar referente a detecção de
tentativas de invasão. Caso deseje monitorar todas, não será necessário clicar individualmente em cada uma delas. Basta clicar na opção ”Todas”.
10.1.2
Objetos
R para que o administrador
É apresentada uma lista de objetos cadastrados no Nettion
classifique quais são confiáveis e quais serão monitorados. Ao selecionar um objeto para
ser monitorado, todo o tráfego referente ao item escolhido será analisado. Após realizar as
alterações desejadas, é necessário clicar no botão ”Salvar alterações”para que estas surtam
efeito.
83
84
CAPÍTULO 10. NIDS
10.1.3
Configuração do PortScan
O administrador deve especificar aqui o número de portas e o intervalo de tempo necessários
para considerar um portscan vindo de uma mesma máquina. Esta configuração é válida
tanto para pacotes UDP como TCP.
O valor padrão é a detecção de quatro portas, num intervalo de três segundos, para
a caracterização de um portscan. Aqui, o administrador pode aumentar ou diminuir
a sensibilidade do NIDS para a detecção das tentativas de invasão. Para aumentar a
sensibilidade, basta diminuir o número de portas por intervalo de tempo. Para diminuir,
aumente o número de portas por intervalo de tempo.
10.1.4
Detecção de Assinaturas
R possui cadastradas mais de 1.600 tipos de tentativas de invasão, que estão
O Nettion
separadas por tipos e são exibidas quando o administrador clica no campo ”Tipos de
Assinaturas”. Como alguns exemplos de tipo de assinaturas, podemos citar: Backdoors,
Dos, Exploit, WEB IIS etc.
Ao clicar em um destes tipos de assinaturas, será ativado o botão ”Ativar/Desativar
Assinaturas”. Ao clicar neste botão, será apresentada uma lista das assinaturas, referentes
ao item selecionado (Ex.: ”WEB IIS”), ao administrador. Este, por sua vez, selecionará
as assinaturas que considerar importantes para que o NIDS monitore.
Ao final das listas, há um botão que seleciona todas as assinaturas referentes ao item
(Ex.: WEB IIS). Portanto, caso deseje marcar todas, não é necessário selecionar uma a
uma.
Esta configuração influencia diretamente a performance por isso, deve ser feita com muito
cuidado e consciência.
10.1.5
Alerta por e-mail
Especifique a freqüência caso queira receber notificações de alertas por e-mail. Para
desabilitar essa opção, especifique a freqüência de envio para ”Nenhuma”e salve a configuração.
10.1.6
Relatórios
Exibe relatórios dos alertas e tentativas de invasão com ,detalhes sobre os pacotes capturados: IPs de origem e destino, protocolo, portas e etc.
10.1.7
Alertas
O administrador pode visualizar as últimas assinaturas detectadas e também os portscans
realizados.
Lista de informações gerais a respeito da configuração do NIDS:
10.1. CONFIGURAÇÕES
• Assinaturas ativas: informa a quantidade de regras ativas e o total de regras existentes. Ex.: 721 de 1601
• Assinaturas detectadas: exibe a quantidade de assinaturas ativas que foram detectadas pelo NIDS em sua conexão Ex.: 101
• PortScan detectados: número de portscan que foram detectados pelo NIDS. Ex.:
247
• Data do último alerta: data e hora no qual foi gerado o último alerta. Ex.: 21/12/2002
- 14:27:13
10.1.8
Últimas assinaturas
Aqui o administrador visualiza, página por página, os últimos alertas por assinaturas,
especificando os seguintes campos:
• Assinatura: assinatura a qual o alerta faz referencia. Ex.: WEB-PHP contentdisposition
• IP Origem: IP que originou o alerta. Ex.: 10.0.3.30
• PO: porta de origem da máquina de onde partiu a tentativa de acesso. Ex.: 6040 IP
• Destino: IP que se destina à conexão. Ex.: 10.0.3.12
• PD: porta de destino para onde se direcionava o acesso. Ex.: 80
• Protocolo: tipo do protocolo utilizado para acesso. Ex.: TCP
• Hora e Data: hora e data na qual o NIDS registrou o alerta. Ex.: 16:20:47 07-04-2003
O administrador pode selecionar a quantidade de alertas que deseja visualizar por página
através da alteração do campo ”Lista com intervalo de 15 alertas”, que por padrão apresenta 15 alertas. Caso o administrador deseje incluir um dos IPs apresentados na lista
aos IP bloqueados, ele deve clicar sobre o IP desejado e confirmar o bloqueio no quadro
que solicitará confirmação.
Últimos PortScans
Este relatório mostra especificações sobre os portscans realizados: IP de origem, quantidade de conexões por host, protocolos utilizados e hora e data do portscan. Clicando em
um dos itens da lista, será solicitada ao administrador a confirmação de inclusão do IP
de origem do portscan na lista de IPs bloqueados.
10.1.9
IPs Bloqueados
Exibe uma lista com os IPs bloqueados através da interface web do NIDS. Os IPs conR seja ele em qualquer direção,
tidos nesta lista não terão acesso nenhum ao Nettion,
passando por qualquer interface. Através desta lista, também é possı́vel a remoção de
IPs bloqueados. Obs.: os IPs serão bloqueados somente se o Firewall estiver ativo.
Lista de IP bloqueados por data de inclusão
85
86
CAPÍTULO 10. NIDS
Capı́tulo 11
DHCP
R pode ser configurado para distribuir os endereços de IP’s
O servidor DHCP do Nettion
das estações de uma ou mais redes ligadas a solução, permitindo tratar de forma diferente
cada uma delas.
11.1
Configurações
11.1.1
Configurações Globais
• Domı́nio: especificar o domı́nio o qual ao DHCP responderá. Ex.: ficticia.com.br
• DNS Primário: servidor de nomes primário. Ex.: 128.0.0.1
• DNS Secundário: servidor de nomes secundário. Ex.: 128.0.0.2
• Gateway padrão: máquina de saı́da da rede. Ex.: 128.0.0.1
• Máscara da Rede: máscara da rede a qual o IP do servidor DHCP pertence. Ex.:
Classe B padrão / 16
11.1.2
Interface
Selecione as interfaces que respoderão por requisições DHCP na sua rede.
11.2
Hosts
Esta seção permite que o administrador associe endereços IP a mac addresses da rede,
fazendo com que determinadas máquinas recebam sempre o ip indicado. É especialmente
útil quando se deseja fazer regras especı́ficas para alguns IPs da rede.
A exibição da lista de hosts cadastrados pode ser ordenada pela coluna: “host”ou“endereço
IP”. Para que o sistema alterne a exibição e a ordenação dos itens da tabela, é necessário,
somente, que o usuário clique sobre a coluna especı́fica. O usuário poderá utilizar a barra
de rolagem para navegar entre os itens da tabela.
87
88
CAPÍTULO 11. DHCP
11.2.1
Manutenção do cadastro dos Hosts
A manutenção do cadastro dos hosts segue ao padrão estabelecido anteriormente. Para
hosts, deverão ser preenchidos os seguintes campos:
• Nome do host: descrição do host. Ex.: Máquina do João;
• Endereço MAC: especificação do endereço fı́sico da placa (Mac-Address).
00:E0:7D:00:E3:23;
Ex.:
• Endereço IP: Endereço IP a ser fornecido;
• Rede: rede da qual o host fará parte. Ex.: 128.0.0.0.
11.3
Redes
O servidor DHCP atribuirá IP’s dentro das redes especificadas para a interface a qual
estiver direcionada.
A exibição da lista de redes cadastradas pode ser ordenada pela coluna: “rede”ou “máscara”. Para isso, o administrador deve clicar sobre a coluna especı́fica. Isso fará com que
o sistema alterne a exibição e a ordenação dos itens da tabela. O administrador poderá
utilizar a barra de rolagem para navegar entre os itens da tabela.
11.3.1
Manutenção do cadastro de Redes
A manutenção do cadastro de redes segue o padrão estabelecido anteriormente. Para
redes, deverão ser preenchidos os seguintes campos:
• IP da rede: IP da rede. Ex.: 128.0.0.0
• Máscara da Rede: máscara da nova rede. Ex.: Classe B padrão / 16
• Faixa de IPs que serão distribuı́dos: faixa de IPs que será fornecida pelo Nettion.
• Inı́cio: IP inicial da faixa de IP. Ex.: 128.0.0.21
• Fim: último IP da faixa. Ex.: 128.0.0.50
• Interface: interface que responderá pelas requisições desta rede.
Caso se deseje trabalhar com os registros nas Configurações Globais do DHCP, os demais
campos não são necessários. Caso contrário, deverão ser preenchidos.
Capı́tulo 12
E-mail
12.1
Configurações
O Nettion pode também ser utilizado como o seu servidor de e-mails, fazendo todo o
trabalho de gerenciamento de múltiplos domı́nios e usuários, integrado com um sistema
bastante robusto de antivı́rus (atualizado diariamente) e anti-spam com sistema de aprendizado e quarentena.
Como base para este recurso, o Nettion utiliza um servidor de e-mails do Linux chamado
Qmail, bastante conhecido por sua segurança e estabilidade no gerenciamento de um
grande número de contas.
Além disso, este recurso do Nettion oferece: autenticação integrada, sistema de quota
por usuário, sistema de bloqueio de anexos de e-mails de acordo com o tamanho e a sua
extensão, sistema de auditoria, controle da fila (possibilita ao administrador acompanhar
se uma mensagem ainda não foi enviada, o motivo e até mesmo sua exclusão), sistema de
logs e quarentena, que possibilita o acompanhamento dos e-mails que foram bloqueados
por conter vı́rus, e várias outras funções que são decisivas no monitoramento do seu
servidor de e-mail.
Para o recebimento dos e-mails, os usuários tem a possibilidade de utilizar contas POP3,
POP3s, IMAP ou IMAPs ou até mesmo um webmail que é disponibilizado pelo Nettion.
12.1.1
Autenticação
Esta opção não se refere ao modo de autenticação, já que foi previamente definido no
capı́tulo referente a Usuários e Grupos, mas sim ao número máximo de autenticações
simultâneas permitidas. Isto dependerá do número de usuários para o sistema. Quanto
maior o número de usuários, maior será o número de autenticações simultâneas. Vinte
é, comprovadamente, um valor ideal. Entretanto, o administrador poderá incrementá-lo,
ao perceber que seus usuários estão necessitando fazer várias tentativas de autenticação
no cliente de e-mail até conseguir concluir a operação, ou diminuı́-lo, para que não seja
utilizada memória sem necessidade no servidor.
89
90
CAPÍTULO 12. E-MAIL
Figura 12.1: Email - autenticação
12.1.2
Relay
Uma das principais preocupações que um administrador de um servidor de e-mail deve
ter é não deixar que ele seja utilizado indevidamente para enviar mensagens inúteis, desagradáveis e quase sempre indesejáveis - os spams, o que geralmente é feito por algum
R permite que o administrador defina
usuário que não faz parte de sua rede. O Nettion
quais redes ou hosts terão liberdade de enviar e-mail através do seu servidor. Tecnicamente, essa permissão chama-se relay. Abrir o relay para alguém significa permitir que
determinado host ou rede envie e-mails através do seu servidor. Um sistema bem administrado, certamente, só permitirá acesso àqueles que são de direito fazê-lo. Portanto, é
necessário manter o relay fechado contra intrusos.
Figura 12.2: Relay do servidor de E-mails
Temos aqui uma lista de hosts/redes com permissão para usar o servidor para envio de
mensagens. O cadastro para liberação se dá de forma simples, levando em consideração
os objetos pré-cadastrados e preenchendo um formulário como o seguinte:
À esquerda estão os hosts/redes que têm permissão e à direita estão todos os objetos
R Fazendo-se uso dos botões entre as duas janelas, de caracterı́sticas
inseridos no Nettion.
intuitivas, pode-se incluir ou excluir aqueles que terão direito de envio de mensagens
através deste servidor. Bastando, ao final de todas as alterações, clicar sobre “Salvar
Configurações” para efetivá-las.
12.1. CONFIGURAÇÕES
91
Figura 12.3: Administração de Relays
12.1.3
Webmail
O Nettion oferece um sistema de Webmail como opção para envio/recebimento de e-mails
via Web sendo necessário para isto apenas a identificação, com uma combinação de e-mail
completo e senha do usuário. O Webmail do Nettion pode ser acessado através do seu
IP seguido de webmail, por exemplo: http://200.200.200.200/webmail.
R como
Algumas caracterı́sticas são configuráveis para personalizar o webmail do Nettion
o idioma padrão do webmail, o ı́cone que aparece na tela de login (o qual precisa conter um
endereço absoluto como o exemplificado no padrão) e o nome das pastas que guardarão
as mensagens apagadas, enviadas e os rascunhos de e-mail.
Figura 12.4: Configurações do Webmail
12.1.4
Mensagens
Nesta seção o administrador pode editar as três seguintes mensagens:
• mensagem de retorno para o remetente que tentar enviar email para usuário inválido;
• mensagem informando que o limite da quota está prestes a ser atingido
92
CAPÍTULO 12. E-MAIL
• mensagem retornada para o rementente quando o destinatário de seu email excedeu
a quota limite
Figura 12.5: Configuração de mensagens do servidor de E-mails
12.1.5
Extensões
Inicialmente, o antivı́rus deverá manter afastados os arquivos que facilmente são infectados e que podem carregar vı́rus para os clientes de e-mail. Algumas extensões, já clássicas,
podem carregar vı́rus. Em termos gerais, os arquivos chamados auto-executáveis como
os de extensão “.exe” e “.com” são os infectados com maior freqüência. Devido a maior
incidência de vı́rus e maior probabilidade de infecção em arquivos com determinadas exR impede a entrega ou saı́da de e-mails que contenham anexos com
tensões, o Nettion
tais extensões.
A tela de inclusão ou edição é simples e intuitiva, onde é necessário, apenas, cadastrar a
extensão propriamente dita e uma pequena descrição, como mostrado na figura a seguir:
12.2
Domı́nios
Nesta seção o admnistrador controlará os domı́nios de emails. É possı́vel criar e remover
domı́nios, bem como adicionar ou remover usuários de tais domı́nios. Observe que para
que seu domı́nio de e-mail funcione perfeitamente na Internet, é necessário que o DNS
do domı́nio esteja devidamente configurado e apontando que o Nettion será o responsável
pelos e-mails.
12.2. DOMÍNIOS
93
Figura 12.6: Lista de extensões bloqueadas
Figura 12.7: Inclusão/Edição de extensões bloqueadas
Figura 12.8: Listagem de domı́nios de E-mail
94
CAPÍTULO 12. E-MAIL
12.2.1
Incluir um domı́nio
Caso deseje adicionar um domı́nio, clique no botão Incluir. A seguinte tela aparecerá:
Figura 12.9: Inclusão/Edição de Domı́nios
• Domı́nio: nome do domı́nio a ser incluso. Ex.: nettion.com.br;
• Quota: espaço máximo em disco que cada conta pode ocupar;
• No máximo de mensagens: quota por mensagem. Número de mensagens por conta;
• Senha do administrador (postmaster): senha do administrador do domı́nio;
- Caso deseje redirecionar as mensagens inválidas (enviadas para destinatários inexistentes) para outra conta de email, marque o checkbox Redirecionar mensagens
destinadas a usuários inválidos e digite a conta no campo abaixo. O procedimento padrão seria enviar uma mensagem ao remetente informando que a conta
destino não existe.
- Caso deseje Usar a autenticação configurada no Nettion, marque esse checkbox
e escolha os grupos para importar os usuários. É possı́vel importar os usuários de
todos os grupos, ou de algum grupo especı́fico.
12.3. USUÁRIOS
12.3
95
Usuários
Nesta seção o administrador pode pesquisar e editar usuários, além de poder criá-los
também.
Figura 12.10: Gerenciamento de Usuários
12.3.1
Buscando usuários
Figura 12.11: Busca de usuários
12.3.2
Editando usuários
Ao efetuar a busca, você pode editar a conta clicando no botão Editar. A seguinte tela
aparecerá:
Os campos Nome, Quota e No de mensagens são editáveis. Altere-os de acordo com
a sua necessidade.
Caso queira utilizar o recurso de enviar cópias dos emails recebidos para outra conta,
marque a opção Encaminhar uma cópia para outros emails e preencha o seguinte
96
CAPÍTULO 12. E-MAIL
Figura 12.12: Edição de Usuário
12.3. USUÁRIOS
97
campo com a conta para a qual será enviada a cópia. Se deseja encaminhar para mais de
uma conta, separe-as com ponto e vı́rgula (;).
Não esqueça de Salvar as Alterações, caso faça alguma.
12.3.3
Inserindo usuários
Ao clicar no botão Incluir, a seguinte tela aparecerá e permitirá a adição de um novo
usuário de email:
Figura 12.13: Inclusão/Edição de Usuários de E-mail
• Login: Login, a primeira parte do endereço de email, a que aparece antes da arroba
(@). Ex.: sergio;
• Domı́nio: Os domı́nios existentes serão listados em um combo box. Você deve escolher o domı́nio para o qual está criando a nova conta;
• Nome: Nome do usuário. Ex. Sérgio Luis;
• Quota: Espaço máximo em disco que a conta pode ocupar;
98
CAPÍTULO 12. E-MAIL
• No máximo de mensagens: quota por número de mensagens;
• Senha: senha do usuário;
- Caso deseje encaminhar uma cópia das mensagens recebidas para outro email, marque a opção Encaminhar uma cópia para outros emails e preencha o seguinte
campo com a(s) conta(s) para onde deverão ser encaminhadas as novas mensagens.
Lembre-se de separá-las com ponto e vı́rgula (;).
12.4
Aliases
Nesta seção o administrador pode definir Aliases, uma espécie de apelido, um outro
nome pelo qual determinada(s) conta(s) será(ão) conhecida(s).
12.4.1
Criando um alias
Na seção Aliases, clique em Incluir e a seguinte tela aparecerá:
Figura 12.14: Inclusão de Alias de E-mail
Neste exemplo, foi criado um alias [email protected]. Este endereço apontará
para [email protected]. Logo, enviar uma mensagem para [email protected]
é o mesmo que enviar uma mensagem para [email protected].
12.5. ANTIVÍRUS
99
• Alias: nome do alias. Neste exemplo, sergioluis;
• Domı́nio: selecione na lista o domı́nio para o qual você está criando o alias. no
exemplo, padrao.com.br ;
• Defina os usuários para os quais o alias irá se referir; No exemplo, [email protected].
12.5
Antivı́rus
A cada instante, pessoas mal intencionadas criam vı́rus para prejudicar e infectar sistemas
e computadores. Seria de pouca utilidade um antivı́rus que barrasse todos os arquivos
suspeitos, mas não contivesse uma lista atualizada de vı́rus em sua base de dados. Sendo
assim, uma boa ferramenta deve fornecer um sistema de atualização instantâneo e configurável.
12.5.1
Atualização
R feita de modo imediato, no momento
Essa é a primeira forma de atualização do Nettion,
R faz uma busca por uma base
em que for mais apropriado ao administrador. O Nettion
mais atualizada e sincroniza-a com a base local, mantendo o sistema ainda mais prevenido.
12.5.2
Agendamento
Também é possı́vel definir um momento ideal a critério do administrador para que o
R faça as atualizações na base de vı́rus. Para isso, defina os dias/horários para
Nettion
que as atualizações aconteçam, preenchendo o formulário abaixo e depois, salve as configurações.
12.5.3
Histórico
R permite um acompanhamento direto sobre o histórico de atualizações da
O Nettion
base de dados.
Três são os estados possı́veis para cada atualização:
R investiga atualizações na base
• Bem sucedida com atualizações - quando o Nettion
de dados e torna-se necessário atualizar a base local;
R consegue conectar-se às bases
• Bem sucedida sem atualizações - quando o Nettion
remotas, mas a base local já está atualizada;
R não consegue se conectar às bases remotas.
• Mal sucedida - quando o Nettion
100
CAPÍTULO 12. E-MAIL
Figura 12.15: Agendamento da atualização do Antivı́rus
Figura 12.16: Histórico das atualizações
12.6. ANTISPAM
12.6
101
Antispam
R é uma funcionalidade que controla mensagens indesejáveis.
O antispam do Nettion
R esteja fechado, em alguns lugares,
Mesmo que o relay do servidor de e-mails do Nettion
há administradores incautos que não têm a devida preocupação com o fechamento do
relay. Os spammers, aqueles que enviam centenas ou até milhares de mensagens não
solicitadas, aproveitam-se desta fragilidade. Isso significa que um bom administrador
deve se preocupar, inclusive, com o mau trabalho feito por outros e assegurar que seus
usuários sejam menos afetados por esse mal.
Um antispam é um software que se baseia em algumas caracterı́sticas de e-mails, notoriamente classificadas como spam, como algumas palavras-chaves e formato HTML1
12.6.1
Configurações
A cada caracterı́stica de spam encontrada em um e-mail, a mensagem recebe uma pontuação, que depende do que foi localizado. Quando esta pontuação alcança o limite estimado
nas configurações de sensibilidade, o e-mail sofre uma alteração. O tı́tulo da mensagem
identificada como spam será precedido pela expressão **POSSIVEL SPAM**. A mensagem será entregue normalmente ao cliente. Ela não é excluı́da automaticamente, pois
pode existir uma mensagem que possua palavras-chaves e formatos que a identifiquem
como uma mensagem indesejada, mas que realmente não seja. Sendo assim, cabe a cada
usuário definir filtros, nos seus leitores de e-mail, para separar as mensagens legı́timas
daquelas indesejadas.
O número indicativo da sensibilidade representa o limite de pontos que uma mensagem
pode alcançar até ser considerada spam. Quanto MENOR o número, mais facilmente
uma mensagem será assim classificada.
R inclui suporte ao treinamento de mensagens em
A nova versão do antispam do Nettion
spam e não-spam pelos usuários. Marque a opção Aprender mensagens classificadas pelos usuários caso deseje ativar tal suporte.
Caso decida utilizar este recurso, você deverá configurar duas contas de email, uma para
mensagens classificadas como spam e a outra para as mensagens classificadas como nãospam.
Nesse exemplo, as contas serão, respectivamente, [email protected] e [email protected].
Lembrando, novamente, que estas contas deverão ser criadas no domı́nio escolhido, como
as demais contas de usuários. O funcionamento do sistema de aprendizado do antispam
R é descrito a seguir:
do Nettion
O antispam funcionará como sempre, marcando como ** POSSIVEL SPAM
** os emails que ele considere como tal. No caso de os usuários receberem
SPAM’s que não foram marcados pelo antispam, eles poderão encaminhar essa
mensagem como anexo para o email selecionado para receber spam, no caso,
[email protected]. Funciona da mesma forma com as mensagens que
não são spam’s, mas foram classificadas assim. Os usuários têm a opção de
encaminhá-las para o email que foi selecionado para receber as mensagens que
1
HTML - Hypertext Markup Language, Linguagem de Marcação de Hipertexto. É a linguagem utilizada para se
fazer páginas na internet e e-mails com formatação mais rica, como negrito, cores das fontes e inserção de imagens.
102
CAPÍTULO 12. E-MAIL
Figura 12.17: Configurações do Antispam
não são spam’s. No nosso caso [email protected]. Periodicamente
(mediante agendamento pelo administrador), o antispam checa as duas contas
e treina como spam as mensagens da conta spam e como não spam as mensagens da conta não-spam. Este treinamento continuado melhora a eficácia do
antispam e permite que ele atinja ı́ndices melhores, quando classificar futuros
emails.
Caso deseje que o sistema antispam execute o treinamento das mensagems nas caixas
spam e antispam clique no botão Aprender. É comum que o administrador agende o
treinamento do antispam na próxima seção, Aprendizado.
Obs1.: Lembre-se que, ao encaminhar e-mails para as contas [email protected]
e [email protected], isso deve ser feito encaminhado o e-mail desejado como
anexo e não no corpo do e-mail. Exemplo: Você recebeu um e-mail marcado como
***POSSIVEL SPAM***, e verificou que este e-mail realmente é um SPAM e deseja
R aprenda este e-mail como um SPAM. Então, clique no
enviá-lo para que o Nettion
e-mail com o botão direito (no caso do Outlook Express), e selecione a opção “Encaminhar
como anexo”. Em seguida prossiga com os procedimentos normais de envio de um e-mail;
Obs2.: Veja no seu cliente de email como encaminhar um e-mail como anexo.
12.6.2
Aprendizado
Nesta seção, o administrador configurará o agendamento do sistema de treinamento do
R bem como terá informações a respeito de tais treinamentos.
antispam do Nettion,
12.6. ANTISPAM
103
Agendamento
Aqui, o administrador vai agendar o treinamento do sistema de antispam, definindo em
que periodicidade ele será executado. As opções disponı́veis são:
• Diário: treinamento diário, o administrador define o horário do treinamento;
• Semanal: treinamento semanal, o administrador define o dia da semana em que o
treinamento será realizado, além do horário;
• Mensal: treinamento mensal, o administrador define o dia do mês em que o treinamento será realizado, além do horário.
Figura 12.18: Agendamento do aprendizado
Histórico
Nesta seção, o adminstrador obterá um histórico dos treinamentos realizados pelo sistema
de antispam, com informações tais como:
• número de spams e não-spams treinados;
• quantidade de novos spams e antispams;
• status do treinamento, se bem ou mal sucedido.
Figura 12.19: Histórico dos treinamentos realizados
104
CAPÍTULO 12. E-MAIL
12.6.3
Whitelist
Há, também, uma possibilidade de se definir uma lista de usuários chamados confiáveis,
que poderão enviar mensagens que superem o limite da sensibilidade e mesmo assim não
sejam classificadas como spam. Esta é a whitelist do sistema.
Figura 12.20: Whitelist do Antispam
Para incluir um e-mail na WhiteList, clique no botão Incluir. Na tela que será exibida,
digite o endereço de e-mail completo e sem erros e uma descrição que defina a que se refere
este e-mail. Ao final, clique no botão Salvar Configurações como mostra a figura 12.21
a seguir.
Figura 12.21: Inclusão de e-mail na Whitelist do Antispam
12.7
Relatórios
12.7.1
Fila
R passam por
Todas as mensagens que foram enviadas pelos usuários de e-mail do Nettion
uma fila para serem processadas e, definitivamente, transmitidas aos seus destinatários.
12.7. RELATÓRIOS
105
Enquanto aguardam o processamento, estas mensagens ficam em uma fila a qual o administrador pode verificar, conforme a figura. É possı́vel aplicar filtros à consulta da fila,
e com isso obter a origem e o destino do e-mail, o número de tentativas de entrega e o
tamanho e o horário que o e-mail entrou na fila.
Figura 12.22: Consulta à Fila de Mensagens
12.7.2
Logs
Após o processamento de uma mensagem na fila, é feito um registro do que ocorreu com
ela. Aqui, é visto o status da mensagem, se foi entregue com sucesso ou se houve algum
problema na entrega.
Figura 12.23: Registros de logs do E-mail
12.7.3
Auditoria
Na auditoria, há uma lista de todas as mensagens que passaram pelo servidor. A auditoria
possibilita que o administrador visualize a cópia de cada mensagem processada.
106
CAPÍTULO 12. E-MAIL
Figura 12.24: Auditoria de mensagens
12.7.4
Quarentena
A quarentena funciona de forma semelhante à auditoria, guardando todos os e-mails que
estiverem contaminados com vı́rus. Também é permitido que o administrador visualize
uma cópia de cada mensagem da quarentena.
Figura 12.25: Quarentena de mensagens com vı́rus
Também é possı́vel gerenciar a quarentena, excluindo ou liberando os e-mails por ela
capturados. Para isso, no relatório exibido da figura 12.25, selecione o e-mail o qual
deseja excluir ou liberar e clique no botão “Editar”. Será exibido o e-mail retido como
mostra a figura 12.26 a seguir.
Clique no botão “Deletar” para excluir definitivamente a mensagem da quarentena ou no
botão “Liberar” para retirar a mensagem da quarentena e entregá-la do seu destinatário.
12.7. RELATÓRIOS
107
Figura 12.26: Liberação/Exclusão de e-mail retido na quarentena
Obs1.: Para simplesmente excluir a mensagem da quarentena, não é necessário editá-la,
pois o botão “Deletar” também está disponı́vel na tela da quarentena como mostra a
figura 12.25.
12.7.5
Top Mail
Os gráficos de acessos no módulo de E-mail podem ser visualizados. Com isso, o administrador acompanha qual usuário envia mais e-mails e qual gera mais tráfego no servidor
de e-mail.
Veja na figura 12.27 a seguir:
Figura 12.27: Gráfico do Top Mail
108
CAPÍTULO 12. E-MAIL
Capı́tulo 13
Ferramentas
Todas as ferramentas possuem uma mesma interface, mas cada um dos serviços se aplicam
às funções definidas, como descritas abaixo:
13.1
Reverso
Esta opção existe para identificar a qual domı́nio se refere um IP ou qual IP se refere a
um domı́nio especı́fico.
Caso o administrador preencha o campo ”IP/HOST”com um IP, o resultado será o seu
domı́nio equivalente.
• Ex.1: IP/HOST: 200.253.251.31. Retorno: 200.253.251.31 —— www.pronix.com.br
• Ex.2: IP/HOST: www.pronix.com.br. Retorno: www.pronix.com.br —- 200.253.251.31
13.2
Whois
O Whois irá retornar o relatório de cadastro do respectivo IP ou domı́nio na FAPESP. O
relatório também poderá ser impresso.
13.3
Ping
O ping é utilizado para checar se uma determinada máquina está conectada e ligada.
O processo, assim como os demais desta seção, é bastante simples: preencha o campo
IP/HOST com o IP a ser testado.
Figura 13.1: Resolução de nomes
109
110
CAPÍTULO 13. FERRAMENTAS
13.4
Traçar rota
Para saber qual o caminho para uma determinada máquina (IP), preencha o campo
IP/HOST e aguarde a apresentação do relatório da rota percorrida para alcançá-lo.
13.5
Diagnóstico de DNS
Nesta seção, o administrador pode executar um diagnóstico de DNS, que vai apresentar
informações a respeito dos servidores SMTP, lista de nomes e IPS, lista dos nameservers
e autoridade do host. A consulta pode ser feita utilizando-se o endereço IP do host ou o
seu nome.
13.5. DIAGNÓSTICO DE DNS
111
Figura 13.2: Diagnóstico de DNS
112
CAPÍTULO 13. FERRAMENTAS
Capı́tulo 14
Sistema
14.1
Serviços
Através desta opção é possı́vel visualizar de forma centralizada o estado atual (status)
de todos os serviços fornecidos pelo Nettion, também é possı́vel iniciar ou parar qualquer
serviço. Para isso, clique na opção Sistema → Serviços para ter acesso à lista dos
R Serão exibidos o status atual de cada serviço (se iniciado ou não),
serviços do Nettion.
e a opção de alteração deste status. Também existe a possibilidade de fazê-lo iniciar
R através da seleção da opção “Auto”. Veja figura 14.1 na
juntamente com o Nettion,
página 112.
A coluna Ação apresentará para cada serviço três botões: Start, Stop e Restart, com os
quais o administrador poderá inicializar, parar ou reinicializar o respectivo serviço. Caso
o serviço esteja em funcionamento, aparecerão ativados os botões Stop para pará-lo e
Restart para reinicializá-lo. Caso esteja parado, somente o botão Start para inicializálo apareceá ativo. Após realizar as alterações, deve-se clicar no botão Ativar mudanças
para os selecionado(s).
14.2
Plugins
Para informações mais detalhadas sobre os NettionPlugs, veja o Capı́tulo 15 - NettionPlugs.
14.3
Backup
R é um sistema que provê muitos serviços, dos quais alguns são bastante crı́tiO Nettion
cos. Tais serviços compreendem uma grande quantidade de informações e configurações.
Os prejuı́zos causados pela possı́vel perda de tais informações podem ser, dependendo do
caso, incalculáveis. Neste cenário, reinstalar e reconfigurar tudo, no momento de uma
emergência, seria um processo bastante desgastante. Considerando-se este fator, foi criada uma forma de backup do sistema que possibilita a restauração imediata de todas as
R e, conseqüentemente, o retorno ao
informações e configurações existentes no Nettion
seu funcionamento normal. O processo consiste na geração de um arquivo compactado
113
114
CAPÍTULO 14. SISTEMA
Figura 14.1: Lista de serviços
14.3. BACKUP
115
contendo os dados do sistema, bem como o envio de uma cópia deste arquivo para uma
R
máquina da sua rede através de um compartilhamento Windows.
O administrador
pode configurar o conteúdo do arquivo de backup, o qual poderá conter logs do Nettion,
e-mails, além de suas configurações. O backup se dá automaticamente de acordo com a
periodicidade determinada pelo Administrador. Será possı́vel ainda efetuar o acionamento
manual do backup.
14.3.1
Configurações
Módulos
Nesta tela, é possı́vel selecionar os módulos desejados os quais irão compôr o arquivo de
backup. Para concluir, clique no botão Salvar Configurações.
Figura 14.2: Módulos para backup
Armazenamento
R é importante também criar uma cópia
Além do arquivo de backup criado no Nettion,
deste arquivo em uma outra máquina da sua rede, pois assim o backup pode ser facilmente
armazenado em mı́dias próprias, criando assim jogos de backup. Para isso, clique na opção
Armazenamento e preencha os campos conforme a descrição apresentada abaixo:
• Máquina: nome da máquina da rede onde serão realizadas as cópias do arquivo. Ex.:
backup
116
CAPÍTULO 14. SISTEMA
• IP: IP correspondente à máquina acima. Ex.: 128.0.021
• Compartilhamento: nome do compartilhamento da máquina. Ex.: bkpnettion
• Usuário1 : login do usuário com direito a gravar nestes diretórios. Ex.: Backup.
• Senha: senha para poder realizar o acesso ao compartilhamento. Ex.: senha. Obs.:
A senha aparece sob máscara.
Ao fim, clique no botão Salvar Configurações, como mostra a figura 14.3.
Figura 14.3: Compartilhamento Windows
Agendamento
Na figura 14.4 a seguir, é exibida e tela onde definimos a periodicidade com que serão
realizados os backups, especificando:
Figura 14.4: Configurando a freqüência com que o backup será feito
1
Caso o Nettion esteja sincronizado com um domı́nio Windows, indique um usuário/senha válidas para o domı́nio
e certifique-se que este usuário tenha poder de escrita no compartilhamento selecionado.
14.4. RESTORE
• Freqüência: periodicidade de realização do backup: diária, semanal ou mensal. Ex.:
semanal
• Dia: dia da semana ou do mês em que será realizado o backup. Caso a freqüência
escolhida tenha sido “semanal”, serão listados os dias da semana (domingo, segunda,
terça, [...], sábado) nesta opção. Caso seja “mensal”, apresentará os dias do mês (1,
2, 3, [...], 31). E, caso a freqüência escolhida tenha sido “diário”, esta opção estará
inativa. Ex.: segunda.
• Horário: horário em que será realizada a cópia de segurança. Ex.: 01 : 00
Ao concluir, clique em Salvar Configurações.
14.3.2
Manual
Vamos imaginar o caso em que, após terem sido adicionadas configurações ao produto, o
administrador deseja realizar uma cópia de backup imediatamente, ao invés de aguardar
pela cópia a ser realizada pelo agendamento. Neste caso, selecione os módulos e inicie o
backup clicando no botão Iniciar backup.
14.3.3
Relatórios
Histórico
O histórico dos backups será exibido com as seguintes informações: data, hora, arquivo
e status. O status poderá ter um sinal verde ou vermelho. O primeiro, sinalizando que
o backup foi realizado com sucesso e este último, sinalizando que a gravação do arquivo
não foi executada com sucesso.
Caso ocorra algum problema com o bakcup, o Nettion enviará automaticamente um e-mail
ao Administrador definido nas Configurações Básicas do produto.
14.4
Restore
O processo de restauração de um backup é extremamente simples. Primeiramente, selecione o arquivo de backup e clique no botão Upload. É possı́vel selecionar o arquivo,
através do botão Procurar... que abrirá uma janela de navegação no diretório, ou clicar
no botão Selecionar Arquivo, que apresentará uma lista dos arquivos de cópia de segurança disponı́veis para restauração.
O administrador deve selecionar o arquivo de backup desejado e clicar no botão Selecionar.
Observação: o arquivo de backup deve estar na mesma versão do Nettion instalado.
Após a seleção do arquivo, por um dos meios citados, selecione dentre os módulos contidos
no backup quais serão restaurados e, em seguida, clique em Selecionar módulos . Não
esqueça que o(s) módulo(s) selecionado(s) será(ão) descompactado(s) e gravado(s) na
máquina sobrescrevendo os atuais dados, existentes para o módulo correspondente.
117
118
CAPÍTULO 14. SISTEMA
Figura 14.5: Backup manual
14.4. RESTORE
119
Figura 14.6: Histórico de backups
Figura 14.7: Restore
120
CAPÍTULO 14. SISTEMA
ATENÇÃO: Este é um processo muito simples, entretanto, extremamente delicado, pois,
ao se recuperar um backup, dependendo do caso, estaremos sobrescrevendo as configurações atuais do sistema.
14.5
Expurgo
R realizam constantemente o registro de suas
Os diversos serviços que rodam no Nettion
atividades, chamados logs. O tamanho do(s) arquivo(s) de logs varia dependendo da
quantidade de usuários, da liberdade de acesso que estes tenham e da quantidade de
serviços ativos. Com o intuito de liberar espaço em disco, os logs mais antigos devem ser
gradualmente apagados. Este processo recebe o nome de expurgo.
14.5.1
Configurações
Status do disco por partição
Figura 14.8: Status do disco por partição
O quadro mostra por partição um gráfico em formato de “pizza”, que apresenta:
1. Em vermelho, o espaço do disco consumido;
2. Em amarelo, o espaço livre para a utilização com os seus respectivos percentuais.
Para configurar o expurgo automático, deve-se informar e preencher o intervalo mı́nimo
para os logs que serão mantidos e os módulos cujos logs deseja-se apagar. Após isso,
deve-se dar um clique no botão ”Iniciar Expurgo”e clicar em ”Salvar configurações”. O
processo de expurgo será iniciado. A escolha da periodicidade depende da quantidade de
acessos que a empresa realiza e do espaço em disco ocupado.
14.5.2
Manual
O administrador pode efetuar, a qualquer tempo, um expurgo diferenciado do expurgo
automático configurado, bastando informar qual o intervalo mı́nimo para os logs que serão
14.6. UPDATE
121
Figura 14.9: Configuração da freqüência de expurgo
mantidos e os módulos cujos logs deseja-se apagar. Em seguida, clique no botão Iniciar
Expurgo, para iniciar o processo de expurgo.
14.6
Update
R está em constante evolução. ConPor ser uma solução baseada em software, o Nettion
seqüentemente, novas versões do sistema são lançadas, disponibilizando ao administrador
novas ferramentas que agregam uma maior funcionalidade à solução. A notificação de novas versões são enviadas por e-mail ao clientes Nettion e também são notificadas através
da barra superior do próprio software, que exibe uma mensagem em destaque indicando
a existência de uma nova versão disponivel para atualização.
Através do update (menu Sistema → Update), o administrador confere as novidades da
versão lançada em relação a versão instalada. Veja a seguir como fazer o Update do seu
Nettion.
Na tela de update, temos dois quadros com os tı́tulos Passo 1 - Verificação das atualizações e download e Passo 2 - Selecionar arquivo para update. Clicando no
R checará a possı́vel existência
botão Verificar Atualizações, no quadro 1, o Nettion
de uma versão mais recente. Caso não haja atualizações, a mensagem Sem atualizações
no momento! será exibida. Do contrário, as versões mais recentes que serão listadas,
incluindo as informações detalhadas de cada uma delas.
O próximo passo é fazer o download do arquivo de Update. Para isso, clique no botão
122
CAPÍTULO 14. SISTEMA
Figura 14.10: Formulário de configuração de expurgo manual
Figura 14.11: Verificação de Atualizações
14.7. GRÁFICOS
123
“Download”no final da página. Neste momento, de acordo com as condições do seu contrato, o arquivo de atualização será fornecido.
Figura 14.12: Upload do arquivo de update
Feito o download, volte à página anterior e inicie a atualização selecionando o arquivo
correspondente à nova versão, através do botão Procurar.... Após selecioná-lo, clique
em Upload! e, na tela seguinte em Update para iniciar efetivamente a atualização do
R
seu Nettion.
As configurações existentes no sistema serão mantidas, ou seja, todos os
objetos, grupos, regras e demais informações permanecerão como anteriormente. Caso
exista alguma conseqüência para o update, esta será avisada junto com o update.
14.7
Gráficos
O Nettion oferece gráficos de consumo dos recursos do seu equipemaneto que são úteis
para avaliação de uma possı́vel sobrecarga da máquina. Veja a seguir os gráficos de
consumo de CPU, Memória e Discos.
14.7.1
CPUs
14.7.2
Memória
14.7.3
Discos
124
CAPÍTULO 14. SISTEMA
Figura 14.13: Gráfico de consumo de CPU
Figura 14.14: Gráfico de consumo de Memória
14.8. SOBRE
125
Figura 14.15: Gráfico de utilização de Discos
14.8
Sobre
O administrador terá acesso, nesta seção, aos dados referentes à licença e à versão do
R
Nettion.
Figura 14.16: Dados de licença do Nettion
14.9
Auditoria
R Security Software tais
Diariamente, diversas operações são realizadas no Nettion
como mudanças de objetos, regras de firewall e de proxy, dentre outras. Para visualizar
126
CAPÍTULO 14. SISTEMA
R você pode utilizar o serviço de
e acompanhar todas as ações realizadas no Nettion,
auditoria. Ela informa a data de alteração, o módulo e o sub-módulo que foi alterado,
qual ação foi realizada, o usuário e o IP. Acesse o menu Auditoria através de Sistema
→ Auditoria, conforme a figura 14.17 a seguir:
Figura 14.17: Auditoria de intervenções realizadas no Nettion
Dica! Configure os perfis de usuário para que o administrador do sistema tenha um
usuário próprio para a administração do produto. Assim, o usuário padrão “nettion”
será utilizado exclusivamente pela equipe de suporte.
14.10
Desliga/Reinicia
R
Caso haja necessidade, o administrador poderá reiniciar ou mesmo desligar o Nettion,
selecionando um dos botões desse tópico.
Figura 14.18: Reiniciar ou Desligar o Nettion
Capı́tulo 15
NettionPlugs
15.1
O que são NettionPlugs?
Os NettionPlugs são funcionalidades adicionais (plugins) que a Nettion Information Security desenvolveu pensando nas necessidades especı́ficas de cada cliente. Cada NettionPlug
tem uma aplicação diferente. Assim, você decide qual plugin é o mais indicado para o seu
negócio. Cada plugin pode ser instalado para avaliação por 15 dias. Após este perı́odo
entre em contato com a sua revenda Nettion para fazer a aquisição.
A aquisição dos NettionPlugs é muito fácil. Se a sua empresa já possui o Nettion, basta
acessar o menu “Sistemas”, selecionar a opção “Plugins” e instalar a funcionalidade desejada. Você ainda ganha quinze dias totalmente gratuitos para testar a eficiência dos
aplicativos.
15.2
Instalando os NettionPlugs
Para fazer a instalação de NettionPlugs no seu Nettion, siga os seguintes passos:
• Na interface de administração do seu Nettion, clique no menu Sistema → Plugins;
• Na listagem seguinte, o Nettion mostrará todos os NettionPlugs disponibilizados
pela NIS.
• Clique no botão “Instalar” do plugin desejado. Observe que caso a sua versão seja
anterior a requerida pelo plugin esta opção estará desabilitada. Neste caso atualize
seu Nettion antes.
• Após a instalação o sinalizador de status ficará na cor verde, caso a sua empresa
já tenha adquirido a licença do plugin, ou ficará laranja no caso de uma instalação
para avaliação;
Uma vez instalado, o plugin funcionará de forma totalmente integrada ao Nettion e estará
disponı́vel na arvore de menu, assim como as outras funcionalidades.
127
128
CAPÍTULO 15. NETTIONPLUGS
15.3
Chat Server
O Chat Server é um NettionPlug desenvolvido pela NIS para ser o comunicador instantâneo da sua empresa. O programa tem como base o Jabber, conhecido como o melhor
sistema de mensagens instantâneas para Linux.
Criado seguindo os padrões de qualidade da NIS, o Chat Server possui um servidor próprio
para a troca de mensagens internas. Com isso, você evita a adição de usuários externos
e assegura a produtividade dentro da empresa.
O NettionPlug também permite a comunicação com outras unidades de uma mesma
rede. Além de economizar tarifas telefônicas você ainda garante o sigilo e a segurança das
mensagens trocadas, pois o aplicativo não está sujeito a vı́rus e demais ameaças comuns
a internet.
15.3.1
Configurações
A configuração do Chat Server é bastante simples uma vez que seus usuários e sua autenticação são totalmente integradas ao Nettion. Com isso, a integração do Chat à sua
organização torna-se ainda mais simples e rápida.
Para configurá-lo, acesse o menu Chat Server → Configurações do seu Nettion. Na tela
seguinte informe os dados a seguir, conforme mostrado na figura 15.1 (página 126).
• Domı́nio: domı́nio internet da sua empresa. Este domı́nio fará parte da indentificação do usuário para o servidor Chat;
• E-mail do administrador: indique o e-mail do administrador do servidor Chat;
• Interface de funcionamento: Indique a interface de rede do Nettion que receberá
as conexões. É importante ressaltar que, se você selecionar somente a sua interface
local, apenas as máquinas da sua rede local conseguirão conectar-se ao Chat server.
Logo, se você selecionar somente a sua interface externa (interface ligada a internet),
apenas as máquinas na internet conseguirão ter acesso ao Chat Server. Selecionando
TODAS, tanto as suas máquinas da sua rede local, como as máquinas da internet
conseguirão se conectar.
Figura 15.1: Configurações do Chat Server
15.3. CHAT SERVER
15.3.2
129
Software cliente (estações)
Para que os usuários acessem o Chat, é necessário a utilização de algum software compatı́vel com o protocolo Jabber instalado em suas estações. Os softwares a seguir são
bastante conhecidos e utilizados para este fim:
• Windows
– Pandion
– Exodus
• Linux
– Kopete
– Gaim
Configuração do software cliente
Nas configurações do software cliente, insira o ip do Nettion como sendo o servidor,
e, para autenticar o usuário utilize nomedousuario+”@suaempresa.com.br, onde suaempresa.com.br é o domı́nio utilizado nas configurações do servidor (veja seção 15.3.1). Ex:
[email protected]. A senha será de acordo com a autenticação integrada do Nettion, podendo ser no próprio Nettion, em um Windows Active Directory ou um servidor
NIS (Linux).
15.3.3
Firewall
Para que as estações de rede tenham acesso ao servidor, é necessário que você faça uma
liberação no Firewall do Nettion. A porta a ser liberada é a 5222 do protocolo TCP.
Segue um resumo da regra de Firewall a ser criada na tabela 15.1 (página 127).
Regra: Intranet → Nettion
Origem Destino
Serv. Destino Ação
Intranet localhost Chat Server1 Aceitar
Tabela 15.1: Liberação do Chat Server
Observe que esta regra está contemplando o acesso do objeto Rede Interna ao Chat Server
do Nettion. Inclua outras redes caso necessário.
15.3.4
Iniciando o serviço Chat Server
Para iniciar o serviço, clique no menu Sistema → Serviços. Depois clique no botão “Start”
referente ao serviço “Chat Server”. Para manter o serviço sempre ativo no boot do Nettion,
marque a caixa “Auto” e clique em “Ativar mudanças para os serviços selecionados”.
1
Crie um objeto de serviço para esta porta chamado “Chat Server” com a porta TCP 5222 - veja Capı́tulo 4 Objetos.
130
CAPÍTULO 15. NETTIONPLUGS
15.3.5
Mais informações
Acesse também o Passo a Passo disponı́vel no site do Nettion (www.nettion.com.br) para
mais informações de como configurar o servidor e os clientes deste plugin.
15.4
Blitz
Blitz é o NettionPlug responsável pelo controle e gerenciamento do uso de MSN nas
empresas. Foi desenvolvido para organizações que necessitam usar comunicadores instantâneos para contatos comerciais.
Além de controlar os nı́veis de permissão de MSN por usuário ou grupo de usuários, o
Blitz possibilita a administração de listas de contatos. Assim, se a sua empresa precisa
utilizar IM para se relacionar com contatos externos, com o NettionPlug você garante
que a comunicação seja estabelecida para fins apropriados.
O Blitz é um plugin totalmente web (integrado ao Nettion), ou seja, não é necessário a
aquisição de um novo hardware para a sua instalação. Facilmente adquirido, o aplicativo
possui interface intuitiva e de simples administração através de um wizard.
A funcionalidade foi desenvolvida pela NIS, visando o aumento da produtividade do seu
negócio, bem como a redução do consumo de banda e tarifas telefônicas.
15.4.1
Como funciona?
O Blitz funciona como uma espécie de servidor Proxy (Socks5) que tem a função de
intermediar o acesso MSN da sua rede, fazendo toda a filtragem do acesso. É possı́vel
estabelecer através de suas regras quais usuários terão acesso ao MSN e até com quais
contatos eles poderão se comunicar, além da auditoria das conversas.
Para isso, é necessário bloquear qualquer outra forma de acesso MSN e configurar nas
estações (configurações do MSN) apontando para o Nettion como servidor Socks.
Veja agora como evitar o acesso direto ao MSN.
15.4.2
Bloqueando o acesso direto ao MSN
Por padrão o software MSN procura várias alternativas de comunicação com seu servidor
na Internet. E para forçarmos que ele sairá somente pelo Blitz, temos que bloquear tais
alternativas de acesso direto.
Caso as estações da sua rede estejam utilizando o Proxy do Nettion, duas configurações
devem ser feitas:
A primeira é bloquear a expressão “gateway.dll”. Para isso
• Crie um grupo de objetos de expressões chamado “Bloquear MSN”. Qualquer dúvida
a respeito de como configurar os objetos de expressões, veja o Capı́tulo 4 - Objetos.
• Inclua neste grupo a palavra “gateway.dll”.
15.4. BLITZ
131
Agora crie uma regra no seu Proxy bloqueando o grupo de expressões criado acima.
Aplique esta regra a todos os usuários ou aos usuários que você deseja bloquear o acesso
direto ao MSN. Crie esta regra na primeira posição para evitar que outra regra mais
genérica libere o acesso antes. Qualquer dúvida sobre regras de Proxy, acesse o Capı́tulo
6 - Proxy.
A segunda é liberar algumas URLS que o MSN utiliza para fazer a autenticação do usuário
em seu servidor. Da mesma forma, crie um grupo de expressões chamado “Liberar logon
MSN” e nele inclua as seguintes palavras:
• nexus.passport.com:443
• login.live.com:443
• loginnet.passport.com:443
• omega.contacts.msn.com:443
• storage.msn.com:443
• Install Messenger.exe
Agora, crie outra regra no Proxy liberando este grupo de expressões. Você pode liberar
para qualquer usuário uma vez que o controle vai ficar no próprio Blitz. Crie esta regra
na posição 2, após a regra de bloqueio do MSN. Qualquer dúvida sobre regras de Proxy,
acesse o Capı́tulo 6 - Proxy.
Também é necessário criar regras no firewall que impeçam qualquer tentativa de acesso
ao Msn através de um possı́vel mascaramento. Para isso, deve-se criar no firewall uma
regra bloqueando o acesso de toda a intranet (ou pelo menos dos IPs dos usuários que
deverão acessar via Blitz) às redes da Microsoft (65.52.0.0/14 e 207.46.0.0/16) nas portas
1863/TCP, 80/TCP e 443/TCP. Esta regra deve ficar nas primeiras posições, assegurando
assim que ela fique acima de qualquer mascaramento existente (salvo os mascaramentos
de usuários que, porventura, não acessem o Msn via Blitz).
Obs1: antes de criar a regra, crie objetos de “Hosts e Redes” contendo as ranges da Microsoft aqui citadas (por exemplo RangeMS1 e RangeMS2). Para maiores informações
sobre como criar objetos de “Hosts e Redes”, veja o Capı́tulo 4 – Objetos.
Obs2: antes de criar a regra, crie um objeto de serviço com a porta 1863/TCP chamado
msn. Para maiores informações sobre como criar objetos de serviços, veja o Capı́tulo 4
– Objetos.
Obs3: os serviços http e https também devem ser inclusos na regra de bloqueio. Veja a
regra de resumo a seguir na tabela 15.2.
Regra: Intranet -> Microsoft
Origem
Destino
Serv. Destino
Rede Interna Range MS1/Range MS2 msn/http/https
Ação
Bloquear
Tabela 15.2: Bloqueando o acesso ao MSN via mascaramento
132
CAPÍTULO 15. NETTIONPLUGS
15.4.3
Auditoria
Todas as conversas realizadas via Blitz são auditadas. Para acompanhar as conversas,
clique no menu “Auditoria”, todas as conversas serão exibidas por data. Para visualizar
o conteúdo de uma conversa, selecione-a e clique no botão “itens”.
15.4.4
Firewall
Agora é necessário liberar que o próprio Nettion faça conexões a partir do serviço Blitz.
Para isso é preciso criar uma regra liberando o tráfego partindo do Nettion com destino
a porta 1863/TCP, como segue na regra de resumo a seguir na tabela 15.3.
Obs: antes de criar a regra, verifique a existência de alguma regra que já contemple esta
liberação, caso contrário, crie antes de criar a regra sugerida um objeto de serviço com
a porta 1863/TCP chamado msn. Para maiores informações sobre como criar objetos de
serviços, veja o Capı́tulo 4 - Objetos.
Regra: Blitz -> Internet
Origem
Destino
Serv. Destino Ação
localhost Qualquer msn
Aceitar
Tabela 15.3: Liberando o serviço Blitz
Além desta regra, é necessário também liberar o acesso da rede interna ao serviço Blitz,
que funciona por padrão na porta 1080. Veja a regra de resumo a seguir na tabela 15.4.
Obs: antes de criar a regra, verifique a existência de alguma regra que já contemple esta
liberação, caso contrário, crie antes de criar a regra sugerida um objeto de serviço com a
porta 1080/TCP chamado blitz. Para maiores informações sobre como criar objetos de
serviços, veja o Capı́tulo 4 - Objetos.
Regra: Intranet -> Blitz
Origem
Destino
Serv. Destino Ação
Rede Interna localhost blitz
Aceitar
Tabela 15.4: Liberando acesso ao Blitz
15.4.5
Configurações
Assim como o Proxy e o Firewall do Nettion, o Blitz também possui uma polı́tica de
padrão de acesso. Ela vai definir o que será feito caso o usuário não se encaixe em alguma
regra de acesso, que serão vistas mais a frente.
Normalmente a polı́tica padrão é definida como “Negar qualquer acesso” e através das
regras são liberados somentes os usuários que realmente tenham que acessar o MSN e
com quem podem se comunicar.
A polı́tica padrão é configurada através do menu Blitz → Configurações. Neste menu,
também é possı́vel definir se os usuários serão avisados que as suas conversas estarão sendo
auditadas e gravadas. Para isso, marque a opção “Habilitar notificação de auditoria no
inı́cio da sessão”.
15.4. BLITZ
15.4.6
133
Catalogação automática de contatos
Através dos menus Contatos e Grupos do Blitz você pode inserir manualmente os contatos
com quem seus usuários poderão se comunicar. Porém o Blitz oferece uma maneira
automática de catalogação destes contatos, que ocorre no momento em que o usuário faz
a sua primeira1 conexão através do Blitz.
Este processo facilita bastante a manutenção das regras, como será visto mais a frente.
Na guia “Passports”, é possı́vel ver os contatos organizados por cada passport. Para ver
os contatos de um passport, selecione-o e clique no botão “Itens”.
15.4.7
Regras
O Wizard de criação das regras do Blitz é muito semelhante ao dos outros serviços do
Nettion, como o Firewall e o Proxy.
Siga os passos a seguir para configurar as regras:
• Clique no menu Blitz->Regras;
• Na tela seguinte, da listagem de regras, clique no botão “Incluir”;
• Na primeira tela do Wizard, defina uma descrição da regra, a ação, a posição, que
vai definiar a ordem de priodidade da regra e, por fim, defina o Status da regra;
• Na tela seguinte, selecione o horário que a regra será aplicada, de acordo com os
objetos de horários previamente definidos;
• Na próxima tela você definirá com quais contatos os usuários poderão se comunicar.
Em Filtros de Origem selecione para a coluna da esquerda o(s) usuário(s) e em
Filtros de Destino, selecione o(s) contato(s) permitidos para este(s) usuário(s).
15.4.8
Iniciando o serviço Blitz
Para iniciar o serviço, clique no menu Sistema → Serviços. Depois clique no botão “Start”
referente ao serviço “Blitz”. Para manter o serviço sempre ativo no boot do Nettion,
marque a caixa “Auto” e clique em “Ativar mudanças para os serviços selecionados”.
15.4.9
Configurando as estações
Agora é necessário fazer a configuração das estações, apontando no MSN o IP do Nettion
Blitz. Dependendo da versão do MSN o local da configuração pode variar, porém, de um
modo geral, você deve indicar o servidor socks e http do seu MSN. Geralmente fica em
Ferramentas -> Opções -> Conexão. Aponte para o IP do Nettion o serviço socks e http
proxy. É necessário que você também indique as informações de autenticação do usuário
(usuário e senha);
1
Nas conexões seguintes o Blitz só faz a manutenção destes contatos, incluindo ou excluindo, conforme necessário.
134
CAPÍTULO 15. NETTIONPLUGS
15.4.10
Mais informações
Acesse também o Passo a Passo disponı́vel no site do Nettion (www.nettion.com.br) para
mais informações de como configurar o servidor e os clientes deste plugin.
15.5
OpenVPN
O OpenVPN é mais uma forma de VPN oferecida pelo Nettion. Através deste recurso
você tanto pode interligar redes de matriz e filiais ou permitir que um usuário externo
acesse a sua rede de forma simples e segura. Um grande diferencial do OpenVPN é sua
possibilidade de operar mesmo em ambientes de internet com mascaramento(NAT), como
em redes de hoteis, cyber cafés ou aeroportos.
Após a instalação, você acessa este plugin através do menu VPN → OpenVPN do seu
Nettion. Ele oferece dois tipos de conexões, coforme será mostrado a seguir.
15.5.1
Nettion-Nettion
Esta é a opção para fazer interligação entre duas ou mais redes através da VPN, como
interligar filiais à Matriz, cada uma com um Nettion e com o Plugin OpenVPN instalado.
Neste caso, um dos Nettions vai ser o servidor da VPN e o outro o Cliente.
Configurando o Servidor OpenVPN
• Acesse o menu VPN → OpenVPN → Nettion-Nettion → Conexões;
• Na tela seguinte, da listagem de conexões, clique no botão “Incluir”;
• Na primeira página do Wizard defina os seguintes campos:
–
–
–
–
Tipo: Servidor;
Nome: identifique o nome da conexão;
Status: Ativo;
Porta: o Nettion já oferece uma sugestão de porta automaticamente. Cada
túnel OpenVPN funcionará em uma porta diferente - lembre-se de criar a regra
de Firewall correspondente a esta porta para liberar a conexão VPN;
– Protocolo: UDP (padrão);
– Compressão LZO: aplique para otimizar o tráfego dentro da VPN com a compressão dos dados;
• Na página seguinte defina:
– Local
∗ IP: indique o IP/Hostname pelo qual o(s) Nettion(s) cliente(s) encontrarão
este Nettion;
∗ IP Virtual: indique um IP virtual para conexão entre os Nettions após o
estabelecimento da VPN. Ex: 192.168.200.1;
∗ Redes: indique a(s) rede(s) locais que farão comunicação com a(s) rede(s)
remota(s);
15.5. OPENVPN
– Remoto
∗ IP: indique o IP do Nettion cliente. Caso ele não possua um IP fixo, deixe
este campo em branco.
∗ IP Virtual: este campo será preenchido automaticamente.
∗ Redes: indique a(s) rede(s) remotas que farão comunicação com a(s) rede(s)
locais(s);
– Clique no botão concluir para criar a conexão.
Configurando o Cliente OpenVPN
Agora que o servidor está criado, é hora de configurar o(s) Nettion(s) cliente(s). Para
facilitar esta tarefa, o Nettion servidor da VPN oferece a exportação do arquivo que faz
toda a configuração do cliente. Para exportar o arquivo:
• No Nettion servidor, vá até a listagem de conexões e clique duas vezes na conexão
servidor criada;
• Na tela seguinte, em “Exportar configurações”, defina uma senha de segurança para
o arquivo e clique em exportar.
• Salve o arquivo para que seja utilizado na configuração do Nettion cliente.
Agora, acesse o Nettion cliente da VPN e siga os passos a seguir:
• Acesse o menu VPN → OpenVPN → Nettion-Nettion → Conexões;
• Na tela seguinte, da listagem de conexões, clique no botão “Incluir”;
• Na primeira página do Wizard defina os seguintes campos:
– Tipo: Selecione agora o tipo “Cliente”;
– Nome: indique um nome para a conexão;
– Em “Importar configurações”, selecione o arquivo exportado pelo servidor, insira
a senha de segurança do arquivo e clique em “Importar”. Neste momento o
Nettion importará toda a configuração necessária da conexão.
– Clique no botão “Concluir”.
Firewall
Como comentado anteriormente, cada túnel OpenVPN funciona em uma porta diferente,
de acordo com a sua configuração no momento de criar o túnel servidor. Para que as
conexões possam ser estabelecidas, libere no seu Firewall a conexão entre os servidores
nas portas utilizadas.
Supondo que o servidor esteja configurado para a porta 1184/UDP, crie um objeto de
serviço com esta porta e crie uma regra de Firewall conforme mostrado na tabela 15.5:
Neste caso, estamos liberando apenas para o objeto ClienteOpenVPn conectar ao servidor. Caso não seja possı́vel identificar a origem da conexão, deixe a origem em branco
(Qualquer).
Além da regra para permitir a interligação entre os Nettions, é necessário também liberar
o tráfego entre as redes da VPN de acordo com as suas necessidades. Veja resumo da
regra necessária na tabela 15.6.
135
136
CAPÍTULO 15. NETTIONPLUGS
Regra: Liberando servidor OpenVPN
Origem
Destino
Serv. Destino Ação
ClienteOpenVPN localhost openvpn1
Aceitar
Tabela 15.5: Acesso ao servidor OpenVPN
Regra: Liberando tráfego dentro da VPN
Origem
Destino
Serv. Destino Ação
Rede Local Rede Remota Qualquer
Aceitar
Tabela 15.6: Liberando Tráfego dentro da VPN
Iniciando o serviço OpenVPN
Agora que o servidor e o cliente estão devidamente configurados, inicie o serviço OpenVPN
em cada Nettion (servidor e cliente) no menu Sistema → Serviços.
Por último, inicie o túnel. Através da tela de listagem das conexões clique no botão
“Start” correspodente a conexão criada para iniciar o túnel entre os Nettions. Neste
momento o status indicativo da conexão deve ficar verde e as estações das redes já podem
se comunicar entre si. Caso não, verifique se não esqueceu algum passo acima.
15.5.2
Nettion-Usuários
Esta modalidade de OpenVPN permite a conexão segura de usuários externos à sua
organização. Através do túnel estabelecido os usuários podem ter acesso aos recursos
da rede como compartilhamentos, sistemas, impressoras, de acordo com a polı́tica de
segurança adotada, como se estivessem conectados localmente à rede.
Como comentado anteriormente, um dos grandes diferenciais deste plugin é sua possibilidade de operar mesmo em ambientes de internet com mascaramento(NAT), como em
redes de hoteis, cyber cafés ou aeroportos. Outras caracterı́sticas importantes são a sua
facilidade de configuração, tanto servidor quanto clientes, e a sua flexibilização quanto
à autenticação dos usuários, que opera juntamente com a autenticação centralizada do
Nettion.
Configurações
Para configurar o servidor OpenVPN siga os passos a seguir:
• Acesse o menu VPN → OpenVPN → Nettion-Usuários → Configurações;
• Na tela seguinte, de Configurações Gerais, configure:
– Status: indique o status do servidor - Ativo;
– Nome da conexão: indique um nome para a conexão - o Nettion já fará uma
sugestão;
– Interface de funcionamento: aqui você pode escolher uma interface especı́fica (a
que possui IP público) ou “Todas” para esperar conexões em qualquer interface;
15.5. OPENVPN
– IP do Servidor: indique o IP através do qual seu Nettion será encontrado pelos
clientes. Geralmente será o IP público do seu Nettion, mas em situações onde o
Nettion está sendo mascarado (NAT) por um roteador, por exemplo, indique o
IP público do roteador;
– Rede virtaul - Rede que será criada entre o Nettion e os usuários conectados
∗ Rede: será a rede virtual - o Nettion já fará a indicação automática;
∗ Marcara da rede: indique a máscara da rede - o Nettion também indicará;
∗ IP do servidor: será o IP do Nettion dentro da rede virtual;
∗ IPs dos clientes: será o intervalo de IPs que será fornecido aos clientes da
VPN;
– Redes acessadas pelos usuários - Redes que o nettion fornece acesso para usuários
conectados
∗ Selecione para a coluna da esquerda as redes locais que serão oferecidas aos
usuários da VPN;
• Em Controle de Acesso indique:
– Por padrão os usuários válidos (autenticados) da rede terão acesso. Mas é
possı́vel especificar quais usuários terão acesso. Para isso, selecione a opção
“Permitir apenas os usuários selecionados”;
– Em Grupos e Usuário, especifique quais grupos e/ou usuários terão permissão
de acesso. Como dito anteriormente, os usuários serão autenticados, no momento da conexão, na base indicada no sistema de Autenticação centralizada do
Nettion.
• Em Configurações Avançadas indique:
–
–
–
–
Porta: o Nettion já sugere a porta de conexão;
Procoloco: o protocolo padrão é o UDP;
Compressão LZO: utilize compressão para otimizar o tráfego dentro do túnel;
Tipo do servidor: utilize a opção Tunel para ponto a ponto (padrão) ou Ethernet
para conexão semelhante a uma rede Ethernet;
– Permitir conexão entre clientes: o padrão é permitir que os clientes conectados
ao Nettion possam se comunicar entre si. Caso não queira permitir, selecione
“Não”.
• Clique em “Concluir” para salvar as configurações.
Conexões Ativas
Em Conexões Ativas serão listadas as conexões VPN atualmente estabelecidas ao Nettion.
Na listagem é possı́vel identificar o nome do Usuário, data e hora em que a conexão foi
etabelecida e é possı́vel também desconectar o usuário através do botão “Stop”.
Relatórios
Em Relatórios → Conexões você tem acesso ao histórico de conexões feitas ao servidor
OpenVPN. Através do filtro é possı́vel fazer buscas detalhadas sobre os acessos feitos.
137
138
CAPÍTULO 15. NETTIONPLUGS
Firewall
Para que os usuários externos possam conectar-se ao Nettion é necessário fazer uma liberação no Firewall do Nettion. Para isso crie uma regra permitindo o acesso de Qualquer
host (Internet) em direção ao Nettion na porta estabelecida para o servidor.
Supondo que o servidor esteja configurado para a porta padrão, 1183/UDP, crie um
objeto de serviço com esta porta chamado openvpn-Clientes, e crie uma regra de Firewall
conforme mostrado na tabela 15.7:
Regra: Liberando servidor OpenVPN
Origem
Destino
Serv. Destino
Ação
Qualquer localhost openvpn-Clientes Aceitar
Tabela 15.7: Acesso ao servidor OpenVPN
Além da regra para permitir a interligação dos clientes ao Nettions, é necessário também
liberar o tráfego entre as redes locais permitidas e a rede virtual configurada. Veja resumo
da regra necessária na tabela 15.8.
Regra: Liberando tráfego dentro da VPN
Origem
Destino
Serv. Destino Ação
Rede Local Rede Virtual Qualquer
Aceitar
Tabela 15.8: Liberando Tráfego dentro da VPN
Observação: o objeto “Rede Virtual” corresponde ao IP estabelecido na configuração do
servidor OpenVPN - veja seção 15.5.2.
Iniciando o serviço OpenVPN
Inicie o servidor OpenVPN através do menu Sistema → Serviços.
Configuração dos clientes
Nas estações clientes Windows, baixe e instale o software “OpenVPN Client”. A instalação
nas estações é bastante simples e segue o padrão de instaladores de software para esta
plataforma. Após a instalação, note que um novo ı́cone aparecerá ao lado do relógio do
Windows, na barra do menu Iniciar.
Uma vez instalado é hora de fazer a configuração. Para facilitar esta tarefa, o Nettion
servidor da VPN oferece a exportação do arquivo que faz toda a configuração do cliente.
Para exportar este arquivo, entre novamente nas configurações do OpenVPN NettionUsuários e clique na opção “Baixar arquivo”. Caso esta opção ainda não esteja disponı́vel
é porque a configuração do servidor ainda não foi efetuada.
Agora, na estação Windows, com o OpenVPN Client instaldo, clique com o botão direito
no ı́cone do OpenVPN Client e escolha a opção “Nova Conexão (Nettion)”. Na janela
seguinte, selecione o arquivo exportado pelo Nettion. Com isso a configuração estará
finalizada.
15.6. DNS
139
Agora é hora de conectar. para isso, clique novamente com o botão direito no ı́cone
do OpenVPN Client e escolha a opção “Conectar”. Neste momento aparecerá uma tela
solicitando seu nome de usuário e senha para autenticação no Nettion. Lembrando que
esta autenticação é feita de acordo com a autenticação centralizada configurada no seu
Nettion.
Após a conexão acesse a sua rede normalmente.
15.5.3
Mais informações
Acesse também o Passo a Passo disponı́vel no site do Nettion (www.nettion.com.br) para
mais informações sobre a configuração deste plugin.
15.6
DNS
DNS é o NettionPlug responsável pelas resoluções de nomes diretos e reversos.
O DNS é uma sistema hierárquico. O mais alto nı́vel é representado por “.” e denominado
“raiz”. Sob “.” há diversos “Domı́nios de Alto Nı́vel” (TLDs), sendo ORG, COM, EDU e
NET os mais conhecidos.
Existem 13 servidores DNS raiz no mundo todo e sem eles a Internet não funcionaria.
Destes, dez estão localizados nos Estados Unidos da América, um na Ásia e dois na
Europa.
Para Aumentar a base instalada destes servidores, foram criadas Réplicas localizadas por
todo o mundo, inclusive no Brasil desde 2003. Ou seja, os servidores de diretórios responsáveis por prover informações como nomes e endereços das máquinas são normalmente
chamados servidores de nomes. Na Internet, o serviço de nomes usado é o DNS, que apresenta uma arquitetura cliente/servidor, podendo envolver vários servidores DNS durante
a resposta a uma consulta.
15.6.1
Como funciona?
A Arquitetura do serviço DNS é distribuida em Masters e Slaves. O primeiro é o responsável e deve ser alterado inicialmente. É ele quem notifica os outros servidores, onde
estão as replica das informações. Esses são chamados de Slaves, pois apenas recebem as
informações do Master.
Existem dois tipos de resoluções: uma direta, quando queremos encontrar um IP de
um nome, e outra quando temos um IP e queremos saber o ser nome. Esta segunda
forma tem uma organização diferenciada e garante que um determinado IP é de uma rede
conhecida. Por exemplo, um servidor de E-Mail (SMTP) recebe uma conexão do host
de origem reconhecido por 192.168.5.4. Para este IP poder enviar e-mails tem que ter o
reverso configurado. Isto, para prevenir uma possı́vel fraude. Os domı́nios reversos estão
na árvore ’in-addr.arpa’. Esta árvore não está aberta ao público. Por isso, é confiável.
No exemplo acima o reverso do IP seria 4.5.168.192.in-addr.arpa.
Após a instalação, você acessa este plugin através do menu DNS → Domı́nios.
140
CAPÍTULO 15. NETTIONPLUGS
Figura 15.2: Demonstração de um esquema de DNS
15.6.2
Domı́nios Maters
Esta modalidade permite que você crie e gerencie seus domı́nios Masters. Existem dois
campos que aparecem somente na criação do domı́nio: SOA e NS, itens necessários ao
funcionamento de qualquer DNS. O SOA (Start Of Autority) é o servidor de consulta
inicial. É ele quem determinará os outros nomes do domı́nio. O NS é a autoridade do
domı́nio ele pode ser usado para resolver os nomes do domı́nio, mas geralmente é utilizado
para ’desafogar’ o SOA.
• Acesse no menu DNS → Domı́nios → incluir.
• Na primeira tela do wizard de inclusão, configure:
–
–
–
–
–
–
Nome: Nome do domı́nio que você irá criar;
Descrição: Descrição do domı́nio a qual você irá gerenciar;
Tipo: O tipo de domı́nio que você irá criar. Neste caso Master;
Status: Ativo;
SOA: Inı́cio da autoriade do domı́nio (Somente na criação do master);
NS: NS do domı́nio master.
• Na segunda tela do wizard selecione os servidores slaves que serão notificados pelo
master, lembrando que a toda a lista de Itens do tipo NS serão notificados também;
• Na terceira tela do wizard (Botão de configurações avançadas) que é opcional, configure:
–
–
–
–
–
15.6.3
TTL: Tempo de validade das informações de cache em outros servidores;
Expira em: Tempo total de tentativas de atualização;
Atualiza em: Tempo requerido para a atualização;
Retenta em: Tempo de retentativas em caso de falhas nas atualizações;
Postmaster: E-mail do administrador do domı́nio;
Itens do Domı́nio Master
• Para acessar esta modalidade clique no botão ITENS, no lado direito e inferior da
tela.
15.6. DNS
141
• Depois, em INCLUIR
• No campo Tipo: Definir o tipo do item. Existem 6 tipos de de itens:
– SOA: Start of Authority, marca o começo dos dados de uma zona e define
parâmetros que afetam a zona inteira.
– NS: Identifica o servidor de nomes de um domı́nio.
– MX: Mail eXchange, Lista de servidores de e-mail para entrega (SMTP).
– A: Resolução direta de um nome para um IP.
– CNAME: Define um alias para um hostname.
– PTR: Mapeia o endereço para um hostname.
– TXT: Permite a criação de registros SPF, DKIM (DomainKeys) e fornecimento
de informações adicionais.
∗ Exemplo:
SPF: example.net. IN TXT “v=spf1 a mx ip4:192.0.2.32/27 -all”
DKIM: mail. domainkey.example.net. IN TXT “g=\; k=rsa\; t=y\;p=MF...XYZ”
INFO: example.net. IN TXT “em caso de problema ligue (85)4005-1188”
• Campo descrição: Descrição para o gerenciamento dos itens;
• Campo Prioridade: Definir a prioridade do servidor MX;
• Campo IP/Host: Para definir hosts de resoluções aos tipos PTR, A e CNAME;
• Campo Resolve em: Usado para determinar a resolução do nome ou tipo;
• Campo Status: Definir o status do item;
15.6.4
Domı́nios Slaves
Esta modalidade permite que você crie e gerencie seus domı́nios Slaves.
• Acesse no menu DNS → Domı́nios → incluir.
• Na primeira tela do wizard de inclusão, configure:
–
–
–
–
Nome: Nome do domı́nio que você irá criar;
Descrição: Descrição do domı́nio a qual você irá gerenciar;
Tipo: O tipo de domı́nio que você irá criar. Neste caso Slave;
Status: Ativo;
• Na segunda tela do wizard, selecione os servidores Masters que ele deve sincronizar.
Deve ser selecionado obrigatoriamente um servidor1 .
15.6.5
Itens do Domı́nio Slave
• Os itens do domı́nio Slave serão todos os itens importados do domı́nio Master.
1
Crie um objeto com o nome do servidor e seu IP associado. Veja o capı́tulo 4 - Objetos
142
CAPÍTULO 15. NETTIONPLUGS
15.6.6
Domı́nios Reversos
Os domı́nios reversos são tipos especiais. Sua sintax é in-addr.arpa. Eles seguem Ao
lado do campo NOME, existe um botão chamado GERAR O REVERSO, no wizard de
criação, que facilitará o trabalho. Ao ser clicado, ele solicitará o ip/máscra no formato
xxx.xxx.xxx.xxx/yyy.yyy.yyy.yyy. Assim, o nome será mudado para o formato correto.
15.6.7
Iniciando o serviço DNS
Inicie o servidor DNS através do menu Sistema → Serviços → Servidor de Nomes.
15.6.8
Firewall com DNS
Para que os usuários externos possam conectar-se ao Nettion é necessário fazer uma
liberação no Firewall do Nettion. Para isso, crie uma regra permitindo o acesso de
qualquer host (Internet) em direção ao Nettion, na porta estabelecida para o servidor.
Supondo que o servidor esteja configurado para a porta padrão, 53/UDP 53/TCP, utilize
o serviço predefinido DNS e crie uma regra de Firewall, conforme mostrado na tabela
15.9:
Regra: Liberando servidor DNS
Origem
Destino Serv. Destino Ação
Qualquer localhost
DNS
Aceitar
Tabela 15.9: Acesso ao servidor DNS
15.6.9
Mais informações
Para maiores informações sobre a configuração deste plugin, acesse também o Passo a
Passo, disponı́vel no site do (www.nettion.com.br).