2
R Copyright 2002-2009 by Nettion Information Security.
Nettion
Este material1 pode ser livremente reproduzido, desde que mantidas as notas de copyright
e o seu conteúdo original. Envie crı́ticas e sugestões para [email protected].
Revisado e atualizado por Deyvson Matos, em 5 de janeiro de 2009.
Disponı́vel também no idioma Inglês2 .
1
R Para baixar o Manual da Série 3.0 do Nettion,
R acesse:
Este Manual está baseado na Série 4.0 do Nettion.
http://www.nettion.com.br/comunication/geral/Manual-Nettion3.pdf
2
Versão em Inglês do Manual disponı́vel em:
http://www.nettion.com.br/comunication/geral/Manual-Nettion-Eng.pdf
Sumário
1 Introdução
1.1
11
Apresentação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2 Instalação/Registro/Login
13
2.1
Instalação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.2
Registro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.3
Login . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.4
Tela Inicial
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3 Configurações
17
3.1
3.2
Básicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.1.1
Gráficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.1.2
Administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.1.3
Data/Hora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.2.1
Interface/Conexões . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.2.2
Sub-Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.2.3
Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
3.2.4
DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
3.2.5
Roteamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.2.6
DNS Dinâmico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
3.2.7
Gráficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
4 Objetos
4.1
37
Manutenção de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.1.1
Inclusão de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.1.2
Edição de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.1.3
Manutenção dos Itens do Objeto . . . . . . . . . . . . . . . . . . . 38
4.1.4
Exclusão de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3
4
SUMÁRIO
4.1.5
4.2
Hosts e Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.2.1
4.3
4.6
4.7
4.8
Manutenção do cadastro de domı́nios . . . . . . . . . . . . . . . . . 41
Expressões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.4.1
4.5
Manutenção do Cadastro de Hosts e Redes . . . . . . . . . . . . . . 40
Domı́nios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.3.1
4.4
Consulta de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Manutenção do Cadastro de Expressões . . . . . . . . . . . . . . . . 42
Horários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.5.1
Manutenção do cadastro de horários . . . . . . . . . . . . . . . . . 43
4.5.2
Determinando Intervalos . . . . . . . . . . . . . . . . . . . . . . . . 43
Serviços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
4.6.1
Predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
4.6.2
Personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Categorias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4.7.1
Predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4.7.2
Personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
4.7.3
Consulta de URL’s . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Mime Type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
5 Usuários/Grupos
5.1
5.2
Autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
5.1.1
Base Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
5.1.2
Servidor NIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
5.1.3
Servidor Windows
6.2
Manutenção do cadastro de Usuários . . . . . . . . . . . . . . . . . 53
Perfis de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
6 Proxy
6.1
Manutenção do cadastro de Grupos . . . . . . . . . . . . . . . . . . 52
Usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
5.3.1
5.4
. . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
5.2.1
5.3
47
57
Regras de Firewall Necessárias . . . . . . . . . . . . . . . . . . . . . . . . . 57
6.1.1
Intranet → Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
6.1.2
Nettion → Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
6.2.1
Proxy com autenticação . . . . . . . . . . . . . . . . . . . . . . . . 58
6.2.2
Proxy transparente . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
SUMÁRIO
5
6.2.3
Configurações gerais . . . . . . . . . . . . . . . . . . . . . . . . . . 59
6.2.4
Limpeza do Cache do Proxy . . . . . . . . . . . . . . . . . . . . . . 60
6.2.5
Mensagens de erro . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
6.2.6
Portas Autorizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
6.2.7
Base de URL’s Categorizadas . . . . . . . . . . . . . . . . . . . . . 61
6.2.8
Histórico de Atualizações de URL’s . . . . . . . . . . . . . . . . . . 62
6.3
Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
6.4
Composição de regras do Proxy . . . . . . . . . . . . . . . . . . . . . . . . 64
6.5
6.6
6.7
6.4.1
Tela 1 - Definição da regra . . . . . . . . . . . . . . . . . . . . . . . 64
6.4.2
Tela 2 – Horário . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
6.4.3
Tela 3 - Filtros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
6.4.4
Tela 4 - Aplicar para . . . . . . . . . . . . . . . . . . . . . . . . . . 67
6.4.5
Tela 5 - Qos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
6.5.1
Padrão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
6.5.2
Por domı́nio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
6.5.3
Top . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
6.5.4
Acessos Bloqueados . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
6.5.5
On-line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Gráficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
6.6.1
Selecionando um perı́odo . . . . . . . . . . . . . . . . . . . . . . . . 71
6.6.2
Visualizando acessos a partir do gráfico . . . . . . . . . . . . . . . . 71
6.6.3
Monitoramento Realtime . . . . . . . . . . . . . . . . . . . . . . . . 72
Configurando as estações da rede . . . . . . . . . . . . . . . . . . . . . . . 72
7 Controle de Banda
73
7.1
Re-priorização de pacotes
7.2
Realocação dinâmica de banda . . . . . . . . . . . . . . . . . . . . . . . . . 74
7.3
Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
7.4
. . . . . . . . . . . . . . . . . . . . . . . . . . . 73
7.3.1
Definição da Interface de rede . . . . . . . . . . . . . . . . . . . . . 75
7.3.2
Classes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
7.3.3
Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Ativando o serviço de Controle de Banda . . . . . . . . . . . . . . . . . . . 78
6
SUMÁRIO
8 Firewall
79
8.1
Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
8.2
Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
8.2.1
8.3
8.4
Regras básicas do Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
8.3.1
Acesso ao Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
8.3.2
Acesso Nettion -> Internet . . . . . . . . . . . . . . . . . . . . . . . 85
8.3.3
Resolução de nomes para a rede interna
9.2
9.3
. . . . . . . . . . . . . . . 85
Relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
9 VPN
9.1
Incluindo uma nova regra . . . . . . . . . . . . . . . . . . . . . . . 80
87
VPN PPTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
9.1.1
Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
9.1.2
Manutenção do cadastro de clientes para VPN PPTP . . . . . . . . 89
VPN IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
9.2.1
Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
9.2.2
Conexões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
10 NIDS
99
10.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
10.1.1 Seleção de Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . 99
10.1.2 Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
10.1.3 Configuração do PortScan . . . . . . . . . . . . . . . . . . . . . . . 100
10.1.4 Detecção de Assinaturas . . . . . . . . . . . . . . . . . . . . . . . . 101
10.1.5 Alerta por e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
10.1.6 Relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
10.1.7 Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
10.1.8 Últimas assinaturas . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
10.1.9 IPs Bloqueados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
11 DHCP
105
11.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
11.1.1 Configurações Globais . . . . . . . . . . . . . . . . . . . . . . . . . 105
11.1.2 Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
11.2 Hosts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
11.2.1 Manutenção do cadastro dos Hosts . . . . . . . . . . . . . . . . . . 106
11.3 Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
11.3.1 Manutenção do cadastro de Redes . . . . . . . . . . . . . . . . . . . 107
SUMÁRIO
7
12 E-mail
109
12.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
12.1.1 Gerais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
12.1.2 Relay
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
12.1.3 Webmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
12.1.4 Mensagens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
12.1.5 Extensões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
12.2 Domı́nios
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
12.2.1 Incluir um domı́nio . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
12.3 Usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
12.3.1 Buscando usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
12.3.2 Editando usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
12.3.3 Inserindo usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
12.4 Aliases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
12.4.1 Criando um alias . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
12.5 Antivı́rus
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
12.5.1 Atualização . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
12.5.2 Agendamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
12.5.3 Histórico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
12.6 Antispam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
12.6.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
12.6.2 Aprendizado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
12.6.3 Whitelist
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
12.7 Relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
12.7.1 Fila . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
12.7.2 Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
12.7.3 Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
12.7.4 Quarentena . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
12.7.5 Top Usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
12.7.6 Quota Utilizada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
13 Ferramentas
127
13.1 Reverso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
13.2 Whois . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
13.3 Ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
13.4 Traçar rota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
13.5 Diagnóstico de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
8
SUMÁRIO
14 Sistema
129
14.1 Serviços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
14.2 Plugins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
14.3 Backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
14.3.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
14.3.2 Manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
14.3.3 Relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
14.4 Restore
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
14.5 Expurgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
14.5.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
14.5.2 Manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
14.6 Update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
14.7 Gráficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
14.7.1 CPUs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
14.7.2 Memória . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
14.7.3 Discos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
14.8 Sobre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
14.9 Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
14.10Desliga/Reinicia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
15 NettionPlugs
141
15.1 O que são NettionPlugs? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
15.2 Instalando os NettionPlugs . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
15.3 Chat Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
15.3.1 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
15.3.2 Software Cliente (estações) . . . . . . . . . . . . . . . . . . . . . . . 143
15.3.3 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
15.3.4 Iniciando o serviço Chat Server . . . . . . . . . . . . . . . . . . . . 144
15.3.5 Mais informações . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
15.4 Blitz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
15.4.1 Como funciona? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
15.4.2 Bloqueando o acesso direto ao MSN . . . . . . . . . . . . . . . . . . 144
15.4.3 Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
15.4.4 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
15.4.5 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
15.4.6 Catalogação automática de contatos
. . . . . . . . . . . . . . . . . 148
15.4.7 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
SUMÁRIO
9
15.4.8 Iniciando o serviço Blitz . . . . . . . . . . . . . . . . . . . . . . . . 151
15.4.9 Configurando as estações . . . . . . . . . . . . . . . . . . . . . . . . 151
15.4.10 Mais informações . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
15.5 OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
15.5.1 Nettion-Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
15.5.2 Configurando o Servidor OpenVPN . . . . . . . . . . . . . . . . . . 152
15.5.3 Nettion-Usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
15.5.4 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
15.5.5 Conexões Ativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
15.5.6 Mais informações . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
15.6 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
15.6.1 Como funciona? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
15.6.2 Domı́nios Masters . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
15.6.3 Itens do Domı́nio Master . . . . . . . . . . . . . . . . . . . . . . . . 164
15.6.4 Domı́nios Slaves . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
15.6.5 Itens do Domı́nio Slave . . . . . . . . . . . . . . . . . . . . . . . . . 166
15.6.6 Domı́nios Reversos . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
15.6.7 Iniciando o serviço DNS . . . . . . . . . . . . . . . . . . . . . . . . 166
15.6.8 Firewall com DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
15.6.9 Mais informações . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
15.7 GetMail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
15.7.1 Vantagens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
15.7.2 Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
15.7.3 Contas de Origem . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
15.7.4 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
15.7.5 Iniciando o serviço GetMail . . . . . . . . . . . . . . . . . . . . . . 170
15.7.6 Mais informações . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
10
SUMÁRIO
Capı́tulo 1
Introdução
1.1
Apresentação
Com a necessidade de conexão direta das organizações à internet, o fator Segurança da
Informação tornou-se um investimento primordial, deixando de ser uma caracterı́stica
apenas de grandes instituições. O motivo desta mudança é que sem a devida proteção no
ambiente de rede da empresa, ela estará sujeita, cedo ou tarde, a um significativo prejuı́zo
institucional, seja ele moral ou material.
Além disso, a facilidade da conexão 24 horas com a internet leva, muitas vezes, os funcionários a desperdiçarem o tempo de trabalho acessando diversas informações pessoais,
provocando uma significativa queda de produtividade individual e, conseqüentemente, da
sua própria empresa.
Muitas vezes sua internet se torna lenta, o que o obriga a adquirir um link de maior
velocidade. No entanto, você não sabe que é possı́vel implementar um controle sobre
aquilo que trafega no seu link, não havendo necessidade de custos extras com links maiores
em grande parte dos casos.
R
Dentro desta realidade, a Nettion Information Security oferece, através do Nettion,
a solução completa para as 24 horas de conexão da sua organização com a internet,
propiciando a implantação de uma polı́tica administrativa de segurança e otimização
do uso do seu link, além do controle detalhado das informações que trafegam por dele.
Tudo isso através de uma ferramenta de administração interativa de gerenciamento e
monitoramento.
R
Benefı́cios do Nettion:
R pode fazer o balanceamento de carga e redundância dos seus links de
• o Nettion
Internet, onde, através de regras simples e intuitivas, você estabelece por qual link
os serviços devem ser encaminhados por padrão e por onde devem sair em caso de
falha, tudo isso de forma automática.
R possibilita um aumento da velocidade ao acessar pági• o módulo proxy do Nettion
nas na internet sem que, necessariamente, tenha que se investir em links maiores.
R de armazenar as páginas acessadas
Isso é possivel devido a capacidade do Nettion
em seu cache. Outra vantagem é que o software permite que você faça um controle minucioso dos acessos dos usuários da sua rede, estabelecendo regras, horários
R você também implanta regras de
e bloqueando sites indesejados. Com o Nettion,
11
12
CAPÍTULO 1. INTRODUÇÃO
segurança no acesso à sua rede por parte de usuários da internet e evita a exposição
total ao ataque de hackers.
• através de relatórios e regras estabelecidas os usuários de computadores farão uso
mais profissional da Internet, aumentando a produtividade e diminuindo os riscos associados a TI. As regras aplicadas são flexı́veis podendo-se fazer limites por usuários
e por horários. A configuração é bem simples e não haverá necessidade de M.O. especializada. Os relatórios são diversificados e intuitivos, propicinado análises justas
e reais.
R possui cadastrado,
• o sistema de detecção de tentativas de invasão (NIDS) do Nettion
aproximadamente, 2.000 formas de tentativa de invasão, o que possibilita o bloqueio
de acesso de usuários ”mal intencionados”.
R dispõe é o Controle de Banda, que permite estab• Outro recurso que o Nettion
elecer percentuais de uso do link para acesso às páginas web, tráfego de e-mails e
etc, otimizando e garantindo que todos estes serviços estejam disponı́veis simultaneamente.
R você passa a utilizar a internet
• através da VPN (Rede Virtual Privada) do Nettion,
como meio de comunicação de forma segura, pois seus dados são criptografados (embaralhados) ao trafegarem através de túneis de comunicação pela internet. Através
deste recurso você pode diminuir sensivelmente os custos com interligação de redes,
como matriz e filiais, e de usuários fisicamente separados da rede local utilizando a
Internet como meio de comunicação e garantindo a segurança dos dados.
• o Sistema de Autenticação Integrada do Nettion facilita o controle dos usuários na
rede com a integração e sincronização de usuários e grupos com Domı́nios Linux(NIS)
e Windows, não havendo necessidade de recadastramento ou trabalhos adicionais de
manutenção. Permite também autenticação integrada NTLMV2, evitando que o
usuário tenha que digitar a senha sempre que inicie a navegação.
• o serviço de E-mail possibilita total autonomia para gerenciamento de contas de
correio com múltiplos domı́nios, permitindo auditoria de mensagens, aplicação de
sistema de AntiSPAM (com sistema de treinamento pelos próprios usuários da rede)
e sistema integredo de Anti-Vı́rus. O gerenciamento das contas e autenticação dos
usuários ocorre de forma integrada com o sistema de Autenticação do Nettion, facilitando assim o gerenciamento das contas de e-mail.
• os sistemas de Backup automatizado e Restore possibilitam uma rápida recuperação
de todos os serviços e informações em caso de falha de hardware.
• atualização via Internet - as constantes atualizações proporcionam mais segurança
com atualizações de falhas de segurança e com a inclusão de novos recursos à ferramenta
R são disponibilizadas de maneira fácil e simples,
Estas e outras ferramentas do Nettion
não requerendo, portanto, conhecimentos técnicos avançados para operá-las. Com este
documento você aprenderá como fazer as configurações do Nettion para adequá-lo ao seu
ambiente de rede.
Capı́tulo 2
Instalação/Registro/Login
2.1
Instalação
O Nettion funciona sobre uma distribuição Linux (Nettion Linux) totalmente adequada e
otimizada ao funcionamento de todos os seus recursos. Por isso, sua instalação, que exige
uma máquina dedicada, não requer um sistema operacional pré-instalado. Seu instalador
já integra a instlação do Nettion Linux e a Interface de Administração dos recursos.
O Guia de Instalação do produto em seu hardware encontra-se em um documento sepaR ou através do link Guia de
rado, que pode ser facilmente acessado no site do Nettion
Instalação.
2.2
Registro
Após a instalação, acesse o seu Nettion através de um browser (Mozilla Firefox ou Internet Explorer) utilizando o endereço IP que você configurou durante a instalação (ex:
http://192.168.254.1). Neste momento você terá acesso à tela de Logon da Interface de
Administração do produto, através da qual você fará todas as configurações necessárias
para adequar o Nettion ao ambiente de rede da sua empresa.
Ao logar-se pela primeira vez, o processo de registro do software será iniciado. O registro
do produto é um procedimento obrigatório, pois somente após registrá-lo é que o seu uso é
liberado. No primeiro formulário de registro, o administrador deve informar CNPJ/CPF,
R que está registrando, de acordo com a figura
Denominação Social e a edição do Nettion
2.1.
Figura 2.1: Primeiro formulário de registro
13
14
CAPÍTULO 2. INSTALAÇÃO/REGISTRO/LOGIN
• CNPJ/CPF: CNPJ no caso de pessoa jurı́dica ou CPF, se pessoa fı́sica;
• Denominação social: denominação social de pessoa fı́sica ou jurı́dica. Ex.: Fortes
Informática LTDA;
• Produto: Tipo do produto. Ex.: Nettion Professional (de acordo com a licença
adquirida).
Informados os campos do primeiro formulário de registro, o administrador deve clicar no
botão Avançar. O segundo formulário de registro aparecerá, como mostrado na figura
2.2.
Figura 2.2: Segundo formulário do registro
• Código Operacional: Código para geração do código de resposta;
• Código de Resposta: Código para liberar o registro do produto;
Neste segundo formulário, você deve fornecer o Código de Resposta. O administrador
obterá o código de resposta depois de solicitar a liberação da sua versão junto ao nosso
departamento comercial, clicando no botão Obter On-line. Uma janela se abrirá com
o código e o administrador deve copiar o código, informado para o campo Código de
Resposta desse formulário e, finalmente, clicar em Registrar.
R registrado. Vamos então descobrir como configurá-lo de forma a usar eficienNettion
temente todos os recursos que o software oferece.
2.3
Login
R o administrador deve logar-se,
Para acessar a interface de administração do Nettion,
informando nome de usuário e senha, como mostrado na figura 2.3 na página 15:
• Usuário: nome do usuário. Ex.: nettion;
• Senha: senha do usuário. Ex.: nettion;
Obs: a senha original do usuário nettion é “nettion”. Por medidas de segurança é importante que você a altere logo após o primeiro logon.
É possı́vel escolher entre os idiomas português e inglês, além de acessar a interface do
R usando uma conexão segura HTTPS.
Nettion
Caso deseje utilizar HTTPS, marque a caixa Conexão Segura.
2.4. TELA INICIAL
15
Figura 2.3: Formulário de login
Agora é hora de iniciarmos as configurações propriamente ditas. É importante que você
inicie pelas Configurações Básicas do produto (veja capı́tulo 3). Neste capı́tulo você
aprenderá como alterar a senha do administrador, configurar as demais interfaces de rede
do equipamento e como ligar o seu Nettion à Internet.
2.4
Tela Inicial
R a tela inicial (home) é exibida. Nela, estão contidas várias
Ao logar-se no Nettion,
informações gerenciais importantes a respeito do estado do sistema. Veja a figura 2.4 a
seguir:
Figura 2.4: Tela Inicial do Nettion
A tela “Home”do Nettion é dividida em quadros. Cada quadro agrupa um tipo especı́fico
de informação. Nela, é possı́vel verificar através de seus quadros:
16
CAPÍTULO 2. INSTALAÇÃO/REGISTRO/LOGIN
• Dados da licença do Nettion;
• Os NettionPlugs instalados e datas de instalação e expiração;
• Estado atual dos links instalados no Nettion;
• Sumário semanal do estado da CPU e Memória;
• Estado atual da partição “/var”;
• Estatı́sticas dos filtros de e-mails;
• Estatı́sticas de acesso via Proxy;
• Últimas notı́cias Nettion.
Porém, tantas informações a serem exibidas podem fazer com que a carga inicial da
interface demore. Devido a isto, é possı́vel desativar alguns quadros, bastando para isso
clicar no botão localizado no canto superior-direito do quadro que se deseja desativar.
Para reativá-lo, clique novamente no mesmo botão, como mostra a figura 2.5.
Figura 2.5: Desabilitando Quadros na Tela Inicial
Capı́tulo 3
Configurações
3.1
Básicas
R o administrador deve acessar o menu Configurações
No primeiro acesso ao Nettion,
Básicas e atualizar os seus dados, tais como senha padrão, envio de e-mails do sistema e
Data/Hora do sistema para registro nos relatórios.
R por
Para a sua segurança, o administrador deve alterar a senha do usuário Nettion
uma senha pessoal, que só deverá ser conhecida por pessoas autorizadas a administrar o
sistema. Lembre-se de alterar essa senha, caso ela se torne conhecida por terceiros.
Obs.: No capı́tulo 5, você poderá obter informações sobre como criar usuários e perfis de
acesso ao sistema. Desta forma, você poderá criar um usuário e definir os módulos do
R que poderão ser acessados.
Nettion
3.1.1
Gráficos
R são ativados. Porém, é possı́vel informar ao
Por padrão, todos os gráficos do Nettion
sistema quais gráficos ficarão ativos. Para isso, acesse o menu Configurações → Gráficos.
Na tela que será exibida, clique na caixa de verificação dos gráficos que deseja desativar
e clique no botão Salvar Configurações.
Figura 3.1: Configuração dos Gráficos do Sistema
17
18
CAPÍTULO 3. CONFIGURAÇÕES
3.1.2
Administrador
Senha
Para alterar a senha, preencha os campos senha atual, nova senha e confirmação e clique
no botão Salvar Configurações.
Figura 3.2: Alteração de senha
E-mail do Administrador
Para configuração do E-mail, preencha os campos E-mail do Administrador, seu Servidor SMTP e clique no botão Salvar Configurações. Este e-mail será utilizado pelo
R para enviar algumas notificações ao administrador, como por exemplo, notifiNettion
cação de algum problema no sistema de backup.
Figura 3.3: Configurações de E-mail
Portas de Administração
R (HTTP e SSH). Por
Nesta tela é possı́vel redefinir as portas para acesso ao Nettion
padrão, as portas definidas são 80/TCP para o acesso web (Interface de Administração)
R (Console do Nettion Linux). Modifique-as
e 22/TCP para acesso ao shell do Nettion
conforme a necessidade e clique no botão Salvar Configurações.
3.1. BÁSICAS
19
Figura 3.4: Portas de Administração HTTP e SSH
3.1.3
Data/Hora
Para configurar data e hora do sistema, você tem duas opções: configurar manualmente
(Clock Local) ou sincronizar com algum servidor NTP (Network Time Protocol).
Figura 3.5: Configuração manual de data e hora
(a) Clock Local
• Time Zone: selecione seu fuso horário;
• Zona do relógio da CPU: escolha se deseja usar seu fuso horário (Horário Local)
ou o horário de Greenwich (GMT);
• Data: ajuste a data no formato dia/mês/ano (DD/MM/AAAA);
• Horário: ajuste a hora no formato hora:minuto (HH:MM).
20
CAPÍTULO 3. CONFIGURAÇÕES
Figura 3.6: Configuração Servidor NTP
(b) Servidor NTP
• Time Zone: selecione seu fuso horário;
• Zona do relógio da CPU: escolha se deseja usar seu fuso horário (Horário Local)
ou o horário de Greenwich (GMT);
• Servidores NTP: os endereços dos servidores de NTP com os quais deseja sincronizar data e hora. Lembre-se de inserir pelo menos um servidor, caso deseje
utilizar esse recurso.
Firewall
É necessário que algumas regras de Firewall sejam criadas para garantir que os recursos
citados neste capı́tulo funcionem corretamente. São elas:
Data/Hora Servidor NTP
Permite que o Nettion comunique-se com os servidores NTP configurados.
Um resumo da regra necessária encontra-se na tabela 3.1 a seguir:
Regra: Nettion -> NTP Servers
Origem
Destino
Serv. Destino Ação
localhost Qualquer ntp
Aceitar
Tabela 3.1: Liberando Nettion para NTP servers
3.1. BÁSICAS
21
Acesso ao Console e à Interface Web do Nettion
R pelo Administrador do Sistema e pelo Suporte RePermite o acesso ao Nettion
moto Nettion. As regras a serem criadas deverão utilizar os serviços predefinidos “http”,
“https”1 e “ssh”, se assim estiver definido na área de configuração “Portas de Administração”.
Se as portas padrão forem modificadas, objetos de serviços personalizados deverão ser
criados fazendo referência à cada porta modificada.
Nota: No capı́tulo 4, você poderá obter mais informações sobre a utilização de
objetos de serviços pré-definidos e personalizados.
Um resumo das regras de firewall necessárias encontra-se nas tabelas 3.2 e 3.3 a seguir.
Regra: Administrador -> Nettion
Origem
Destino
Serv. Destino Ação
http
Host Administrador localhost https
Aceitar
ssh
R para o Admimistrador do Sistema
Tabela 3.2: Liberando acesso ao Nettion
Regra: Suporte Remoto -> Nettion
Origem
Destino
Serv. Destino Ação
http
Suporte Remoto localhost https
Aceitar
ssh
R para o Suporte Remoto Nettion
Tabela 3.3: Liberando acesso ao Nettion
OBS.: Todos os detalhes de como configurar o Firewall e suas regras encontram-se no
Capı́tulo 8 na página 79.
1
R via https não pode ser redefinida.
A porta 443/TCP utilizada para acesso ao Nettion
22
CAPÍTULO 3. CONFIGURAÇÕES
3.2
3.2.1
Rede
Interface/Conexões
Nesta seção você poderá fazer a configuração das demais interfaces e conexões de rede do
seu equipamento (a primeira já foi configurada durante a instalação).
Interfaces Ethernet (LAN)
Como comentado, o Nettion já configura a primeira interface Ethernet do equipamento
(eth0) durante a instalação do software. Para incluir as demais Interfaces de rede, acesse
a opção de menu Configurações → Rede → Interfaces/Conexões. Na tela seguinte, você
terá acesso a listagem das interfaces já cadastradas no seu Nettion, como segue no exemplo
da figura 3.7 (página 22).
Figura 3.7: Listagem de Interfaces e Conexões
Para incluir uma nova Interface Ethernet siga os seguintes passos (veja também a figura
3.8 na página 23):
• Clique no botão “Incluir” localizado abaixo da listagem;
• Na tela seguinte, selecione o tipo de interface “Ethernet” e clique em “Avançar”e
aguarde;
• Neste momento o Nettion fará a detecção das demais placas de rede instaladas e
seus respectivos drivers. Cada interface detectada será mostrada na tela seguite.
Selecione uma delas e clique em avançar.
Importante: Caso o driver do dispositivo não tenha sido identificado automaticamente, o dispositivo será listado marcado com um “*”. Nestes casos, é provável que
o Nettion não possua o driver apropriado para suportá-lo. Por favor, entre em contato com o fabricante através do endereço [email protected] e envie o maior
número de informações do dispositivo possı́vel, tais como: modelo, fabricante e
chipset.
• Na tela seguinte preencha as informações do seu dispositivo de rede:
– Driver: Detectado automaticamente por padrão.
– Endereço IP: indique o endereço IP que será atribuı́do ao dispositivo, ou clique
na opção DHCP para que o Nettion utilize um IP fornecido por um servidor
DHCP de sua rede;
3.2. REDE
23
– Mascara de Rede: Indique a mascara de rede utilizada;
– Velocidade: indique a velocidade do dispositivo. Esta informação será utilizada
no serviço de Controle de Banda;
– Descrição: indique uma descrição sobre a interface de rede, como “Interface da
Intranet”;
– Obter DNS do servidor: Obter automaticamente a configuração de DNS. Isto é
possı́vel nos casos em que o DHCP é ativado.
– Responder requisições DNS nesta interface: esta opção faz com que o Nettion
anuncie seu serviço de DNS nesta interface;
– Ativar no boot: indique “Sim” para ativar a interface automaticamente no boot
R
do Nettion.
Figura 3.8: Inclusão/Edição de Interface Ethernet
3.2.2
Sub-Interfaces
O Nettion suporta também a inclusão de sub-interfaces de rede. Elas estão sempre associadas a uma Interface fı́sica e possuem basicamente duas finalidades:
1. IPs adicionais em uma Interface: permite que uma interface responda por outros
endereços IPs, além do principal.
2. Conexões ADSL: permite que uma conexão ADSL seja atribuı́da a uma Interface.
Esta opção só estará disponı́vel quando a Interface for do tipo DHCP, como será
visto mais a frente.
IPs Adicionais
Para incluir um endereço adicional a uma Interface siga os passos (veja também figura
3.9 na página 24):
24
CAPÍTULO 3. CONFIGURAÇÕES
• Na tela de listagem, selecione a Interface que receberá o IP adicional e clique no
botão “Itens”;
• Na tela seguinte, será apresentada uma listagem de subinterfaces do dispositivo.
Clique no botão “Incluir”;
• Na tela seguinte, selecione o tipo “Sub-Interface” e clique em avançar;
• Agora indique: Endereçco IP, Márcara de rede, Descrição e se a interface responderá
por requisições DNS na subinterface.
• Para finalizar, clique no botão “Adicionar Interface”.
Figura 3.9: Inclusão de Sub-interface
Após a inclusão, a Sub-interface será listada como mostrado na figura 3.10 (página 24).
Observe que o nome da subinterface tem o mesmo nome do Interface principal + número
da subinterface. Caso seja necessário, inclua outras subinterfaces seguindo o mesmo
procedimento.
Figura 3.10: Listagem de Sub-interfaces de um dispositivo de rede
3.2. REDE
25
Conexões ADSL (WAN)
Para incluir uma Conexão ADSL a Interface principal (fı́sica) deve estar configurada para
receber IP via DHCP e deve estar com a configuração “Ativar no boot” como “Não”, como
mostrado na figura 3.11 da página 25.
Figura 3.11: Configuração de Interface para conexão ADSL
Importante: Estas conexões dependem de um modem ADSL devidamente instalado e
configurado. Os modems ADSL podem estar configurados no modo “bridge”, onde o
R fará o gerenciamento da conexão ADSL e ficará com o IP disponibilizado pelo
Nettion
provedor(recomendado), ou em modo “router”, onde o modem será o responsável por
fazer esta gerência. As configurações a seguir são para o modo “bridge”. Caso esteja em
modo “router”configure a interface ethernet de modo que ela se comunique com o modem
R apontando para o IP do modem.
e configure o Gateway do Nettion
O prodecimento é semelhante ao da inclusão de IPs adicionais (veja também figura 3.12
na página 26):
• Na tela de listagem, selecione a Interface que receberá a conexão ADSL e clique no
botão “Itens”;
• Na tela seguinte, será apresentada uma listagem de subinterfaces do dispositivo.
Clique no botão “Incluir”;
• Na tela seguinte, selecione o tipo “ADSL(wan)” e clique em avançar;
• Na tela seguinte, preencha as infornações do seu provedor ADSL:
–
–
–
–
Usuário: login de acesso;
Senha: senha de acesso;
Parametros extras: somente se necessários e fornecidos pelo provedor;
Velocidade: indique a velocidade do link;
26
CAPÍTULO 3. CONFIGURAÇÕES
– Obter DNS do Servidor: marque para que o Nettion receba as informações de
DNS do provedor;
– Ativar no boot: indique “Sim” para que a conexão seja ativada automaticamente
no boot;
Figura 3.12: Configuração de Conexão ADSL
Após a inclusão sua interface ADSL será listada como segue a na figura 3.13 (página 26),
com informações de IP e Status da conexão. Caso o Status não esteja ok (vermelho)
verifique novamente as configurações da conexão.
Figura 3.13: Listagem da Conexão ADSL
3.2.3
Gateways
R possa ter acesso à Internet é necessário que ele tenha pelo menos
Para que o Nettion
um Gateway, ou seja, pelo menos uma saı́da de acesso para a Internet. Portanto, esta é
uma configuração importante na implantação do seu Nettion. Você verá também que o
Nettion gerencia múltiplos Gateways, fazendo todo o tratamento de redundância e balanceamento dos links.
3.2. REDE
27
Edição de Gateways
Geralmente um Gateway já é configurado durante a instalação do Nettion no equipamento. Caso você queira editar suas informações siga os passos abaixo:
• Acesse o menu Configurações → Rede → Gateways → Configurações;
• Na tela seguinte, da listagem de gateways cadastrados, selecione o Gateway que
deseja editar e clique no botão editar.
• Na tela seguinte:
– Interface: indique a interface do Nettion que está diretamente ligada ao gateway. No caso de um Gateway para conexão ADSL, selecione a Interface ADSL
correspondente;
– Gateway: indique o IP do Gateway, ou seja, o IP através do qual o Nettion
terá acesso a Internet - que é fornecido pelo seu provedor de acesso. No caso
de um gateway dinâmico, como DHCP ou ADSL, marque a opção “Obtido
dinamicamente”;
– Participação na rota padrão: indique a porcentagem de participação deste link
na saı́da padrão do Nettion para a Internet. Em caso de um único link o padrão
será 100%;
– Timeout: indique aqui o tempo máximo sem resposta (em segundos) em que o
Nettion irá considerar que um gateway está fora. O Nettion mudará o estado
de um gateway para “down” quando este parar de responder dentro do tempo
aqui estipulado. Para não indicar um limite de tempo, selecione a opção ao lado
“Ilimitado”;
– Redefenir configurações na mudança de estado do gateway: marque esta opção
caso deseje que o Nettion redefina as configurações dos gateways a cada mudança
de estado, como por exemplo, as configurações de participação dos gateways na
rota padrão.
Inclusão de novos Gateways e Múltiplos Links Internet
Caso não haja nenhum Gateway configurado, ou você queira fazer a inclusão de Gateways
adicionais, para o caso de múltiplos Links Internet, siga os passos a seguir.
• Acesse o menu Configurações → Rede → Gateways → Configurações;
• Na tela seguinte, da listagem de gateways cadastrados, clique no botão “Incluir”.
• Na tela seguinte:
– Interface: indique a interface do Nettion que está diretamente ligada ao gateway. No caso de um Gateway para conexão ADSL, selecione a Interface ADSL
correspondente;
– Gateway: indique o IP do Gateway, ou seja, o IP através do qual o Nettion
terá acesso a Internet - que é fornecido pelo seu provedor de acesso. No caso
de um gateway dinâmico, como DHCP ou ADSL, marque a opção “Obtido
dinamicamente”;
28
CAPÍTULO 3. CONFIGURAÇÕES
– Participação na rota padrão: indique a porcentagem de participação deste link
na saı́da padrão do Nettion para a Internet em relação aos outros Gateways já
cadastrados. Em caso de um único link o padrão será 100%.
– Timeout: indique aqui o tempo máximo sem resposta (em segundos) em que o
Nettion irá considerar que um gateway está fora. O Nettion mudará o estado
de um gateway para “down” quando este parar de responder dentro do tempo
aqui estipulado. Para não indicar um limite de tempo, selecione a opção ao lado
“Ilimitado”;
– Redefenir configurações na mudança de estado do gateway: marque esta opção
caso deseje que o Nettion redefina as configurações dos gateways a cada mudança
de estado, como por exemplo, as configurações de participação dos gateways na
rota padrão.
Perceba que o tráfego pode ser dividido de acordo com um percentual especificado (Participação na Rota Padrão), permitindo definir prioridades quanto ao uso de um dos links.
É possı́vel também que um gateway não participe da rota padrão (0%). Neste caso, o link
será utilizado através de duas formas: por acessos, originados externamente a serviços
disponı́veis na sua rede (Ex.: VPN, E-mail, Portal Web) e por tráfego, previstos nas
regras de “roteamento avançado” como será mostrado no tópico adiante.
Monitoramento Por padrão, os links são monitorados pelo sistema que reconfigura
automaticamente o ambiente de acordo com a disponibilidade. Cada mudança é registrada
no estado dos seus links, permitindo sua auditoria.
Para isso acesse o menu Configurações → Rede → Gateways → Historico de Status. O
relatório de estado dos gateways será exibido, conforme mostra a figura 3.14 abaixo:
Figura 3.14: Monitoramento dos Gateways
Porém, é possı́vel editar as opções de monitoramento do estado dos gateways conforme a
sua necessidade.
Para isso, selecione o gateway desejado e clique no botão “Editar”. As opções de edição
do gateway serão exibidas, como mostra a figura 3.15 a seguir, modifique as opções de
configuração conforme a seção “Edição de Gateways” deste capı́tulo.
3.2. REDE
29
Figura 3.15: Edição de Gateways
3.2.4
DNS
Nesta seção, você configura o nome da máquina e os servidores DNS que serão consultados
R para a resolução de nomes Internet. O nome da máquina deve ser compelo Nettion
pleto (nome do maquina + dominio). Se você não possuir um dominio, poderá utilizar
localdomain. Pelo menos um servidor DNS deve ser configurado para o correto funcionamento do produto. Essa configuração pode ser automática, se você tem uma interface
Ethernet ativa configurada via DHCP, ou uma conexão ADSL, sendo preciso, apenas,
selecionar o item Obter DNS do servidor na configuração da respectiva conexão. O
próprio Nettion poderá ser o servidor DNS, desde que ele possua acesso direto a Internet
na porta 53 TCP e UDP. Para utilizá-lo como servidor, indique o IP 127.0.0.1.
Figura 3.16: Nome da máquina e configuração de DNS
30
CAPÍTULO 3. CONFIGURAÇÕES
3.2.5
Roteamento
Nessa seção é possivel incluir regras que controlarão o destino do seu tráfego de rede.
Básico
Roteamento básico ou pelo destino é a funcionalidade que torna alcançável uma rede/host
por meio de um host (gateway), também alcançável. Ex.: A rota a seguir faz com que o
tráfego para as redes 192.168.50.0/24 e 172.16.20.0/16 possa ser entregue com o intermédio
dos hosts 192.168.1.254 e 192.168.1.253 respectivamente, através da interface eth0 (veja
figura 3.17).
Figura 3.17: Listagem de rotas
Figura 3.18: Inclusão de rota básica
3.2. REDE
31
Avançado
O roteamento avançado só faz sentido em um ambiente que possua mais de um link de
internet. Nele, você tem o poder de escolher um conjunto completo de caracterı́sticas do
tráfego, que será encaminhado especificamente por um dos gateways cadastrados. Cada
regra pode conter uma lista prioritária de gateways por onde aquele tráfego deve ser encaminhado, sendo utilizado sempre o primeiro, com estado ativo, como na figura 3.19.
Figura 3.19: Listagem de regras do Roteamento Avançado
A criação destas regras é bem simples. Primeiramente, seria interessante já se ter bem
claro o que se deseja fazer. Se necessário, faça um esboço do tráfego desejado antes. Após
isso, utilizando o Wizard do Roteamento avançado, crie as regras da forma desejada. O
processo de criação das regras é feito em quatro passos, os quais serão mostrados a seguir.
• Passo 1 Informe uma descrição, a posição que a regra vai ocupar na lista e no seu
estado (ativo ou inativo) conforme figura 3.20 a seguir.
Figura 3.20: Criando regra - Passo 1
32
CAPÍTULO 3. CONFIGURAÇÕES
• Passo 2 Selecione o horário em que essa regra será válida. Os horários disponı́veis
são os definidos em Objetos>Horários conforme a figura 3.21 a seguir.
Figura 3.21: Criando regra - Passo 2
• Passo 3 Neste passo você selecionará os serviços e/ou hosts que terão seu tráfego
roteados por um link especı́fico.
Figura 3.22: Criando regra - Passo 3
– Em “Filtros de Origem - Hosts” selecione para a caixa da esquerda o(s) Host(s)
ou Rede(s) de onde se originam as conexões. Caso queira especificar qualquer
origem, deixe a caixa da esqueda vazia;
– Em “Filtros de Origem - Serviços” selecione para a caixa da esquerda o(s)
serviço(s) de origem. Caso queira especificar qualquer serviço, deixe a caixa
da esquerda vazia;
3.2. REDE
33
– Em “Filtros de Destino - Hosts” selecione para a caixa da esquerda o(s) Hosts(s)
ou Rede(s) de destino da conexão. Caso queira especificar qualquer destino,
deixe a caixa da esqueda vazia;
– Em “Filtros de Destino - Serviços” selecione para a caixa da esquerda o(s)
serviço(s) de destino. Caso queira especificar qualquer serviço, deixe a caixa
da esquerda vazia;
– Perceba que através destas opções você terá toda flexibilidade de especificar
exatamente o tráfego que deseja controlar, seja de uma determinada origem
e/ou para um determinado destino.
• Passo 4 Os gateways podem ser selecionados em uma lista de prioridades, onde
aquele que estiver acima, será o primeiro utilizado. Os gateways seguintes serão
utilizados de acordo com a ordem estabelecida a medida que os gateways superiores
falharem.
A marcação da opção Caso todos os Gateways selecionados falhem encaminhar pela rota padrão faz com que o gateway padrão do Nettion seja utilizado
em caso de falha de todas as saı́das selecionadas. Veja figura 3.23 abaixo.
Figura 3.23: Criando regra - Passo 4
• Configurações Avançadas
Por padrão o Nettion faz o mascaramento (NAT) das conexões feitas pelos hosts
com IPs privados com destino a Internet (vindos da sua rede interna, por exemplo).
Esta seção o permite desabilitar esta função, para o caso onde você queira explicitamente informar para o Nettion não mascarar o tráfego (vindo da rede DMZ com
IPs públicos, por exemplo) ou permite a seleção do IP que será utilizado para o
mascaramento de cada Gateway, conforme mostrado na figura 3.24 a seguir.
34
CAPÍTULO 3. CONFIGURAÇÕES
Figura 3.24: Criando regra - Configurações Avançadas
3.2.6
DNS Dinâmico
Os serviços de DNS Dinâmico são especialmente úteis para conexões Internet com endereço IP dinâmico pois permitem que você encontre seu Nettion a partir de um nome,
como por exemplo, nettion-minhaempresa.dyndns.org e possa fazer conexões, como VPN.
A configuração deste serviço no Nettion garante a atualização do DNS quando houver
mudança do endereço IP da sua interface dos tipos ADSL ou Ethernet com DHCP. Com
R pelo Host configurado.
isso, sempre será possı́vel acessar o seu Nettion
A listagem da figura 3.26 (página 35) mostra o exemplo de um serviço de DNS Dinâmico
configurado no Nettion.
Figura 3.25: Listagem de serviços de DNS dinâmico
Para configurar este seviço, você deve estar cadastrado em um dos serviços gratuitos de
DNS Dinâmico listados a seguir:
3.2. REDE
35
• No-IP (http://www.no-ip.com)
• DynDNS (http://www.dyndns.com)
• ChangeIP (http://www.changeip.com)
Após o cadastro feito no site do serviço você terá em mãos as informações de “Usuário”,
“senha”e “host”que servirão de entrada para as configurações do Nettion. Para incluir um
serviço, clique no botão “Incluir”e preencha as informações de acordo com a figura 3.26
abaixo.
Figura 3.26: Inclusão de serviço de DNS dinâmico
3.2.7
Gráficos
Interfaces
Nesta seção encontram-se os gráficos de consumo da banda por interface do Nettion.
Além do recurso do monitoramento on-line, você tem ainda a opção de consultar todo o
histórico de cada gráfico. Veja o exemplo na figura 3.27 abaixo.
Figura 3.27: Gráfico de consumo de banda por Interface de Rede
36
CAPÍTULO 3. CONFIGURAÇÕES
Capı́tulo 4
Objetos
R trabalha com
Com o intuito de simplificar o modo de configurar os serviços, o Nettion
o conceito de objetos, que consiste em um conjunto de informações mapeadas em objetos
que serão utilizadas pelos vários serviços disponibilizados pelo software.
Os objetos estão classificados conforme o tipo de informação que armazenam, facilitando
sua manutenção. O ideal é que o administrador faça um levantamento prévio do ambiente de rede, identificando os objetos que devem ser criados, economizando tempo na
configuração dos serviços.
R e os respectivos
Relacionamos abaixo alguns dos serviços disponibilizados pelo Nettion
objetos por eles utilizados:
• Roteamento Avançado: hosts e redes, serviços e horários;
• Proxy: domı́nios, expressões, horários, hosts e redes;
• Controle de Banda: hosts e redes;
• Firewall: hosts e redes, serviços e horários;
• NIDS: hosts e redes;
• OpenVPN: hosts e redes;
• DHCP: hosts e redes;
Observe este exemplo:
Para referenciar o IP de uma estação de trabalho da sua empresa, um administrador criou o objeto do tipo host com o nome Est 01, atribuindo-lhe um certo
IP 192.168.254.10 com a Máscara de Rede 255.255.255.255. Em seguida,
utilizou o objeto Est 01 nas regras do proxy, Controle de Banda, Firewall e
NIDS.
Se por algum motivo você tiver que alterar o IP da Est 01 basta você alterar o IP do Objeto e todas as configurações do Nettion que utilizam este Objeto serão automaticamente
atualizadas para o novo IP.
37
38
CAPÍTULO 4. OBJETOS
4.1
Manutenção de Objetos
Após selecionar uma classe (tipo) de objeto no menu principal, será exibida para o administrador uma lista contendo os objetos cadastrados (caso existam). A exibição pode
ser ordenada por qualquer uma das colunas mostradas, sendo necessário somente que
o administrador clique sobre a coluna especı́fica para que o sistema alterne a exibição
e ordenação dos itens da lista. Use a barra de rolagem para navegar entre os objetos
cadastrados. O administrador poderá, então, incluir, alterar ou excluir um objeto, por
exemplo, clicando nos respectivos botões.1
4.1.1
Inclusão de Objetos
Para incluir novos objetos, o administrador deve dar um clique no botão “Incluir” (veja
figura 4.1 na página 38).
Figura 4.1: Botão Incluir
Ao clicar no botão Incluir, será exibida a tela de inclusão, onde se deve preencher os
campos referentes ao objeto a ser criado. Para confirmar a inclusão, clique no botão
Salvar Configurações.
4.1.2
Edição de Objetos
Para acessar o módulo de edição, o administrador deve dar um clique duplo sobre o objeto
que deseja editar ou selecioná-lo e clicar no botão Editar (veja figura 4.1.2 na página
38). Na tela de edição, o administrador poderá alterar os dados cadastrais do objeto
Figura 4.2: Botão Editar
selecionado e confirmar as alterações com um clique no botão Salvar Configurações.
4.1.3
Manutenção dos Itens do Objeto
Os objetos do tipo Domı́nios, Expressões, Horários e Serviços são formados por grupos
de objetos, ou seja, cada objeto possui seus itens. Para ter acesso aos itens, selecione o
objeto desejado e clique no botão Itens (veja figura 4.1.3 na página 39). Será exibida a
lista dos itens cadastrados para o objeto selecionado e os controles para a manutenção
1
Os botões Editar, Itens e Deletar. Estarão habilitados apenas quando houver um objeto selecionado.
4.1. MANUTENÇÃO DE OBJETOS
39
Figura 4.3: Botão Itens
do cadastro dos itens do objeto. A manutenção dos itens utilizados segue o padrão de
procedimentos utilizados para a manutenção do objeto (inclusão, edição e exclusão).
4.1.4
Exclusão de Objetos
Para excluir um objeto especı́fico, basta selecioná-lo e clicar no botão Deletar. O ad-
Figura 4.4: Botão Deletar
ministrador poderá selecionar mais de um objeto e apagar todos eles clicando uma única
vez no botão apropriado. Para selecionar objetos consecutivos, mantenha pressionada a
tecla Shift, clique uma vez no objeto que dará inı́cio à seleção e clique uma segunda vez
no objeto que finalizará a seleção. Será exibida uma tela solicitando a confirmação da
exclusão do(s) objeto(s) selecionado(s). Isso evita que o administrador exclua um ou mais
objetos acidentalmente.
Nota: O sistema não efetuará a exclusão no caso do objeto possuir itens
cadastrados ou quando estiver associado a regras de firewall, proxy ou controle de banda, etc, sem que antes seja removida a associação. Uma tabela de
resumo será exibida, listando todas as regras/serviços em que o objeto esteja
inserido.
4.1.5
Consulta de Objetos
Para realizar a consulta de um objeto, basta acessar a guia de consultas no cadastro do
objeto desejado. Cada objeto possui suas próprias opções de consulta, porém todas as
telas seguem o mesmo padrão de funcionamento. A figura 4.5 a seguir mostra, a tı́tulo
de ilustração, a tela de consulta de objetos2 de “Hosts e Redes”.
Figura 4.5: Tela de Consulta de Objetos
2
Lembre-se que a tela de consultas segue o mesmo padrão de funcionamento, mudando apenas os campos de
acordo com o objeto selecionado.
40
CAPÍTULO 4. OBJETOS
4.2
Hosts e Redes
No cadastro de hosts e redes o administrador criará a lista dos IP’s que serão utilizados
R
na configuração do Nettion.
Entende-se por host o IP de uma máquina especı́fica,
R
assim como entende-se por rede um IP que represente um intervalo de IP’s. O Nettion
interpreta como host o objeto de máscara 255.255.255.255; os demais, serão interpretados
como sendo redes. Veja o exemplo de listagem de objetos de hosts e redes na figura 4.6
(página 40).
Figura 4.6: Hosts e Redes
4.2.1
Manutenção do Cadastro de Hosts e Redes
A manutenção do cadastro de hosts e redes segue o padrão estabelecido anteriormente
(vide seção 4.1) . Para hosts e redes deverão ser preenchidos os seguintes campos (conforme figura 4.7 na página 40).
• Objeto: nome a ser dado ao objeto. Ex: Web Server;
• Endereço IP: endereço IP do host ou da rede. Ex: 192.168.1.2;
• Máscara: máscara da rede onde o objeto se encontra. No caso de o objeto ser um
host, lembre de usar a máscara 255.255.255.255/32;
• Descrição: texto explicativo sobre o objeto. Ex: Servidor Web da empresa.
Figura 4.7: Adicionando objeto do tipo Host/Rede
4.3. DOMÍNIOS
4.3
41
Domı́nios
No cadastro de domı́nios, o administrador deverá criar a lista dos grupos de domı́nios que
R
serão utilizados na configuração do Nettion.
Cada grupo poderá conter um ou mais
domı́nios. Veja um exemplo de uma listagem de objetos de Domı́nio na figura 4.8 na
página 41.
Figura 4.8: Listagem de grupos de domı́nios
4.3.1
Manutenção do cadastro de domı́nios
A manutenção do cadastro de domı́nios e dos itens segue o padrão estabelecido anteriormente. Para domı́nios, deverão ser preenchidos os seguintes campos (veja figura 4.9 na
página 41):
• Nome: nome que você deseja dar ao grupo Ex: Governamentais;
• Descrição: descrição acerca do grupo. Ex: Domı́nios Governamentais.
Figura 4.9: Formulário de configuração de grupo de domı́nios
Para Incluir os itens do Grupo de Domı́nios, selecione o grupo desejado e clique no botão
Itens. Na tela seguinte você encontrará uma tela com a listagem de itens do domı́nio.
Clique no botão “Incluir”e preencha as informações sobre o item:
42
CAPÍTULO 4. OBJETOS
• Domı́nio: digite o domı́nio iniciando por ponto (“.”) para identificar todo o domı́nio
(ex:.hotmail.com) ou para identificar um host especı́fico do domı́nio utilize sem o
ponto (Ex: login.hotmail.com).
• Descrição: descrição acerca do item. Ex: Domı́nios bloqueados.
Obs.: O Nettion valida os domı́nios inseridos, impedindo que domı́nios inválidos sejam
adicionados.
4.4
Expressões
Nesta seção, o administrador poderá cadastrar grupos de expressões (palavras ou expressões regulares) para serem utilizados na configuração do proxy, e, como ocorre com
os domı́nios, cada grupo poderá conter um ou mais itens, tornando possı́vel a utilização
do grupo inteiro em uma única regra do proxy.
4.4.1
Manutenção do Cadastro de Expressões
A manutenção do cadastro de expressões e dos itens seguem o padrão estabelecido anteriormente. Para expressões deverão ser preenchidos os seguintes campos:.
• Nome: nome que você deseja dar ao grupo Ex: Expressões Proibidas;
• Descrição: descrição acerca do grupo. Ex: Expressões que devem ser bloqueadas.
Para Incluir os itens do Grupo de Expressões, selecione o grupo desejado e clique no botão
Itens. Na tela seguinte você encontrará uma tela com a listagem de itens do grupo de
expressões. Clique no botão ”Incluir”e preencha as informações sobre o item:
• Tipo: tipo do item a ser criado, se Palavra ou Expressão regular3 .
• Palavra: palavra que deverá ser identificidada na URL pelo Proxy do Nettion. Ex:
sexo.
• Posição: posição na qual a palavra deve ser identificada. Caso queira, por exemplo,
identificar URLs terminadas por “.exe”, escolha a opção “no final”.
• Palavra inteira: selecione “Sim”para identificar apenas na palavra inteira, ou seja,
não será identificada quando a palavra estiver contida em outras palavras. Para o
exemplo da palavra sexo, sexologia não bateria com o padrão. Selecione “Não”para
criticar a palavra mesmo dentro de outras palavras.
4.5
Horários
No cadastro de horários, deverá ser criada a lista dos horários que serão utilizados na
R Com base nesses horários, o administrador poderá criar regras
configuração do Nettion.
no Proxy, no Firewall, etc, para fazer o controle de acesso.
3
o Nettion possibilita a inclusão de expressões regulares mais complexas através da escolha do tipo Expressão
Regular, porém, a escolha do tipo Palavra associada as outras opções como ”Posição”e ”Palavra Inteira”atendem a
grande maioria dos casos.
4.6. SERVIÇOS
4.5.1
Manutenção do cadastro de horários
A manutenção do cadastro de horários e dos itens segue o padrão estabelecido anteriormente. Para horários, deverão ser preenchidos os seguintes campos:
• Objeto: nome a ser dado ao horário. Ex: Expediente;
• Descrição: texto para detalhamento do horário. Ex: Horário de trabalho normal.
4.5.2
Determinando Intervalos
O administrador poderá definir o horário selecionando uma ou mais células da tabela
composta por dias e horários. A seleção será feita com o mouse da seguinte forma: o
administrador deve clicar na célula inicial com o botão esquerdo do mouse, mantendo-o
pressionado durante o deslocamento do cursor na tela e selecionando o intervalo desejado.
Uma vez selecionada a região desejada, clique no botão ”Marcar”. Um mesmo objeto de
horário pode ter várias regiões de horários selecionadas.
Caso deseje fazer um ajuste para fracionamento de horas, após selecionar a região desejada, será exibida uma linha com os campos para ajustes juntamente com os botões
Marcar e Desmarcar. O usuário poderá alterar o conteúdo dos campos de acordo com
sua necessidade e dar um clique em Marcar ou Desmarcar conforme o caso. Para confirmar as definições de intervalo, o usuário deverá clicar no botão Salvar Configurações.
4.6
Serviços
Nesta seção o administrador poderá cadastrar serviços para serem utilizados mais adiante
na configuração das funcionalidades do Nettion. Há também a opção de checar os serviços
R
pré-definidos pelo Nettion.
O Nettion já possui cadastrado uma série de serviços, os
mais conhecidos na Internet, que são os objetos de serviços Predefinidos.
4.6.1
Predefinidos
R Ao
Aqui, o administrador poderá consultar a lista de serviços predefinidos pelo Nettion.
selecionar um serviço, clique em itens para visualizar as portas que determinado serviço
utiliza.
4.6.2
Personalizados
Caso o serviço desejado não esteja cadastrado no Nettion, o administrador pode criar
serviços personalizados e para tanto, ele deverá acrescentar um novo grupo de serviços,
cliando em “Incluir”. Na tela seguinte, identifique um nome e uma descrição para o seu
Serviço.
43
44
CAPÍTULO 4. OBJETOS
Para incluir itens a um serviço, selecione o serviço desejado e clique em ”Itens”. Cada
Serviço pode conter uma ou mais combinações de protocolo/porta.
Para cada item de um serviço os itens abaixo deverão ser configurados:
• Protocolo: TCP, UDP, ICMP, GRE, ESP ou HA;
• Porta: Pode ser um número, uma faixa ou um serviço especial P2P;
• Descrição: Inclua uma descrição para o item;
• Incluir também este serviço para o protocolo UDP: Marque esta opção caso queira
inserir esta mesma porta para o protocolo UDP (esta opção só estará disponı́vel caso
você esteja inserindo um serviço TCP).
4.7
Categorias
Na seção categorias, o Administrador poderá categorizar/classificar URL’s para a aplicação em regras do Proxy. O Administrador pode consultar se determinada URL está
cadastrada no Nettion e em que grupo de categorias ela está. Caso o Nettion ainda
não possua determinada URL pesquisada, o Administrador poderá incluir e definir a que
grupo ela irá pertencer.
4.7.1
Predefinidos
R
Aqui, o administrador poderá consultar a lista de categorias predefinidas pelo Nettion.
Existe integrada no Nettion uma lista de URL’s, as quais o Administrador não consegue
visualizar selecionando as categorias e clicando em itens, podendo apenas pesquisar se
R
determinada url já está cadastrada no Nettion.
Figura 4.10: Categorias Pré-definidas
4.8. MIME TYPE
4.7.2
45
Personalizados
R
Caso a categoria desejada não esteja cadastrada no Nettion,
o administrador pode
criar categorias personalizadas e para tanto, ele deverá acrescentar um novo grupo de
categorias, clicando em “Incluir”. Na tela seguinte, identifique um nome e uma descrição
para a sua Categoria. Em seguida cadastrar as URL’s desejadas.
4.7.3
Consulta de URL’s
O Administrador pode pesquisar se determinada url está contida em algum grupo de
categorias, podendo mudá-la de categoria se necessário. Caso não esteja cadastrada, o
Administrador pode destinar um grupo para essa url.
Figura 4.11: Formulário de busca de URL’s
4.8
Mime Type
Cadastrar mime-Types é o mesmo que especificar tipos de arquivos. Nesta seção, o
Administrador poderá incluir os mime-types de seu conhecimento. Com este recurso será
possı́vel o Administrador criar regras no Proxy, baseadas no tipo de arquivo e não apenas
na sua extensão.
Figura 4.12: Formulário de inclusão de Mime-Types
R já vem com vários Mime-types cadastrados.
Obs.: O Nettion
46
CAPÍTULO 4. OBJETOS
Capı́tulo 5
Usuários/Grupos
5.1
Autenticação
R possui três alternativas quanto à autenticação de usuários. A primeira
O Nettion
R
é utilizar uma base de dados de usuários que serão cadastrados no próprio Nettion;
a segunda é autenticar a partir de uma base de usuários já existente em uma máquina
UNIX/Linux, através de NIS (Network Information System); e a terceira é através de uma
base de dados de usuários cadastrados em um servidor Windows. Esta opção também
suporta o esquema de autenticação via NTLM, que não solicita login e senha no browser
de estações Windows que façam parte de um domı́nio Windows. Este esquema utiliza a
informação de login do domı́nio Windows para se autenticar no proxy.
5.1.1
Base Nettion
Para indicar ao sistema que a base de usuários para autenticação será provida pelo Nettion, selecione a opção Utilizar o Nettion. Existem duas formas de utilização de uma
base nativa do Nettion:
• Local;
• Remota.
Para utilizar a base que se encontra no próprio Nettion (Base Local), selecione a opção
Autenticar na base de usuários e grupos Local. Em seguida, crie os grupos e
usuários conforme a necessidade. Para saber como criar usuários/grupos no Nettion, veja
o tópico Grupos e o tópico Usuários deste capı́tulo.
Para utilizar uma base de usuários existente em um outro Nettion (Base Remota), selecione a opção Autenticar numa base de usuários e grupos remota, preenchendo
os campos conforme descrição abaixo:
• Endereço IP: Endereço IP do Nettion remoto onde encontra-se a base de usuários;
• Porta: Porta onde funciona a Interface de Administração do Nettion Remoto. Será
através desta porta que o Nettion Local acessará o Nettion Remoto para sincronizar
a base de usuários (veja o capı́tulo 3 para saber a porta definida). Uma regra poderá
ser necessária no firewall, liberando o tráfego entre os dois Nettions nesta porta;
47
48
CAPÍTULO 5. USUÁRIOS/GRUPOS
• Senha: Senha de acesso definida no Nettion Remoto (veja o tópico Acesso Remoto
deste capı́tulo).
Figura 5.1: Autenticação no Nettion
Para sincronizar a base, marque a opção Sincronizar Usuários e Grupos com o
Nettion Remoto.
Obs.: Ao selecionar esta opção, a base de usuários existente será sobrescrita pela base a
ser importada.
Acesso Remoto
Para permitir que outro(s) Nettion(s) sincronize(m) sua base de Usuários e Grupos com o
Nettion local, é necessário definir uma senha para cada Nettion. Para isso, crie um objeto
de Host/Rede para cada Nettion que irá sincronizar com o Nettion Local (veja o capı́tulo
4 para saber como criar objetos de Hosts/Redes), e acesse o menu Usuários/Grupos →
Configurações → Acesso Remoto e selecione o objeto de Host/Rede criado no campo
Host e defina a senha. Para finalizar, clique no botão Salvar Configurações.
Figura 5.2: Configuração do Acesso Remoto
5.1. AUTENTICAÇÃO
5.1.2
49
Servidor NIS
Para indicar so sistema que a base de usuários será provida por um servidor NIS (Servidor
de Autenticação UNIX/LINUX. Você deve possuir um em sua rede), utilize a opção
Servidor NIS (Unix) e preencha os campos conforme descrito abaixo:
• Domı́nio NIS(Network Information System): Domı́nio onde se encontram os
usuários cadastrados no Servidor. Ex.: NISGROUP
• Endereço IP: Endereço IP do servidor NIS. Ex.: 192.168.0.1
Figura 5.3: Autenticação na base NIS
Para sincronizar a base, marque a opção Sincronizar Usuários e Grupos do Nettion
com o Domı́nio NIS e no campo Importar usuários NIS a partir do UID, digite
o ID a partir do qual os usuários serão importados.
Obs.: Ao selecionar esta opção, a base de usuários existente será sobrescrita pela base a
ser importada.
5.1.3
Servidor Windows
Para indicar ao sistema que a base de usuários será provida por um servidor Windowstm,
utilize a opção Domı́nio Windows e preencha os campos conforme descrição abaixo:
• Domı́nio: Domı́nio onde se encontram os usuários cadastrados no Servidor. Ex.:
suaempresa.local
• Nome do servidor: Nome NETBIOS do servidor Windows. Ex.: Serv-corp
• Endereço IP: Endereço IP do servidor Windows. Ex.: 10.0.0.2
Ative as configurações clicando no botão Salvar Configurações.
50
CAPÍTULO 5. USUÁRIOS/GRUPOS
Servidor Windows com Sincronização e NTLM
Funcionamento do sistema NTLM Esta opção faz com que o Nettion negocie com
o Servidor Windows a autenticação repassada pelo browser do usuário, evitando assim
a necessidade de identificação(janela de usuário e senha) a cada navegação. Lembre-se
que esta opção funcionará somente em um ambiente de rede Windows/Samba onde as
máquinas e usuários estejam devidamente logados ao domı́nio.
R Security Software suporta o esNTLM no Nettion Desde a versão 2.5, o Nettion
quema de autenticação NTLM, tornando transparente o esquema de autenticação do
proxy para o usuário.
Para utilizar este esquema de autenticação, faz-se necessária a configuração de alguns
campos referentes ao domı́nio Windows. Outra caracterı́stica importante deste esquema
R e o
de autenticação é a obrigatoriedade de sincronização dos usuários entre o Nettion
controlador de domı́nio.
Habilitando autenticação NTLM Para habilitar o serviço NTLM, o administrador
deve habilitar a opção Sincronizar Usuários e Grupos do Nettion com Usuários
e Grupos do Domı́nio Windows e adicionar o login e a senha de algum usuário com
nı́vel de administrador. Caso o servidor Windows seja do tipo AD (Active Directory) a
opção O servidor Windows possui o serviço Active Directory habilitado deve
ser ativada.
Figura 5.4: Autenticação na base Windows
Caso o número de usuários existentes no seu domı́nio Windows seja superior à quantidade
R é possı́vel importar apenas os usuários de
de usuários da sua Licença de Uso Nettion,
grupos especı́ficos do Windows. Desta forma, será feita a importação de uma quantidade
de usuários que esteja dentro dos limites da Linceça de Uso do Nettion.
5.1. AUTENTICAÇÃO
Para isso, crie no seu Windows os grupos contendo os usuários que deseja importar, e
no Nettion, clique no botão “Atualizar Grupos”. Todos os grupos do Windows serão
exibidos na caixa Grupos, selecione os grupos desejados e clique no botão “<” para
incluı́-los na sincronização.
R se conecte ao Controlador
Logo após, basta salvar as informações para que o Nettion
de Domı́nio, sincronizando os usuários e autenticando via NTLM.
Observações importantes:
1. Os usuários têm que estar conectados ao domı́nio Windows para ter direito a se
autenticar e navegar na Internet;
2. Deve-se criar uma regra de firewall adicional de permissão de acesso Nettion -> Servidor
Controlador de domı́nio utilizando os Serviços Predefinidos smb, win2000 e winnt.
3. Para a autenticação funcionar, é primordial que existam as regras de proxy. Veja o
capı́tulo 6 (Proxy) para mais informações.
4. A cada alteração nas informações dos usuários no Controlador de domı́nio, deve-se
R
sincronizar novamente os usuários no Nettion.
R pode perder sua comunicação com o controlador de
5. Em algumas situações, o Nettion
domı́nio (Em caso de desligamento temporário do Controlador de Domı́nio, por exemplo).
R deverá ser reconectado, para voltar a fazer as autenticações
Nestes casos, o Nettion
normalmente.
ATENÇÃO: Ao sincronizar os dados com o controlador de domı́nio, todos os grupos e
usuários previamente cadastrados serão apagados. É de extrema importância fazer um
backup das configurações antes de realizar este procedimento.
Agendamento
Lembre-se que, sempre que uma alteração for realizada na base de usuários do Windows(inclusão/exclusão de usuários, criação/alteração de grupos, alterações de senhas,
etc.), o Nettion deve ser resincronizado. Porém, é possı́vel criar um agendamento, perR com a base Windows seja
mitindo assim que a tarefa de resincronização do Nettion
automatizada.
Para isso, acesse o menu Usuários/Grupos → Autenticação → Agendamento.
Existem quatro opções de agendamento:
• A cada 6h;
• A cada 12h;
• Diário;
• Semanal.
Selecione o tipo de agendamento desejado, marcando dia e horário (quando aplicável), e
clique no botão Salvar Configurações.
Obs.: Para as duas primeiras opções, o horário não pode ser especificado. Desta forma o
agendamento seria realizado às 06:00hs, 12:00hs, 18:00hs e 00:00hs para a opção “A cada
6h”, e às 12:00hs e 00:00hs para a opção “A cada 12h”.
51
52
CAPÍTULO 5. USUÁRIOS/GRUPOS
Figura 5.5: Agendamento da Sincronização de Usuários
5.2
Grupos
R permite que o administrador crie grupos de usuários e os utilize na formação
O Nettion
das regras do proxy, o que possibilita que os usuários de um grupo sejam submetidos a
regras especı́ficas, controlando seu acesso a internet.
Figura 5.6: Administração de Grupos
5.2.1
Manutenção do cadastro de Grupos
Temos duas formas de trabalhar com grupos de usuários, sendo divididos de acordo com
o tipo de autenticação escolhido:
Caso 1: Autenticação em base remota via NIS ou Windows sem sincronização de usuários,
ou em base Local.
A manutenção do cadastro de grupos segue ao padrão estabelecido anteriormente. Para
grupos de usuários deverão ser preenchidos os seguintes campos (veja figura 5.7 abaixo.)
• Nome: nome que você deseja dar ao grupo. Ex.: Financeiro
5.3. USUÁRIOS
53
• Descrição: descrição sobre a que se refere este grupo. Ex.: Setor Financeiro
Figura 5.7: Inclusão/Edição de Grupos
Caso 2: Autenticação com Sincronização de Usuários (via Nettion Remoto, NIS ou Windows).
Neste caso, o administrador deve editar os grupos no controlador de domı́nio Windows,
no Nettion Remoto ou no Servidor NIS e sincronizar novamente as bases de usuários na
opção Autenticação do menu Usuários e Grupos. Em caso de dúvida, veja os itens:
Base Nettion, Servidor NIS e Servidor Windows.
5.3
Usuários
Temos duas formas de trabalhar com usuários, sendo divididas de acordo com o tipo de
autenticação escolhido:
Caso 1: Autenticação por NIS, Local ou Windows sem NTLM.
R permite que você cadastre, independente da autenticação utilizada, os usuários
O Nettion
que necessitam de um tratamento diferenciado quanto ao acesso à internet, podendo o
administrador atribuir ao usuário um ou mais grupos para facilitar a manutenção das
regras do proxy para estes.
Caso 2: Autenticação Windows com NTLM
Neste caso, o administrador deve editar os usuários no controlador de domı́nio e sincronizar novamente as bases de usuários na opção Autenticação do menu Usuários e
Grupos. Em caso de dúvida, veja o item Servidor-Windows.
5.3.1
Manutenção do cadastro de Usuários
A manutenção do cadastro dos usuários segue ao padrão estabelecido anteriormente. Para
cadastro de usuários deverão ser preenchidos os seguintes campos (veja figura 5.8 a seguir):
• Campo Usuário: login do usuário. Ex.: lauro
• Nome: nome do usuário. Ex.: Lauro Cavalcante
• Senha: senha para acesso. Ex.: ******
• Confirmação: confirmação da senha. Ex.: ******
54
CAPÍTULO 5. USUÁRIOS/GRUPOS
• Grupo: grupo padrão do qual o usuário fará parte. Ex.: Comercial
• Grupos adicionais: grupo adicionais dos quais o usuário fará parte. Ex.: Financeiro
Figura 5.8: Inclusão/Edição de Usuários
5.4
Perfis de acesso
R Security Software passa a conter perfis de acesso.
A partir da versão 3.98, o Nettion
Para criar perfis de acesso e atribuir um perfil a cada usuário, acesse Usuários/Grupos
→ Perfis de acesso.
Figura 5.9: Lista de perfis
Esta funcionalidade permite ao Administrador definir quais módulos da ferramenta poderão
ser visualizados no menu de acesso dos usuários em um determinado perfil. O manuseio
é bem simples, como mostra a figura 5.10 a seguir.
5.4. PERFIS DE ACESSO
55
Figura 5.10: Seleção dos Módulos
Após criar um perfil, o Administrador deve vinculá-lo aos usuários no qual ele se aplica.
Este vinculo é feito diretamente no cadastro do usuário. Será atribuı́do automaticamente
um perfil padrão com acessos limitados aos usuários que não forem vinculados a um perfil
especı́fico.
56
CAPÍTULO 5. USUÁRIOS/GRUPOS
Capı́tulo 6
Proxy
O serviço de Proxy possui duas funções básicas. A primeira é o Cache, que possibilita
um aumento da velocidade ao acessar páginas na internet sem que você precise, necessariamente, investir em links maiores, pois otimiza a navegação fazendo um cache local dos objetos(web) acessados pelos usuários. Isso permite que objetos já acessados e
que ainda sejam válidos sejam disponibilizados localmente aos usuários que precisarem
daquele mesmo objeto, evitando assim a utilização do link para cada acesso ao mesmo
site ou arquivo, por exemplo. Além disso, o Proxy também atua como um firewall em
nı́vel de aplicação. Assim, é possı́vel que o administrador faça um controle dos acessos
dos usuários através de regras relacionadas a: horários, domı́nios, palavras ou expressões
regulares, categoria de URL’s, grupos de usuário ou relacionados aos próprios objetos de
“Hosts/Redes”.
6.1
Regras de Firewall Necessárias
Assim como qualquer outro serviço, o Proxy precisa que liberações sejam feitas no Firewall
para que possa funcionar adequadamente. As regras necessárias são:
6.1.1
Intranet → Nettion
É necessário criar uma regra que permita que os usuários da rede interna (e das redes que
também forem necessárias) acessem o Nettion nos serviços squid (porta 3128) e dns(porta
53). Veja na tabela 6.1 um resumo da regra de Firewal (página 57).
Regra: Intranet → Nettion
Origem Destino
Serv. Destino Ação
squid
Intranet localhost
Aceitar
dns
Tabela 6.1: Liberação do Firewall Intranet -> Nettion
57
58
CAPÍTULO 6. PROXY
6.1.2
Nettion → Internet
Também é necessário permitir que o Nettion acesse a Internet para buscar os sites. Para
isso o Nettion deverá acessar os serviços Web padrão (http, https e tomcat) e também o
serviço DNS (resolução de nomes). Veja um resumo da regra necessária na tabela 6.2 na
página 58.
Regra: Nettion → Internet
Destino
Serv. Destino Ação
http
https
localhost Qualquer
Aceitar
tomcat
dns
Origem
Tabela 6.2: Liberação do Firewall Nettion -> Internet
6.2
Configurações
R possibilita que se trabalhe com um proxy transparente ou com autenticação.
O Nettion
Abordaremos os dois casos:
6.2.1
Proxy com autenticação
No uso do proxy com autenticação, trabalha-se com cache e controle de acessos, havendo
a possibilidade de restrições quanto aos usuários.
Para uso do proxy com autenticação é necessário configurá-lo no browser de cada estação.
6.2.2
Proxy transparente
No uso do proxy transparente trabalha-se apenas com cache, não havendo a possibilidade
de restrições quanto aos usuários.
No caso do Proxy Transparente, é necessário que uma regra adicional de Firewall seja
criada. Ela será responsável por redirecionar o tráfego em direção a porta 80 para a porta
do Proxy, no caso a 3128 (objeto squid) por padrão.
Regra: Proxy Transparente
Origem Destino
Serv. Destino Ação
Intranet Qualquer http
Redirecionar para localhost:3128
Tabela 6.3: Redirecionamento Proxy Transparente
6.2. CONFIGURAÇÕES
6.2.3
59
Configurações gerais
Para acessar a tela de configurações gerais do proxy acesse: Proxy → Configurações
→ Gerais. A figura 6.1 abaixo mostra um exemplo de configuração do Proxy.
Figura 6.1: Configurações do Proxy
Abaixo, segue uma descrição dos campos da tela de configurações:
• Porta: porta na qual rodará o serviço de Proxy. Ex.: 3128 (padrão);
• Tamanho do cache: tamanho espaço em disco a ser alocado para o cache em MB.
Ex.: 1000
• Quantidade de memória: quantidade de memória RAM (em MB) que será utilizada
para armazenar objetos frequentemente acessados. Ex.: 100; Pode se fazer um
cálculo de 10% da memória RAM da máquina para esta configuração caso o Nettion
também seja utilizado para outras funções como Firewall, VPN, E-mail, etc. Caso o
Nettion seja utilizado apenas para o fim de Proxy, pode-se chegar a valores maiores,
como 60 a 70% da RAM disponı́vel. O armazenamento de objetos em memória RAM
acelera ainda mais a navegação devido a maior velocidade de acesso comparada ao
acesso ao disco;
• Tamanho máximo de um objeto em disco: tamanho máximo de um objeto (em MB)
permitido para armazenado em Cache. Ex: 64;
• Polı́tica padrão: polı́tica padrão a ser utilizada Ex.: negar qualquer acesso. O ideal
é que o padrão seja negar os acessos e que você crie regras liberando o que for
necessário;
• Mensagens de erro: determina em que idioma as mensagens de erro aparecerão para
os usuários;
• Processos de Autenticação Básica (para o caso de autenticação na base local do
R deve manter abertos para realizar
Nettion): determina quantos processos o Nettion
60
CAPÍTULO 6. PROXY
a autenticação dos usuários. Varia de acordo com o número de pessoas que vão
acessar simultaneamente a Internet;
• Processos de Autenticação NTLM (para o caso de autenticação na base de usuários
de um domı́nio Windows): determina quantos processos de autenticação NTLM
R deve manter abertos para realizar a autenticação dos usuários. Este
o Nettion
número varia em função da quantidade de usuários de proxy via autenticação NTLM.
O Padrão são 20 processos, porém, em algumas redes com muitos usuários e muitas
autenticações simultâneas, pode ser necessário aumentar este número;
• Empresa (para as mensagens de erro): permite que seja especificado aqui o nome da
sua empresa, o qual será exibido nas mensagens de erro do proxy.
6.2.4
Limpeza do Cache do Proxy
Agora, é possı́vel efetuar a limpeza do cache do Proxy do Nettion a qualquer momento,
bastando para isso clicar no botão Limpar Cache da tela de Configurações Gerais do
Proxy.
A limpeza do cache deve ser forçada em várias situações, como por exemplo: Problemas
na visualização de atualizações de páginas da web e problemas com espaço no disco rı́gido
do Nettion. Para este último caso, geralmente é sinal de que chegou a hora de substituir
o disco rı́gido do sistema por um outro maior.
6.2.5
Mensagens de erro
R todas as mensagens de erro do Proxy podem ser editadas, permitindo assim
No Nettion,
maior flexibilidade na configuração.
Para editar as mensagens do Proxy acesse: Proxy → Configurações → Mensagens
de Erro. A figura 6.2 abaixo exibe a tela de mensagens de erro do Proxy.
Figura 6.2: Listagem de mensagens de erro do Proxy
Para editar uma mensagem, selecione-a e clique no botão “Editar”. Na tela que será
exibida, altere o conteúdo da mensagem conforme a necessidade, porém sem fugir do
motivo real da mensagem. Veja a figura 6.3 a seguir.
6.2. CONFIGURAÇÕES
Figura 6.3: Edição de mensagens de erro do Proxy
Note que a mensagem deve ser transcrita também no idioma Inglês. Para finalizar, clique
no botão Salvar Configurações, como mostra a figura 6.3 a seguir.
6.2.6
Portas Autorizadas
Eventualmente, pode ser necessário efetuar a liberação de algumas portas para acesso
via Proxy. Alguns sites possuem acessos à áreas especı́ficas através de portas especiais.
Tais portas devem ser liberadas para permitir a sua navegação através do Proxy. Para
isso, acesse o menu Proxy → Configurações → Portas de Autorizadas. Por padrão,
algumas porta já vêm previamente liberadas no sistema. Para incluir uma porta, clique no
botão Incluir. Na tela que será exibida, digite a porta que deseja liberar e sua descrição,
depois clique no botão Salvar Configurações como mostra a figura a serguir.
Figura 6.4: Inclusão de uma porta autorizada - Proxy
6.2.7
Base de URL’s Categorizadas
R possui uma base de dados com milhares de URL’s divididas em categorias.
O Nettion
Tais categorias de url’s são utilizadas na confecção de regras do Proxy. A Nettion Information Security mantém essa base de URL’s e a distribui a seus clientes por meio de um
esquema de atualização automatizado.
61
62
CAPÍTULO 6. PROXY
Atualização e Agendamento
Para manter a base de URL’s sempre atualizada, é necessário que um agendamento seja
criado. Para isso, acesse o menu Proxy → Configurações → Base de URL’s →
Atualização. Existem quatro opções de agendamento:
• A cada 6h;
• A cada 12h;
• Diário;
• Semanal.
Selecione o tipo de agendamento desejado, marcando dia e horário (quando aplicável), e
clique no botão Salvar Configurações.
Figura 6.5: Agendamento da Atualização da Base de Url’s
Obs.: Para as duas primeiras opções, o horário não pode ser especificado. Desta forma o
agendamento seria realizado às 06:00hs, 12:00hs, 18:00hs e 00:00hs para a opção “A cada
6h”, e às 12:00hs e 00:00hs para a opção “A cada 12h”.
IMPORTANTE: É possı́vel também forçar a atualização a qualquer momento, bastando
para isso clicar no botão Atualizar na tela Atualização Manual contida no mesmo
menu de acesso.
6.2.8
Histórico de Atualizações de URL’s
R guarda um histórico de todas as atualizações realizadas, dando informações,
O Nettion
tais como: data e hora da atualização, versão da base de dados, quantidade de url’s
adicionadas e se a operação foi bem-sucedida ou não. Veja figura 6.6 a seguir.
6.3. REGRAS
63
Figura 6.6: Histórico das Atualizações da Base de Url’s
6.3
Regras
As regras do proxy podem ser interpretadas como frases (veja figura 6.7 abaixo), cabendo
ao administrador construir aquelas que devem ser aplicadas no controle de acesso. Para a
formação das regras, são utilizadas informações previamente cadastradas. Veja referência
no Capı́tulo 4 (Objetos) e no Capı́tulo 5 (Usuários e Grupos).
Figura 6.7: Listagem de regras do Proxy
Caberá ao administrador elaborar as regras para gerenciamento dos acessos.
64
CAPÍTULO 6. PROXY
6.4
Composição de regras do Proxy
A criação/edição das regras do Proxy é feita através de um Wizard que o guiará na
composição dos filtros de acesso. Cada regra permite aplicação de filtros por domı́nio,
por expressões regulares, por categorias de URL’s, por mime-types, por horário e por IP,
que são aplicadas a Usuários e/ou Grupos de Usuários.
É possı́vel também, criar controles de tráfego como por exemplo:
• Velocidade Máxima permitida;
• Tamanho Máximo da Requisição HTTP;
• Rotas para pacotes TCP.
Note que, as regras são analisadas uma a uma de acordo com a sua posição, iniciando
pela regra de número 1, estabelecendo-se assim uma ordem de prioridade. Desta forma,
é importante que as regras mais especı́ficas fiquem acima das regras mais genéricas.
R
Importante: Caso você selecione mais de um filtro em uma mesma regra, o Nettion
aplicará a regra somente se a URL acessada satisfizer às exigências de todos os filtros selecionados (lógica “AND”). O critério para posicionamento das regras irá variar de acordo
com a polı́tica de segurança implementada. Sugerimos, entretanto, alguns conceitos que
podem ser observados nesse sentido. Regras de permissão que não requerem autenticação
devem estar nas primeiras posições.
OBSERVAÇÕES:
1. Permitir os domı́nios sem autenticação dentro do horário comercial para qualquer
usuário.
2. Regras de permissão que requerem autenticação de usuários selecionados devem
estar posicionadas abaixo das regras que não requerem autenticação. Ex: Permitir
qualquer domı́nio em qualquer horário para os usuários do grupo Diretoria.
3. Regras de permissão que requerem autenticação para usuários válidos devem estar
posicionadas abaixo das regras referentes a “usuários selecionados”. Ex: Permitir
qualquer domı́nio, sem palavras proibidas em qualquer horário, para usuários válidos.
4. A regra referente à polı́tica padrão selecionada nas configurações do proxy estará
implı́cita e será escrita após a última regra cadastrada pelo usuário. Assim, a polı́tica
padrão somente será interpretada pelo proxy caso o acesso solicitado não se encaixe
em nenhuma das regras anteriores.
6.4.1
Tela 1 - Definição da regra
Para criar uma regra no Proxy, acesse o menu Proxy → Regras, e clique no botão
Incluir para iniciar o Wizard.
Preencha as informações conforme a descrição a seguir e clique no botão Avançar.
6.4. COMPOSIÇÃO DE REGRAS DO PROXY
• Descrição: um breve resumo do objetivo da regra;
• Ação: a ação da regra, Permitir ou Negar.
• Posição: posição da regra na tabela. Determina qual a prioridade de interpretação
das regras.
• Status: status da regra. Indica se a regra está Ativa ou Inativa. Opções: Ativa ou
Inativa
Figura 6.8: Definição da regra
6.4.2
Tela 2 – Horário
Determina o horário para a ação. Define o horário no qual a regra atuará com base
em um horário previamente cadastrado (Para saber mais sobre como criar objetos de
horários no Nettion, veja a seção Horários do capı́tulo 4). Opções: “Qualquer”, “Dentro
do horário”ou “Fora do horário”.
O padrão “Qualquer”será utilizado quando o administrador não especificar uma relação
com um horário durante a elaboração da regra.
Para especificar uma relação com um horário, o administrador deve selecionar uma opção
diferente de “Qualquer”para que seja exibida a lista de horários cadastrados e entre os
quais ele selecionará o horário desejado, que será exibido em amarelo, isto é, o horário no
qual a regra irá atuar.
Veja tela de seleção de horários na figura 6.9 a seguir.
65
66
CAPÍTULO 6. PROXY
Figura 6.9: Seleção de horário para aplicação da Regra
6.4.3
Tela 3 - Filtros
Aqui, você especifica os filtros que deseja aplicar à regra. Os seguintes filtros podem ser
utilizados:
• Objetos de Domı́nios;
• Objetos de Expressões Regulares;
• Categorias de Url’s1 ;
• Objetos de Mime-type.
Para selecionar objetos de Domı́nios e/ou Expressões, selecione os objetos desejados, e
clique no botão “<” para incluı́-los à regra. Para especificar como “Qualquer”, simplesmente deixe a caixa de seleção de objetos vazia.
No caso das Categorias de Url’s e dos Objetos de Mime-type, para utilizá-los, você deve
primeiramente marcar a(s) caixa(s) de verificação “Habilitar Categorias” e/ou “Habilitar Mime Type”. Em seguida, selecione os objetos desejados da mesma forma dos
objetos de Domı́nios e de Expressões. Veja a figura 6.10 a seguir.
1
R possui uma base de dados com milhares de Url’s cadastradas. Essas url’s estão organizadas segundo
O Nettion
a sua categoria. Isto facilita muito a criação de uma regra onde se deseja, por exemplo, liberar todos os sites de
instituições financeiras. Assim, ao contrário do que ocorre com os Objetos de Domı́nios, o administrador não precisa
conhecer necessariamente todos os sites de instituições financeiras existentes, nem cadastrá-los. O Nettion possibilita
a atualização automatizada desta base de url’s. Para saber mais sobre o objeto Categoria de Url’s, veja a seção
Categorias do capı́tulo 4.
6.4. COMPOSIÇÃO DE REGRAS DO PROXY
67
Figura 6.10: Aplicação de filtros à regra
6.4.4
Tela 4 - Aplicar para
Nesta tela, determine para quem a regra deve ser aplicada. Aqui, o administrador poderá
definir se a regra exigirá autenticação ou não. Se a regra for autenticada, ele poderá
aplicá-la a um ou mais usuários, bem como a grupos de usuários. Poderá também criar
exceções à regra.
Para isso, marque a caixa de verificação Solicitar Autenticação. No campo “Grupos”, selecione o(s) grupo(s) de usuários aos quais a regra será aplicada e/ou no campo
“Usuários”, selecione o(s) usuário(s) a(o) qual(is) deseja aplicar a regra. Caso algum
grupo de usuários seja selecionado, exceções poderão ser especificadas no campo “Exceto
Usuários”.
Obs.: Se você não desejar especificar usuários ou grupos, mas deseja que a autenticação
seja solicitada a todos os usuários1 , especifique a opção “Qualquer”. Para isso, simplesmente deixe os campos “Grupos”, “Usuários” e “Exceto usuários” vazios.
Também, é possı́vel aplicar a regra à redes e/ou hosts especı́ficos. Para isso, selecione os
objetos de Hosts/Redes desejados no campo “Hosts” e clique no botão “<”. O padrão
“Qualquer” será utilizado quando o administrador não especificar uma relação com um
host/rede durante a elaboração da regra.
1
R esteja utilizando a autenticação integrada NTLM a autenticação já foi negociada e não aparecerá
Caso o Nettion
caixa de autenticação solicitando-a novamente.
68
CAPÍTULO 6. PROXY
Figura 6.11: Seleção de Objetos (Usuários/Hosts) da Regra
Observação: Para otimizar o tempo de carga de usuários e grupos o Nettion carrega
somente os 100 primeiros registros de cada de caixa de seleção. No final da lista possui
um item chamado “mais...”. Clique nele duas vezes para que carregue mais 100 registros.
Caso prefira, você também poderá utilizar o campo de busca que fica acima das caixas.
6.4.5
Tela 5 - Qos
Para finalizar, clique no botão “Avançado”, se desejar, para especificar retrições quanto
ao tráfego. Estas opções devem ser utilizadas com muita cautela para garantir que o
efeito desejado seja obtido realmente.
• Para restringir a velocidade de acesso aos sites que serão tratados por esta regra,
marque a caixa de verificação “Habilitar Controle Tráfego”. Em seguida, especifique a velocidade desejada (em Kbit ou Mbit) no campo “Vel. Máxima Permitida”.
• Para restringir a quantidade de dados que será trazido por vez (isto se aplica à qualquer requisição HTTP, não somente aos donwnloads), marque a caixa de verificação
“Habilitar Controle de Requisição HTTP”. Em seguida, espeficique o valor
desejado (em Kbyte, Mbyte ou Gbyte) no campo “Tamanho máximo da requisição”.
• Também, é possı́vel direcionar o tráfego a ser tratado pela regra por um link especı́fico (geralmente diferente do link padrão de saı́da do Proxy). Para isso, marque
a caixa de verificação “Habilitar Rotas para pacotes TCP”, e selecione o link
desejado na caixa de listagem.
6.5. RELATÓRIOS
69
Ao final, clique no botão “Concluir”. A regra será criada na posição especificada e
já entrará em funcionamento instantâneamente, sem a necessidade de reiniciar qualquer
serviço ou recurso. Veja a figura 6.12 a seguir.
Figura 6.12: Aplicação de Restrições de Tráfego à Regra
Obs.: As opções “Habilitar Controle Tráfego” e “Habilitar Rotas para pacotes
TCP” não funcionam para objetos de Categorias de Url’s e Objetos de Mime-types
aplicados à regra.
6.5
Relatórios
R disponibiliza ao administrador relatórios gerenciais referentes aos acessos via
O Nettion
Proxy. Quando utilizada a autenticação, será possı́vel ao administrador filtrar os acessos
referentes a cada usuário.
6.5.1
Padrão
R gerar relatórios analı́ticos dos
Este relatório possibilita ao administrador do Nettion
sites acessados, especı́ficos em um determinado perı́odo. Caso os campos não sejam
preenchidos, o relatório será geral.
Os campos para composição de relatórios são:
• Usuário: seleciona sobre qual usuário o relatório será demonstrado. Ex.: Fernanda.
Trará todos os acessos realizados pelo usuário Fernanda no perı́odo especificado nos
campos DE (DATA) e ATÉ (DATA).
70
CAPÍTULO 6. PROXY
• Host: especifica de qual máquina partiu acesso à internet. Ex.: 10.0.0.36. Trará
todos os acessos realizados a partir da máquina 10.0.0.36 no perı́odo especificado.
• URL: endereço completo ou trecho de um endereço que se deseja saber quem o acessou no perı́odo especificado. Ex.: www.nettion.com.br. Trará uma lista com todos
os usuários que acessaram a este site: www.nettion.com.br. Ex: Nettion. Trará
uma lista com todos os usuários que acessaram a algum site (URL) que contenha a
palavra “Nettion”.
6.5.2
Por domı́nio
R gerar relatórios de acessos em um
Este relatório possibilita ao administrador do Nettion
determinado perı́odo agrupados por domı́nios, conforme os campos DE (DATA) e ATÉ
(DATA). O administrador pode selecionar um grupo especı́fico para qual o relatório será
exibido ou especificar apenas um usuário.
• Clicando na coluna “hits”, o administrador visualizará o relatório detalhado referente
ao domı́nio.
• Grupo: especificar sobre qual grupo o relatório será demonstrado. Ex.: Desenvolvimento. Exibirá todos os acessos realizados pelo desenvolvimento no perı́odo
especificado nos campos DE (DATA) e ATÉ (DATA).
• Usuário: Especificar sobre qual usuário o relatório será demonstrado. Ex.: Fernanda.
Exibirá todos os acesso realizados pela Fernanda no perı́odo especificado nos campos
DE (DATA) e ATÉ (DATA).
6.5.3
Top
R identificar quais foram os Top
Este relatório possibilita ao administrador do Nettion
acessos através de três relatórios diferentes. Por Usuário, por Domı́nio ou por Host.
O Top Usuários permite ainda a seleção de três unidades de medida, podendo ser por
Tráfego (quantidade de bytes transferidos), por Hits (quantidade de acessos feitos - cada
item de um site representa um hit) ou por tempo de acesso (considera o tempo de carga
dos sites/arquivos da web, ou seja, o tempo em que o usuário realmente utilizou o Proxy).
6.5.4
Acessos Bloqueados
R gere relatórios analı́ticos dos
Este relatório possibilita que o administrador do Nettion
sites acessados e que estão bloqueados para o respectivo usuário em um determinado
perı́odo, para simples identificação de tentativa de acesso não permitido. Caso os campos
não sejam preenchidos, o relatório será geral.
6.5.5
On-line
R efetue o acompanhamento onEste relatório possibilita que o administrador do Nettion
line dos sites que estão sendo acessados. Para iniciar o acompanhamento, o administrador
deve clicar no botão “Iniciar”e para interromper, deve clicar o botão “Parar”.
6.6. GRÁFICOS
6.6
71
Gráficos
R também disponibiliza gráficos em real time dos acessos
Além dos relatórios, o Nettion
dos usuários ou hosts da rede. Através deles o administrador poderá analisar graficamente
os acessos de todos ou de um usuário especı́fico dentro do perı́odo escolhido. Duas opções
de gráficos são disponibilizadas, podendo ser por usuário ou por host.
Para ter acesso aos Gráficos, acesse o menu Proxy → Gráficos → Usuários ou Hosts.
Os gráficos são inicialmente carregados com os dados de todos os usuários ou hosts,
conforme exemplo na figura 6.13 abaixo.
Utilize a seleção na parte superior do gráfico, para visualizar o gráfico de um usuário ou
host especı́fico.
Figura 6.13: Gráfico de Usuários
6.6.1
Selecionando um perı́odo
Para selecionar um perı́odo especı́fico para visualização do gráfico, clique na lupa que fica
na parte superior direita do gráfico. Na próxima tela você terá duas opções de seleção do
perı́odo. A primeira delas é através da caixa de seleção na base do gráfico, que permite
a seleção dos perı́odos de 30 minutos a 1 ano. A segunda opção é utilizando o mouse.
Clique com o botão esquerdo em uma posição do gráfico e arraste, fazendo uma seleção
de uma área. Ao soltar o botão, o gráfico será recarregado com o perı́odo selecionado.
6.6.2
Visualizando acessos a partir do gráfico
É possı́vel também visualizar os acessos do usuário a partir de uma área selecionada do
gráfico. Para isso, após selecionar um perı́odo, clique no icone que fica na parte superior
direita do gráfico.
72
CAPÍTULO 6. PROXY
6.6.3
Monitoramento Realtime
Uma vez selecionado o usuário desejado, clique no botão “Monitorar”para acompanhar a
formação do gráfico à medida que o usuário faz seus acessos. Para parar o monitoramento,
clique no botão “Parar”.
6.7
Configurando as estações da rede
R (em modo não transparente)
Para que as estações da rede utilizem o Proxy do Nettion
é necessário que as configurações de Proxy de seus navegadores estejam apontando para
o IP e Porta do Nettion. Esta configuração pode variar de acordo com o navegador
utilizado. Listamos abaixo a configuração necessária nos mais conhecidos e utilizados:
• Firefox (versão 3.0)
Com o navegador aberto, clique no menu “Ferramentas → Opções. . . ”;
Na tela seguinte, clique na opção “Avançado”;
Agora clique na aba “Rede” e depois no botão “Configurar. . . ”;
Na tela seguinte, selecione a opção “Configuração manual de proxy” e preencha
as informações de HTTP com o IP de acesso ao Nettion e a porta do Proxy, que
por padrão é a porta 3128.
– Nesta mesma tela, na opção “Sem proxy para:” indique também o IP do Nettion
- isso vai evitar que os acessos ao próprio Nettion sejam feitos via Proxy.
– Depois clique em “OK” e o navegador estará configurado.
–
–
–
–
• Internet Explorer (versão 7.0)
– Com o navegador aberto, clique no menu “Ferramentas → Opções de Internet. . . ”;
– Clique na aba “Conexões” e depois no botão “Configurações da LAN’;
– Na tela seguinte, selecione a opção “Utilizar um servidor Proxy. . . ” e indique o
IP e porta de acesso ao Nettion. A porta padrão do Proxy do Nettion é a 3128;
– Nas opções avançadas, digite o IP do Nettion nas exeções para evitar que o
acesso ao próprio Nettion seja feito via proxy;
– Clique em OK e o navegador estará configurado.
Capı́tulo 7
Controle de Banda
R tem o objetivo de otimizar o uso dos links através
O gerenciamento de banda do Nettion
da re-priorização dos pacotes de dados. Com ele é possı́vel alocar uma maior quantidade
de banda do link para os serviços ou máquinas mais importantes da sua rede. Além disso,
o controle tem a flexibilidade de fazer a alocação de forma dinâmica, o que permite que
uma banda alocada e não utilizada possa ser consumida por um outro serviço de forma
automática.
Para que fique mais claro, o conceito do controle de banda, é necessário antes entendermos
os conceitos de Re-priorização de pacotes e de Realocação dinâmica de banda.
7.1
Re-priorização de pacotes
A Re-priorização age sobre a entrega dos pacotes, fazendo uma diminuição da velocidade
de entrega dos pacotes ou fazendo uma liberação maior de banda de acordo com as
regras estabelecidas. Por exemplo, imagine que você esteja recebendo seus e-mails de um
provedor externo à sua organização de acordo com o cenário da figura 7.1 a seguir.
Figura 7.1: Cenário Controle Banda
73
74
CAPÍTULO 7. CONTROLE DE BANDA
A linha 1 (verde) da imagem indica o sentido da sua solicitação ao provedor na porta
110 (conta POP3) e a linha 2 (azul) indica os pacotes de dados (seus e-mails) saindo do
servidor de E-mails e indo em direção a sua máquina. Ao chegarem ao Nettion, que faz a
intermediação da conexão, entrarão pela interface de rede Eth1, e sairão em direção a sua
máquina, indicada pela linha 3 (amarela), através da interface Eth0. E é neste momento,
da entrega, que o Nettion fará a repriorização dos pacotes, restringindo ou liberando mais
banda para a conexão.
Se para este cenário quiséssemos, por exemplo, restringir a banda para a obtenção de
e-mails, aplicarı́amos uma regra na interface Eth0(interface de entrega dos dados), restringindo o tráfeto originado na porta 110 com destino à rede interna ou à alguma
máquina em especı́fico. Veremos mais a frente a criação de regras.
7.2
Realocação dinâmica de banda
O segundo conceito, porém não menos importante, é o de realocação dinâmica de banda.
Ele vai permitir que uma banda alocada para um determinado serviço ou host/rede seja
consumido por outro serviço, quando ociosa.
Para ficar claro, imagine a situação onde você alocou uma parte da sua banda (300Kbits)
para um determinado host da sua rede, porém, você deseja que, quando ociosa, esta
banda seja distribuida para as demais máquinas da rede. Para isso, utilizamos o conceito
de velocidade mı́nima e velocidade máxima, onde a velocidade mı́nima será o que ficará
reservado, ou seja, não será compartilhado, e velocidade máxima, será a banda que poderá
ser utilizada caso exista banda ociosa.
Todo este controle é feito através de Classes, que representam reservas de banda, e suas
Regras. Na próxima seção você aprenderá como as configurações de classes e regras são
feitas.
7.3
Configurações
R você deve acessar o menu Controle
Para configurar o Controle de Banda do Nettion,
de Banda > Configurações. Na tela que será exibida, estarão disponı́veis todas as
interfaces de rede existentes no sistema, como mostra a figura 7.2 abaixo.
Figura 7.2: Lista de interfaces de rede disponı́veis
7.3. CONFIGURAÇÕES
7.3.1
Definição da Interface de rede
Antes de iniciar a configuração de um controle de banda, é necessário que você faça a
avaliação do cenário e identifique a origem e o destino dos dados que devem ser controlados. Após identificar de onde os dados partem e para onde vão, você identificará em
qual interface o controle será feito, que é aquela que faz a entrega dos dados diretamente
a quem os solicitou.
7.3.2
Classes
O primeiro passo será criar uma classe, que significa criar uma reserva de banda do seu
link. Neste momento ainda não iremos dizer a quem (host ou serviço) se destina esta
reserva. Isso será feito na criação das regras.
Além das classes criadas pelo administrador do Nettion, existe também o conceito da
Classe Default. A classe Default representa o restante de banda disponı́vel no dispositivo
de rede, ou seja, aquele que ainda não foi alocado em nenhuma classe e que será utilizado
por qualquer tráfego que não tenha sido classificado em qualquer regra. O total de
banda de um dispositivo é definida na configuração da própria interface de rede, no menu
Configurações -> Rede -> Interfaces.
Utilizaremos o cenário apresentado, da entrega de E-mails, para que o conceito fique mais
claro. Imagine que neste ambiente, nós temos 1Mbit de banda com a internet e a nossa
necessidade é restringir a banda do download de e-mails, impedindo que este tráfego
atrapalhe outros serviços.
Uma vez definida a interface de rede (veja seção 7.3.1), o próximo passo é fazer a criação
da classe de acordo com os passos a seguir:
1. Clique no menu Controle de Banda-> Configurações;
2. Clique no botão ”Configurar” da interface definida na seção 7.3.1;
3. A próxima tela mostrará uma listagem de Classes. Clique no botão ”Incluir”;
4. Preencha os campos:
• Nome: Nome da Classe. Ex: Classe 1;
• Descrição: Descrição da Classe. Ex: Classe 1;
• Vel. Mı́nima: insira a banda reservada para esta classe. Para o nosso exemplo
será de 1 Mbit;
• Vel. Máxima: insira a banda máxima permitida para a classe. Para o nosso
exemplo será de 1 Mbit;
5. Clique no botão ”Salvar Configurações”.
Para que você tenha uma idéia de como está ficando a sua configuração, o Nettion oferece
um gráfico que mostra a Interface e suas divisões de Classes e Objetos. Para visualizá-lo:
1. Clique no menu Controle de Banda-> Configurações;
2. Clique no botão ”Visualizar Gráfico” da interface desejada;
75
76
CAPÍTULO 7. CONTROLE DE BANDA
Observando a imagem, o cı́rculo laranja representa a Interface de rede, os cı́rculos azuis
representam as classes. Posicionando o mouse sobre os cı́rculos você terá maiores informações sobre suas configurações de banda, conforme mostrado na figura 7.3 a seguir.
Figura 7.3: Gráfico da Interface Eth0
Uma vez criada a Classe, o próximo passo será criar as regras, conforme veremos na
próxima seção.
7.3.3
Regras
As regras, que estararão sempre ligadas a uma classe, identificarão o tráfego ao qual o
controle será aplicado. Nela indicaremos a origem (de onde partem os dados), o destino
(onde os dados chegam) e as bandas mı́nimas e máximas. Os conceitos de banda mı́nima
(reserva) e banda máxima são equivalentes aos vistos nas Classes.
Seguindo o nosso exemplo, supondo que o limite a ser estabelecido para o tráfego vem da
Internet (qualquer origem) na porta 110 com destino as máquinas da rede interna seja de
100Kbits. Siga os passos a seguir para a criação desta regra:
• Clique no menu Controle de Banda-> Configurações;
• Clique no botão “Configurar”da interface Eth0;
• Selecione a Classe “Classe 1” e clique no botão “Itens”;
• Na tela seguinte, da listagem das regras, clique no botão “Incluir”;
• Insira agora as informações da regra. Veja figura 7.4 (página 77).
– Nome: nome da regra. Ex: POP3; Obs: Não é permitido espaço no nome da
regra;
– Descrição: insira uma descrição. Ex: Banda para POP3;
– Objeto de Origem: insira o objeto de onde os dados se originam. Neste caso
selecione o objeto Qualquer, significando qualquer host de origem;
– Objeto de Destino: insira o objeto de destino dos dados. Neste caso selecione o
objeto Rede Interna, previamente criado.
7.3. CONFIGURAÇÕES
77
– Porta de Origem: insira a porta de origem dos dados. Neste caso insira 110.
– Porta de Destino: insira a porta de destino dos dados. Neste caso selecione
“Qualquer” clicando na caixa ao lado;
– Vel. Mı́nima: insira a banda reservada. Neste caso insira 100 Kbits;
– Vel. Máxima: insira a banda máxima permitida. Este campo define até quando
da banda ociosa pode ser utilizada para esta regra. Neste caso, como queremos
restringir insira o valor 100 Kbits;
– Prioridade: define a prioridade desta regra em relação as demais. Neste exemplo
selecione o valor 1;
Figura 7.4: Regra POP3
Novamente, acesse o gráfico da Interface Eth0 para visualizar como está aplicado seu
controle de banda. Observe que agora surgiu um cı́rculo branco representando a regra
criada. Veja na figura 7.5 (página 77).
Figura 7.5: Novo Gráfico da Interface Eth0
78
CAPÍTULO 7. CONTROLE DE BANDA
7.4
Ativando o serviço de Controle de Banda
Após as configurações, é necessário que o serviço seja ativado. Para isso, clique no menu
Sistema > Serviços. Depois clique no botão “Start”referente ao serviço de Controle de
Banda.
Para que o serviço seja ativado automaticamente durante a inicialização do Nettion,
marque a opção “Auto” do serviço e clique no botão “Ativar mudanças para os selecionados”conforme a figura 7.6 abaixo.
Figura 7.6: Ativação do Serviço do Controle de Banda
Capı́tulo 8
Firewall
O Firewall é um recurso de segurança que faz o controle do que é permitido ou não passar
R como por exemplo, entre a sua rede e a internet. Funciona como um
através do Nettion,
filtro, evitando que serviços indevidos sejam acessados, diminuindo os riscos da exposição
da rede à internet.
O simples fato de ter um Firewall na rede não quer dizer que ele esteja sendo útil. Para
tal, é necessário que ele esteja bem configurado e sintonizado com as necessidades da
polı́tica de segurança da sua organização.
R utiliza as mais avançadas tecnologias de Firewall disponı́veis para o Sistema
O Nettion
Operacional Linux através do IPTables e do Kernel 2.6, e, aliado a isso, oferece também
uma interface bastante simples de inclusão e manutenção das regras, evitando que em
pouco tempo, o administrador se perca diante de tantas regras já criadas.
8.1
Configurações
Em Firewall → Configurações, o administrador definirá a polı́tica de acesso padrão
R
que será utilizada pelo firewall do Nettion.
A polı́tica padrão estabelece a ação que
será tomada sobre qualquer acesso que não tenha sido explicitamente liberado pelo administrador através das regras. O ideal, e o recomendável, é que a polı́tica padrão seja
configurada para “Negar tudo”. Mas atenção. Antes de fazer esta configuração, algumas
regras básicas devem ser criadas, como as que liberam o acesso ao próprio Nettion.
A polı́tica padrão de acesso pode ser:
• Negar tudo, barrando qualquer acesso não liberado nas regras;
• Permitir tudo, barrando somente o que foi definido nas regras. Originalmente a
polı́tica está definida como Permitir tudo, a fim de que o usuário tenha acesso ao
R e possa cadastrar as regras necessárias aos seus acessos. Somente após
Nettion
efetuar esse processo, é que se deve alterar a polı́tica padrão para Negar tudo:
79
80
CAPÍTULO 8. FIREWALL
Figura 8.1: Configuração da polı́tica padrão do Firewall
8.2
Regras
R é analisado pelo filtro de pacotes, que o
Cada pacote1 que trafega através do Nettion
abre e extrai informações como IP de origem, destino do pacote, portas, etc., verificando
se estas informações batem com alguma regra cadastrada no firewall. Caso sim, o firewall
toma a ação que a regra diz (bloqueia, aceita ou audita). Caso não haja uma regra
especı́fica no firewall que trate este pacote, será utilizada a polı́tica padrão definida no
R para este fluxo, que pode ser Permitir tudo ou Negar tudo.
firewall do Nettion
8.2.1
Incluindo uma nova regra
R faz-se necessário que
Para que o usuário possa incluir as regras do firewall do Nettion,
os objetos a serem utilizados tenham sido previamente cadastrados. É aconselhável que se
R já disponibiliza
tenha traçado um esboço das regras que serão cadastradas. O Nettion
a grande maioria dos serviços que você precisará na configuração do firewall, mas você
também tem liberdade para adicionar novos, caso seja necessário. Para efetuar a inclusão
de uma regra, clique no botão Incluir, no menu Firewall > Regras, e preencha os
campos solicitados:
Definições Básicas da Regra
• Descrição: uma descrição da regra, como por exemplo: Acesso VNC ao Micro01;
• Ação: indica a ação que o firewall tomará sobre os pacotes tratados por esta regra,
que podem ser:
– Permitir Libera o tráfego;
– Negar Bloqueia o tráfego;
– Auditar Gera registros sobre as conexões tratadas pela regra. É especialmente
útil quando se deseja descobrir as portas utilizadas por um determinado serviço.
Todo o tráfego auditado pode ser visto através do Relatório do Firewall.
• Pos: a posição na lista de regras. As regras são processadas sequencialmente e a
ordem, nesse caso, é importante, pois uma vez que um pacote é abrangido por uma
regra, a ação desta é tomada e ele não é mais processado pelas regras seguintes2 ;
1
Os dados numa rede IP são enviados em blocos referidos como pacotes ou datagramas (os termos são basicamente
sinônimos no IP, sendo utilizados para os dados, em diferentes locais nas camadas de IPs)
2
Caso algum pacote seja tratado por uma regra cuja ação seja Auditar, ele continua até que seja tratado por alguma
outra regra de Permitir ou Negar ou pela polı́tica padrão
8.2. REGRAS
81
• Status: define status da regra como ativa ou inativa.
Figura 8.2: Definições básicas da regra de Firewall
Após preencher esse formulário, clique em Avançar e escolha os horários nos quais esta
regra deve atuar, como mostrado na figura 8.2 acima:
Horários
Se você deseja que a regra sempre atue, escolha Qualquer (opção padrão). Você também pode usar os objetos do tipo “Horário” para determinar quando a regra deve atuar.
Definido quando a regra deve atuar, clique em Avançar e vamos configurar a regra propriamente dita.
Figura 8.3: Definição do horário de aplicação da regra
82
CAPÍTULO 8. FIREWALL
Seleção de objetos para aplicação da Regra
Em “Filtros de Origem > Hosts”, você definirá a partir de qual ou quais hosts ou
redes a conexão será iniciada. Para fazer a seleção, selecione os objetos desejados da caixa
de seleção à direita (lista de objetos de Hosts e Redes precadastrados), transferindo-os
para a caixa à esquerda. A transferência pode ser feita clicando-se duas vezes no objeto
desejado ou utilizando os controles entre as caixas.
Para especificar que não importa a origem dos pacotes, ou seja, de qualquer Host/Rede
de origem, deixe a caixa de seleção da esquerda vazia.
Para especificar que é o Nettion, utilize o objeto especial chamado “localhost”.
Dica: Caso você esteja utilizando o Browser Mozilla Firefox ou Internet Explorer a partir da versão 7.0, é possı́vel obter maiores informações sobre os
objetos durante a criação da regra. Para isso, basta posicionar o mouse sobre
o objeto desejado, como mostrado na figura 8.4 abaixo.
Figura 8.4: Informações sobre os objetos
Em “Filtros de Destino > Hosts” você selecionará os hosts ou redes de destino da
conexão, ou seja, aqueles que receberão a conexão.
Para especificar que não importa o destino dos pacotes, ou seja, deixe a caixa de seleção
da esquerda vazia.
Para especificar que é o Nettion, utilize o objeto especial chamado “localhost”.
Em “Filtros de Destino > Serviços” você selecionará qual ou quais serviços serão
acessados no destino da conexão. Por padrão o Nettion oferece uma lista de serviços Predefinidos com os principais serviços, mas você pode criar seus próprios no menu Objetos
> Serviços > Personalizados.
8.2. REGRAS
83
Figura 8.5: Seleção de objetos para aplicação da regra
Configurações Avançadas
Caso você esteja fazendo uma regra de redirecionamento de pacotes, ou queira aplicar
outras configurações à sua regra, antes de “Concluir” clique no botão “Configurações
Avançadas”.
Figura 8.6: Configurações avançadas da regra
Nesta seção, você poderá:
• Otimizar o tráfego: Esta opção permite que o tráfego tratado por esta regra seja
otimizado. A otimização é feita através da configuração de um cabeçalho especial dos
pacotes (TOS - Type Of Service) que tem a função de especificar uma das seguintes
configurações:
– Minimiza Custo
– Maximiza a confiabilidade
84
CAPÍTULO 8. FIREWALL
– Maximiza Throughput
– Minimiza Delay
• Redirecionar este tráfego para outro host: utilize esta opção quando você
estiver criando uma regra de redirecionamento de pacotes, por exemplo, redirecionando as conexões de VNC que chegarem ao Nettion para um host especı́fico da sua
rede. Observação importante: Caso a sua intenção seja fazer o redirecionamento do
serviço que chegar ao Nettion para outro host, sem alterar as portas de desntino,
deixe o campo Porta vazio. Caso não, indique um número de porta diferente.
• Auditar este tráfego: permite que o tráfego tratado por esta regra seja auditato.
Isso vai fazer com que o Nettion gere registros das conexões que poderão ser acessados
através dos Relatórios do Firewall.
• Mascarar dinamicamente este tráfego quando necessário: esta opção faz com
que o Nettion aplique o NAT (Network Address Translation) nos pacotes tratados
por esta regra, quando necessário. Isso ocorre, por exemplo, quando um host da rede
interna, com um IP privado, precisa acessar um serviço diretamente na Internet.
• Estado estabelecido e/ou relacionado no retorno da conexão: Esta opção
permite tratar o estado da conexão (Stateful Firewall ). Quando marcada, vai permitir que somente os hosts de origem iniciem a conexão em direção aos hosts de destino
da regra. Quando houver a necessidade de deixar que ambos os lados (Origem e
Destino) originem a conexão, como entre duas redes de uma VPN, desmarque esta
opção.
Dica: durante a inclusão das regras, é importante que você avalie se a nova
regra se encaixa com alguma já criada. Caso sim, basta você editar a regra
existente e incluir os objetos desejados. Isso vai fazer com que seu Firewall
fique mais organizado, facilitando sua manutenção.
8.3
Regras básicas do Firewall
A configuração do Firewall requer a análise detalhada do ambiente para que todo o
tráfego necessário seja contemplado através de suas regras. Seguem abaixo algumas regras
básicas, que são úteis na maioria dos ambientes.
8.3.1
Acesso ao Nettion
É necessário que você crie uma regra que o permita acessar a interface de administração
do Nettion. A liberação desta regra pode ser feita apenas para um IP fixo na rede, o da
máquina do administrador, ou para toda a rede interna, com destino ao Nettion. Segue
um resumo da regra a ser criada na tabela 8.1 (página 85).
Obs: como comentado anteriormente, o objeto especial “localhost” referencia o próprio
Nettion.
8.3. REGRAS BÁSICAS DO FIREWALL
Regra: Administração do Nettion
Origem
Destino
Serv. Destino Ação
http
Host Administrador localhost
Aceitar
https
ssh
Tabela 8.1: Liberação do acesso ao Nettion
8.3.2
Acesso Nettion -> Internet
Na maioria dos casos, o Nettion é utilizado com a função de Proxy da rede. Isso requer
que o Nettion acesse alguns serviços na Internet, como DNS, HTTP e HTTPS. Veja um
resumo da regra a ser criada na tabela 8.2 abaixo.
Regra: Nettion -> Internet
Origem
Destino
Serv. Destino Ação
http
localhost Qualquer
Aceitar
https
dns
Tabela 8.2: Liberação Nettion -> Internet
8.3.3
Resolução de nomes para a rede interna
Na maioria das vezes, o Nettion é responsável pela resolução de nomes na Internet para
as máquinas da rede interna. Para isso, segue o resumo da regra a ser criada na tabela
8.3 a seguir.
Regra: DNS para Intranet
Origem
Destino
Serv. Destino Ação
Rede Interna localhost dns
Aceitar
Tabela 8.3: Liberação do DNS para Rede Interna
OBS.: Lembramos que estas são dicas de regras básicas do firewall, que podem
e devem ser complementadas, porém, existem ainda muitas outras regras que
devem ser criadas para tornar o seu firewall realmente eficiente. Tais regras
dependem de alguns fatores como:
•
•
•
•
Polı́tica de Segurança da Empresa;
Serviços e Aplicativos externos utilizados;
Serviços e Aplicativos internos a serem acessados externamente;
Etc.
Exemplos de outras regras poderão ser encontradas neste documento nas configurações de outros módulos do Nettion, como Proxy e VPN.
85
86
CAPÍTULO 8. FIREWALL
8.4
Relatórios
Através do relatório do Firewall você terá acesso aos registros gerados pelas regras de
Auditoria do seu Firewall. Os filtros de pesquisa permitem que você faça o filtro tanto por
uma regra especı́fica de auditoria, quanto por uma seleção avançada de hosts e serviços.
Figura 8.7: Relatórios do Firewall
Capı́tulo 9
VPN
A VPN (Virtual Private Network ou Rede Privada Virtual) envolve a utilização da internet como meio seguro de comunicação entre dois pontos. Para garantir a segurança no
R através
tráfego das informações pelo meio público que a internet representa, o Nettion,
de sua funcionalidade de VPN, cria um túnel de comunicação entre os dois pontos pelo
qual os dados trafegados são criptografados. Isso quer dizer que somente os dois pontos
terão a chave de descriptografia e de interpretação dos dados recebidos.
R possui quatro tipos de VPN:
O Nettion
• PPTP
• IPSec Chave Pública RSA
• IPSec Chave Compartilhada PSK
• OpenVPN (Plugin)
9.1
VPN PPTP
O protocolo PPTP permite estabelecer a conexão de 1 host pertencente a internet à
R Sua criptografia é média ou baixa, dependendo do
rede local controlada pelo Nettion.
cliente utilizado. Em sistemas operacionais Windows, com a versão igual ou posterior a
2000, estabelecem-se conexões de criptografia média de 128 bits. Em clientes Windows
98, estabelecem-se conexões com 40 bits de criptografia.
Um caso de uso comum se apresenta quando o usuário quer ter acesso à rede da empresa,
R a partir de uma conexão discada (DialUP) ou ADSL.
controlada pelo Nettion,
Atenção: para utilização da VPN-PPTP, é necessário que o administrador inclua no
firewall as regras para prever o acesso. Faça uso do objeto pré-definido pptp. Segue um
resumo da regra necessária na tabela 9.1.
Regra: Liberação da VPN PPTP
Origem
Destino
Serv. Destino Ação
Qualquer localhost pptp
Aceitar
Tabela 9.1: Liberando VPN PPTP
87
88
CAPÍTULO 9. VPN
9.1.1
Configurações
Para configurar o servidor de VPN - PPTP, acesse VPN > PPTP > Configurações.
A tela de configurações será exibida, como mostra a figura 9.1 abaixo.
Figura 9.1: Configurações da VPN PPTP
• Interface de Funcionamento: Indique a interface de rede pela qual o servidor irá responder por requisições PPTP. Normalmente será a interface de rede que se conecta a
Internet (com IP público) ou Todas, para qualquer interface. Ex.: eth0(200.200.200.200);
• IP do Servidor: IP que será o Gateway do cliente PPTP após a conexão. Ex.:
128.0.0.1
• Intervalo de IPs dos clientes: range (faixa) de IPs que será fornecido aos clientes
da VPN. Ex.: 128.0.0.11-20. O administrador deverá cadastrar os usuários que
utilizarão a VPN PPTP, que chamaremos de clientes, podendo atribuir ao cliente
um IP, que será selecionado para os que necessitem de um tratamento diferenciado
quanto ao firewall a cada conexão. Ou, pode permitir que o servidor PPTP atribua
um dos IPs dentro do range, informado na configuração do servidor disponı́vel no
momento da conexão.
Importante: Para que os clientes PPTP possam acessar a sua rede e para que também
possam ser acessados, é necessário que se faça uma regra liberando este tráfego. Veja o
resumo de uma regra para o exemplo onde a rede VPN e a rede interna estão na rede
128.0.0.0/24 na tabela 9.2 (página 89), considerando que:
• Rede Interna: Objeto de Host/Rede configurado para 128.0.0.0/24;
• Qualquer: Qualquer serviço possa ser acessado entre as redes. Escolha os serviços
especı́ficos caso necessário.
Obs: Para permitir que a conexão possa ser iniciada a partir de ambos os lados, desmarque a opção Estado estabelecido e/ou relacionado no retorno da conexão nas
configurações avançadas desta regra.
A exibição da lista de clientes cadastrados pode ser ordenada pela coluna: Login ou
Nome ou Descrição. O cliente deve clicar sobre a coluna especı́fica para que o sistema
alterne a exibição e a ordenação dos itens da tabela. Será possı́vel utilizar a barra de
rolagem para navegar entre os itens da tabela.
9.1. VPN PPTP
89
Regra: Liberação da VPN PPTP
Origem
Destino
Serv. Destino Ação
Rede Interna Rede Interna Qualquer
Aceitar
Tabela 9.2: Liberando tráfego rede interna ↔ rede VPN
9.1.2
Manutenção do cadastro de clientes para VPN PPTP
A manutenção do cadastro de clientes PPTP segue ao padrão estabelecido anteriormente.
Para clientes PPTP deverão ser preenchidos os seguintes campos:
Figura 9.2: Adicionando/Editando usuários PPTP
• Usuário: login do usuário. Ex.: João
• Senha: senha de autenticação. Ex.: senhapptp
• Confirmação: confirmação da senha. Ex.: senhapptp
• IP: IP que a máquina externa deste cliente irá receber ao fechar VPN com o Nettion.
Caso seja preenchido este campo com um asterisco (*), o cliente receberá um dos IP
existentes dentro do Range (faixa) de IP disponibilizado pelo Servidor. Caso seja
especificado um IP, este cliente sempre receberá este IP ao conectar-se. Para uma
maior segurança indicamos que o IP seja fixo. Ex. 1: * Ex. 2: 128.0.0.11
Conexões Ativas
R possibilita que o administrador tenha conhecimento sobre quais conexões esO Nettion
tão ativas no momento da consulta. Estas informações estarão disponı́veis nos relatórios
posteriores.
Relatórios
Nesta seção, o administrador poderá visualizar relatórios sobre as conexões PPTP realizadas.
90
CAPÍTULO 9. VPN
Figura 9.3: Relatório de conexões realizadas.
Conexões O administrador poderá efetuar o acompanhamento dos acessos feitos via
PPTP, facilitando o gerenciamento da rede. É possı́vel ainda que o administrador desconecte manualmente um usuário conectado clicando no botão “Stop”, conforme mostrado
na figura 9.4 a seguir.
Figura 9.4: Listagem de conexões ativas
9.2
VPN IPSec
O IPSec é um dos protocolos mais seguros que existem para o estabelecimento VPN’s
através de redes públicas de comunicação. Este fato dá-se pelo uso dos mais fortes algoritmos públicos de criptografia, com nı́veis de segurança configuráveis pelo administrador.
Atenção: para a utilização da VPN-IPSec é necessário que o administrador inclua no
firewall regras para prever seu acesso. Segue um resumo da regra a ser criada na tabela
9.3 (página 91).
9.2. VPN IPSEC
91
Regra: Liberando IPSec
Origem
Destino
Serv. Destino Ação
Localhost Qualquer ipsec
Aceitar
Tabela 9.3: Liberando IPsec
Além desta regra, é necessário fazer uma regra que libere o tráfego entre as redes conectadas via IPSEC. Segue um resumo da regra a ser criada para este fim na tabela 9.4
abaixo, considerando que:
• Rede Local: Objeto de Host/Rede previamente configurado com o IP da sua rede
local;
• Rede Remota: Objeto de Host/Rede previamente configurado com o IP da rede
remota;
• Qualquer Serv: considerando que qualquer serviço estará disponı́vel entre as redes.
Escolha os serviços especı́ficos caso necessário.
Obs: Para permitir que a conexão possa ser iniciada a partir de ambos os lados (rede
local e rede remota), desmarque a opção Estado estabelecido e/ou relacionado no
retorno da conexão nas configurações avançadas desta regra.
Regra: Liberando tráfego dentro da VPN
Origem
Destino
Serv. Destino Ação
Rede Local Rede Remota Qualquer
Aceitar
Tabela 9.4: Liberando Tráfego dentro da VPN
9.2.1
Configurações
Chaves de Autenticação e Criptografia
Existem 2 tipos possı́veis de chave:
R para estabelecer a VPN, abra uma janela
DICA: caso você esteja utilizando 2 Nettions
do browser através de conexão segura com cada um dos lados. Desta forma, fica mais
simples configurar sua VPN.
Chave PSK O sistema de autenticação sob chave PSK consiste em uma única chave,
compartilhada entre os 2 lados da VPN, que promove o sistema de criptografia, descriptografia e autenticação.
Vantagens:
• Por utilizar o protocolo IPSec, projetado especificamente para o tráfego seguro de
R se torna uma
informações através do protocolo TCP/IP, a VPN IPSec do Nettion
das mais seguras escolhas para o tráfego de informações;
• O sistema PSK é mais simples de ser configurado que o de dupla chave RSA. Porém,
o nı́vel de criptografia e segurança é mais baixo;
92
CAPÍTULO 9. VPN
R da
• Compatibilidade total com outros sistemas de VPN PSK, como o Raptor
R
Symantec.
Desvantagens:
• Não suporta NAT;
• Menos seguro que o sistema RSA.
Precauções:
• Não utilize chaves humanamente compreensı́veis;
• Não forneça sua chave para o outro lado da VPN por e-mail, mensagens instantâneas
ou outros meios públicos de comunicação. Utilize ssh, https ou outro meio seguro
de transferência de mensagens. Caso você utilize um disquete ou CDROM para o
transporte da chave, destrua-o;
• Não revele sua chave para ninguém;
• Gere chaves seguras, com mais de 128bits.
Chave RSA O sistema de autenticação sob chaves RSA consiste em 2 chaves, uma
pública e uma privada, que promovem o sistema de criptografia, descriptografia e autenR
ticação. Esta configuração requer a geração da chave secreta, que o próprio Nettion
tem capacidade para fornecer. A chave secreta possui um altı́ssimo nı́vel de criptografia
(ex.: 2048bits ou 4096bits), configurável pelo administrador, que garante um altı́ssimo
nı́vel de segurança nas transações .
Vantagens:
• Por utilizar o protocolo IPSec, projetado especificamente para o tráfego seguro de
informações através do protocolo TCP/IP, a VPN IPSec se torna uma das mais
seguras escolhas para o tráfego de informações;
• O sistema RSA é extremamente seguro;
• Sistema utilizado há muitos anos, com uma base sólida de teste de segurança e
usabilidade.
Desvantagens:
• Não suporta NAT;
Precauções:
• Não forneça sua chave para o outro lado da VPN por e-mail, mensagens instantâneas
ou outros meios públicos de comunicação. Utilize ssh, https ou outro meio seguro
de transferência de mensagens. Caso você use um disquete ou CDROM para o
transporte da chave, destrua-o;
• Não revele sua chave para ninguém;
9.2. VPN IPSEC
93
Configurações Gerais
Para configurar o servidor de VPN - IPSec, acesse VPN > IPSEC > Configurações.
A tela de configurações será exibida, como mostra a figura 9.5 a seguir.
• Interface de Funcionamento: Interface pela qual o servidor irá se conectar. Normalmente será a interface de rede que se conecta a Internet (com IP público). Utilize a
opção “Rota Padrão” caso o seu Link com a Internet possua um IP público dinâmico
(variável).
• Tipo de Encriptação: tipo de chave que será utilizada para encriptação: 3des, 3desmd5-96 ou 3des-sha1-96 Ex.: 3des-md5-96
• Regerar chave secreta (somente RSA): marcando o campo SIM será regerada a
chave de encriptação demonstrada no campo Chave Pública.. Será ativado o
campo Tamanho, em que o administrador poderá especificar o tamanho da chave
que deseja utilizar em bits (512, 1024, 2048, etc.).
• Chave Pública(somente RSA): chave gerada pelo Nettion para este servidor.
Figura 9.5: Configurações do servidor IPSEC
9.2.2
Conexões
Neste módulo, o administrador irá cadastrar e controlar as conexões de VPN - IPSec. É
apresentada ao administrador uma lista de conexões já cadastradas. Para cada conexão
listada, há um indicador de Status que poderá estar verde (ativo) ou vermelho (inativo),
de acordo com o estado da conexão, e um botão Start ou Stop, que deve ser acionado
com um clique para iniciar ou parar a conexão de acordo com o seu estado. São listados
94
CAPÍTULO 9. VPN
em cada conexão: seu nome, a rede A e seu Gateway, a rede B e seu Gateway, o Status
da conexão e o botão Ação (Start ou Stop) .
Atenção: Antes de iniciar a sua conexão, certifique-se que o serviço VPN IPSec no menu
Sistema->Serviços. Lembre-se também de ter marcado como Auto para que o Nettion
inicie o serviço no boot da máquina.
Figura 9.6: Listagem de conexões IPSEC
A exibição da lista de conexões cadastradas pode ser ordenada por qualquer uma das
colunas exibidas. Para que o sistema alterne a exibição e a ordenação dos itens da tabela
o usuário deve clicar sobre a coluna especı́fica. A barra de rolagem poderá ser utilizada
para navegar entre estes itens.
Manutenção do cadastro de conexões
A manutenção do cadastro de conexões segue ao padrão estabelecido anteriormente. Para
novas conexões, deverão ser preenchidos os campos a seguir. Para facilitar o entendimento,
identificamos como “A” e “B” os dois lados que fecharão a VPN.
• Nome: indique um nome com o qual você deseja identificar a conexão. Ex.: Filial 1
• Gateway A: Endereço IP da máquina que servirá de gateway, ou seja, a máquina que
R
se interligará com a outra rede. Ex.: 200.253.5.10 (Geralmente o próprio Nettion).
O administrador possui 3 opções neste item: IP, Qualquer, Default Route. IP:
R possui um IP Válido e Fixo de saı́da. Ex: Link IP Telequando o Nettion
mar, Link Embratel; Qualquer: quando no lado (A) da VPN, nesta mesma posição,
for cadastrada a opção Rota Padrão, no lado (B) da VPN será cadastrado Qualquer. Ex.: conexão entre um Nettion com IP Fixo aceitando uma conexão com um
R com IP dinâmico. Rota Padrão: quando o administrador for realizar a
Nettion
configuração de uma VPN utilizando um link com IP Dinâmico, é impossı́vel deterR e, conseqüentemente, seu Gateway. Neste caso,
minar qual será o IP do Nettion
será marcada a opção “Rota Padrão”. Ex: configuração de VPN utilizando ADSL,
Cable.
• Rede A: rede que irá fazer parte da conexão e que, portanto, estará acessı́vel pela
outra ponta (Rede B). Ex.: 128.0.0.0/16
R que atua como Gateway A. Ex.: 200.253.5.9
• NextHop A: saı́da padrão do Nettion
(gateway do Nettion). Caso esteja cadastrando dados de uma VPN que utilize IP
Dinâmico, esta opção será desabilitada, pois seria impossı́vel determinar o Gateway
R de forma estática.
do Nettion
9.2. VPN IPSEC
• Chave gateway A: chave de comunicação do Gateway A
Exemplo:
0sAQO7tMehTP69r+Pr4PSTUmiYMDLQ4Lf70kWBgbhf+hhBKuh7Dk4XRNZcn8AYL15Pmig
hjuUoAhJEQWW1VzsdzmQosWAh6URQpQmYQ+bwymJpFAVTBFEgaJo6r+vP0Irn7/FhI41I
tnioJ7rCpEKtq4lfDEe0K5MDeNK6za+Rx4WEO8Dr8kjR0ePK9uPzb1xEwEizrIBUZfm4h
BXVI/7LKXZG1Hf9Ouc6RKhPXlN/HkhIC2s0m61TIwTzqHwx+Qd48B7oITZslcmsOkK2Wl
JjZgq+5dPZQnHjoXsAuNJaNVXkQZFMNQziwznFJ7D2D1qfuVIzeVYgLso6yBJgW+QG7ush
• Gateway B: endereço IP da máquina que servirá de gateway, isto é, interligação com
outra rede. Ex.: 200.195.152.2
• Rede B: rede que irá fazer parte da conexão e que, portanto, estará acessı́vel pela
outra ponta (Rede A). Ex.: 192.168.1.0/24.
• NextHop B: saı́da padrão do Nettion que atua como Gateway B. Ex.: 200.195.152.1
. Veja o item NextHop A.
• Chave gateway B: Chave de comunicação do Gateway B
Exemplo:
0sAQPZfUID9sYTuasmkJYfU8JmpKwphyfxT0NtUmzTT6S58FXla6qEFJrv9JgIHFtp8Dl
h6wHa6a9069bHg+MZX3GLtb4ynGaFtVsqvuNx9aVgnuliunxaXwsq2zShTBBgrCTed5o9
YBMms1ItdxI6Pu5oeD1JrzQkI5J0b0qo3ukx07nqwUmDJRVHfL1zgbVeeTmn86LmhuMYp
zwcBdBB5RZae8xnL0roUN7XUnjOg2VeHWVUk9giwS628KKLbclWIBcl8hIn1xc30qzrjl
vqPAZggNGNt3w85925oxPRn+UvXNkadxfOxKeoF8DyLsrbvl61RAq7erQWyNVUvCz
• Conexão: se a conexão será ativada manualmente ou automaticamente. Configure
esta opção para Auto para que a VPN seja sempre reiniciada automaticamente. Ex.:
Auto.
• Status da conexão: se a conexão está ativa ou não.
Obs: o Administrador poderá importar a chave do Nettion que estiver sendo configurado
dando um clique no botão IMPORTAR MINHA CHAVE PÚBLICA
Dicas de Configuração:
R abra uma janela do browser para
• 1. Ao configurar uma VPN entre 2 Nettions,
cada um deles;
• 2. As configurações dos 2 lados serão totalmente IDÊNTICAS, salvo em casos de
utilização de IPs dinâmicos. Isto quer dizer que, se o administrador cadastrar os
R 1 como sendo o Nettion
R (A) da configuração, quando ele for
dados do Nettion
R 2, as informações serão idênticas, inclusive no
realizar a configuração do Nettion
R 1 como sendo o lado (A);
posicionamento, tendo o Nettion
• 3. Em configurações tendo Nettion 1, lado (A) , IP Fixo e o Nettion 2, lado
(B), IP Dinâmico, obrigatoriamente o lado (B) terá como gateway a marcação do
item Rota Default. Seguindo a dica do item anterior, o administrador é levado a
R Porém, esta
configurar o mesmo item, na mesma posição, em cada um dos Nettion.
R 2, nos itens de configuração do
é a única exceção à regra. Observando o Nettion
lado (B), o administrador irá configurar o item Rota Default. Ao olhar esta mesma
configuração, na mesma posição, no lado (A), o administrador terá que configurar
o item Qualquer. Obs: sempre que houver uma configuração de VPN entre um
95
96
CAPÍTULO 9. VPN
IP Fixo e um IP Dinâmico, os campos correspondentes ao IP fixo serão idênticos
R
em ambos os Nettions.
Porém, os campos de configuração correspondentes ao
R com IP dinâmico, veremos
lado do IP Dinâmico irão ser diferentes: no Nettion
R com IP Fixo, veremos marcado o
marcado o item Rota Default, e no Nettion
item Qualquer;
• 4. O Nettion possibilita que ambas as conexões (Nettion A e Nettion B) possuam IPs
Dinâmicos, do tipo ADSL, por exemplo. Para isso é necessário fazer as configurações
utilizando o nome do host e não o IP. Como o IP é variável, utilize o serviço de DNS
Dinâmico do Nettion e para cada Nettion associe um nome DNS. Uma vez feita
as configurações, o Nettion tratará de manter a conexão ativa mesmo que os IPs
variem.
Figura 9.7: Incluir/Editar de Conexão IPSEC
9.3. OPENVPN
9.3
OpenVPN
A documentação do NettionPlug OpenVPN encontra-se no item 15.5 do Capı́tulo 15 sobre
NettionPlugs, na página 152. Leia também sobre o que são NettionPlugs no Capı́tulo
15 na página 141.
97
98
CAPÍTULO 9. VPN
Capı́tulo 10
NIDS
O sistema de detecção de tentativa de invasão (Network Intrusion Detection System) do
R trabalha investigando se existe alguém tentando aplicar algum dos mais de
Nettion
1.600 tipos de tentativas de invasão, catalogados no Nettion, através de sua conexão.
R enviará um e-mail para o administrador
Uma vez detectada a tentativa, o Nettion
notificando o acontecimento e registrará o fato em um log referente ao NIDS.
10.1
Configurações
Define as informações referentes ao sistema de detecção, que podem ser:
• Interface, utilizada para monitorar o tráfego;
• IPs e redes que são monitorados por ataques;
• Filtros por assinaturas etc.
A atualização das assinaturas é feita através do sistema de atualização (Update) do
R Verifique as novas versões do software no módulo do sistema.
Nettion.
10.1.1
Seleção de Interfaces
O administrador pode selecionar qual interface deseja monitorar referente a detecção de
tentativas de invasão. Caso deseje monitorar todas, não será necessário clicar individualmente em cada uma delas. Basta clicar na opção “Todas”, como mostra a figura abaixo.
Figura 10.1: Seleção de Interfaces do NIDS
99
100
CAPÍTULO 10. NIDS
10.1.2
Objetos
R para que o administrador
É apresentada uma lista de objetos cadastrados no Nettion
classifique quais são confiáveis e quais serão monitorados. Ao selecionar um objeto para
ser monitorado, todo o tráfego referente ao item escolhido será analisado. Após realizar as
alterações desejadas, é necessário clicar no botão “Salvar alterações”para que estas surtam
efeito.
Figura 10.2: Seleção de Objetos a serem Monitorados
10.1.3
Configuração do PortScan
O administrador deve especificar aqui o número de portas e o intervalo de tempo necessários
para considerar um portscan vindo de uma mesma máquina. Esta configuração é válida
tanto para pacotes UDP como TCP.
O valor padrão é a detecção de quatro portas, num intervalo de três segundos, para
a caracterização de um portscan. Aqui, o administrador pode aumentar ou diminuir
a sensibilidade do NIDS para a detecção das tentativas de invasão. Para aumentar a
sensibilidade, basta diminuir o número de portas por intervalo de tempo. Para diminuir,
aumente o número de portas por intervalo de tempo, como mostra a figura 10.3 abaixo.
Em seguida, clique no botão “Salvar Configurações”.
10.1. CONFIGURAÇÕES
101
Figura 10.3: Configuração do PortScan do NIDS
10.1.4
Detecção de Assinaturas
R possui cadastradas mais de 1.600 tipos de tentativas de invasão, que estão
O Nettion
separadas por tipos e são exibidas quando o administrador clica no campo “Tipos de
Assinaturas”. Como alguns exemplos de tipo de assinaturas, podemos citar: Backdoors,
Dos, Exploit, WEB IIS etc.
Ao clicar em um destes tipos de assinaturas, será ativado o botão “Ativar/Desativar
Assinaturas”. Ao clicar neste botão, será apresentada uma lista das assinaturas, referentes
ao item selecionado (Ex.: “WEB IIS”), ao administrador. Este, por sua vez, selecionará
as assinaturas que considerar importantes para que o NIDS monitore. Como mostra a
figura 10.4 abaixo.
Figura 10.4: Seleção de Assinaturas do NIDS
Ao final das listas, há um botão que seleciona todas as assinaturas referentes ao item
(Ex.: WEB IIS). Portanto, caso deseje marcar todas, não é necessário selecionar uma a
uma.
Esta configuração influencia diretamente a performance por isso, deve ser feita com muito
cuidado e consciência.
10.1.5
Alerta por e-mail
Especifique a freqüência caso queira receber notificações de alertas por e-mail. Para
desabilitar essa opção, especifique a freqüência de envio para “Nenhuma”e salve a configuração.
102
CAPÍTULO 10. NIDS
Figura 10.5: Configuração de Alertas via E-mail
10.1.6
Relatórios
Exibe relatórios dos alertas e tentativas de invasão com detalhes sobre os pacotes capturados: IPs de origem e destino, protocolo, portas e etc.
10.1.7
Alertas
O administrador pode visualizar as últimas assinaturas detectadas e também os portscans
realizados.
Lista de informações gerais a respeito da configuração do NIDS:
• Assinaturas ativas: informa a quantidade de regras ativas e o total de regras existentes. Ex.: 721 de 1601
• Assinaturas detectadas: exibe a quantidade de assinaturas ativas que foram detectadas pelo NIDS em sua conexão Ex.: 101
• PortScan detectados: número de portscan que foram detectados pelo NIDS. Ex.:
247
• Data do último alerta: data e hora no qual foi gerado o último alerta. Ex.: 21/12/2002
- 14:27:13
10.1.8
Últimas assinaturas
Aqui o administrador visualiza, página por página, os últimos alertas por assinaturas,
especificando os seguintes campos:
• Assinatura: assinatura a qual o alerta faz referencia. Ex.: WEB-PHP contentdisposition
• IP Origem: IP que originou o alerta. Ex.: 10.0.3.30
• PO: porta de origem da máquina de onde partiu a tentativa de acesso. Ex.: 6040 IP
• Destino: IP que se destina à conexão. Ex.: 10.0.3.12
• PD: porta de destino para onde se direcionava o acesso. Ex.: 80
10.1. CONFIGURAÇÕES
• Protocolo: tipo do protocolo utilizado para acesso. Ex.: TCP
• Hora e Data: hora e data na qual o NIDS registrou o alerta. Ex.: 16:20:47 07-04-2003
Figura 10.6: Relatório de Assinaturas Detectadas
O administrador pode selecionar a quantidade de alertas que deseja visualizar por página
através da alteração do campo “Lista com intervalo de 15 alertas”, que por padrão apresenta 15 alertas. Caso o administrador deseje incluir um dos IPs apresentados na lista
aos IP bloqueados, ele deve clicar sobre o IP desejado e confirmar o bloqueio no quadro
que solicitará confirmação.
Últimos PortScans
Este relatório mostra especificações sobre os portscans realizados: IP de origem, quantidade de conexões por host, protocolos utilizados e hora e data do portscan. Clicando em
um dos itens da lista, será solicitada ao administrador a confirmação de inclusão do IP
de origem do portscan na lista de IPs bloqueados, como mostra a figura 10.7 abaixo.
Figura 10.7: Relatório de PortScans Detectados
103
104
CAPÍTULO 10. NIDS
10.1.9
IPs Bloqueados
Exibe uma lista com os IPs bloqueados através da interface web do NIDS. Os IPs conR seja ele em qualquer direção,
tidos nesta lista não terão acesso nenhum ao Nettion,
passando por qualquer interface. Através desta lista, também é possı́vel a remoção de
IPs bloqueados.
Obs.: os IPs serão bloqueados somente se o Firewall estiver ativo.
Lista de IP bloqueados por data de inclusão (Figura 10.8 abaixo):
Figura 10.8: Relatório de IPs Bloqueados
Capı́tulo 11
DHCP
R pode ser configurado para distribuir os endereços de IP’s
O servidor DHCP do Nettion
das estações de uma ou mais redes ligadas a solução, permitindo tratar de forma diferente
cada uma delas.
11.1
Configurações
11.1.1
Configurações Globais
Para configurar o servidor DHCP do Nettion, acesse DHCP > Configurações. Na tela
que será exibida os campos devem ser preenchidos conforme a descrição abaixo:
Figura 11.1: Configurações Globais do Servidor DHCP
• Domı́nio: especificar o domı́nio o qual ao DHCP responderá. Ex.: ficticia.com.br
• DNS Primário: servidor de nomes primário. Ex.: 128.0.0.1
• DNS Secundário: servidor de nomes secundário. Ex.: 128.0.0.2
• Gateway padrão: máquina de saı́da da rede. Ex.: 128.0.0.1
• Máscara da Rede: máscara da rede a qual o IP do servidor DHCP pertence. Ex.:
Classe B padrão /16.
105
106
CAPÍTULO 11. DHCP
11.1.2
Interface
Ainda na tela de configurações globais, selecione as interfaces que respoderão por requisições DHCP na sua rede, conforme mostra a figura 11.2 abaixo.
Figura 11.2: Seleção da Interface de funcionamento do DHCP
11.2
Hosts
Esta seção permite que o administrador associe endereços IP a mac addresses da rede,
fazendo com que determinadas máquinas recebam sempre o ip indicado. É especialmente
útil quando se deseja fazer regras especı́ficas para alguns IPs da rede.
A exibição da lista de hosts cadastrados pode ser ordenada pela coluna: “host”ou“endereço
IP”. Para que o sistema alterne a exibição e a ordenação dos itens da tabela, é necessário,
somente, que o usuário clique sobre a coluna especı́fica. O usuário poderá utilizar a barra
de rolagem para navegar entre os itens da tabela.
11.2.1
Manutenção do cadastro dos Hosts
A manutenção do cadastro dos hosts segue ao padrão estabelecido anteriormente. Para
hosts, deverão ser preenchidos os seguintes campos:
Figura 11.3: Inclusão de Novo Host
11.3. REDES
107
• Nome do host: descrição do host. Ex.: Máquina do João;
• Endereço MAC: especificação do endereço fı́sico da placa (Mac-Address).
00:E0:7D:00:E3:23;
Ex.:
• Endereço IP: Endereço IP a ser fornecido;
• Rede: rede da qual o host fará parte. Ex.: 128.0.0.0.
11.3
Redes
O servidor DHCP atribuirá IP’s dentro das redes especificadas para a interface a qual
estiver direcionada.
A exibição da lista de redes cadastradas pode ser ordenada pela coluna: “rede”ou “máscara”. Para isso, o administrador deve clicar sobre a coluna especı́fica. Isso fará com que
o sistema alterne a exibição e a ordenação dos itens da tabela. O administrador poderá
utilizar a barra de rolagem para navegar entre os itens da tabela.
11.3.1
Manutenção do cadastro de Redes
A manutenção do cadastro de redes segue o padrão estabelecido anteriormente. Para
redes, deverão ser preenchidos os seguintes campos:
Figura 11.4: Especificação da Rede do DHCP
108
CAPÍTULO 11. DHCP
• IP da rede: IP da rede. Ex.: 128.0.0.0
• Máscara da Rede: máscara da nova rede. Ex.: Classe B padrão /16
• Faixa de IPs que serão distribuı́dos: faixa de IPs que será fornecida pelo Nettion.
• Inı́cio: IP inicial da faixa de IP. Ex.: 128.0.0.21
• Fim: último IP da faixa. Ex.: 128.0.0.50
• Interface: interface que responderá pelas requisições desta rede.
Caso se deseje trabalhar com os registros nas Configurações Globais do DHCP, os demais
campos não são necessários. Caso contrário, deverão ser preenchidos.
Capı́tulo 12
E-mail
12.1
Configurações
R pode também ser utilizado como o seu servidor de e-mails, fazendo todo
O Nettion
o trabalho de gerenciamento de múltiplos domı́nios e usuários, integrado com um sistema bastante robusto de antivı́rus (atualizado diariamente) e anti-spam com sistema de
aprendizado e quarentena.
Como base para este recurso, o Nettion utiliza um servidor de e-mails do Linux chamado
Qmail, bastante conhecido por sua segurança e estabilidade no gerenciamento de um
grande número de contas.
Além disso, este recurso do Nettion oferece: autenticação integrada, sistema de quota
por usuário, sistema de bloqueio de anexos de e-mails de acordo com o tamanho e a sua
extensão, sistema de auditoria, controle da fila (possibilita ao administrador acompanhar
se uma mensagem ainda não foi enviada, o motivo e até mesmo sua exclusão), sistema de
logs e quarentena, que possibilita o acompanhamento dos e-mails que foram bloqueados
por conter vı́rus, e várias outras funções que são decisivas no monitoramento do seu
servidor de e-mail.
Para o recebimento dos e-mails, os usuários tem a possibilidade de utilizar contas POP3,
R
POP3s, IMAP ou IMAPs ou até mesmo um webmail que é disponibilizado pelo Nettion.
12.1.1
Gerais
Autenticações simultâneas permitidas:
Esta opção não se refere ao modo de autenticação, já que foi previamente definido no
capı́tulo referente a Usuários e Grupos, mas sim ao número máximo de autenticações
simultâneas permitidas. Isto dependerá do número de usuários para o sistema. Quanto
maior o número de usuários, maior será o número de autenticações simultâneas. Vinte
é, comprovadamente, um valor ideal. Entretanto, o administrador poderá incrementá-lo,
ao perceber que seus usuários estão necessitando fazer várias tentativas de autenticação
no cliente de e-mail até conseguir concluir a operação, ou diminuı́-lo, para que não seja
utilizada memória sem necessidade no servidor.
Tamanho máximo permitido de anexos:
109
110
CAPÍTULO 12. E-MAIL
Figura 12.1: Email - autenticação
12.1.2
Relay
Uma das principais preocupações que um administrador de um servidor de e-mail deve
ter é não deixar que ele seja utilizado indevidamente para enviar mensagens inúteis, desagradáveis e quase sempre indesejáveis - os spams, o que geralmente é feito por algum
R permite que o administrador defina
usuário que não faz parte de sua rede. O Nettion
quais redes ou hosts terão liberdade de enviar e-mail através do seu servidor. Tecnicamente, essa permissão chama-se relay. Abrir o relay para alguém significa permitir que
determinado host ou rede envie e-mails através do seu servidor. Um sistema bem administrado, certamente, só permitirá acesso àqueles que são de direito fazê-lo. Portanto, é
necessário manter o relay fechado contra intrusos.
Figura 12.2: Relay do servidor de E-mails
12.1. CONFIGURAÇÕES
111
Temos aqui uma lista de hosts/redes com permissão para usar o servidor para envio de
mensagens. O cadastro para liberação se dá de forma simples, levando em consideração
os objetos pré-cadastrados e preenchendo um formulário como o seguinte:
À esquerda estão os hosts/redes que têm permissão e à direita estão todos os objetos
R Fazendo-se uso dos botões entre as duas janelas, de caracterı́sticas
inseridos no Nettion.
intuitivas, pode-se incluir ou excluir aqueles que terão direito de envio de mensagens
através deste servidor. Bastando, ao final de todas as alterações, clicar sobre “Salvar
Configurações” para efetivá-las.
Figura 12.3: Administração de Relays
12.1.3
Webmail
O Nettion oferece um sistema de Webmail como opção para envio/recebimento de e-mails
via Web sendo necessário para isto apenas a identificação, com uma combinação de e-mail
completo e senha do usuário. O Webmail do Nettion pode ser acessado através do seu
IP seguido de webmail, por exemplo: http://200.200.200.200/webmail.
R como
Algumas caracterı́sticas são configuráveis para personalizar o webmail do Nettion
o idioma padrão do webmail, o ı́cone que aparece na tela de login (o qual precisa conter um
endereço absoluto como o exemplificado no padrão) e o nome das pastas que guardarão
as mensagens apagadas, enviadas e os rascunhos de e-mail.
Figura 12.4: Configurações do Webmail
112
CAPÍTULO 12. E-MAIL
12.1.4
Mensagens
Nesta seção o administrador pode editar as três seguintes mensagens:
• mensagem de retorno para o remetente que tentar enviar email para usuário inválido;
• mensagem informando que o limite da quota está prestes a ser atingido
• mensagem retornada para o rementente quando o destinatário de seu email excedeu
a quota limite
Figura 12.5: Configuração de mensagens do servidor de E-mails
12.1.5
Extensões
Inicialmente, o antivı́rus deverá manter afastados os arquivos que facilmente são infectados e que podem carregar vı́rus para os clientes de e-mail. Algumas extensões, já clássicas,
podem carregar vı́rus. Em termos gerais, os arquivos chamados auto-executáveis como
os de extensão “.exe” e “.com” são os infectados com maior freqüência. Devido a maior
incidência de vı́rus e maior probabilidade de infecção em arquivos com determinadas exR impede a entrega ou saı́da de e-mails que contenham anexos com
tensões, o Nettion
tais extensões.
Figura 12.6: Lista de extensões bloqueadas
12.2. DOMÍNIOS
113
A tela de inclusão ou edição é simples e intuitiva, onde é necessário, apenas, cadastrar a
extensão propriamente dita e uma pequena descrição, como mostrado na figura a seguir:
Figura 12.7: Inclusão/Edição de extensões bloqueadas
12.2
Domı́nios
Nesta seção o admnistrador controlará os domı́nios de emails. É possı́vel criar e remover
domı́nios, bem como adicionar ou remover usuários de tais domı́nios. Observe que para
Figura 12.8: Listagem de domı́nios de E-mail
que seu domı́nio de e-mail funcione perfeitamente na Internet, é necessário que o DNS
do domı́nio esteja devidamente configurado e apontando que o Nettion será o responsável
pelos e-mails.
12.2.1
Incluir um domı́nio
Caso deseje adicionar um domı́nio, clique no botão Incluir e preencha os campos conforme
as descrições abaixo:
• Domı́nio: nome do domı́nio a ser incluso. Ex.: nettion.com.br;
• Quota: espaço máximo em disco que cada conta pode ocupar;
114
CAPÍTULO 12. E-MAIL
• No máximo de mensagens: quota por mensagem. Número de mensagens por conta;
• Senha do administrador (postmaster): senha do administrador do domı́nio;
- Caso deseje redirecionar as mensagens inválidas (enviadas para destinatários inexistentes) para outra conta de email, marque o checkbox Redirecionar mensagens
destinadas a usuários inválidos e digite a conta no campo abaixo. O procedimento padrão seria enviar uma mensagem ao remetente informando que a conta
destino não existe.
- Caso deseje Usar a autenticação configurada no Nettion, marque esse checkbox
e escolha os grupos para importar os usuários. É possı́vel importar os usuários de
todos os grupos, ou de algum grupo especı́fico.
Veja a figura 12.9 a seguir.
Figura 12.9: Inclusão/Edição de Domı́nios
12.3
Usuários
Nesta seção o administrador pode pesquisar e editar usuários, além de poder criá-los
também.
12.3.1
Buscando usuários
Para visualizar os usuários (contas de e-mails) existentes no sistema, acesse E-mail >
Usuários. Na tela que será exibida, serão mostrados todos os usuários, de todos os
12.3. USUÁRIOS
115
domı́nios existentes no servidor de e-mail e em ordem alfabética. Porém, a ordem de
exibição pode ser alterada, bastando para isso clicar no cabeçalho correspondente à ordem
desejada. Para facilitar a busca, a barra de filtros de pesquisa localizada acima da tela
de usuários pode ser utilizada.
Figura 12.10: Gerenciamento de Usuários
12.3.2
Editando usuários
Ao efetuar a busca, você pode editar a conta clicando no botão Editar. A seguinte tela
aparecerá:
Figura 12.11: Edição de Usuário
116
CAPÍTULO 12. E-MAIL
Os campos Nome, Quota e No de mensagens são editáveis. Altere-os de acordo com
a sua necessidade.
Caso queira utilizar o recurso de enviar cópias dos emails recebidos para outra conta,
marque a opção Encaminhar uma cópia para outros emails e preencha o seguinte
campo com a conta para a qual será enviada a cópia. Se deseja encaminhar para mais de
uma conta, separe-as com ponto e vı́rgula (;).
Não esqueça de Salvar as Alterações, caso faça alguma.
12.3.3
Inserindo usuários
Ao clicar no botão Incluir, a seguinte tela aparecerá e permitirá a adição de um novo
usuário de email:
Figura 12.12: Inclusão/Edição de Usuários de E-mail
• Login: Login, a primeira parte do endereço de email, a que aparece antes da arroba
(@). Ex.: sergio;
• Domı́nio: Os domı́nios existentes serão listados em um combo box. Você deve escolher o domı́nio para o qual está criando a nova conta;
• Nome: Nome do usuário. Ex. Sérgio Luis;
• Quota: Espaço máximo em disco que a conta pode ocupar;
• No máximo de mensagens: quota por número de mensagens;
• Senha: senha do usuário;
- Caso deseje encaminhar uma cópia das mensagens recebidas para outro email, marque a opção Encaminhar uma cópia para outros emails e preencha o seguinte
12.4. ALIASES
117
campo com a(s) conta(s) para onde deverão ser encaminhadas as novas mensagens.
Lembre-se de separá-las com ponto e vı́rgula (;).
12.4
Aliases
Nesta seção o administrador pode definir Aliases, uma espécie de apelido, um outro
nome pelo qual determinada(s) conta(s) será(ão) conhecida(s).
12.4.1
Criando um alias
Na seção Aliases, clique em Incluir e a seguinte tela aparecerá:
Figura 12.13: Inclusão de Alias de E-mail
Neste exemplo, foi criado um alias [email protected]. Este endereço apontará
para [email protected]. Logo, enviar uma mensagem para [email protected]
é o mesmo que enviar uma mensagem para [email protected].
• Alias: nome do alias. Neste exemplo, sergioluis;
• Domı́nio: selecione na lista o domı́nio para o qual você está criando o alias. no
exemplo, padrao.com.br ;
• Defina os usuários para os quais o alias irá se referir; No exemplo, [email protected].
12.5
Antivı́rus
A cada instante, pessoas mal intencionadas criam vı́rus para prejudicar e infectar sistemas
e computadores. Seria de pouca utilidade um antivı́rus que barrasse todos os arquivos
suspeitos, mas não contivesse uma lista atualizada de vı́rus em sua base de dados. Sendo
assim, uma boa ferramenta deve fornecer um sistema de atualização instantâneo e configurável.
118
CAPÍTULO 12. E-MAIL
12.5.1
Atualização
R feita de modo imediato, no momento
Essa é a primeira forma de atualização do Nettion,
R faz uma busca por uma base
em que for mais apropriado ao administrador. O Nettion
mais atualizada e sincroniza-a com a base local, mantendo o sistema ainda mais prevenido.
Figura 12.14: Atualização do Anti-Vı́rus
12.5.2
Agendamento
Também é possı́vel definir um momento ideal a critério do administrador para que o
R faça as atualizações na base de vı́rus. Para isso, defina os dias/horários para
Nettion
que as atualizações aconteçam, preenchendo o formulário abaixo e depois, salve as configurações.
Figura 12.15: Agendamento da atualização do Antivı́rus
12.5.3
Histórico
R permite um acompanhamento direto sobre o histórico de atualizações da
O Nettion
base de dados.
Três são os estados possı́veis para cada atualização:
R investiga atualizações na base
• Bem sucedida com atualizações - quando o Nettion
de dados e torna-se necessário atualizar a base local;
12.6. ANTISPAM
119
R consegue conectar-se às bases
• Bem sucedida sem atualizações - quando o Nettion
remotas, mas a base local já está atualizada;
R não consegue se conectar às bases remotas.
• Mal sucedida - quando o Nettion
Figura 12.16: Histórico das atualizações
12.6
Antispam
R é uma funcionalidade que controla mensagens indesejáveis.
O antispam do Nettion
R esteja fechado, em alguns lugares,
Mesmo que o relay do servidor de e-mails do Nettion
há administradores incautos que não têm a devida preocupação com o fechamento do
relay. Os spammers, aqueles que enviam centenas ou até milhares de mensagens não
solicitadas, aproveitam-se desta fragilidade. Isso significa que um bom administrador
deve se preocupar, inclusive, com o mau trabalho feito por outros e assegurar que seus
usuários sejam menos afetados por esse mal.
Um antispam é um software que se baseia em algumas caracterı́sticas de e-mails, notoriamente classificadas como spam, como algumas palavras-chaves e formato HTML1
12.6.1
Configurações
A cada caracterı́stica de spam encontrada em um e-mail, a mensagem recebe uma pontuação, que depende do que foi localizado. Quando esta pontuação alcança o limite estimado
nas configurações de sensibilidade, o e-mail sofre uma alteração. O tı́tulo da mensagem
identificada como spam será precedido pela expressão **POSSIVEL SPAM**. A mensagem será entregue normalmente ao cliente. Ela não é excluı́da automaticamente, pois
pode existir uma mensagem que possua palavras-chaves e formatos que a identifiquem
1
HTML - Hypertext Markup Language, Linguagem de Marcação de Hipertexto. É a linguagem utilizada para se
fazer páginas na internet e e-mails com formatação mais rica, como negrito, cores das fontes e inserção de imagens.
120
CAPÍTULO 12. E-MAIL
como uma mensagem indesejada, mas que realmente não seja. Sendo assim, cabe a cada
usuário definir filtros, nos seus leitores de e-mail, para separar as mensagens legı́timas
daquelas indesejadas.
O número indicativo da sensibilidade representa o limite de pontos que uma mensagem
pode alcançar até ser considerada spam. Quanto MENOR o número, mais facilmente
uma mensagem será assim classificada.
Figura 12.17: Configurações do Antispam
R inclui suporte ao treinamento de mensagens em
A nova versão do antispam do Nettion
spam e não-spam pelos usuários. Marque a opção Aprender mensagens classificadas pelos usuários caso deseje ativar tal suporte.
Caso decida utilizar este recurso, você deverá configurar duas contas de email, uma para
mensagens classificadas como spam e a outra para as mensagens classificadas como nãospam.
Nesse exemplo, as contas serão, respectivamente, [email protected] e [email protected]. Lembrando, novamente, que estas contas deverão ser criadas no domı́nio
escolhido, como as demais contas de usuários. O funcionamento do sistema de aprenR é descrito a seguir:
dizado do antispam do Nettion
O antispam funcionará como sempre, marcando como *** POSSIVEL SPAM
*** os emails que ele considere como tal. No caso de os usuários receberem
SPAM’s que não foram marcados pelo antispam, eles poderão encaminhar essa
mensagem como anexo para o email selecionado para receber spam, no caso,
[email protected]. Funciona da mesma forma com as mensagens que
não são spam’s, mas foram classificadas assim. Os usuários têm a opção de
encaminhá-las para o email que foi selecionado para receber as mensagens que
não são spam’s. No nosso caso [email protected]. Periodicamente
(mediante agendamento pelo administrador), o antispam checa as duas contas
12.6. ANTISPAM
121
e treina como spam as mensagens da conta spam e como não spam as mensagens da conta não-spam. Este treinamento continuado melhora a eficácia do
antispam e permite que ele atinja ı́ndices melhores, quando classificar futuros
emails.
Caso deseje que o sistema antispam execute o treinamento das mensagems nas caixas
spam e antispam clique no botão Aprender. É comum que o administrador agende o
treinamento do antispam na próxima seção, Aprendizado.
Obs1.: Lembre-se que, ao encaminhar e-mails para as contas [email protected]
e [email protected], isso deve ser feito encaminhado o e-mail desejado como
anexo e não no corpo do e-mail. Exemplo: Você recebeu um e-mail marcado como
***POSSIVEL SPAM***, e verificou que este e-mail realmente é um SPAM e deseja
R aprenda este e-mail como um SPAM. Então, clique no
enviá-lo para que o Nettion
e-mail com o botão direito (no caso do Outlook Express), e selecione a opção “Encaminhar
como anexo”. Em seguida prossiga com os procedimentos normais de envio de um e-mail;
Obs2.: Veja no seu cliente de email como encaminhar um e-mail como anexo.
12.6.2
Aprendizado
Nesta seção, o administrador configurará o agendamento do sistema de treinamento do
R bem como terá informações a respeito de tais treinamentos.
antispam do Nettion,
Agendamento
Aqui, o administrador vai agendar o treinamento do sistema de antispam, definindo em
que periodicidade ele será executado. As opções disponı́veis são:
Figura 12.18: Agendamento do aprendizado
• Diário: treinamento diário, o administrador define o horário do treinamento;
• Semanal: treinamento semanal, o administrador define o dia da semana em que o
treinamento será realizado, além do horário;
• Mensal: treinamento mensal, o administrador define o dia do mês em que o treinamento será realizado, além do horário.
122
CAPÍTULO 12. E-MAIL
Histórico
Nesta seção, o adminstrador obterá um histórico dos treinamentos realizados pelo sistema
de antispam, com informações tais como:
Figura 12.19: Histórico dos treinamentos realizados
• número de spams e não-spams treinados;
• quantidade de novos spams e antispams;
• status do treinamento, se bem ou mal sucedido.
12.6.3
Whitelist
Há, também, uma possibilidade de se definir uma lista de usuários chamados confiáveis,
que poderão enviar mensagens que superem o limite da sensibilidade e mesmo assim não
sejam classificadas como spam. Esta é a whitelist do sistema.
Figura 12.20: Whitelist do Antispam
12.7. RELATÓRIOS
123
Para incluir um e-mail na WhiteList, clique no botão Incluir. Na tela que será exibida,
digite o endereço de e-mail completo e sem erros e uma descrição que defina a que se refere
este e-mail. Ao final, clique no botão Salvar Configurações como mostra a figura 12.21
a seguir.
Figura 12.21: Inclusão de e-mail na Whitelist do Antispam
12.7
Relatórios
12.7.1
Fila
R passam por
Todas as mensagens que foram enviadas pelos usuários de e-mail do Nettion
uma fila para serem processadas e, definitivamente, transmitidas aos seus destinatários.
Enquanto aguardam o processamento, estas mensagens ficam em uma fila a qual o administrador pode verificar, conforme a figura. É possı́vel aplicar filtros à consulta da fila,
e com isso obter a origem e o destino do e-mail, o número de tentativas de entrega e o
tamanho e o horário que o e-mail entrou na fila.
Figura 12.22: Registros de logs do E-mail
124
CAPÍTULO 12. E-MAIL
12.7.2
Logs
Após o processamento de uma mensagem na fila, é feito um registro do que ocorreu com
ela. Na tela acima, é visto o status da mensagem, se foi entregue com sucesso ou se houve
algum problema na entrega.
Figura 12.23: Consulta de Mensagens
12.7.3
Auditoria
Na auditoria, há uma lista de todas as mensagens que passaram pelo servidor. A auditoria
possibilita que o administrador visualize a cópia de cada mensagem processada.
Figura 12.24: Auditoria de mensagens
12.7.4
Quarentena
A quarentena funciona de forma semelhante à auditoria, guardando todos os e-mails que
estiverem contaminados com vı́rus. Também é permitido que o administrador visualize
uma cópia de cada mensagem da quarentena.
Também é possı́vel gerenciar a quarentena, excluindo ou liberando os e-mails por ela
capturados. Para isso, no relatório exibido da figura 12.25, selecione o e-mail o qual
deseja excluir ou liberar e clique no botão “Editar”. O e-mail retido será exibido.
12.7. RELATÓRIOS
125
Figura 12.25: Quarentena de mensagens com vı́rus
Abaixo, como mostra a figura 12.26, o corpo do e-mail retido. Nesta tela, é possı́vel ver
o e-mail retido e decidir por deletá-lo ou liberá-lo para ser entregue ao seu destinatário
através dos botões “Deletar” ou “Liberar”.
Figura 12.26: Liberação/Exclusão de e-mail retido na quarentena
Clique no botão “Deletar” para excluir definitivamente a mensagem da quarentena ou no
botão “Liberar” para retirar a mensagem da quarentena e entregá-la ao seu destinatário.
Obs1.: Para simplesmente excluir a mensagem da quarentena, não é necessário editá-la,
pois o botão “Deletar” também está disponı́vel na tela da quarentena como mostra a
figura 12.25.
126
CAPÍTULO 12. E-MAIL
12.7.5
Top Usuários
Os gráficos de acessos no módulo de E-mail podem ser visualizados. Com isso, o administrador acompanha qual usuário envia mais e-mails e qual gera mais tráfego no servidor
de e-mail. Veja na figura 12.27 a seguir:
Figura 12.27: Gráfico do Top Mail
12.7.6
Quota Utilizada
Neste relatório, o administrador pode visualizar a porcentagem de uso das contas de email. A visualização pode ser efetuada por domı́nio, ou mesmo por contas especı́ficas.
Para isso, utilize as opções de filtros disponı́veis. Veja a figura 12.28 a seguir.
Figura 12.28: Relatório de Uso da Quota de E-mail.
Capı́tulo 13
Ferramentas
Todas as ferramentas possuem uma mesma interface, mas cada um dos serviços se aplicam
às funções definidas, como descritas abaixo:
13.1
Reverso
Esta opção existe para identificar a qual domı́nio se refere um IP ou qual IP se refere a
um domı́nio especı́fico.
Caso o administrador preencha o campo “IP/HOST”com um IP, o resultado será o seu
domı́nio equivalente.
• Ex.1: IP/HOST: 200.253.251.31. Retorno: 200.253.251.31 —— www.pronix.com.br
• Ex.2: IP/HOST: www.pronix.com.br. Retorno: www.pronix.com.br —– 200.253.251.31
Figura 13.1: Resolução de nomes
13.2
Whois
O Whois irá retornar o relatório de cadastro do respectivo IP ou domı́nio na FAPESP. O
relatório também poderá ser impresso.
13.3
Ping
O ping é utilizado para checar se uma determinada máquina está conectada e ligada.
O processo, assim como os demais desta seção, é bastante simples: preencha o campo
IP/HOST com o IP a ser testado.
127
128
CAPÍTULO 13. FERRAMENTAS
13.4
Traçar rota
Para saber qual o caminho para uma determinada máquina (IP), preencha o campo
IP/HOST e aguarde a apresentação do relatório da rota percorrida para alcançá-lo.
13.5
Diagnóstico de DNS
Nesta seção, o administrador pode executar um diagnóstico de DNS, que vai apresentar
informações a respeito dos servidores SMTP, lista de nomes e IPS, lista dos nameservers
e autoridade do host. A consulta pode ser feita utilizando-se o endereço IP do host ou o
seu nome.
Figura 13.2: Diagnóstico de DNS
Capı́tulo 14
Sistema
14.1
Serviços
Através desta opção é possı́vel visualizar de forma centralizada o estado atual (status)
de todos os serviços fornecidos pelo Nettion, também é possı́vel iniciar ou parar qualquer
serviço. Para isso, clique na opção Sistema → Serviços para ter acesso à lista dos
R
serviços do Nettion.
Serão exibidos o status atual de cada serviço (se iniciado ou
não), e a opção de alteração deste status. Também existe a possibilidade de fazê-lo
R através da seleção da opção “Auto”. Veja figura 14.1
iniciar juntamente com o Nettion,
abaixo.
Figura 14.1: Lista de serviços
A coluna Ação apresentará para cada serviço três botões: Start, Stop e Restart, com os
quais o administrador poderá inicializar, parar ou reinicializar o respectivo serviço. Caso
o serviço esteja em funcionamento, aparecerão ativados os botões Stop para pará-lo e
129
130
CAPÍTULO 14. SISTEMA
Restart para reinicializá-lo. Caso esteja parado, somente o botão Start para inicializá-lo
apareceá ativo. Lembre-se de clicar no botão Ativar mudanças para os selecionado(s)
se a coluna “Auto” for alterada.
14.2
Plugins
Para informações mais detalhadas sobre os NettionPlugs, veja o Capı́tulo 15 - NettionPlugs.
14.3
Backup
R é um sistema que provê muitos serviços, dos quais alguns são bastante crı́tiO Nettion
cos. Tais serviços compreendem uma grande quantidade de informações e configurações.
Os prejuı́zos causados pela possı́vel perda de tais informações podem ser, dependendo do
caso, incalculáveis.
Neste cenário, reinstalar e reconfigurar tudo, no momento de uma emergência, seria
um processo bastante desgastante. Considerando-se este fator, foi criada uma forma de
backup do sistema que possibilita a restauração imediata de todas as informações e conR e, conseqüentemente, o retorno ao seu funcionamento
figurações existentes no Nettion
normal.
O processo consiste na geração de um arquivo compactado contendo os dados do sistema,
bem como o envio de uma cópia deste arquivo para uma máquina da sua rede através
R
de um compartilhamento Windows.
O administrador pode configurar o conteúdo do
arquivo de backup, o qual poderá conter logs do Nettion, e-mails, além de suas configurações.
O backup se dá automaticamente de acordo com a periodicidade determinada pelo Administrador. Será possı́vel ainda efetuar o acionamento manual do backup.
14.3.1
Configurações
Módulos
Para acessar o serviço de Backup do Nettion, acesse o menu Sistema > Backup >
Configurações > Módulos. Na tela que será exibida, é possı́vel selecionar os módulos
desejados os quais irão compôr o arquivo de backup. Para concluir, clique no botão
Salvar Configurações.
Lembre-se que, quanto mais módulos você selecionar, mais espaço em disco será necessário,
principalmente ao selecionar os módulos de e-mail e de alguns tipos de logs do sistema.
A figura 14.2 a seguir, exibe a tela de seleção de módulos do Backup do Nettion.
14.3. BACKUP
131
Figura 14.2: Módulos para backup
Armazenamento
R é importante também criar uma cópia
Além do arquivo de backup criado no Nettion,
deste arquivo em uma outra máquina da sua rede, pois assim o backup pode ser facilmente
armazenado em mı́dias próprias, criando assim jogos de backup. Para isso, clique na opção
Armazenamento e preencha os campos conforme a descrição apresentada abaixo:
Figura 14.3: Compartilhamento Windows
• Máquina: nome da máquina da rede onde serão realizadas as cópias do arquivo. Ex.:
backup
• IP: IP correspondente à máquina acima. Ex.: 128.0.021
132
CAPÍTULO 14. SISTEMA
• Compartilhamento: nome do compartilhamento da máquina. Ex.: bkpnettion
• Usuário1 : login do usuário com direito a gravar nestes diretórios. Ex.: Backup.
• Senha: senha para poder realizar o acesso ao compartilhamento. Ex.: senha. Obs.:
A senha aparece sob máscara.
Ao fim, clique no botão Salvar Configurações, como mostra a figura 14.3 acima.
Agendamento
Na figura 14.4 a seguir, é exibida e tela onde definimos a periodicidade com que serão
realizados os backups, especificando:
Figura 14.4: Configurando a freqüência com que o backup será feito
• Freqüência: periodicidade de realização do backup: diária, semanal ou mensal. Ex.:
semanal
• Dia: dia da semana ou do mês em que será realizado o backup. Caso a freqüência
escolhida tenha sido “semanal”, serão listados os dias da semana (domingo, segunda,
terça, [...], sábado) nesta opção. Caso seja “mensal”, apresentará os dias do mês (1,
2, 3, [...], 31). E, caso a freqüência escolhida tenha sido “diário”, esta opção estará
inativa. Ex.: segunda.
• Horário: horário em que será realizada a cópia de segurança. Ex.: 01 : 00
Ao concluir, clique em Salvar Configurações.
14.3.2
Manual
Vamos imaginar o caso em que, após terem sido adicionadas configurações ao produto, o
administrador deseja realizar uma cópia de backup imediatamente, ao invés de aguardar
pela cópia a ser realizada pelo agendamento.
1
Caso o Nettion esteja sincronizado com um domı́nio Windows, indique um usuário/senha válidas para o domı́nio
e certifique-se que este usuário tenha poder de escrita no compartilhamento selecionado.
14.3. BACKUP
133
Neste caso, selecione os módulos e inicie o backup clicando no botão Iniciar backup.
Figura 14.5: Backup manual
14.3.3
Relatórios
Histórico
O histórico dos backups será exibido com as seguintes informações: data, hora, arquivo
e status. O status poderá ter um sinal verde ou vermelho. O primeiro, sinalizando que
o backup foi realizado com sucesso e este último, sinalizando que a gravação do arquivo
não foi executada com sucesso.
Figura 14.6: Histórico de backups
134
CAPÍTULO 14. SISTEMA
Caso ocorra algum problema com o bakcup, o Nettion enviará automaticamente um e-mail
ao Administrador definido nas Configurações Básicas do produto.
14.4
Restore
O processo de restauração de um backup é extremamente simples. Primeiramente, selecione o arquivo de backup e clique no botão Upload. É possı́vel selecionar o arquivo,
através do botão Procurar... que abrirá uma janela de navegação no diretório, ou clicar
no botão Selecionar Arquivo, que apresentará uma lista dos arquivos de cópia de segurança disponı́veis para restauração.
Figura 14.7: Restore
O administrador deve selecionar o arquivo de backup desejado e clicar no botão Selecionar.
Observação: o arquivo de backup deve estar na mesma versão do Nettion instalado.
Após a seleção do arquivo, por um dos meios citados, selecione dentre os módulos contidos
no backup quais serão restaurados e, em seguida, clique em Selecionar módulos . Não
esqueça que o(s) módulo(s) selecionado(s) será(ão) descompactado(s) e gravado(s) na
máquina sobrescrevendo os atuais dados, existentes para o módulo correspondente.
ATENÇÃO: Este é um processo muito simples, entretanto, extremamente delicado, pois,
ao se recuperar um backup, dependendo do caso, estaremos sobrescrevendo as configurações atuais do sistema.
14.5. EXPURGO
14.5
135
Expurgo
R realizam constantemente o registro de suas
Os diversos serviços que rodam no Nettion
atividades, chamados logs. O tamanho do(s) arquivo(s) de logs varia dependendo da
quantidade de usuários, da liberdade de acesso que estes tenham e da quantidade de
serviços ativos. Com o intuito de liberar espaço em disco, os logs mais antigos devem ser
gradualmente apagados. Este processo recebe o nome de expurgo.
14.5.1
Configurações
Status do disco por partição
Figura 14.8: Status do disco por partição
O quadro mostra por partição um gráfico em formato de “pizza”, que apresenta:
1. Em vermelho, o espaço do disco consumido;
2. Em amarelo, o espaço livre para a utilização com os seus respectivos percentuais.
Figura 14.9: Configuração da freqüência de expurgo
Para configurar o expurgo automático, deve-se informar e preencher o intervalo mı́nimo
para os logs que serão mantidos e os módulos cujos logs deseja-se apagar. Após isso,
136
CAPÍTULO 14. SISTEMA
deve-se dar um clique no botão “Iniciar Expurgo”e clicar em “Salvar Configurações”.
O processo de expurgo será iniciado. A escolha da periodicidade depende da quantidade
de acessos que a empresa realiza e do espaço em disco ocupado.
14.5.2
Manual
O administrador pode efetuar, a qualquer tempo, um expurgo diferenciado do expurgo
automático configurado, bastando informar qual o intervalo mı́nimo para os logs que serão
mantidos e os módulos cujos logs deseja-se apagar. Em seguida, clique no botão “Iniciar
Expurgo”, para iniciar o processo de expurgo.
Figura 14.10: Formulário de configuração de expurgo manual
14.6
Update
R está em constante evolução. ConPor ser uma solução baseada em software, o Nettion
seqüentemente, novas versões do sistema são lançadas, disponibilizando ao administrador
novas ferramentas que agregam uma maior funcionalidade à solução. A notificação de novas versões são enviadas por e-mail ao clientes Nettion e também são notificadas através
da barra superior do próprio software, que exibe uma mensagem em destaque indicando
a existência de uma nova versão disponivel para atualização.
Através do update (menu Sistema → Update), o administrador confere as novidades da
versão lançada em relação a versão instalada. Veja a seguir como fazer o Update do seu
Nettion.
Na tela de update, temos dois quadros com os tı́tulos Passo 1 - Verificação das atualizações e download e Passo 2 - Selecionar arquivo para update. Clicando no
R checará a possı́vel existência
botão Verificar Atualizações, no quadro 1, o Nettion
de uma versão mais recente. Caso não haja atualizações, a mensagem Sem atualizações
14.7. GRÁFICOS
137
no momento! será exibida. Do contrário, as versões mais recentes que serão listadas,
incluindo as informações detalhadas de cada uma delas.
Figura 14.11: Verificação de Atualizações
O próximo passo é fazer o download do arquivo de Update. Para isso, clique no botão
“Download”no final da página. Neste momento, de acordo com as condições do seu contrato, o arquivo de atualização será fornecido.
Figura 14.12: Upload do arquivo de update
Feito o download, volte à página anterior e inicie a atualização selecionando o arquivo
correspondente à nova versão, através do botão Procurar.... Após selecioná-lo, clique
em Upload! e, na tela seguinte em Update para iniciar efetivamente a atualização do
R
seu Nettion.
As configurações existentes no sistema serão mantidas, ou seja, todos os
objetos, grupos, regras e demais informações permanecerão como anteriormente. Caso
exista alguma conseqüência para o update, esta será avisada junto com o update.
14.7
Gráficos
O Nettion oferece gráficos de consumo dos recursos do seu equipemaneto que são úteis
para avaliação de uma possı́vel sobrecarga da máquina. Veja a seguir os gráficos de
consumo de CPU, Memória e Discos.
138
CAPÍTULO 14. SISTEMA
14.7.1
CPUs
No gráfico de utilização da CPU, você pode obter um histórico de uso do processador
pelo “usuário” e pelo “sistema” dentro de um perı́odo de tempo, sendo possı́vel também o
acompanhamento em tempo real clicando no botão “Start”.
Figura 14.13: Gráfico de consumo de CPU
14.7.2
Memória
No gráfico de utilização da Memória, você pode obter um histórico de uso tanto da
memória principal quanto do SWAP dentro de um perı́odo de tempo, sendo possı́vel
também o acompanhamento em tempo real, para isso clique no botão “Start”.
Figura 14.14: Gráfico de consumo de Memória
14.8. SOBRE
14.7.3
139
Discos
No gráfico de utilização dos Discos, você pode obter um histórico de todos os dados lidos e
escritos dentro de um perı́odo de tempo, para ver em tempo real, clique no botão “Start”.
Figura 14.15: Gráfico de utilização de Discos
14.8
Sobre
O administrador terá acesso, nesta seção, aos dados referentes à licença e à versão do
R
Nettion.
Figura 14.16: Dados de licença do Nettion
14.9
Auditoria
R Security Software tais
Diariamente, diversas operações são realizadas no Nettion
como mudanças de objetos, regras de firewall e de proxy, dentre outras. Para visualizar
140
CAPÍTULO 14. SISTEMA
R você pode utilizar o serviço de
e acompanhar todas as ações realizadas no Nettion,
auditoria. Ela informa a data de alteração, o módulo e o sub-módulo que foi alterado,
qual ação foi realizada, o usuário e o IP. Acesse o menu Auditoria através de “Sistema
> Auditoria”, conforme a figura 14.17 a seguir.
Figura 14.17: Auditoria de intervenções realizadas no Nettion
Dica! Configure os perfis de usuário para que o administrador do sistema tenha um
usuário próprio para a administração do produto. Assim, o usuário padrão “nettion”
será utilizado exclusivamente pela equipe de suporte.
14.10
Desliga/Reinicia
R
Caso haja necessidade, o administrador poderá reiniciar ou mesmo desligar o Nettion,
selecionando um dos botões desse tópico.
Figura 14.18: Reiniciar ou Desligar o Nettion
Capı́tulo 15
NettionPlugs
15.1
O que são NettionPlugs?
R são funcionalidades adicionais (plugins) que a Nettion Information
Os NettionPlugs
Security desenvolveu pensando nas necessidades especı́ficas de cada cliente. Cada NettionPlug tem uma aplicação diferente. Assim, você decide qual plugin é o mais indicado
para o seu negócio. Cada plugin pode ser instalado para avaliação por 15 dias. Após este
perı́odo entre em contato com a sua revenda Nettion para fazer a aquisição.
R
A aquisição dos NettionPlugs é muito fácil. Se a sua empresa já possui o Nettion,
basta acessar o menu “Sistemas”, selecionar a opção “Plugins” e instalar a funcionalidade
desejada. Você ainda ganha quinze dias totalmente gratuitos para testar a eficiência
dos aplicativos.
15.2
Instalando os NettionPlugs
Para fazer a instalação de NettionPlugs no seu Nettion, acesse o menu Sistema > Plugins, conforme mostra a figura 15.1 abaixo e siga os seguintes passos:
Figura 15.1: Instalação dos NettionPlugs
• Na listagem que será exibida, o Nettion mostrará todos os NettionPlugs disponibilizados pela NIS;
141
142
CAPÍTULO 15. NETTIONPLUGS
• Clique no botão “Instalar” do plugin desejado. Observe que caso a sua versão seja
anterior a requerida pelo plugin, esta opção estará desabilitada. Neste caso atualize
será necessário atualizar o seu Nettion antes;
• Após a instalação, o sinalizador de status assumirá a cor verde caso a sua empresa
já tenha adquirido a licença do plugin, ou assumirá a cor laranja no caso de uma
instalação para avaliação.
Uma vez instalado, o plugin funcionará de forma totalmente integrada ao Nettion e estará
disponı́vel na árvore de menu, assim como as outras funcionalidades.
15.3
Chat Server
O Chat Server é um NettionPlug desenvolvido pela NIS para ser o comunicador instantâneo da sua empresa. O programa tem como base o Jabber, conhecido como o melhor
sistema de mensagens instantâneas para Linux.
Criado seguindo os padrões de qualidade da NIS, o Chat Server possui um servidor próprio
para a troca de mensagens internas. Com isso, você evita a adição de usuários externos
e assegura a produtividade dentro da empresa.
O NettionPlug também permite a comunicação com outras unidades de uma mesma
rede. Além de economizar tarifas telefônicas você ainda garante o sigilo e a segurança das
mensagens trocadas, pois o aplicativo não está sujeito a vı́rus e demais ameaças comuns
a internet.
15.3.1
Configurações
A configuração do Chat Server é bastante simples uma vez que seus usuários e sua autenticação são totalmente integradas ao Nettion. Com isso, a integração do Chat à sua
organização torna-se ainda mais simples e rápida.
Para configurá-lo, acesse o menu Chat Server > Configurações do seu Nettion. Na
tela seguinte informe os dados a seguir, conforme mostrado na figura 15.2 abaixo.
Figura 15.2: Configurações do Chat Server
• Domı́nio: domı́nio internet da sua empresa. Este domı́nio fará parte da indentificação do usuário para o servidor Chat;
15.3. CHAT SERVER
143
• E-mail do administrador: indique o e-mail do administrador do servidor Chat;
• Interface de funcionamento: Indique a interface de rede do Nettion que receberá
as conexões. É importante ressaltar que, se você selecionar somente a sua interface
local, apenas as máquinas da sua rede local conseguirão conectar-se ao Chat server.
Logo, se você selecionar somente a sua interface externa (interface ligada a internet),
apenas as máquinas na internet conseguirão ter acesso ao Chat Server. Selecionando
TODAS, tanto as suas máquinas da sua rede local, como as máquinas da internet
conseguirão se conectar.
15.3.2
Software Cliente (estações)
Para que os usuários acessem o Chat, é necessário a utilização de algum software compatı́vel com o protocolo Jabber instalado em suas estações. Os softwares a seguir são
bastante conhecidos e utilizados para este fim:
• Windows
– Pandion
– Exodus
• Linux
– Kopete
– Gaim
Configuração do software cliente
Nas configurações do software cliente, insira o IP interno do Nettion como sendo o servidor, e, para autenticar o usuário utilize [email protected], onde
suaempresa.com.br é o domı́nio utilizado nas configurações do servidor (veja seção 15.3.1).
Ex: [email protected]. A senha será de acordo com a autenticação integrada do
Nettion, podendo ser no próprio Nettion, em um Windows Active Directory ou um servidor NIS (Linux).
15.3.3
Firewall
Para que as estações de rede tenham acesso ao servidor, é necessário que você faça uma
liberação no Firewall do Nettion. A porta a ser liberada, por padrão, é a 5222 do
protocolo TCP. Segue um resumo da regra de Firewall a ser criada na tabela 15.1 abaixo.
Regra: Intranet → Nettion
Origem Destino
Serv. Destino Ação
Intranet localhost Chat Server1 Aceitar
Tabela 15.1: Liberação do Chat Server
Observe que esta regra está contemplando o acesso do objeto Rede Interna ao Chat Server
do Nettion. Inclua outras redes caso necessário.
1
Crie um objeto de serviço para esta porta chamado “Chat Server” com a porta TCP 5222 - veja Capı́tulo 4 Objetos.
144
CAPÍTULO 15. NETTIONPLUGS
15.3.4
Iniciando o serviço Chat Server
Para iniciar o serviço, clique no menu Sistema > Serviços. Depois clique no botão
“Start” referente ao serviço “Chat Server”. Para manter o serviço sempre ativo no boot
do Nettion, marque a caixa “Auto” e clique em “Ativar mudanças para os serviços selecionados”.
15.3.5
Mais informações
Acesse também o Passo a Passo disponı́vel no site do Nettion (www.nettion.com.br) para
mais informações de como configurar o servidor e os clientes deste plugin.
15.4
Blitz
Blitz é o NettionPlug responsável pelo controle e gerenciamento do uso de MSN nas
empresas. Foi desenvolvido para organizações que necessitam usar comunicadores instantâneos para contatos comerciais.
Além de controlar os nı́veis de permissão de MSN por usuário ou grupo de usuários, o
Blitz possibilita a administração de listas de contatos. Assim, se a sua empresa precisa
utilizar IM para se relacionar com contatos externos, com o NettionPlug você garante
que a comunicação seja estabelecida para fins apropriados.
O Blitz é um plugin totalmente web (integrado ao Nettion), ou seja, não é necessário a
aquisição de um novo hardware para a sua instalação. Facilmente adquirido, o aplicativo
possui interface intuitiva e de simples administração através de um wizard.
A funcionalidade foi desenvolvida pela NIS, visando o aumento da produtividade do seu
negócio, bem como a redução do consumo de banda e tarifas telefônicas.
15.4.1
Como funciona?
O Blitz funciona como uma espécie de servidor Proxy (Socks5) que tem a função de
intermediar o acesso MSN da sua rede, fazendo toda a filtragem do acesso. É possı́vel
estabelecer, através de suas regras, quais usuários terão acesso ao MSN e até com quais
contatos eles poderão se comunicar, além da auditoria das conversas.
Para isso, é necessário bloquear qualquer outra forma de acesso do MSN e configurar nas
estações (configurações do MSN) o Nettion como servidor Socks e Proxy obrigatoriamente.
Veja agora como evitar o acesso direto ao MSN.
15.4.2
Bloqueando o acesso direto ao MSN
Por padrão o software MSN procura várias alternativas de comunicação com seu servidor
na Internet, e para forçarmos a sua saida somente via Blitz, é necessário bloquear tais
alternativas de acesso direto.
Caso as estações da sua rede estejam utilizando o Proxy do Nettion, algumas configurações
devem ser feitas:
15.4. BLITZ
145
1. Bloquear a expressão “gateway.dll”, e para isso siga os seguintes passos:
• Crie um grupo de objetos de expressões chamado “Bloquear MSN”. Qualquer dúvida
a respeito de como configurar os objetos de expressões, veja o Capı́tulo 4 - Objetos.
• Inclua neste grupo o termo “gateway.dll” como sendo do tipo “palavra”, “não-inteira”,
“qualquer posição”.
2. Criar uma regra no seu Proxy bloqueando o grupo de expressões criado acima. Aplique
esta regra a todos os usuários ou aos usuários que você deseja bloquear o acesso direto
ao MSN. Crie esta regra na primeira posição para evitar que outra regra mais genérica
libere o acesso. Qualquer dúvida sobre regras de Proxy, acesse o Capı́tulo 6 - Proxy.
3. Liberar algumas URLS que o MSN utiliza para fazer a autenticação do usuário em seu
servidor. Da mesma forma, crie um grupo de expressões chamado “Liberar logon MSN”
e nele inclua os seguintes termos como sendo do tipo “expressão regular”:
• nexus.passport.com:443
• login.live.com:443
• loginnet.passport.com:443
• omega.contacts.msn.com:443
• storage.msn.com:443
• Install Messenger.exe
4. Criar outra regra no Proxy liberando este grupo de expressões. Você pode liberar
para qualquer usuário uma vez que o controle vai ficar no próprio Blitz. Crie esta regra
na posição 2, após a regra de bloqueio do MSN. Qualquer dúvida sobre regras de Proxy,
acesse o Capı́tulo 6 - Proxy.
Também é necessário criar regras no firewall que impeçam qualquer tentativa de acesso
ao MSN através de um possı́vel mascaramento. Para isso, deve-se criar no firewall uma
regra bloqueando o acesso de toda a intranet (ou pelo menos dos IPs dos usuários que
deverão acessar via Blitz) às redes da Microsoft (65.52.0.0/14 e 207.46.0.0/16) nas portas
1863/TCP, 80/TCP e 443/TCP. Esta regra deve ficar nas primeiras posições, assegurando
assim que ela fique acima de qualquer mascaramento existente (salvo os mascaramentos
de usuários que, porventura, não acessem o MSN via Blitz) como mostra a tabela 15.2.
Regra: Intranet -> Microsoft
Origem
Destino
Serv. Destino
Rede Interna Range MS1/Range MS2 msn/http/https
Ação
Bloquear
Tabela 15.2: Bloqueando o acesso ao MSN via mascaramento
Obs1: Antes de criar a regra, crie objetos de “Hosts e Redes” contendo as
ranges da Microsoft aqui citadas (por exemplo RangeMS1 e RangeMS2).
Para maiores informações sobre como criar objetos de “Hosts e Redes”, veja o
Capı́tulo 4 – Objetos.
146
CAPÍTULO 15. NETTIONPLUGS
Obs2: Crie também um objeto de serviço com a porta 1863/TCP chamado
msn. Para maiores informações sobre como criar objetos de serviços, veja o
Capı́tulo 4 – Objetos.
Obs3: Os serviços http e https também devem ser inclusos na regra de bloqueio. Veja a regra de resumo a seguir na tabela 15.2.
15.4.3
Auditoria
Todas as conversas realizadas via Blitz são auditadas. Para acompanhar as conversas,
clique no menu “Blitz > Auditoria”, todas as conversas serão exibidas por data. Para
visualizar o conteúdo de uma conversa, selecione-a e clique no botão “itens”, como mostra
a figura 15.3 abaixo.
Figura 15.3: Auditoria de Conversas do Blitz
15.4.4
Firewall
Agora é necessário liberar que o próprio Nettion faça conexões a partir do serviço Blitz.
Para isso é preciso criar uma regra liberando o tráfego partindo do Nettion com destino
a porta 1863/TCP, como segue na regra de resumo a seguir na tabela 15.3.
Regra: Blitz -> Internet
Origem
Destino
Serv. Destino Ação
localhost Qualquer msn
Aceitar
Tabela 15.3: Liberando o serviço Blitz
15.4. BLITZ
147
Obs: antes de criar a regra, verifique a existência de alguma regra que já
contemple esta liberação, caso contrário, crie antes de criar a regra sugerida
um objeto de serviço com a porta 1863/TCP chamado msn. Para maiores
informações sobre como criar objetos de serviços, veja o Capı́tulo 4 - Objetos.
Além desta regra, é necessário também liberar o acesso da rede interna ao serviço Blitz,
que funciona por padrão na porta TCP 1080. Veja a regra de resumo a seguir na tabela
15.4.
Regra: Intranet -> Blitz
Origem
Destino
Serv. Destino Ação
Rede Interna localhost blitz
Aceitar
Tabela 15.4: Liberando acesso ao Blitz
Obs: antes de criar a regra, verifique a existência de alguma regra que já
contemple esta liberação, caso contrário, crie antes de criar a regra sugerida
um objeto de serviço com a porta 1080/TCP chamado blitz. Para maiores
informações sobre como criar objetos de serviços, veja o Capı́tulo 4 - Objetos.
15.4.5
Configurações
Assim como o Proxy e o Firewall do Nettion, o Blitz também possui uma polı́tica de
padrão de acesso. Ela vai definir o que será feito caso o usuário não se encaixe em alguma
regra de acesso, que serão vistas mais à frente.
A polı́tica padrão é configurada através do menu “Blitz > Configurações”. Neste
menu, também é possı́vel definir se os usuários serão avisados que as suas conversas
estarão sendo auditadas e gravadas. Para isso, marque a opção “Habilitar notificação
de auditoria no inı́cio da sessão” como mostra a figura 15.4 abaixo.
Figura 15.4: Configurações Básicas do Blitz
148
CAPÍTULO 15. NETTIONPLUGS
Normalmente a polı́tica padrão é definida como “Negar qualquer acesso” e através das
regras são liberados somente os usuários que realmente tenham que acessar o MSN, bem
como os contatos com os quais podem se comunicar.
15.4.6
Catalogação automática de contatos
Através dos menus Contatos e Grupos do Blitz você pode inserir manualmente os
contatos com quem seus usuários poderão se comunicar com mostra a figura 15.5 abaixo.
Figura 15.5: Inclusão Manual de um Contato
Porém, o Blitz oferece uma maneira automática de catalogação destes contatos, que ocorre
no momento em que o usuário faz a sua primeira1 conexão através do Blitz.
Este processo facilita bastante a manutenção das regras, como será visto mais à frente.
Na guia “Passports de Usuários”, é possı́vel ver os contatos organizados por cada passport.
Para ver os contatos de um passport, selecione-o e clique no botão “Itens” como mostra a
figura 15.6 a seguir.
Figura 15.6: Visualização de Contatos por Passaporte
15.4.7
Regras
O Wizard de criação das regras do Blitz é muito semelhante ao dos outros serviços do
Nettion, como o Firewall e o Proxy.
1
Nas conexões seguintes o Blitz só faz a manutenção destes contatos, incluindo ou excluindo, conforme necessário.
15.4. BLITZ
149
Para criar regras no Blitz, clique no menu “Blitz > Regras” e siga os passos a seguir:
Passo 1:
Na tela de listagem de regras, clique no botão “Incluir”, conforme exibido na figura 15.7
a seguir.
Figura 15.7: Listagem/Inclusão de Regras do Blitz
Passo 2:
Na primeira tela do Wizard, defina uma descrição para a regra, uma ação, a posição
(define a ordem de priodidade da regra) e, por fim, selecione o status da regra, como
exibido na figura 15.8 a seguir.
Figura 15.8: Descrição da Regra no Blitz
Passo 3:
150
CAPÍTULO 15. NETTIONPLUGS
Na tela seguinte, selecione o horário em que a regra será aplicada, de acordo com os
objetos de horários previamente definidos, veja a figura 15.9.
Figura 15.9: Seleção de Horário para Regra no Blitz
Passo 4:
Nesta tela você definirá com quais contatos os usuários poderão se comunicar. Em “Filtros
de Origem” selecione o(s) usuário(s), e em “Filtros de Destino” selecione o(s) contato(s)
permitidos para este(s) usuário(s). Veja figura 15.10.
Figura 15.10: Seleção de Usuários e Passaportes da Regra
Passo 5:
Na última tela do Wizard, você define se será permitido para o(s) usuário(s) da regra
bate-papo e/ou transferência de arquivos com o(s) contato(s) selecionados. Para finalizar
a criação da regra, clique no botão “Concluir”. Veja figura 15.11 a seguir.
15.4. BLITZ
151
Figura 15.11: Definição das Atividades Permitidas via Blitz
15.4.8
Iniciando o serviço Blitz
Para iniciar o serviço, clique no menu “Sistema > Serviços”. Depois clique no botão
“Start” referente ao serviço “Blitz”. Para manter o serviço sempre ativo no boot do Nettion, marque a caixa “Auto” e clique em “Ativar mudanças para os serviços selecionados”.
15.4.9
Configurando as estações
Agora é necessário fazer a configuração das estações, apontando no MSN o IP do Nettion
Blitz. Dependendo da versão do MSN, o local da configuração pode variar. Porém, de
um modo geral, você deve indicar o servidor socks e http do seu MSN. Geralmente o
caminho é “Ferramentas > Opções > Conexão”. Aponte para o IP do Nettion o
serviço socks e http proxy. É necessário que você também indique as informações de
autenticação do usuário (usuário e senha).
Figura 15.12: Configurações de Conexão do MSN via Blitz
152
CAPÍTULO 15. NETTIONPLUGS
15.4.10
Mais informações
Acesse também o Passo a Passo disponı́vel no site do Nettion (www.nettion.com.br) para
mais informações de como configurar o servidor e os clientes deste plugin.
15.5
OpenVPN
O OpenVPN é mais uma forma de VPN oferecida pelo Nettion. Através deste recurso
você pode interligar redes entre matriz e filiais, ou permitir que um usuário externo
acesse a sua rede de forma simples e segura. Um grande diferencial do OpenVPN é sua
possibilidade de operar mesmo em ambientes de internet com mascaramento(NAT), como
em redes de hoteis, cyber-cafés ou aeroportos.
Após a instalação (ver tópico 15.2 deste capı́tulo), você acessa este plugin através do menu
“VPN > OpenVPN” do seu Nettion. Ele oferece dois tipos de conexões, coforme será
mostrado a seguir:
15.5.1
Nettion-Nettion
Esta opção permite interligar duas ou mais redes através da VPN (como interligar filiais
à Matriz). Cada uma com um Nettion e com o Plugin OpenVPN instalado. Neste caso,
um dos Nettions vai ser o servidor da VPN e o outro será o Cliente.
15.5.2
Configurando o Servidor OpenVPN
Para configurar uma conexão OpenVPN Nettion-Nettion, acesse o menu“VPN > OpenVPN > Nettion-Nettion > Conexões”. A seguinte tela será exibida:
Figura 15.13: Listagem das Conexões OpenVPN
Para criar uma nova conexão, clique no botão “Incluir”. Os seguintes passos devem ser
seguidos:
Passo 1:
Na primeira página do Wizard defina os seguintes campos:
15.5. OPENVPN
153
•
•
•
•
Tipo: Servidor;
Nome: identifique o nome da conexão;
Status: Ativo;
Porta: o Nettion já oferece uma sugestão de porta automaticamente. Cada túnel
OpenVPN funcionará em uma porta diferente - lembre-se de criar a regra de Firewall
correspondente a esta porta para liberar a conexão VPN;
• Protocolo: UDP (padrão);
• Compressão LZO: aplique para otimizar o tráfego dentro da VPN com a compressão
dos dados.
Veja a figura a seguir:
Figura 15.14: Criação da Regra OpenVPN
Passo 2:
Na página seguinte defina:
• Local
– IP: indique o IP/Hostname pelo qual o(s) Nettion(s) cliente(s) encontrarão este
Nettion;
– IP Virtual: indique um IP virtual para conexão entre os Nettions após o estabelecimento da VPN. Ex: 192.168.200.1;
– Redes: indique a(s) rede(s) locais que farão comunicação com a(s) rede(s) remota(s);
• Remoto
– IP: indique o IP do Nettion cliente. Caso ele não possua um IP fixo, deixe este
campo em branco.
– IP Virtual: este campo será preenchido automaticamente.
– Redes: indique a(s) rede(s) remotas que farão comunicação com a(s) rede(s)
locais(s);
• Clique no botão “Concluir” para criar a conexão.
Veja a figura a seguir:
154
CAPÍTULO 15. NETTIONPLUGS
Figura 15.15: Definição das Redes da Conexão OpenVPN
Configurando o Cliente OpenVPN
Agora que o servidor está criado, é hora de configurar o(s) Nettion(s) cliente(s). Para
facilitar esta tarefa, o Nettion servidor da VPN oferece a exportação do arquivo que faz
toda a configuração do cliente.
Para exportar o arquivo, acesse o Nettion Servidor da OpenVPN, vá até a listagem de
conexões e clique duas vezes na conexão servidor que você acabou de criar. Na tela
seguinte, em “Exportar configurações para clientes Nettion”, defina uma senha de segurança para o arquivo e clique em no botão “Exportar”. Em seguida, salve o arquivo
para que seja utilizado na configuração do Nettion cliente. Veja a imagem a seguir:
Figura 15.16: Exportação do arquivos de Configuração do Cliente Nettion OpenVPN
Agora, acesse o Nettion cliente da VPN e siga os passos a seguir:
• Acesse o menu “VPN > OpenVPN > Nettion-Nettion > Conexões”;
15.5. OPENVPN
155
• Na tela seguinte, da listagem de conexões, clique no botão “Incluir”;
• Na primeira página do Wizard defina os seguintes campos:
– Tipo: Selecione agora o tipo “Cliente”;
– Nome: indique um nome para a conexão;
– Em “Importar configurações”, selecione o arquivo exportado pelo servidor, insira
a senha de segurança do arquivo e clique em “Importar”. Neste momento o
Nettion importará toda a configuração necessária da conexão.
– Clique no botão “Concluir” conforme a figura a seguir.
Figura 15.17: Importação do arquivo de Configuração do OpenVPN
Firewall
Como comentado anteriormente, cada túnel OpenVPN funciona em uma porta diferente,
de acordo com a sua configuração no momento de criar o túnel servidor. Para que as
conexões possam ser estabelecidas, libere no seu Firewall a conexão entre os servidores
nas portas utilizadas.
Supondo que o servidor esteja configurado para a porta 1184/UDP, crie um objeto de
serviço com esta porta e crie uma regra de Firewall conforme mostrado na tabela 15.5:
Regra: Liberando servidor OpenVPN
Origem
Destino
Serv. Destino Ação
ClienteOpenVPN localhost openvpn1
Aceitar
Tabela 15.5: Acesso ao servidor OpenVPN
Neste caso, estamos liberando apenas para o objeto ClienteOpenVPn conectar ao servidor. Caso não seja possı́vel identificar a origem da conexão, deixe a origem em branco
(Qualquer).
Além da regra para permitir a interligação entre os Nettions, é necessário também liberar
o tráfego entre as redes da VPN de acordo com as suas necessidades. Veja resumo da
regra necessária na tabela 15.6.
156
CAPÍTULO 15. NETTIONPLUGS
Regra: Liberando tráfego dentro da VPN
Origem
Destino
Serv. Destino Ação
Rede Local Rede Remota Qualquer
Aceitar
Tabela 15.6: Liberando Tráfego dentro da VPN
Iniciando o serviço OpenVPN
Agora que o servidor e o cliente estão devidamente configurados, inicie o serviço OpenVPN
em cada Nettion (servidor e cliente) no menu “Sistema > Serviços”.
Por último, inicie o túnel. Através da tela de listagem das conexões clique no botão
“Start” correspodente à conexão criada para iniciar o túnel entre os Nettions (Veja o
tópico 15.5.2). Neste momento o status indicativo da conexão deve ficar verde e as
estações das redes já podem se comunicar entre si. Caso não, verifique se não esqueceu
algum passo acima.
15.5.3
Nettion-Usuários
Esta modalidade de OpenVPN permite a conexão segura de usuários externos à sua
organização. Através do túnel estabelecido, os usuários podem ter acesso aos recursos
da rede como compartilhamentos, sistemas e impressoras de acordo com a polı́tica de
segurança adotada, como se estivessem conectados localmente à rede.
Como comentado anteriormente, um dos grandes diferenciais deste plugin é sua possibilidade de operar mesmo em ambientes de internet com mascaramento(NAT), como em
redes de hoteis, cyber-cafés ou aeroportos. Outras caracterı́sticas importantes são a sua
facilidade de configuração (tanto servidor quanto clientes) e a sua flexibilização quanto
à autenticação dos usuários, que opera juntamente com a autenticação centralizada do
Nettion.
15.5.4
Configurações
Para configurar o servidor OpenVPN, acesse“VPN > OpenVPN > Nettion-Usuários
> Configurações” e siga os passos a seguir:
Passo 1: Na primeira página da tela de configuração informe os seguintes itens:
• Status: indique o status do servidor - Ativo;
• Nome da conexão: indique um nome para a conexão - o Nettion já fará uma sugestão;
• Interface de funcionamento: aqui você pode escolher uma interface especı́fica (a que
possui IP público) ou “Todas” para esperar conexões em qualquer interface;
• IP do Servidor: indique o IP através do qual seu Nettion será encontrado pelos
clientes. Geralmente será o IP público do seu Nettion, mas em situações onde o
Nettion está sendo mascarado (NAT) por um roteador, por exemplo, indique o IP
público do roteador;
• Rede virtual - Rede que será criada entre o Nettion e os usuários conectados
15.5. OPENVPN
–
–
–
–
157
Rede: será a rede virtual - o Nettion já fará a indicação automática;
Marcara da rede: indique a máscara da rede - o Nettion também indicará;
IP do servidor: será o IP do Nettion dentro da rede virtual;
IPs dos clientes: será o intervalo de IPs que será fornecido aos clientes da VPN;
• Redes acessadas pelos usuários - Redes que o nettion fornece acesso para usuários
conectados;
– Selecione para a coluna da esquerda as redes locais que serão oferecidas aos
usuários da VPN;
Veja a tela a seguir:
Figura 15.18: Configuração da Conexão Nettion-Usuários
Passo 2: Na página de Controle de Acesso indique:
• Por padrão os usuários válidos (autenticados) da rede terão acesso. Mas é possı́vel
especificar quais usuários terão acesso. Para isso, selecione a opção “Permitir apenas
os usuários selecionados”;
• Em Grupos e Usuário, especifique quais grupos e/ou usuários terão permissão de
acesso. Como dito anteriormente, os usuários serão autenticados, no momento da
conexão, na base indicada no sistema de Autenticação centralizada do Nettion.
Obs 1.: Para criar um usuário e conceder-lhe o acesso via OpenVPN ele deve
ser criado antes da criação da regra do OPenVPN. Para isso veja como proceder
para a criação de Usuários no capı́tulo 5 deste manual;
Obs 2.: É recomendável que sejam selecionados SOMENTE os usuários que
devem ter acesso à VPN para evitar a ação de usuários mal-intencionados;
Obs 3.: É recomendável o uso de senhas fortes, ou seja, senhas que contenham
letras (maiúsculas e minúsculas), números e caracteres especiais.
158
CAPÍTULO 15. NETTIONPLUGS
Veja a figura a seguir:
Figura 15.19: Seleção de Usuários para Acesso via OpenVPN
Passo 3: Na página de configurações Avançadas indique:
• Porta: o Nettion já sugere a porta de conexão;
• Procoloco: o protocolo padrão é o UDP;
• Compressão LZO: utilize compressão para otimizar o tráfego dentro do túnel;
• Tipo do servidor: utilize a opção Tunel para ponto a ponto (padrão) ou Ethernet
para conexão semelhante a uma rede Ethernet;
• Permitir conexão entre clientes: Por padrão a conexão entre clientes é permitida.
Veja a seguinte figura:
Figura 15.20: Especificações Avançadas da Conexão OpenVPN
15.5. OPENVPN
15.5.5
159
Conexões Ativas
Em Conexões Ativas serão listadas as conexões VPN atualmente estabelecidas ao Nettion.
Na listagem é possı́vel identificar o nome do Usuário, data e hora em que a conexão foi
etabelecida e é possı́vel também desconectar o usuário através do botão “Stop”. Veja
figura 15.21.
Figura 15.21: Lista de Usuários Ativos
Relatórios
Em“VPN > OpenVPN > Nettion-Usuários > Relatórios > Conexões”você tem
acesso ao histórico de conexões feitas ao servidor OpenVPN. Através do filtro, é possı́vel
fazer buscas detalhadas sobre os acessos feitos, como mostra a figura 15.22 abaixo.
Figura 15.22: Relatório de Acessos do OpenVPN
Firewall
Para que os usuários externos possam conectar-se ao Nettion é necessário fazer uma liberação no Firewall do Nettion. Para isso crie uma regra permitindo o acesso de Qualquer
host (Internet) em direção ao Nettion na porta estabelecida para o servidor.
Supondo que o servidor esteja configurado para a porta padrão, 1183/UDP, crie um
objeto de serviço com esta porta chamado openvpn-clientes, e crie uma regra de Firewall
conforme mostrado na tabela 15.7:
160
CAPÍTULO 15. NETTIONPLUGS
Regra: Liberando servidor OpenVPN
Origem
Destino
Serv. Destino
Ação
Qualquer localhost openvpn-Clientes Aceitar
Tabela 15.7: Acesso ao servidor OpenVPN
Além da regra para permitir a interligação dos clientes ao Nettions, é necessário também
liberar o tráfego entre as redes locais permitidas e a rede virtual configurada. Veja resumo
da regra necessária na tabela 15.8.
Regra: Liberando tráfego dentro da VPN
Origem
Destino
Serv. Destino Ação
Rede Local Rede Virtual Qualquer
Aceitar
Tabela 15.8: Liberando Tráfego dentro da VPN
Observação: o objeto “Rede Virtual” corresponde ao IP estabelecido na configuração do
servidor OpenVPN - veja seção 15.5.4.
Iniciando o serviço OpenVPN
Inicie o servidor OpenVPN através do menu “Sistema > Serviços”. Para obter mais
informações sobre como iniciar serviços no Nettion, consulte o tópico 14.1.
Configuração dos clientes
Nas estações clientes Windows, baixe e instale o software “OpenVPN Client”. A instalação
nas estações é bastante simples e segue o padrão de instaladores de software para esta
plataforma.
Figura 15.23: Exportação das Configurações para o OpenVPN Client
Uma vez instalado, é hora de fazer a configuração. Para facilitar esta tarefa, o Nettion
servidor da VPN oferece a exportação do arquivo que faz toda a configuração do cliente.
Veja a figura acima.
15.6. DNS
161
Para exportar este arquivo, entre novamente nas configurações do OpenVPN NettionUsuários e clique no botão “Download”. Caso esta opção ainda não esteja disponı́vel é
porque a configuração do servidor ainda não foi efetuada.
Agora, na estação Windows, com o OpenVPN Client instaldo, clique com o botão direito
no ı́cone do OpenVPN Client e escolha a opção “Nova Conexão (Nettion)”. Na janela
seguinte, selecione o arquivo exportado pelo Nettion. Com isso a configuração estará
finalizada.
Obs.: Após a instalação, note que um novo ı́cone aparecerá ao lado do relógio
do Windows, na barra do menu Iniciar.
Figura 15.24: Importação do Arquivo de Configuração no OpenVPN Client
Agora é hora de conectar. para isso, clique novamente com o botão direito no ı́cone
do OpenVPN Client e escolha a opção “Conectar”. Neste momento aparecerá uma tela
solicitando seu nome de usuário e senha para autenticação no Nettion. Lembrando que
esta autenticação é feita de acordo com a autenticação centralizada configurada no seu
Nettion.
Após a conexão acesse a sua rede normalmente.
15.5.6
Mais informações
Acesse também o Passo a Passo disponı́vel no site do Nettion (www.nettion.com.br) para
mais informações sobre a configuração deste plugin.
15.6
DNS
DNS é o NettionPlug responsável pelas resoluções de nomes diretos e reversos.
O DNS é um sistema hierárquico. O mais alto nı́vel é representado por “.” e denominado
“raiz”. Sob “.” há diversos “Domı́nios de Alto Nı́vel” (TLDs), sendo ORG, COM, EDU e
NET os mais conhecidos.
162
CAPÍTULO 15. NETTIONPLUGS
Existem 13 servidores DNS raiz no mundo todo e sem eles a Internet não funcionaria.
Destes, dez estão localizados nos Estados Unidos da América, um na Ásia e dois na
Europa.
Para Aumentar a base instalada destes servidores, foram criadas Réplicas localizadas por
todo o mundo, inclusive no Brasil desde 2003. Ou seja, os servidores de diretórios responsáveis por prover informações como nomes e endereços das máquinas são normalmente
chamados servidores de nomes. Na Internet, o serviço de nomes usado é o DNS, que apresenta uma arquitetura cliente/servidor, podendo envolver vários servidores DNS durante
a resposta a uma consulta.
15.6.1
Como funciona?
A Arquitetura do serviço DNS é distribuida em Masters e Slaves. O primeiro é o responsável e deve ser alterado inicialmente. É ele quem notifica os outros servidores, onde
estão as replicas das informações. Esses são chamados de Slaves, pois apenas recebem as
informações do Master.
Existem dois tipos de resoluções: uma direta, quando queremos encontrar um IP de
um nome, e outra quando temos um IP e queremos saber o seu nome. Esta segunda
forma tem uma organização diferenciada e garante que um determinado IP é de uma rede
conhecida. Por exemplo, um servidor de E-Mail (SMTP) recebe uma conexão do host
de origem reconhecido por 192.168.5.4. Para este IP poder enviar e-mails tem que ter o
reverso configurado. Isto, para prevenir uma possı́vel fraude. Os domı́nios reversos estão
na árvore ’in-addr.arpa’. Esta árvore não está aberta ao público. Por isso, é confiável.
No exemplo acima o reverso do IP seria 4.5.168.192.in-addr.arpa.
Após a instalação, você acessa este plugin através do menu “DNS > Domı́nios”.
Figura 15.25: Demonstração de um esquema de DNS
15.6.2
Domı́nios Masters
Esta modalidade permite que você crie e gerencie seus domı́nios Masters. Existem dois
campos que aparecem somente na criação do domı́nio: SOA e NS, itens necessários ao
funcionamento de qualquer DNS. O SOA (Start Of Autority) é o servidor de consulta
inicial. É ele quem determinará os outros nomes do domı́nio. O NS é a autoridade do
domı́nio ele pode ser usado para resolver os nomes do domı́nio, mas geralmente é utilizado
para ’desafogar’ o SOA.
15.6. DNS
163
Para configurar um domı́nio, acesse no menu “DNS > Domı́nios” e clique no botão
“Incluir”. Na primeira tela do wizard de inclusão, configure:
• Nome: Nome do domı́nio que você irá criar;
• Descrição: Descrição do domı́nio a qual você irá gerenciar;
• Tipo: O tipo de domı́nio que você irá criar. Neste caso Master;
• Status: Ativo;
• SOA: Inı́cio da autoriade do domı́nio (Somente na criação do master);
• NS: NS do domı́nio master.
Como mostra a figura abaixo.
Figura 15.26: Configuração de um Domı́nio DNS
Na segunda tela do wizard, selecione os servidores slaves que serão notificados pelo master,
lembrando que a toda a lista de Itens do tipo NS serão notificados também.
Figura 15.27: Seleção de Slavers DNS
Na terceira tela do wizard (Botão de configurações avançadas), que é opcional, configure:
164
CAPÍTULO 15. NETTIONPLUGS
• TTL: Tempo de validade das informações de cache em outros servidores;
• Expira em: Tempo total de tentativas de atualização;
• Atualiza em: Tempo requerido para a atualização;
• Retenta em: Tempo de retentativas em caso de falhas nas atualizações;
• Postmaster: E-mail do administrador do domı́nio;
Veja a figura.
Figura 15.28: Configurações Avançadas de um Domı́nio DNS
15.6.3
Itens do Domı́nio Master
Para acessar esta modalidade, selecione o domı́nio ao qual se deseja incluir os itens e
clique no botão “Itens”, no lado direito e inferior da tela. Na janela seguinte, clique no
botão “Incluir”. Na tela que será exibida, informe:
• No campo Tipo: Definir o tipo do item. Existem 6 tipos de de itens:
– SOA: Start of Authority, marca o começo dos dados de uma zona e define
parâmetros que afetam a zona inteira.
– NS: Identifica o servidor de nomes de um domı́nio.
– MX: Mail eXchange, Lista de servidores de e-mail para entrega (SMTP).
– A: Resolução direta de um nome para um IP.
– CNAME: Define um alias para um hostname.
– PTR: Mapeia o endereço para um hostname.
– TXT: Permite a criação de registros SPF, DKIM (DomainKeys) e fornecimento
de informações adicionais.
∗ Exemplo:
SPF: example.net. IN TXT “v=spf1 a mx ip4:192.0.2.32/27 -all”
DKIM: mail. domainkey.example.net. IN TXT “g=\; k=rsa\; t=y\;p=MF...XYZ”
INFO: example.net. IN TXT “em caso de problema ligue (85)4005-1188”
15.6. DNS
165
• Campo descrição: Descrição para o gerenciamento dos itens;
• Campo Prioridade: Definir a prioridade do servidor MX;
• Campo IP/Host: Para definir hosts de resoluções aos tipos PTR, A e CNAME;
• Campo Resolve em: Usado para determinar a resolução do nome ou tipo;
• Campo Status: Definir o status do item;
Figura 15.29: Inclusão de Itens no Domı́nio DNS
15.6.4
Domı́nios Slaves
Esta modalidade permite que você crie e gerencie seus domı́nios Slaves. Para isso, acesse
no menu “DNS > Domı́nios” e clique no botão “Incluir”. Na primeira tela do wizard
de inclusão, configure:
• Nome: Nome do domı́nio que você irá criar;
• Descrição: Descrição do domı́nio a qual você irá gerenciar;
• Tipo: O tipo de domı́nio que você irá criar. Neste caso Slave;
• Status: Ativo;
Figura 15.30: Inclusão de Domı́nio Slave no DNS
166
CAPÍTULO 15. NETTIONPLUGS
Na segunda tela do wizard, selecione os servidores Masters que ele deve sincronizar. Deve
ser selecionado obrigatoriamente um servidor1 , como mostra a figura abaixo.
Figura 15.31: Seleção de Masters DNS
15.6.5
Itens do Domı́nio Slave
• Os itens do domı́nio Slave serão todos os itens importados do domı́nio Master.
15.6.6
Domı́nios Reversos
Os domı́nios reversos são tipos especiais. Sua sintax é in-addr.arpa. Eles seguem Ao
lado do campo NOME, existe um botão chamado GERAR O REVERSO, no wizard de
criação, que facilitará o trabalho. Ao ser clicado, ele solicitará o ip/máscra no formato
xxx.xxx.xxx.xxx/yyy.yyy.yyy.yyy. Assim, o nome será mudado para o formato correto.
15.6.7
Iniciando o serviço DNS
Inicie o servidor DNS através do menu “Sistema > Serviços > Servidor de Nomes”.
Para obter mais informações sobre como iniciar serviços no Nettion, consulte o tópico 14.1.
15.6.8
Firewall com DNS
Para que os usuários externos possam conectar-se ao Nettion é necessário fazer uma
liberação no Firewall do Nettion. Para isso, crie uma regra permitindo o acesso de
qualquer host (Internet) em direção ao Nettion, na porta estabelecida para o servidor.
Supondo que o servidor esteja configurado para a porta padrão, 53/UDP 53/TCP, utilize
o serviço predefinido DNS e crie uma regra de Firewall, conforme mostrado na tabela
15.9:
1
Crie um objeto com o nome do servidor e seu IP associado. Veja o capı́tulo 4 - Objetos
15.7. GETMAIL
167
Regra: Liberando servidor DNS
Origem
Destino Serv. Destino Ação
Qualquer localhost
DNS
Aceitar
Tabela 15.9: Acesso ao servidor DNS
15.6.9
Mais informações
Para maiores informações sobre a configuração deste plugin, acesse também o Passo a
Passo, disponı́vel no site do (www.nettion.com.br).
15.7
GetMail
O NettionPlug GetMail funciona como um captador de mensagens de e-mail de servidores
remotos (POP ou IMAP) e direciona-os a um único servidor de e-mail (geralmente o
servidor de e-mails padrão da empresa), facilitando a gerência de mensagens que dizem
respeito ao negócio da empresa. Com o GetMail os usuários não precisam acessar contas
de e-mails de terceiros, nem webmails, e contam ainda com a segurança de um anti-vı́rus
e um anti-spam para filtrar as mensagens baixadas, caso o servidor de e-mails da empresa
seja o próprio Nettion (contas locais). Dessa forma, você diminui significativamente os
riscos de adquirir vı́rus e garante uma maior produtividade dos seus colaboradores.
15.7.1
Vantagens
O NettionPlug GetMail proporciona as seguintes vantagens:
• Velocidade e segurança no acesso aos e-mails;
• Controle de vı́rus e spam no acesso às mensagens de provedores externos;
• Melhor gerência de recursos;
• Compatibilidade com a solução de mensagens utilizada na sua empresa, estando apto
para qualquer ambiente de rede;
• Busca de mensagens em diversos servidores de -mail, independente do provedor;
• Criação de permissão de acesso, determinando quais contas externas podem ser
acessadas.
15.7.2
Configurações
Para configurar o GetMail, acesse o menu “GetMail > Configurações”. Na tela que
será exibida, informe:
• Intervalo de verificação: Intervalo de tempo (em segundos) dentro do qual as verificações por novos e-mails serão efetuadas;
• Servidor de Destino (SMTP): Servidor que será utilizado para o envio das mensagens
(Geralmente o próprio Nettion).
168
CAPÍTULO 15. NETTIONPLUGS
Depois, clique no botão “Salvar Configurações”, como mostra a figura 15.32 abaixo.
Figura 15.32: Configuração Básica do GetMail
15.7.3
Contas de Origem
Para iniciarmos a criação das regras do GetMail, precisamos primeiramente cadastrar as
contas de origem, ou seja, as contas das quais desejamos obter os e-mails. Para incluir as
contas, cliqe no botão “Incluir”conforme mostrado na figura 15.33 apresentada a seguir.
Figura 15.33: Lista de Contas de Origem Criadas
Na tela que será exibida, informe:
• Servidor de Origem: o nome/IP do servidor POP/POP3 da conta de origem. Exemplo: pop3.bol.com.br;
• Usuário: o usuário de acesso da conta;
• Senha: a senha utilizada para login;
• Confirmação: redigite a senha para login.
As informações acima devem ser digitadas corretamente para que o acesso do GetMail à
conta possa ser realizado com sucesso. Tais informações devem ser obtidas diretamente
com os usuários de cada conta de origem cadastrada. Veja a figura 15.34 a seguir.
15.7. GETMAIL
169
Figura 15.34: Criação da Conta de Origem
15.7.4
Regras
O processo de criação de uma regra no GetMail é bastante simples. Basicamente, consiste
em especificar uma ou mais contas de origem e especificar uma conta de destino, que pode
ser local(Contas no próprio Nettion) ou remota (Contas em outros servidores). Para isso,
siga os seguintes passos:
Passo 1:
Para criar uma regra no GetMail, acesse “Getmail > Regras”. Na tela que será exibida,
informe:
• Descrição: Descrição resumida da regra;
• Protocolo: Selecione aqui o protocolo a ser utilizado POP ou IMAP;
• Status: Ativo, para fazer com que a regra entre em efeito imediatamente.
Veja a figura 15.35 a seguir.
Figura 15.35: Criação da Regra no GetMail
170
CAPÍTULO 15. NETTIONPLUGS
Passo 2:
Na tela seguinte, especifique em “Contas de Origem” as contas das quais você deseja obter
os e-mails (Lembre-se que elas devem ser criadas previamente). Em “Conta de Destino”,
especifique se a conta de destino é Local ou Remota. Para Local, selecione a conta de
e-mail local para a qual os e-mails serão encaminhados. Para Remota, digite o endereço
eletrônico da conta de e-mail do servidor remoto. Selecione também uma das três opções
abaixo:
• Obter também os e-mails já lidos: Especifica que o GetMail também deve trazer
e-mails que já tenham sido lidos;
• Manter mensagens no servidor: Especifica se será deixada no servidor de origem
cópias das mensagens que estão sendo obtidas;
• Conectar de forma segura (TLS): Marque esta opção se o servidor de origem exigir
autenticação segura.
Veja a figura 15.36 abaixo.
Figura 15.36: Seleção das Contas de Origem/Destino
Ao final, clique no botão “Concluir” para finalizar a criação da regra.
15.7.5
Iniciando o serviço GetMail
Inicie o GetMail através do menu “Sistema > Serviços > Getmail”. Para obter mais
informações sobre como iniciar serviços no Nettion, consulte o tópico 14.1.
15.7.6
Mais informações
Para maiores informações sobre este plugin, acesse também o site em (www.nettion.com.br).