manual nettion

2

Nettion R© Copyright 2002-2009 by Nettion Information Security.

Este material1 pode ser livremente reproduzido, desde que mantidas as notas de copyrighte o seu conteudo original. Envie crıticas e sugestoes para [email protected].

Revisado e atualizado por Deyvson Matos, em 5 de janeiro de 2009.

Disponıvel tambem no idioma Ingles2.

1Este Manual esta baseado na Serie 4.0 do Nettion R©. Para baixar o Manual da Serie 3.0 do Nettion R©, acesse:http://www.nettion.com.br/comunication/geral/Manual-Nettion3.pdf

2Versao em Ingles do Manual disponıvel em:http://www.nettion.com.br/comunication/geral/Manual-Nettion-Eng.pdf

Sumario

1 Introducao 11

1.1 Apresentacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

2 Instalacao/Registro/Login 13

2.1 Instalacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2.2 Registro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2.3 Login . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

2.4 Tela Inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

3 Configuracoes 17

3.1 Basicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

3.1.1 Graficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

3.1.2 Administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

3.1.3 Data/Hora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

3.2 Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

3.2.1 Interface/Conexoes . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

3.2.2 Sub-Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

3.2.3 Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

3.2.4 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

3.2.5 Roteamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

3.2.6 DNS Dinamico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

3.2.7 Graficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

4 Objetos 37

4.1 Manutencao de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

4.1.1 Inclusao de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

4.1.2 Edicao de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

4.1.3 Manutencao dos Itens do Objeto . . . . . . . . . . . . . . . . . . . 38

4.1.4 Exclusao de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . 39

3

4 SUMARIO

4.1.5 Consulta de Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . 39

4.2 Hosts e Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

4.2.1 Manutencao do Cadastro de Hosts e Redes . . . . . . . . . . . . . . 40

4.3 Domınios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

4.3.1 Manutencao do cadastro de domınios . . . . . . . . . . . . . . . . . 41

4.4 Expressoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

4.4.1 Manutencao do Cadastro de Expressoes . . . . . . . . . . . . . . . . 42

4.5 Horarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

4.5.1 Manutencao do cadastro de horarios . . . . . . . . . . . . . . . . . 43

4.5.2 Determinando Intervalos . . . . . . . . . . . . . . . . . . . . . . . . 43

4.6 Servicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

4.6.1 Predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

4.6.2 Personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

4.7 Categorias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

4.7.1 Predefinidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

4.7.2 Personalizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

4.7.3 Consulta de URL’s . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

4.8 Mime Type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

5 Usuarios/Grupos 47

5.1 Autenticacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

5.1.1 Base Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

5.1.2 Servidor NIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

5.1.3 Servidor Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

5.2 Grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

5.2.1 Manutencao do cadastro de Grupos . . . . . . . . . . . . . . . . . . 52

5.3 Usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

5.3.1 Manutencao do cadastro de Usuarios . . . . . . . . . . . . . . . . . 53

5.4 Perfis de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

6 Proxy 57

6.1 Regras de Firewall Necessarias . . . . . . . . . . . . . . . . . . . . . . . . . 57

6.1.1 Intranet → Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

6.1.2 Nettion → Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

6.2 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

6.2.1 Proxy com autenticacao . . . . . . . . . . . . . . . . . . . . . . . . 58

6.2.2 Proxy transparente . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

SUMARIO 5

6.2.3 Configuracoes gerais . . . . . . . . . . . . . . . . . . . . . . . . . . 59

6.2.4 Limpeza do Cache do Proxy . . . . . . . . . . . . . . . . . . . . . . 60

6.2.5 Mensagens de erro . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

6.2.6 Portas Autorizadas . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

6.2.7 Base de URL’s Categorizadas . . . . . . . . . . . . . . . . . . . . . 61

6.2.8 Historico de Atualizacoes de URL’s . . . . . . . . . . . . . . . . . . 62

6.3 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

6.4 Composicao de regras do Proxy . . . . . . . . . . . . . . . . . . . . . . . . 64

6.4.1 Tela 1 - Definicao da regra . . . . . . . . . . . . . . . . . . . . . . . 64

6.4.2 Tela 2 – Horario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

6.4.3 Tela 3 - Filtros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

6.4.4 Tela 4 - Aplicar para . . . . . . . . . . . . . . . . . . . . . . . . . . 67

6.4.5 Tela 5 - Qos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

6.5 Relatorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

6.5.1 Padrao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

6.5.2 Por domınio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

6.5.3 Top . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

6.5.4 Acessos Bloqueados . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

6.5.5 On-line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

6.6 Graficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

6.6.1 Selecionando um perıodo . . . . . . . . . . . . . . . . . . . . . . . . 71

6.6.2 Visualizando acessos a partir do grafico . . . . . . . . . . . . . . . . 71

6.6.3 Monitoramento Realtime . . . . . . . . . . . . . . . . . . . . . . . . 72

6.7 Configurando as estacoes da rede . . . . . . . . . . . . . . . . . . . . . . . 72

7 Controle de Banda 73

7.1 Re-priorizacao de pacotes . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

7.2 Realocacao dinamica de banda . . . . . . . . . . . . . . . . . . . . . . . . . 74

7.3 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

7.3.1 Definicao da Interface de rede . . . . . . . . . . . . . . . . . . . . . 75

7.3.2 Classes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

7.3.3 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

7.4 Ativando o servico de Controle de Banda . . . . . . . . . . . . . . . . . . . 78

6 SUMARIO

8 Firewall 79

8.1 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

8.2 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

8.2.1 Incluindo uma nova regra . . . . . . . . . . . . . . . . . . . . . . . 80

8.3 Regras basicas do Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

8.3.1 Acesso ao Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

8.3.2 Acesso Nettion -> Internet . . . . . . . . . . . . . . . . . . . . . . . 85

8.3.3 Resolucao de nomes para a rede interna . . . . . . . . . . . . . . . 85

8.4 Relatorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

9 VPN 87

9.1 VPN PPTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

9.1.1 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

9.1.2 Manutencao do cadastro de clientes para VPN PPTP . . . . . . . . 89

9.2 VPN IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

9.2.1 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

9.2.2 Conexoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

9.3 OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

10 NIDS 99

10.1 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

10.1.1 Selecao de Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . 99

10.1.2 Objetos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

10.1.3 Configuracao do PortScan . . . . . . . . . . . . . . . . . . . . . . . 100

10.1.4 Deteccao de Assinaturas . . . . . . . . . . . . . . . . . . . . . . . . 101

10.1.5 Alerta por e-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

10.1.6 Relatorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102

10.1.7 Alertas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102

10.1.8 Ultimas assinaturas . . . . . . . . . . . . . . . . . . . . . . . . . . . 102

10.1.9 IPs Bloqueados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

11 DHCP 105

11.1 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

11.1.1 Configuracoes Globais . . . . . . . . . . . . . . . . . . . . . . . . . 105

11.1.2 Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

11.2 Hosts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

11.2.1 Manutencao do cadastro dos Hosts . . . . . . . . . . . . . . . . . . 106

11.3 Redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

11.3.1 Manutencao do cadastro de Redes . . . . . . . . . . . . . . . . . . . 107

SUMARIO 7

12 E-mail 109

12.1 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

12.1.1 Gerais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

12.1.2 Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

12.1.3 Webmail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

12.1.4 Mensagens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

12.1.5 Extensoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

12.2 Domınios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

12.2.1 Incluir um domınio . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

12.3 Usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

12.3.1 Buscando usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

12.3.2 Editando usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

12.3.3 Inserindo usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116

12.4 Aliases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

12.4.1 Criando um alias . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

12.5 Antivırus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

12.5.1 Atualizacao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

12.5.2 Agendamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

12.5.3 Historico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

12.6 Antispam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

12.6.1 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

12.6.2 Aprendizado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

12.6.3 Whitelist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

12.7 Relatorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

12.7.1 Fila . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

12.7.2 Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

12.7.3 Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

12.7.4 Quarentena . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

12.7.5 Top Usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

12.7.6 Quota Utilizada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126

13 Ferramentas 127

13.1 Reverso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

13.2 Whois . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

13.3 Ping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

13.4 Tracar rota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

13.5 Diagnostico de DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

8 SUMARIO

14 Sistema 129

14.1 Servicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

14.2 Plugins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

14.3 Backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

14.3.1 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

14.3.2 Manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

14.3.3 Relatorios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

14.4 Restore . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

14.5 Expurgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

14.5.1 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

14.5.2 Manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

14.6 Update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

14.7 Graficos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

14.7.1 CPUs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

14.7.2 Memoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

14.7.3 Discos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

14.8 Sobre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

14.9 Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

14.10Desliga/Reinicia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

15 NettionPlugs 141

15.1 O que sao NettionPlugs? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

15.2 Instalando os NettionPlugs . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

15.3 Chat Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142

15.3.1 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142

15.3.2 Software Cliente (estacoes) . . . . . . . . . . . . . . . . . . . . . . . 143

15.3.3 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

15.3.4 Iniciando o servico Chat Server . . . . . . . . . . . . . . . . . . . . 144

15.3.5 Mais informacoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

15.4 Blitz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

15.4.1 Como funciona? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

15.4.2 Bloqueando o acesso direto ao MSN . . . . . . . . . . . . . . . . . . 144

15.4.3 Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

15.4.4 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

15.4.5 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

15.4.6 Catalogacao automatica de contatos . . . . . . . . . . . . . . . . . 148

15.4.7 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

SUMARIO 9

15.4.8 Iniciando o servico Blitz . . . . . . . . . . . . . . . . . . . . . . . . 151

15.4.9 Configurando as estacoes . . . . . . . . . . . . . . . . . . . . . . . . 151


15.5 OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

15.5.1 Nettion-Nettion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

15.5.2 Configurando o Servidor OpenVPN . . . . . . . . . . . . . . . . . . 152

15.5.3 Nettion-Usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

15.5.4 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

15.5.5 Conexoes Ativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159


15.6 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

15.6.1 Como funciona? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

15.6.2 Domınios Masters . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

15.6.3 Itens do Domınio Master . . . . . . . . . . . . . . . . . . . . . . . . 164

15.6.4 Domınios Slaves . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165

15.6.5 Itens do Domınio Slave . . . . . . . . . . . . . . . . . . . . . . . . . 166

15.6.6 Domınios Reversos . . . . . . . . . . . . . . . . . . . . . . . . . . . 166

15.6.7 Iniciando o servico DNS . . . . . . . . . . . . . . . . . . . . . . . . 166

15.6.8 Firewall com DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . 166


15.7 GetMail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

15.7.1 Vantagens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

15.7.2 Configuracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

15.7.3 Contas de Origem . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

15.7.4 Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

15.7.5 Iniciando o servico GetMail . . . . . . . . . . . . . . . . . . . . . . 170


10 SUMARIO

Capıtulo 1

Introducao

1.1 Apresentacao

Com a necessidade de conexao direta das organizacoes a internet, o fator Seguranca daInformacao tornou-se um investimento primordial, deixando de ser uma caracterısticaapenas de grandes instituicoes. O motivo desta mudanca e que sem a devida protecao noambiente de rede da empresa, ela estara sujeita, cedo ou tarde, a um significativo prejuızoinstitucional, seja ele moral ou material.

Alem disso, a facilidade da conexao 24 horas com a internet leva, muitas vezes, os fun-cionarios a desperdicarem o tempo de trabalho acessando diversas informacoes pessoais,provocando uma significativa queda de produtividade individual e, consequentemente, dasua propria empresa.

Muitas vezes sua internet se torna lenta, o que o obriga a adquirir um link de maiorvelocidade. No entanto, voce nao sabe que e possıvel implementar um controle sobreaquilo que trafega no seu link, nao havendo necessidade de custos extras com links maioresem grande parte dos casos.

Dentro desta realidade, a Nettion Information Security oferece, atraves do Nettion R©,a solucao completa para as 24 horas de conexao da sua organizacao com a internet,propiciando a implantacao de uma polıtica administrativa de seguranca e otimizacaodo uso do seu link, alem do controle detalhado das informacoes que trafegam por dele.Tudo isso atraves de uma ferramenta de administracao interativa de gerenciamento emonitoramento.

Benefıcios do Nettion R©:

• o Nettion R© pode fazer o balanceamento de carga e redundancia dos seus links deInternet, onde, atraves de regras simples e intuitivas, voce estabelece por qual linkos servicos devem ser encaminhados por padrao e por onde devem sair em caso defalha, tudo isso de forma automatica.

• o modulo proxy do Nettion R© possibilita um aumento da velocidade ao acessar pagi-nas na internet sem que, necessariamente, tenha que se investir em links maiores.Isso e possivel devido a capacidade do Nettion R© de armazenar as paginas acessadasem seu cache. Outra vantagem e que o software permite que voce faca um cont-role minucioso dos acessos dos usuarios da sua rede, estabelecendo regras, horariose bloqueando sites indesejados. Com o Nettion R©, voce tambem implanta regras de

11

12 CAPITULO 1. INTRODUCAO

seguranca no acesso a sua rede por parte de usuarios da internet e evita a exposicaototal ao ataque de hackers.

• atraves de relatorios e regras estabelecidas os usuarios de computadores farao usomais profissional da Internet, aumentando a produtividade e diminuindo os riscos as-sociados a TI. As regras aplicadas sao flexıveis podendo-se fazer limites por usuariose por horarios. A configuracao e bem simples e nao havera necessidade de M.O. es-pecializada. Os relatorios sao diversificados e intuitivos, propicinado analises justase reais.

• o sistema de deteccao de tentativas de invasao (NIDS) do Nettion R© possui cadastrado,aproximadamente, 2.000 formas de tentativa de invasao, o que possibilita o bloqueiode acesso de usuarios ”mal intencionados”.

• Outro recurso que o Nettion R© dispoe e o Controle de Banda, que permite estab-elecer percentuais de uso do link para acesso as paginas web, trafego de e-mails eetc, otimizando e garantindo que todos estes servicos estejam disponıveis simultane-amente.

• atraves da VPN (Rede Virtual Privada) do Nettion R©, voce passa a utilizar a internetcomo meio de comunicacao de forma segura, pois seus dados sao criptografados (em-baralhados) ao trafegarem atraves de tuneis de comunicacao pela internet. Atravesdeste recurso voce pode diminuir sensivelmente os custos com interligacao de redes,como matriz e filiais, e de usuarios fisicamente separados da rede local utilizando aInternet como meio de comunicacao e garantindo a seguranca dos dados.

• o Sistema de Autenticacao Integrada do Nettion facilita o controle dos usuarios narede com a integracao e sincronizacao de usuarios e grupos com Domınios Linux(NIS)e Windows, nao havendo necessidade de recadastramento ou trabalhos adicionais demanutencao. Permite tambem autenticacao integrada NTLMV2, evitando que ousuario tenha que digitar a senha sempre que inicie a navegacao.

• o servico de E-mail possibilita total autonomia para gerenciamento de contas decorreio com multiplos domınios, permitindo auditoria de mensagens, aplicacao desistema de AntiSPAM (com sistema de treinamento pelos proprios usuarios da rede)e sistema integredo de Anti-Vırus. O gerenciamento das contas e autenticacao dosusuarios ocorre de forma integrada com o sistema de Autenticacao do Nettion, fa-cilitando assim o gerenciamento das contas de e-mail.

• os sistemas de Backup automatizado e Restore possibilitam uma rapida recuperacaode todos os servicos e informacoes em caso de falha de hardware.

• atualizacao via Internet - as constantes atualizacoes proporcionam mais segurancacom atualizacoes de falhas de seguranca e com a inclusao de novos recursos a ferra-menta

Estas e outras ferramentas do Nettion R© sao disponibilizadas de maneira facil e simples,nao requerendo, portanto, conhecimentos tecnicos avancados para opera-las. Com estedocumento voce aprendera como fazer as configuracoes do Nettion para adequa-lo ao seuambiente de rede.

Capıtulo 2

Instalacao/Registro/Login

2.1 Instalacao

O Nettion funciona sobre uma distribuicao Linux (Nettion Linux) totalmente adequada eotimizada ao funcionamento de todos os seus recursos. Por isso, sua instalacao, que exigeuma maquina dedicada, nao requer um sistema operacional pre-instalado. Seu instaladorja integra a instlacao do Nettion Linux e a Interface de Administracao dos recursos.

O Guia de Instalacao do produto em seu hardware encontra-se em um documento sepa-rado, que pode ser facilmente acessado no site do Nettion R© ou atraves do link Guia deInstalacao.

2.2 Registro

Apos a instalacao, acesse o seu Nettion atraves de um browser (Mozilla Firefox ou In-ternet Explorer) utilizando o endereco IP que voce configurou durante a instalacao (ex:http://192.168.254.1). Neste momento voce tera acesso a tela de Logon da Interface deAdministracao do produto, atraves da qual voce fara todas as configuracoes necessariaspara adequar o Nettion ao ambiente de rede da sua empresa.

Ao logar-se pela primeira vez, o processo de registro do software sera iniciado. O registrodo produto e um procedimento obrigatorio, pois somente apos registra-lo e que o seu uso eliberado. No primeiro formulario de registro, o administrador deve informar CNPJ/CPF,Denominacao Social e a edicao do Nettion R© que esta registrando, de acordo com a figura2.1.

Figura 2.1: Primeiro formulario de registro

13

http://www.nettion.com.br

http://www.nettion.com.br/comunication/GuiaRapidoInstalacaoNettion.pdf

http://www.nettion.com.br/comunication/GuiaRapidoInstalacaoNettion.pdf

14 CAPITULO 2. INSTALACAO/REGISTRO/LOGIN

• CNPJ/CPF: CNPJ no caso de pessoa jurıdica ou CPF, se pessoa fısica;

• Denominacao social: denominacao social de pessoa fısica ou jurıdica. Ex.: FortesInformatica LTDA;

• Produto: Tipo do produto. Ex.: Nettion Professional (de acordo com a licencaadquirida).

Informados os campos do primeiro formulario de registro, o administrador deve clicar nobotao Avancar. O segundo formulario de registro aparecera, como mostrado na figura2.2.

Figura 2.2: Segundo formulario do registro

• Codigo Operacional: Codigo para geracao do codigo de resposta;

• Codigo de Resposta: Codigo para liberar o registro do produto;

Neste segundo formulario, voce deve fornecer o Codigo de Resposta. O administradorobtera o codigo de resposta depois de solicitar a liberacao da sua versao junto ao nossodepartamento comercial, clicando no botao Obter On-line. Uma janela se abrira como codigo e o administrador deve copiar o codigo, informado para o campo Codigo deResposta desse formulario e, finalmente, clicar em Registrar.

Nettion R© registrado. Vamos entao descobrir como configura-lo de forma a usar eficien-temente todos os recursos que o software oferece.

2.3 Login

Para acessar a interface de administracao do Nettion R©, o administrador deve logar-se,informando nome de usuario e senha, como mostrado na figura 2.3 na pagina 15:

• Usuario: nome do usuario. Ex.: nettion;

• Senha: senha do usuario. Ex.: nettion;

Obs: a senha original do usuario nettion e “nettion”. Por medidas de seguranca e impor-tante que voce a altere logo apos o primeiro logon.

E possıvel escolher entre os idiomas portugues e ingles, alem de acessar a interface doNettion R© usando uma conexao segura HTTPS.Caso deseje utilizar HTTPS, marque a caixa Conexao Segura.

2.4. TELA INICIAL 15

Figura 2.3: Formulario de login

Agora e hora de iniciarmos as configuracoes propriamente ditas. E importante que voceinicie pelas Configuracoes Basicas do produto (veja capıtulo 3). Neste capıtulo voceaprendera como alterar a senha do administrador, configurar as demais interfaces de rededo equipamento e como ligar o seu Nettion a Internet.

2.4 Tela Inicial

Ao logar-se no Nettion R©, a tela inicial (home) e exibida. Nela, estao contidas variasinformacoes gerenciais importantes a respeito do estado do sistema. Veja a figura 2.4 aseguir:

Figura 2.4: Tela Inicial do Nettion

A tela “Home”do Nettion e dividida em quadros. Cada quadro agrupa um tipo especıficode informacao. Nela, e possıvel verificar atraves de seus quadros:

16 CAPITULO 2. INSTALACAO/REGISTRO/LOGIN

• Dados da licenca do Nettion;

• Os NettionPlugs instalados e datas de instalacao e expiracao;

• Estado atual dos links instalados no Nettion;

• Sumario semanal do estado da CPU e Memoria;

• Estado atual da particao “/var”;

• Estatısticas dos filtros de e-mails;

• Estatısticas de acesso via Proxy;

• Ultimas notıcias Nettion.

Porem, tantas informacoes a serem exibidas podem fazer com que a carga inicial dainterface demore. Devido a isto, e possıvel desativar alguns quadros, bastando para issoclicar no botao localizado no canto superior-direito do quadro que se deseja desativar.Para reativa-lo, clique novamente no mesmo botao, como mostra a figura 2.5.

Figura 2.5: Desabilitando Quadros na Tela Inicial

Capıtulo 3

Configuracoes

3.1 Basicas

No primeiro acesso ao Nettion R©, o administrador deve acessar o menu ConfiguracoesBasicas e atualizar os seus dados, tais como senha padrao, envio de e-mails do sistema eData/Hora do sistema para registro nos relatorios.Para a sua seguranca, o administrador deve alterar a senha do usuario Nettion R© poruma senha pessoal, que so devera ser conhecida por pessoas autorizadas a administrar osistema. Lembre-se de alterar essa senha, caso ela se torne conhecida por terceiros.

Obs.: No capıtulo 5, voce podera obter informacoes sobre como criar usuarios e perfis deacesso ao sistema. Desta forma, voce podera criar um usuario e definir os modulos doNettion R© que poderao ser acessados.

3.1.1 Graficos

Por padrao, todos os graficos do Nettion R© sao ativados. Porem, e possıvel informar aosistema quais graficos ficarao ativos. Para isso, acesse o menu Configuracoes → Graficos.Na tela que sera exibida, clique na caixa de verificacao dos graficos que deseja desativare clique no botao Salvar Configuracoes.

Figura 3.1: Configuracao dos Graficos do Sistema

17

18 CAPITULO 3. CONFIGURACOES

3.1.2 Administrador

SenhaPara alterar a senha, preencha os campos senha atual, nova senha e confirmacao e cliqueno botao Salvar Configuracoes.

Figura 3.2: Alteracao de senha

E-mail do AdministradorPara configuracao do E-mail, preencha os campos E-mail do Administrador, seu Servi-dor SMTP e clique no botao Salvar Configuracoes. Este e-mail sera utilizado peloNettion R© para enviar algumas notificacoes ao administrador, como por exemplo, notifi-cacao de algum problema no sistema de backup.

Figura 3.3: Configuracoes de E-mail

Portas de AdministracaoNesta tela e possıvel redefinir as portas para acesso ao Nettion R© (HTTP e SSH). Porpadrao, as portas definidas sao 80/TCP para o acesso web (Interface de Administracao)e 22/TCP para acesso ao shell do Nettion R© (Console do Nettion Linux). Modifique-asconforme a necessidade e clique no botao Salvar Configuracoes.

3.1. BASICAS 19

Figura 3.4: Portas de Administracao HTTP e SSH

3.1.3 Data/Hora

Para configurar data e hora do sistema, voce tem duas opcoes: configurar manualmente(Clock Local) ou sincronizar com algum servidor NTP (Network Time Protocol).

Figura 3.5: Configuracao manual de data e hora

(a) Clock Local

• Time Zone: selecione seu fuso horario;

• Zona do relogio da CPU: escolha se deseja usar seu fuso horario (Horario Local)ou o horario de Greenwich (GMT);

• Data: ajuste a data no formato dia/mes/ano (DD/MM/AAAA);

• Horario: ajuste a hora no formato hora:minuto (HH:MM).


Figura 3.6: Configuracao Servidor NTP

(b) Servidor NTP

• Time Zone: selecione seu fuso horario;

• Zona do relogio da CPU: escolha se deseja usar seu fuso horario (Horario Local)ou o horario de Greenwich (GMT);

• Servidores NTP: os enderecos dos servidores de NTP com os quais deseja sin-cronizar data e hora. Lembre-se de inserir pelo menos um servidor, caso desejeutilizar esse recurso.

Firewall

E necessario que algumas regras de Firewall sejam criadas para garantir que os recursoscitados neste capıtulo funcionem corretamente. Sao elas:

Data/Hora Servidor NTP

Permite que o Nettion comunique-se com os servidores NTP configurados.

Um resumo da regra necessaria encontra-se na tabela 3.1 a seguir:

Regra: Nettion -> NTP ServersOrigem Destino Serv. Destino Acaolocalhost Qualquer ntp Aceitar

Tabela 3.1: Liberando Nettion para NTP servers

3.1. BASICAS 21

Acesso ao Console e a Interface Web do Nettion

Permite o acesso ao Nettion R© pelo Administrador do Sistema e pelo Suporte Re-moto Nettion. As regras a serem criadas deverao utilizar os servicos predefinidos “http”,“https”1 e “ssh”, se assim estiver definido na area de configuracao “Portas de Adminis-tracao”.

Se as portas padrao forem modificadas, objetos de servicos personalizados deverao sercriados fazendo referencia a cada porta modificada.

Nota: No capıtulo 4, voce podera obter mais informacoes sobre a utilizacao deobjetos de servicos pre-definidos e personalizados.

Um resumo das regras de firewall necessarias encontra-se nas tabelas 3.2 e 3.3 a seguir.

Regra: Administrador -> NettionOrigem Destino Serv. Destino Acao

Host Administrador localhosthttp

Aceitarhttpsssh

Tabela 3.2: Liberando acesso ao Nettion R© para o Admimistrador do Sistema

Regra: Suporte Remoto -> NettionOrigem Destino Serv. Destino Acao

Suporte Remoto localhosthttp

Aceitarhttpsssh

Tabela 3.3: Liberando acesso ao Nettion R© para o Suporte Remoto Nettion

OBS.: Todos os detalhes de como configurar o Firewall e suas regras encontram-se noCapıtulo 8 na pagina 79.

1A porta 443/TCP utilizada para acesso ao Nettion R© via https nao pode ser redefinida.


3.2 Rede

3.2.1 Interface/Conexoes

Nesta secao voce podera fazer a configuracao das demais interfaces e conexoes de rede doseu equipamento (a primeira ja foi configurada durante a instalacao).

Interfaces Ethernet (LAN)

Como comentado, o Nettion ja configura a primeira interface Ethernet do equipamento(eth0) durante a instalacao do software. Para incluir as demais Interfaces de rede, acessea opcao de menu Configuracoes → Rede → Interfaces/Conexoes. Na tela seguinte, vocetera acesso a listagem das interfaces ja cadastradas no seu Nettion, como segue no exemploda figura 3.7 (pagina 22).

Figura 3.7: Listagem de Interfaces e Conexoes

Para incluir uma nova Interface Ethernet siga os seguintes passos (veja tambem a figura3.8 na pagina 23):

• Clique no botao “Incluir” localizado abaixo da listagem;

• Na tela seguinte, selecione o tipo de interface “Ethernet” e clique em “Avancar”eaguarde;

• Neste momento o Nettion fara a deteccao das demais placas de rede instaladas eseus respectivos drivers. Cada interface detectada sera mostrada na tela seguite.Selecione uma delas e clique em avancar.Importante: Caso o driver do dispositivo nao tenha sido identificado automatica-mente, o dispositivo sera listado marcado com um “*”. Nestes casos, e provavel queo Nettion nao possua o driver apropriado para suporta-lo. Por favor, entre em con-tato com o fabricante atraves do endereco [email protected] e envie o maiornumero de informacoes do dispositivo possıvel, tais como: modelo, fabricante echipset.

• Na tela seguinte preencha as informacoes do seu dispositivo de rede:

– Driver: Detectado automaticamente por padrao.

– Endereco IP: indique o endereco IP que sera atribuıdo ao dispositivo, ou cliquena opcao DHCP para que o Nettion utilize um IP fornecido por um servidorDHCP de sua rede;

3.2. REDE 23

– Mascara de Rede: Indique a mascara de rede utilizada;

– Velocidade: indique a velocidade do dispositivo. Esta informacao sera utilizadano servico de Controle de Banda;

– Descricao: indique uma descricao sobre a interface de rede, como “Interface daIntranet”;

– Obter DNS do servidor: Obter automaticamente a configuracao de DNS. Isto epossıvel nos casos em que o DHCP e ativado.

– Responder requisicoes DNS nesta interface: esta opcao faz com que o Nettionanuncie seu servico de DNS nesta interface;

– Ativar no boot: indique “Sim” para ativar a interface automaticamente no bootdo Nettion R©.

Figura 3.8: Inclusao/Edicao de Interface Ethernet

3.2.2 Sub-Interfaces

O Nettion suporta tambem a inclusao de sub-interfaces de rede. Elas estao sempre asso-ciadas a uma Interface fısica e possuem basicamente duas finalidades:

1. IPs adicionais em uma Interface: permite que uma interface responda por outrosenderecos IPs, alem do principal.

2. Conexoes ADSL: permite que uma conexao ADSL seja atribuıda a uma Interface.Esta opcao so estara disponıvel quando a Interface for do tipo DHCP, como seravisto mais a frente.

IPs Adicionais

Para incluir um endereco adicional a uma Interface siga os passos (veja tambem figura3.9 na pagina 24):


• Na tela de listagem, selecione a Interface que recebera o IP adicional e clique nobotao “Itens”;

• Na tela seguinte, sera apresentada uma listagem de subinterfaces do dispositivo.Clique no botao “Incluir”;

• Na tela seguinte, selecione o tipo “Sub-Interface” e clique em avancar;

• Agora indique: Enderecco IP, Marcara de rede, Descricao e se a interface responderapor requisicoes DNS na subinterface.

• Para finalizar, clique no botao “Adicionar Interface”.

Figura 3.9: Inclusao de Sub-interface

Apos a inclusao, a Sub-interface sera listada como mostrado na figura 3.10 (pagina 24).Observe que o nome da subinterface tem o mesmo nome do Interface principal + numeroda subinterface. Caso seja necessario, inclua outras subinterfaces seguindo o mesmoprocedimento.

Figura 3.10: Listagem de Sub-interfaces de um dispositivo de rede

3.2. REDE 25

Conexoes ADSL (WAN)

Para incluir uma Conexao ADSL a Interface principal (fısica) deve estar configurada parareceber IP via DHCP e deve estar com a configuracao “Ativar no boot” como “Nao”, comomostrado na figura 3.11 da pagina 25.

Figura 3.11: Configuracao de Interface para conexao ADSL

Importante: Estas conexoes dependem de um modem ADSL devidamente instalado econfigurado. Os modems ADSL podem estar configurados no modo “bridge”, onde oNettion R© fara o gerenciamento da conexao ADSL e ficara com o IP disponibilizado peloprovedor(recomendado), ou em modo “router”, onde o modem sera o responsavel porfazer esta gerencia. As configuracoes a seguir sao para o modo “bridge”. Caso esteja emmodo “router”configure a interface ethernet de modo que ela se comunique com o modeme configure o Gateway do Nettion R© apontando para o IP do modem.

O prodecimento e semelhante ao da inclusao de IPs adicionais (veja tambem figura 3.12na pagina 26):

• Na tela de listagem, selecione a Interface que recebera a conexao ADSL e clique nobotao “Itens”;

• Na tela seguinte, sera apresentada uma listagem de subinterfaces do dispositivo.Clique no botao “Incluir”;

• Na tela seguinte, selecione o tipo “ADSL(wan)” e clique em avancar;

• Na tela seguinte, preencha as infornacoes do seu provedor ADSL:

– Usuario: login de acesso;

– Senha: senha de acesso;

– Parametros extras: somente se necessarios e fornecidos pelo provedor;

– Velocidade: indique a velocidade do link;


– Obter DNS do Servidor: marque para que o Nettion receba as informacoes deDNS do provedor;

– Ativar no boot: indique“Sim”para que a conexao seja ativada automaticamenteno boot;

Figura 3.12: Configuracao de Conexao ADSL

Apos a inclusao sua interface ADSL sera listada como segue a na figura 3.13 (pagina 26),com informacoes de IP e Status da conexao. Caso o Status nao esteja ok (vermelho)verifique novamente as configuracoes da conexao.

Figura 3.13: Listagem da Conexao ADSL

3.2.3 Gateways

Para que o Nettion R© possa ter acesso a Internet e necessario que ele tenha pelo menosum Gateway, ou seja, pelo menos uma saıda de acesso para a Internet. Portanto, esta euma configuracao importante na implantacao do seu Nettion. Voce vera tambem que oNettion gerencia multiplos Gateways, fazendo todo o tratamento de redundancia e bal-anceamento dos links.

3.2. REDE 27

Edicao de Gateways

Geralmente um Gateway ja e configurado durante a instalacao do Nettion no equipa-mento. Caso voce queira editar suas informacoes siga os passos abaixo:

• Acesse o menu Configuracoes → Rede → Gateways → Configuracoes;

• Na tela seguinte, da listagem de gateways cadastrados, selecione o Gateway quedeseja editar e clique no botao editar.

• Na tela seguinte:

– Interface: indique a interface do Nettion que esta diretamente ligada ao gate-way. No caso de um Gateway para conexao ADSL, selecione a Interface ADSLcorrespondente;

– Gateway: indique o IP do Gateway, ou seja, o IP atraves do qual o Nettiontera acesso a Internet - que e fornecido pelo seu provedor de acesso. No casode um gateway dinamico, como DHCP ou ADSL, marque a opcao “Obtidodinamicamente”;

– Participacao na rota padrao: indique a porcentagem de participacao deste linkna saıda padrao do Nettion para a Internet. Em caso de um unico link o padraosera 100%;

– Timeout: indique aqui o tempo maximo sem resposta (em segundos) em que oNettion ira considerar que um gateway esta fora. O Nettion mudara o estadode um gateway para “down” quando este parar de responder dentro do tempoaqui estipulado. Para nao indicar um limite de tempo, selecione a opcao ao lado“Ilimitado”;

– Redefenir configuracoes na mudanca de estado do gateway: marque esta opcaocaso deseje que o Nettion redefina as configuracoes dos gateways a cada mudancade estado, como por exemplo, as configuracoes de participacao dos gateways narota padrao.

Inclusao de novos Gateways e Multiplos Links Internet

Caso nao haja nenhum Gateway configurado, ou voce queira fazer a inclusao de Gatewaysadicionais, para o caso de multiplos Links Internet, siga os passos a seguir.

• Acesse o menu Configuracoes → Rede → Gateways → Configuracoes;

• Na tela seguinte, da listagem de gateways cadastrados, clique no botao “Incluir”.

• Na tela seguinte:

– Interface: indique a interface do Nettion que esta diretamente ligada ao gate-way. No caso de um Gateway para conexao ADSL, selecione a Interface ADSLcorrespondente;

– Gateway: indique o IP do Gateway, ou seja, o IP atraves do qual o Nettiontera acesso a Internet - que e fornecido pelo seu provedor de acesso. No casode um gateway dinamico, como DHCP ou ADSL, marque a opcao “Obtidodinamicamente”;


– Participacao na rota padrao: indique a porcentagem de participacao deste linkna saıda padrao do Nettion para a Internet em relacao aos outros Gateways jacadastrados. Em caso de um unico link o padrao sera 100%.

– Timeout: indique aqui o tempo maximo sem resposta (em segundos) em que oNettion ira considerar que um gateway esta fora. O Nettion mudara o estadode um gateway para “down” quando este parar de responder dentro do tempoaqui estipulado. Para nao indicar um limite de tempo, selecione a opcao ao lado“Ilimitado”;

– Redefenir configuracoes na mudanca de estado do gateway: marque esta opcaocaso deseje que o Nettion redefina as configuracoes dos gateways a cada mudancade estado, como por exemplo, as configuracoes de participacao dos gateways narota padrao.

Perceba que o trafego pode ser dividido de acordo com um percentual especificado (Parti-cipacao na Rota Padrao), permitindo definir prioridades quanto ao uso de um dos links.E possıvel tambem que um gateway nao participe da rota padrao (0%). Neste caso, o linksera utilizado atraves de duas formas: por acessos, originados externamente a servicosdisponıveis na sua rede (Ex.: VPN, E-mail, Portal Web) e por trafego, previstos nasregras de “roteamento avancado” como sera mostrado no topico adiante.

Monitoramento Por padrao, os links sao monitorados pelo sistema que reconfiguraautomaticamente o ambiente de acordo com a disponibilidade. Cada mudanca e registradano estado dos seus links, permitindo sua auditoria.

Para isso acesse o menu Configuracoes → Rede → Gateways → Historico de Status. Orelatorio de estado dos gateways sera exibido, conforme mostra a figura 3.14 abaixo:

Figura 3.14: Monitoramento dos Gateways

Porem, e possıvel editar as opcoes de monitoramento do estado dos gateways conforme asua necessidade.

Para isso, selecione o gateway desejado e clique no botao “Editar”. As opcoes de edicaodo gateway serao exibidas, como mostra a figura 3.15 a seguir, modifique as opcoes deconfiguracao conforme a secao “Edicao de Gateways” deste capıtulo.

3.2. REDE 29

Figura 3.15: Edicao de Gateways

3.2.4 DNS

Nesta secao, voce configura o nome da maquina e os servidores DNS que serao consultadospelo Nettion R© para a resolucao de nomes Internet. O nome da maquina deve ser com-pleto (nome do maquina + dominio). Se voce nao possuir um dominio, podera utilizarlocaldomain. Pelo menos um servidor DNS deve ser configurado para o correto funciona-mento do produto. Essa configuracao pode ser automatica, se voce tem uma interfaceEthernet ativa configurada via DHCP, ou uma conexao ADSL, sendo preciso, apenas,selecionar o item Obter DNS do servidor na configuracao da respectiva conexao. Oproprio Nettion podera ser o servidor DNS, desde que ele possua acesso direto a Internetna porta 53 TCP e UDP. Para utiliza-lo como servidor, indique o IP 127.0.0.1.

Figura 3.16: Nome da maquina e configuracao de DNS


3.2.5 Roteamento

Nessa secao e possivel incluir regras que controlarao o destino do seu trafego de rede.

Basico

Roteamento basico ou pelo destino e a funcionalidade que torna alcancavel uma rede/hostpor meio de um host (gateway), tambem alcancavel. Ex.: A rota a seguir faz com que otrafego para as redes 192.168.50.0/24 e 172.16.20.0/16 possa ser entregue com o intermediodos hosts 192.168.1.254 e 192.168.1.253 respectivamente, atraves da interface eth0 (vejafigura 3.17).

Figura 3.17: Listagem de rotas

Figura 3.18: Inclusao de rota basica

3.2. REDE 31

Avancado

O roteamento avancado so faz sentido em um ambiente que possua mais de um link deinternet. Nele, voce tem o poder de escolher um conjunto completo de caracterısticas dotrafego, que sera encaminhado especificamente por um dos gateways cadastrados. Cadaregra pode conter uma lista prioritaria de gateways por onde aquele trafego deve ser en-caminhado, sendo utilizado sempre o primeiro, com estado ativo, como na figura 3.19.

Figura 3.19: Listagem de regras do Roteamento Avancado

A criacao destas regras e bem simples. Primeiramente, seria interessante ja se ter bemclaro o que se deseja fazer. Se necessario, faca um esboco do trafego desejado antes. Aposisso, utilizando o Wizard do Roteamento avancado, crie as regras da forma desejada. Oprocesso de criacao das regras e feito em quatro passos, os quais serao mostrados a seguir.

• Passo 1 Informe uma descricao, a posicao que a regra vai ocupar na lista e no seuestado (ativo ou inativo) conforme figura 3.20 a seguir.

Figura 3.20: Criando regra - Passo 1


• Passo 2 Selecione o horario em que essa regra sera valida. Os horarios disponıveissao os definidos em Objetos>Horarios conforme a figura 3.21 a seguir.


• Passo 3 Neste passo voce selecionara os servicos e/ou hosts que terao seu trafegoroteados por um link especıfico.


– Em “Filtros de Origem - Hosts” selecione para a caixa da esquerda o(s) Host(s)ou Rede(s) de onde se originam as conexoes. Caso queira especificar qualquerorigem, deixe a caixa da esqueda vazia;

– Em “Filtros de Origem - Servicos” selecione para a caixa da esquerda o(s)servico(s) de origem. Caso queira especificar qualquer servico, deixe a caixada esquerda vazia;

3.2. REDE 33

– Em “Filtros de Destino - Hosts” selecione para a caixa da esquerda o(s) Hosts(s)ou Rede(s) de destino da conexao. Caso queira especificar qualquer destino,deixe a caixa da esqueda vazia;

– Em “Filtros de Destino - Servicos” selecione para a caixa da esquerda o(s)servico(s) de destino. Caso queira especificar qualquer servico, deixe a caixada esquerda vazia;

– Perceba que atraves destas opcoes voce tera toda flexibilidade de especificarexatamente o trafego que deseja controlar, seja de uma determinada origeme/ou para um determinado destino.

• Passo 4 Os gateways podem ser selecionados em uma lista de prioridades, ondeaquele que estiver acima, sera o primeiro utilizado. Os gateways seguintes seraoutilizados de acordo com a ordem estabelecida a medida que os gateways superioresfalharem.

A marcacao da opcao Caso todos os Gateways selecionados falhem encam-inhar pela rota padrao faz com que o gateway padrao do Nettion seja utilizadoem caso de falha de todas as saıdas selecionadas. Veja figura 3.23 abaixo.


• Configuracoes AvancadasPor padrao o Nettion faz o mascaramento (NAT) das conexoes feitas pelos hostscom IPs privados com destino a Internet (vindos da sua rede interna, por exemplo).Esta secao o permite desabilitar esta funcao, para o caso onde voce queira explici-tamente informar para o Nettion nao mascarar o trafego (vindo da rede DMZ comIPs publicos, por exemplo) ou permite a selecao do IP que sera utilizado para omascaramento de cada Gateway, conforme mostrado na figura 3.24 a seguir.


Figura 3.24: Criando regra - Configuracoes Avancadas

3.2.6 DNS Dinamico

Os servicos de DNS Dinamico sao especialmente uteis para conexoes Internet com en-dereco IP dinamico pois permitem que voce encontre seu Nettion a partir de um nome,como por exemplo, nettion-minhaempresa.dyndns.org e possa fazer conexoes, como VPN.A configuracao deste servico no Nettion garante a atualizacao do DNS quando houvermudanca do endereco IP da sua interface dos tipos ADSL ou Ethernet com DHCP. Comisso, sempre sera possıvel acessar o seu Nettion R© pelo Host configurado.

A listagem da figura 3.26 (pagina 35) mostra o exemplo de um servico de DNS Dinamicoconfigurado no Nettion.

Figura 3.25: Listagem de servicos de DNS dinamico

Para configurar este sevico, voce deve estar cadastrado em um dos servicos gratuitos deDNS Dinamico listados a seguir:

3.2. REDE 35

• No-IP (http://www.no-ip.com)

• DynDNS (http://www.dyndns.com)

• ChangeIP (http://www.changeip.com)

Apos o cadastro feito no site do servico voce tera em maos as informacoes de “Usuario”,“senha”e “host”que servirao de entrada para as configuracoes do Nettion. Para incluir umservico, clique no botao “Incluir”e preencha as informacoes de acordo com a figura 3.26abaixo.

Figura 3.26: Inclusao de servico de DNS dinamico

3.2.7 Graficos

Interfaces

Nesta secao encontram-se os graficos de consumo da banda por interface do Nettion.Alem do recurso do monitoramento on-line, voce tem ainda a opcao de consultar todo ohistorico de cada grafico. Veja o exemplo na figura 3.27 abaixo.

Figura 3.27: Grafico de consumo de banda por Interface de Rede

Capıtulo 4

Objetos

Com o intuito de simplificar o modo de configurar os servicos, o Nettion R© trabalha como conceito de objetos, que consiste em um conjunto de informacoes mapeadas em objetosque serao utilizadas pelos varios servicos disponibilizados pelo software.Os objetos estao classificados conforme o tipo de informacao que armazenam, facilitandosua manutencao. O ideal e que o administrador faca um levantamento previo do am-biente de rede, identificando os objetos que devem ser criados, economizando tempo naconfiguracao dos servicos.

Relacionamos abaixo alguns dos servicos disponibilizados pelo Nettion R© e os respectivosobjetos por eles utilizados:

• Roteamento Avancado: hosts e redes, servicos e horarios;

• Proxy: domınios, expressoes, horarios, hosts e redes;

• Controle de Banda: hosts e redes;

• Firewall: hosts e redes, servicos e horarios;

• NIDS: hosts e redes;

• OpenVPN: hosts e redes;

• DHCP: hosts e redes;

Observe este exemplo:

Para referenciar o IP de uma estacao de trabalho da sua empresa, um admin-istrador criou o objeto do tipo host com o nome Est 01, atribuindo-lhe um certoIP 192.168.254.10 com a Mascara de Rede 255.255.255.255. Em seguida,utilizou o objeto Est 01 nas regras do proxy, Controle de Banda, Firewall eNIDS.

Se por algum motivo voce tiver que alterar o IP da Est 01 basta voce alterar o IP do Ob-jeto e todas as configuracoes do Nettion que utilizam este Objeto serao automaticamenteatualizadas para o novo IP.

37

38 CAPITULO 4. OBJETOS

4.1 Manutencao de Objetos

Apos selecionar uma classe (tipo) de objeto no menu principal, sera exibida para o ad-ministrador uma lista contendo os objetos cadastrados (caso existam). A exibicao podeser ordenada por qualquer uma das colunas mostradas, sendo necessario somente queo administrador clique sobre a coluna especıfica para que o sistema alterne a exibicaoe ordenacao dos itens da lista. Use a barra de rolagem para navegar entre os objetoscadastrados. O administrador podera, entao, incluir, alterar ou excluir um objeto, porexemplo, clicando nos respectivos botoes.1

4.1.1 Inclusao de Objetos

Para incluir novos objetos, o administrador deve dar um clique no botao “Incluir” (vejafigura 4.1 na pagina 38).

Figura 4.1: Botao Incluir

Ao clicar no botao Incluir, sera exibida a tela de inclusao, onde se deve preencher oscampos referentes ao objeto a ser criado. Para confirmar a inclusao, clique no botaoSalvar Configuracoes.

4.1.2 Edicao de Objetos

Para acessar o modulo de edicao, o administrador deve dar um clique duplo sobre o objetoque deseja editar ou seleciona-lo e clicar no botao Editar (veja figura 4.1.2 na pagina38). Na tela de edicao, o administrador podera alterar os dados cadastrais do objeto

Figura 4.2: Botao Editar

selecionado e confirmar as alteracoes com um clique no botao Salvar Configuracoes.

4.1.3 Manutencao dos Itens do Objeto

Os objetos do tipo Domınios, Expressoes, Horarios e Servicos sao formados por gruposde objetos, ou seja, cada objeto possui seus itens. Para ter acesso aos itens, selecione oobjeto desejado e clique no botao Itens (veja figura 4.1.3 na pagina 39). Sera exibida alista dos itens cadastrados para o objeto selecionado e os controles para a manutencao

1Os botoes Editar, Itens e Deletar. Estarao habilitados apenas quando houver um objeto selecionado.

4.1. MANUTENCAO DE OBJETOS 39

Figura 4.3: Botao Itens

do cadastro dos itens do objeto. A manutencao dos itens utilizados segue o padrao deprocedimentos utilizados para a manutencao do objeto (inclusao, edicao e exclusao).

4.1.4 Exclusao de Objetos

Para excluir um objeto especıfico, basta seleciona-lo e clicar no botao Deletar. O ad-

Figura 4.4: Botao Deletar

ministrador podera selecionar mais de um objeto e apagar todos eles clicando uma unicavez no botao apropriado. Para selecionar objetos consecutivos, mantenha pressionada atecla Shift, clique uma vez no objeto que dara inıcio a selecao e clique uma segunda vezno objeto que finalizara a selecao. Sera exibida uma tela solicitando a confirmacao daexclusao do(s) objeto(s) selecionado(s). Isso evita que o administrador exclua um ou maisobjetos acidentalmente.

Nota: O sistema nao efetuara a exclusao no caso do objeto possuir itenscadastrados ou quando estiver associado a regras de firewall, proxy ou cont-role de banda, etc, sem que antes seja removida a associacao. Uma tabela deresumo sera exibida, listando todas as regras/servicos em que o objeto estejainserido.

4.1.5 Consulta de Objetos

Para realizar a consulta de um objeto, basta acessar a guia de consultas no cadastro doobjeto desejado. Cada objeto possui suas proprias opcoes de consulta, porem todas astelas seguem o mesmo padrao de funcionamento. A figura 4.5 a seguir mostra, a tıtulode ilustracao, a tela de consulta de objetos2 de “Hosts e Redes”.

Figura 4.5: Tela de Consulta de Objetos

2Lembre-se que a tela de consultas segue o mesmo padrao de funcionamento, mudando apenas os campos deacordo com o objeto selecionado.


4.2 Hosts e Redes

No cadastro de hosts e redes o administrador criara a lista dos IP’s que serao utilizadosna configuracao do Nettion R©. Entende-se por host o IP de uma maquina especıfica,assim como entende-se por rede um IP que represente um intervalo de IP’s. O Nettion R©interpreta como host o objeto de mascara 255.255.255.255; os demais, serao interpretadoscomo sendo redes. Veja o exemplo de listagem de objetos de hosts e redes na figura 4.6(pagina 40).

Figura 4.6: Hosts e Redes

4.2.1 Manutencao do Cadastro de Hosts e Redes

A manutencao do cadastro de hosts e redes segue o padrao estabelecido anteriormente(vide secao 4.1) . Para hosts e redes deverao ser preenchidos os seguintes campos (con-forme figura 4.7 na pagina 40).

• Objeto: nome a ser dado ao objeto. Ex: Web Server;

• Endereco IP: endereco IP do host ou da rede. Ex: 192.168.1.2;

• Mascara: mascara da rede onde o objeto se encontra. No caso de o objeto ser umhost, lembre de usar a mascara 255.255.255.255/32;

• Descricao: texto explicativo sobre o objeto. Ex: Servidor Web da empresa.

Figura 4.7: Adicionando objeto do tipo Host/Rede

4.3. DOMINIOS 41

4.3 Domınios

No cadastro de domınios, o administrador devera criar a lista dos grupos de domınios queserao utilizados na configuracao do Nettion R©. Cada grupo podera conter um ou maisdomınios. Veja um exemplo de uma listagem de objetos de Domınio na figura 4.8 napagina 41.

Figura 4.8: Listagem de grupos de domınios

4.3.1 Manutencao do cadastro de domınios

A manutencao do cadastro de domınios e dos itens segue o padrao estabelecido anterior-mente. Para domınios, deverao ser preenchidos os seguintes campos (veja figura 4.9 napagina 41):

• Nome: nome que voce deseja dar ao grupo Ex: Governamentais;

• Descricao: descricao acerca do grupo. Ex: Domınios Governamentais.

Figura 4.9: Formulario de configuracao de grupo de domınios

Para Incluir os itens do Grupo de Domınios, selecione o grupo desejado e clique no botaoItens. Na tela seguinte voce encontrara uma tela com a listagem de itens do domınio.Clique no botao “Incluir”e preencha as informacoes sobre o item:


• Domınio: digite o domınio iniciando por ponto (“.”) para identificar todo o domınio(ex:.hotmail.com) ou para identificar um host especıfico do domınio utilize sem oponto (Ex: login.hotmail.com).

• Descricao: descricao acerca do item. Ex: Domınios bloqueados.

Obs.: O Nettion valida os domınios inseridos, impedindo que domınios invalidos sejamadicionados.

4.4 Expressoes

Nesta secao, o administrador podera cadastrar grupos de expressoes (palavras ou ex-pressoes regulares) para serem utilizados na configuracao do proxy, e, como ocorre comos domınios, cada grupo podera conter um ou mais itens, tornando possıvel a utilizacaodo grupo inteiro em uma unica regra do proxy.

4.4.1 Manutencao do Cadastro de Expressoes

A manutencao do cadastro de expressoes e dos itens seguem o padrao estabelecido ante-riormente. Para expressoes deverao ser preenchidos os seguintes campos:.

• Nome: nome que voce deseja dar ao grupo Ex: Expressoes Proibidas;

• Descricao: descricao acerca do grupo. Ex: Expressoes que devem ser bloqueadas.

Para Incluir os itens do Grupo de Expressoes, selecione o grupo desejado e clique no botaoItens. Na tela seguinte voce encontrara uma tela com a listagem de itens do grupo deexpressoes. Clique no botao ”Incluir”e preencha as informacoes sobre o item:

• Tipo: tipo do item a ser criado, se Palavra ou Expressao regular3.

• Palavra: palavra que devera ser identificidada na URL pelo Proxy do Nettion. Ex:sexo.

• Posicao: posicao na qual a palavra deve ser identificada. Caso queira, por exemplo,identificar URLs terminadas por “.exe”, escolha a opcao “no final”.

• Palavra inteira: selecione “Sim”para identificar apenas na palavra inteira, ou seja,nao sera identificada quando a palavra estiver contida em outras palavras. Para oexemplo da palavra sexo, sexologia nao bateria com o padrao. Selecione “Nao”paracriticar a palavra mesmo dentro de outras palavras.

4.5 Horarios

No cadastro de horarios, devera ser criada a lista dos horarios que serao utilizados naconfiguracao do Nettion R©. Com base nesses horarios, o administrador podera criar regrasno Proxy, no Firewall, etc, para fazer o controle de acesso.

3o Nettion possibilita a inclusao de expressoes regulares mais complexas atraves da escolha do tipo ExpressaoRegular, porem, a escolha do tipo Palavra associada as outras opcoes como ”Posicao”e ”Palavra Inteira”atendem agrande maioria dos casos.

4.6. SERVICOS 43

4.5.1 Manutencao do cadastro de horarios

A manutencao do cadastro de horarios e dos itens segue o padrao estabelecido anterior-mente. Para horarios, deverao ser preenchidos os seguintes campos:

• Objeto: nome a ser dado ao horario. Ex: Expediente;

• Descricao: texto para detalhamento do horario. Ex: Horario de trabalho normal.

4.5.2 Determinando Intervalos

O administrador podera definir o horario selecionando uma ou mais celulas da tabelacomposta por dias e horarios. A selecao sera feita com o mouse da seguinte forma: oadministrador deve clicar na celula inicial com o botao esquerdo do mouse, mantendo-opressionado durante o deslocamento do cursor na tela e selecionando o intervalo desejado.Uma vez selecionada a regiao desejada, clique no botao ”Marcar”. Um mesmo objeto dehorario pode ter varias regioes de horarios selecionadas.Caso deseje fazer um ajuste para fracionamento de horas, apos selecionar a regiao de-sejada, sera exibida uma linha com os campos para ajustes juntamente com os botoesMarcar e Desmarcar. O usuario podera alterar o conteudo dos campos de acordo comsua necessidade e dar um clique em Marcar ou Desmarcar conforme o caso. Para con-firmar as definicoes de intervalo, o usuario devera clicar no botao Salvar Configuracoes.

4.6 Servicos

Nesta secao o administrador podera cadastrar servicos para serem utilizados mais adiantena configuracao das funcionalidades do Nettion. Ha tambem a opcao de checar os servicospre-definidos pelo Nettion R©. O Nettion ja possui cadastrado uma serie de servicos, osmais conhecidos na Internet, que sao os objetos de servicos Predefinidos.

4.6.1 Predefinidos

Aqui, o administrador podera consultar a lista de servicos predefinidos pelo Nettion R©. Aoselecionar um servico, clique em itens para visualizar as portas que determinado servicoutiliza.

4.6.2 Personalizados

Caso o servico desejado nao esteja cadastrado no Nettion, o administrador pode criarservicos personalizados e para tanto, ele devera acrescentar um novo grupo de servicos,cliando em “Incluir”. Na tela seguinte, identifique um nome e uma descricao para o seuServico.


Para incluir itens a um servico, selecione o servico desejado e clique em ”Itens”. CadaServico pode conter uma ou mais combinacoes de protocolo/porta.

Para cada item de um servico os itens abaixo deverao ser configurados:

• Protocolo: TCP, UDP, ICMP, GRE, ESP ou HA;

• Porta: Pode ser um numero, uma faixa ou um servico especial P2P;

• Descricao: Inclua uma descricao para o item;

• Incluir tambem este servico para o protocolo UDP: Marque esta opcao caso queirainserir esta mesma porta para o protocolo UDP (esta opcao so estara disponıvel casovoce esteja inserindo um servico TCP).

4.7 Categorias

Na secao categorias, o Administrador podera categorizar/classificar URL’s para a apli-cacao em regras do Proxy. O Administrador pode consultar se determinada URL estacadastrada no Nettion e em que grupo de categorias ela esta. Caso o Nettion aindanao possua determinada URL pesquisada, o Administrador podera incluir e definir a quegrupo ela ira pertencer.

4.7.1 Predefinidos

Aqui, o administrador podera consultar a lista de categorias predefinidas pelo Nettion R©.Existe integrada no Nettion uma lista de URL’s, as quais o Administrador nao conseguevisualizar selecionando as categorias e clicando em itens, podendo apenas pesquisar sedeterminada url ja esta cadastrada no Nettion R©.

Figura 4.10: Categorias Pre-definidas

4.8. MIME TYPE 45

4.7.2 Personalizados

Caso a categoria desejada nao esteja cadastrada no Nettion R©, o administrador podecriar categorias personalizadas e para tanto, ele devera acrescentar um novo grupo decategorias, clicando em “Incluir”. Na tela seguinte, identifique um nome e uma descricaopara a sua Categoria. Em seguida cadastrar as URL’s desejadas.

4.7.3 Consulta de URL’s

O Administrador pode pesquisar se determinada url esta contida em algum grupo decategorias, podendo muda-la de categoria se necessario. Caso nao esteja cadastrada, oAdministrador pode destinar um grupo para essa url.

Figura 4.11: Formulario de busca de URL’s

4.8 Mime Type

Cadastrar mime-Types e o mesmo que especificar tipos de arquivos. Nesta secao, oAdministrador podera incluir os mime-types de seu conhecimento. Com este recurso serapossıvel o Administrador criar regras no Proxy, baseadas no tipo de arquivo e nao apenasna sua extensao.

Figura 4.12: Formulario de inclusao de Mime-Types

Obs.: O Nettion R© ja vem com varios Mime-types cadastrados.

Capıtulo 5

Usuarios/Grupos

5.1 Autenticacao

O Nettion R© possui tres alternativas quanto a autenticacao de usuarios. A primeirae utilizar uma base de dados de usuarios que serao cadastrados no proprio Nettion R©;a segunda e autenticar a partir de uma base de usuarios ja existente em uma maquinaUNIX/Linux, atraves de NIS (Network Information System); e a terceira e atraves de umabase de dados de usuarios cadastrados em um servidor Windows. Esta opcao tambemsuporta o esquema de autenticacao via NTLM, que nao solicita login e senha no browserde estacoes Windows que facam parte de um domınio Windows. Este esquema utiliza ainformacao de login do domınio Windows para se autenticar no proxy.

5.1.1 Base Nettion

Para indicar ao sistema que a base de usuarios para autenticacao sera provida pelo Net-tion, selecione a opcao Utilizar o Nettion. Existem duas formas de utilizacao de umabase nativa do Nettion:

• Local;

• Remota.

Para utilizar a base que se encontra no proprio Nettion (Base Local), selecione a opcaoAutenticar na base de usuarios e grupos Local. Em seguida, crie os grupos eusuarios conforme a necessidade. Para saber como criar usuarios/grupos no Nettion, vejao topico Grupos e o topico Usuarios deste capıtulo.

Para utilizar uma base de usuarios existente em um outro Nettion (Base Remota), sele-cione a opcao Autenticar numa base de usuarios e grupos remota, preenchendoos campos conforme descricao abaixo:

• Endereco IP: Endereco IP do Nettion remoto onde encontra-se a base de usuarios;

• Porta: Porta onde funciona a Interface de Administracao do Nettion Remoto. Seraatraves desta porta que o Nettion Local acessara o Nettion Remoto para sincronizara base de usuarios (veja o capıtulo 3 para saber a porta definida). Uma regra poderaser necessaria no firewall, liberando o trafego entre os dois Nettions nesta porta;

47

48 CAPITULO 5. USUARIOS/GRUPOS

• Senha: Senha de acesso definida no Nettion Remoto (veja o topico Acesso Remotodeste capıtulo).

Figura 5.1: Autenticacao no Nettion

Para sincronizar a base, marque a opcao Sincronizar Usuarios e Grupos com oNettion Remoto.

Obs.: Ao selecionar esta opcao, a base de usuarios existente sera sobrescrita pela base aser importada.

Acesso Remoto

Para permitir que outro(s) Nettion(s) sincronize(m) sua base de Usuarios e Grupos com oNettion local, e necessario definir uma senha para cada Nettion. Para isso, crie um objetode Host/Rede para cada Nettion que ira sincronizar com o Nettion Local (veja o capıtulo4 para saber como criar objetos de Hosts/Redes), e acesse o menu Usuarios/Grupos →Configuracoes → Acesso Remoto e selecione o objeto de Host/Rede criado no campoHost e defina a senha. Para finalizar, clique no botao Salvar Configuracoes.

Figura 5.2: Configuracao do Acesso Remoto

5.1. AUTENTICACAO 49

5.1.2 Servidor NIS

Para indicar so sistema que a base de usuarios sera provida por um servidor NIS (Servidorde Autenticacao UNIX/LINUX. Voce deve possuir um em sua rede), utilize a opcaoServidor NIS (Unix) e preencha os campos conforme descrito abaixo:

• Domınio NIS(Network Information System): Domınio onde se encontram osusuarios cadastrados no Servidor. Ex.: NISGROUP

• Endereco IP: Endereco IP do servidor NIS. Ex.: 192.168.0.1

Figura 5.3: Autenticacao na base NIS

Para sincronizar a base, marque a opcao Sincronizar Usuarios e Grupos do Nettioncom o Domınio NIS e no campo Importar usuarios NIS a partir do UID, digiteo ID a partir do qual os usuarios serao importados.

Obs.: Ao selecionar esta opcao, a base de usuarios existente sera sobrescrita pela base aser importada.

5.1.3 Servidor Windows

Para indicar ao sistema que a base de usuarios sera provida por um servidor Windowstm,utilize a opcao Domınio Windows e preencha os campos conforme descricao abaixo:

• Domınio: Domınio onde se encontram os usuarios cadastrados no Servidor. Ex.:suaempresa.local

• Nome do servidor: Nome NETBIOS do servidor Windows. Ex.: Serv-corp

• Endereco IP: Endereco IP do servidor Windows. Ex.: 10.0.0.2

Ative as configuracoes clicando no botao Salvar Configuracoes.


Servidor Windows com Sincronizacao e NTLM

Funcionamento do sistema NTLM Esta opcao faz com que o Nettion negocie como Servidor Windows a autenticacao repassada pelo browser do usuario, evitando assima necessidade de identificacao(janela de usuario e senha) a cada navegacao. Lembre-seque esta opcao funcionara somente em um ambiente de rede Windows/Samba onde asmaquinas e usuarios estejam devidamente logados ao domınio.

NTLM no Nettion Desde a versao 2.5, o Nettion R© Security Software suporta o es-quema de autenticacao NTLM, tornando transparente o esquema de autenticacao doproxy para o usuario.

Para utilizar este esquema de autenticacao, faz-se necessaria a configuracao de algunscampos referentes ao domınio Windows. Outra caracterıstica importante deste esquemade autenticacao e a obrigatoriedade de sincronizacao dos usuarios entre o Nettion R© e ocontrolador de domınio.

Habilitando autenticacao NTLM Para habilitar o servico NTLM, o administradordeve habilitar a opcao Sincronizar Usuarios e Grupos do Nettion com Usuariose Grupos do Domınio Windows e adicionar o login e a senha de algum usuario comnıvel de administrador. Caso o servidor Windows seja do tipo AD (Active Directory) aopcao O servidor Windows possui o servico Active Directory habilitado deveser ativada.

Figura 5.4: Autenticacao na base Windows

Caso o numero de usuarios existentes no seu domınio Windows seja superior a quantidadede usuarios da sua Licenca de Uso Nettion R©, e possıvel importar apenas os usuarios degrupos especıficos do Windows. Desta forma, sera feita a importacao de uma quantidadede usuarios que esteja dentro dos limites da Linceca de Uso do Nettion.

5.1. AUTENTICACAO 51

Para isso, crie no seu Windows os grupos contendo os usuarios que deseja importar, eno Nettion, clique no botao “Atualizar Grupos”. Todos os grupos do Windows seraoexibidos na caixa Grupos, selecione os grupos desejados e clique no botao “<” paraincluı-los na sincronizacao.

Logo apos, basta salvar as informacoes para que o Nettion R© se conecte ao Controladorde Domınio, sincronizando os usuarios e autenticando via NTLM.

Observacoes importantes:

1. Os usuarios tem que estar conectados ao domınio Windows para ter direito a seautenticar e navegar na Internet;

2. Deve-se criar uma regra de firewall adicional de permissao de acesso Nettion -> ServidorControlador de domınio utilizando os Servicos Predefinidos smb, win2000 e winnt.

3. Para a autenticacao funcionar, e primordial que existam as regras de proxy. Veja ocapıtulo 6 (Proxy) para mais informacoes.

4. A cada alteracao nas informacoes dos usuarios no Controlador de domınio, deve-sesincronizar novamente os usuarios no Nettion R©.

5. Em algumas situacoes, o Nettion R© pode perder sua comunicacao com o controlador dedomınio (Em caso de desligamento temporario do Controlador de Domınio, por exemplo).Nestes casos, o Nettion R© devera ser reconectado, para voltar a fazer as autenticacoesnormalmente.

ATENCAO: Ao sincronizar os dados com o controlador de domınio, todos os grupos eusuarios previamente cadastrados serao apagados. E de extrema importancia fazer umbackup das configuracoes antes de realizar este procedimento.

Agendamento

Lembre-se que, sempre que uma alteracao for realizada na base de usuarios do Win-dows(inclusao/exclusao de usuarios, criacao/alteracao de grupos, alteracoes de senhas,etc.), o Nettion deve ser resincronizado. Porem, e possıvel criar um agendamento, per-mitindo assim que a tarefa de resincronizacao do Nettion R© com a base Windows sejaautomatizada.

Para isso, acesse o menu Usuarios/Grupos → Autenticacao → Agendamento.Existem quatro opcoes de agendamento:

• A cada 6h;

• A cada 12h;

• Diario;

• Semanal.

Selecione o tipo de agendamento desejado, marcando dia e horario (quando aplicavel), eclique no botao Salvar Configuracoes.

Obs.: Para as duas primeiras opcoes, o horario nao pode ser especificado. Desta forma oagendamento seria realizado as 06:00hs, 12:00hs, 18:00hs e 00:00hs para a opcao “A cada6h”, e as 12:00hs e 00:00hs para a opcao “A cada 12h”.


Figura 5.5: Agendamento da Sincronizacao de Usuarios

5.2 Grupos

O Nettion R© permite que o administrador crie grupos de usuarios e os utilize na formacaodas regras do proxy, o que possibilita que os usuarios de um grupo sejam submetidos aregras especıficas, controlando seu acesso a internet.

Figura 5.6: Administracao de Grupos

5.2.1 Manutencao do cadastro de Grupos

Temos duas formas de trabalhar com grupos de usuarios, sendo divididos de acordo como tipo de autenticacao escolhido:

Caso 1: Autenticacao em base remota via NIS ou Windows sem sincronizacao de usuarios,ou em base Local.

A manutencao do cadastro de grupos segue ao padrao estabelecido anteriormente. Paragrupos de usuarios deverao ser preenchidos os seguintes campos (veja figura 5.7 abaixo.)

• Nome: nome que voce deseja dar ao grupo. Ex.: Financeiro

5.3. USUARIOS 53

• Descricao: descricao sobre a que se refere este grupo. Ex.: Setor Financeiro

Figura 5.7: Inclusao/Edicao de Grupos

Caso 2: Autenticacao com Sincronizacao de Usuarios (via Nettion Remoto, NIS ou Win-dows).

Neste caso, o administrador deve editar os grupos no controlador de domınio Windows,no Nettion Remoto ou no Servidor NIS e sincronizar novamente as bases de usuarios naopcao Autenticacao do menu Usuarios e Grupos. Em caso de duvida, veja os itens:Base Nettion, Servidor NIS e Servidor Windows.

5.3 Usuarios

Temos duas formas de trabalhar com usuarios, sendo divididas de acordo com o tipo deautenticacao escolhido:

Caso 1: Autenticacao por NIS, Local ou Windows sem NTLM.

O Nettion R© permite que voce cadastre, independente da autenticacao utilizada, os usuariosque necessitam de um tratamento diferenciado quanto ao acesso a internet, podendo oadministrador atribuir ao usuario um ou mais grupos para facilitar a manutencao dasregras do proxy para estes.

Caso 2: Autenticacao Windows com NTLM

Neste caso, o administrador deve editar os usuarios no controlador de domınio e sin-cronizar novamente as bases de usuarios na opcao Autenticacao do menu Usuarios eGrupos. Em caso de duvida, veja o item Servidor-Windows.

5.3.1 Manutencao do cadastro de Usuarios

A manutencao do cadastro dos usuarios segue ao padrao estabelecido anteriormente. Paracadastro de usuarios deverao ser preenchidos os seguintes campos (veja figura 5.8 a seguir):

• Campo Usuario: login do usuario. Ex.: lauro

• Nome: nome do usuario. Ex.: Lauro Cavalcante

• Senha: senha para acesso. Ex.: ******

• Confirmacao: confirmacao da senha. Ex.: ******


• Grupo: grupo padrao do qual o usuario fara parte. Ex.: Comercial

• Grupos adicionais: grupo adicionais dos quais o usuario fara parte. Ex.: Financeiro

Figura 5.8: Inclusao/Edicao de Usuarios

5.4 Perfis de acesso

A partir da versao 3.98, o Nettion R© Security Software passa a conter perfis de acesso.Para criar perfis de acesso e atribuir um perfil a cada usuario, acesse Usuarios/Grupos→ Perfis de acesso.

Figura 5.9: Lista de perfis

Esta funcionalidade permite ao Administrador definir quais modulos da ferramenta poderaoser visualizados no menu de acesso dos usuarios em um determinado perfil. O manuseioe bem simples, como mostra a figura 5.10 a seguir.

5.4. PERFIS DE ACESSO 55

Figura 5.10: Selecao dos Modulos

Apos criar um perfil, o Administrador deve vincula-lo aos usuarios no qual ele se aplica.Este vinculo e feito diretamente no cadastro do usuario. Sera atribuıdo automaticamenteum perfil padrao com acessos limitados aos usuarios que nao forem vinculados a um perfilespecıfico.

Capıtulo 6

Proxy

O servico de Proxy possui duas funcoes basicas. A primeira e o Cache, que possibilitaum aumento da velocidade ao acessar paginas na internet sem que voce precise, neces-sariamente, investir em links maiores, pois otimiza a navegacao fazendo um cache lo-cal dos objetos(web) acessados pelos usuarios. Isso permite que objetos ja acessados eque ainda sejam validos sejam disponibilizados localmente aos usuarios que precisaremdaquele mesmo objeto, evitando assim a utilizacao do link para cada acesso ao mesmosite ou arquivo, por exemplo. Alem disso, o Proxy tambem atua como um firewall emnıvel de aplicacao. Assim, e possıvel que o administrador faca um controle dos acessosdos usuarios atraves de regras relacionadas a: horarios, domınios, palavras ou expressoesregulares, categoria de URL’s, grupos de usuario ou relacionados aos proprios objetos de“Hosts/Redes”.

6.1 Regras de Firewall Necessarias

Assim como qualquer outro servico, o Proxy precisa que liberacoes sejam feitas no Firewallpara que possa funcionar adequadamente. As regras necessarias sao:

6.1.1 Intranet → Nettion

E necessario criar uma regra que permita que os usuarios da rede interna (e das redes quetambem forem necessarias) acessem o Nettion nos servicos squid (porta 3128) e dns(porta53). Veja na tabela 6.1 um resumo da regra de Firewal (pagina 57).

Regra: Intranet → NettionOrigem Destino Serv. Destino Acao

Intranet localhostsquid

Aceitardns

Tabela 6.1: Liberacao do Firewall Intranet -> Nettion

57

58 CAPITULO 6. PROXY

6.1.2 Nettion → Internet

Tambem e necessario permitir que o Nettion acesse a Internet para buscar os sites. Paraisso o Nettion devera acessar os servicos Web padrao (http, https e tomcat) e tambem oservico DNS (resolucao de nomes). Veja um resumo da regra necessaria na tabela 6.2 napagina 58.

Regra: Nettion → InternetOrigem Destino Serv. Destino Acao

localhost Qualquer

http

Aceitarhttpstomcatdns

Tabela 6.2: Liberacao do Firewall Nettion -> Internet

6.2 Configuracoes

O Nettion R© possibilita que se trabalhe com um proxy transparente ou com autenticacao.Abordaremos os dois casos:

6.2.1 Proxy com autenticacao

No uso do proxy com autenticacao, trabalha-se com cache e controle de acessos, havendoa possibilidade de restricoes quanto aos usuarios.

Para uso do proxy com autenticacao e necessario configura-lo no browser de cada estacao.

6.2.2 Proxy transparente

No uso do proxy transparente trabalha-se apenas com cache, nao havendo a possibilidadede restricoes quanto aos usuarios.

No caso do Proxy Transparente, e necessario que uma regra adicional de Firewall sejacriada. Ela sera responsavel por redirecionar o trafego em direcao a porta 80 para a portado Proxy, no caso a 3128 (objeto squid) por padrao.

Regra: Proxy TransparenteOrigem Destino Serv. Destino AcaoIntranet Qualquer http Redirecionar para localhost:3128

Tabela 6.3: Redirecionamento Proxy Transparente

6.2. CONFIGURACOES 59

6.2.3 Configuracoes gerais

Para acessar a tela de configuracoes gerais do proxy acesse: Proxy → Configuracoes→ Gerais. A figura 6.1 abaixo mostra um exemplo de configuracao do Proxy.

Figura 6.1: Configuracoes do Proxy

Abaixo, segue uma descricao dos campos da tela de configuracoes:

• Porta: porta na qual rodara o servico de Proxy. Ex.: 3128 (padrao);

• Tamanho do cache: tamanho espaco em disco a ser alocado para o cache em MB.Ex.: 1000

• Quantidade de memoria: quantidade de memoria RAM (em MB) que sera utilizadapara armazenar objetos frequentemente acessados. Ex.: 100; Pode se fazer umcalculo de 10% da memoria RAM da maquina para esta configuracao caso o Nettiontambem seja utilizado para outras funcoes como Firewall, VPN, E-mail, etc. Caso oNettion seja utilizado apenas para o fim de Proxy, pode-se chegar a valores maiores,como 60 a 70% da RAM disponıvel. O armazenamento de objetos em memoria RAMacelera ainda mais a navegacao devido a maior velocidade de acesso comparada aoacesso ao disco;

• Tamanho maximo de um objeto em disco: tamanho maximo de um objeto (em MB)permitido para armazenado em Cache. Ex: 64;

• Polıtica padrao: polıtica padrao a ser utilizada Ex.: negar qualquer acesso. O ideale que o padrao seja negar os acessos e que voce crie regras liberando o que fornecessario;

• Mensagens de erro: determina em que idioma as mensagens de erro aparecerao paraos usuarios;

• Processos de Autenticacao Basica (para o caso de autenticacao na base local doNettion): determina quantos processos o Nettion R© deve manter abertos para realizar


a autenticacao dos usuarios. Varia de acordo com o numero de pessoas que vaoacessar simultaneamente a Internet;

• Processos de Autenticacao NTLM (para o caso de autenticacao na base de usuariosde um domınio Windows): determina quantos processos de autenticacao NTLMo Nettion R© deve manter abertos para realizar a autenticacao dos usuarios. Estenumero varia em funcao da quantidade de usuarios de proxy via autenticacao NTLM.O Padrao sao 20 processos, porem, em algumas redes com muitos usuarios e muitasautenticacoes simultaneas, pode ser necessario aumentar este numero;

• Empresa (para as mensagens de erro): permite que seja especificado aqui o nome dasua empresa, o qual sera exibido nas mensagens de erro do proxy.

6.2.4 Limpeza do Cache do Proxy

Agora, e possıvel efetuar a limpeza do cache do Proxy do Nettion a qualquer momento,bastando para isso clicar no botao Limpar Cache da tela de Configuracoes Gerais doProxy.

A limpeza do cache deve ser forcada em varias situacoes, como por exemplo: Problemasna visualizacao de atualizacoes de paginas da web e problemas com espaco no disco rıgidodo Nettion. Para este ultimo caso, geralmente e sinal de que chegou a hora de substituiro disco rıgido do sistema por um outro maior.

6.2.5 Mensagens de erro

No Nettion R©, todas as mensagens de erro do Proxy podem ser editadas, permitindo assimmaior flexibilidade na configuracao.

Para editar as mensagens do Proxy acesse: Proxy → Configuracoes → Mensagensde Erro. A figura 6.2 abaixo exibe a tela de mensagens de erro do Proxy.

Figura 6.2: Listagem de mensagens de erro do Proxy

Para editar uma mensagem, selecione-a e clique no botao “Editar”. Na tela que seraexibida, altere o conteudo da mensagem conforme a necessidade, porem sem fugir domotivo real da mensagem. Veja a figura 6.3 a seguir.


Figura 6.3: Edicao de mensagens de erro do Proxy

Note que a mensagem deve ser transcrita tambem no idioma Ingles. Para finalizar, cliqueno botao Salvar Configuracoes, como mostra a figura 6.3 a seguir.

6.2.6 Portas Autorizadas

Eventualmente, pode ser necessario efetuar a liberacao de algumas portas para acessovia Proxy. Alguns sites possuem acessos a areas especıficas atraves de portas especiais.Tais portas devem ser liberadas para permitir a sua navegacao atraves do Proxy. Paraisso, acesse o menu Proxy → Configuracoes → Portas de Autorizadas. Por padrao,algumas porta ja vem previamente liberadas no sistema. Para incluir uma porta, clique nobotao Incluir. Na tela que sera exibida, digite a porta que deseja liberar e sua descricao,depois clique no botao Salvar Configuracoes como mostra a figura a serguir.

Figura 6.4: Inclusao de uma porta autorizada - Proxy

6.2.7 Base de URL’s Categorizadas

O Nettion R© possui uma base de dados com milhares de URL’s divididas em categorias.Tais categorias de url’s sao utilizadas na confeccao de regras do Proxy. A Nettion Infor-mation Security mantem essa base de URL’s e a distribui a seus clientes por meio de umesquema de atualizacao automatizado.


Atualizacao e Agendamento

Para manter a base de URL’s sempre atualizada, e necessario que um agendamento sejacriado. Para isso, acesse o menu Proxy → Configuracoes → Base de URL’s →Atualizacao. Existem quatro opcoes de agendamento:

• A cada 6h;

• A cada 12h;

• Diario;

• Semanal.

Selecione o tipo de agendamento desejado, marcando dia e horario (quando aplicavel), eclique no botao Salvar Configuracoes.

Figura 6.5: Agendamento da Atualizacao da Base de Url’s

Obs.: Para as duas primeiras opcoes, o horario nao pode ser especificado. Desta forma oagendamento seria realizado as 06:00hs, 12:00hs, 18:00hs e 00:00hs para a opcao “A cada6h”, e as 12:00hs e 00:00hs para a opcao “A cada 12h”.

IMPORTANTE: E possıvel tambem forcar a atualizacao a qualquer momento, bastandopara isso clicar no botao Atualizar na tela Atualizacao Manual contida no mesmomenu de acesso.

6.2.8 Historico de Atualizacoes de URL’s

O Nettion R© guarda um historico de todas as atualizacoes realizadas, dando informacoes,tais como: data e hora da atualizacao, versao da base de dados, quantidade de url’sadicionadas e se a operacao foi bem-sucedida ou nao. Veja figura 6.6 a seguir.

6.3. REGRAS 63

Figura 6.6: Historico das Atualizacoes da Base de Url’s

6.3 Regras

As regras do proxy podem ser interpretadas como frases (veja figura 6.7 abaixo), cabendoao administrador construir aquelas que devem ser aplicadas no controle de acesso. Para aformacao das regras, sao utilizadas informacoes previamente cadastradas. Veja referenciano Capıtulo 4 (Objetos) e no Capıtulo 5 (Usuarios e Grupos).

Figura 6.7: Listagem de regras do Proxy

Cabera ao administrador elaborar as regras para gerenciamento dos acessos.


6.4 Composicao de regras do Proxy

A criacao/edicao das regras do Proxy e feita atraves de um Wizard que o guiara nacomposicao dos filtros de acesso. Cada regra permite aplicacao de filtros por domınio,por expressoes regulares, por categorias de URL’s, por mime-types, por horario e por IP,que sao aplicadas a Usuarios e/ou Grupos de Usuarios.

E possıvel tambem, criar controles de trafego como por exemplo:

• Velocidade Maxima permitida;

• Tamanho Maximo da Requisicao HTTP;

• Rotas para pacotes TCP.

Note que, as regras sao analisadas uma a uma de acordo com a sua posicao, iniciandopela regra de numero 1, estabelecendo-se assim uma ordem de prioridade. Desta forma,e importante que as regras mais especıficas fiquem acima das regras mais genericas.

Importante: Caso voce selecione mais de um filtro em uma mesma regra, o Nettion R©aplicara a regra somente se a URL acessada satisfizer as exigencias de todos os filtros se-lecionados (logica “AND”). O criterio para posicionamento das regras ira variar de acordocom a polıtica de seguranca implementada. Sugerimos, entretanto, alguns conceitos quepodem ser observados nesse sentido. Regras de permissao que nao requerem autenticacaodevem estar nas primeiras posicoes.

OBSERVACOES:

1. Permitir os domınios sem autenticacao dentro do horario comercial para qualquerusuario.

2. Regras de permissao que requerem autenticacao de usuarios selecionados devemestar posicionadas abaixo das regras que nao requerem autenticacao. Ex: Permitirqualquer domınio em qualquer horario para os usuarios do grupo Diretoria.

3. Regras de permissao que requerem autenticacao para usuarios validos devem estarposicionadas abaixo das regras referentes a “usuarios selecionados”. Ex: Permitirqualquer domınio, sem palavras proibidas em qualquer horario, para usuarios validos.

4. A regra referente a polıtica padrao selecionada nas configuracoes do proxy estaraimplıcita e sera escrita apos a ultima regra cadastrada pelo usuario. Assim, a polıticapadrao somente sera interpretada pelo proxy caso o acesso solicitado nao se encaixeem nenhuma das regras anteriores.

6.4.1 Tela 1 - Definicao da regra

Para criar uma regra no Proxy, acesse o menu Proxy → Regras, e clique no botaoIncluir para iniciar o Wizard.

Preencha as informacoes conforme a descricao a seguir e clique no botao Avancar.

6.4. COMPOSICAO DE REGRAS DO PROXY 65

• Descricao: um breve resumo do objetivo da regra;

• Acao: a acao da regra, Permitir ou Negar.

• Posicao: posicao da regra na tabela. Determina qual a prioridade de interpretacaodas regras.

• Status: status da regra. Indica se a regra esta Ativa ou Inativa. Opcoes: Ativa ouInativa

Figura 6.8: Definicao da regra

6.4.2 Tela 2 – Horario

Determina o horario para a acao. Define o horario no qual a regra atuara com baseem um horario previamente cadastrado (Para saber mais sobre como criar objetos dehorarios no Nettion, veja a secao Horarios do capıtulo 4). Opcoes: “Qualquer”, “Dentrodo horario”ou “Fora do horario”.

O padrao “Qualquer”sera utilizado quando o administrador nao especificar uma relacaocom um horario durante a elaboracao da regra.

Para especificar uma relacao com um horario, o administrador deve selecionar uma opcaodiferente de “Qualquer”para que seja exibida a lista de horarios cadastrados e entre osquais ele selecionara o horario desejado, que sera exibido em amarelo, isto e, o horario noqual a regra ira atuar.

Veja tela de selecao de horarios na figura 6.9 a seguir.


Figura 6.9: Selecao de horario para aplicacao da Regra

6.4.3 Tela 3 - Filtros

Aqui, voce especifica os filtros que deseja aplicar a regra. Os seguintes filtros podem serutilizados:

• Objetos de Domınios;

• Objetos de Expressoes Regulares;

• Categorias de Url’s1;

• Objetos de Mime-type.

Para selecionar objetos de Domınios e/ou Expressoes, selecione os objetos desejados, eclique no botao “<” para incluı-los a regra. Para especificar como “Qualquer”, simples-mente deixe a caixa de selecao de objetos vazia.

No caso das Categorias de Url’s e dos Objetos de Mime-type, para utiliza-los, voce deveprimeiramente marcar a(s) caixa(s) de verificacao “Habilitar Categorias” e/ou “Ha-bilitar Mime Type”. Em seguida, selecione os objetos desejados da mesma forma dosobjetos de Domınios e de Expressoes. Veja a figura 6.10 a seguir.

1O Nettion R© possui uma base de dados com milhares de Url’s cadastradas. Essas url’s estao organizadas segundoa sua categoria. Isto facilita muito a criacao de uma regra onde se deseja, por exemplo, liberar todos os sites deinstituicoes financeiras. Assim, ao contrario do que ocorre com os Objetos de Domınios, o administrador nao precisaconhecer necessariamente todos os sites de instituicoes financeiras existentes, nem cadastra-los. O Nettion possibilitaa atualizacao automatizada desta base de url’s. Para saber mais sobre o objeto Categoria de Url’s, veja a secaoCategorias do capıtulo 4.

6.4. COMPOSICAO DE REGRAS DO PROXY 67

Figura 6.10: Aplicacao de filtros a regra

6.4.4 Tela 4 - Aplicar para

Nesta tela, determine para quem a regra deve ser aplicada. Aqui, o administrador poderadefinir se a regra exigira autenticacao ou nao. Se a regra for autenticada, ele poderaaplica-la a um ou mais usuarios, bem como a grupos de usuarios. Podera tambem criarexcecoes a regra.

Para isso, marque a caixa de verificacao Solicitar Autenticacao. No campo “Gru-pos”, selecione o(s) grupo(s) de usuarios aos quais a regra sera aplicada e/ou no campo“Usuarios”, selecione o(s) usuario(s) a(o) qual(is) deseja aplicar a regra. Caso algumgrupo de usuarios seja selecionado, excecoes poderao ser especificadas no campo“ExcetoUsuarios”.

Obs.: Se voce nao desejar especificar usuarios ou grupos, mas deseja que a autenticacaoseja solicitada a todos os usuarios1, especifique a opcao “Qualquer”. Para isso, simples-mente deixe os campos “Grupos”, “Usuarios” e “Exceto usuarios” vazios.

Tambem, e possıvel aplicar a regra a redes e/ou hosts especıficos. Para isso, selecione osobjetos de Hosts/Redes desejados no campo “Hosts” e clique no botao “<”. O padrao“Qualquer” sera utilizado quando o administrador nao especificar uma relacao com umhost/rede durante a elaboracao da regra.

1Caso o Nettion R© esteja utilizando a autenticacao integrada NTLM a autenticacao ja foi negociada e nao apareceracaixa de autenticacao solicitando-a novamente.


Figura 6.11: Selecao de Objetos (Usuarios/Hosts) da Regra

Observacao: Para otimizar o tempo de carga de usuarios e grupos o Nettion carregasomente os 100 primeiros registros de cada de caixa de selecao. No final da lista possuium item chamado “mais...”. Clique nele duas vezes para que carregue mais 100 registros.Caso prefira, voce tambem podera utilizar o campo de busca que fica acima das caixas.

6.4.5 Tela 5 - Qos

Para finalizar, clique no botao “Avancado”, se desejar, para especificar retricoes quantoao trafego. Estas opcoes devem ser utilizadas com muita cautela para garantir que oefeito desejado seja obtido realmente.

• Para restringir a velocidade de acesso aos sites que serao tratados por esta regra,marque a caixa de verificacao “Habilitar Controle Trafego”. Em seguida, especi-fique a velocidade desejada (em Kbit ou Mbit) no campo “Vel. Maxima Permitida”.

• Para restringir a quantidade de dados que sera trazido por vez (isto se aplica a qual-quer requisicao HTTP, nao somente aos donwnloads), marque a caixa de verificacao“Habilitar Controle de Requisicao HTTP”. Em seguida, espeficique o valordesejado (em Kbyte, Mbyte ou Gbyte) no campo “Tamanho maximo da requisicao”.

• Tambem, e possıvel direcionar o trafego a ser tratado pela regra por um link es-pecıfico (geralmente diferente do link padrao de saıda do Proxy). Para isso, marquea caixa de verificacao “Habilitar Rotas para pacotes TCP”, e selecione o linkdesejado na caixa de listagem.

6.5. RELATORIOS 69

Ao final, clique no botao “Concluir”. A regra sera criada na posicao especificada eja entrara em funcionamento instantaneamente, sem a necessidade de reiniciar qualquerservico ou recurso. Veja a figura 6.12 a seguir.

Figura 6.12: Aplicacao de Restricoes de Trafego a Regra

Obs.: As opcoes “Habilitar Controle Trafego” e “Habilitar Rotas para pacotesTCP” nao funcionam para objetos de Categorias de Url’s e Objetos de Mime-typesaplicados a regra.

6.5 Relatorios

O Nettion R© disponibiliza ao administrador relatorios gerenciais referentes aos acessos viaProxy. Quando utilizada a autenticacao, sera possıvel ao administrador filtrar os acessosreferentes a cada usuario.

6.5.1 Padrao

Este relatorio possibilita ao administrador do Nettion R© gerar relatorios analıticos dossites acessados, especıficos em um determinado perıodo. Caso os campos nao sejampreenchidos, o relatorio sera geral.

Os campos para composicao de relatorios sao:

• Usuario: seleciona sobre qual usuario o relatorio sera demonstrado. Ex.: Fernanda.Trara todos os acessos realizados pelo usuario Fernanda no perıodo especificado noscampos DE (DATA) e ATE (DATA).


• Host: especifica de qual maquina partiu acesso a internet. Ex.: 10.0.0.36. Traratodos os acessos realizados a partir da maquina 10.0.0.36 no perıodo especificado.

• URL: endereco completo ou trecho de um endereco que se deseja saber quem o aces-sou no perıodo especificado. Ex.: www.nettion.com.br. Trara uma lista com todosos usuarios que acessaram a este site: www.nettion.com.br. Ex: Nettion. Trarauma lista com todos os usuarios que acessaram a algum site (URL) que contenha apalavra “Nettion”.

6.5.2 Por domınio

Este relatorio possibilita ao administrador do Nettion R© gerar relatorios de acessos em umdeterminado perıodo agrupados por domınios, conforme os campos DE (DATA) e ATE(DATA). O administrador pode selecionar um grupo especıfico para qual o relatorio seraexibido ou especificar apenas um usuario.

• Clicando na coluna“hits”, o administrador visualizara o relatorio detalhado referenteao domınio.

• Grupo: especificar sobre qual grupo o relatorio sera demonstrado. Ex.: Desen-volvimento. Exibira todos os acessos realizados pelo desenvolvimento no perıodoespecificado nos campos DE (DATA) e ATE (DATA).

• Usuario: Especificar sobre qual usuario o relatorio sera demonstrado. Ex.: Fernanda.Exibira todos os acesso realizados pela Fernanda no perıodo especificado nos camposDE (DATA) e ATE (DATA).

6.5.3 Top

Este relatorio possibilita ao administrador do Nettion R© identificar quais foram os Topacessos atraves de tres relatorios diferentes. Por Usuario, por Domınio ou por Host.O Top Usuarios permite ainda a selecao de tres unidades de medida, podendo ser porTrafego (quantidade de bytes transferidos), por Hits (quantidade de acessos feitos - cadaitem de um site representa um hit) ou por tempo de acesso (considera o tempo de cargados sites/arquivos da web, ou seja, o tempo em que o usuario realmente utilizou o Proxy).

6.5.4 Acessos Bloqueados

Este relatorio possibilita que o administrador do Nettion R© gere relatorios analıticos dossites acessados e que estao bloqueados para o respectivo usuario em um determinadoperıodo, para simples identificacao de tentativa de acesso nao permitido. Caso os camposnao sejam preenchidos, o relatorio sera geral.

6.5.5 On-line

Este relatorio possibilita que o administrador do Nettion R© efetue o acompanhamento on-line dos sites que estao sendo acessados. Para iniciar o acompanhamento, o administradordeve clicar no botao “Iniciar”e para interromper, deve clicar o botao “Parar”.

6.6. GRAFICOS 71

6.6 Graficos

Alem dos relatorios, o Nettion R© tambem disponibiliza graficos em real time dos acessosdos usuarios ou hosts da rede. Atraves deles o administrador podera analisar graficamenteos acessos de todos ou de um usuario especıfico dentro do perıodo escolhido. Duas opcoesde graficos sao disponibilizadas, podendo ser por usuario ou por host.

Para ter acesso aos Graficos, acesse o menu Proxy → Graficos → Usuarios ou Hosts.Os graficos sao inicialmente carregados com os dados de todos os usuarios ou hosts,conforme exemplo na figura 6.13 abaixo.

Utilize a selecao na parte superior do grafico, para visualizar o grafico de um usuario ouhost especıfico.

Figura 6.13: Grafico de Usuarios

6.6.1 Selecionando um perıodo

Para selecionar um perıodo especıfico para visualizacao do grafico, clique na lupa que ficana parte superior direita do grafico. Na proxima tela voce tera duas opcoes de selecao doperıodo. A primeira delas e atraves da caixa de selecao na base do grafico, que permitea selecao dos perıodos de 30 minutos a 1 ano. A segunda opcao e utilizando o mouse.Clique com o botao esquerdo em uma posicao do grafico e arraste, fazendo uma selecaode uma area. Ao soltar o botao, o grafico sera recarregado com o perıodo selecionado.

6.6.2 Visualizando acessos a partir do grafico

E possıvel tambem visualizar os acessos do usuario a partir de uma area selecionada dografico. Para isso, apos selecionar um perıodo, clique no icone que fica na parte superiordireita do grafico.


6.6.3 Monitoramento Realtime

Uma vez selecionado o usuario desejado, clique no botao “Monitorar”para acompanhar aformacao do grafico a medida que o usuario faz seus acessos. Para parar o monitoramento,clique no botao “Parar”.

6.7 Configurando as estacoes da rede

Para que as estacoes da rede utilizem o Proxy do Nettion R© (em modo nao transparente)e necessario que as configuracoes de Proxy de seus navegadores estejam apontando parao IP e Porta do Nettion. Esta configuracao pode variar de acordo com o navegadorutilizado. Listamos abaixo a configuracao necessaria nos mais conhecidos e utilizados:

• Firefox (versao 3.0)

– Com o navegador aberto, clique no menu “Ferramentas → Opcoes. . . ”;

– Na tela seguinte, clique na opcao “Avancado”;

– Agora clique na aba “Rede” e depois no botao “Configurar. . . ”;

– Na tela seguinte, selecione a opcao “Configuracao manual de proxy” e preenchaas informacoes de HTTP com o IP de acesso ao Nettion e a porta do Proxy, quepor padrao e a porta 3128.

– Nesta mesma tela, na opcao “Sem proxy para:” indique tambem o IP do Nettion- isso vai evitar que os acessos ao proprio Nettion sejam feitos via Proxy.

– Depois clique em “OK” e o navegador estara configurado.

• Internet Explorer (versao 7.0)

– Com o navegador aberto, clique no menu “Ferramentas → Opcoes de Inter-net. . . ”;

– Clique na aba “Conexoes” e depois no botao “Configuracoes da LAN’;

– Na tela seguinte, selecione a opcao “Utilizar um servidor Proxy. . . ” e indique oIP e porta de acesso ao Nettion. A porta padrao do Proxy do Nettion e a 3128;

– Nas opcoes avancadas, digite o IP do Nettion nas execoes para evitar que oacesso ao proprio Nettion seja feito via proxy;

– Clique em OK e o navegador estara configurado.

Capıtulo 7

Controle de Banda

O gerenciamento de banda do Nettion R© tem o objetivo de otimizar o uso dos links atravesda re-priorizacao dos pacotes de dados. Com ele e possıvel alocar uma maior quantidadede banda do link para os servicos ou maquinas mais importantes da sua rede. Alem disso,o controle tem a flexibilidade de fazer a alocacao de forma dinamica, o que permite queuma banda alocada e nao utilizada possa ser consumida por um outro servico de formaautomatica.

Para que fique mais claro, o conceito do controle de banda, e necessario antes entendermosos conceitos de Re-priorizacao de pacotes e de Realocacao dinamica de banda.

7.1 Re-priorizacao de pacotes

A Re-priorizacao age sobre a entrega dos pacotes, fazendo uma diminuicao da velocidadede entrega dos pacotes ou fazendo uma liberacao maior de banda de acordo com asregras estabelecidas. Por exemplo, imagine que voce esteja recebendo seus e-mails de umprovedor externo a sua organizacao de acordo com o cenario da figura 7.1 a seguir.

Figura 7.1: Cenario Controle Banda

73

74 CAPITULO 7. CONTROLE DE BANDA

A linha 1 (verde) da imagem indica o sentido da sua solicitacao ao provedor na porta110 (conta POP3) e a linha 2 (azul) indica os pacotes de dados (seus e-mails) saindo doservidor de E-mails e indo em direcao a sua maquina. Ao chegarem ao Nettion, que faz aintermediacao da conexao, entrarao pela interface de rede Eth1, e sairao em direcao a suamaquina, indicada pela linha 3 (amarela), atraves da interface Eth0. E e neste momento,da entrega, que o Nettion fara a repriorizacao dos pacotes, restringindo ou liberando maisbanda para a conexao.

Se para este cenario quisessemos, por exemplo, restringir a banda para a obtencao dee-mails, aplicarıamos uma regra na interface Eth0(interface de entrega dos dados), re-stringindo o trafeto originado na porta 110 com destino a rede interna ou a algumamaquina em especıfico. Veremos mais a frente a criacao de regras.

7.2 Realocacao dinamica de banda

O segundo conceito, porem nao menos importante, e o de realocacao dinamica de banda.Ele vai permitir que uma banda alocada para um determinado servico ou host/rede sejaconsumido por outro servico, quando ociosa.

Para ficar claro, imagine a situacao onde voce alocou uma parte da sua banda (300Kbits)para um determinado host da sua rede, porem, voce deseja que, quando ociosa, estabanda seja distribuida para as demais maquinas da rede. Para isso, utilizamos o conceitode velocidade mınima e velocidade maxima, onde a velocidade mınima sera o que ficarareservado, ou seja, nao sera compartilhado, e velocidade maxima, sera a banda que poderaser utilizada caso exista banda ociosa.

Todo este controle e feito atraves de Classes, que representam reservas de banda, e suasRegras. Na proxima secao voce aprendera como as configuracoes de classes e regras saofeitas.

7.3 Configuracoes

Para configurar o Controle de Banda do Nettion R©, voce deve acessar o menu Controlede Banda > Configuracoes. Na tela que sera exibida, estarao disponıveis todas asinterfaces de rede existentes no sistema, como mostra a figura 7.2 abaixo.

Figura 7.2: Lista de interfaces de rede disponıveis


7.3.1 Definicao da Interface de rede

Antes de iniciar a configuracao de um controle de banda, e necessario que voce faca aavaliacao do cenario e identifique a origem e o destino dos dados que devem ser contro-lados. Apos identificar de onde os dados partem e para onde vao, voce identificara emqual interface o controle sera feito, que e aquela que faz a entrega dos dados diretamentea quem os solicitou.

7.3.2 Classes

O primeiro passo sera criar uma classe, que significa criar uma reserva de banda do seulink. Neste momento ainda nao iremos dizer a quem (host ou servico) se destina estareserva. Isso sera feito na criacao das regras.

Alem das classes criadas pelo administrador do Nettion, existe tambem o conceito daClasse Default. A classe Default representa o restante de banda disponıvel no dispositivode rede, ou seja, aquele que ainda nao foi alocado em nenhuma classe e que sera utilizadopor qualquer trafego que nao tenha sido classificado em qualquer regra. O total debanda de um dispositivo e definida na configuracao da propria interface de rede, no menuConfiguracoes -> Rede -> Interfaces.

Utilizaremos o cenario apresentado, da entrega de E-mails, para que o conceito fique maisclaro. Imagine que neste ambiente, nos temos 1Mbit de banda com a internet e a nossanecessidade e restringir a banda do download de e-mails, impedindo que este trafegoatrapalhe outros servicos.

Uma vez definida a interface de rede (veja secao 7.3.1), o proximo passo e fazer a criacaoda classe de acordo com os passos a seguir:

1. Clique no menu Controle de Banda-> Configuracoes;

2. Clique no botao ”Configurar” da interface definida na secao 7.3.1;

3. A proxima tela mostrara uma listagem de Classes. Clique no botao ”Incluir”;

4. Preencha os campos:

• Nome: Nome da Classe. Ex: Classe 1;

• Descricao: Descricao da Classe. Ex: Classe 1;

• Vel. Mınima: insira a banda reservada para esta classe. Para o nosso exemplosera de 1 Mbit;

• Vel. Maxima: insira a banda maxima permitida para a classe. Para o nossoexemplo sera de 1 Mbit;

5. Clique no botao ”Salvar Configuracoes”.

Para que voce tenha uma ideia de como esta ficando a sua configuracao, o Nettion ofereceum grafico que mostra a Interface e suas divisoes de Classes e Objetos. Para visualiza-lo:

1. Clique no menu Controle de Banda-> Configuracoes;

2. Clique no botao ”Visualizar Grafico” da interface desejada;


Observando a imagem, o cırculo laranja representa a Interface de rede, os cırculos azuisrepresentam as classes. Posicionando o mouse sobre os cırculos voce tera maiores in-formacoes sobre suas configuracoes de banda, conforme mostrado na figura 7.3 a seguir.

Figura 7.3: Grafico da Interface Eth0

Uma vez criada a Classe, o proximo passo sera criar as regras, conforme veremos naproxima secao.

7.3.3 Regras

As regras, que estararao sempre ligadas a uma classe, identificarao o trafego ao qual ocontrole sera aplicado. Nela indicaremos a origem (de onde partem os dados), o destino(onde os dados chegam) e as bandas mınimas e maximas. Os conceitos de banda mınima(reserva) e banda maxima sao equivalentes aos vistos nas Classes.

Seguindo o nosso exemplo, supondo que o limite a ser estabelecido para o trafego vem daInternet (qualquer origem) na porta 110 com destino as maquinas da rede interna seja de100Kbits. Siga os passos a seguir para a criacao desta regra:

• Clique no menu Controle de Banda-> Configuracoes;

• Clique no botao “Configurar”da interface Eth0;

• Selecione a Classe “Classe 1” e clique no botao “Itens”;

• Na tela seguinte, da listagem das regras, clique no botao “Incluir”;

• Insira agora as informacoes da regra. Veja figura 7.4 (pagina 77).

– Nome: nome da regra. Ex: POP3; Obs: Nao e permitido espaco no nome daregra;

– Descricao: insira uma descricao. Ex: Banda para POP3;

– Objeto de Origem: insira o objeto de onde os dados se originam. Neste casoselecione o objeto Qualquer, significando qualquer host de origem;

– Objeto de Destino: insira o objeto de destino dos dados. Neste caso selecione oobjeto Rede Interna, previamente criado.


– Porta de Origem: insira a porta de origem dos dados. Neste caso insira 110.

– Porta de Destino: insira a porta de destino dos dados. Neste caso selecione“Qualquer” clicando na caixa ao lado;

– Vel. Mınima: insira a banda reservada. Neste caso insira 100 Kbits;

– Vel. Maxima: insira a banda maxima permitida. Este campo define ate quandoda banda ociosa pode ser utilizada para esta regra. Neste caso, como queremosrestringir insira o valor 100 Kbits;

– Prioridade: define a prioridade desta regra em relacao as demais. Neste exemploselecione o valor 1;

Figura 7.4: Regra POP3

Novamente, acesse o grafico da Interface Eth0 para visualizar como esta aplicado seucontrole de banda. Observe que agora surgiu um cırculo branco representando a regracriada. Veja na figura 7.5 (pagina 77).

Figura 7.5: Novo Grafico da Interface Eth0


7.4 Ativando o servico de Controle de Banda

Apos as configuracoes, e necessario que o servico seja ativado. Para isso, clique no menuSistema > Servicos. Depois clique no botao “Start”referente ao servico de Controle deBanda.

Para que o servico seja ativado automaticamente durante a inicializacao do Nettion,marque a opcao “Auto” do servico e clique no botao “Ativar mudancas para os seleciona-dos”conforme a figura 7.6 abaixo.

Figura 7.6: Ativacao do Servico do Controle de Banda

Capıtulo 8

Firewall

O Firewall e um recurso de seguranca que faz o controle do que e permitido ou nao passaratraves do Nettion R©, como por exemplo, entre a sua rede e a internet. Funciona como umfiltro, evitando que servicos indevidos sejam acessados, diminuindo os riscos da exposicaoda rede a internet.

O simples fato de ter um Firewall na rede nao quer dizer que ele esteja sendo util. Paratal, e necessario que ele esteja bem configurado e sintonizado com as necessidades dapolıtica de seguranca da sua organizacao.

O Nettion R© utiliza as mais avancadas tecnologias de Firewall disponıveis para o SistemaOperacional Linux atraves do IPTables e do Kernel 2.6, e, aliado a isso, oferece tambemuma interface bastante simples de inclusao e manutencao das regras, evitando que empouco tempo, o administrador se perca diante de tantas regras ja criadas.

8.1 Configuracoes

Em Firewall → Configuracoes, o administrador definira a polıtica de acesso padraoque sera utilizada pelo firewall do Nettion R©. A polıtica padrao estabelece a acao quesera tomada sobre qualquer acesso que nao tenha sido explicitamente liberado pelo ad-ministrador atraves das regras. O ideal, e o recomendavel, e que a polıtica padrao sejaconfigurada para “Negar tudo”. Mas atencao. Antes de fazer esta configuracao, algumasregras basicas devem ser criadas, como as que liberam o acesso ao proprio Nettion.

A polıtica padrao de acesso pode ser:

• Negar tudo, barrando qualquer acesso nao liberado nas regras;

• Permitir tudo, barrando somente o que foi definido nas regras. Originalmente apolıtica esta definida como Permitir tudo, a fim de que o usuario tenha acesso aoNettion R© e possa cadastrar as regras necessarias aos seus acessos. Somente aposefetuar esse processo, e que se deve alterar a polıtica padrao para Negar tudo:

79

80 CAPITULO 8. FIREWALL

Figura 8.1: Configuracao da polıtica padrao do Firewall

8.2 Regras

Cada pacote1 que trafega atraves do Nettion R© e analisado pelo filtro de pacotes, que oabre e extrai informacoes como IP de origem, destino do pacote, portas, etc., verificandose estas informacoes batem com alguma regra cadastrada no firewall. Caso sim, o firewalltoma a acao que a regra diz (bloqueia, aceita ou audita). Caso nao haja uma regraespecıfica no firewall que trate este pacote, sera utilizada a polıtica padrao definida nofirewall do Nettion R© para este fluxo, que pode ser Permitir tudo ou Negar tudo.

8.2.1 Incluindo uma nova regra

Para que o usuario possa incluir as regras do firewall do Nettion R©, faz-se necessario queos objetos a serem utilizados tenham sido previamente cadastrados. E aconselhavel que setenha tracado um esboco das regras que serao cadastradas. O Nettion R© ja disponibilizaa grande maioria dos servicos que voce precisara na configuracao do firewall, mas vocetambem tem liberdade para adicionar novos, caso seja necessario. Para efetuar a inclusaode uma regra, clique no botao Incluir, no menu Firewall > Regras, e preencha oscampos solicitados:

Definicoes Basicas da Regra

• Descricao: uma descricao da regra, como por exemplo: Acesso VNC ao Micro01;

• Acao: indica a acao que o firewall tomara sobre os pacotes tratados por esta regra,que podem ser:

– Permitir Libera o trafego;

– Negar Bloqueia o trafego;

– Auditar Gera registros sobre as conexoes tratadas pela regra. E especialmenteutil quando se deseja descobrir as portas utilizadas por um determinado servico.Todo o trafego auditado pode ser visto atraves do Relatorio do Firewall.

• Pos: a posicao na lista de regras. As regras sao processadas sequencialmente e aordem, nesse caso, e importante, pois uma vez que um pacote e abrangido por umaregra, a acao desta e tomada e ele nao e mais processado pelas regras seguintes2;

1Os dados numa rede IP sao enviados em blocos referidos como pacotes ou datagramas (os termos sao basicamentesinonimos no IP, sendo utilizados para os dados, em diferentes locais nas camadas de IPs)

2Caso algum pacote seja tratado por uma regra cuja acao seja Auditar, ele continua ate que seja tratado por algumaoutra regra de Permitir ou Negar ou pela polıtica padrao

8.2. REGRAS 81

• Status: define status da regra como ativa ou inativa.

Figura 8.2: Definicoes basicas da regra de Firewall

Apos preencher esse formulario, clique em Avancar e escolha os horarios nos quais estaregra deve atuar, como mostrado na figura 8.2 acima:

Horarios

Se voce deseja que a regra sempre atue, escolha Qualquer (opcao padrao). Voce tam-bem pode usar os objetos do tipo “Horario” para determinar quando a regra deve atuar.Definido quando a regra deve atuar, clique em Avancar e vamos configurar a regra pro-priamente dita.

Figura 8.3: Definicao do horario de aplicacao da regra


Selecao de objetos para aplicacao da Regra

Em “Filtros de Origem > Hosts”, voce definira a partir de qual ou quais hosts ouredes a conexao sera iniciada. Para fazer a selecao, selecione os objetos desejados da caixade selecao a direita (lista de objetos de Hosts e Redes precadastrados), transferindo-ospara a caixa a esquerda. A transferencia pode ser feita clicando-se duas vezes no objetodesejado ou utilizando os controles entre as caixas.

Para especificar que nao importa a origem dos pacotes, ou seja, de qualquer Host/Redede origem, deixe a caixa de selecao da esquerda vazia.

Para especificar que e o Nettion, utilize o objeto especial chamado “localhost”.

Dica: Caso voce esteja utilizando o Browser Mozilla Firefox ou Internet Ex-plorer a partir da versao 7.0, e possıvel obter maiores informacoes sobre osobjetos durante a criacao da regra. Para isso, basta posicionar o mouse sobreo objeto desejado, como mostrado na figura 8.4 abaixo.

Figura 8.4: Informacoes sobre os objetos

Em “Filtros de Destino > Hosts” voce selecionara os hosts ou redes de destino daconexao, ou seja, aqueles que receberao a conexao.

Para especificar que nao importa o destino dos pacotes, ou seja, deixe a caixa de selecaoda esquerda vazia.

Para especificar que e o Nettion, utilize o objeto especial chamado “localhost”.

Em “Filtros de Destino > Servicos” voce selecionara qual ou quais servicos seraoacessados no destino da conexao. Por padrao o Nettion oferece uma lista de servicos Pre-definidos com os principais servicos, mas voce pode criar seus proprios no menu Objetos> Servicos > Personalizados.

8.2. REGRAS 83

Figura 8.5: Selecao de objetos para aplicacao da regra

Configuracoes Avancadas

Caso voce esteja fazendo uma regra de redirecionamento de pacotes, ou queira aplicaroutras configuracoes a sua regra, antes de “Concluir” clique no botao “ConfiguracoesAvancadas”.

Figura 8.6: Configuracoes avancadas da regra

Nesta secao, voce podera:

• Otimizar o trafego: Esta opcao permite que o trafego tratado por esta regra sejaotimizado. A otimizacao e feita atraves da configuracao de um cabecalho especial dospacotes (TOS - Type Of Service) que tem a funcao de especificar uma das seguintesconfiguracoes:

– Minimiza Custo

– Maximiza a confiabilidade


– Maximiza Throughput

– Minimiza Delay

• Redirecionar este trafego para outro host: utilize esta opcao quando voceestiver criando uma regra de redirecionamento de pacotes, por exemplo, redirecio-nando as conexoes de VNC que chegarem ao Nettion para um host especıfico da suarede. Observacao importante: Caso a sua intencao seja fazer o redirecionamento doservico que chegar ao Nettion para outro host, sem alterar as portas de desntino,deixe o campo Porta vazio. Caso nao, indique um numero de porta diferente.

• Auditar este trafego: permite que o trafego tratado por esta regra seja auditato.Isso vai fazer com que o Nettion gere registros das conexoes que poderao ser acessadosatraves dos Relatorios do Firewall.

• Mascarar dinamicamente este trafego quando necessario: esta opcao faz comque o Nettion aplique o NAT (Network Address Translation) nos pacotes tratadospor esta regra, quando necessario. Isso ocorre, por exemplo, quando um host da redeinterna, com um IP privado, precisa acessar um servico diretamente na Internet.

• Estado estabelecido e/ou relacionado no retorno da conexao: Esta opcaopermite tratar o estado da conexao (Stateful Firewall). Quando marcada, vai permi-tir que somente os hosts de origem iniciem a conexao em direcao aos hosts de destinoda regra. Quando houver a necessidade de deixar que ambos os lados (Origem eDestino) originem a conexao, como entre duas redes de uma VPN, desmarque estaopcao.

Dica: durante a inclusao das regras, e importante que voce avalie se a novaregra se encaixa com alguma ja criada. Caso sim, basta voce editar a regraexistente e incluir os objetos desejados. Isso vai fazer com que seu Firewallfique mais organizado, facilitando sua manutencao.

8.3 Regras basicas do Firewall

A configuracao do Firewall requer a analise detalhada do ambiente para que todo otrafego necessario seja contemplado atraves de suas regras. Seguem abaixo algumas regrasbasicas, que sao uteis na maioria dos ambientes.

8.3.1 Acesso ao Nettion

E necessario que voce crie uma regra que o permita acessar a interface de administracaodo Nettion. A liberacao desta regra pode ser feita apenas para um IP fixo na rede, o damaquina do administrador, ou para toda a rede interna, com destino ao Nettion. Segueum resumo da regra a ser criada na tabela 8.1 (pagina 85).

Obs: como comentado anteriormente, o objeto especial “localhost” referencia o proprioNettion.

8.3. REGRAS BASICAS DO FIREWALL 85

Regra: Administracao do NettionOrigem Destino Serv. Destino Acao

Host Administrador localhosthttp

Aceitarhttpsssh

Tabela 8.1: Liberacao do acesso ao Nettion

8.3.2 Acesso Nettion -> Internet

Na maioria dos casos, o Nettion e utilizado com a funcao de Proxy da rede. Isso requerque o Nettion acesse alguns servicos na Internet, como DNS, HTTP e HTTPS. Veja umresumo da regra a ser criada na tabela 8.2 abaixo.

Regra: Nettion -> InternetOrigem Destino Serv. Destino Acao

localhost Qualquerhttp

Aceitarhttpsdns

Tabela 8.2: Liberacao Nettion -> Internet

8.3.3 Resolucao de nomes para a rede interna

Na maioria das vezes, o Nettion e responsavel pela resolucao de nomes na Internet paraas maquinas da rede interna. Para isso, segue o resumo da regra a ser criada na tabela8.3 a seguir.

Regra: DNS para IntranetOrigem Destino Serv. Destino AcaoRede Interna localhost dns Aceitar

Tabela 8.3: Liberacao do DNS para Rede Interna

OBS.: Lembramos que estas sao dicas de regras basicas do firewall, que podeme devem ser complementadas, porem, existem ainda muitas outras regras quedevem ser criadas para tornar o seu firewall realmente eficiente. Tais regrasdependem de alguns fatores como:

• Polıtica de Seguranca da Empresa;

• Servicos e Aplicativos externos utilizados;

• Servicos e Aplicativos internos a serem acessados externamente;

• Etc.

Exemplos de outras regras poderao ser encontradas neste documento nas con-figuracoes de outros modulos do Nettion, como Proxy e VPN.


8.4 Relatorios

Atraves do relatorio do Firewall voce tera acesso aos registros gerados pelas regras deAuditoria do seu Firewall. Os filtros de pesquisa permitem que voce faca o filtro tanto poruma regra especıfica de auditoria, quanto por uma selecao avancada de hosts e servicos.

Figura 8.7: Relatorios do Firewall

Capıtulo 9

VPN

A VPN (Virtual Private Network ou Rede Privada Virtual) envolve a utilizacao da inter-net como meio seguro de comunicacao entre dois pontos. Para garantir a seguranca notrafego das informacoes pelo meio publico que a internet representa, o Nettion R©, atravesde sua funcionalidade de VPN, cria um tunel de comunicacao entre os dois pontos peloqual os dados trafegados sao criptografados. Isso quer dizer que somente os dois pontosterao a chave de descriptografia e de interpretacao dos dados recebidos.

O Nettion R© possui quatro tipos de VPN:

• PPTP

• IPSec Chave Publica RSA

• IPSec Chave Compartilhada PSK

• OpenVPN (Plugin)

9.1 VPN PPTP

O protocolo PPTP permite estabelecer a conexao de 1 host pertencente a internet arede local controlada pelo Nettion R©. Sua criptografia e media ou baixa, dependendo docliente utilizado. Em sistemas operacionais Windows, com a versao igual ou posterior a2000, estabelecem-se conexoes de criptografia media de 128 bits. Em clientes Windows98, estabelecem-se conexoes com 40 bits de criptografia.

Um caso de uso comum se apresenta quando o usuario quer ter acesso a rede da empresa,controlada pelo Nettion R©, a partir de uma conexao discada (DialUP) ou ADSL.

Atencao: para utilizacao da VPN-PPTP, e necessario que o administrador inclua nofirewall as regras para prever o acesso. Faca uso do objeto pre-definido pptp. Segue umresumo da regra necessaria na tabela 9.1.

Regra: Liberacao da VPN PPTPOrigem Destino Serv. Destino AcaoQualquer localhost pptp Aceitar

Tabela 9.1: Liberando VPN PPTP

87

88 CAPITULO 9. VPN

9.1.1 Configuracoes

Para configurar o servidor de VPN - PPTP, acesse VPN > PPTP > Configuracoes.A tela de configuracoes sera exibida, como mostra a figura 9.1 abaixo.

Figura 9.1: Configuracoes da VPN PPTP

• Interface de Funcionamento: Indique a interface de rede pela qual o servidor ira re-sponder por requisicoes PPTP. Normalmente sera a interface de rede que se conecta aInternet (com IP publico) ou Todas, para qualquer interface. Ex.: eth0(200.200.200.200);

• IP do Servidor: IP que sera o Gateway do cliente PPTP apos a conexao. Ex.:128.0.0.1

• Intervalo de IPs dos clientes: range (faixa) de IPs que sera fornecido aos clientesda VPN. Ex.: 128.0.0.11-20. O administrador devera cadastrar os usuarios queutilizarao a VPN PPTP, que chamaremos de clientes, podendo atribuir ao clienteum IP, que sera selecionado para os que necessitem de um tratamento diferenciadoquanto ao firewall a cada conexao. Ou, pode permitir que o servidor PPTP atribuaum dos IPs dentro do range, informado na configuracao do servidor disponıvel nomomento da conexao.

Importante: Para que os clientes PPTP possam acessar a sua rede e para que tambempossam ser acessados, e necessario que se faca uma regra liberando este trafego. Veja oresumo de uma regra para o exemplo onde a rede VPN e a rede interna estao na rede128.0.0.0/24 na tabela 9.2 (pagina 89), considerando que:

• Rede Interna: Objeto de Host/Rede configurado para 128.0.0.0/24;

• Qualquer: Qualquer servico possa ser acessado entre as redes. Escolha os servicosespecıficos caso necessario.

Obs: Para permitir que a conexao possa ser iniciada a partir de ambos os lados, desmar-que a opcao Estado estabelecido e/ou relacionado no retorno da conexao nasconfiguracoes avancadas desta regra.

A exibicao da lista de clientes cadastrados pode ser ordenada pela coluna: Login ouNome ou Descricao. O cliente deve clicar sobre a coluna especıfica para que o sistemaalterne a exibicao e a ordenacao dos itens da tabela. Sera possıvel utilizar a barra derolagem para navegar entre os itens da tabela.

9.1. VPN PPTP 89

Regra: Liberacao da VPN PPTPOrigem Destino Serv. Destino AcaoRede Interna Rede Interna Qualquer Aceitar

Tabela 9.2: Liberando trafego rede interna ↔ rede VPN

9.1.2 Manutencao do cadastro de clientes para VPN PPTP

A manutencao do cadastro de clientes PPTP segue ao padrao estabelecido anteriormente.

Para clientes PPTP deverao ser preenchidos os seguintes campos:

Figura 9.2: Adicionando/Editando usuarios PPTP

• Usuario: login do usuario. Ex.: Joao

• Senha: senha de autenticacao. Ex.: senhapptp

• Confirmacao: confirmacao da senha. Ex.: senhapptp

• IP: IP que a maquina externa deste cliente ira receber ao fechar VPN com o Nettion.Caso seja preenchido este campo com um asterisco (*), o cliente recebera um dos IPexistentes dentro do Range (faixa) de IP disponibilizado pelo Servidor. Caso sejaespecificado um IP, este cliente sempre recebera este IP ao conectar-se. Para umamaior seguranca indicamos que o IP seja fixo. Ex. 1: * Ex. 2: 128.0.0.11

Conexoes Ativas

O Nettion R© possibilita que o administrador tenha conhecimento sobre quais conexoes es-tao ativas no momento da consulta. Estas informacoes estarao disponıveis nos relatoriosposteriores.

Relatorios

Nesta secao, o administrador podera visualizar relatorios sobre as conexoes PPTP reali-zadas.

90 CAPITULO 9. VPN

Figura 9.3: Relatorio de conexoes realizadas.

Conexoes O administrador podera efetuar o acompanhamento dos acessos feitos viaPPTP, facilitando o gerenciamento da rede. E possıvel ainda que o administrador des-conecte manualmente um usuario conectado clicando no botao“Stop”, conforme mostradona figura 9.4 a seguir.

Figura 9.4: Listagem de conexoes ativas

9.2 VPN IPSec

O IPSec e um dos protocolos mais seguros que existem para o estabelecimento VPN’satraves de redes publicas de comunicacao. Este fato da-se pelo uso dos mais fortes algo-ritmos publicos de criptografia, com nıveis de seguranca configuraveis pelo administrador.

Atencao: para a utilizacao da VPN-IPSec e necessario que o administrador inclua nofirewall regras para prever seu acesso. Segue um resumo da regra a ser criada na tabela9.3 (pagina 91).

9.2. VPN IPSEC 91

Regra: Liberando IPSecOrigem Destino Serv. Destino AcaoLocalhost Qualquer ipsec Aceitar

Tabela 9.3: Liberando IPsec

Alem desta regra, e necessario fazer uma regra que libere o trafego entre as redes conec-tadas via IPSEC. Segue um resumo da regra a ser criada para este fim na tabela 9.4abaixo, considerando que:

• Rede Local: Objeto de Host/Rede previamente configurado com o IP da sua redelocal;

• Rede Remota: Objeto de Host/Rede previamente configurado com o IP da rederemota;

• Qualquer Serv: considerando que qualquer servico estara disponıvel entre as redes.Escolha os servicos especıficos caso necessario.

Obs: Para permitir que a conexao possa ser iniciada a partir de ambos os lados (redelocal e rede remota), desmarque a opcao Estado estabelecido e/ou relacionado noretorno da conexao nas configuracoes avancadas desta regra.

Regra: Liberando trafego dentro da VPNOrigem Destino Serv. Destino AcaoRede Local Rede Remota Qualquer Aceitar

Tabela 9.4: Liberando Trafego dentro da VPN

9.2.1 Configuracoes

Chaves de Autenticacao e Criptografia

Existem 2 tipos possıveis de chave:

DICA: caso voce esteja utilizando 2 Nettions R© para estabelecer a VPN, abra uma janelado browser atraves de conexao segura com cada um dos lados. Desta forma, fica maissimples configurar sua VPN.

Chave PSK O sistema de autenticacao sob chave PSK consiste em uma unica chave,compartilhada entre os 2 lados da VPN, que promove o sistema de criptografia, descrip-tografia e autenticacao.

Vantagens:

• Por utilizar o protocolo IPSec, projetado especificamente para o trafego seguro deinformacoes atraves do protocolo TCP/IP, a VPN IPSec do Nettion R© se torna umadas mais seguras escolhas para o trafego de informacoes;

• O sistema PSK e mais simples de ser configurado que o de dupla chave RSA. Porem,o nıvel de criptografia e seguranca e mais baixo;

92 CAPITULO 9. VPN

• Compatibilidade total com outros sistemas de VPN PSK, como o Raptor R© daSymantec R©.

Desvantagens:

• Nao suporta NAT;

• Menos seguro que o sistema RSA.

Precaucoes:

• Nao utilize chaves humanamente compreensıveis;

• Nao forneca sua chave para o outro lado da VPN por e-mail, mensagens instantaneasou outros meios publicos de comunicacao. Utilize ssh, https ou outro meio segurode transferencia de mensagens. Caso voce utilize um disquete ou CDROM para otransporte da chave, destrua-o;

• Nao revele sua chave para ninguem;

• Gere chaves seguras, com mais de 128bits.

Chave RSA O sistema de autenticacao sob chaves RSA consiste em 2 chaves, umapublica e uma privada, que promovem o sistema de criptografia, descriptografia e auten-ticacao. Esta configuracao requer a geracao da chave secreta, que o proprio Nettion R©tem capacidade para fornecer. A chave secreta possui um altıssimo nıvel de criptografia(ex.: 2048bits ou 4096bits), configuravel pelo administrador, que garante um altıssimonıvel de seguranca nas transacoes .

Vantagens:

• Por utilizar o protocolo IPSec, projetado especificamente para o trafego seguro deinformacoes atraves do protocolo TCP/IP, a VPN IPSec se torna uma das maisseguras escolhas para o trafego de informacoes;

• O sistema RSA e extremamente seguro;

• Sistema utilizado ha muitos anos, com uma base solida de teste de seguranca eusabilidade.

Desvantagens:

• Nao suporta NAT;

Precaucoes:

• Nao forneca sua chave para o outro lado da VPN por e-mail, mensagens instantaneasou outros meios publicos de comunicacao. Utilize ssh, https ou outro meio segurode transferencia de mensagens. Caso voce use um disquete ou CDROM para otransporte da chave, destrua-o;

• Nao revele sua chave para ninguem;

9.2. VPN IPSEC 93

Configuracoes Gerais

Para configurar o servidor de VPN - IPSec, acesse VPN > IPSEC > Configuracoes.A tela de configuracoes sera exibida, como mostra a figura 9.5 a seguir.

• Interface de Funcionamento: Interface pela qual o servidor ira se conectar. Normal-mente sera a interface de rede que se conecta a Internet (com IP publico). Utilize aopcao “Rota Padrao” caso o seu Link com a Internet possua um IP publico dinamico(variavel).

• Tipo de Encriptacao: tipo de chave que sera utilizada para encriptacao: 3des, 3des-md5-96 ou 3des-sha1-96 Ex.: 3des-md5-96

• Regerar chave secreta (somente RSA): marcando o campo SIM sera regerada achave de encriptacao demonstrada no campo Chave Publica.. Sera ativado ocampo Tamanho, em que o administrador podera especificar o tamanho da chaveque deseja utilizar em bits (512, 1024, 2048, etc.).

• Chave Publica(somente RSA): chave gerada pelo Nettion para este servidor.

Figura 9.5: Configuracoes do servidor IPSEC

9.2.2 Conexoes

Neste modulo, o administrador ira cadastrar e controlar as conexoes de VPN - IPSec. Eapresentada ao administrador uma lista de conexoes ja cadastradas. Para cada conexaolistada, ha um indicador de Status que podera estar verde (ativo) ou vermelho (inativo),de acordo com o estado da conexao, e um botao Start ou Stop, que deve ser acionadocom um clique para iniciar ou parar a conexao de acordo com o seu estado. Sao listados

94 CAPITULO 9. VPN

em cada conexao: seu nome, a rede A e seu Gateway, a rede B e seu Gateway, o Statusda conexao e o botao Acao (Start ou Stop) .

Atencao: Antes de iniciar a sua conexao, certifique-se que o servico VPN IPSec no menuSistema->Servicos. Lembre-se tambem de ter marcado como Auto para que o Nettioninicie o servico no boot da maquina.

Figura 9.6: Listagem de conexoes IPSEC

A exibicao da lista de conexoes cadastradas pode ser ordenada por qualquer uma dascolunas exibidas. Para que o sistema alterne a exibicao e a ordenacao dos itens da tabelao usuario deve clicar sobre a coluna especıfica. A barra de rolagem podera ser utilizadapara navegar entre estes itens.

Manutencao do cadastro de conexoes

A manutencao do cadastro de conexoes segue ao padrao estabelecido anteriormente. Paranovas conexoes, deverao ser preenchidos os campos a seguir. Para facilitar o entendimento,identificamos como “A” e “B” os dois lados que fecharao a VPN.

• Nome: indique um nome com o qual voce deseja identificar a conexao. Ex.: Filial 1

• Gateway A: Endereco IP da maquina que servira de gateway, ou seja, a maquina quese interligara com a outra rede. Ex.: 200.253.5.10 (Geralmente o proprio Nettion R©).O administrador possui 3 opcoes neste item: IP, Qualquer, Default Route. IP:quando o Nettion R© possui um IP Valido e Fixo de saıda. Ex: Link IP Tele-mar, Link Embratel; Qualquer: quando no lado (A) da VPN, nesta mesma posicao,for cadastrada a opcao Rota Padrao, no lado (B) da VPN sera cadastrado Qual-quer. Ex.: conexao entre um Nettion com IP Fixo aceitando uma conexao com umNettion R© com IP dinamico. Rota Padrao: quando o administrador for realizar aconfiguracao de uma VPN utilizando um link com IP Dinamico, e impossıvel deter-minar qual sera o IP do Nettion R© e, consequentemente, seu Gateway. Neste caso,sera marcada a opcao “Rota Padrao”. Ex: configuracao de VPN utilizando ADSL,Cable.

• Rede A: rede que ira fazer parte da conexao e que, portanto, estara acessıvel pelaoutra ponta (Rede B). Ex.: 128.0.0.0/16

• NextHop A: saıda padrao do Nettion R© que atua como Gateway A. Ex.: 200.253.5.9(gateway do Nettion). Caso esteja cadastrando dados de uma VPN que utilize IPDinamico, esta opcao sera desabilitada, pois seria impossıvel determinar o Gatewaydo Nettion R© de forma estatica.

9.2. VPN IPSEC 95

• Chave gateway A: chave de comunicacao do Gateway AExemplo:

0sAQO7tMehTP69r+Pr4PSTUmiYMDLQ4Lf70kWBgbhf+hhBKuh7Dk4XRNZcn8AYL15Pmig

hjuUoAhJEQWW1VzsdzmQosWAh6URQpQmYQ+bwymJpFAVTBFEgaJo6r+vP0Irn7/FhI41I

tnioJ7rCpEKtq4lfDEe0K5MDeNK6za+Rx4WEO8Dr8kjR0ePK9uPzb1xEwEizrIBUZfm4h

BXVI/7LKXZG1Hf9Ouc6RKhPXlN/HkhIC2s0m61TIwTzqHwx+Qd48B7oITZslcmsOkK2Wl

JjZgq+5dPZQnHjoXsAuNJaNVXkQZFMNQziwznFJ7D2D1qfuVIzeVYgLso6yBJgW+QG7ush

• Gateway B: endereco IP da maquina que servira de gateway, isto e, interligacao comoutra rede. Ex.: 200.195.152.2

• Rede B: rede que ira fazer parte da conexao e que, portanto, estara acessıvel pelaoutra ponta (Rede A). Ex.: 192.168.1.0/24.

• NextHop B: saıda padrao do Nettion que atua como Gateway B. Ex.: 200.195.152.1. Veja o item NextHop A.

• Chave gateway B: Chave de comunicacao do Gateway BExemplo:

0sAQPZfUID9sYTuasmkJYfU8JmpKwphyfxT0NtUmzTT6S58FXla6qEFJrv9JgIHFtp8Dl

h6wHa6a9069bHg+MZX3GLtb4ynGaFtVsqvuNx9aVgnuliunxaXwsq2zShTBBgrCTed5o9

YBMms1ItdxI6Pu5oeD1JrzQkI5J0b0qo3ukx07nqwUmDJRVHfL1zgbVeeTmn86LmhuMYp

zwcBdBB5RZae8xnL0roUN7XUnjOg2VeHWVUk9giwS628KKLbclWIBcl8hIn1xc30qzrjl

vqPAZggNGNt3w85925oxPRn+UvXNkadxfOxKeoF8DyLsrbvl61RAq7erQWyNVUvCz

• Conexao: se a conexao sera ativada manualmente ou automaticamente. Configureesta opcao para Auto para que a VPN seja sempre reiniciada automaticamente. Ex.:Auto.

• Status da conexao: se a conexao esta ativa ou nao.

Obs: o Administrador podera importar a chave do Nettion que estiver sendo configuradodando um clique no botao IMPORTAR MINHA CHAVE PUBLICA

Dicas de Configuracao:

• 1. Ao configurar uma VPN entre 2 Nettions R©, abra uma janela do browser paracada um deles;

• 2. As configuracoes dos 2 lados serao totalmente IDENTICAS, salvo em casos deutilizacao de IPs dinamicos. Isto quer dizer que, se o administrador cadastrar osdados do Nettion R© 1 como sendo o Nettion R© (A) da configuracao, quando ele forrealizar a configuracao do Nettion R© 2, as informacoes serao identicas, inclusive noposicionamento, tendo o Nettion R© 1 como sendo o lado (A);

• 3. Em configuracoes tendo Nettion 1, lado (A) , IP Fixo e o Nettion 2, lado(B), IP Dinamico, obrigatoriamente o lado (B) tera como gateway a marcacao doitem Rota Default. Seguindo a dica do item anterior, o administrador e levado aconfigurar o mesmo item, na mesma posicao, em cada um dos Nettion R©. Porem, estae a unica excecao a regra. Observando o Nettion R© 2, nos itens de configuracao dolado (B), o administrador ira configurar o item Rota Default. Ao olhar esta mesmaconfiguracao, na mesma posicao, no lado (A), o administrador tera que configuraro item Qualquer. Obs: sempre que houver uma configuracao de VPN entre um

96 CAPITULO 9. VPN

IP Fixo e um IP Dinamico, os campos correspondentes ao IP fixo serao identicosem ambos os Nettions R©. Porem, os campos de configuracao correspondentes aolado do IP Dinamico irao ser diferentes: no Nettion R© com IP dinamico, veremosmarcado o item Rota Default, e no Nettion R© com IP Fixo, veremos marcado oitem Qualquer;

• 4. O Nettion possibilita que ambas as conexoes (Nettion A e Nettion B) possuam IPsDinamicos, do tipo ADSL, por exemplo. Para isso e necessario fazer as configuracoesutilizando o nome do host e nao o IP. Como o IP e variavel, utilize o servico de DNSDinamico do Nettion e para cada Nettion associe um nome DNS. Uma vez feitaas configuracoes, o Nettion tratara de manter a conexao ativa mesmo que os IPsvariem.

Figura 9.7: Incluir/Editar de Conexao IPSEC

9.3. OPENVPN 97

9.3 OpenVPN

A documentacao do NettionPlug OpenVPN encontra-se no item 15.5 do Capıtulo 15 sobreNettionPlugs, na pagina 152. Leia tambem sobre o que sao NettionPlugs no Capıtulo15 na pagina 141.

98 CAPITULO 9. VPN

Capıtulo 10

NIDS

O sistema de deteccao de tentativa de invasao (Network Intrusion Detection System) doNettion R© trabalha investigando se existe alguem tentando aplicar algum dos mais de1.600 tipos de tentativas de invasao, catalogados no Nettion, atraves de sua conexao.Uma vez detectada a tentativa, o Nettion R© enviara um e-mail para o administradornotificando o acontecimento e registrara o fato em um log referente ao NIDS.

10.1 Configuracoes

Define as informacoes referentes ao sistema de deteccao, que podem ser:

• Interface, utilizada para monitorar o trafego;

• IPs e redes que sao monitorados por ataques;

• Filtros por assinaturas etc.

A atualizacao das assinaturas e feita atraves do sistema de atualizacao (Update) doNettion R©. Verifique as novas versoes do software no modulo do sistema.

10.1.1 Selecao de Interfaces

O administrador pode selecionar qual interface deseja monitorar referente a deteccao detentativas de invasao. Caso deseje monitorar todas, nao sera necessario clicar individual-mente em cada uma delas. Basta clicar na opcao “Todas”, como mostra a figura abaixo.

Figura 10.1: Selecao de Interfaces do NIDS

99

100 CAPITULO 10. NIDS

10.1.2 Objetos

E apresentada uma lista de objetos cadastrados no Nettion R© para que o administradorclassifique quais sao confiaveis e quais serao monitorados. Ao selecionar um objeto paraser monitorado, todo o trafego referente ao item escolhido sera analisado. Apos realizar asalteracoes desejadas, e necessario clicar no botao “Salvar alteracoes”para que estas surtamefeito.

Figura 10.2: Selecao de Objetos a serem Monitorados

10.1.3 Configuracao do PortScan

O administrador deve especificar aqui o numero de portas e o intervalo de tempo necessariospara considerar um portscan vindo de uma mesma maquina. Esta configuracao e validatanto para pacotes UDP como TCP.

O valor padrao e a deteccao de quatro portas, num intervalo de tres segundos, paraa caracterizacao de um portscan. Aqui, o administrador pode aumentar ou diminuira sensibilidade do NIDS para a deteccao das tentativas de invasao. Para aumentar asensibilidade, basta diminuir o numero de portas por intervalo de tempo. Para diminuir,aumente o numero de portas por intervalo de tempo, como mostra a figura 10.3 abaixo.Em seguida, clique no botao “Salvar Configuracoes”.


Figura 10.3: Configuracao do PortScan do NIDS

10.1.4 Deteccao de Assinaturas

O Nettion R© possui cadastradas mais de 1.600 tipos de tentativas de invasao, que estaoseparadas por tipos e sao exibidas quando o administrador clica no campo “Tipos deAssinaturas”. Como alguns exemplos de tipo de assinaturas, podemos citar: Backdoors,Dos, Exploit, WEB IIS etc.

Ao clicar em um destes tipos de assinaturas, sera ativado o botao “Ativar/DesativarAssinaturas”. Ao clicar neste botao, sera apresentada uma lista das assinaturas, referentesao item selecionado (Ex.: “WEB IIS”), ao administrador. Este, por sua vez, selecionaraas assinaturas que considerar importantes para que o NIDS monitore. Como mostra afigura 10.4 abaixo.

Figura 10.4: Selecao de Assinaturas do NIDS

Ao final das listas, ha um botao que seleciona todas as assinaturas referentes ao item(Ex.: WEB IIS). Portanto, caso deseje marcar todas, nao e necessario selecionar uma auma.

Esta configuracao influencia diretamente a performance por isso, deve ser feita com muitocuidado e consciencia.

10.1.5 Alerta por e-mail

Especifique a frequencia caso queira receber notificacoes de alertas por e-mail. Paradesabilitar essa opcao, especifique a frequencia de envio para “Nenhuma”e salve a configu-racao.


Figura 10.5: Configuracao de Alertas via E-mail

10.1.6 Relatorios

Exibe relatorios dos alertas e tentativas de invasao com detalhes sobre os pacotes cap-turados: IPs de origem e destino, protocolo, portas e etc.

10.1.7 Alertas

O administrador pode visualizar as ultimas assinaturas detectadas e tambem os portscansrealizados.

Lista de informacoes gerais a respeito da configuracao do NIDS:

• Assinaturas ativas: informa a quantidade de regras ativas e o total de regras exis-tentes. Ex.: 721 de 1601

• Assinaturas detectadas: exibe a quantidade de assinaturas ativas que foram detec-tadas pelo NIDS em sua conexao Ex.: 101

• PortScan detectados: numero de portscan que foram detectados pelo NIDS. Ex.:247

• Data do ultimo alerta: data e hora no qual foi gerado o ultimo alerta. Ex.: 21/12/2002- 14:27:13

10.1.8 Ultimas assinaturas

Aqui o administrador visualiza, pagina por pagina, os ultimos alertas por assinaturas,especificando os seguintes campos:

• Assinatura: assinatura a qual o alerta faz referencia. Ex.: WEB-PHP content-disposition

• IP Origem: IP que originou o alerta. Ex.: 10.0.3.30

• PO: porta de origem da maquina de onde partiu a tentativa de acesso. Ex.: 6040 IP

• Destino: IP que se destina a conexao. Ex.: 10.0.3.12

• PD: porta de destino para onde se direcionava o acesso. Ex.: 80


• Protocolo: tipo do protocolo utilizado para acesso. Ex.: TCP

• Hora e Data: hora e data na qual o NIDS registrou o alerta. Ex.: 16:20:47 07-04-2003

Figura 10.6: Relatorio de Assinaturas Detectadas

O administrador pode selecionar a quantidade de alertas que deseja visualizar por paginaatraves da alteracao do campo “Lista com intervalo de 15 alertas”, que por padrao apre-senta 15 alertas. Caso o administrador deseje incluir um dos IPs apresentados na listaaos IP bloqueados, ele deve clicar sobre o IP desejado e confirmar o bloqueio no quadroque solicitara confirmacao.

Ultimos PortScans

Este relatorio mostra especificacoes sobre os portscans realizados: IP de origem, quanti-dade de conexoes por host, protocolos utilizados e hora e data do portscan. Clicando emum dos itens da lista, sera solicitada ao administrador a confirmacao de inclusao do IPde origem do portscan na lista de IPs bloqueados, como mostra a figura 10.7 abaixo.

Figura 10.7: Relatorio de PortScans Detectados


10.1.9 IPs Bloqueados

Exibe uma lista com os IPs bloqueados atraves da interface web do NIDS. Os IPs con-tidos nesta lista nao terao acesso nenhum ao Nettion R©, seja ele em qualquer direcao,passando por qualquer interface. Atraves desta lista, tambem e possıvel a remocao deIPs bloqueados.

Obs.: os IPs serao bloqueados somente se o Firewall estiver ativo.

Lista de IP bloqueados por data de inclusao (Figura 10.8 abaixo):

Figura 10.8: Relatorio de IPs Bloqueados

Capıtulo 11

DHCP

O servidor DHCP do Nettion R© pode ser configurado para distribuir os enderecos de IP’sdas estacoes de uma ou mais redes ligadas a solucao, permitindo tratar de forma diferentecada uma delas.

11.1 Configuracoes

11.1.1 Configuracoes Globais

Para configurar o servidor DHCP do Nettion, acesse DHCP > Configuracoes. Na telaque sera exibida os campos devem ser preenchidos conforme a descricao abaixo:

Figura 11.1: Configuracoes Globais do Servidor DHCP

• Domınio: especificar o domınio o qual ao DHCP respondera. Ex.: ficticia.com.br

• DNS Primario: servidor de nomes primario. Ex.: 128.0.0.1

• DNS Secundario: servidor de nomes secundario. Ex.: 128.0.0.2

• Gateway padrao: maquina de saıda da rede. Ex.: 128.0.0.1

• Mascara da Rede: mascara da rede a qual o IP do servidor DHCP pertence. Ex.:Classe B padrao /16.

105

106 CAPITULO 11. DHCP

11.1.2 Interface

Ainda na tela de configuracoes globais, selecione as interfaces que respoderao por requi-sicoes DHCP na sua rede, conforme mostra a figura 11.2 abaixo.

Figura 11.2: Selecao da Interface de funcionamento do DHCP

11.2 Hosts

Esta secao permite que o administrador associe enderecos IP a mac addresses da rede,fazendo com que determinadas maquinas recebam sempre o ip indicado. E especialmenteutil quando se deseja fazer regras especıficas para alguns IPs da rede.

A exibicao da lista de hosts cadastrados pode ser ordenada pela coluna: “host”ou“enderecoIP”. Para que o sistema alterne a exibicao e a ordenacao dos itens da tabela, e necessario,somente, que o usuario clique sobre a coluna especıfica. O usuario podera utilizar a barrade rolagem para navegar entre os itens da tabela.

11.2.1 Manutencao do cadastro dos Hosts

A manutencao do cadastro dos hosts segue ao padrao estabelecido anteriormente. Parahosts, deverao ser preenchidos os seguintes campos:

Figura 11.3: Inclusao de Novo Host

11.3. REDES 107

• Nome do host: descricao do host. Ex.: Maquina do Joao;

• Endereco MAC: especificacao do endereco fısico da placa (Mac-Address). Ex.:00:E0:7D:00:E3:23;

• Endereco IP: Endereco IP a ser fornecido;

• Rede: rede da qual o host fara parte. Ex.: 128.0.0.0.

11.3 Redes

O servidor DHCP atribuira IP’s dentro das redes especificadas para a interface a qualestiver direcionada.

A exibicao da lista de redes cadastradas pode ser ordenada pela coluna: “rede”ou “mas-cara”. Para isso, o administrador deve clicar sobre a coluna especıfica. Isso fara com queo sistema alterne a exibicao e a ordenacao dos itens da tabela. O administrador poderautilizar a barra de rolagem para navegar entre os itens da tabela.

11.3.1 Manutencao do cadastro de Redes

A manutencao do cadastro de redes segue o padrao estabelecido anteriormente. Pararedes, deverao ser preenchidos os seguintes campos:

Figura 11.4: Especificacao da Rede do DHCP

108 CAPITULO 11. DHCP

• IP da rede: IP da rede. Ex.: 128.0.0.0

• Mascara da Rede: mascara da nova rede. Ex.: Classe B padrao /16

• Faixa de IPs que serao distribuıdos: faixa de IPs que sera fornecida pelo Nettion.

• Inıcio: IP inicial da faixa de IP. Ex.: 128.0.0.21

• Fim: ultimo IP da faixa. Ex.: 128.0.0.50

• Interface: interface que respondera pelas requisicoes desta rede.

Caso se deseje trabalhar com os registros nas Configuracoes Globais do DHCP, os demaiscampos nao sao necessarios. Caso contrario, deverao ser preenchidos.

Capıtulo 12

E-mail

12.1 Configuracoes

O Nettion R© pode tambem ser utilizado como o seu servidor de e-mails, fazendo todoo trabalho de gerenciamento de multiplos domınios e usuarios, integrado com um sis-tema bastante robusto de antivırus (atualizado diariamente) e anti-spam com sistema deaprendizado e quarentena.

Como base para este recurso, o Nettion utiliza um servidor de e-mails do Linux chamadoQmail, bastante conhecido por sua seguranca e estabilidade no gerenciamento de umgrande numero de contas.

Alem disso, este recurso do Nettion oferece: autenticacao integrada, sistema de quotapor usuario, sistema de bloqueio de anexos de e-mails de acordo com o tamanho e a suaextensao, sistema de auditoria, controle da fila (possibilita ao administrador acompanharse uma mensagem ainda nao foi enviada, o motivo e ate mesmo sua exclusao), sistema delogs e quarentena, que possibilita o acompanhamento dos e-mails que foram bloqueadospor conter vırus, e varias outras funcoes que sao decisivas no monitoramento do seuservidor de e-mail.

Para o recebimento dos e-mails, os usuarios tem a possibilidade de utilizar contas POP3,POP3s, IMAP ou IMAPs ou ate mesmo um webmail que e disponibilizado pelo Nettion R©.

12.1.1 Gerais

Autenticacoes simultaneas permitidas:

Esta opcao nao se refere ao modo de autenticacao, ja que foi previamente definido nocapıtulo referente a Usuarios e Grupos, mas sim ao numero maximo de autenticacoessimultaneas permitidas. Isto dependera do numero de usuarios para o sistema. Quantomaior o numero de usuarios, maior sera o numero de autenticacoes simultaneas. Vintee, comprovadamente, um valor ideal. Entretanto, o administrador podera incrementa-lo,ao perceber que seus usuarios estao necessitando fazer varias tentativas de autenticacaono cliente de e-mail ate conseguir concluir a operacao, ou diminuı-lo, para que nao sejautilizada memoria sem necessidade no servidor.

Tamanho maximo permitido de anexos:

109

110 CAPITULO 12. E-MAIL

Figura 12.1: Email - autenticacao

12.1.2 Relay

Uma das principais preocupacoes que um administrador de um servidor de e-mail deveter e nao deixar que ele seja utilizado indevidamente para enviar mensagens inuteis, de-sagradaveis e quase sempre indesejaveis - os spams, o que geralmente e feito por algumusuario que nao faz parte de sua rede. O Nettion R© permite que o administrador definaquais redes ou hosts terao liberdade de enviar e-mail atraves do seu servidor. Tecnica-mente, essa permissao chama-se relay. Abrir o relay para alguem significa permitir quedeterminado host ou rede envie e-mails atraves do seu servidor. Um sistema bem admin-istrado, certamente, so permitira acesso aqueles que sao de direito faze-lo. Portanto, enecessario manter o relay fechado contra intrusos.

Figura 12.2: Relay do servidor de E-mails


Temos aqui uma lista de hosts/redes com permissao para usar o servidor para envio demensagens. O cadastro para liberacao se da de forma simples, levando em consideracaoos objetos pre-cadastrados e preenchendo um formulario como o seguinte:

A esquerda estao os hosts/redes que tem permissao e a direita estao todos os objetosinseridos no Nettion R©. Fazendo-se uso dos botoes entre as duas janelas, de caracterısticasintuitivas, pode-se incluir ou excluir aqueles que terao direito de envio de mensagensatraves deste servidor. Bastando, ao final de todas as alteracoes, clicar sobre “SalvarConfiguracoes” para efetiva-las.

Figura 12.3: Administracao de Relays

12.1.3 Webmail

O Nettion oferece um sistema de Webmail como opcao para envio/recebimento de e-mailsvia Web sendo necessario para isto apenas a identificacao, com uma combinacao de e-mailcompleto e senha do usuario. O Webmail do Nettion pode ser acessado atraves do seuIP seguido de webmail, por exemplo: http://200.200.200.200/webmail.

Algumas caracterısticas sao configuraveis para personalizar o webmail do Nettion R© comoo idioma padrao do webmail, o ıcone que aparece na tela de login (o qual precisa conter umendereco absoluto como o exemplificado no padrao) e o nome das pastas que guardaraoas mensagens apagadas, enviadas e os rascunhos de e-mail.

Figura 12.4: Configuracoes do Webmail


12.1.4 Mensagens

Nesta secao o administrador pode editar as tres seguintes mensagens:

• mensagem de retorno para o remetente que tentar enviar email para usuario invalido;

• mensagem informando que o limite da quota esta prestes a ser atingido

• mensagem retornada para o rementente quando o destinatario de seu email excedeua quota limite

Figura 12.5: Configuracao de mensagens do servidor de E-mails

12.1.5 Extensoes

Inicialmente, o antivırus devera manter afastados os arquivos que facilmente sao infecta-dos e que podem carregar vırus para os clientes de e-mail. Algumas extensoes, ja classicas,podem carregar vırus. Em termos gerais, os arquivos chamados auto-executaveis comoos de extensao “.exe” e “.com” sao os infectados com maior frequencia. Devido a maiorincidencia de vırus e maior probabilidade de infeccao em arquivos com determinadas ex-tensoes, o Nettion R© impede a entrega ou saıda de e-mails que contenham anexos comtais extensoes.

Figura 12.6: Lista de extensoes bloqueadas

12.2. DOMINIOS 113

A tela de inclusao ou edicao e simples e intuitiva, onde e necessario, apenas, cadastrar aextensao propriamente dita e uma pequena descricao, como mostrado na figura a seguir:

Figura 12.7: Inclusao/Edicao de extensoes bloqueadas

12.2 Domınios

Nesta secao o admnistrador controlara os domınios de emails. E possıvel criar e removerdomınios, bem como adicionar ou remover usuarios de tais domınios. Observe que para

Figura 12.8: Listagem de domınios de E-mail

que seu domınio de e-mail funcione perfeitamente na Internet, e necessario que o DNSdo domınio esteja devidamente configurado e apontando que o Nettion sera o responsavelpelos e-mails.

12.2.1 Incluir um domınio

Caso deseje adicionar um domınio, clique no botao Incluir e preencha os campos conformeas descricoes abaixo:

• Domınio: nome do domınio a ser incluso. Ex.: nettion.com.br;

• Quota: espaco maximo em disco que cada conta pode ocupar;


• No maximo de mensagens: quota por mensagem. Numero de mensagens por conta;

• Senha do administrador (postmaster): senha do administrador do domınio;

- Caso deseje redirecionar as mensagens invalidas (enviadas para destinatarios inex-istentes) para outra conta de email, marque o checkbox Redirecionar mensagensdestinadas a usuarios invalidos e digite a conta no campo abaixo. O proced-imento padrao seria enviar uma mensagem ao remetente informando que a contadestino nao existe.

- Caso deseje Usar a autenticacao configurada no Nettion, marque esse checkboxe escolha os grupos para importar os usuarios. E possıvel importar os usuarios detodos os grupos, ou de algum grupo especıfico.

Veja a figura 12.9 a seguir.

Figura 12.9: Inclusao/Edicao de Domınios

12.3 Usuarios

Nesta secao o administrador pode pesquisar e editar usuarios, alem de poder cria-lostambem.

12.3.1 Buscando usuarios

Para visualizar os usuarios (contas de e-mails) existentes no sistema, acesse E-mail >Usuarios. Na tela que sera exibida, serao mostrados todos os usuarios, de todos os

12.3. USUARIOS 115

domınios existentes no servidor de e-mail e em ordem alfabetica. Porem, a ordem deexibicao pode ser alterada, bastando para isso clicar no cabecalho correspondente a ordemdesejada. Para facilitar a busca, a barra de filtros de pesquisa localizada acima da telade usuarios pode ser utilizada.

Figura 12.10: Gerenciamento de Usuarios

12.3.2 Editando usuarios

Ao efetuar a busca, voce pode editar a conta clicando no botao Editar. A seguinte telaaparecera:

Figura 12.11: Edicao de Usuario


Os campos Nome, Quota e No de mensagens sao editaveis. Altere-os de acordo coma sua necessidade.Caso queira utilizar o recurso de enviar copias dos emails recebidos para outra conta,marque a opcao Encaminhar uma copia para outros emails e preencha o seguintecampo com a conta para a qual sera enviada a copia. Se deseja encaminhar para mais deuma conta, separe-as com ponto e vırgula (;).Nao esqueca de Salvar as Alteracoes, caso faca alguma.

12.3.3 Inserindo usuarios

Ao clicar no botao Incluir, a seguinte tela aparecera e permitira a adicao de um novousuario de email:

Figura 12.12: Inclusao/Edicao de Usuarios de E-mail

• Login: Login, a primeira parte do endereco de email, a que aparece antes da arroba(@). Ex.: sergio;

• Domınio: Os domınios existentes serao listados em um combo box. Voce deve escol-her o domınio para o qual esta criando a nova conta;

• Nome: Nome do usuario. Ex. Sergio Luis;

• Quota: Espaco maximo em disco que a conta pode ocupar;

• No maximo de mensagens: quota por numero de mensagens;

• Senha: senha do usuario;

- Caso deseje encaminhar uma copia das mensagens recebidas para outro email, mar-que a opcao Encaminhar uma copia para outros emails e preencha o seguinte

12.4. ALIASES 117

campo com a(s) conta(s) para onde deverao ser encaminhadas as novas mensagens.Lembre-se de separa-las com ponto e vırgula (;).

12.4 Aliases

Nesta secao o administrador pode definir Aliases, uma especie de apelido, um outronome pelo qual determinada(s) conta(s) sera(ao) conhecida(s).

12.4.1 Criando um alias

Na secao Aliases, clique em Incluir e a seguinte tela aparecera:

Figura 12.13: Inclusao de Alias de E-mail

Neste exemplo, foi criado um alias [email protected]. Este endereco apontarapara [email protected]. Logo, enviar uma mensagem para [email protected] o mesmo que enviar uma mensagem para [email protected].

• Alias: nome do alias. Neste exemplo, sergioluis;

• Domınio: selecione na lista o domınio para o qual voce esta criando o alias. noexemplo, padrao.com.br ;

• Defina os usuarios para os quais o alias ira se referir; No exemplo, [email protected].

12.5 Antivırus

A cada instante, pessoas mal intencionadas criam vırus para prejudicar e infectar sistemase computadores. Seria de pouca utilidade um antivırus que barrasse todos os arquivossuspeitos, mas nao contivesse uma lista atualizada de vırus em sua base de dados. Sendoassim, uma boa ferramenta deve fornecer um sistema de atualizacao instantaneo e con-figuravel.


12.5.1 Atualizacao

Essa e a primeira forma de atualizacao do Nettion R©, feita de modo imediato, no momentoem que for mais apropriado ao administrador. O Nettion R© faz uma busca por uma basemais atualizada e sincroniza-a com a base local, mantendo o sistema ainda mais prevenido.

Figura 12.14: Atualizacao do Anti-Vırus

12.5.2 Agendamento

Tambem e possıvel definir um momento ideal a criterio do administrador para que oNettion R© faca as atualizacoes na base de vırus. Para isso, defina os dias/horarios paraque as atualizacoes acontecam, preenchendo o formulario abaixo e depois, salve as con-figuracoes.

Figura 12.15: Agendamento da atualizacao do Antivırus

12.5.3 Historico

O Nettion R© permite um acompanhamento direto sobre o historico de atualizacoes dabase de dados.

Tres sao os estados possıveis para cada atualizacao:

• Bem sucedida com atualizacoes - quando o Nettion R© investiga atualizacoes na basede dados e torna-se necessario atualizar a base local;

12.6. ANTISPAM 119

• Bem sucedida sem atualizacoes - quando o Nettion R© consegue conectar-se as basesremotas, mas a base local ja esta atualizada;

• Mal sucedida - quando o Nettion R© nao consegue se conectar as bases remotas.

Figura 12.16: Historico das atualizacoes

12.6 Antispam

O antispam do Nettion R© e uma funcionalidade que controla mensagens indesejaveis.Mesmo que o relay do servidor de e-mails do Nettion R© esteja fechado, em alguns lugares,ha administradores incautos que nao tem a devida preocupacao com o fechamento dorelay. Os spammers, aqueles que enviam centenas ou ate milhares de mensagens naosolicitadas, aproveitam-se desta fragilidade. Isso significa que um bom administradordeve se preocupar, inclusive, com o mau trabalho feito por outros e assegurar que seususuarios sejam menos afetados por esse mal.

Um antispam e um software que se baseia em algumas caracterısticas de e-mails, notoria-mente classificadas como spam, como algumas palavras-chaves e formato HTML1

12.6.1 Configuracoes

A cada caracterıstica de spam encontrada em um e-mail, a mensagem recebe uma pontu-acao, que depende do que foi localizado. Quando esta pontuacao alcanca o limite estimadonas configuracoes de sensibilidade, o e-mail sofre uma alteracao. O tıtulo da mensagemidentificada como spam sera precedido pela expressao **POSSIVEL SPAM**. A men-sagem sera entregue normalmente ao cliente. Ela nao e excluıda automaticamente, poispode existir uma mensagem que possua palavras-chaves e formatos que a identifiquem

1HTML - Hypertext Markup Language, Linguagem de Marcacao de Hipertexto. E a linguagem utilizada para sefazer paginas na internet e e-mails com formatacao mais rica, como negrito, cores das fontes e insercao de imagens.


como uma mensagem indesejada, mas que realmente nao seja. Sendo assim, cabe a cadausuario definir filtros, nos seus leitores de e-mail, para separar as mensagens legıtimasdaquelas indesejadas.

O numero indicativo da sensibilidade representa o limite de pontos que uma mensagempode alcancar ate ser considerada spam. Quanto MENOR o numero, mais facilmenteuma mensagem sera assim classificada.

Figura 12.17: Configuracoes do Antispam

A nova versao do antispam do Nettion R© inclui suporte ao treinamento de mensagens emspam e nao-spam pelos usuarios. Marque a opcao Aprender mensagens classifi-cadas pelos usuarios caso deseje ativar tal suporte.Caso decida utilizar este recurso, voce devera configurar duas contas de email, uma paramensagens classificadas como spam e a outra para as mensagens classificadas como nao-spam.Nesse exemplo, as contas serao, respectivamente, [email protected] e [email protected]. Lembrando, novamente, que estas contas deverao ser criadas no domınioescolhido, como as demais contas de usuarios. O funcionamento do sistema de apren-dizado do antispam do Nettion R© e descrito a seguir:

O antispam funcionara como sempre, marcando como *** POSSIVEL SPAM*** os emails que ele considere como tal. No caso de os usuarios receberemSPAM’s que nao foram marcados pelo antispam, eles poderao encaminhar essamensagem como anexo para o email selecionado para receber spam, no caso,[email protected]. Funciona da mesma forma com as mensagens quenao sao spam’s, mas foram classificadas assim. Os usuarios tem a opcao deencaminha-las para o email que foi selecionado para receber as mensagens quenao sao spam’s. No nosso caso [email protected]. Periodicamente(mediante agendamento pelo administrador), o antispam checa as duas contas

12.6. ANTISPAM 121

e treina como spam as mensagens da conta spam e como nao spam as men-sagens da conta nao-spam. Este treinamento continuado melhora a eficacia doantispam e permite que ele atinja ındices melhores, quando classificar futurosemails.

Caso deseje que o sistema antispam execute o treinamento das mensagems nas caixasspam e antispam clique no botao Aprender. E comum que o administrador agende otreinamento do antispam na proxima secao, Aprendizado.

Obs1.: Lembre-se que, ao encaminhar e-mails para as contas [email protected] [email protected], isso deve ser feito encaminhado o e-mail desejado comoanexo e nao no corpo do e-mail. Exemplo: Voce recebeu um e-mail marcado como***POSSIVEL SPAM***, e verificou que este e-mail realmente e um SPAM e desejaenvia-lo para que o Nettion R© aprenda este e-mail como um SPAM. Entao, clique noe-mail com o botao direito (no caso do Outlook Express), e selecione a opcao“Encaminharcomo anexo”. Em seguida prossiga com os procedimentos normais de envio de um e-mail;

Obs2.: Veja no seu cliente de email como encaminhar um e-mail como anexo.

12.6.2 Aprendizado

Nesta secao, o administrador configurara o agendamento do sistema de treinamento doantispam do Nettion R©, bem como tera informacoes a respeito de tais treinamentos.

Agendamento

Aqui, o administrador vai agendar o treinamento do sistema de antispam, definindo emque periodicidade ele sera executado. As opcoes disponıveis sao:

Figura 12.18: Agendamento do aprendizado

• Diario: treinamento diario, o administrador define o horario do treinamento;

• Semanal: treinamento semanal, o administrador define o dia da semana em que otreinamento sera realizado, alem do horario;

• Mensal: treinamento mensal, o administrador define o dia do mes em que o treina-mento sera realizado, alem do horario.


Historico

Nesta secao, o adminstrador obtera um historico dos treinamentos realizados pelo sistemade antispam, com informacoes tais como:

Figura 12.19: Historico dos treinamentos realizados

• numero de spams e nao-spams treinados;

• quantidade de novos spams e antispams;

• status do treinamento, se bem ou mal sucedido.

12.6.3 Whitelist

Ha, tambem, uma possibilidade de se definir uma lista de usuarios chamados confiaveis,que poderao enviar mensagens que superem o limite da sensibilidade e mesmo assim naosejam classificadas como spam. Esta e a whitelist do sistema.

Figura 12.20: Whitelist do Antispam

12.7. RELATORIOS 123

Para incluir um e-mail na WhiteList, clique no botao Incluir. Na tela que sera exibida,digite o endereco de e-mail completo e sem erros e uma descricao que defina a que se refereeste e-mail. Ao final, clique no botao Salvar Configuracoes como mostra a figura 12.21a seguir.

Figura 12.21: Inclusao de e-mail na Whitelist do Antispam

12.7 Relatorios

12.7.1 Fila

Todas as mensagens que foram enviadas pelos usuarios de e-mail do Nettion R© passam poruma fila para serem processadas e, definitivamente, transmitidas aos seus destinatarios.Enquanto aguardam o processamento, estas mensagens ficam em uma fila a qual o ad-ministrador pode verificar, conforme a figura. E possıvel aplicar filtros a consulta da fila,e com isso obter a origem e o destino do e-mail, o numero de tentativas de entrega e otamanho e o horario que o e-mail entrou na fila.

Figura 12.22: Registros de logs do E-mail


12.7.2 Logs

Apos o processamento de uma mensagem na fila, e feito um registro do que ocorreu comela. Na tela acima, e visto o status da mensagem, se foi entregue com sucesso ou se houvealgum problema na entrega.

Figura 12.23: Consulta de Mensagens

12.7.3 Auditoria

Na auditoria, ha uma lista de todas as mensagens que passaram pelo servidor. A auditoriapossibilita que o administrador visualize a copia de cada mensagem processada.

Figura 12.24: Auditoria de mensagens

12.7.4 Quarentena

A quarentena funciona de forma semelhante a auditoria, guardando todos os e-mails queestiverem contaminados com vırus. Tambem e permitido que o administrador visualizeuma copia de cada mensagem da quarentena.

Tambem e possıvel gerenciar a quarentena, excluindo ou liberando os e-mails por elacapturados. Para isso, no relatorio exibido da figura 12.25, selecione o e-mail o qualdeseja excluir ou liberar e clique no botao “Editar”. O e-mail retido sera exibido.

12.7. RELATORIOS 125

Figura 12.25: Quarentena de mensagens com vırus

Abaixo, como mostra a figura 12.26, o corpo do e-mail retido. Nesta tela, e possıvel vero e-mail retido e decidir por deleta-lo ou libera-lo para ser entregue ao seu destinatarioatraves dos botoes “Deletar” ou “Liberar”.

Figura 12.26: Liberacao/Exclusao de e-mail retido na quarentena

Clique no botao“Deletar”para excluir definitivamente a mensagem da quarentena ou nobotao“Liberar” para retirar a mensagem da quarentena e entrega-la ao seu destinatario.

Obs1.: Para simplesmente excluir a mensagem da quarentena, nao e necessario edita-la,pois o botao “Deletar” tambem esta disponıvel na tela da quarentena como mostra afigura 12.25.


12.7.5 Top Usuarios

Os graficos de acessos no modulo de E-mail podem ser visualizados. Com isso, o admin-istrador acompanha qual usuario envia mais e-mails e qual gera mais trafego no servidorde e-mail. Veja na figura 12.27 a seguir:

Figura 12.27: Grafico do Top Mail

12.7.6 Quota Utilizada

Neste relatorio, o administrador pode visualizar a porcentagem de uso das contas de e-mail. A visualizacao pode ser efetuada por domınio, ou mesmo por contas especıficas.Para isso, utilize as opcoes de filtros disponıveis. Veja a figura 12.28 a seguir.

Figura 12.28: Relatorio de Uso da Quota de E-mail.

Capıtulo 13

Ferramentas

Todas as ferramentas possuem uma mesma interface, mas cada um dos servicos se aplicamas funcoes definidas, como descritas abaixo:

13.1 Reverso

Esta opcao existe para identificar a qual domınio se refere um IP ou qual IP se refere aum domınio especıfico.

Caso o administrador preencha o campo “IP/HOST”com um IP, o resultado sera o seudomınio equivalente.

• Ex.1: IP/HOST: 200.253.251.31. Retorno: 200.253.251.31 —— www.pronix.com.br

• Ex.2: IP/HOST: www.pronix.com.br. Retorno: www.pronix.com.br —– 200.253.251.31

Figura 13.1: Resolucao de nomes

13.2 Whois

O Whois ira retornar o relatorio de cadastro do respectivo IP ou domınio na FAPESP. Orelatorio tambem podera ser impresso.

13.3 Ping

O ping e utilizado para checar se uma determinada maquina esta conectada e ligada.O processo, assim como os demais desta secao, e bastante simples: preencha o campoIP/HOST com o IP a ser testado.

127

128 CAPITULO 13. FERRAMENTAS

13.4 Tracar rota

Para saber qual o caminho para uma determinada maquina (IP), preencha o campoIP/HOST e aguarde a apresentacao do relatorio da rota percorrida para alcanca-lo.

13.5 Diagnostico de DNS

Nesta secao, o administrador pode executar um diagnostico de DNS, que vai apresentarinformacoes a respeito dos servidores SMTP, lista de nomes e IPS, lista dos nameserverse autoridade do host. A consulta pode ser feita utilizando-se o endereco IP do host ou oseu nome.

Figura 13.2: Diagnostico de DNS

Capıtulo 14

Sistema

14.1 Servicos

Atraves desta opcao e possıvel visualizar de forma centralizada o estado atual (status)de todos os servicos fornecidos pelo Nettion, tambem e possıvel iniciar ou parar qualquerservico. Para isso, clique na opcao Sistema → Servicos para ter acesso a lista dosservicos do Nettion R©. Serao exibidos o status atual de cada servico (se iniciado ounao), e a opcao de alteracao deste status. Tambem existe a possibilidade de faze-loiniciar juntamente com o Nettion R©, atraves da selecao da opcao “Auto”. Veja figura 14.1abaixo.

Figura 14.1: Lista de servicos

A coluna Acao apresentara para cada servico tres botoes: Start, Stop e Restart, com osquais o administrador podera inicializar, parar ou reinicializar o respectivo servico. Casoo servico esteja em funcionamento, aparecerao ativados os botoes Stop para para-lo e

129

130 CAPITULO 14. SISTEMA

Restart para reinicializa-lo. Caso esteja parado, somente o botao Start para inicializa-loaparecea ativo. Lembre-se de clicar no botao Ativar mudancas para os selecionado(s)se a coluna “Auto” for alterada.

14.2 Plugins

Para informacoes mais detalhadas sobre os NettionPlugs, veja o Capıtulo 15 - Nettion-Plugs.

14.3 Backup

O Nettion R© e um sistema que prove muitos servicos, dos quais alguns sao bastante crıti-cos. Tais servicos compreendem uma grande quantidade de informacoes e configuracoes.Os prejuızos causados pela possıvel perda de tais informacoes podem ser, dependendo docaso, incalculaveis.

Neste cenario, reinstalar e reconfigurar tudo, no momento de uma emergencia, seriaum processo bastante desgastante. Considerando-se este fator, foi criada uma forma debackup do sistema que possibilita a restauracao imediata de todas as informacoes e con-figuracoes existentes no Nettion R© e, consequentemente, o retorno ao seu funcionamentonormal.

O processo consiste na geracao de um arquivo compactado contendo os dados do sistema,bem como o envio de uma copia deste arquivo para uma maquina da sua rede atravesde um compartilhamento Windows R©. O administrador pode configurar o conteudo doarquivo de backup, o qual podera conter logs do Nettion, e-mails, alem de suas configu-racoes.

O backup se da automaticamente de acordo com a periodicidade determinada pelo Ad-ministrador. Sera possıvel ainda efetuar o acionamento manual do backup.


Modulos

Para acessar o servico de Backup do Nettion, acesse o menu Sistema > Backup >Configuracoes > Modulos. Na tela que sera exibida, e possıvel selecionar os modulosdesejados os quais irao compor o arquivo de backup. Para concluir, clique no botaoSalvar Configuracoes.

Lembre-se que, quanto mais modulos voce selecionar, mais espaco em disco sera necessario,principalmente ao selecionar os modulos de e-mail e de alguns tipos de logs do sistema.

A figura 14.2 a seguir, exibe a tela de selecao de modulos do Backup do Nettion.

14.3. BACKUP 131

Figura 14.2: Modulos para backup

Armazenamento

Alem do arquivo de backup criado no Nettion R©, e importante tambem criar uma copiadeste arquivo em uma outra maquina da sua rede, pois assim o backup pode ser facilmentearmazenado em mıdias proprias, criando assim jogos de backup. Para isso, clique na opcaoArmazenamento e preencha os campos conforme a descricao apresentada abaixo:

Figura 14.3: Compartilhamento Windows

• Maquina: nome da maquina da rede onde serao realizadas as copias do arquivo. Ex.:backup

• IP: IP correspondente a maquina acima. Ex.: 128.0.021


• Compartilhamento: nome do compartilhamento da maquina. Ex.: bkpnettion

• Usuario1: login do usuario com direito a gravar nestes diretorios. Ex.: Backup.

• Senha: senha para poder realizar o acesso ao compartilhamento. Ex.: senha. Obs.:A senha aparece sob mascara.

Ao fim, clique no botao Salvar Configuracoes, como mostra a figura 14.3 acima.

Agendamento

Na figura 14.4 a seguir, e exibida e tela onde definimos a periodicidade com que seraorealizados os backups, especificando:

Figura 14.4: Configurando a frequencia com que o backup sera feito

• Frequencia: periodicidade de realizacao do backup: diaria, semanal ou mensal. Ex.:semanal

• Dia: dia da semana ou do mes em que sera realizado o backup. Caso a frequenciaescolhida tenha sido “semanal”, serao listados os dias da semana (domingo, segunda,terca, [...], sabado) nesta opcao. Caso seja “mensal”, apresentara os dias do mes (1,2, 3, [...], 31). E, caso a frequencia escolhida tenha sido “diario”, esta opcao estarainativa. Ex.: segunda.

• Horario: horario em que sera realizada a copia de seguranca. Ex.: 01 : 00

Ao concluir, clique em Salvar Configuracoes.

14.3.2 Manual

Vamos imaginar o caso em que, apos terem sido adicionadas configuracoes ao produto, oadministrador deseja realizar uma copia de backup imediatamente, ao inves de aguardarpela copia a ser realizada pelo agendamento.

1Caso o Nettion esteja sincronizado com um domınio Windows, indique um usuario/senha validas para o domınioe certifique-se que este usuario tenha poder de escrita no compartilhamento selecionado.

14.3. BACKUP 133

Neste caso, selecione os modulos e inicie o backup clicando no botao Iniciar backup.

Figura 14.5: Backup manual

14.3.3 Relatorios

Historico

O historico dos backups sera exibido com as seguintes informacoes: data, hora, arquivoe status. O status podera ter um sinal verde ou vermelho. O primeiro, sinalizando queo backup foi realizado com sucesso e este ultimo, sinalizando que a gravacao do arquivonao foi executada com sucesso.

Figura 14.6: Historico de backups


Caso ocorra algum problema com o bakcup, o Nettion enviara automaticamente um e-mailao Administrador definido nas Configuracoes Basicas do produto.

14.4 Restore

O processo de restauracao de um backup e extremamente simples. Primeiramente, sele-cione o arquivo de backup e clique no botao Upload. E possıvel selecionar o arquivo,atraves do botao Procurar... que abrira uma janela de navegacao no diretorio, ou clicarno botao Selecionar Arquivo, que apresentara uma lista dos arquivos de copia de se-guranca disponıveis para restauracao.

Figura 14.7: Restore

O administrador deve selecionar o arquivo de backup desejado e clicar no botao Sele-cionar.

Observacao: o arquivo de backup deve estar na mesma versao do Nettion instalado.

Apos a selecao do arquivo, por um dos meios citados, selecione dentre os modulos contidosno backup quais serao restaurados e, em seguida, clique em Selecionar modulos . Naoesqueca que o(s) modulo(s) selecionado(s) sera(ao) descompactado(s) e gravado(s) namaquina sobrescrevendo os atuais dados, existentes para o modulo correspondente.

ATENCAO: Este e um processo muito simples, entretanto, extremamente delicado, pois,ao se recuperar um backup, dependendo do caso, estaremos sobrescrevendo as configu-racoes atuais do sistema.

14.5. EXPURGO 135

14.5 Expurgo

Os diversos servicos que rodam no Nettion R© realizam constantemente o registro de suasatividades, chamados logs. O tamanho do(s) arquivo(s) de logs varia dependendo daquantidade de usuarios, da liberdade de acesso que estes tenham e da quantidade deservicos ativos. Com o intuito de liberar espaco em disco, os logs mais antigos devem sergradualmente apagados. Este processo recebe o nome de expurgo.


Status do disco por particao

Figura 14.8: Status do disco por particao

O quadro mostra por particao um grafico em formato de “pizza”, que apresenta:

1. Em vermelho, o espaco do disco consumido;2. Em amarelo, o espaco livre para a utilizacao com os seus respectivos percentuais.

Figura 14.9: Configuracao da frequencia de expurgo

Para configurar o expurgo automatico, deve-se informar e preencher o intervalo mınimopara os logs que serao mantidos e os modulos cujos logs deseja-se apagar. Apos isso,


deve-se dar um clique no botao “Iniciar Expurgo”e clicar em “Salvar Configuracoes”.O processo de expurgo sera iniciado. A escolha da periodicidade depende da quantidadede acessos que a empresa realiza e do espaco em disco ocupado.

14.5.2 Manual

O administrador pode efetuar, a qualquer tempo, um expurgo diferenciado do expurgoautomatico configurado, bastando informar qual o intervalo mınimo para os logs que seraomantidos e os modulos cujos logs deseja-se apagar. Em seguida, clique no botao “IniciarExpurgo”, para iniciar o processo de expurgo.

Figura 14.10: Formulario de configuracao de expurgo manual

14.6 Update

Por ser uma solucao baseada em software, o Nettion R© esta em constante evolucao. Con-sequentemente, novas versoes do sistema sao lancadas, disponibilizando ao administradornovas ferramentas que agregam uma maior funcionalidade a solucao. A notificacao de no-vas versoes sao enviadas por e-mail ao clientes Nettion e tambem sao notificadas atravesda barra superior do proprio software, que exibe uma mensagem em destaque indicandoa existencia de uma nova versao disponivel para atualizacao.

Atraves do update (menu Sistema → Update), o administrador confere as novidades daversao lancada em relacao a versao instalada. Veja a seguir como fazer o Update do seuNettion.

Na tela de update, temos dois quadros com os tıtulos Passo 1 - Verificacao das atu-alizacoes e download e Passo 2 - Selecionar arquivo para update. Clicando nobotao Verificar Atualizacoes, no quadro 1, o Nettion R© checara a possıvel existenciade uma versao mais recente. Caso nao haja atualizacoes, a mensagem Sem atualizacoes

14.7. GRAFICOS 137

no momento! sera exibida. Do contrario, as versoes mais recentes que serao listadas,incluindo as informacoes detalhadas de cada uma delas.

Figura 14.11: Verificacao de Atualizacoes

O proximo passo e fazer o download do arquivo de Update. Para isso, clique no botao“Download”no final da pagina. Neste momento, de acordo com as condicoes do seu con-trato, o arquivo de atualizacao sera fornecido.

Figura 14.12: Upload do arquivo de update

Feito o download, volte a pagina anterior e inicie a atualizacao selecionando o arquivocorrespondente a nova versao, atraves do botao Procurar.... Apos seleciona-lo, cliqueem Upload! e, na tela seguinte em Update para iniciar efetivamente a atualizacao doseu Nettion R©. As configuracoes existentes no sistema serao mantidas, ou seja, todos osobjetos, grupos, regras e demais informacoes permanecerao como anteriormente. Casoexista alguma consequencia para o update, esta sera avisada junto com o update.

14.7 Graficos

O Nettion oferece graficos de consumo dos recursos do seu equipemaneto que sao uteispara avaliacao de uma possıvel sobrecarga da maquina. Veja a seguir os graficos deconsumo de CPU, Memoria e Discos.


14.7.1 CPUs

No grafico de utilizacao da CPU, voce pode obter um historico de uso do processadorpelo “usuario” e pelo “sistema” dentro de um perıodo de tempo, sendo possıvel tambem oacompanhamento em tempo real clicando no botao “Start”.

Figura 14.13: Grafico de consumo de CPU

14.7.2 Memoria

No grafico de utilizacao da Memoria, voce pode obter um historico de uso tanto damemoria principal quanto do SWAP dentro de um perıodo de tempo, sendo possıveltambem o acompanhamento em tempo real, para isso clique no botao “Start”.

Figura 14.14: Grafico de consumo de Memoria

14.8. SOBRE 139

14.7.3 Discos

No grafico de utilizacao dos Discos, voce pode obter um historico de todos os dados lidos eescritos dentro de um perıodo de tempo, para ver em tempo real, clique no botao“Start”.

Figura 14.15: Grafico de utilizacao de Discos

14.8 Sobre

O administrador tera acesso, nesta secao, aos dados referentes a licenca e a versao doNettion R©.

Figura 14.16: Dados de licenca do Nettion

14.9 Auditoria

Diariamente, diversas operacoes sao realizadas no Nettion R© Security Software taiscomo mudancas de objetos, regras de firewall e de proxy, dentre outras. Para visualizar


e acompanhar todas as acoes realizadas no Nettion R©, voce pode utilizar o servico deauditoria. Ela informa a data de alteracao, o modulo e o sub-modulo que foi alterado,qual acao foi realizada, o usuario e o IP. Acesse o menu Auditoria atraves de “Sistema> Auditoria”, conforme a figura 14.17 a seguir.

Figura 14.17: Auditoria de intervencoes realizadas no Nettion

Dica! Configure os perfis de usuario para que o administrador do sistema tenha umusuario proprio para a administracao do produto. Assim, o usuario padrao “nettion”sera utilizado exclusivamente pela equipe de suporte.

14.10 Desliga/Reinicia

Caso haja necessidade, o administrador podera reiniciar ou mesmo desligar o Nettion R©,selecionando um dos botoes desse topico.

Figura 14.18: Reiniciar ou Desligar o Nettion

Capıtulo 15

NettionPlugs

15.1 O que sao NettionPlugs?

Os NettionPlugs R© sao funcionalidades adicionais (plugins) que a Nettion InformationSecurity desenvolveu pensando nas necessidades especıficas de cada cliente. Cada Net-tionPlug tem uma aplicacao diferente. Assim, voce decide qual plugin e o mais indicadopara o seu negocio. Cada plugin pode ser instalado para avaliacao por 15 dias. Apos esteperıodo entre em contato com a sua revenda Nettion para fazer a aquisicao.

A aquisicao dos NettionPlugs e muito facil. Se a sua empresa ja possui o Nettion R©,basta acessar o menu “Sistemas”, selecionar a opcao “Plugins” e instalar a funcionalidadedesejada. Voce ainda ganha quinze dias totalmente gratuitos para testar a eficienciados aplicativos.

15.2 Instalando os NettionPlugs

Para fazer a instalacao de NettionPlugs no seu Nettion, acesse o menu Sistema > Plu-gins, conforme mostra a figura 15.1 abaixo e siga os seguintes passos:

Figura 15.1: Instalacao dos NettionPlugs

• Na listagem que sera exibida, o Nettion mostrara todos os NettionPlugs disponibi-lizados pela NIS;

141

142 CAPITULO 15. NETTIONPLUGS

• Clique no botao “Instalar” do plugin desejado. Observe que caso a sua versao sejaanterior a requerida pelo plugin, esta opcao estara desabilitada. Neste caso atualizesera necessario atualizar o seu Nettion antes;

• Apos a instalacao, o sinalizador de status assumira a cor verde caso a sua empresaja tenha adquirido a licenca do plugin, ou assumira a cor laranja no caso de umainstalacao para avaliacao.

Uma vez instalado, o plugin funcionara de forma totalmente integrada ao Nettion e estaradisponıvel na arvore de menu, assim como as outras funcionalidades.

15.3 Chat Server

O Chat Server e um NettionPlug desenvolvido pela NIS para ser o comunicador instan-taneo da sua empresa. O programa tem como base o Jabber, conhecido como o melhorsistema de mensagens instantaneas para Linux.

Criado seguindo os padroes de qualidade da NIS, o Chat Server possui um servidor propriopara a troca de mensagens internas. Com isso, voce evita a adicao de usuarios externose assegura a produtividade dentro da empresa.

O NettionPlug tambem permite a comunicacao com outras unidades de uma mesmarede. Alem de economizar tarifas telefonicas voce ainda garante o sigilo e a seguranca dasmensagens trocadas, pois o aplicativo nao esta sujeito a vırus e demais ameacas comunsa internet.


A configuracao do Chat Server e bastante simples uma vez que seus usuarios e sua au-tenticacao sao totalmente integradas ao Nettion. Com isso, a integracao do Chat a suaorganizacao torna-se ainda mais simples e rapida.

Para configura-lo, acesse o menu Chat Server > Configuracoes do seu Nettion. Natela seguinte informe os dados a seguir, conforme mostrado na figura 15.2 abaixo.

Figura 15.2: Configuracoes do Chat Server

• Domınio: domınio internet da sua empresa. Este domınio fara parte da indentifi-cacao do usuario para o servidor Chat;

15.3. CHAT SERVER 143

• E-mail do administrador: indique o e-mail do administrador do servidor Chat;

• Interface de funcionamento: Indique a interface de rede do Nettion que receberaas conexoes. E importante ressaltar que, se voce selecionar somente a sua interfacelocal, apenas as maquinas da sua rede local conseguirao conectar-se ao Chat server.Logo, se voce selecionar somente a sua interface externa (interface ligada a internet),apenas as maquinas na internet conseguirao ter acesso ao Chat Server. SelecionandoTODAS, tanto as suas maquinas da sua rede local, como as maquinas da internetconseguirao se conectar.

15.3.2 Software Cliente (estacoes)

Para que os usuarios acessem o Chat, e necessario a utilizacao de algum software com-patıvel com o protocolo Jabber instalado em suas estacoes. Os softwares a seguir saobastante conhecidos e utilizados para este fim:

• Windows

– Pandion

– Exodus

• Linux

– Kopete

– Gaim

Configuracao do software cliente

Nas configuracoes do software cliente, insira o IP interno do Nettion como sendo o servi-dor, e, para autenticar o usuario utilize [email protected], ondesuaempresa.com.br e o domınio utilizado nas configuracoes do servidor (veja secao 15.3.1).

Ex: [email protected]. A senha sera de acordo com a autenticacao integrada doNettion, podendo ser no proprio Nettion, em um Windows Active Directory ou um servi-dor NIS (Linux).

15.3.3 Firewall

Para que as estacoes de rede tenham acesso ao servidor, e necessario que voce faca umaliberacao no Firewall do Nettion. A porta a ser liberada, por padrao, e a 5222 doprotocolo TCP. Segue um resumo da regra de Firewall a ser criada na tabela 15.1 abaixo.

Regra: Intranet → NettionOrigem Destino Serv. Destino AcaoIntranet localhost Chat Server1 Aceitar

Tabela 15.1: Liberacao do Chat Server

Observe que esta regra esta contemplando o acesso do objeto Rede Interna ao Chat Serverdo Nettion. Inclua outras redes caso necessario.

1Crie um objeto de servico para esta porta chamado “Chat Server” com a porta TCP 5222 - veja Capıtulo 4 -Objetos.

http://www.pandion.be/download/start/

http://www.jabberstudio.org/projects/exodus/releases/

http://kopete.kde.org/

http://gaim.sf.net/


15.3.4 Iniciando o servico Chat Server

Para iniciar o servico, clique no menu Sistema > Servicos. Depois clique no botao“Start” referente ao servico “Chat Server”. Para manter o servico sempre ativo no bootdo Nettion, marque a caixa “Auto” e clique em “Ativar mudancas para os servicos sele-cionados”.

15.3.5 Mais informacoes

Acesse tambem o Passo a Passo disponıvel no site do Nettion (www.nettion.com.br) paramais informacoes de como configurar o servidor e os clientes deste plugin.

15.4 Blitz

Blitz e o NettionPlug responsavel pelo controle e gerenciamento do uso de MSN nasempresas. Foi desenvolvido para organizacoes que necessitam usar comunicadores instan-taneos para contatos comerciais.

Alem de controlar os nıveis de permissao de MSN por usuario ou grupo de usuarios, oBlitz possibilita a administracao de listas de contatos. Assim, se a sua empresa precisautilizar IM para se relacionar com contatos externos, com o NettionPlug voce garanteque a comunicacao seja estabelecida para fins apropriados.

O Blitz e um plugin totalmente web (integrado ao Nettion), ou seja, nao e necessario aaquisicao de um novo hardware para a sua instalacao. Facilmente adquirido, o aplicativopossui interface intuitiva e de simples administracao atraves de um wizard.

A funcionalidade foi desenvolvida pela NIS, visando o aumento da produtividade do seunegocio, bem como a reducao do consumo de banda e tarifas telefonicas.

15.4.1 Como funciona?

O Blitz funciona como uma especie de servidor Proxy (Socks5) que tem a funcao deintermediar o acesso MSN da sua rede, fazendo toda a filtragem do acesso. E possıvelestabelecer, atraves de suas regras, quais usuarios terao acesso ao MSN e ate com quaiscontatos eles poderao se comunicar, alem da auditoria das conversas.

Para isso, e necessario bloquear qualquer outra forma de acesso do MSN e configurar nasestacoes (configuracoes do MSN) o Nettion como servidor Socks e Proxy obrigatoriamente.

Veja agora como evitar o acesso direto ao MSN.

15.4.2 Bloqueando o acesso direto ao MSN

Por padrao o software MSN procura varias alternativas de comunicacao com seu servidorna Internet, e para forcarmos a sua saida somente via Blitz, e necessario bloquear taisalternativas de acesso direto.

Caso as estacoes da sua rede estejam utilizando o Proxy do Nettion, algumas configuracoesdevem ser feitas:


15.4. BLITZ 145

1. Bloquear a expressao “gateway.dll”, e para isso siga os seguintes passos:

• Crie um grupo de objetos de expressoes chamado “Bloquear MSN”. Qualquer duvidaa respeito de como configurar os objetos de expressoes, veja o Capıtulo 4 - Objetos.

• Inclua neste grupo o termo“gateway.dll”como sendo do tipo“palavra”, “nao-inteira”,“qualquer posicao”.

2. Criar uma regra no seu Proxy bloqueando o grupo de expressoes criado acima. Apliqueesta regra a todos os usuarios ou aos usuarios que voce deseja bloquear o acesso diretoao MSN. Crie esta regra na primeira posicao para evitar que outra regra mais genericalibere o acesso. Qualquer duvida sobre regras de Proxy, acesse o Capıtulo 6 - Proxy.

3. Liberar algumas URLS que o MSN utiliza para fazer a autenticacao do usuario em seuservidor. Da mesma forma, crie um grupo de expressoes chamado “Liberar logon MSN”e nele inclua os seguintes termos como sendo do tipo “expressao regular”:

• nexus.passport.com:443

• login.live.com:443

• loginnet.passport.com:443

• omega.contacts.msn.com:443

• storage.msn.com:443

• Install Messenger.exe

4. Criar outra regra no Proxy liberando este grupo de expressoes. Voce pode liberarpara qualquer usuario uma vez que o controle vai ficar no proprio Blitz. Crie esta regrana posicao 2, apos a regra de bloqueio do MSN. Qualquer duvida sobre regras de Proxy,acesse o Capıtulo 6 - Proxy.

Tambem e necessario criar regras no firewall que impecam qualquer tentativa de acessoao MSN atraves de um possıvel mascaramento. Para isso, deve-se criar no firewall umaregra bloqueando o acesso de toda a intranet (ou pelo menos dos IPs dos usuarios quedeverao acessar via Blitz) as redes da Microsoft (65.52.0.0/14 e 207.46.0.0/16) nas portas1863/TCP, 80/TCP e 443/TCP. Esta regra deve ficar nas primeiras posicoes, assegurandoassim que ela fique acima de qualquer mascaramento existente (salvo os mascaramentosde usuarios que, porventura, nao acessem o MSN via Blitz) como mostra a tabela 15.2.

Regra: Intranet -> MicrosoftOrigem Destino Serv. Destino AcaoRede Interna Range MS1/Range MS2 msn/http/https Bloquear

Tabela 15.2: Bloqueando o acesso ao MSN via mascaramento

Obs1: Antes de criar a regra, crie objetos de “Hosts e Redes” contendo asranges da Microsoft aqui citadas (por exemplo RangeMS1 e RangeMS2).Para maiores informacoes sobre como criar objetos de “Hosts e Redes”, veja oCapıtulo 4 – Objetos.


Obs2: Crie tambem um objeto de servico com a porta 1863/TCP chamadomsn. Para maiores informacoes sobre como criar objetos de servicos, veja oCapıtulo 4 – Objetos.

Obs3: Os servicos http e https tambem devem ser inclusos na regra de blo-queio. Veja a regra de resumo a seguir na tabela 15.2.

15.4.3 Auditoria

Todas as conversas realizadas via Blitz sao auditadas. Para acompanhar as conversas,clique no menu “Blitz > Auditoria”, todas as conversas serao exibidas por data. Paravisualizar o conteudo de uma conversa, selecione-a e clique no botao“itens”, como mostraa figura 15.3 abaixo.

Figura 15.3: Auditoria de Conversas do Blitz

15.4.4 Firewall

Agora e necessario liberar que o proprio Nettion faca conexoes a partir do servico Blitz.Para isso e preciso criar uma regra liberando o trafego partindo do Nettion com destinoa porta 1863/TCP, como segue na regra de resumo a seguir na tabela 15.3.

Regra: Blitz -> InternetOrigem Destino Serv. Destino Acaolocalhost Qualquer msn Aceitar

Tabela 15.3: Liberando o servico Blitz

15.4. BLITZ 147

Obs: antes de criar a regra, verifique a existencia de alguma regra que jacontemple esta liberacao, caso contrario, crie antes de criar a regra sugeridaum objeto de servico com a porta 1863/TCP chamado msn. Para maioresinformacoes sobre como criar objetos de servicos, veja o Capıtulo 4 - Objetos.

Alem desta regra, e necessario tambem liberar o acesso da rede interna ao servico Blitz,que funciona por padrao na porta TCP 1080. Veja a regra de resumo a seguir na tabela15.4.

Regra: Intranet -> BlitzOrigem Destino Serv. Destino AcaoRede Interna localhost blitz Aceitar

Tabela 15.4: Liberando acesso ao Blitz

Obs: antes de criar a regra, verifique a existencia de alguma regra que jacontemple esta liberacao, caso contrario, crie antes de criar a regra sugeridaum objeto de servico com a porta 1080/TCP chamado blitz. Para maioresinformacoes sobre como criar objetos de servicos, veja o Capıtulo 4 - Objetos.


Assim como o Proxy e o Firewall do Nettion, o Blitz tambem possui uma polıtica depadrao de acesso. Ela vai definir o que sera feito caso o usuario nao se encaixe em algumaregra de acesso, que serao vistas mais a frente.

A polıtica padrao e configurada atraves do menu “Blitz > Configuracoes”. Nestemenu, tambem e possıvel definir se os usuarios serao avisados que as suas conversasestarao sendo auditadas e gravadas. Para isso, marque a opcao “Habilitar notificacaode auditoria no inıcio da sessao” como mostra a figura 15.4 abaixo.

Figura 15.4: Configuracoes Basicas do Blitz


Normalmente a polıtica padrao e definida como “Negar qualquer acesso” e atraves dasregras sao liberados somente os usuarios que realmente tenham que acessar o MSN, bemcomo os contatos com os quais podem se comunicar.

15.4.6 Catalogacao automatica de contatos

Atraves dos menus Contatos e Grupos do Blitz voce pode inserir manualmente oscontatos com quem seus usuarios poderao se comunicar com mostra a figura 15.5 abaixo.

Figura 15.5: Inclusao Manual de um Contato

Porem, o Blitz oferece uma maneira automatica de catalogacao destes contatos, que ocorreno momento em que o usuario faz a sua primeira1 conexao atraves do Blitz.

Este processo facilita bastante a manutencao das regras, como sera visto mais a frente.

Na guia “Passports de Usuarios”, e possıvel ver os contatos organizados por cada passport.Para ver os contatos de um passport, selecione-o e clique no botao “Itens” como mostra afigura 15.6 a seguir.

Figura 15.6: Visualizacao de Contatos por Passaporte

15.4.7 Regras

O Wizard de criacao das regras do Blitz e muito semelhante ao dos outros servicos doNettion, como o Firewall e o Proxy.

1Nas conexoes seguintes o Blitz so faz a manutencao destes contatos, incluindo ou excluindo, conforme necessario.

15.4. BLITZ 149

Para criar regras no Blitz, clique no menu “Blitz > Regras” e siga os passos a seguir:

Passo 1:

Na tela de listagem de regras, clique no botao “Incluir”, conforme exibido na figura 15.7a seguir.

Figura 15.7: Listagem/Inclusao de Regras do Blitz

Passo 2:

Na primeira tela do Wizard, defina uma descricao para a regra, uma acao, a posicao(define a ordem de priodidade da regra) e, por fim, selecione o status da regra, comoexibido na figura 15.8 a seguir.

Figura 15.8: Descricao da Regra no Blitz

Passo 3:


Na tela seguinte, selecione o horario em que a regra sera aplicada, de acordo com osobjetos de horarios previamente definidos, veja a figura 15.9.

Figura 15.9: Selecao de Horario para Regra no Blitz

Passo 4:

Nesta tela voce definira com quais contatos os usuarios poderao se comunicar. Em“Filtrosde Origem” selecione o(s) usuario(s), e em “Filtros de Destino” selecione o(s) contato(s)permitidos para este(s) usuario(s). Veja figura 15.10.

Figura 15.10: Selecao de Usuarios e Passaportes da Regra

Passo 5:

Na ultima tela do Wizard, voce define se sera permitido para o(s) usuario(s) da regrabate-papo e/ou transferencia de arquivos com o(s) contato(s) selecionados. Para finalizara criacao da regra, clique no botao “Concluir”. Veja figura 15.11 a seguir.

15.4. BLITZ 151

Figura 15.11: Definicao das Atividades Permitidas via Blitz

15.4.8 Iniciando o servico Blitz

Para iniciar o servico, clique no menu “Sistema > Servicos”. Depois clique no botao“Start” referente ao servico “Blitz”. Para manter o servico sempre ativo no boot do Net-tion, marque a caixa “Auto” e clique em “Ativar mudancas para os servicos selecionados”.

15.4.9 Configurando as estacoes

Agora e necessario fazer a configuracao das estacoes, apontando no MSN o IP do NettionBlitz. Dependendo da versao do MSN, o local da configuracao pode variar. Porem, deum modo geral, voce deve indicar o servidor socks e http do seu MSN. Geralmente ocaminho e “Ferramentas > Opcoes > Conexao”. Aponte para o IP do Nettion oservico socks e http proxy. E necessario que voce tambem indique as informacoes deautenticacao do usuario (usuario e senha).

Figura 15.12: Configuracoes de Conexao do MSN via Blitz



Acesse tambem o Passo a Passo disponıvel no site do Nettion (www.nettion.com.br) paramais informacoes de como configurar o servidor e os clientes deste plugin.

15.5 OpenVPN

O OpenVPN e mais uma forma de VPN oferecida pelo Nettion. Atraves deste recursovoce pode interligar redes entre matriz e filiais, ou permitir que um usuario externoacesse a sua rede de forma simples e segura. Um grande diferencial do OpenVPN e suapossibilidade de operar mesmo em ambientes de internet com mascaramento(NAT), comoem redes de hoteis, cyber-cafes ou aeroportos.

Apos a instalacao (ver topico 15.2 deste capıtulo), voce acessa este plugin atraves do menu“VPN > OpenVPN” do seu Nettion. Ele oferece dois tipos de conexoes, coforme seramostrado a seguir:

15.5.1 Nettion-Nettion

Esta opcao permite interligar duas ou mais redes atraves da VPN (como interligar filiaisa Matriz). Cada uma com um Nettion e com o Plugin OpenVPN instalado. Neste caso,um dos Nettions vai ser o servidor da VPN e o outro sera o Cliente.

15.5.2 Configurando o Servidor OpenVPN

Para configurar uma conexao OpenVPN Nettion-Nettion, acesse o menu“VPN > Open-VPN > Nettion-Nettion > Conexoes”. A seguinte tela sera exibida:

Figura 15.13: Listagem das Conexoes OpenVPN

Para criar uma nova conexao, clique no botao “Incluir”. Os seguintes passos devem serseguidos:

Passo 1:

Na primeira pagina do Wizard defina os seguintes campos:


15.5. OPENVPN 153

• Tipo: Servidor;

• Nome: identifique o nome da conexao;

• Status: Ativo;

• Porta: o Nettion ja oferece uma sugestao de porta automaticamente. Cada tunelOpenVPN funcionara em uma porta diferente - lembre-se de criar a regra de Firewallcorrespondente a esta porta para liberar a conexao VPN;

• Protocolo: UDP (padrao);

• Compressao LZO: aplique para otimizar o trafego dentro da VPN com a compressaodos dados.

Veja a figura a seguir:

Figura 15.14: Criacao da Regra OpenVPN

Passo 2:

Na pagina seguinte defina:

• Local

– IP: indique o IP/Hostname pelo qual o(s) Nettion(s) cliente(s) encontrarao esteNettion;

– IP Virtual: indique um IP virtual para conexao entre os Nettions apos o estabe-lecimento da VPN. Ex: 192.168.200.1;

– Redes: indique a(s) rede(s) locais que farao comunicacao com a(s) rede(s) re-mota(s);

• Remoto

– IP: indique o IP do Nettion cliente. Caso ele nao possua um IP fixo, deixe estecampo em branco.

– IP Virtual: este campo sera preenchido automaticamente.

– Redes: indique a(s) rede(s) remotas que farao comunicacao com a(s) rede(s)locais(s);

• Clique no botao “Concluir” para criar a conexao.



Figura 15.15: Definicao das Redes da Conexao OpenVPN

Configurando o Cliente OpenVPN

Agora que o servidor esta criado, e hora de configurar o(s) Nettion(s) cliente(s). Parafacilitar esta tarefa, o Nettion servidor da VPN oferece a exportacao do arquivo que faztoda a configuracao do cliente.

Para exportar o arquivo, acesse o Nettion Servidor da OpenVPN, va ate a listagem deconexoes e clique duas vezes na conexao servidor que voce acabou de criar. Na telaseguinte, em “Exportar configuracoes para clientes Nettion”, defina uma senha de segu-ranca para o arquivo e clique em no botao “Exportar”. Em seguida, salve o arquivopara que seja utilizado na configuracao do Nettion cliente. Veja a imagem a seguir:

Figura 15.16: Exportacao do arquivos de Configuracao do Cliente Nettion OpenVPN

Agora, acesse o Nettion cliente da VPN e siga os passos a seguir:

• Acesse o menu “VPN > OpenVPN > Nettion-Nettion > Conexoes”;

15.5. OPENVPN 155

• Na tela seguinte, da listagem de conexoes, clique no botao “Incluir”;

• Na primeira pagina do Wizard defina os seguintes campos:

– Tipo: Selecione agora o tipo “Cliente”;

– Nome: indique um nome para a conexao;

– Em“Importar configuracoes”, selecione o arquivo exportado pelo servidor, insiraa senha de seguranca do arquivo e clique em “Importar”. Neste momento oNettion importara toda a configuracao necessaria da conexao.

– Clique no botao “Concluir” conforme a figura a seguir.

Figura 15.17: Importacao do arquivo de Configuracao do OpenVPN

Firewall

Como comentado anteriormente, cada tunel OpenVPN funciona em uma porta diferente,de acordo com a sua configuracao no momento de criar o tunel servidor. Para que asconexoes possam ser estabelecidas, libere no seu Firewall a conexao entre os servidoresnas portas utilizadas.

Supondo que o servidor esteja configurado para a porta 1184/UDP, crie um objeto deservico com esta porta e crie uma regra de Firewall conforme mostrado na tabela 15.5:

Regra: Liberando servidor OpenVPNOrigem Destino Serv. Destino AcaoClienteOpenVPN localhost openvpn1 Aceitar

Tabela 15.5: Acesso ao servidor OpenVPN

Neste caso, estamos liberando apenas para o objeto ClienteOpenVPn conectar ao servi-dor. Caso nao seja possıvel identificar a origem da conexao, deixe a origem em branco(Qualquer).

Alem da regra para permitir a interligacao entre os Nettions, e necessario tambem liberaro trafego entre as redes da VPN de acordo com as suas necessidades. Veja resumo daregra necessaria na tabela 15.6.


Regra: Liberando trafego dentro da VPNOrigem Destino Serv. Destino AcaoRede Local Rede Remota Qualquer Aceitar


Iniciando o servico OpenVPN

Agora que o servidor e o cliente estao devidamente configurados, inicie o servico OpenVPNem cada Nettion (servidor e cliente) no menu “Sistema > Servicos”.

Por ultimo, inicie o tunel. Atraves da tela de listagem das conexoes clique no botao“Start” correspodente a conexao criada para iniciar o tunel entre os Nettions (Veja otopico 15.5.2). Neste momento o status indicativo da conexao deve ficar verde e asestacoes das redes ja podem se comunicar entre si. Caso nao, verifique se nao esqueceualgum passo acima.

15.5.3 Nettion-Usuarios

Esta modalidade de OpenVPN permite a conexao segura de usuarios externos a suaorganizacao. Atraves do tunel estabelecido, os usuarios podem ter acesso aos recursosda rede como compartilhamentos, sistemas e impressoras de acordo com a polıtica deseguranca adotada, como se estivessem conectados localmente a rede.

Como comentado anteriormente, um dos grandes diferenciais deste plugin e sua possi-bilidade de operar mesmo em ambientes de internet com mascaramento(NAT), como emredes de hoteis, cyber-cafes ou aeroportos. Outras caracterısticas importantes sao a suafacilidade de configuracao (tanto servidor quanto clientes) e a sua flexibilizacao quantoa autenticacao dos usuarios, que opera juntamente com a autenticacao centralizada doNettion.


Para configurar o servidor OpenVPN, acesse“VPN > OpenVPN > Nettion-Usuarios> Configuracoes” e siga os passos a seguir:

Passo 1: Na primeira pagina da tela de configuracao informe os seguintes itens:

• Status: indique o status do servidor - Ativo;

• Nome da conexao: indique um nome para a conexao - o Nettion ja fara uma sugestao;

• Interface de funcionamento: aqui voce pode escolher uma interface especıfica (a quepossui IP publico) ou “Todas” para esperar conexoes em qualquer interface;

• IP do Servidor: indique o IP atraves do qual seu Nettion sera encontrado pelosclientes. Geralmente sera o IP publico do seu Nettion, mas em situacoes onde oNettion esta sendo mascarado (NAT) por um roteador, por exemplo, indique o IPpublico do roteador;

• Rede virtual - Rede que sera criada entre o Nettion e os usuarios conectados

15.5. OPENVPN 157

– Rede: sera a rede virtual - o Nettion ja fara a indicacao automatica;

– Marcara da rede: indique a mascara da rede - o Nettion tambem indicara;

– IP do servidor: sera o IP do Nettion dentro da rede virtual;

– IPs dos clientes: sera o intervalo de IPs que sera fornecido aos clientes da VPN;

• Redes acessadas pelos usuarios - Redes que o nettion fornece acesso para usuariosconectados;

– Selecione para a coluna da esquerda as redes locais que serao oferecidas aosusuarios da VPN;

Veja a tela a seguir:

Figura 15.18: Configuracao da Conexao Nettion-Usuarios

Passo 2: Na pagina de Controle de Acesso indique:

• Por padrao os usuarios validos (autenticados) da rede terao acesso. Mas e possıvelespecificar quais usuarios terao acesso. Para isso, selecione a opcao “Permitir apenasos usuarios selecionados”;

• Em Grupos e Usuario, especifique quais grupos e/ou usuarios terao permissao deacesso. Como dito anteriormente, os usuarios serao autenticados, no momento daconexao, na base indicada no sistema de Autenticacao centralizada do Nettion.

Obs 1.: Para criar um usuario e conceder-lhe o acesso via OpenVPN ele deveser criado antes da criacao da regra do OPenVPN. Para isso veja como procederpara a criacao de Usuarios no capıtulo 5 deste manual;

Obs 2.: E recomendavel que sejam selecionados SOMENTE os usuarios quedevem ter acesso a VPN para evitar a acao de usuarios mal-intencionados;

Obs 3.: E recomendavel o uso de senhas fortes, ou seja, senhas que contenhamletras (maiusculas e minusculas), numeros e caracteres especiais.



Figura 15.19: Selecao de Usuarios para Acesso via OpenVPN

Passo 3: Na pagina de configuracoes Avancadas indique:

• Porta: o Nettion ja sugere a porta de conexao;

• Procoloco: o protocolo padrao e o UDP;

• Compressao LZO: utilize compressao para otimizar o trafego dentro do tunel;

• Tipo do servidor: utilize a opcao Tunel para ponto a ponto (padrao) ou Ethernetpara conexao semelhante a uma rede Ethernet;

• Permitir conexao entre clientes: Por padrao a conexao entre clientes e permitida.

Veja a seguinte figura:

Figura 15.20: Especificacoes Avancadas da Conexao OpenVPN

15.5. OPENVPN 159

15.5.5 Conexoes Ativas

Em Conexoes Ativas serao listadas as conexoes VPN atualmente estabelecidas ao Nettion.Na listagem e possıvel identificar o nome do Usuario, data e hora em que a conexao foietabelecida e e possıvel tambem desconectar o usuario atraves do botao “Stop”. Vejafigura 15.21.

Figura 15.21: Lista de Usuarios Ativos

Relatorios

Em“VPN > OpenVPN > Nettion-Usuarios > Relatorios > Conexoes”voce temacesso ao historico de conexoes feitas ao servidor OpenVPN. Atraves do filtro, e possıvelfazer buscas detalhadas sobre os acessos feitos, como mostra a figura 15.22 abaixo.

Figura 15.22: Relatorio de Acessos do OpenVPN

Firewall

Para que os usuarios externos possam conectar-se ao Nettion e necessario fazer uma libe-racao no Firewall do Nettion. Para isso crie uma regra permitindo o acesso de Qualquerhost (Internet) em direcao ao Nettion na porta estabelecida para o servidor.

Supondo que o servidor esteja configurado para a porta padrao, 1183/UDP, crie umobjeto de servico com esta porta chamado openvpn-clientes, e crie uma regra de Firewallconforme mostrado na tabela 15.7:


Regra: Liberando servidor OpenVPNOrigem Destino Serv. Destino AcaoQualquer localhost openvpn-Clientes Aceitar

Tabela 15.7: Acesso ao servidor OpenVPN

Alem da regra para permitir a interligacao dos clientes ao Nettions, e necessario tambemliberar o trafego entre as redes locais permitidas e a rede virtual configurada. Veja resumoda regra necessaria na tabela 15.8.

Regra: Liberando trafego dentro da VPNOrigem Destino Serv. Destino AcaoRede Local Rede Virtual Qualquer Aceitar


Observacao: o objeto “Rede Virtual” corresponde ao IP estabelecido na configuracao doservidor OpenVPN - veja secao 15.5.4.

Iniciando o servico OpenVPN

Inicie o servidor OpenVPN atraves do menu “Sistema > Servicos”. Para obter maisinformacoes sobre como iniciar servicos no Nettion, consulte o topico 14.1.

Configuracao dos clientes

Nas estacoes clientes Windows, baixe e instale o software“OpenVPN Client”. A instalacaonas estacoes e bastante simples e segue o padrao de instaladores de software para estaplataforma.

Figura 15.23: Exportacao das Configuracoes para o OpenVPN Client

Uma vez instalado, e hora de fazer a configuracao. Para facilitar esta tarefa, o Nettionservidor da VPN oferece a exportacao do arquivo que faz toda a configuracao do cliente.Veja a figura acima.

http://www.nettion.com.br/download/NettionVPN-1.0.3.exe

15.6. DNS 161

Para exportar este arquivo, entre novamente nas configuracoes do OpenVPN Nettion-Usuarios e clique no botao “Download”. Caso esta opcao ainda nao esteja disponıvel eporque a configuracao do servidor ainda nao foi efetuada.

Agora, na estacao Windows, com o OpenVPN Client instaldo, clique com o botao direitono ıcone do OpenVPN Client e escolha a opcao “Nova Conexao (Nettion)”. Na janelaseguinte, selecione o arquivo exportado pelo Nettion. Com isso a configuracao estarafinalizada.

Obs.: Apos a instalacao, note que um novo ıcone aparecera ao lado do relogiodo Windows, na barra do menu Iniciar.

Figura 15.24: Importacao do Arquivo de Configuracao no OpenVPN Client

Agora e hora de conectar. para isso, clique novamente com o botao direito no ıconedo OpenVPN Client e escolha a opcao “Conectar”. Neste momento aparecera uma telasolicitando seu nome de usuario e senha para autenticacao no Nettion. Lembrando queesta autenticacao e feita de acordo com a autenticacao centralizada configurada no seuNettion.

Apos a conexao acesse a sua rede normalmente.


Acesse tambem o Passo a Passo disponıvel no site do Nettion (www.nettion.com.br) paramais informacoes sobre a configuracao deste plugin.

15.6 DNS

DNS e o NettionPlug responsavel pelas resolucoes de nomes diretos e reversos.

O DNS e um sistema hierarquico. O mais alto nıvel e representado por “.” e denominado“raiz”. Sob “.” ha diversos “Domınios de Alto Nıvel” (TLDs), sendo ORG, COM, EDU eNET os mais conhecidos.



Existem 13 servidores DNS raiz no mundo todo e sem eles a Internet nao funcionaria.Destes, dez estao localizados nos Estados Unidos da America, um na Asia e dois naEuropa.

Para Aumentar a base instalada destes servidores, foram criadas Replicas localizadas portodo o mundo, inclusive no Brasil desde 2003. Ou seja, os servidores de diretorios respon-saveis por prover informacoes como nomes e enderecos das maquinas sao normalmentechamados servidores de nomes. Na Internet, o servico de nomes usado e o DNS, que apre-senta uma arquitetura cliente/servidor, podendo envolver varios servidores DNS durantea resposta a uma consulta.

15.6.1 Como funciona?

A Arquitetura do servico DNS e distribuida em Masters e Slaves. O primeiro e o re-sponsavel e deve ser alterado inicialmente. E ele quem notifica os outros servidores, ondeestao as replicas das informacoes. Esses sao chamados de Slaves, pois apenas recebem asinformacoes do Master.

Existem dois tipos de resolucoes: uma direta, quando queremos encontrar um IP deum nome, e outra quando temos um IP e queremos saber o seu nome. Esta segundaforma tem uma organizacao diferenciada e garante que um determinado IP e de uma redeconhecida. Por exemplo, um servidor de E-Mail (SMTP) recebe uma conexao do hostde origem reconhecido por 192.168.5.4. Para este IP poder enviar e-mails tem que ter oreverso configurado. Isto, para prevenir uma possıvel fraude. Os domınios reversos estaona arvore ’in-addr.arpa’. Esta arvore nao esta aberta ao publico. Por isso, e confiavel.No exemplo acima o reverso do IP seria 4.5.168.192.in-addr.arpa.

Apos a instalacao, voce acessa este plugin atraves do menu “DNS > Domınios”.

Figura 15.25: Demonstracao de um esquema de DNS

15.6.2 Domınios Masters

Esta modalidade permite que voce crie e gerencie seus domınios Masters. Existem doiscampos que aparecem somente na criacao do domınio: SOA e NS, itens necessarios aofuncionamento de qualquer DNS. O SOA (Start Of Autority) e o servidor de consultainicial. E ele quem determinara os outros nomes do domınio. O NS e a autoridade dodomınio ele pode ser usado para resolver os nomes do domınio, mas geralmente e utilizadopara ’desafogar’ o SOA.

15.6. DNS 163

Para configurar um domınio, acesse no menu “DNS > Domınios” e clique no botao“Incluir”. Na primeira tela do wizard de inclusao, configure:

• Nome: Nome do domınio que voce ira criar;

• Descricao: Descricao do domınio a qual voce ira gerenciar;

• Tipo: O tipo de domınio que voce ira criar. Neste caso Master;

• Status: Ativo;

• SOA: Inıcio da autoriade do domınio (Somente na criacao do master);

• NS: NS do domınio master.

Como mostra a figura abaixo.

Figura 15.26: Configuracao de um Domınio DNS

Na segunda tela do wizard, selecione os servidores slaves que serao notificados pelo master,lembrando que a toda a lista de Itens do tipo NS serao notificados tambem.

Figura 15.27: Selecao de Slavers DNS

Na terceira tela do wizard (Botao de configuracoes avancadas), que e opcional, configure:


• TTL: Tempo de validade das informacoes de cache em outros servidores;

• Expira em: Tempo total de tentativas de atualizacao;

• Atualiza em: Tempo requerido para a atualizacao;

• Retenta em: Tempo de retentativas em caso de falhas nas atualizacoes;

• Postmaster: E-mail do administrador do domınio;

Veja a figura.

Figura 15.28: Configuracoes Avancadas de um Domınio DNS

15.6.3 Itens do Domınio Master

Para acessar esta modalidade, selecione o domınio ao qual se deseja incluir os itens eclique no botao “Itens”, no lado direito e inferior da tela. Na janela seguinte, clique nobotao “Incluir”. Na tela que sera exibida, informe:

• No campo Tipo: Definir o tipo do item. Existem 6 tipos de de itens:

– SOA: Start of Authority, marca o comeco dos dados de uma zona e defineparametros que afetam a zona inteira.

– NS: Identifica o servidor de nomes de um domınio.

– MX: Mail eXchange, Lista de servidores de e-mail para entrega (SMTP).

– A: Resolucao direta de um nome para um IP.

– CNAME: Define um alias para um hostname.

– PTR: Mapeia o endereco para um hostname.

– TXT: Permite a criacao de registros SPF, DKIM (DomainKeys) e fornecimentode informacoes adicionais.

∗ Exemplo:SPF: example.net. IN TXT “v=spf1 a mx ip4:192.0.2.32/27 -all”DKIM: mail. domainkey.example.net. IN TXT“g=\; k=rsa\; t=y\;p=MF...XYZ”INFO: example.net. IN TXT “em caso de problema ligue (85)4005-1188”

15.6. DNS 165

• Campo descricao: Descricao para o gerenciamento dos itens;

• Campo Prioridade: Definir a prioridade do servidor MX;

• Campo IP/Host: Para definir hosts de resolucoes aos tipos PTR, A e CNAME;

• Campo Resolve em: Usado para determinar a resolucao do nome ou tipo;

• Campo Status: Definir o status do item;

Figura 15.29: Inclusao de Itens no Domınio DNS

15.6.4 Domınios Slaves

Esta modalidade permite que voce crie e gerencie seus domınios Slaves. Para isso, acesseno menu “DNS > Domınios” e clique no botao “Incluir”. Na primeira tela do wizardde inclusao, configure:

• Nome: Nome do domınio que voce ira criar;

• Descricao: Descricao do domınio a qual voce ira gerenciar;

• Tipo: O tipo de domınio que voce ira criar. Neste caso Slave;

• Status: Ativo;

Figura 15.30: Inclusao de Domınio Slave no DNS


Na segunda tela do wizard, selecione os servidores Masters que ele deve sincronizar. Deveser selecionado obrigatoriamente um servidor1, como mostra a figura abaixo.

Figura 15.31: Selecao de Masters DNS

15.6.5 Itens do Domınio Slave

• Os itens do domınio Slave serao todos os itens importados do domınio Master.

15.6.6 Domınios Reversos

Os domınios reversos sao tipos especiais. Sua sintax e in-addr.arpa. Eles seguem Aolado do campo NOME, existe um botao chamado GERAR O REVERSO, no wizard decriacao, que facilitara o trabalho. Ao ser clicado, ele solicitara o ip/mascra no formatoxxx.xxx.xxx.xxx/yyy.yyy.yyy.yyy. Assim, o nome sera mudado para o formato correto.

15.6.7 Iniciando o servico DNS

Inicie o servidor DNS atraves do menu“Sistema > Servicos > Servidor de Nomes”.Para obter mais informacoes sobre como iniciar servicos no Nettion, consulte o topico 14.1.

15.6.8 Firewall com DNS

Para que os usuarios externos possam conectar-se ao Nettion e necessario fazer umaliberacao no Firewall do Nettion. Para isso, crie uma regra permitindo o acesso dequalquer host (Internet) em direcao ao Nettion, na porta estabelecida para o servidor.

Supondo que o servidor esteja configurado para a porta padrao, 53/UDP 53/TCP, utilizeo servico predefinido DNS e crie uma regra de Firewall, conforme mostrado na tabela15.9:

1Crie um objeto com o nome do servidor e seu IP associado. Veja o capıtulo 4 - Objetos

15.7. GETMAIL 167

Regra: Liberando servidor DNSOrigem Destino Serv. Destino Acao

Qualquer localhost DNS Aceitar

Tabela 15.9: Acesso ao servidor DNS


Para maiores informacoes sobre a configuracao deste plugin, acesse tambem o Passo aPasso, disponıvel no site do (www.nettion.com.br).

15.7 GetMail

O NettionPlug GetMail funciona como um captador de mensagens de e-mail de servidoresremotos (POP ou IMAP) e direciona-os a um unico servidor de e-mail (geralmente oservidor de e-mails padrao da empresa), facilitando a gerencia de mensagens que dizemrespeito ao negocio da empresa. Com o GetMail os usuarios nao precisam acessar contasde e-mails de terceiros, nem webmails, e contam ainda com a seguranca de um anti-vıruse um anti-spam para filtrar as mensagens baixadas, caso o servidor de e-mails da empresaseja o proprio Nettion (contas locais). Dessa forma, voce diminui significativamente osriscos de adquirir vırus e garante uma maior produtividade dos seus colaboradores.

15.7.1 Vantagens

O NettionPlug GetMail proporciona as seguintes vantagens:

• Velocidade e seguranca no acesso aos e-mails;

• Controle de vırus e spam no acesso as mensagens de provedores externos;

• Melhor gerencia de recursos;

• Compatibilidade com a solucao de mensagens utilizada na sua empresa, estando aptopara qualquer ambiente de rede;

• Busca de mensagens em diversos servidores de -mail, independente do provedor;

• Criacao de permissao de acesso, determinando quais contas externas podem seracessadas.


Para configurar o GetMail, acesse o menu “GetMail > Configuracoes”. Na tela quesera exibida, informe:

• Intervalo de verificacao: Intervalo de tempo (em segundos) dentro do qual as verifi-cacoes por novos e-mails serao efetuadas;

• Servidor de Destino (SMTP): Servidor que sera utilizado para o envio das mensagens(Geralmente o proprio Nettion).



Depois, clique no botao “Salvar Configuracoes”, como mostra a figura 15.32 abaixo.

Figura 15.32: Configuracao Basica do GetMail

15.7.3 Contas de Origem

Para iniciarmos a criacao das regras do GetMail, precisamos primeiramente cadastrar ascontas de origem, ou seja, as contas das quais desejamos obter os e-mails. Para incluir ascontas, cliqe no botao “Incluir”conforme mostrado na figura 15.33 apresentada a seguir.

Figura 15.33: Lista de Contas de Origem Criadas

Na tela que sera exibida, informe:

• Servidor de Origem: o nome/IP do servidor POP/POP3 da conta de origem. Ex-emplo: pop3.bol.com.br;

• Usuario: o usuario de acesso da conta;

• Senha: a senha utilizada para login;

• Confirmacao: redigite a senha para login.

As informacoes acima devem ser digitadas corretamente para que o acesso do GetMail aconta possa ser realizado com sucesso. Tais informacoes devem ser obtidas diretamentecom os usuarios de cada conta de origem cadastrada. Veja a figura 15.34 a seguir.

15.7. GETMAIL 169

Figura 15.34: Criacao da Conta de Origem

15.7.4 Regras

O processo de criacao de uma regra no GetMail e bastante simples. Basicamente, consisteem especificar uma ou mais contas de origem e especificar uma conta de destino, que podeser local(Contas no proprio Nettion) ou remota (Contas em outros servidores). Para isso,siga os seguintes passos:

Passo 1:

Para criar uma regra no GetMail, acesse“Getmail > Regras”. Na tela que sera exibida,informe:

• Descricao: Descricao resumida da regra;

• Protocolo: Selecione aqui o protocolo a ser utilizado POP ou IMAP;

• Status: Ativo, para fazer com que a regra entre em efeito imediatamente.

Veja a figura 15.35 a seguir.

Figura 15.35: Criacao da Regra no GetMail


Passo 2:

Na tela seguinte, especifique em “Contas de Origem” as contas das quais voce deseja obteros e-mails (Lembre-se que elas devem ser criadas previamente). Em “Conta de Destino”,especifique se a conta de destino e Local ou Remota. Para Local, selecione a conta dee-mail local para a qual os e-mails serao encaminhados. Para Remota, digite o enderecoeletronico da conta de e-mail do servidor remoto. Selecione tambem uma das tres opcoesabaixo:

• Obter tambem os e-mails ja lidos: Especifica que o GetMail tambem deve trazere-mails que ja tenham sido lidos;

• Manter mensagens no servidor: Especifica se sera deixada no servidor de origemcopias das mensagens que estao sendo obtidas;

• Conectar de forma segura (TLS): Marque esta opcao se o servidor de origem exigirautenticacao segura.

Veja a figura 15.36 abaixo.

Figura 15.36: Selecao das Contas de Origem/Destino

Ao final, clique no botao “Concluir” para finalizar a criacao da regra.

15.7.5 Iniciando o servico GetMail

Inicie o GetMail atraves do menu “Sistema > Servicos > Getmail”. Para obter maisinformacoes sobre como iniciar servicos no Nettion, consulte o topico 14.1.


Para maiores informacoes sobre este plugin, acesse tambem o site em (www.nettion.com.br).


manual nettion

Documents

acesso nettion

nettion internet

intranet nettion

regras do proxy

tela inicial

manual disponvel

proxy transparente

controle de banda