Manual de Eurotux Firewalldownloads.clientes.eurotux.com/etfw/manual-etfw-until-5.12.pdf ·...

Manual de Eurotux Firewall

Configuração e Administração do ETFW

Rua Irmãs Missionárias Espírito Santo, 274715-340 BragaPortugal

Tel: +351 253 680 300Fax:+351 253 680 319 http://eurotux.com

Índice

1 Introdução 11.1 Requisitos de hardware do sistema . . . . . . . . . . . . . . 31.2 Login na ETFW . . . . . . . . . . . . . . . . . . . . . . . . . 41.3 Webmin - Administração do ETFW . . . . . . . . . . . . . . 5

2 Webmin 72.1 Backup Configuration Files . . . . . . . . . . . . . . . . . . 72.2 Change Language and Theme . . . . . . . . . . . . . . . . 102.3 Configuração do Webmin . . . . . . . . . . . . . . . . . . . 11

2.3.1 Opções de configuração do Webmin . . . . . . . . . 122.4 Utilizadores do Webmin . . . . . . . . . . . . . . . . . . . . 35

2.4.1 Criar/Editar Utilizadores do Webmin . . . . . . . . . 362.4.2 Gestão de Grupos . . . . . . . . . . . . . . . . . . . 39

2.5 Webmin Actions Log . . . . . . . . . . . . . . . . . . . . . . 42

3 Assistente 443.1 Wizard de Configuração de Rede passo a passo . . . . . . 45

3.1.1 Rede . . . . . . . . . . . . . . . . . . . . . . . . . . 463.1.2 Interfaces . . . . . . . . . . . . . . . . . . . . . . . . 463.1.3 Routing . . . . . . . . . . . . . . . . . . . . . . . . . 473.1.4 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . 483.1.5 Hosts . . . . . . . . . . . . . . . . . . . . . . . . . . 48

3.2 Wizard de Configuração de dhcp . . . . . . . . . . . . . . . 50

4 Sistema 514.1 Change Passwords . . . . . . . . . . . . . . . . . . . . . . . 524.2 Configuração da ETFW . . . . . . . . . . . . . . . . . . . . 52

4.2.1 Editar Configuração . . . . . . . . . . . . . . . . . . 534.2.2 Recuperar Configurações da ETFW . . . . . . . . . 544.2.3 Gravar alterações da ETFW . . . . . . . . . . . . . . 55

4.3 Historiais do Sistema . . . . . . . . . . . . . . . . . . . . . . 55

i

Índice

4.4 Iniciar e Encerrar . . . . . . . . . . . . . . . . . . . . . . . . 584.5 Log File Rotation . . . . . . . . . . . . . . . . . . . . . . . . 604.6 Processos em Curso . . . . . . . . . . . . . . . . . . . . . . 624.7 Scheduled Commands . . . . . . . . . . . . . . . . . . . . . 634.8 Disk and Network Filesystems . . . . . . . . . . . . . . . . 644.9 System and Server Status . . . . . . . . . . . . . . . . . . . 664.10 Tarefas Agendadas (Cron) . . . . . . . . . . . . . . . . . . . 694.11 Utilizadores e Grupos . . . . . . . . . . . . . . . . . . . . . 71

4.11.1 Criar Novo Utilizador . . . . . . . . . . . . . . . . . . 724.11.2 Grupos Locais . . . . . . . . . . . . . . . . . . . . . 74

5 Hardware 765.1 iSCSI Client . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

5.1.1 Authentication Options . . . . . . . . . . . . . . . . . 775.1.2 iSCSI Timeouts . . . . . . . . . . . . . . . . . . . . . 785.1.3 iSCSI Options . . . . . . . . . . . . . . . . . . . . . 785.1.4 iSCSI Interfaces . . . . . . . . . . . . . . . . . . . . 795.1.5 iSCSI Connections . . . . . . . . . . . . . . . . . . . 79

5.2 Partições em Discos Locais . . . . . . . . . . . . . . . . . . 805.3 Estado de Dispositivos SMART . . . . . . . . . . . . . . . . 815.4 Tempo do Sistema . . . . . . . . . . . . . . . . . . . . . . . 82

6 Servidores 846.1 OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

6.1.1 Configuração de Servidor . . . . . . . . . . . . . . . 856.1.2 Configuração Clientes . . . . . . . . . . . . . . . . . 896.1.3 Instalação de Cliente . . . . . . . . . . . . . . . . . 92

6.2 Configuração Pound . . . . . . . . . . . . . . . . . . . . . . 1006.2.1 Global . . . . . . . . . . . . . . . . . . . . . . . . . . 1006.2.2 Listeners . . . . . . . . . . . . . . . . . . . . . . . . 102

6.3 DansGuardian - Filtragem de Conteúdo Web . . . . . . . . 1106.3.1 Configuração via Webmin . . . . . . . . . . . . . . . 1116.3.2 Configuração de Ficheiros . . . . . . . . . . . . . . . 1276.3.3 Iniciar/Reiniciar/Desligar o DansGuardian . . . . . . 131

6.4 DNS Cache Configuration . . . . . . . . . . . . . . . . . . . 1326.5 Postfix Mail Server . . . . . . . . . . . . . . . . . . . . . . . 133

6.5.1 Opções Gerais . . . . . . . . . . . . . . . . . . . . . 1346.5.2 Outras Opções . . . . . . . . . . . . . . . . . . . . . 138

6.6 Servidor de DHCP . . . . . . . . . . . . . . . . . . . . . . . 1556.6.1 Editar sub-rede . . . . . . . . . . . . . . . . . . . . . 1566.6.2 Editar Anfitrião . . . . . . . . . . . . . . . . . . . . . 157

ii

Índice

6.6.3 Outras Opções . . . . . . . . . . . . . . . . . . . . . 1576.7 Servidor de Proxy - Squid . . . . . . . . . . . . . . . . . . . 161

6.7.1 Configuração do Squid via Webmin . . . . . . . . . 1626.7.2 Exemplos de Configuração via Webmin . . . . . . . 1806.7.3 Configuração Manual do Squid . . . . . . . . . . . . 1836.7.4 Exemplos de configurações manuais . . . . . . . . . 1926.7.5 Iniciar/Reiniciar o Servidor . . . . . . . . . . . . . . 194

6.8 SpamAssassin Mail Filter . . . . . . . . . . . . . . . . . . . 1946.8.1 Allowed and Denied Addresses . . . . . . . . . . . . 1956.8.2 Spam Classification . . . . . . . . . . . . . . . . . . 1976.8.3 Message Modification . . . . . . . . . . . . . . . . . 1986.8.4 Miscellaneous User Options . . . . . . . . . . . . . . 1996.8.5 Header and Body Tests . . . . . . . . . . . . . . . . 2006.8.6 Miscellaneous Privileged Options . . . . . . . . . . . 2016.8.7 SQL and LDAP Databases . . . . . . . . . . . . . . 2016.8.8 Manage Auto-Whitelists . . . . . . . . . . . . . . . . 2036.8.9 Edit Config Files . . . . . . . . . . . . . . . . . . . . 203

6.9 SSH Server . . . . . . . . . . . . . . . . . . . . . . . . . . . 2046.9.1 Authentication . . . . . . . . . . . . . . . . . . . . . 2046.9.2 Networking . . . . . . . . . . . . . . . . . . . . . . . 2056.9.3 Access Control . . . . . . . . . . . . . . . . . . . . . 2066.9.4 Miscellaneous Options . . . . . . . . . . . . . . . . . 2066.9.5 Client Host Options . . . . . . . . . . . . . . . . . . 2076.9.6 User SSH Key Setup . . . . . . . . . . . . . . . . . . 2096.9.7 Host SSH Keys . . . . . . . . . . . . . . . . . . . . . 2096.9.8 Edit Config Files . . . . . . . . . . . . . . . . . . . . 210

7 Rede 2117.1 Bandwidth Monitoring . . . . . . . . . . . . . . . . . . . . . 2117.2 Configuração de Rede . . . . . . . . . . . . . . . . . . . . . 212

7.2.1 Interfaces de Rede . . . . . . . . . . . . . . . . . . . 2137.2.2 Routing e Gateways . . . . . . . . . . . . . . . . . . 2157.2.3 Cliente DNS . . . . . . . . . . . . . . . . . . . . . . 2167.2.4 Endereços do Anfitrião . . . . . . . . . . . . . . . . 217

7.3 Estatísticas de Rede - ntop . . . . . . . . . . . . . . . . . . 2187.3.1 Resumo do Tráfego . . . . . . . . . . . . . . . . . . 2187.3.2 Resumo por Host . . . . . . . . . . . . . . . . . . . . 220

7.4 Serviços e Protocolos de Rede . . . . . . . . . . . . . . . . 2217.5 PPP Dialup Client . . . . . . . . . . . . . . . . . . . . . . . 2237.6 PPTP VPN Client . . . . . . . . . . . . . . . . . . . . . . . . 2257.7 Servidor VPN PPTP . . . . . . . . . . . . . . . . . . . . . . 227

iii

Índice

7.7.1 Opções do Servidor PPTP . . . . . . . . . . . . . . 2277.7.2 Opções PPP . . . . . . . . . . . . . . . . . . . . . . 2287.7.3 Contas PPP . . . . . . . . . . . . . . . . . . . . . . . 2297.7.4 Ligações Activas . . . . . . . . . . . . . . . . . . . . 229

7.8 Shoreline Firewall . . . . . . . . . . . . . . . . . . . . . . . 2307.8.1 Funcionamento geral . . . . . . . . . . . . . . . . . 2307.8.2 Zonas de rede . . . . . . . . . . . . . . . . . . . . . 2317.8.3 Interfaces de rede . . . . . . . . . . . . . . . . . . . 2337.8.4 Network interfaces . . . . . . . . . . . . . . . . . . . 2357.8.5 Network tcpri . . . . . . . . . . . . . . . . . . . . . . 2367.8.6 Default policies . . . . . . . . . . . . . . . . . . . . . 2377.8.7 Regras de firewall . . . . . . . . . . . . . . . . . . . 2387.8.8 Types of services . . . . . . . . . . . . . . . . . . . . 2397.8.9 Masquerading . . . . . . . . . . . . . . . . . . . . . 2407.8.10 Static NAT . . . . . . . . . . . . . . . . . . . . . . . . 2427.8.11 Proxy ARP . . . . . . . . . . . . . . . . . . . . . . . 2427.8.12 Quando parado . . . . . . . . . . . . . . . . . . . . . 2437.8.13 Túneis VPN . . . . . . . . . . . . . . . . . . . . . . . 2437.8.14 Zona Hosts . . . . . . . . . . . . . . . . . . . . . . . 2447.8.15 Blacklists Hosts . . . . . . . . . . . . . . . . . . . . . 2457.8.16 Fornecedores de encaminhamento adicionais . . . . 2467.8.17 Routing Rules . . . . . . . . . . . . . . . . . . . . . 2467.8.18 Parâmetros personalizados . . . . . . . . . . . . . . 2477.8.19 Arquivo de configuração principal . . . . . . . . . . . 2487.8.20 Botões de Operação . . . . . . . . . . . . . . . . . . 249

8 Avançado 2518.1 Administrador de Ficheiros . . . . . . . . . . . . . . . . . . 2528.2 Comandos Personalizados . . . . . . . . . . . . . . . . . . 2528.3 Comandos de Shell . . . . . . . . . . . . . . . . . . . . . . 2558.4 Kerberos5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2568.5 Linux Firewall - iptables . . . . . . . . . . . . . . . . . . . . 257

8.5.1 Conceitos Gerais . . . . . . . . . . . . . . . . . . . . 2578.5.2 Vista Geral . . . . . . . . . . . . . . . . . . . . . . . 2608.5.3 Tabela FILTER (Packet Filtering) . . . . . . . . . . . 2618.5.4 Tabela MANGLE (Packet Alteration) . . . . . . . . . 2688.5.5 Tabela NAT (Network Address Translation) . . . . . 269

8.6 Login via SSH/Telnet . . . . . . . . . . . . . . . . . . . . . . 2748.7 Samba - Partilha de Ficheiros e Serviços de Impressão . . 275

8.7.1 Partilha de Ficheiros e Impressora . . . . . . . . . . 2758.7.2 Configuração Global . . . . . . . . . . . . . . . . . . 283

iv

Índice

8.7.3 Utilizadores Samba . . . . . . . . . . . . . . . . . . 2928.8 Text Login . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2968.9 Upload e Download . . . . . . . . . . . . . . . . . . . . . . 296

8.9.1 Download from Web . . . . . . . . . . . . . . . . . . 2968.9.2 Upload to Server . . . . . . . . . . . . . . . . . . . . 2978.9.3 Download from Server . . . . . . . . . . . . . . . . . 298

9 Suporte Eurotux 3009.1 Criar Ticket . . . . . . . . . . . . . . . . . . . . . . . . . . . 3009.2 Fecho de Tickets . . . . . . . . . . . . . . . . . . . . . . . . 3029.3 Pesquisas de Tickets . . . . . . . . . . . . . . . . . . . . . . 3039.4 Preferências . . . . . . . . . . . . . . . . . . . . . . . . . . 3049.5 Observações . . . . . . . . . . . . . . . . . . . . . . . . . . 304

v

Aviso Legal e Termos de Utilização

Não é autorizada a reprodução, transferência, tradução para qualquer id-ioma, distribuição ou armazenamento da totalidade ou parte do conteúdodeste documento, seja sob que forma ou meio for, sem a prévia autoriza-ção, por escrito, da Eurotux Informática, SA.

Embora tenham sido feitos todos os esforços no sentido de garantir a ex-atidão das informações presentes neste manual, da Eurotux Informática,SA., não será, em nenhuma circunstância, responsável por qualquer erroou omissão, nem por perda de dados ou de receitas nem por quaisquerdanos especiais, acidentais, independentemente da forma como foremcausados.

O conteúdo deste documento é fornecido “tal como está”. Salvo na me-dida exigida pela lei aplicável, não são dadas garantias de nenhum tipo,expressas ou implícitas, incluindo, nomeadamente, garantias implícitasde aceitabilidade comercial e adequação a um determinado objetivo, rela-cionadas com a exatidão, fiabilidade ou conteúdo deste documento.

Copyright c© 2013 Eurotux Informática, S.A. Todos os direitos reservados.

vi

1 Introdução

Um dos fatores mais importantes no mundo empresarial é a segurança in-formática, protegendo os recursos tecnológicos da empresa de utilizadorese acessos indevidos. A monitorização da sua utilização pelos respetivosfuncionários é também um fator de aumento de produtividade.

Este manual descreve as funcionalidades do Eurotux Firewall (sistemaETFW) servindo de referência para a sua configuração e utilização. OETFW é um sistema escalável, dinâmico, de fácil utilização e uma maisvalia para a empresa.

O sistema ETFW consiste numa máquina a correr o sistema operativoLinux, em configuração específica através de um CD-ROM, distinguindo-se pela sua segurança, fiabilidade, e eficiência em termos de necessidadede recursos de hardware.

Relativamente à segurança, o único método de aceder remotamente àmáquina será através do protocolo SSH. Mesmo assim, é possível filtraras entradas limitando-as a certas máquinas ou interfaces de rede (casose queira, por exemplo, permitir o acesso unicamente para o interfaceproveniente da rede interna) ou mesmo desativar totalmente o acessoremoto.

Quanto à fiabilidade, graças à pequena dependência de hardware, estesistema tem um baixo risco de impacto proveniente de avarias de equipa-mento. Além disso, foi introduzido o suporte para o dispositivo watch-dog, que não evitando estados menos propícios do sistema, resolve-osfazendo um reiniciar forçado à máquina, não deixando esta bloquear numestado inacessível. Após o reiniciar, tudo tende a voltar ao normal, semnenhum problema, pois num CD-ROM não se coloca a questão de ocor-rerem perdas de dados que possam prejudicar o arranque.

A configuração do ETFW está acessível através de uma ferramenta própria,

1

Capítulo 1. Introdução

onde é possível modificar as regras de acesso e configurar diversos as-petos de rede relativos ao servidor. As alterações ficam imediatamenteativas, mas como o servidor está a correr num meio apenas de leitura,deverá ser criado um novo CD para que a configuração se torne definitivaou alternativamente, gravar as mesmas numa disquete/disco/PEN.

Sendo baseado em tecnologias open source, o ETFW não exige a aquisiçãode qualquer licença de software comercial.

O sistema ETFW permite a implementação das seguintes funcionalidades,que serão abordadas ao longo deste manual:

• Mecanismos de filtragem (função de firewall)

• Routing entre redes internas, externas e DMZ

• NAT de redes internas para o exterior

• Acesso remoto (configurável) para administração via Web

• Acesso SNMP para monitorização

• Envio de registos de sistema para servidor de monitorização

• Ferramentas de geração de alarmes

• Serviço de primário DNS

• Servidor DHCP

• Serviço de caching-DNS

• Suporte para VPNs por IPSEC, PPTP e SSH (autenticação de VPNsem ficheiro local e/ou serviço Radius e/ou Active Directory )

• Traffic Shapping

• Advanced routing

• Monitorização de tráfego

• Serviço de Proxy com filtragem de conteúdos

• Serviço de Relay de Mail com filtragem antivírus e anti-spam

• Suporte a conectividade redundante

2


• Load balancing

Neste primeiro capítulo serão abordados algumas características de con-figuração inicial e acesso à administração do ETFW. Nos capítulos seguintesserão descritos os módulos disponíveis nas respetivas opções do menuprincipal do ETFW, nomeadamente, Webmin, Assistente, Sistema, Hard-ware, Servidores, Rede, e Avançado. No final, existe um capítulo sobre osuporte eurotux para auxiliar a resolução de problemas.

1.1 Requisitos de hardware do sistema

O sistema ETFW é um elemento crítico, uma vez que uma falha da re-spetiva infraestrutura implica a impossibilidade de comunicação com oexterior. Assim, o ETFW deverá ser implementando numa plataforma dehardware que dê todas as garantias de fiabilidade.

Idealmente o sistema deve ser configurado recorrendo à utilização deduas máquinas, em fail over, de forma a implementar um sistema redun-dante que aumente as probabilidades de um funcionamento contínuo per-ante uma falha de hardware. Com esta configuração, caso ocorresse umproblema com a máquina de ETFW ativa, a máquina de reserva entrariaimediatamente em funcionamento.

No entanto, o sistema ETFW dispõe de segurança adicional por ser facil-mente transferível para outra máquina (via CD). Assim sendo, poderá sercriado um plano de contingência onde estarão definidos os procedimen-tos a efetuar em caso de falha total do sistema, permitindo que tudo possavoltar à normalidade em poucos minutos. Deste modo, face a um prob-lema de hardware que seja de resolução demorada, poderá ser utilizadaoutra máquina que esteja definida no plano de contingência.

O processador e a quantidade de memória mínima para o bom funciona-mento da solução estão dependentes dos serviços instalados bem comodo uso efetivo da solução. A necessidade de um dispositivo de armazena-mento (disquete, disco rígido) dependerá da necessidade de guardar in-formação diversa, como por exemplo, logs, cache, ou a alteração de con-figurações.

3


1.2 Login na ETFW

Para que possa aceder à web interface de administração do ETFW, oWebmin, o utilizador terá de efetuar a devida autenticação através de umbrowser. Para este efeito, deve abrir um browser e digitar o seguinteendereço https://ip_da_sua_etfw:12345. Para obter o endereçoIP do ETFW, caso seja desconhecido, este poderá ser facilmente obtido,sendo apenas necessário que o utilizador efetue o login diretamente namáquina onde o ETFW está a ser executado. Se por exemplo, o endereçoIP do ETFW for 10.10.10.99, o URL que permitirá aceder ao Login paraadministrar o ETFW é apresentado na figura 1.1.

Figura 1.1: Endereço URL para Login na ETFW

De seguida, é apresentada uma página Web, tal como a da seguintefigura, que solicita ao utilizador o Username e a respetiva Password.

Figura 1.2: Página de autenticação

4

https://ip_da_sua_etfw:12345


O utilizador pode ainda selecionar a opção “Relembrar login permanen-temente?” para que sejam introduzidos automaticamente os dados deautenticação nos próximos acessos. No final o utilizador deve clicar nobotão “Login” para concluir o processo de autenticação.

1.3 Webmin - Administração do ETFW

Concluído com sucesso o processo de autenticação, o utilizador acede àadministração web do ETFW - o Webmin - que é apresentado na seguintefigura.

Figura 1.3: Página de Administração do ETFW

A página do Webmin está organizada em três zonas distintas. Encostadoà esquerda existe um painel “Info” que apresenta algumas informaçõesgenéricas sobre o ETFW e o seu desempenho. Na zona central existemvários ícones que representam os diversos módulos que se encontraminstalados no ETFW, e para às quais o utilizador que se encontra autenti-cado, usufrui de permissões de acesso. Disposto horizontalmente no topo

5


da página, encontra-se o menu principal de administração do ETFW. Estemenu encontra-se dividido nas seguintes seções.

Webmin: permite gerir e configurar diversas opções do Webmin, tal comoas permissões de acesso dos utilizadores do ETFW, opções de id-ioma, entre outros.

Assistente: permite a utilização de wizards (assistentes) de configuração,que conduzem o utilizador passo a passo na configuração de deter-minados módulos da ETFW.

Sistema: permite configurar parâmetros globais da ETFW.

Hardware: permite visualizar e gerir o hardware da ETFW.

Servidores: permite gerir os diversos servidores que a ETFW disponibi-liza.

Rede: permite gerir os serviços que a ETFW disponibiliza, com opçõesmais vocacionadas para os serviços de rede.

Avançado: Módulos de configuração avançada da ETFW.

6

2 Webmin

Clicando na opção “Webmin” do menu principal de administração, o uti-lizador acede à respetiva seção de gestão. Esta seção disponibiliza asopções apresentadas na figura seguinte, que serão abordadas neste capí-tulo.

Figura 2.1: Seção Webmin

2.1 Backup Configuration Files

Este seção permite a configuração de backups e dispõe de três sepa-radores principais, a saber, “Backup now”, “Scheduled backups”, e “Re-store now”.

• Backup now

Este separador permite a configuração de um backup efetuado a

7

Capítulo 2. Webmin

pedido e na hora, disponibilizando um formulário apresentado nafigura seguinte.

Figura 2.2: Configuração de Backups - Backup now

Este formulário fornece os seguintes grupos de opções.

– Modules to backup

Permite selecionar o conjunto de módulos que devem ser abrangi-dos e incluídos no backup. Para selecionar mais do que um mó-dulo, o utilizador deve manter premida a tecla “Ctrl” enquantoefetua a seleção dos módulos pretendidos.

– Backup destination

Esta área permite selecionar o destino para armazenar o backup.O utilizador pode escolher entre um ficheiro local, um servidorFTP, um servidor SSH, ou download em browser.

8

Capítulo 2. Webmin

– Include in backup

Este área permite selecionar alguns tipos de ficheiros a seremincluídos no backup.

No final, para efetuar o backup, o utilizador deverá clicar no botão“Backup Now”.

• Scheduled backups

Este separador permite calendarizar um processo de backup demodo que este seja efetuado automaticamente. O separador ini-cialmente exibe a lista de backups agendados. Para acrescentar umnovo agendamento para um backup, o utilizador deve clicar no link“Add a new scheduled backup”, apresentado na figura seguinte.

Figura 2.3: Configuração de Backups - Scheduled Backups

Clicando no respetivo link o utilizador acede a um formulário quaseidêntico ao que é utilizado para definir um backup pontual, apresen-tado anteriormente. A diferença consiste num conjunto de opções“Backup Schedule”. Nesta seção de opções é possível determinarquem, e quando, se recebe um e-mail com o resultado do backup,para além de selecionar, em que minuto, hora, dia e mês se deveefetuar o backup. Este conjunto de opções está apresentado nafigura seguinte.

9

Capítulo 2. Webmin

Figura 2.4: Opções de Agendamento de Backups

• Restore now

Este separador permite restaurar e aplicar uma configuração previa-mente salvaguardada do ETFW. O utilizador pode neste caso sele-cionar quais os módulos a incluir no restauro, qual a origem e local-ização do ficheiro backup, para além da optar por aplicar ou não asrespetivas configurações.

2.2 Change Language and Theme

Este módulo permite alterar o idioma, tema visual, e password utilizadopara efetuar o login. O formulário deste módulo é apresentado na seguintefigura.

10

Capítulo 2. Webmin

Figura 2.5: Alteração de Idioma, Tema, e Password

2.3 Configuração do Webmin

Clicando na opção Configuração do Webmin, o utilizador acede à páginaque disponibiliza um conjunto de opções que permitem a configuração dediversos aspetos do ETFW.

Ao fundo desta página encontram-se três botões, sendo a primeira o “Ini-ciar no arranque”. Esta opção permite controlar se o Webmin é iniciadono arranque. O segundo botão “Reiniciar o Webmin”, efetua um resetdo servidor do Webmin. O último botão “Refresh Modules”, faz uma verifi-cação de servidores instalados, atualizando os que estiverem na categoria“Un-used”.

Esta página é apresentada na figura seguinte.

11

Capítulo 2. Webmin

Figura 2.6: Configuração do Webmin

2.3.1 Opções de configuração do Webmin

Segue-se nesta seção uma descrição dos diversos módulos de configu-ração do webmin.

12

Capítulo 2. Webmin

2.3.1.1 Controlo de Acesso por IP

Clicando na opção “Controlo de Acesso por IP”, o utilizador acede aoformulário apresentado na figura seguinte.

Figura 2.7: Opções de Controlo de Acesso

Este formulário pode ser utilizado para configurar o servidor Webmin demodo a negar ou permitir acesso apenas a determinados endereços IP.

2.3.1.2 Portos e Endereços

Esta seção permite configurar algumas opções relativamente a determi-nados endereços IP e portos. Por exemplo, possibilita ativar a escuta dedeterminados IPs em determinados portos, ou aceitar ou não ligações viaIPv6. O formulário de opções está apresentado na figura seguinte figura.

13

Capítulo 2. Webmin

Figura 2.8: Portos e Endereços

2.3.1.3 Histórico

Este módulo permite a configuração do registo histórico, ou log, de alter-ações efetuadas ao Webmin. Algumas das opções disponibilizadas nesteformulário são, por exemplo, ativar ou não o log histórico, periodicidadedo processo de limpeza aos ficheiros do log, lista de utilizadores e mó-dulos que serão visados pelo log, e que ações devem ser registadas nohistórico.

O respetivo formulário de opções é exibido na figura seguinte.

14

Capítulo 2. Webmin

Figura 2.9: Opções de Histórico do ServidorWeb

2.3.1.4 Servidores Proxy

Clicando na respetiva opção o utilizador acede à área de gestão de “Servi-dores Proxy”. Esta seção está disposta em dois separadores. A primeira“Proxying”, permite definir o proxy para http, e ftp. O segundo separador“Downloading”, estabelece algumas opções relativamente ao cache deconteúdos web, como por exemplo, quais os módulos sujeitos a caching.

2.3.1.5 Interface de Utilizador

Esta seção exibe um formulário que permite a personalização do ambi-ente de trabalho do webmin. Alguns dos aspetos configuráveis são, porexemplo, cores do fundo da página, texto, e ligações, mostrar ou não o

15

Capítulo 2. Webmin

nome do utilizador nos títulos das páginas, e alteração das dimensões deselecionador de ficheiros, datas, e módulos. Esta seção está parcialmenteapresentada na figura seguinte.

Figura 2.10: Opções da Interface de Utilizador

2.3.1.6 Módulos do Webmin

Clicando na opção “Módulos do Webmin”, o utilizador acede à seção degestão de módulos apresentado na figura seguinte.

16

Capítulo 2. Webmin

Figura 2.11: Gestão de Módulos do Webmin

Como se pode observar, esta seção dispõe de quatro separadores, “In-stall”, “Clone”, “Delete”, e “Export”, que são descritos de seguida.

• InstallEste separador permite efetuar a instalação de um novo módulo, so-licitando ao utilizador, a localização do respetivo ficheiro. No final outilizador deve indicar o utilizador que terão acesso ao novo módulo,e clicar no botão “Instalar Módulo”.

• CloneEste separador permite clonar um módulo, de modo a poder utilizaro mesmo módulo em duas instâncias com configurações diferentes.As opções deste separador estão apresentadas de seguida.

17

Capítulo 2. Webmin

Figura 2.12: Gestão de Módulos do Webmin - Clone

Para clonar um módulo, o utilizador deve primeiro indicar qual o mó-dulo que se pretende clonar, um novo nome para o módulo resul-tante, a categoria ao qual será associado, e se pretende restauraras configurações aos valores originais. Nesta última opção, caso outilizador indique “não”, o módulo será clonado tal como está. Nofinal o utilizador deve clicar no botão “Clonar Módulo”.

• DeleteEste separador permite eliminar qualquer dos módulos existentesno webmin. Basta ao utilizador selecionar os módulos que pretendeeliminar, e clicar no botão “Apagar Módulos Seleccionados”.

• ExportPermite a exportação de módulos para ficheiros. O utilizador teráapenas de selecionar quais os módulos a incluir, e clicar no botão“Export Selected Modules”.

2.3.1.7 Sistema Operativo e Ambiente

Esta página apresenta os sistemas operativos detetados pelo Webmin nomomento de instalação do ETFW, e no momento atual. Permite editar oscaminhos de procura para os módulos e bibliotecas partilhadas.

18

Capítulo 2. Webmin

2.3.1.8 Linguagem

Clicando na opção “Linguagem” o utilizador acede à seção apresentadana figura seguinte, que permite selecionar a linguagem em que serão ex-ibidos os títulos, questões e mensagens do Webmin.

Figura 2.13: Linguagem - Opções

2.3.1.9 Opções da Página de Índice

Esta seção permite que o utilizador possa configurar o aspeto visual domenu principal do Webmin, como por exemplo o número de colunas, ativarou não a categorização dos módulos e o módulo que é acedido por defeito.O formulário de opções é apresentado na figura seguinte.

19

Capítulo 2. Webmin

Figura 2.14: Opções da Página do Índice

2.3.1.10 Actualizar o Webmin

Esta seção permite que o utilizador possa atualizar a versão do webminque se encontra instalado. Nesta página são disponibilizadas quatro sep-aradores que são analisados de seguida.

• Upgrade WebminEste separador permite efetuar a atualização do webmin a partir deum ficheiro que pode ser acedido de diversas formas. Para alémde o utilizador poder selecionar qual a localização do ficheiro deatualização, pode ainda forçar a atualização mesmo se a versão emquestão é mais antiga do que a versão instalada. Assim, torna-sepossível reverter para uma versão mais antiga. No final o utilizadordeve clicar no botão “Actualizar o Webmin”.

• New module grantsEste separador permite definir o comportamento do webmin face àinstalação de novos módulos que surgem quando ocorre a atual-ização. Será possível manter a configuração predefinida ou então

20

Capítulo 2. Webmin

permitir acesso para determinados utilizadores.

• Update modulesEste separador disponibiliza um formulário que permite atualizar ape-nas os módulos do Webmin que contêm erros ou falhas de segu-rança que foram entretanto corrigidos.

• Scheduled UpdateEste formulário permite a calendarização automática de atualiza-ções de módulos do Webmin, por forma a corrigir a existência deerros ou falhas. Permite estabelecer um intervalo de dias e umahora do dia para que seja executada a atualização. Este separadoré apresentado na figura seguinte.

Figura 2.15: Actualizar o Webmin - Calendarização de Update

21

Capítulo 2. Webmin

2.3.1.11 Autenticação

Clicando na seção “Autenticação” o utilizador acede à página apresentadaparcialmente na figura seguinte.

Figura 2.16: Autenticação - Formulário de opções

Esta seção disponibiliza diversas opções que se prendem com configu-rações de autenticação e registo de sessões de utilização do webmin.Algumas das opções disponibilizadas são:

• Tempo de expiração de password;

• Ativar/desativar autenticação por sessão;

• Permitir (ou não) login sem password para utilizadores exis-tentes no localhost;

• Utilização do PAM para a autenticação Unix;

• Modo de alteração de passwords caducados;

• Política de caducidade de passwords;

• Utilização de um programa de autenticação externa.

22

Capítulo 2. Webmin

2.3.1.12 Reatribuir Módulos

Esta seção permite que o utilizador possa configurar a organização dosmódulos nas respetivas categorias. A atribuição das categorias aos mó-dulos disponíveis é efetuada através do formulário apresentado parcial-mente na figura seguinte.

Figura 2.17: Reatribuir Módulos

O utilizador pode nesta seção, atribuir cada módulo a uma nova categoria,selecionando-a na respetiva caixa drop-down. No final o utilizador deveclicar no botão “Alterar Categorias”, para confirmar as alterações efetu-adas.

2.3.1.13 Editar Categorias

Clicando na seção “Editar Categorias”, o utilizador acede à página degestão de categorias do webmin. Esta seção permite que o utilizadorpossa criar novas categorias de módulos, indicando o respetivo “ID” e“Descrição visível”. Este formulário é apresentado na figura seguinte.

23

Capítulo 2. Webmin

Figura 2.18: Editar Categorias

2.3.1.14 Module Titles

Esta página disponibiliza um formulário que permite a atribuição de nomesalternativos para os módulos. Acedendo ao formulário apresentado nafigura seguinte, o utilizador tem apenas de selecionar um módulo entre osinstalados no webmin, e digitar um novo título. No final, deverá clicar em“Guardar”.

24

Capítulo 2. Webmin

Figura 2.19: Module Titles

2.3.1.15 Temas do Webmin

Clicando na opção Temas do Webmin, o utilizador acede à seção degestão de temas visuais do webmin. Esta página apresenta quatro sepa-radores que são descritos de seguida.

• Change themeEste separador permite que o utilizador possa alternar o tema visualpara outro dos que se encontram instalados no webmin.

• Install themeEste separador disponibiliza um formulário que permite a instalaçãode um tema alternativo para o webmin.

• Delete themesEste separador permite que o utilizador possa eliminar um dos temasinstalados no webmin.

• Export themesEste separador permite que o utilizador possa exportar um dos temasexistentes no webmin para um ficheiro.

2.3.1.16 Referrers de Confiança

Clicando nesta seção o utilizador acede à página que permite ativar a ver-ificação de referrers. Ativando esta opção, o webmin consegue prevenirque o navegador do utilizador seja utilizado por ligações maliciosas deoutros sítios na Internet. É também possível editar uma lista de sítios de

25

Capítulo 2. Webmin

confiança que devem ser ignorados pela verificação. Estas opções estãoapresentadas na figura seguinte.

Figura 2.20: Referrers de Confiança

2.3.1.17 Acesso Anónimo aos Módulos

Esta seção permite a concessão de acesso a alguns módulos e caminhosespecíficos do Webmin a utilizadores sem que tenham necessidade de seautenticarem. Para cada caminho que seja introduzido, terá de ser indi-cado o nome de um utilizador Webmin, cujas permissões serão utilizadaspara o acesso ao módulo.

Nota: Esta opção deve ser utilizada com cuidado extremo, pois pode fa-cilitar o acesso indevido ao sistema.

2.3.1.18 Bloqueamento de Ficheiros

Clicando na respetiva opção, o utilizador acede à seção de “Bloquea-mento de ficheiros”. Esta página permite alterar o comportamento do con-trolo de acesso concorrencial a ficheiros do webmin. Por defeito, o web-min bloqueia o acesso a qualquer ficheiro que esteja alterado, de modoa prevenir que ocorram alterações simultâneas por múltiplos processos,corrompendo o ficheiro. Assim, o utilizador tem a possibilidade de man-ter este bloqueio, desativar a função, ou bloquear ou isentar da funçãode bloqueio, ficheiros e pastas especificadas. O formulário de opções éapresentado na figura seguinte.

26

Capítulo 2. Webmin

Figura 2.21: Bloqueamento de Ficheiros

2.3.1.19 Mobile Device Options

Clicando na opção “Mobile Device Options” o utilizador acede à páginade configuração de opções para navegadores de dispositivos móveis. Oformulário de opções é apresentado na seguinte figura.

Figura 2.22: Mobile Device Options

27

Capítulo 2. Webmin

Este formulário disponibiliza um seleção de temas visuais, o forçar deautenticação via http, user agentes adicionais para navegadores de dis-positivos móveis, e prefixos de URL hostname.

2.3.1.20 Background Status Collection

Clicando na opção “Background Status Collection”, o utilizador acede auma página que permite configurar a verificação do estado do sistema.As três opções disponíveis, exibidas na figura seguinte, permitem ativarou desativar a verificação do estado do sistema em segundo plano, (es-pecificando um determinado intervalo em minutos), a disponibilidade deatualizações de pacotes, e as temperaturas dos respetivos drives.

Figura 2.23: Background Status Collection

2.3.1.21 Advanced Options

Clicando na opção “Advanced Options”, o utilizador acede à página ex-ibida na seguinte figura, que disponibiliza algumas opções avançadas so-bre, por exemplo, pastas de ficheiros temporários e gestão de processos.

28

Capítulo 2. Webmin

Figura 2.24: Advanced Options

Algumas das opções disponibilizadas nesta página são, por exemplo, apossibilidade de definir uma pasta alternativa dedicada a ficheiros tem-porários, pastas de ficheiros temporários específicas para cada módulo,um prazo de validade para ficheiros temporários, e configuração de níveisde prioridade para tarefas agendadas.

2.3.1.22 Debugging Log File

Clicando na opção “Debugging Log File”, o utilizador acede à página degestão do log de debug, ficheiro útil que pode auxiliar a resolução dediversos tipos de problemas. Esta página é exibida na figura que se segue.

29

Capítulo 2. Webmin

Figura 2.25: Debugging Log File

Esta página permite a ativação da função de debug log, para além da se-leção dos tipos de eventos que podem ser incluídos no registo, tal como aexecução de scripts, abertura de ficheiros, ou estabelecimento de ligaçõesde rede. O formulário permite ainda estabelecer o limite máximo para otamanho do ficheiro do debug log, e os módulos a serem contemplados.

No final, o utilizador deve clicar em “Guardar”, para concluir as alterações.

2.3.1.23 Web Server Options

Clicando na opção “Web Server Options”, o utilizador acede à páginade gestão de opções do web-server disponibilizado pelo Webmin. Algu-mas das opções disponibilizadas são por exemplo, o prazo de validadepara ficheiros cache que são servidos via web, exibição de stack tracepara mensagens de erro, entre outros. A página é apresentada na figuraseguinte.

30

Capítulo 2. Webmin

Figura 2.26: Web Server Options

2.3.1.24 Webmin Scheduled Functions

Clicando na opção “Webmin Scheduled Functions” o utilizador acede àpágina apresentada na figura seguinte que exibe uma lista das tarefasagendadas no sistema. Para cada tarefa agendada, a lista visualiza o seunome, a sua função, os parâmetros, e o respetivo tempo de periodicidadeda sua execução.

Figura 2.27: Webmin Scheduled Functions

Para cada tarefa existente na lista, é possível proceder à sua eliminaçãoou execução no momento.

31

Capítulo 2. Webmin

2.3.1.25 Cifra SSL

Clicando na opção “Cifra SSL”, o utilizador acede à seguinte página, ref-erente a opções de configuração do suporte SSL do webmin.

Figura 2.28: Cifra SSL

A página disponibiliza seis separadores, que são descritos a seguir. Acomunicação SSL cifrada assume um papel importante ao garantir a se-gurança para comunicações com o servidor efetuadas via a Internet comum browser convencional.

• SSL SettingsEste separador permite ativar a utilização do SSL e definir a local-ização do ficheiro com a chave privada.

• Current CertificateEste separador exibe alguns detalhes relativamente ao certificadoSSL em vigor.

• Per-IP CertificatesEste separador exibe a lista de certificados SSL utilizados para en-

32

Capítulo 2. Webmin

dereços IP específicos. O separador permite também a atribuiçãode chaves SSL para endereços IP específicos, clicando na ligação“Add a new IP-specific SSL key”.

Clicando nesta ligação o utilizador acede à seguinte página que so-licita a introdução de um ou mais endereços de IP, e a respetivalocalização para a chave privada e certificado SSL. No final o uti-lizador deve clicar no botão “Criar”.

Figura 2.29: Create IP-specific SSL Key

• Self-Signed CertificatesEste separador permite criar uma nova chave SSL para o servidorWebmin, evitando o risco associado à utilização da chave SSL pordefeito. O formulário, apresentado na figura seguinte, solicita o en-dereço IP do servidor, o tamanho da chave em bits, o prazo de val-idade, e localização do ficheiro, para além de outros dados institu-cionais para a criação da chave SSL.

33

Capítulo 2. Webmin

Figura 2.30: Self Signed Certificate

• Certificate Signing RequestEste separador disponibiliza um formulário, muito semelhante ao for-mulário apresentado na figura anterior, que permite a criação deuma chave SSL e CSR (certificate signing request).

• Upload CertificateEste separador disponibiliza um formulário que possibilita o carrega-mento de uma chave para o webmin através do upload do respetivoficheiro. O formulário é apresentado na figura seguinte.

34

Capítulo 2. Webmin

Figura 2.31: Upload Certificate

2.3.1.26 Autoridade de Certificação

Clicando na opção “Autoridade de Certificação” o utilizador acede à páginaque disponibiliza algumas opções relativamente à configuração da au-toridade de certificação, através de um formulário semelhante ao que foiabordado na criação de chaves SSL.

2.4 Utilizadores do Webmin

Clicando na opção “Utilizadores do Webmin” o utilizador acede ao módulode gestão de utilizadores e grupos da administração do Webmin. Estaseção apresenta duas listas, uma de utilizadores e outra de grupos deutilizadores. Esta página está exemplificada na figura seguinte.

35

Capítulo 2. Webmin

Figura 2.32: Utilizadores do Webmin

Na seção Webmin Users é possível criar, editar, e remover utilizadores,através das ferramentas de seleção disponibilizadas.

2.4.1 Criar/Editar Utilizadores do Webmin

Clicando na opção “Criar novo utilizador do Webmin”, o utilizador acedeao formulário, que é parcialmente apresentado de seguida.

36

Capítulo 2. Webmin

Figura 2.33: Criar Utilizador do Webmin

O formulário está disposto em quatro grupos de campos.

• Direitos de acesso do utilizador do WebminSolicita o nome do utilizador a criar que será utilizado no sistema, arespetiva palavra-passe e o seu nome verdadeiro. É possível con-figurar a palavra-passe de modo que obrigue o utilizador a alterá-lano momento em que este efetua o login pela primeira vez.

• User interface optionsEste grupo agrupa alguns campos que, por exemplo, permitem adefinição do idioma a utilizador no sistema webmin, ativar ou não acategorização dos módulos, e tema visual selecionado.

• Security and limits optionsEste grupo de campos aborda algumas opções relativamente à se-

37

Capítulo 2. Webmin

gurança na utilização do sistema. Permite estabelecer um limitemáximo para o tempo de inatividade do utilizador, limite mínimopara a quantidade de carateres do password, controlo de acessode acordo com o endereço IP utilizado, e bloquear acesso em deter-minados dias da semana e horas do dia.

• Available Webmin modulesEsta seção de campos, permite selecionar quais os módulos doETFW a que o utilizador terá acesso.

No final o utilizador deverá clicar no botão “Criar”, para concluir a criaçãodo novo utilizador.

A edição de opções relativamente aos utilizadores existentes é efetu-ado através do mesmo formulário invocado para a criação de novos uti-lizadores, salvo a seção adicional de campos parcialmente apresentadona figura seguinte.

Figura 2.34: Editar Utilizador do Webmin - Permissões de Módulos

38

Capítulo 2. Webmin

Esta seção dispõe diversas opções que permitem configurar aspetos paracada utilizador, como por exemplo, qual a diretoria de raiz para o sele-cionador de ficheiros, e conceder automaticamente permissões de acessoa novos módulos que possam vir a ser instalados posteriormente.

2.4.2 Gestão de Grupos

A zona “Webmin Groups” desta página, disponibiliza um link que permite acriação de um novo grupo de utilizadores. Clicando neste link, o utilizadoracede a um formulário que solicita o nome e descrição do grupo a criar.Solicita também a seleção dos módulos que estarão acessíveis a todos osutilizadores pertencentes ao grupo, sendo análogo ao formulário utilizadopara criar novos utilizadores.

Imediatamente abaixo da lista de grupos de utilizadores, encontram-se asseguintes opções.

• Convert Unix to Webmin Users

Permite converter utilizadores do sistema Unix existentes na máquinaonde está a ser executado o ETFW em utilizadores Webmin.

• Configure Unix User Synchronization

Permite configurar a sincronização de utilizadores Unix.

• Configure Unix User Authentication

Acede a uma página que permite configurar a validação de auten-ticação ao Webmin. O utilizador acede ao formulário seguinte quepermite definir quais os utilizadores que podem efetuar o login.

39

Capítulo 2. Webmin

Figura 2.35: Configuração de utilizadores de Unix

• View Login Sessions

Esta opção permite visualizar as sessões mais recentes de utiliza-ção de webmin, disponibilizando para cada sessão um que permitevisualizar o log de ações tomadas.

• Setup RBAC

Suportado apenas num sistema Solaris, permite a configuração deuma base de dados RBAC (Role Based Access Control) que se so-brepõe ao Webmin na gestão de permissões para módulos.

• Password Restrictions

Esta opção permite configurar algumas opções referentes à utiliza-ção de palavras-passe, como por exemplo, quantidade mínima decarateres utilizados, prazo de validade após o qual a palavra-passeterá de ser alterada, prazo permitido para alterar uma palavra-passe

40

Capítulo 2. Webmin

caducada, limitar o uso de palavras-passe já utilizadas, e não per-mitir palavras-passe que invocam o nome de utilizador, ou palavrasdo dicionário. Esta página é apresentada na figura seguinte.

Figura 2.36: Configuração de Restrições de palavras-passe

• User and Group Database

Esta opção permite configurar algumas opções da base de dadosde utilizadores e grupos. Essencialmente, permite alternar entre autilização de ficheiros armazenados localmente para guardar infor-mações sobre utilizadores e grupos, ou uma base de dados MySQL,base de dados PostgreSQL, ou servidor LDAP. Por fim a última opçãopermite determinar se novos utilizadores serão adicionados à fontedefinida, ou se são adicionados a ficheiros locais. A figura seguinte,apresenta parcialmente esta página.

41

Capítulo 2. Webmin

Figura 2.37: Base de Dados de Utilizadores e Grupos

2.5 Webmin Actions Log

Este módulo permite criar uma pesquisa personalizada ao log de alter-ações, caso a funcionalidade de logging esteja ativado. Para criar umapesquisa personalizada, o utilizador pode selecionar as respetivas opçõesno formulário apresentado na seguinte figura.

42

Capítulo 2. Webmin

Figura 2.38: Pesquisar o Webmin log

Este formulário permite que o utilizador crie a sua pesquisa de ações noWebmin log, de acordo com o utilizador, módulo envolvido, a data, e de-scrição.

43

3 Assistente

Neste capítulo será abordado o conjunto de wizards disponíveis no ETFW.Clicando na opção para a categoria de módulos “Assistente” no menuprincipal, o utilizador acede à seguinte página do webmin.

Figura 3.1: Página de categoria Assistente

Cada assistente, ou wizard, disponível no sistema, auxilia a configuraçãode uma determinada vertente do ETFW, simplificando o processo de con-figuração num método passo-a-passo. Encontram-se atualmente disponíveisno sistema um wizard de configuração de rede, e um wizard de configu-ração de DHCP. A opção “Wizard Principal”, executa todos os assistentesdisponíveis em sucessão.

44

Capítulo 3. Assistente

3.1 Wizard de Configuração de Rede passo apasso

Clicando na opção “Wizard Configuração de Rede”, o utilizador acedeà página apresentada na figura, que executa o respetivo assistente quetorna o processo de configuração de rede mais fácil e rápido.

Figura 3.2: Wizard de Configuração de Rede

Como se pode observar na figura anterior, o assistente disponibiliza cincopassos distintos correspondentes aos separadores visíveis, que permitemrespetivamente, adicionar e configurar interfaces de rede, criar regras deencaminhamento (Routing), configurar o cliente de DNS, e finalmente,criar hosts. Estes cinco passos serão analisados de seguida.

45


3.1.1 Rede

Tal como se pode observar na figura anterior, o primeiro passo deste wiz-ard solicita ao utilizador que selecione a tipologia de rede que se adequeà infraestrutura onde irá aplicar o ETFW, podendo escolher entre a opçãoETFW, e ETFW+DMZ. Após a seleção o utilizador deve clicar no botão"Seguinte".

3.1.2 Interfaces

No segundo passo o assistente solicita a configuração dos interfaces derede externa e interna. A seguinte figura apresenta este passo.

Figura 3.3: Wizard de Configuração de Rede - Interface

46


O utilizador deve estabelecer o endereço IP, máscara de sub-rede, broad-cast, e fonte de endereço (via DHCP, BOOTP, ou estática). No final outilizador poderá clicar no botão “Seguinte”, para prosseguir ao passoseguinte, ou regressar ao passo anterior com o botão “Anterior”.

A figura anterior exemplifica este passo caso o utilizador tenha optado poruma tipologia de rede ETFW no primeiro passo. Caso o utilizador tenhaoptado pela tipologia ETFW + DMZ, irá surgir uma seção adicional para adefinição do interface do DMZ.

3.1.3 Routing

No terceiro passo o utilizador pode definir opções de routing. A figuraseguinte exibe o formulário deste passo.

Figura 3.4: Wizard de Configuração de Rede - Routing

O utilizador pode estabelecer o router e dispositivo predefinido, para além

47


de routes estáticas e locais. No final poderá avançar para o passo anteriorou seguinte clicando no respetivo botão.

3.1.4 DNS

No quarto passo procede-se à configuração do cliente de nomes, o DNScliente, (domain name server) ou seja, define o nome que a ETFW terálocalmente e os respetivos servidores de nomes. A figura seguinte apre-senta o formulário para este passo.

Figura 3.5: Wizard de Configuração de Rede - DNS

No final o utilizador pode avançar para o último passo, ou regressar aoanterior, clicando no respetivo botão.

3.1.5 Hosts

Este ultimo passo, apresentado na figura seguinte, permite atribuir estati-camente vários nomes fixos e locais (ou mesmo da Internet) a IPs.

48


Figura 3.6: Wizard de Configuração de Rede - Hosts

Cada registo de endereço + anfitrião existente, pode ser eliminado selecionando-o e clicando de seguida no botão “Eliminar”. Para criar um novo endereçoe hostname, bastará atribuir um endereço IP e nome do anfitrião nos re-spetivos campos assinalados na figura seguinte, e clicar no botão “Criar”.

Figura 3.7: Wizard de Configuração de Rede - Criar Novo Host

49


3.2 Wizard de Configuração de dhcp

Clicando na opção “Wizard configuração de dhcp”, o utilizador acede aoassistente de configuração de endereços de sub-redes. O primeiro passo,exemplificado na figura seguinte, será a seleção da sub-rede na qual sepretende definir a gama de endereços IP.

Figura 3.8: Wizard de Configuração DHCP

Bastará clicar no link providenciado pelo ícone da sub-rede pretendidapara aceder ao próximo passo. Deste modo o utilizador acede à páginaapresentada na figura seguinte, onde poderá ser definido a gama de en-dereços IP disponíveis para a sub-rede selecionada.

Figura 3.9: Wizard de Configuração DHCP - Editar Sub-rede

No final o utilizador deverá clicar no botão “Guardar”.

50

4 Sistema

Neste capítulo serão abordados os módulos disponíveis sob a categoria“Sistema” que oferece um conjunto de páginas que englobam diversosaspetos de configuração e gestão global do sistema operativo sob o qualo ETFW se encontra instalado. Clicando na opção “Sistema” do menuprincipal, o utilizador acede à seguinte página, onde são apresentados osmódulos que o constituem.

Figura 4.1: Página de categoria Sistema

51

Capítulo 4. Sistema

4.1 Change Passwords

Clicando na opção “Change Passwords”, o utilizador acede a uma páginaque lista os utilizadores existentes no sistema Unix. Para alterar a pass-word um password, basta clicar no respetivo utilizador e preencher e for-mulário apresentado na figura seguinte, que solicita a inserção da novapassword duas vezes seguidas. No final, o utilizador deve clicar no botão“Change” para concluir o processo.

Figura 4.2: Alteração de Password para Utilizador do Sistema Unix

4.2 Configuração da ETFW

Clicando na opção “Configuração da ETFW”, o utilizador acede à páginaapresentada na figura seguinte, que permite aceder a módulos de con-figuração de diversos aspetos gerais da ETFW, para além de guardar ourecuperar configurações.

52


Figura 4.3: Configuração da ETFW

4.2.1 Editar Configuração

Clicando na opção "Editar Configuração", o utilizador ao formulário apre-sentado parcialmente na seguinte figura.

Figura 4.4: Editar Configuração da ETFW

53


Este formulário apresenta sete grupos de opções que são descritas deseguida.

• Configuração GeralEste grupo de opções permite definir, por exemplo, a quantidade debackups a armazenar, a localização por defeito, o endereço de e-mail do destinatário e remetente associado ao relatório do backup.

• Configuração DomínioEste grupo de opções permite a definição do realm, administradordo domínio e respetivo password, Workgroup, e por fim, o hostnamee respetivo endereço IP, do controlador do domínio.

• Configuração ProxyPermite definir o nome do anfitrião da proxy.

• harddiskPermite definir a localização do backup dos ficheiros de configuraçãoe a quantidade de backups a armazenar.

• autobackupGrupo de opções que permite ativar ou não o backup automático,para além de definir a localização dos respetivos ficheiros, a quanti-dade de backups a armazenar e a periodicidade da sua execução.

• SystemPermite definir a localização e a quantidade de backups a armazenar.

• Nova localizaçãoPermite definir um nome, nova localização, e quantidade de backupsa guardar.

4.2.2 Recuperar Configurações da ETFW

Clicando nesta opção, o utilizador acede a uma página que permite arecuperação de um conjunto de configurações que forem guardadas an-teriormente. O utilizador terá de selecionar qual o media e respetiva local-ização do ficheiro a recuperar, e clicar no botão “Recuperar”.

54


4.2.3 Gravar alterações da ETFW

Ao clicar na opção “Gravar alterações da ETFW”, o utilizador acede àpágina apresentada na figura seguinte.

Figura 4.5: Gravar alterações da ETFW

Esta seção permite guardar manualmente a configuração atual do ETFWpara um determinado media e localização. No final o utilizador tem declicar no botão “Guardar” para confirmar a operação.

4.3 Historiais do Sistema

Acedendo à opção “Historiais do Sistemas”, surge a seguinte área degestão de logs do sistema.

Figura 4.6: Historiais do Sistema

55


Os logs são ficheiros que registam todo o tipo de ocorrências ou eventosdo sistema, para que possam ser analisados mais tarde. Como se podeobservar na figura anterior, são listados todos os logs existentes no sis-tema, cada um cumprindo uma função distinta, colecionando mensagensde acordo com os tipos definidos na sua criação.

Para visualizar um log existente, basta clicar na ligação “View”, associadaao log pretendido. De seguida será apresentada uma lista com as últimas20 mensagens registadas no respetivo log, tal como na figura seguinte.

Figura 4.7: Exemplo de um log

A visualização de um log permite que o utilizador possa filtrar as men-sagens exibidas pelo texto nele contido, preenchendo o critério de pesquisano campo “Only show lines with text”. É ainda possível aumentar a quan-tidade de linhas exibidas, que assumem o valor 20 por defeito.

56


Caso o utilizador pretende criar um novo log de sistema, terá de clicar naligação apresentada na figura 4.7, “Add a new system log”. Deste modo outilizador acede ao formulário apresentado na figura seguinte.

Figura 4.8: Criação de um novo log

Neste formulário o utilizador deve indicar a localização do ficheiro destinoonde serão colocadas as mensagens do log, o estado ativo ou não do log,e o tipo de mensagens e prioridade a serem incluídos. No final o utilizadorterá de clicar no botão “Guardar” para concluir o processo.

Por fim, e voltando à página inicial do “Historial do Sistema” o utilizadordeve clicar no botão “Apply Changes”, para que as alterações possam seraplicadas definitivamente.

57


4.4 Iniciar e Encerrar

Acedendo à opção “Iniciar e Encerrar”, surge a seguinte área que permitegerir os scripts que devem ser executados quando o sistema é iniciado.

Figura 4.9: Boot Setup

Nesta página é apresentada uma lista dos scripts que podem ser executa-dos quando o sistema é iniciado, em conjunto com a respetiva descrição.A lista, podendo assumir um tamanho considerável, termina com a ex-istência de um conjunto de opções e botões que permitem efetuar algu-mas alterações aos scripts existentes. Estas opções são apresentados nafigura seguinte.

58


Figura 4.10: Opções de Gestão de Scripts

• Criar nova acção de iniciar ou encerrarClicando nesta opção o utilizador acede a um formulário que permitecriar uma nova ação que poderá ser executada ao Iniciar o sistema.Este formulário é apresentado na figura seguinte.

Figura 4.11: Criar nova ação de iniciar ou encerrar

Este formulário, solicita ao utilizador o respetivo nome, descrição,script de comandos ao iniciar, script de comandos ao encerrar, e ati-

59


vação para ser iniciado ou não no momento de arranque de sistema.No final o utilizador deve clicar no botão “Criar”.

• StartInicia a execução dos scripts selecionados manualmente.

• StopTermina manualmente a execução dos scripts selecionados.

• RestartReinicia manualmente a execução dos scripts selecionados.

• Start On BootAtiva a execução dos scripts selecionados no momento de arranquedo sistema.

• Disable on BootDesativa a execução dos scripts selecionados no momento de ar-ranque do sistema.

• Start Now and On BootExecuta manualmente os scripts selecionados, ativando em simultâ-neo a execução dos mesmos no momento de arranque do sistema.

• Disable Now and On BootTermina a execução dos scripts selecionados, desativando ao mesmotempo, a execução dos mesmos no momento de arranque do sis-tema.

• Change to runlevel

Permite efetuar a alteração do runlevel em que está a correr o sis-tema.

• Reiniciar o SistemaEfetua o reiniciar imediato do sistema.

• Encerrar SistemaEncerra imediatamente o sistema.

4.5 Log File Rotation

Clicando na opção “Log File Rotation”, surge uma lista de log files, semel-hante ao que foi abordado na seção 4.3, listando todos os ficheiros log que

60


registam diversos eventos que ocorrem no sistema. Esta página dedica-se à gestão das políticas de rotation ou manutenção dos logs, de modo aevitar que estes ficheiros possam ocupar demasiado do espaço disponívelpara armazenamento. A rotação de um log-file significa que o ficheiro serátruncado, movido para outro local e comprimido, deixando no seu lugar umnovo ficheiro vazio.

A seguinte figura apresenta parcialmente o formulário que permite a con-figuração das políticas de log-file rotation.

Figura 4.12: Opções de configuração de log-file rotation

Este formulário permite configurar a periodicidade com que será efetu-ado a rotação do ficheiro, o tamanho máximo permitido ao ficheiro logantes que seja rodado, quantidade de antigos ficheiros logs que devempermanecer guardados, a compressão ou não de antigos ficheiros entre

61


outras opções. No final o utilizador terá de clicar no botão “Guardar”, paraconfirmar as alterações efetuadas.

4.6 Processos em Curso

Clicando na opção “Processos em Curso”, o utilizador acede à seguintepágina, que exibe todos os processos a decorrer no sistema.

Figura 4.13: Processos em Curso

Esta seção está separada em seis separadores, nomeadamente, PID, Uti-lizador, Memória, CPU, Procurar, e Executar.

• PIDO primeiro separador PID, exibe todos os processos a decorrer nosistema, organizando os “processos filhos” com a respetiva inden-tação. Para todos os processos, é exibido o PID, proprietário, e ocomando. Ao clicar no link disponibilizado pelos PIDs o utilizadoracede a uma página que permite obter mais informações sobre osprocessos, e proceder à alteração do nível de prioridade ou terminá-lo diretamente.

62


• UtilizadorEste separador exibe todos os processos em execução, agrupando-os pelos respetivos utilizador-proprietário. Para cada utilizador, osprocessos são listados em ordem decrescente dua sua percentagemde utilização de CPU.

• MemóriaEste separador exibe todos os processos listados por ordem daquantidade de memória utilizada. Este modo de visualização podeser bastante útil para encontrar os comandos ou processos respon-sável por uma utilização excessiva de memória.

• CPUEste separador exibe todos os processos a decorrerem no sistema,listados por ordem decrescente da percentagem de utilização doCPU. Este modo de visualização de processos é útil para encon-trar processos responsáveis por uma utilização excessiva do pro-cessador.

• ProcurarEste separador disponibiliza um formulário de pesquisa que permiteencontrar rapidamente um determinado processo de acordo com oscritérios introduzidos.

• ExecutarEste separador disponibiliza um formulário que permite a execuçãomanual de um determinado comando no sistema.

4.7 Scheduled Commands

Clicando na opção “Scheduled Commands”, o utilizador acede à seguintepágina, que exibe um formulário que permite ao utilizador criar um novocomando agendado.

63


Figura 4.14: Scheduled Commands

Este formulário solicita a definição do utilizador associado ao comando,a data e hora em que deve ser executado, a localização, e por fim, o co-mando propriamente dito a ser executado. Existe também a possibilidadede ser enviado um e-mail após a execução do comando. No final, o uti-lizador deve clicar no botão “Criar”, para concluir o processo.

4.8 Disk and Network Filesystems

Clicando na opção “Disk and Network Filesystems” o utilizador acede auma seção que permite efetuar o mount de filesystems, enquanto apre-senta uma lista dos já existentes. A figura seguinte exemplifica esta seção.

64


Figura 4.15: Página de Disk and Network Filesystems

Tendo selecionado um tipo de file-system para efetuar o mount, ou cli-cando no link de qualquer um dos file-systems já montados, o utilizadoracede ao formulário de configuração do mount.

Este formulário solicita ao utilizador diversas opções, tal como o discoonde será montado o novo sistema de ficheiros, proteção contra escrita, edefinir o proprietário dos ficheiros. A seguinte figura exemplifica as opçõesassociadas ao mount de um novo sistema de ficheiros do Windows NTFS.

65


Figura 4.16: Mount de um filesystem do Windows NTFS

No final o utilizador deve clicar no botão "Criar"para concluir o processode mount.

4.9 System and Server Status

Clicando na opção “System and Server Status”, o utilizador acede a umapágina que apresenta o estado geral do sistema, sendo possível configu-rar algumas opções.

A figura seguinte exemplifica esta página.

66


Figura 4.17: Opções do Módulo Estado do Sistema e do Servidor

Como se pode observar na figura anterior, esta seção exibe uma listade sistemas que estão a ser monitorizados. Para configurar um serviçoadicional, o utilizador deve selecionar o respetivo serviço na caixa de se-leção, e clicar no botão “Add monitor of type”. Após esta operação seráapresentada uma página com as respetivas opções do monitor. A figuraseguinte exemplifica para a monitor do tipo “Remote Ping”.

67


Figura 4.18: Exemplo Criar Monitorização

Neste formulário, dependendo do serviço de monitorização que o uti-

68


lizador pretenda, serão apresentadas três secções de opções, descritasde seguida.

• Monitor detailsEste grupo de opções solicita ao utilizador, a descrição do serviço,o tipo de agendamento do serviço, o nível de tolerância em caso defalhas, entre outros.

• Commands to runEste grupo solicita ao utilizador a definição de comandos a executarcaso o serviço mude do estado ativo para inativo ou vice-versa.

• Monitored service optionsEste grupo de opções dependerá do tipo de serviço de monitoriza-ção que o utilizador pretende adicionar. Neste caso (remote ping) oformulário possibilita a definição do nome do anfitrião a verificar e otempo máximo de espera pela resposta do ping.

No final o utilizador terá de clicar no botão “Criar” para terminar o pro-cesso.

4.10 Tarefas Agendadas (Cron)

Clicando na opção “Tarefas Agendadas (Cron)”, o utilizador acede à seçãode gestão de tarefas agendadas, apresentando uma lista de comandosexistentes. As tarefas agendadas são listadas com a indicação do re-spetivo utilizador proprietário, o seu estado (ativo ou não), e o conjunto decomandos que são executados. A figura seguinte exemplifica esta página.

69


Figura 4.19: Tarefas Agendadas (Cron)

Para agendar uma nova tarefa, o utilizador terá de clicar no link “Criar novatarefa agendada”. Assim, o utilizador acede ao formulário de criação deuma tarefa agendada que se encontra dividido em duas seções.

• Detalhes da TarefaEste grupo de opções, exibido na figura seguinte, permite definiro utilizador proprietário da tarefa, o seu estado (ativo ou não), ocomando ou conjunto de comandos a serem executados, e a suadescrição.

Figura 4.20: Agendar nova tarefa - Detalhes da Tarefa

70


• A executar quandoEsta seção do formulário, apresentada na figura seguinte, permiteestabelecer a periodicidade da execução da tarefa.

Figura 4.21: Agendar nova tarefa - A executar quando

4.11 Utilizadores e Grupos

Clicando na opção "Utilizadores e Grupos", o utilizador acede à seção degestão de utilizadores do sistema Unix onde decorre o ETFW. A páginaapresenta dois separadores, o primeiro com uma lista de todos os uti-lizadores registados no sistema, e o segundo com uma lista de todos osgrupos. A figura seguinte exemplifica esta página.

71


Figura 4.22: Utilizadores e Grupos

Para cada utilizador registado, é exibido o seu Nome, o ID, o Grupo a quepertence, o Nome real, o Diretório inicial e Shell.

4.11.1 Criar Novo Utilizador

Clicando no link “criar um novo utilizador”, acede-se ao formulário quepermite a criação de um novo utilizador do sistema unix. As opções desteformulário estão dispostas em três grupos distintos que são descritos deseguida.

• Detalhes do UtilizadorEste grupo de opções permite definir o nome do utilizador, o ID,nome real, o diretório inicial, podendo ser automático ou especifi-cado, a respetiva Shell, e política de palavra-passe. A figura seguinteapresenta esta seção do formulário.

72


Figura 4.23: Criar Novo Utilizador - Detalhes do Utilizador

• Associação do GrupoEsta seção do formulário disponibiliza campos que permitem definiro grupo ao qual o utilizador irá associar-se. Poderá ser constituídoum novo grupo, ou selecionado um grupo existente. O utilizadorpoderá ser adicionado ainda a grupos secundários escolhendo osgrupos pretendidos a partir da lista “All groups”. A seguinte figuraapresenta esta opções.

Figura 4.24: Criar Novo Utilizador - Associação do Grupo

73


• Ao CriarPor fim, este grupo permite definir a criação de um diretório inicial,copiar ficheiros para esse diretório, e criar o utilizador para outrosmódulos. No final o utilizador terá de clicar no botão “Criar”, paraconcluir o processo. A figura seguinte apresente este conjunto deopções.

Figura 4.25: Criar Novo Utilizador - Ao Criar

4.11.2 Grupos Locais

Clicando no separador “Grupos Locais” da seção “Utilizadores e Grupos”,apresentado na figura 4.22, é exibido uma lista com todos os grupos ex-istentes no sistema Unix. Para criar um novo grupo, o utilizador deveclicar no link “Criar novo grupo”. Deste modo, acede-se ao formulário ap-resentado na figura seguinte. Este formulário apresenta um conjunto decampos que permitem definir o nome, ID, e política de password de umgrupo novo. É possível ainda atribuir utilizadores já existentes ao novogrupo na opção “Membros”. No final o utilizador tem de clicar no botão“Criar”, para concluir o processo.

74


Figura 4.26: Criar Novo Grupo

75

5 Hardware

Neste capítulo serão abordados os módulos organizados na categoria“Hardware”. Clicando na opção “Hardware”, no menu principal de web-min, é apresentado ao utilizador um conjunto de módulos que permitem aconfiguração de diversos aspetos de hardware necessários ao funciona-mento do ETFW. Os módulos da categoria “Hardware” estão apresenta-dos na figura seguinte.

Figura 5.1: Categoria de Módulos - Hardware

5.1 iSCSI Client

Clicando na opção iSCSI Client, o utilizador acede à página que per-mite configurar algumas opções referentes ao cliente iSCSI, um protocoloque permite aceder a dispositivos de memória através da rede. A figuraseguinte exibe as cinco seções deste módulo.

76

Capítulo 5. Hardware

Figura 5.2: iSCSI Client

Cada uma destas páginas é descrita nas seções seguintes.

5.1.1 Authentication Options

Clicando na opção “Authentication Options”, o utilizador acede à páginaapresenta na figura seguinte.

Figura 5.3: iSCSI Client - Opções de Autenticação

A página disponibiliza campos que permitem definir o username e re-spetiva password utilizada para ligações subsequentes.

77


5.1.2 iSCSI Timeouts

Clicando na opção iSCSI – Timeouts, o utilizador acede à página apre-sentada na figura seguinte, que disponibiliza um conjunto de opções refer-entes aos tempos de espera em determinados contextos de comunicação.

Figura 5.4: iSCSI Client - Timeouts

5.1.3 iSCSI Options

Nesta página é disponibilizado um formulário exibido na figura seguinte,com as opções que permitem estabelecer a ligação no momento de ar-ranque do sistema, número de tentativas para repetir a autenticação, casoesta falhe, e quantidade máxima de comandos em fila por sessão e dis-positivo.

Figura 5.5: iSCSI Client - Outras Opções

78


5.1.4 iSCSI Interfaces

Clicando na opção “iSCSI Interfaces”, o utilizador acede à página apre-sentada na figura seguinte.

Figura 5.6: iSCSI Client - Interfaces

Esta página exibe uma lista dos interfaces de rede disponíveis, permitindoao utilizador criar um novo. No formulário para adicionar um interfaceiSCSI, é solicitado o nome, tipo de transport, endereço de IP , MAC ad-dress, e interface.

5.1.5 iSCSI Connections

Clicando na opção iSCSI connections, o utilizador acede ao formulárioapresentado na figura seguinte, que permite adicionar uma nova ligação

79


iSCSI. O utilizador terá de indicar o hostname ou endereço IP, o port, einterface do servidor ISCSI.

Figura 5.7: iSCSI Client - Connections

5.2 Partições em Discos Locais

Clicando no módulo “Partições em Discos Locais”, o utilizador acede auma página que permite gerir as partições existentes em discos locais.No entanto, as partições que estejam atualmente em uso, não poderãoser modificadas, nem removidas. A figura seguinte exemplifica esta área.

Figura 5.8: Módulo - Partições em Discos Locais

80


Como se pode observar na figura anterior, são exibidos as partições ex-istentes, enquanto se disponibilizam três botões que permitem, respeti-vamente, Editar parâmetros IDE, visualizar status SMART, e limpar par-tições.

Clicando no link disponibilizado pelo próprio nome da partição, o utilizadoracede a uma página que permite visualizar detalhes da partição sele-cionada, e montar um novo sistema de ficheiros, formatando o seu con-teúdo.

5.3 Estado de Dispositivos SMART

Clicando na opção SMART Drive Status, o utilizador acede ao módulo quepermite a verificação do estado dos discos locais do sistema. Adicional-mente esta módulo permite a realização de testes aos discos, a fim deverificar a sua fiabilidade. A figura seguinte exemplifica esta seção.

Figura 5.9: Módulo Estado de Dispositivos SMART

81


5.4 Tempo do Sistema

Clicando na opção “Tempo do Sistema”, o utilizador acede ao móduloque permite configurar o relógio do sistema. Esta página encontra-seorganizada em três separadores, “Set Time”, “Change timezone”, e “Timeserver sync”. Estes separadores são descritos de seguida.

• Set TimeEste separador, exemplificado na figura seguinte, disponibiliza doisformulários que permitem acertar respetivamente a data e hora dosistema e do hardware.

Figura 5.10: Tempo do Sistema - Set Time

• Change timezoneEste separador permite selecionar o respetivo fuso horário do sis-tema.

82


• Time server syncEste separador permite configurar o sistema de modo sincronizarautomaticamente a data e hora com um servidor remoto. O for-mulário, apresentado na seguinte figura, solicita o hostname ou en-dereço IP do respetivo timeserver, e permite em que momentos ecom que periodicidade é efetuada a sincronização.

Figura 5.11: Tempo do Sistema - Sincronização

83

6 Servidores

Neste capítulo serão abordados diversos módulos agrupados na catego-ria “Servidores”, correspondentes a diversos tipos de servidores que in-tegram o ETFW. A figura seguinte exibe os módulos disponíveis nestacategoria que serão descritos ao longo deste capítulo.

Figura 6.1: Página de categoria Servidores

6.1 OpenVPN

Clicando no link OpenVPN, o utilizador acede à página de configuraçãodo respetivo servidor. A página inicial deste módulo é apresentada nafigura seguinte.

84

Capítulo 6. Servidores

Figura 6.2: Módulo OpenVPN - Página Inicial

Como se pode observar na figura anterior, existem duas opções princi-pais, “Configuração Servidor”, e “Configuração Clientes”. Estas páginassão descritas nas seções seguintes.

6.1.1 Configuração de Servidor

Clicando na opção “Configuração Servidor” o utilizador acede ao formulárioexibido na figura seguinte.

Figura 6.3: OpenVPN - Configuração de Servidor

85


Este formulário solicita ao utilizador a definição de configurações globaisdo servidor OpenVPN, como por exemplo, a porta de comunicação, o pro-tocolo, endereço de servidor, e o número máximo de clientes permitidos.A segunda seção do formulário permite a seleção de um ficheiro paracertificado do servidor.

É assumido a existência pré-definida na diretoria de configuração do Open-VPN, dos ficheiros com o certificado da CA e dos parâmetros Diffie Hell-man:

/etc/openvpn/certs/dh1024.pem

/etc/openvpn/certs/ca.crt

Caso o certificado da CA estiver presente, é apresentado na configuraçãodo servidor tal como na seguinte figura.

Figura 6.4: OpenVPN - Configuração de Certificado CA

Para proceder à definição do certificado do servidor, pode ser selecionadoou carregado um ficheiro em formato PEM ou PKCS12. No primeiro caso,será necessário adicionar ao ficheiro o conteúdo da chave do servidor doseguinte modo:

-----BEGIN CERTIFICATE-----

86


...

-----END CERTIFICATE-----

-----BEGIN RSA PRIVATE KEY-----

...

-----END RSA PRIVATE KEY-----

Figura 6.5: OpenVPN - Configuração do Certificado Servidor

No final, o utilizador deve definir o endereço e máscara de rede do servi-dor, para que a configuração do servidor esteja correta.

Alternativamente, é possível, através da Edição Manual dos certificados,definir outros parâmetros que o formulário webmin por si só, não suporta.Clicando no botão “Edição Manual”, o utilizador acede à página apresen-tada na figura seguinte.

87


Figura 6.6: OpenVPN - Configuração via Edição Manual

Iniciar Servidor

Para iniciar o serviço OpenVPN, o utilizador deve aceder à página deconfiguração principal (ver figura 6.2) e clicar no botão “Iniciar Servidor”.Caso a chave do servidor necessite de password esta deverá ser definidano campo adjacente ao botão. Neste local, e após o iniciar do servidor,disponibilizar-se-á um botão que permite a reinicialização do serviço.

88


6.1.2 Configuração Clientes

Clicando na opção “Configuração Clientes”, na página inicial do móduloConfiguração OpenVPN, o utilizador acede à seguinte seção que permitea configuração associada a cada cliente que acede ao servidor ou, glob-almente, a todos os clientes.

Figura 6.7: Configuração OpenVPN: Configuração de Clientes

Entre as opções globais é possível a configuração dos endereços de DNSe WINS a serem atribuídos aos clientes que estabeleçam ligação e/oudefinir rotas de encaminhamento. A opção "Configuração cliente obri-gatória", permite restringir a conexão de clientes apenas aos que tenhama respetiva configuração definida do lado do servidor.

Alternativamente poderão ser definidas opções específicas para cada cliente.Certificando que na opção “Autenticação cliente por username/password”esteja selecionada opção “Não”, o utilizador pode de seguida clicar no link“Novo Cliente”, para aceder à seguinte página.

89


Figura 6.8: Configuração OpenVPN: Novo Cliente

O formulário apresentado na figura anterior, solicita ao utilizador o nomedo cliente, endereço de IP local e/ou remoto, o endereço DNS e WINS, eas rotas de encaminhamento. No final desta página existem dois botõesque permitem a requisição e recuperação do certificado digital.

6.1.2.1 Autenticação Login/Password

No caso da opção “Autenticação cliente por username/password”, estarselecionado “Sim”, poderá ser definido a autenticação de utilizador porpassword. No fundo da página será apresentada a opção “Contas uti-lizadores”, tal como é exibido na figura seguinte.

90


Figura 6.9: Configuração OpenVPN: Configuração clientes com autenti-cação por password

Clicando nesta opção o utilizador acede à lista de utilizadores com auten-ticação de password. Para configurar um novo cliente por este método,o utilizador terá de clicar no botão “Criar novo”, acedendo ao formulárioseguinte.

Figura 6.10: Configuração OpenVPN: Novo cliente com autenticação porpassword

Neste formulário deve ser definido o nome do cliente e servidor, a re-spetiva palavra-chave e endereço IP. No final o utilizador deve clicar nobotão “Criar”, para concluir o processo.

91


6.1.3 Instalação de Cliente

Nesta seção será abordado o método de instalação da aplicação clientepara sistema operativo Linux e Windows.

6.1.3.1 Linux

Em sistemas operativos Linux, o utilizador deve instalar o pacote DEBou RPM de acordo com a distribuição específica e reiniciar o gestor dejanelas, exemplificado pelos seguintes comandos.

Instalação do pacote DEB ou RPM para gnome:

sudo dpkg -i gnome-client-openvpn.deb

sudo rpm -ihv gnome-client-openvpn-0.1-1.noarch.rpm

Reiniciar o gestor de janelas:

/etc/init.d/gdm start

Deste modo, o utilizador poderá ligar-se à VPN a partir do respetivo widgetde rede:

Figura 6.11: Configuração OpenVPN: Conexões

Instalação do pacote DEB ou RPM conforme para KDE:

92


sudo dpkg -i kde-client-openvpn.deb

sudo rpm -ihv kde-client-openvpn-0.1-1.noarch.rpm

Iniciar o kvpnc para efectuar a ligação:

/usr/bin/kvpnc

Instalação do pacote DEB ou RPM para texto (CLI):

sudo dpkg -i text-client-openvpn.deb

sudo rpm -ihv text-client-openvpn-0.1-1.noarch.rpm

Activação da ligação com o seguinte script:

/etc/init.d/openvpnclient start

6.1.3.2 Windows

Para instalar o cliente OpenVPN num sistema operativo Windows, o uti-lizador deve correr o programa de instalação openvpn-x.x.x-install.exe eseguir passos exemplificados nas seguintes figuras.

93


Figura 6.12: Cliente Windows para OpenVPN: Wizard passo 1


94




95


Figura 6.16: Cliente Windows para OpenVPN: Wizzard passo 5

Concluído o processo de instalação, será necessário colocar os ficheiroscom o certificado do cliente na pasta “C:/Programas/OpenVPN/config”, talcomo apresentado na seguinte figura.

96


Figura 6.17: Cliente Windows para OpenVPN: Colocação de Certificados

Após a instalação do cliente e a colocação dos certificados, será necessárioarrancar com a aplicação gráfica para efetuar a conexão. A aplicaçãopoderá ser encontrada através do atalho apresentado na figura seguinte.

97


Figura 6.18: Cliente Windows para OpenVPN: Inicialização

Clicando no atalho para o “OpenVPN GUI”, o utilizador inicia a aplicaçãocliente que fará surgir o respetivo ícone na área de notificação no cantoinferior direito do ambiente de trabalho. Fazendo clique de direita sobreo ícone, surge um painel de opções no qual o utilizador deve clicar em“Connect”, tal como indicado na seguinte figura.

98


Figura 6.19: Cliente Windows para OpenVPN: Conexão

De seguida o utilizador deve indicar o respetivo password de autenticação.

Figura 6.20: Cliente Windows para OpenVPN: Password

99


Caso a palavra-passe esteja correta, o processo de ligação conclui de-vendo surgir a seguinte mensagem na área de notificação.

Figura 6.21: Cliente Windows para OpenVPN: Final

6.2 Configuração Pound

Clicando na opção “Configuração Pound”, o utilizador acede à seção deconfiguração do módulo Pound. O Pound é um programa de reverseproxy, load balancer e front-end HTTPs para servidores Web. A seçãode configuração do pound está organizada em três separadores, "Global","Listeners", e "Serviços", que serão abordados de seguida.

6.2.1 Global

Com o separador “Global” selecionado o utilizador acede ao formulárioapresentado na figura seguinte.

100


Figura 6.22: Configuração Pound: Separador Global

Neste separador é possível definir os parâmetros globais de configuraçãoPound, nomeadamente:

• User - utilizador de sistema com que corre o processo.

• Group - grupo com que corre o processo.

• RootJail - diretoria usada para chroot.

• Daemon – quando ativado permite correr processo como daemon.

• LogFacility - parâmetro para especificar uma das syslog facilities.

• LogLevel - nível de verbosidade do log ( 0 - desativo, 1 - 5).

101


• DynScale - parâmetro que ativa o dynamic rescaling, ou seja, oPound verifica e modifica periodicamente as prioridades dos Back-Ends de forma a igualar os tempos de resposta dos vários Back-Ends.

• Alive – periodicidade (em segundos) com que é efetuada a verifi-cação de atividade dos Back-Ends.

• Client - tempo de espera de um pedido do cliente.

• TimeOut - tempo de resposta do Back-End (em segundos) esper-ado.

• Grace - tempo (em segundos) em que são mantidas as conexõesapós ter recebido um sinal INT ou HUP.

• SSLEngine - hardware de aceleração para OpenSSL.

• Control - caminho para socket de controlo a ser usado pelo poundctl.

6.2.2 Listeners

Ao clicar no separador “Listeners” o utilizador acede à seção apresentadana figura seguinte, que exibe as diretivas existentes para pedidos HTTPou HTTPS a serem resolvidos pelo Pound.

102


Figura 6.23: Configuração Pound: editar Listeners

Para criar um novo “Listener”, para pedidos HTTP ou HTTPS o utilizadordeve clicar na respetiva ligação “Novo HTTP” ou “Novo HTTPS”. Estesprocessos serão analisados de seguida.

6.2.2.1 Novo Listener HTTP

Clicando na ligação “Novo HTTP” o utilizador acede ao formulário apre-sentado na figura seguinte.

103


Figura 6.24: Configuração Pound: editar Listener HTTP

Este formulário permite criar um novo "Listener HTTP”, sendo tambémutilizado para editar um "Listener” existente. Os campos disponíveis sãoabordados de seguida.

• Address: endereço IP.

• Port : porta.

• HeadRemove: remoção de diretivas do Header de pedidos do cliente.

• AddHeader : adiciona diretivas ao Header para serem passadas aoservidor de Back-End.

• xHTTP: Permite selecionar o tipo de pedidos a abranger entre aseguinte lista.

– HTTP para pedidos HTTP (GET, POST, HEAD).

– xHTTP para pedidos HTTP extendidos (PUT, DELETE).

– WebDav para pedidos WebDav (LOCK, UNLOCK, PROPFIND,PROPPATCH, SEARCH, MKCOL, MOVE, COPY, OPTIONS, TRACE,MKACTIVITY, CHECKOUT, MERGE, REPORT).

104


– MSWebDav para pedidos da extensão MS Webdav (SUBSCRIBE,BPROPPATCH, POLL, BMOVE, BCOPY, BDELETE, CONNECT).

– MSRPC para pedidos MS RPC (RPC_IN_DATA, RPC_OUT_DATA).

• Client : parâmetro que se sobrepõe ao parâmetro global.

• CheckURL: padrão de verificação de cada pedido enviado.

• MaxRequest : tamanho máximo do pedido.

• RewriteDestination: altera Destination no Header do pedido para serenvidado para o servidor de Back-End.

• RewriteLocation: permite ativar a alteração da Location e Content-location do Header da resposta.

• LogLevel : nível de verbosidade do log.

• outros: ficheiros de erros para Err414, Err500, Err501, Err503.

6.2.2.2 Novo Listener HTTPS

Clicando na ligação “Novo HTTPS” o utilizador acede ao formulário apre-sentado na figura seguinte.

105


Figura 6.25: Configuração Pound: editar Listener HTTPS

Alguns dos campos disponíveis neste formulário estão contidos tambémno formulário de criação de “Listener HTTP”. Os parâmetros específicospara HTTPS são listados de seguida.

• Cert - ficheiro do certificado do servidor.

• ClientCert - verificação do certificado do cliente e respetiva profun-didade:

– 0 - não solicita certificado;

– 1 - solicita e verifica certificado;

– 2 - solicita e falha no caso de não estar presente;

– 3 - solicita mas não verifica.

• Ciphers - cifras aceites para conexões SSL. O parâmetro deve ser noformato OpenSSL (OpenSSL ciphers e SSL_CTX_set_cipher_list).

106


• CAlist - ficheiro do certificado da CA.

• VerifyList - ficheiro com os certificados da CA de raiz.

• CRLlist - ficheiro com a CRL (Certificate Revocation List).

• NoHTTPS11 - opção para comportamento como servidor HTTP/1.0para pedidos HTTPS de clientes, sendo possível selecionar um entretrês estados:

– Disable - desativa o comportamento;

– Any - ativa o comportamento para qualquer tipo de cliente;

– IE_Only - ativa comportamento para clientes MS IE apenas.

Ao editar um Listener já existente o utilizador tem a possibilidade deconfigurar serviços a serem tratados pelo Listener. A definição destesserviços seguem o mesmo processo que será abordado da seguida parao separador “Serviços”.

6.2.2.3 Serviços

Clicando no separador “Serviços”, o utilizador acede à página apresen-tada na figura seguinte, listando os serviços já configurados.

107


Figura 6.26: Configuração Pound: Separador Serviços

Nesta seção é possível criar diversos serviços a serem executados ou edi-tar os já existentes. Clicando na ligação “Novo Serviço”, o utilizador acedeao formulário apresentado na figura seguinte, que permite configurar umnovo serviço.

Figura 6.27: Configuração Pound: Editar Serviços

Os campos disponibilizados neste formulário são as seguintes.

108


• URL - padrão de URL para filtragem dos pedidos.

• Redirect - parâmetro para definir um redireccionamento com umcódigo e url.

• HeadRequire - padrão de uma ou mais diretivas do Header do pe-dido.

• HeadDeny - padrão de rejeição de pedidos com uma das diretivasno Header.

• DynScale - parâmetro que se sobrepõe à opção global.

Para cada serviço é necessário definir os servidores de Back-End e op-cionalmente o servidor de emergência e adicionalmente uma diretiva paraa sessão.

Back-End

Clicando na ligação “Back-End” o utilizador acede ao seguinte formulário.

Figura 6.28: Configuração de Serviço - Back-End

Para o servidor de Back-End, podemos especificar os seguintes parâmet-ros:

• Address – endereço.

• Port – porta.

109


• Priority - prioridade do back-end de 1-9 (por omissão o valor é 5).

• TimeOut - valor de timeout (sobrepõe-se ao valor global).

• HAPort - porta (e adicionalmente endereço) para verificar se o servi-dor se encontra ativo. Caso contrário a verificação será feita atravésda mesma porta do back-end.

Back-End EmergênciaClicando na ligação “Back-End”, o utilizador acede a um formulário deconfiguração que solicita apenas o respetivo endereço e porta.

Nova Sessão

Clicando na ligação “Nova Sessão”, o utilizador acede a um formulárioque solicita os seguintes parâmetros de configuração.

• Type - tipo de sessão, sendo possível selecionar um entre os seguintestipos: IP - endereço do cliente, BASIC - autenticação básica, URL -parâmetro no url, PARM - parâmetro no uri, COOKIE - determinadocookie, ou HEADER - determinada diretiva no Header do pedido.

• TTL - ttl em segundos de validade da sessão.

• ID - identificador da sessão.

Nota: As sessões permitem que os pedidos de determinada sessão se-jam enviadas para o mesmo servidor de Back-End.

6.3 DansGuardian - Filtragem de ConteúdoWeb

O DansGuardian é o módulo responsável pelo controlo e filtragem de con-teúdo web. O Dansguardian pode ser configurado através do interfacedo webmin ou então por edição direita dos respetivos ficheiros. Os doismétodos serão abordados nesta seção, sendo que a edição manual dosficheiros é descrita na seção 6.3.2.

110


6.3.1 Configuração via Webmin

Clicando na opção do módulo “DansGuardian”, o utilizador acede à áreade gestão do DansGuardian. Tal como indicado na figura seguinte, estaseção disponibiliza 12 seções que permitem configurar diversos aspetosdo módulo. Estas opções serão abordadas ao longo desta seção.

Figura 6.29: Página de Gestão do DansGuardian

6.3.1.1 Display Status

Clicando na opção “Display Status of Server”, o utilizador acede a umapágina que exibe alguns dados sobre o estado atual do servidor Dans-Guardian listando os PIDs dos respetivos processos e processos-filhos. Aimagem seguinte exemplifica esta página.

111


Figura 6.30: DansGuardian - Estado do servidor.

6.3.1.2 Analyze Logfiles

Clicando na opção “Analyze Logfiles” o utilizador acede à página apresen-tada parcialmente na figura seguinte, que disponibiliza um formulário depesquisa.

112


Figura 6.31: DansGuardian - Análise de Logfiles.

Este formulário de pesquisa permite gerar um relatório a partir dos regis-tos acumulados nos logfiles, sendo uma ferramenta útil de monitorização eresolução de problemas. O utilizador dispõe de um conjunto considerávelde parâmetros de pesquisa, como por exemplo, o intervalo de tempo, en-dereço de IP de cliente, nome de utilizador ou domínio, ou razão/açãoque desencadeou o registo. No final o utilizador deve clicar no botão “RunRepor” para criar o relatório.

6.3.1.3 Search for Phrase Words (or Domain or URL)

Clicando na opção “Search for Phrase Words”, o utilizador acede ao for-mulário apresentado na figura seguinte.

113


Figura 6.32: DansGuardian - Pesquisa

O formulário permite efetuar uma pesquisa aos ficheiros da diretoria "/etc/dansguardian/lists"que correspondem às listas de frases, palavras, domínios,e IPs banidos pelo DansGuardian. O formulário disponibiliza diversas for-mas de interpretar o texto introduzido no campo de pesquisa, sendo aopção por defeito o “auto-detect”.

6.3.1.4 System-Wide Base Config

Clicando na opção “System-Wide Base Config”, o utilizador acede à páginaprincipal de configuração do DansGuardian. A página está organizadaem oito separadores que serão abordados nesta seção. A página tam-bém disponibiliza uma caixa drop-down que lista um conjunto de diversasopções de configuração. Ao selecionar uma determinada opção, o uti-lizador será redirecionado para o separador onde tal opção se encontra.A página oferece ainda a possibilide de reverter para uma versão de con-figuração anterior, caso estas tenham sido previamente criadas, clicandono respetivo link no fundo da página. Os oito separadores que serão abor-dados de seguida são apresentados na figura seguinte.

Figura 6.33: DansGuardian - Separadores da Página de Configuração

114


• NetworkO separador Network exibe um conjunto de opções relativamenteà rede. Como se pode observar na seguinte figura, o formuláriode opções solicita o endereço de IP e porta a serem escutadospelo DansGuardian, para além da porta, e IP da proxy, entre out-ras opções.

Figura 6.34: DansGuardian - Separador Network

No final o utilizador pode confirmar as alterações efetuadas clicandono botão “Update”, como alias acontece em todos os restantes sep-aradores.

• ProcessO separador “Process”, exibe um conjunto de opções relativamente

115


à gestão de processos do DansGuardian. A imagem seguinte apre-senta parcialmente este formulário de opções.

Figura 6.35: DansGuardian - Separador Process

Algumas das opções disponíveis neste formulário permitem, por ex-emplo, configurar o número máximo e mínimo de processos filhos, elocalização dos ficheiros IPC.

• LoggingO separador “Logging Settings”, disponibiliza um conjunto de opçõesrelativamente aos logfiles do DansGuardian. A seguinte figura exibeparcialmente este separador.

116


Figura 6.36: DansGuardian - Separador Logging

O separador disponibiliza opções de configuração de logfiles, comopor exemplo, a ativação/desativação do logging, localização de di-versos tipos de logfiles (log, estatísticas), e nível de verbosidade eformato dos ficheiros.

• ReportingO separador “Reporting”, apresentado na figura seguinte, exibe umconjunto de opções relativamente à produção relatórios mediantesituações em que o DansGuardian nega o acesso numa ação doutilizador.

117


Figura 6.37: DansGuardian - Separador Reporting

O separador permite alterar as opções do conteúdo do relatório deacordo com as seguintes opções:

– log only – Não produz relatório registando o evento apenas nologfile;

– just say ’Access Denied’ - Informa apenas que o acesso foineegado.

– why blocked but not phrase - Informa que o acesso foi negadoe a razão que provocou a exceção, sem exibir no entanto a fraseque provocou o bloqueio.

– report fully - Apresenta relatorio completo.

– use HTML template file – Apresenta relatorio de acordo como template HTML em ficheiro. Existe uma opção mais abaixo,que permite determinar a localização do ficheiro HTML utilizadocomo template para o relatório.

• Content FilterO separador “Content Filter Settings”, disponibiliza um conjunto deopções que permitem configurar algumas opções relativamente àfiltragem de conteúdos. A figura seguinte apresenta o respetivo for-mulário.

118


Figura 6.38: DansGuardian - Separador Content Filter

O formulário permite configurar, por exemplo, qual a imagem uti-lizada para conteúdo bloqueado, o tamanho máximo da RAM e Filecache scan, a diretoria da file cache, e o tempo máximo para o scan-ner do conteúdo.

• Filter PhrasesEste separador exibe um conjunto de opções referentes à filtragemde frases. O formulário permite configurar, por exemplo, o “weightedphrase mode”, a ativação de limpeza da cache após o scan, o tamanhomáximo do filtro de conteúdo, e o modo do filtro de frases. A figuraseguinte apresenta o separador.

119


Figura 6.39: DansGuardian - Separador Filter Phrases

• Up/Down LoadO separador “Up/Down Load Settings”, permite configurar quatroopções referentes à efetuação de uploads e downloads. A figuraseguinte apresenta estas opções.

120


Figura 6.40: DansGuardian - Separador Up/Down Load

Permite estabelecer uma proteção no carregamento de ficheiros emformulários, ativar a limpeza de listas temporárias de ficheiros descar-regados, e configurar a tolerância em tempo de espera do browserno momento em que se aguarda pelo download de um ficheiro.

• PluginsO separador “Plugins Settings”, disponibiliza um conjunto de opçõesque permitem configurar a utilização de diversos tipos de plugins,como por exemplo, plugins de autenticação de utilizadores, útil paraquando existem vários grupos de filtro, download managers, ou con-tent scanners. A figura seguinte apresenta este formulário.

121


Figura 6.41: DansGuardian - Separador Plugins

6.3.1.5 System-Wide Base Plugin Configs

Clicando na opção “View/Edit System-Wide Base Plugin Configs”, o uti-lizador acede à página apresentada na figura seguinte, que disponibilizauma lista de ficheiros que poderão ser editados manualmente.

122


Figura 6.42: DansGuardian - Editar Configuração de Plugins

Clicando em cada um dos ficheiros, o utilizador acede dessa forma à re-spetiva edição manual dos mesmos. A página é acompanhada por umaadvertência que informa o utilizador que a natureza dos ficheiros listadosraramente necessita de alterações.

6.3.1.6 View/Edit System-Wide Lists

Clicando na opção “View/Edit System-Wide Lists”, o utilizador acede auma lista de ficheiros que permitem efetuar a configuração manual deendereços IP que serão bloqueados (Banned IP List), ou isentos de fil-tragem. A edição destes ficheiros será abordada com mais pormenor naseção 6.3.2.

6.3.1.7 System-Wide Message (Translations)

Clicando na opção “View/Edit System-Wide Messages (Translations)”, outilizador acede à página que permite configurar e editar manualmente atradução de mensagens do DansGuardian para português.

123


6.3.1.8 Filter Group Assignments

Clicando na opção “View/Edit Filter Group Assignments”, o utilizador àpágina de gestão de tarefas de grupo de filtro do DansGuardian. A páginapermite aceder às tarefas organizadas por username ou por endereço deIP. A utilização desta seção pressupõe a ativação dos authplugins apro-priados.

6.3.1.9 A Filter Group’s Base Config

Clicando na opção “View/Edit A Filter Group’s Base Config”, o utilizadoracede ao formulário apresentado na figura seguinte, relativamente a opçõesde configuração do grupo base de filtro.

Figura 6.43: DansGuardian - Configuração de Grupo de Filtro

O formulário possibilita a configuração de um grupo de filtro, solicitandoopções como por exemplo, o nome, o modo de filtragem (tudo banido,acesso web com filtro, e sem filtro), ativar o bloqueio de downloads, limitede naughtyness (indecência ou maldade em português), ativar o bloqueiode imagens, e modo de relatório.

124


6.3.1.10 A Filter Group’s Lists

Clicando na opção “View/Edit A Filter Group’s Lists”, o utilizador acede auma lista de ficheiros que correspondem aos diversos tipos de elementosa serem filtrados, bloqueados, ou permitidos. Os ficheiros podem ser edi-tados manualmente, conceito abordado com mais detalhe na seção 6.3.2.

6.3.1.11 Set Up Lists and Configs For Multiple Filter Groups

Clicando na opção “Set Up Lists and Configs For Multiple Filter Groups”,significando em português, “definir listas e configurações para múltiplosgrupos de filtro”, o utilizador acede a uma página que permite precisa-mente a definição do funcionamento do DansGuardian para múltiplos gru-pos de filtro. O processo está organizado em três passos da seguinteforma.

• Selecionar EsquemaNo primeiro passo o utilizador deve selecionar o esquema globalentre três opções possíveis:

– nested - Cada ficheiro afeta não apenas o próprio grupo de fil-tro, mas também todos os grupos de filtros colocados em níveishierárquicos superiores e inferiores. Neste caso os bloqueiossão perpetuados para os níveis inferiores e as exceções sãoperpetuadas para níveis superiores.

– separate - Cada grupo de filtro terá um conjunto completa-mente independente de listas.

– common - Cada grupo de filtro terá o seu conjunto de listas,no entanto, cada um referenciará uma lista que será comum atodos os grupos de filtro.

As opções Step 1b, e Step 1c, permitem ativar, respetivamente, obloqueio de acesso à web para o default group, e reservar acessototal à web para o grupo de nível mais elevado. A figura seguinteexibe este passo e as respetivas opções.

125


Figura 6.44: Listas e Conf. para Grupos de Filtro - 2o Passo

• Selecionar Grupos de FiltroNo segundo passo, o utilizador deve indicar o número de grupos defiltro, e os respetivos nomes. O formulário é apresentado na figuraseguinte.


126


• Selecionar Listas Partilhadas vs IndividuaisNo terceiro e último passo, o utilizador deve organizar duas colunascorrespondentes às listas de filtros partilhadas, à esquerda, e indi-viduais, à direita. Os filtros colocados na coluna esquerda serão par-tilhadas por todos os grupos enquanto os filtros colocados na colunadireita serão considerados individuais. A figura seguinte apresentaeste passo.


No final, o utilizador deverá clicar no botão “Proceed” e aguardar a cri-ação dos respetivos grupos de filtros solicitados. O processo poderá levaralguns minutos até ser concluído.

6.3.2 Configuração de Ficheiros

O DansGuardian, enquanto servidor de filtragem de conteúdo tem a suaconfiguração distribuída por diversos ficheiros na diretoria: /etc/dansguardian,pelo que futuras referências ao longo desta seção, referir-se-ão a esta lo-calização.

127


6.3.2.1 dansguardian.conf

O principal ficheiro de configuração do DansGuardian é o dansguardian.conf(correspondendo à seção do webmin visto no capítulo 6.3.1), contendoas características principais de funcionamento, nomeadamente, as portaspelas quais serão escutados os pedidos, de modo a serem reencamin-hados pelo servidor, e os ficheiros que especificam as regras de filtragem.É possível definir ainda qual o número máximo e mínimo de processos defiltragem, utilizando as diretivas maxchildren, minchildren, minsparechil-dren, maxsparechildren e maxagechildren tal como estão comentadas noficheiro em questão.

De seguida descrevem-se alguns parâmetros de configuração disponíveisneste ficheiro.

Reporting LevelPermite modificar o nível de verbosidade gerada em relatório quandoocorre o bloqueio de uma página ou ação. Poderá informar apenasque o acesso foi negado, i.e., Access Denied, exibir a razão conc-reta, ou ainda incluir qual a frase concreta que motivou o bloqueio.

Logging SettingsPermite configurar o nível de logging.

Log File FormatPermite mudar o formato dos log files, i.e., a forma como o Dans-Guardian guarda os logs.

Network SettingsPermite modificar a porta pela qual o DansGuardian estará à escutade pedidos, o endereço IP do servidor que disponibiliza o Squid (vercapítulo 6.7), bem como a respetiva porta. Permite ainda, configurara página que irá ser exibida quando ocorre a negação de acesso auma página.

Content Filtering SettingsPermite alterar o local onde se encontram os ficheiros com conteú-dos filtrados.

Naughtyness limitEsta diretiva permite definir o limite de maldade ou indecência, a

128


partir do qual um conteúdo será bloqueado. Cada palavra ou con-junto de palavras poderá ter um peso positivo (quanto maior o pesomais ofensivo será considerado pelo DansGuardian) ou negativo.O ficheiro weightedphraselist contém alguns exemplos da utilizaçãodestes valores, atribuindo um limite até 50 para crianças, 100 parajovens e 160 para adultos.

Show weighted phrases foundCaso esteja ativado, as palavras ou frases encontradas que levama que a pontuação exceda o limite permitido, serão registadas e,reportadas, caso o reporting level o permita.

6.3.2.2 Outros Ficheiros

De seguida são apresentados outros ficheiros de configuração do Dans-Guardian com uma descrição das suas respetivas finalidades.

exceptionsitelistEste ficheiro contém uma lista de domínios para os quais o Dans-Guardian não irá efetuar a filtragem de conteúdo. De notar queao editar o ficheiro não devem ser colocados os habituais prefixos“http://” ou “www” no início de cada entrada.

exceptioniplistContém uma lista de endereços IP cujos conteúdos não serão filtra-dos. Esta opção é geralmente aplicada em casos, por exemplo, doIP de um administrador. É de notar que este ficheiro apenas temrelevância no caso de o Dansguardian receber diretamente os pedi-dos dos browsers, ou caso o proxy anterior envie o X-ForwardFor.

exceptionuserlistEste ficheiro permite gerar uma lista de utilizadores que não seraovisados pela filtragem do DansGuard, sendo que apenas tem efeitocom autenticação básica ou ident).

exceptionphraselistSe alguma das palavras contidas neste ficheiro aparecer no con-teúdo de uma página, a filtragem será desativada para o dito con-teúdo. Deste modo, será aconselhável algum cuidado ao adicionar

129


entradas novas neste ficheiro. Uma solução alternativa e mais se-gura, poderá passar pela colocação de um valor negativo a determi-nados termos no ficheiro weightedphraselist.

exceptionurllistO conteúdo proveniente dos URL’s colocados neste ficheiro, nãoserão alvos de filtragem.

bannediplistNeste ficheiro deve ser colocados endereços IP de clientes, cujoacesso Web será negado. O ficheiro aceita apenas enderços IP, enão hostnames.

bannedphraselistOs conteúdos a negar na filtragem podem ser modificados no ficheirobannedphraselist. Este ficheiro já inclui alguns tipos de palavrasvisadas, como se pode observar pelo extrato:

.Include</etc/dansguardian/phraselists/pornography/banned>

.Include</etc/dansguardian/phraselists/illegaldrugs/banned>

.Include</etc/dansguardian/phraselists/gambling/banned>

banneduserlistEste ficheiro conterá nomes de utilizadores a quem, caso a autenti-cação básica esteja ativada, será negado o acesso ao exterior. Fun-cionalidades referentes a endereços de IP de origem, e utilizadores,apenas surtem efeitos quando o DansGuardian assume a função deproxy de entrada como alternativa ao Squid.

bannedmimetypelistEste ficheiro contém uma lista de MIME-types banidos. Caso umpedido a um URL devolver um MIME-type que se encontre nestalista, este será bloqueado pelo DansGuardian. O ficheiro permite,por exemplo, bloquear filmes, ficheiros de música, entre outros. Nãoserá aconselhável banir os MIME-types text/html ou image/*.

bannedextensionlistEste ficheiro contém uma lista de extensões de ficheiros banidos.Caso um URL termine com uma extensão contida nesta lista, o re-spetivo pedido será bloqueado pelo DansGuardian.

130


bannedregexpurllistEste ficheiro permite banir determinados endereços de IP com baseem expressões regulares.

6.3.3 Iniciar/Reiniciar/Desligar o DansGuardian

O DansGuardian poderá ser iniciado ou desligado através do interfacedo webmin, ou via linha de comando. Por linha de comando o utilizadorpoderá utilizar as seguintes instruções para efetuar as respetivas oper-ações:

• Iniciar

/etc/init.d/dansguardian start

• Desligar

/etc/init.d/dansguardian stop

• Reiniciar

/etc/init.d/dansguardian restart

Para que o serviço se inicie correctamente é necessário que o proxy desaída esteja a funcionar.

Todas estas alterações podem ser realizadas no frontend da ETFW, oWebmin. Em qualquer página de gestão do Webmin, estará disponívela ligação que permite iniciar o servidor DansGuardian. A figura seguinteexibe a ligação Start DG.

Figura 6.47: DansGuardian - Iniciar Servidor

Após a inicialização do servidor DansGuardian, tornam-se disponíveis asopções "Reload DG Groups", "Stop DG", e "Stop-and-Restart DG".

131


Figura 6.48: DansGuardian - Opções Após a Inicialização do Servidor

A opção “Stop DG”, encerra o servidor DansGuardian, a opção “Stop-and-Restart DG”, reinicia o servidor, e por fim a opção “Reload DG Groups”,efetua um recarregamento dos grupos de filtros, caso tenha havido al-guma atualização das respetivas configurações.

6.4 DNS Cache Configuration

Clicando na opção “ET DNScache Configuration”, o utilizador acede àseguinte página de gestão de configuração do DNS cache.

Figura 6.49: Página de Gestão do DansGuardian

132


O formulário apresenta na figura anterior, permite a seleção dos interfacesde escuta para o DNS cache. Permite também a definição de novas “DNSzones”, clicando no botão “Create New”, na seção apropriada. Nessecaso, o utilizador acede a um formulário que solicita a identificação da“zone” e dos respetivos “DNS servers”.

6.5 Postfix Mail Server

Clicando na opção “Postfix Mail Server”, o utilizador acede à seguintepágina de gestão do respetivo módulo.

Figura 6.50: Página de Gestão do Postfix Mail Server

O postfix, sendo um agente de transferência de e-mails, apresenta nasua página principal, 22 opções que correspondem a diversos aspetos

133


configuráveis. Estas opções serão abordadas no decorrer desta seção.

6.5.1 Opções Gerais

Clicando na opção “General Options”, o utilizador acede ao conjunto deopções gerais do Postfix mail server. As imagems seguintes exibem par-cialmente esta página, mostrando que as opções estão organizadas emdois grupos: “Most Useful General options”, e “Other General Options”.De seguida serão descritos estas opções.

Para o grupo de opções "Most Useful General options", temos as seeguintesopções.

Figura 6.51: Postfix Mail Server - Opções Gerais Mais Úteis

• What domain to use in outbound mail - Permite especificar o domínioou nome de anfitrião a utilizar para o envio de e-mails.

• What domains to receive mail for - Permite definir quais os domínios

• What trouble to report to the postmaster - Permite especificar ostipos de situações de erro que devem ser reportadas ao admin-istrador. O utilizador poderá selecionar várias entre as seguintesopções:

– bounce - Enviar cópia de e-mails não entregues;

– 2bounce - Enviar e-mails não entregues duas vezes;

– delay - Informar o administrador acerca de e-mails com atrasos;

134


– policy - Informar o administrador de pedidods rejeitados;

– protocol - Informar o administrador de erros de protocolo outentativas sem sucessos de executar comandos;

– resource - Informar o administrador sobre e-mails não entreguesdevido a problemas de recursos;

– software - Informar o administrador sobre e-mails não entreguesdevido a problemas de software.

Para o grupo de opções, "Other General Options", temos as seguintesopções, tal como apresentado parcialmente na seguinte figura.

Figura 6.52: Postfix Mail Server - Outras Opções Gerais

• Send outgoing mail via host - Permite definir a entrega direta de e-mails ou estabelecer um mail gateway;

• Address that receives bcc of each message - Permite definir o en-dereço que receberá um BCC de cada e-mail;

• Timeout on handling request - Permite estabelecer o limite de tempopara tratamento de pedidos antes de terminar o respetivo processo;

135


• Default database type - Permite definir o tipo de base de dados as-sociado a comandos postalias e postmap;

• Default: message delivery transport - Especifica qual o protcolo detransporte a utilizar por defeito;

• Sender address for bounce mail - Especifica qual o endereço deorigem para todo o e-mail não entregue;

• Number of subdir levels below the queue dir - Especifica a quanti-dade de subdiretorias para a diretoria da queue;

• Name of queue dirs split across subdirs - Especifica nome das dire-torias da queue localizadas em várias subdiretoriais;

• Max number of Received: headers - Estabelece um limite máximopara a quantidade de headers recebidos. Um e-mail que trascendeeste valor será rejeitado;

• Time in hours before sending a warning for no delivery - Tempo emhoras que o sistema aguarda até proceder ao envio de uma alertade não entrega;

• Network Interfaces for receiving mail - Especifica a interface de redeque trata da receção de correio;

• Idle time after Internet IPC client disconnects - Tempo de espera emsegundos após a desconexão do cliente IPC;

• Timeout for I/O on Internal comm channels - Especifica o tempo deespera para comunicações internas;

• Mail system name - Especifica o nome do sistema;

• Mail owner - Nome do utilizador dedicado do postfix;

• Official mail system version - Especifica a versão do postfix;

• Time to wait for next service request - Especifica tempo de esperapela próximo pedido de serviço;

• Max service requests handled before exiting - Define o número máx-imo de pedidos tratados por um processo daemon antes de sair;

• Internet hostname of this mail system - Este parâmetro especifica ohostname do sistema;

136


• Local Internet domain name - Especifica o nome do domínio de In-ternet local;

• Local networks - Este parâmetro especifica a lista de redes que sãolocais para o próprio servidor;

• Automatica Local networks - Permite especificar automaticamente alista de redes locais, sendo que existem quatro opções diferentes:

– Por defeito;

– Same IP subnet;

– Same network class;

– Local machine only.

• Send postmaster notice on bounce to... - Especifica quem recebe anotificação caso ocorra uma falha na entrega de e-mail;

• Send postmaster notice on 2bounce to... - Especifica quem recebea notificação caso ocorra uma dupla falha na entrega de e-mail;

• Send postmaster notice on delay to... - Especifica quem recebe anotificação caso ocorra um atraso na entrega de e-mail;

• Send postmaster notice on error to... - Especifica quem recebe anotificação caso ocorra um erro na entrega de e-mail;

• Mail queue directory - Especifica a diretoria para a fila de e-mails;

• Lock file dir, relative to queue dir - Especifica uma diretoria relativa-mente à diretoria anterior que serve para o master daemon truncaroutros daemons;

• Separator usernames/address extensions - Define qual o separadora utilizador entre nomes de utilizadores e extensões de endereços;

• Relocated mapping lookup tables - Este parâmeto permite especi-ficar tabelas com informações de contacto para utilizadores, hosts,ou domínios que deixaram de existir;

• Disable kernel file lock on mailboxes - Permite ativar/desativar o ker-nel file lock;

137


• Max time to send a trigger to a daemon - Estabelece o tempo máx-imo de espera em segundos no envio de um trigger para um dae-mon, evitando assim que o sistema possa bloquear em momento deelevada atividade;

• E-mail content filter - Especifica o nome de um filtro de conteúdosde e-mails que funciona após o queueing de e-mails.

No final o utilizador deve clicar no botão "Save and Apply", para concluirguardando qualquer alteração efetuada.

6.5.2 Outras Opções

6.5.2.1 Address Rewriting And Masquerading

Clicando na opção “Address Rewriting and Masquerading”, o utilizadoracede à seção apresentado na seguinte figura.

Figura 6.53: Postfix Mail Server - Address Rewriting and Masquerading

O formulário apresentado disponibiliza a possibilidade de definir a ree-scrita da cominação de nomes de utilizadores e respetivo domínio de di-versas formas e de acordo com o indicado. Permite ainda atribuir umrecipiente para e-mails sem destinatário, e exceções ao masquerading. Omasquerading , sendo um método de esconder os hosts sob um domíniofazendo parecer que o e-mail é proveniente do próprio gateway ao invés

138


de máquinas individuais, também pode ser definido. No final o utilizadordeve clicar no botão "Save and Apply"para concluir qualquer alteraçãoefetuada.

6.5.2.2 Mail Aliases

Clicando na opção “Mail Aliases”, o utilizador acede a uma lista dos aliasesdefinidos no Postfix Mail Server. Um alias fornece um mecanismo de redi-reccionamento de e-mail para recipientes locais. Para editar um alias ex-istente bastará clicar no link que corresponde ao texto do seu nome. Outilizador acede ao formulário apresentado na figura seguinte.

Figura 6.54: Postfix Mail Server - Mail Aliases

O formulário solicita uma pequena descrição, um endereço e-mail queserá sujeitado ao alias, a opção que ativa ou desativa o alias, e o en-dereço do alias, sendo possivel neste último caso, indicar um endereço,um ficheiro contendo endereços, um ficheiro, ou uma aplicação que dev-

139


erá ser executado. O formulário para a criação de um novo alias utiliza amesma estrutura.

6.5.2.3 Canonical Mapping

Clicando na opção “Canonical Mapping”, o utilizador acede à seção apre-sentada na figura seguinte.

Figura 6.55: Postfix Mail Server - Canonical Mapping

Canonical Mapping permite a especificação através um ficheiro, de ummapeamento de endereços para endereços locais e não-locais, tipica-mente utilizado para limpar endereços sujos provenientes de sistemaslegados de e-mail. A seção apresentada na figura anterior, permite definirum ficheiro com tabelas de mapeamento de endereços, endereços dedestinatários, e endereços de remetentes.

6.5.2.4 Virtual Domains

Clicando na opção “Virtual Domains”, o utilizador acede à seção de gestãode domínios virtuais, que oferece a possibilidade de especificar redirec-cionamentos virtuais. A figura seguinte apresenta esta seção.

140


Figura 6.56: Postfix Mail Server - Virtual Domains

6.5.2.5 Transport Mapping

Clicando na opção “Transport Mapping”, o utilizador acede à página apre-sentada na figura seguinte.

Figura 6.57: Postfix Mail Server - Transport Mapping

O mapeamento de transporte, permite especificar o mapeamento de hi-

141


erarquias de domínios para transportes ou relay hosts de entrega de e-mails. Clicando no link proporcionado pelo nome do mapeamento, o uti-lizador acede ao formulário apresentado na figura seguinte, na qual é so-licitado uma descrição, nome e especificação do mapeamento.

Figura 6.58: Postfix Mail Server - Edição de Mapeamento

A criação de um novo mapeamento é efetuado com recurso ao mesmoformulário, através da ligação "Add a new mapping". No final o utilizadordeverá clicar no botão "Save mapping", de modo a concluir o processo decriação ou edição do mapeamento.

6.5.2.6 Relocated Mapping

Clicando na opção “Relocated Mapping”, o utilizador acede à seguintepágina.

Figura 6.59: Postfix Mail Server - Relocated Mapping

142


Esta seção permite definir um ficheiro com a informação de mapeamentoque especifica os dados utilizados em mensagens de e-mails não en-tregues por motivo de alteração para novos locais, e.g., “user has movedto nova localização".

6.5.2.7 Header Checks

Ao clicar na opção “Header Checks”, o utilizador acede à página apresen-tada na figura seguinte.

Figura 6.60: Postfix Mail Server - Header Checks

Esta seção, possibilita que e-mails sejam redirecionados com base nosrespetivos cabeçalhos.

6.5.2.8 Body Checks

Ao clicar na opção “Body Checks”, o utilizador acede à página apresen-tada na figura seguinte, que permite que o e-mail possa ser redirecionadacom base nos conteúdos do corpo principal do e-mail (message body eminglês).

Figura 6.61: Postfix Mail Server - Body Checks

143


6.5.2.9 BCC Mapping

Ao clicar na opção “BCC Mapping”, o utilizador acede à página apresen-tada na figura seguinte.

Figura 6.62: Postfix Mail Server - BCC Mapping

Esta seção permite que uma cópia dos e-mails enviados através do servi-dor Postfix seja automaticamente enviada via BCC para outro endereçode e-mail. Tipicamente esta técnica é utilizada de modo a manter um logde conteúdos enviados.

6.5.2.10 Local Delivery

Clicando na opção “Local Delivery”, o utilizador acede à seção apresen-tada na figura seguinte. A página disponibiliza um formulário com umconjunto de opções que permitem configurar aspetos referentes à entregalocal de e-mails.

144


Figura 6.63: Postfix Mail Server - Local Delivery

O formulário permite configurar opções, como por exemplo, o nome dotransporte, o nome e localização relativa da diretoria de caixa de correioem relação à pasta de utilizador, um endereço por defeito para desti-natários desconhecidos, diretoria de spool, e número máximo de desti-natários para cada entrega local de e-mail. No final o utilizador deveráclicar no botão "Save and Apply", para concluir a alteração das configu-rações.

6.5.2.11 General Resource Control

Clicando na opção “General Resource Control”, o utilizador acede à páginaapresentada na figura seguinte, disponibilizando um conjunto de opçõesrelativamente à gestão de recursos gerais do Postfix.

145


Figura 6.64: Postfix Mail Server - General Resource Control

A seção permite configurar algumas opções de valores numéricos, talcomo, o tamanho máximo permitido para mensagens rejeitadas, e-mails,ou caixa de correio, quantidade máxima permitida para processos filhos,ou e-mails no active queue, ou tempo permitido para repetir a tentativa detruncar um ficheiro, ou criar um fork de um processo. No final o utilizadordeverá clicar no botão “Save and Apply”, para concluir o processo.

6.5.2.12 SMTP Server Options

Ao clicar na opção “SMTP Server Options”, o utilizador acede a um con-junto de opções referentes à configuração do servidor SMTP. O formuláriode opções permite definir opções, como por exemplo, banner de apresen-tação, número máximo de destinatários aceites para entrega, ou tempomáximo em segundos permitido para transações. No final de efetuar asalterações desejadas, o utilizador deverá clicar no botão “Save and Apply”,para terminar o processo. Esta página é apresentada na figura seguinte.

146


Figura 6.65: Postfix Mail Server - SMTP Server Options

6.5.2.13 SMTP Client Options

Ao clicar na opção “SMTP Client Options”, o utilizador acede à página degestão de opções de clientes SMTP. O formulário oferece a possibilidadede configurar algumas opções como por exemplo, número máximo de des-tinatários por entrega, e tempo máximo permitido para completar ligaçõesTCP, aguardar resposta do comando MAIL FROM, ou pela transmissãoda mensagem. A figura seguinte apresenta esta seção.

147


Figura 6.66: Postfix Mail Server - SMTP Client Options

No final o utilizador deve clicar no botão “Save and Apply”, para concluir oprocesso.

6.5.2.14 SMTP Authentication and Encryption

Clicando na opção “SMTP Authentication and Encryption”, o utilizadoracede ao formulário de gestão de autenticação e encriptação. Este for-mulário permite alterar configurações, como por exemplo, ativar a rejeiçãode logins anónimos, encriptação TLS, ou definir restrições de relaying.

148


Figura 6.67: Postfix Mail Server - SMTP Authentication and Encryption

6.5.2.15 SMTP Client Restrictions

Clicando na opção "SMTP Client Restrictions", o utilizador acede à páginade gestão de restrições de clientes do serviço SMTP. Esta página per-mite opções como por exemplo, permitir ligações da mesma rede, ou domesmo sistema, rejeitar clientes sem hostname, ou rejeitar cliente casoo respetivo IP, ou hostname se encontra no RBL. A seguinte figura apre-senta esta seção.

149


Figura 6.68: Postfix Mail Server - SMTP Client Restrictions

No final o utilizador deve clicar no botão "Guardar", para concluir quais-quer alterações.

6.5.2.16 Delivery rates

Ao clicar na opção “Delivery Rates”, o utilizador acede à página apresen-tada na figura seguinte.

Figura 6.69: Postfix Mail Server - Delivery Rates

Esta seção permite efetuar a gestão de parâmetros associados à entregade e-mail, como por exemplo, limite máximo para número de entregas

150


paralelas ao mesmo destinatário, e destinatários por e-mail, tempo mín-imo de espera entre tentativas consecutivas de enviar e-mails diferidos, etempo máximo permitido para um e-mail permanecer na queue até queseja declarada “não entregável”. No final o utilizador deve clicar no botão"Save and Apply"para concluir o processo de alterações.

6.5.2.17 Debugging features

Clicando nesta opção, o utilizador acede a uma página que apresentaapenas duas opções, tal como apresentado na seguinte figura.

Figura 6.70: Postfix Mail Server - Debugging features

As duas opções tratam de definir uma lista de padrões de domínio/redepara as quais o verbose log é ativado, e o respetivo nível de verbosidade.O log tem um papel importante na depuração de erros ou problemas nosistema.

6.5.2.18 Server Processes

Clicando na opção “Server Processes”, o utilizador acede à uma lista dosprocessos existentes no Postfix Mail Server. Para cada processo, a listairá exibir algumas das suas características, tal como, o seu estado (ativadoou não), tipo de transporte, e tipo de privacidade, ou proteção. Esta listaé exemplificada na figura seguinte.

151


Figura 6.71: Postfix Mail Server - Server Process

Para editar qualquer processo, o utilizador deve clicar sobre o link consti-tuído pelo nome do respetivo processo. Aconselha-se a edição apenasno caso de o utilizador possuir conhecimento sobre configuração do Post-fix. Clicando sobre qualquer processo, o utilizador acede ao formulário deedição de processo, tal como apresentado na figura seguinte.

Figura 6.72: Postfix Mail Server - Editar Server Process

152


A criação de um processo novo, pressupõe a seleção de opções como,o tipo de transporte (Internet, Unix Socket, ou Named Pipe), nome deservidor/porta, comando do processo, estado de privacidade, definiçãodo modo de execução (como utilizador postfix ou não), entre outros. Nofinal, o utilizador deverá clicar no botão “Criar” para concluir a criação donovo processo.

6.5.2.19 Configuration Check

Clicando na opção “Configuration Check”, o utilizador acede à página ex-ibida na figura seguinte.

Figura 6.73: Postfix Mail Server - Configuration Check

As opções nesta seção permitem configurar quais as opções exibidaspara o Postfix Mail Server, podendo selecionar para cada um a opção“Sim” ou “Não”. No final o utilizador deverá clicar no botão “Show”, para

153


concluir a alteração de qualquer opção.

6.5.2.20 Edit Config Files

Clicando nesta opção, o utilizador acede à página apresentada na figuraseguinte.

Figura 6.74: Postfix Mail Server - Editar Ficheiros de Configuração

Esta seção permite a edição manual de configurações do Postfix MailServer, podendo alternar entre dois ficheiros situados na diretoria /etc/postfix/,

154


a saber, o main.cf e o master.cf. Para guardar quaisquer alterações aosficheiros, o utilizador deverá clicar no botão “Guardar”.

6.6 Servidor de DHCP

Clicando na opção referente ao módulo Servidor de DHCP, o utilizadoracede à respetiva página de gestão deste serviço. A página apresentaseções que listam primeiro, redes e sub-redes partilhadas, segundo, an-fitriões e grupos de anfitrião, e terceiro, DNS zones. A seguinte figuraexemplifica esta página.

Figura 6.75: Vista Geral do Módulo Servidor de DHCP

Como se pode observar pela figura anterior, o utilizador tem a possibili-

155


dade de adicionar ou editar sub-redes, redes partilhadas, anfitriões, gru-pos de anfitrião. No final existem um conjunto de botões que acedem aoutras opções. Estas seções serão abordadas de seguida.

6.6.1 Editar sub-rede

Clicando na ligação “Adicionar nova sub-rede”, ou então diretamente so-bre o ícone de uma sub-rede existente, o utilizador acede ao formuláriode configuração de sub-rede apresentado na figura seguinte.

Figura 6.76: Vista de Editar sub-rede

A configuração apresentada na figura anterior, é a configuração por de-feito, que poderá ser alterado de acordo com as necessidades especí-ficas do sistema. O formulário exibido permite a configuração de diver-sas opções da sub-rede, tal como, o endereço, máscara, alcance dosendereços, ativar e configurar o dynamic DNS, permitir clientes descon-hecidos, entre outros. Para cada sub-rede criada é possível definir as re-spetivas address pools, clicando no respetivo link “Add an address pool”,ou então diretamente no ícone de uma pool existente. A criação de umarede partilhada recorre a um formulário semelhante ao exibido na figura

156


anterior, pedindo apenas, neste caso, a descrição e nome da rede partil-hada.

6.6.2 Editar Anfitrião

Clicando no link “Adicionar novo anfitrião”, o utilizador acede ao respetivoformulário. O formulário é semelhante ao que visto anteriormente para acriação de sub-redes, solicitando para o anfitrião, a definição da descrição,nome, atribuição de nível, endereço de hardware, e IP fixo. A criação ouedição de um grupo de anfitriões, solicita por sua vez, a descrição dogrupo.

6.6.3 Outras Opções

Como se pode observar na figura 6.75, apresentada anteriormente ex-istem um conjunto de botões que correspondem às seções que serãodescritas de seguida.

6.6.3.1 Editar Opções Gerais

Ao clicar no botão “Editar opções de DHCP”, o utilizador acede a umaseção que disponibiliza um formulário de opções gerais aplicáveis a to-das as sub-redes, redes partilhadas, anfitriões e grupos. O formuláriodisponibiliza o mesmo conjunto de opções que surgem em vários dos for-mulários referidos neste subcapítulo, nomeadamente para a definição desub-redes e anfitriões, apresentando os parâmetros distintos, como porexemplo, Nome do anfitrião do cliente, reencaminhadores predefinidos,máscara de sub-rede, endereço de emissão, nome do domínio, servidoresdns, entre outros.

157


Figura 6.77: Editar Opções Gerais

6.6.3.2 Edit TSIG-keys

Clicando no botão “Edit TSIG-keys”, o utilizador acede ao seguinte for-mulário, utilizado para a autenticação de atualizações de DNS servers.

Figura 6.78: Editar chaves-TSIG

O formulário solicita apenas a respetiva ID da chave, a seleção do algo-ritmo, e string secreta a invocar. No final o utilizador deve clicar no botão“Guardar”, para concluir o processo.

158


6.6.3.3 Manually Edit Configuration

Clicando no botão “Manually Edit Configuration”, o utilizador acede à páginaseguinte que disponibiliza o ficheiro de configuração dhcpd.conf para ediçãomanual.

Figura 6.79: Opções do ficheiro de configuração ConfigFile

O ficheiro permite a edição manual das definições da sub-rede, a respetivapool de endereços, entre outras opções. No final o utilizador deverá clicarno botão "Guardar", para guardar as alterações efetuadas.

6.6.3.4 Edit Network Interface

Clicando no botão “Edit Network Interface”, o utilizador acede à seguintepágina que permite a seleção das interfaces de rede que serão escutadas

159


pelo servidor DHCP.

Figura 6.80: Opções de Interface

6.6.3.5 Listar Concessões Activas

Clicando no botão “Listar Concessões Activas”, o utilizador acede à páginaapresentada na figura seguinte, que permite visualizar todas as concessõescorrentes do servidor DHCP para a atribuição dinâmica de endereços IP.

Figura 6.81: Lista das Concessões Activas

Poderão ser visualizados todos os IPs atribuídos, clicando em Listar Con-cessões Activas, sendo exibido quais os IPs atribuídos e expirados.

6.6.3.6 Iniciar Servidor

Para iniciar o servidor DHCP, o utilizador deve clicar no respetivo botão.Caso seja necessário parar e reiniciar o servidor, deve aceder à consolade gestão do ETFW, e digitar: "service dhcpd stop", seguido por, "servicedhcpd start".

160


6.7 Servidor de Proxy - Squid

O serviço de proxy tem a função de encaminhar os pedidos para a Internete guardar uma cache dos conteúdos de forma a acelerar a visualizaçãodos mesmos quando forem novamente consultados pelos utilizadores.

A arquitetura do proxy no ETFW segue a seguinte estrutura, sendo con-stituido por três componentes.

• Proxy de Entrada (Squid)O proxy de entrada assume a função de autenticar utilizadores, geriros acessos e encaminhar os pedidos para o sistema de filtragem deconteúdos ou para o proxy de saída.

• Filtro de Conteúdos (DansGuardian)O filtro de conteúdos (abordado no capítulo 6.3 tem a função de ver-ificar se os conteúdos pedidos pelo utilizador respeitam as normasde segurança definidas.

• Proxy de Saída (squidsaida):O proxy de saída está encarregue de guardar uma cache que ar-mazena e disponibiliza páginas ou componentes das mesmas, demoda a acelerar futuras visualizações dos utilizadores.

O funcionamento destas três entidades pode ser descrito através do es-quema apresentado na seguinte figura e descrito de seguida.

Para exemplificar o funcionamento global da solução, pressupõe-se comoponto de partida um pedido efetuado por um utilizador ao proxy. Após avalidação da autenticação do utilizador, o proxy encaminha o pedido paraa filtragem de conteúdo ou para a proxy de saída, de acordo com as regrasdefinidas no módulo. Os pedidos são sempre remetidos para o servidordestino através do proxy de saída. Deste modo constrói-se a cache deconteúdo.

161


Figura 6.82: Esquema de Funcionamento da Proxy

Dado que a filtragem necessita que o conteúdo esteja todo acessível,o browser estará sujeito a um aumento no tempo de resposta inicial,tornando-se posteriormente mais rápido à medida que o proxy de saídavai armazenando informação em cache.

A configuração do Squid proxy server conta com dois métodos, estandoacessível através da interface web de gestão do Webmin e pela ediçãodireta dos respetivos ficheiros de configuração. Os dois métodos serãoabordados nesta seção. A configuração permite modificar as regras doproxy para além de aspetos da rede relativamente ao servidor. As config-urações do proxy podem ser encontradas na localização /etc/squid.

6.7.1 Configuração do Squid via Webmin

Tal como foi indicado anteriormente, o Squid Proxy Server conta com doismétodos de configuração. Nesta seção será apresentada a configuraçãovia Webmin. Clicando na opção “Servidor Proxy Squid” existentes na cate-goria de “Servidores”, do Webmin da ETFW, o utilizador acede à seguintepágina de gestão de configuração do Proxy Server.

162


Figura 6.83: Página de Gestão do Squid Proxy Server

As respetivas opções das seções específicas de configuração do Squidserão abordadas de seguida.

6.7.1.1 Redes e Portas

Clicando na opção “Redes e Portas”, o utilizador acede ao formulário deopções que permite a configuração do proxy relativamente à rede. O for-mulário permite a definição dos endereços e portas da proxy que serãoutilizados para escutar pedidos HTTP, para além dos endereços e portasdo SSL. É possível ainda a configuração de, por exemplo, a porta parapedidos IPC, endereço de saída e entrada para UDP, endereço de saídae buffer de recebimento da TCP, grupos de multicast, e aspetos de vali-dação de URL’s. A figura seguinte apresenta o formulário descrito.

163


Figura 6.84: Squid - Redes e Portas

No final o utilizador terá de clicar no botão “Salvar”, para confirmar asalterações efetuadas.

6.7.1.2 Outros Caches

Clicando na opção “Outras Caches”, o utilizador acede à página de gestãode caches. Esta página está organizada em três grupos que serão de-scritos de seguida. O primeiro grupo exibe a lista de caches definidos, talcomo apresentado na figura seguinte.

Figura 6.85: Squid - Listagem de Caches

164


Para cada cache a lista exibe o endereço/nome do computador, e o re-spetivo tipo, porta e porta ICP. Para adicionar um novo cache o utilizadorterá de clicar no link “Adicionar outro cache”. Ao aceder a esta página outilizador terá acesso ao seguinte formulário, de resto, também utilizadona edição de cache hosts existentes.

Figura 6.86: Squid - Criar Novo Host de Cache

Este formulário solicita opções como, o nome do computador, tipo decache host (pai, irmão, ou multicast), porta do proxy e IPC, autenticaçãoda proxy, tempo máximo para estabelecer ligação com o host, númeromáximo de ligações concorrentes, entre outros. No final o utilizador deveclicar no botão “Salvar”, para guardar as definições.

Nos restantes dois grupos do formulário, apresentados juntos na figuraseguinte, é possível definir algumas opções relativamente à seleção deCache e obtenção de ACLs.

165


Figura 6.87: Squid - Opções de Seleção de Cache e ACL’s

As opções no segundo grupo permitem, por exemplo, determinar os tiposde conteúdo que o Squid deve solicitar ao servidor origem. Geralmenteesta opção não necessita de alterações, sendo que a maior parte dosconteúdos são tratados automaticamente pelo Squid. Outras opções per-mitem definir o tempo de espera para consultas ICP e ICP Multicase, e otempo limite para declarar como morto uma cache. O último grupo per-mite a definição de determinados ACLs (Access Control Lists) para quesejam obtidos ou não obtidos diretamente. Clicando no respetivo link paraadicionar um novo ACL às listas, o utilizador acede ao formulário seguinte.

Figura 6.88: Squid - Obtenção direta ou não de ACL’s

166


Neste formulário o utilizador pode definir os ACLs a combinar ou a nãocombinar nas requisições a obter. No final o utilizador deverá clicar nobotão “Salvar” para guardar as alterações efetuadas.

6.7.1.3 Uso de memória

Clicando na opção “Uso de Memória”, o utilizador acede à seção de gestãode utilização de memória pela Proxy. Permite estabelecer opções, comopor exemplo, limite de uso da memória, tamanho do cache FQDN, tamanhomáximo de objetos armazenados, ou cache do endereço IP, e política desubstituição de disco ou memória. A figura seguinte apresenta este con-junto de opções. No final o utilizador deverá clicar no botão “Salvar”, demodo a guardar as alterações efetuadas.

Figura 6.89: Squid - Uso de Memória

6.7.1.4 Registos

Clicando na opção “Registros”, o utilizador acede à página de gestão deconfiguração dos ficheiros log, ou registros. A página de gestão dos reg-istros disponibiliza a possibilidade de optar por utilizar o formato padrãopara os registros de acesso, ou um formato personalizado. As opções per-sonalizáveis permitem configurar questões como, localização do arquivode registro, utilização de formato HTTPD, registrar cabeçalhos MIME, erealização de consultas de identidade RFC931 para ACLs. No final outilizador deve clicar no botão “Salvar”, para confirmar a alteração dasdefinições. A figura seguinte apresenta parcialmente esta página.

167


Figura 6.90: Squid - Gestão de Registros

6.7.1.5 Opções de Cache

Clicando no ícone correspondente à seção “Opções de Cache”, o uti-lizador acede à página de gestão de configuração da cache. A páginadisponibiliza um formulário com um conjunto de opções relativamente aesta funcionalidade do Squid Proxy Server. A primeira opção solicita os di-retórios de cache, podendo utilizar a localização por defeito (/var/spool/squid),ou personalizado. Outras opções configuráveis, são por exemplo, obje-tos por bucket, a especificação dos ACLs para os quais não devem serarmazenados os URLs, tempo máximo de armazenamento, requisiçãodo cache, consulta e armazenamento de DNS, entre outros. No final outilizador deverá clicar no botão “Salvar”, para guardar as configuraçõesdefinidas. A figura que se segue exibe parcialmente esta página.

168


Figura 6.91: Squid - Opções de Cache

6.7.1.6 Programas Extras

Clicando na opção “Programas Extras”, o utilizador acede à seguinte janelaque permite configurar algumas opções relativamente a programas auxil-iares do Squid Proxy Server. A seguinte figura exibe o respetivo formuláriode opções.

Figura 6.92: Squid - Programas Extra

169


Esta seção disponibiliza opções que permitem personalizar a largura dacoluna FTP, ou definir um programa alternativo aos presentes por defeitodo SQUID, para, por exemplo, DNS, limpeza do cache, ping, ou redirec-cionamento personalizado. No final o utilizador deve clicar no botão “Sal-var”, de modo a guardar as alterações efetuadas.

6.7.1.7 Controle de Acesso

Clicando na opção “Controle de Acesso”, o utilizador acede à página prin-cipal de gestão de ACLs do Squid Proxy Server. A página está divididaem cinco separadores que serão abordados de seguida.

• Lista de Controle de AcessoEste separador exibe uma lista das ACLs existentes no Squid ProxyServer. A figura seguinte exemplifica esta lista.

Figura 6.93: Squid - Controle de Acesso - Lista de ACLs

O nome de cada ACL constitui um link que acede à respetiva páginade edição. A página de edição conterá um formulário de opções deacordo com o tipo de ACL em questão. Para criar um novo ACL, outilizador poderá selecionar o tipo pretendido e clicar no respetivobotão “Criar Nova ACL”, localizada no fundo da página.

• Restrições de ProxyO separador “Restrições de Proxy”, exibe as restrições de proxydefinidas no sistema. A figura seguinte exemplifica esta lista.

170


Figura 6.94: Squid - Controle de Acesso - Restrições de Proxy

As restrições poderão ser reordenadas utilizando as respetivas se-tas verdes para cima ou para baixo, situadas na coluna direita dalista. Ao clicar sobre o nome de ação de cada restrição, o utilizadoracede ao respetivo formulário de edição. Para adicionar uma novarestrição de proxy, o utilizador deve clicar na respetiva ligação situ-ada quer no topo como no fundo da lista.

• Restrição ICPO separador “Restrição ICP”, exibe uma lista de restrições exis-tentes, sendo possivel reordená-las tal como as restrições de proxyno separador anterior. A seguinte figura exemplifica este separador.

171


Figura 6.95: Squid - Controle de Acesso - Restrição ICP

Clicando na ligação “Adicionar restrição ICP”, ou então no link pro-porcionado pela própria restrição, o utilizador acede ao seguinte for-mulário que permite a definição da restrição.

Figura 6.96: Squid - Controle de Acesso - Criar Restrição ICP

No final o utilizador deve clicar no botão "Salvar", para confirmar asalterações efetuadas.

• Programa de ACL externoEste separador permite a definição de um programa externo ACL.Clicando na respetiva ligação, o utilizador acede ao formulário apre-sentado na figura seguinte.

172


Figura 6.97: Squid - Controle de Acesso - Programa de ACL externo

O formulário solicita algumas opções referentes ao programa deACL externo, tal como, o nome do tipo do programa, string do for-mato de entrada, tamanho do cache e o respetivo caminho do pro-grama e argumentos. No final o utilizador deve clicar no botão “Guardar”,para concluir o processo.

• Restrição de resposta do proxyEste separador permite a definição de restrições de resposta doproxy. Clicando no respetivo link, o utilizador acede ao seguinte for-mulário.

Figura 6.98: Squid - Controle de Acesso - Criar Restrição de Resposta

173


Nesta página o utilizador tem a possibilidade de configurar a re-strição de resposta do Proxy que pretende criar ou alterar. No final outilizador deverá clicar no botão “Salvar”, para concluir o processo.

6.7.1.8 Opções Administrativas

Clicando na opção “Opções Administrativas”, o utilizador acede a um for-mulário que disponibiliza alguns parâmetros de configuração do SquidProxy Server. Este formulário é apresentado na figura seguinte.

Figura 6.99: Squid - Opções Administrativas

O formulário solicita a definição opções, como por exemplo, executar comum determinado utilizador ou grupo Unix, endereço de e-mail para gestorde cache, ou o hostname visível. No final o utilizador deve clicar no botão“Salvar”, de modo a guardar as configurações pretendidas.

6.7.1.9 Autenticação do Proxy

Clicando na opção “Autenticação do Proxy”, o utilizador acede a umapágina que permite limitar o acesso ao servidor proxy para determinadosutilizadores. Clicando no respetivo link, o utilizador pode definir o nome,senha e permissão de acesso (permitido ou negado) a um utilizador. Nofinal o utilizador deve clicar no botão “Criar”.

174


6.7.1.10 Programas de Autenticação

Clicando na opção “Programas de Autenticação”, o utilizador à páginaapresentada na seguinte figura.

Figura 6.100: Squid - Programas de Autenticação

A seção apresentada disponibiliza um formulário que permite a configu-ração de diversas opções referentes a um programa externo para assumiro controlo de autenticação para a Proxy. Algumas opções existentes sãopor exemplo, localização do programa de autenticação, ou tempo de au-tenticação do cache. No final o utilizador deve clicar no botão “Salvar”,para concluir a configuração do programa de autenticação.

6.7.1.11 Pools de Revezamento

Clicando na opção “Pools de Revezamento”, o utilizador acede à páginade gestão de pools de revezamento, que permitem a definição de limi-tações na largura de banda a determinados utilizadores ou grupos de uti-lizadores. A página inicial disponibiliza um opção global, concretamente

175


o nível de percentagem do bucket inicial, que reserva uma determinadapercentagem de largura de banda para novos clientes em redes conges-tionadas. Clicando na ligação “Adicionar um novo pool de revezamento”,o utilizador acede à página apresentada na figura seguinte.

Figura 6.101: Squid - Adicionar Pool de Revezamento

Este formulário, que permite a criação de um novo pool de revezamento,solicita ao utilizador a seleção da classe do pool, sendo possível aplicaruma entre as seguintes opções:

• 1 - Agregado - Especifica uma largura de banda máxima para todosos clientes associados ao pool;

• 2 - Agregado e Individual - Especifica uma largura de banda agre-gada e uma largura de banda que cada utilizador poderá utilizar,criando uma hierarquia de limites na qual todos os clientes em con-junto terão de observar o valor agregado enquanto cada cliente indi-vidualmente estará limitado pelo valor individual;

• 3 - Agregado, Individual, e Rede - Especifica um valor agregado eindividual para a largura de banda para além de um valor aplicável auma determinada sub-rede;

• 4 - Agregação, Individual, Rede, e Usuário - Especifica um valor

176


de largura de banda agregado, para além de um valor individual,para a sub-rede, e utilizador;

• 5 - Etiquetar Grupo - Especifica uma largura de banda para umdeterminado grupo de utilizadores.

Para cada tipo de limite incluído na classe de pool selecionada, será entãopossível definir a respetiva largura de banda. Esta poderá ser ilimitada,ou atribuída pelas unidades de memória por segundo. No final o utilizadorterá de clicar no botão “Criar” de modo a terminar o processo.

6.7.1.12 Cabeçalho de Controle de acesso

Clicando na opção “Cabeçalho de Controle de Acesso”, o utilizador acedea uma página que permite efetuar a gestão de regras de cabeçalho decontrole de acesso para requisições e respostas. Estas restrições per-mitem o controlo dos cabeçalhos HTTP que o Squid reencaminhará entreclientes e servidores.

6.7.1.13 Atualizar Regras

Ao clicar na opção “Actualizar regras”, o utilizador acede à página de con-figuração de regras de atualização. Estas regras poderão sobrepor-seao funcionamento por defeito do Squid do refresh, podendo ser útil naespecificação do sistema para determinados websites ou protocolos. Aocriar uma nova regra o utilizador acede ao formulário que exibido na figuraseguinte.

177


Figura 6.102: Squid - Regras de atualização

O formulário solicita ao utilizador a definição da expressão regular paraas quais serão aplicadas as respetivas definições de atualização. Estasdefinições são por exemplo, o tempo mínimo e máximo, entre outros. Nofinal o utilizador deve clicar no botão “Salvar”, para confirmar a criação danova regra de atualização.

6.7.1.14 Opções Gerais

Clicando na opção “Opções Gerais”, o utilizador acede ao seguinte for-mulário de opções avulsas relativamente ao Squid Proxy Server. Estapágina permite a configuração de opções, como por exemplo, a textodas mensagens de erro, quantidade de memória a manter para uso fu-turo, e endereços de roteador, entrada e saída WCCP. No final o utilizadordeve clicar no botão “Salvar”, para guardar as alterações efetuadas. Estapágina está apresentada na figura seguinte.

178


Figura 6.103: Squid - Opções Gerais

6.7.1.15 Senhas do Gerenciador de Cache

Clicando na opção “Senhas do Gerenciador de Cache”, o utilizador acedeao formulário apresentado na seguinte figura.

Figura 6.104: Squid - Senhas do Gerenciador de Cache

Esta página permite a definição de senhas de autenticação para aceder àgestor de cache do Squid Proxy Server. Por defeito o gestor de cache do

179


Squid não requer nenhuma autenticação. Esta página permite definir umasenha associada a diversas funcionalidades que podem ser selecionadasnas respetivas caixas de seleção. No final o utilizador deverá clicar nobotão “Guardar”, de modo a guardar as definições.

6.7.1.16 Limpar e Refazer o Cache

Esta seção permite que o utilizador possa limpar o cache, apagando todosos ficheiros associados e reiniciando o servidor Squid. Alternativamenteo utilizador poderá remover apenas determinados URLs da cache.

Figura 6.105: Squid - Senhas do Gerenciador de Cache

6.7.2 Exemplos de Configuração via Webmin

Nesta seção serão abordados alguns exemplos de configurações maiscomuns do Squid Proxy Server, através do interface de gestão Webmin.No primeiro exemplo será abordado a negação do acesso a determinadaspáginas com URLs baseados em padrões.

6.7.2.1 Negar acesso com base em expressão no URL

Para negar o acesso a determinados endereços web (URLs) com basenum qualquer texto que faça parte do mesmo, o utilizador deve aceder àinterface web (Webmin) de administração do seu proxy e inserir as respeti-vas credenciais de acesso. Acedendo à página de "Controle de Acesso",do Squid Proxy Server, o utilizador acede à respetiva seção onde deveráselecionar o tipo "Expressão na URL", e clicar no respetivo botão "CriarNova ACL". Este passo é exibido na figura seguinte.

180


Figura 6.106: Negação de acesso com base em expressão na URL

Concluído este passo, o utilizador acede ao formulário de definição deACL. Ao ACL deve ser atribuído um nome para o distinguir, e identificara expressão a ser bloqueada. Caso o utilizador pretende bloquear a ex-pressão “webmail”, terá de digitar a palavra no campo “Expressão regu-lar”. É aconselhável selecionar também a opção relativamente à sensi-bilidade de Maiúsculas/Minúsculas de modo a que a restrição seja maiseficaz. No final, o utilizador deve clicar no botão “Salvar”, para confirmara criação do ACL.

Figura 6.107: Negação de acesso com base em expressão na URL

Após este passo, o utilizador será reencaminhado à página inicial daseção com a lista das ACLs existentes. Para aplicar o filtro criado quenega o acesso a websites cujo URLs incluem webmail, o utilizador dev-erá selecionar o segundo separador desta seção, “Restrições de Proxy”, eclicar no link "Adicionar restrição de proxy". Clicando neste link o utilizadoracede à página apresentada na figura seguinte.

181


Figura 6.108: Restrição de Proxy - Aplicação do ACL

Nesta seção devem ser selecionados a ação "Negar"e o padrão criado nopasso anterior ao qual se deu o nome de “sitios_bloqueados”. No final outilizador deve clicar no botão “Salvar”, de modo a guardar as alteraçõesefetuadas.

Após este passo o utilizador poderá visualizar a restrição definida nofundo da lista. A ACL deverá ser colocada antes de qualquer diretiva “Per-mitir rede”. Esta deslocalização poderá ser efetuada através das setasdirecionais verdes que se encontram na coluna direita da lista, tal comoapresentado na figura seguinte.

Figura 6.109: Restrição de Proxy - Aplicação do ACL

182


No final desta modificação, as alterações serão aplicadas carregando nolink "Aplicar Alterações"que se encontra habitualmente no canto superiordireito de qualquer página de configuração do Squid Proxy Server, casoeste se encontra a funcionar.

6.7.3 Configuração Manual do Squid

Como foi estabelecido no início deste subcapítulo 6.7, é possível efetuara configuração manual do Squid Proxy Server, através da edição diretade ficheiros. O ficheiro que define o modo de funcionamento do proxy é o/etc/squid/squid.conf que está dividido nas seguintes áreas:

• Configurações Globais - Contém definições globais de funciona-mento;

• Autenticação - Define os programas de autenticação (para o browser);

• ACLs - Define que tipos de condicionantes poderão ser utilizadas;

• External ACLs - Define condicionantes utilizando programas exter-nos ao proxy;

• Parents - Indicação de quais os proxies em cadeia a utilizar e re-spetivos condicionantes;

• Acessos - Define as combinações de ACLs de modo a filtrar otráfego.

6.7.3.1 Configurações globais

A secção de configurações globais permite alterar parametrizações defuncionamento do servidor, nomeadamente a localização dos logs do proxy,o utilizador com o qual o proxy será executado, a porta onde serão es-cutados os pedidos dos utilizadores, etc. De seguida são apresentadasalgumas das opções que podem ser configuradas nesta secção, acom-panhadas por uma descrição, o respetivo valor por defeito, e um exemplode aplicação.

http_port

183


• Utilizaçãohttp_port port

hostname: port

1.2.3.4 : port

• DescriçãoEsta diretiva é utilizada para especificar o socket onde o proxy es-cutará os pedidos provenientes dos browsers. Vários sockets po-dem ser especificados. Existem três formas de utilizar esta directiva:porta apenas, nome da máquina e porta, e endereço IP e porta. Sefor definido o nome da máquina ou o endereço IP, o proxy irá apenasescutar nesse interface de rede.

• Defaulthttp_port 3128

• Exemplohttp_port 8080

Deste modo o proxy irá escutar na porta 8080 reescrevendo a con-figuração por omissão.

visible_hostname

• Utilizaçãovisible_hostname anyhostname

• DescriçãoDefine o nome da máquina visível nas mensagens de erro.

• Default–

• Exemplovisible_hostname proxy.eurotux.com

cache_effective_user

• Utilizaçãocache_effective_user userid

184


• DescriçãoSe o proxy é executado como root o respetivo userid será alteradopara o especificado. O valor utilizado por omissão é nobody.

• Defaultcache_effective_user nobody

• Exemplocache_effective_user squid

error_directory

• Utilizaçãoerror_directory directorypath/directoryname

• DescriçãoDefine a localização das mensagens de erro.

• DefaultNormalmente em /etc/squid/errors.

• Exemploerror_directory /etc/errors

icon_directory

• Utilizaçãoicon_directory directorypath/directoryname

• DescriçãoEsta opção define a localização onde os ícones estão guardados.

• DefaultNormalmente em /etc/squid/icons.

• Exemploicon_directory /etc/icons

185


6.7.3.2 Autenticação

A secção de Autenticação define quais os programas de autenticação,ou seja, os programas que solicitam ao browser/utilizador os seus dadosde autenticação. Estão definidos dois modelos de autenticação: basic(quando o browser não suporta autenticação transparente surgirá umajanela que permite a introdução de dados) ou ntlmssp (autenticação trans-parente do utilizador).

auth_param

• Utilizaçãoauth_param type params [options]

Descrição dos parâmetros suportados (params):

– programEspecifica o programa utilizado para autenticação. O respetivoprograma irá ler uma linha contendo “utilizador password” e re-sponderá ao Squid com um “OK” em caso de sucesso ou um“ERR” no caso de ter ocorrido uma falha. Para utilizar um auten-ticador, é necessário uma ACL do tipo proxy_auth. Por normautiliza-se o sistema de autenticação básico.auth_param basic program /path/do/programa

/path/do/arquivo/senhas

– childrenNúmero de processos filhos que o programa de autenticaçãopoderá conter.auth_param basic children número

– realmTexto que irá aparecer na caixa de diálogo de login. Não énecessário configurar, mas confere uma qualidade de person-alização ao servidor.auth_param basic realm Texto de login

– credentials_ttlEspecifica por quanto tempo o Squid irá assumir que uma aut-enticação bem sucedida continuará válida.auth_param basic credentialsttl tempo

• Default–

186


• Exemploauth_param ntlm program /usr/bin/ntlm_auth -helper-protocol=

squid-2.5-ntlmssp

auth_param ntlm children 5

auth_param ntlm max_challenge_reuses 0

auth_param ntlm max_challenge_lifetime 20 minutes

auth_param basic program /usr/bin/ntlm_auth -helper-protocol=

squid-2.5-basic

auth_param basic children 5

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

6.7.3.3 ACLs

A secção de ACLs permite definir quais os modelos de filtragem que po-dem ser aplicados posteriormente na secção de controle de acessos.

ACL

• Utilizaçãoacl aclname acltype string1 ... | file

• DescriçãoEsta tag é utilizada para definir uma lista de acessos. Quando “file” éusado, deve conter um item por linha. Normalmente, as expressõessão case-sensitive. Para as tornar case-insensitive, deve utilizar aopção -i.

A acltype pode ser:

– src

∗ DescriçãoVai verificar o endereço IP de origem.

∗ Utilizaçãoacl aclname src ip-address/netmask

∗ Exemploacl aclname src 172.16.1.0/24 – Refere a rede 172.16.1.0acl aclname src 172.16.1.25/32 – Refere apenasum endereço de origem.

187


– dst

∗ DescriçãoTem a mesma funcionalidade que o src mas refere o en-dereço IP de destino.

∗ Utilizaçãoacl aclname dst ip-address/netmask

∗ Exemploacl localhost src 127.0.0.0/255.255.255.0

6.7.3.4 External ACLs

ACLs externas permitem a expansão das funcionalidades do proxy uti-lizando para esse fim, programas externos para gerir acessos. Este tipode ACLs permitem, por exemplo, inquirir a um servidor Active Directoryse um determinado utilizador pertence a um grupo, se um determinadoendereço de origem pode efetuar pedidos para a internet através de umabase de dados SQL, etc. A especificação deste comando é a seguinte:

external_acl_type

• Utilizaçãoexternal_acl_type aclname field command

• DescriçãoEsta tag permite definir uma ACL que será validada utilizando o pro-grama definido e passando no input o campo definido.

• Default–

• Exemploexternal_acl_type checkuser %LOGIN /etc/squid/check_group.pl

squidguard

external_acl_type checkwhite %LOGIN /etc/squid/check_group.pl

white

A criação de uma ACL externa pressupõe posteriormente a criação deuma ACL interna com a referência ao nome da ACL externa. A título deexemplo, apresenta-se a seguinte ACL externa.

188


external_acl_type checkwhite %LOGIN /etc/squid/check_group.pl

white

A ACL externa anterior, pressupõe a existência da seguinte ACL:

acl whiteuser external checkwhite

Deste modo seria utilizada a ACL whiteuser.

6.7.3.5 Parents

Esta secção especifica quais os proxies em cadeia que serão utilizadospelo proxy de entrada para download de informação.

cache_peer

• Utilizaçãocache_peer hostname type http_port icp_port options

• DescriçãoEsta tag é usada para especificar outros proxies na hierarquia e estádividida em cinco campos. O primeiro campo é no nome ou IP doproxy que será utilizado. O segundo permite indicar o tipo de relaçãocom o proxy seguinte. O terceiro campo indica a porta HTTP na qualo proxy destino irá escutar os pedidos, e o quarto a respetiva portade ICP. O quinto campo pode existir ou não e especifica as seguintesopções.

– hostnameHostname (FQDN) ou endereço IP da cache a ser utilizada. Autilização deste campo é exemplificado de seguida.cache_peer a.eurotux.com sibling 3128 3130 [proxy-only]

cache_peer 172.16.1.100 sibling 3128 3130 [proxy-only]

– typeTipo de hierarquia a utilizar entre os proxies.

∗ parent∗ sibling∗ multicast

– http_portA porta onde o proxy seguinte está à espera dos pedidos.

189

http://squid.visolve.com/squid/squid24s1/glossary.htm#parent

http://squid.visolve.com/squid/squid24s1/glossary.htm#sibling

http://squid.visolve.com/squid/squid24s1/glossary.htm#multicast


– icp_portUtilizada para inquirir os vizinhos sobre os objectos que ascaches possam ou não conter.

– option

∗ proxy-onlyIndica que o conteúdo pedido a este proxy não deve serguardado localmente.

∗ Weight=nEspecifica o peso na escolha do proxy. Por omissão é 1 equanto maior for o valor, mais “favorecido” será este proxy.

∗ ttl=nEspecifica o Time To Live (ttl). Apenas utilizado em multi-cast.

∗ no-queryUsado para proxies que não usam ICP, ou seja, que nãoindicam se contêm um objecto ou não.

∗ defaultQuando o proxy é o último na linha hierárquica é utilizadaesta opção.

∗ round-robinPermite utilizar proxies em modo round-robin.

• Default–

• Exemplocache_peer proxy.visolve.com parent 3128 3130 default

cache_peer 172.16.1.100 sibling 3128 3130 proxy-only

cache_peer 172.16.1.123 sibling 3129 5500 weight=2

cache_peer_access

• Utilizaçãocache_peer_access cache-host allow|deny [!]aclname ...

• DescriçãoUsa ACLs para escolher qual o proxy parent a usar.

190

http://squid.visolve.com/squid/squid24s1/glossary.htm#proxy-only

http://squid.visolve.com/squid/squid24s1/glossary.htm#weight

http://squid.visolve.com/squid/squid24s1/glossary.htm#ttl

http://squid.visolve.com/squid/squid24s1/glossary.htm#no-query

http://squid.visolve.com/squid/squid24s1/glossary.htm#default

http://squid.visolve.com/squid/squid24s1/glossary.htm#round-robin


• Default–

• ExemploO seguinte exemplo envia todos os pedidos vindos da rede 10.0.1.0pelo proxy.

acl myNet src 10.0.0.0/255.255.255.0

acl cusNet src 10.0.1.0/255.255.255.0

acl all src 0.0.0.0/0.0.0.0

cache_peer a.eurotux.com parent 3128 3130

cache_peer_access a.eurotux.com allow custNet

cache_peer_access a.eurotux.com deny all

6.7.3.6 Acessos

Esta secção especifica quais as combinações de ACLs a aplicar a cadasituação e qual a ação a executar: negar ou aceitar. Salienta-se que estasregras são interpretadas hierarquicamente de cima para baixo. Caso umaregra seja correspondida, a ação é efetuada. Caso não exista no final, aopção http_access deny, todos os pedidos que atinjam esse ponto serãoaceites. A título de exemplo, este funcionamento é o inverso das ACLs daCisco onde a ação por omissão é negar.

http_access

• Utilizaçãohttp_access allow|deny [!]aclname ...

• DescriçãoPermitir ou negar o acesso HTTP com base em ACLs.

• Default

http_access allow manager localhost

http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access deny all

cache_dir

191


• Utilizaçãocache_dir Type Directory-Name Mbytes Level-1 Level2

[..]

DISKD :

cache_dir diskd Directory-Name MB L1 L2 Q1 Q2

• DescriçãoO campo Type especifica o tipo de sistema de armazenamento queserá utilizado. Directory especifica a diretoria onde o proxy irá ar-mazenar os dados. A diretoria tem de existir previamente e tem deter permissões de escrita para o utilizador com o qual o proxy está aser executado. Mbytes é o espaço em MB alocado para armazena-mento. Level-1 é o número de diretorias de primeiro nível criadasdentro da diretoria principal de armazenamento. Level-2 especificao número de diretorias de segundo nível a serem criadas dentro dasde primeiro nível.

• Defaultcache_dir ufs /usr/local/squid/cache 100 16 256

• Exemplocache_dir ufs /cache1 5000 16 256

cache_dir ufs /cache2 7000 16 256

6.7.4 Exemplos de configurações manuais

Esta seção apresenta alguns exemplos de configurações do Squid ProxyServer, através da edição manual do respetivo ficheiro.

6.7.4.1 Restringir acessos por tempo

Podem ser criadas ACLs baseadas em parâmetros temporais. De seguidasão exibidos alguns exemplos. Neste caso será necessário reiniciar oSquid de modo que as alterações estejam ativas.

Aceitar acessos da rede interna em horas de trabalho:

# Adicionar o seguinte no final da secção das acls

acl home_network src 192.168.1.0/24

192


acl business_hours time M T W H F 9:00-17:00

# Adicionar o seguinte no início da secção de http_access

http_access allow home_network business_hours

Aceitar acessos apenas de manhã:

# Adicionar o seguinte no final da zona de acls

acl mornings time 08:00-12:00

# Adicionar o seguinte no início da zona de http_access

http_access allow mornings

6.7.4.2 Restringir acessos pelo endereço IP

É possível a restrição de acessos à internet com base nos endereços deorigem. No caso descrito de seguida, será criado uma ACL que define arede como 192.168.1.0.

# Adicionar no final da zona de acls

acl home_network src 192.168.1.0/255.255.255.0

É também necessário adicionar o correspondente http_access para per-mitir tráfego que corresponde à ACL.

# Adicionar no início da zona de http_access

http_access allow home_network

6.7.4.3 Proxy Transparente

Um proxy transparente permite que um sistema de cache esteja total-mente invisível dos browsers. Para este fim, é necessária a colaboraçãodo router de saída que encaminhe todos os pedidos web provenientesda rede interna para o proxy. Salienta-se que não é possível criar umproxy transparente para o protocolo HTTPS, pelas garantias de confiden-

193


cialidade que são inerentes ao próprio protocolo, como também não serpossível a autenticação de utilizadores. A configuração do proxy será deacordo com o seguinte a acrescentar na zona de configuração global doficheiro.

httpd_accel_host virtual

httpd_accel_port 80

httpd_accel_with_proxy on

httpd_accel_uses_host_header on

É ainda necessário reencaminhar no router todos os pedidos web para oIP do proxy na porta 80.

6.7.5 Iniciar/Reiniciar o Servidor

Para iniciar, reinicar, ou desligar o servidor, através de linha de comandono sistema Linux, o utilizador deve inserir os seguintes comandos.

• Iniciar

/etc/init.d/squid start

• Desligar

/etc/init.d/squid stop

• Reiniciar

/etc/init.d/squid restart

6.8 SpamAssassin Mail Filter

O SpamAssassin é um serviço de deteção de spam1. O SpamAssas-sin pode ser configurado através das opções disponíveis no Webmin doETFW, ou através da edição manual do respetivo ficheiro de configuração,nomeadamente:

1Spam é uma mensagem electrónica não-solicitada enviada em grande escala.

194


/etc/mail/spamassassin/local.cf

Os comandos que permitem iniciar, desligar, e reiniciar o servidor são,respetivamente:

• Iniciar

/etc/init.d/spamassassin start

• Desligar

/etc/init.d/spamassassin stop

• Reiniciar

/etc/init.d/spamassassin restart

Clicando na opção “SpamAssassin Mail Filter”, o utilizador acede à páginade gestão do respetivo módulo, apresentada na figura seguinte.

Figura 6.110: Página de Gestão do SpamAssassin

Como se pode observar na figura anterior existem várias seções de opçõesque serão exploradas neste subcapítulo.

6.8.1 Allowed and Denied Addresses

A função anti-spam do SpamAssassin, marca apenas o correio eletrónicocomo possível de ser spam. No entanto, é possível excluir completa-mente determinados endereços e/ou domínios de e-mail desta marcação

195


(constituindo o whitelist) enquanto outros endereços e/ou domínios sãomarcados como spam (constituindo o blacklist, ou lista-negra). Clicandona opção "Allowed and Denied Addresses", o utilizador acede à seçãode gestão destas listas. Esta seção disponibiliza quatro separadores deopções que serão abordados de seguida.

• Allowed addressesO separador “Allowed addresses”, permite a constituição do whitelist.Para adicionar endereços à whitelist deve ser preenchido a caixaintitulada "Senders to never classify as spam". Deste modo todosos e-mails cujo remetente constar nesta lista não serão marcadoscomo correio não solicitado, vulgo spam. A título exemplificativo, aoadicionar *.eurotux.com nesta caixa, todo o correio eletrónico prove-niente da eurotux não será marcado como spam. Este separador éexibido na figura seguinte.

Figura 6.111: Endereços permitidos

• Denied addressesO separador "Denied addresses", permite adicionar endereços àblacklist. Para este fim, o utilizador deve preencher a caixa intitulada"Senders to always classify as spam". O modo de funcionamentoé análogo à whitelist. Posteriormente a qualquer alteração deverácarregar no botão "Guardar"para gravar as alterações efetuadas.

196


• Destination addressesEste separador permite a definição de endereços de recipientes paraos quais é possível selecionar um entre três níveis de spam, a saber,“Some spam”, “More spam”, e “All spam”, respetivamente, “Algumspam”, “Mais spam”, e “Todo o spam”. A figura seguinte exibe esteseparador.

Figura 6.112: Endereços permitidos e negados - Endereços de Desti-natários

• Import addressesEste separador disponibiliza um formulário que permite importar umficheiro de endereços a incluir no whitelist. A figura seguinte apre-senta este separador.

Figura 6.113: Endereços permitidos e negados - Importar Endereços

6.8.2 Spam Classification

A marcação de spam é efetuada utilizando heurísticas que pontuam deter-minados padrões. Quando a pontuação atribuída a um e-mail, atinge um

197


determinado valor, este é considerado spam e marcado como tal. Estelimite de pontuação poderá ser modificado na seção "Spam Classifica-tion". Clicando nesta opção, o utilizador acede à página apresentada nafigura seguinte.

Figura 6.114: Classificação de spam

Entre as restantes opções do formulário, o primeiro item ("Hits abovewhich a message is considered spam") define o valor a partir do qual oe-mail é considerado spam. O valor por omissão é 5 pontos. No final outilizador deverá clicar no botão "Guardar", para confirmar as alteraçõesefetuadas.

6.8.3 Message Modification

Clicando na opção “Message Modification”, o utilizador acede à páginaque permite configurar as modificações efetuadas pelo SpamAssassin

198


aos e-mails analisados. A figura seguinte apresenta o conjunto de opçõesdisponibilizadas nesta página.

Figura 6.115: Modificações de e-mails

6.8.4 Miscellaneous User Options

Clicando na opção "Miscellaneous User Options", o utilizador acede auma página que disponibiliza um conjunto de opções avulsas. As opçõesdisponíveis nesta página estão relacionadas sobretudo com as localiza-ções utilizadas pelo SpamAssassin utiliza para os pacotes externos deidentificação de spam (Razor, DCC, e Pyzor). A seguinte figura apresentao formulário de opções exibida nesta página.

199


Figura 6.116: Opções Avulsas

6.8.5 Header and Body Tests

Clicando na opção “Header and Body Tests”, o utilizador acede ao for-mulário apresentado na figura seguinte.

Figura 6.117: Testes de Header e Body

Esta página permite a definição de testes adicionais que o SpamAssassin

200


irá aplicar aos e-mails, com base em “message headers”, o próprio con-teúdo, e URLs encontrados no body. No formulário o utilizador pode definirum nome para o teste, para além de estabelecer o tipo de verificação, aexpressão a ser filtrada, e respetiva pontuação e descrição. No final outilizador deve clicar no botão “Guardar”, de modo a concluir o processo.

6.8.6 Miscellaneous Privileged Options

Clicando na opção “Miscellaneous Privileged Options”, o utilizador acedeao seguinte formulário de opções.

Figura 6.118: Miscellaneous Privileged Options

As opções disponibilizadas nesta página, podem ser definidas global-mente, ao invés da configuração individual dos ficheiros de cada utilizador.Estas opções controlam os caminhos para diversos ficheiros de configu-ração ou logs, tal como, o whitelist file, ou o timing log file.

6.8.7 SQL and LDAP Databases

Ao clicar na opção “SQL and LDAP Databases”, o utilizador acede àpágina de configuração de base de dados de storage. Nesta página outilizador pode optar pelo tipo de armazenamento que será aplicado paraas configurações de utilizador, podendo escolher um entre as seguintesopções:

201


• Configuration Files - Ficheiros de configuração.

• SQL database - Base de dados SQL. Com este tipo de armazena-mento, o utilizador pode definir as opções de configuração exibidasna seguinte imagem.

Figura 6.119: Configuração de Armazenamento - SQL Database

É possível optar pelo tipo de base de dados (MySQL, ou PostgreSQL),e indicar o hostname do servidor, nome da base de dados e re-spetiva porta.

• LDAP Database - Base de dados LDAP. Esta opção permite a definiçãodos parâmetros exibidos na seguinte figura.

Figura 6.120: Configuração de Armazenamento - LDAP Database

Este formulário solicita ao utilizador, opções como, a definição doserver hostname, porta, Base DN para utilizadores, e profundidadede pesquisa.

• Other DSN - Outro DSN

No final, o utilizador terá de introduzir os dados de autenticação, casotenha optado pelo método SQL database, ou LDAP database.

202


6.8.8 Manage Auto-Whitelists

Clicando na opção “Manage Auto-Whitelists”, o utilizador acede à páginade gestão de auto-whitelists. Esta seção oferece a possibilidade de exibiros auto-whitelists associados a determinados utilizadores. Para este fim,deve ser selecionado o utilizador clicando no final, no botão “Show”. Emqualquer momento, para limpar a lista, o utilizador pode clicar no botão“Clear All Auto-Whitelists”.

6.8.9 Edit Config Files

Clicando nesta opção, o utilizador acede à página que disponibiliza oficheiro de configuração do SpamAssassin (/etc/mail/spamassassin/local.cf)para edição manual. A figura seguinte, exemplifica esta página, com o re-spetivo campo de edição.

Figura 6.121: Edição Manual do Spam Assassin

No final da edição, o utilizador terá de clicar no botão “Guardar”, de modoa confirmar as alterações efetuadas.

203


6.9 SSH Server

Clicando na opção "SSH Server”, o utilizador acede à página de gestão deconfiguração do Servidor de SSH. O SSH é um protocolo que permite oacesso remoto e autenticado através de uma rede. Este módulo permitea gestão de diversas opções para o servidor SSH instalado no sistemaETFW. A figura seguinte exibe as diversas seções de gestão deste mó-dulo.

Figura 6.122: Página de Gestão do SSH Server

A página inicial do módulo disponibiliza dois botões que permitem aplicaras alterações de configuração – “Apply Changes”, e parar o servidor –“Stop Server”. As diversas seções de opções serão abordadas neste sub-capítulo.

6.9.1 Authentication

A seção “Authentication”, permite a configuração de opções de autenti-cação para o servidor SSH. Algumas das opções disponibilizadas nestapágina permitem ativar, por exemplo, a autenticação por password, sempasswords, pelo root, ou autenticação RSA, ou DAS. A seguinte figuraexibe este formulário e as respetivas opções.

204


Figura 6.123: Autenticação do SSH Server

6.9.2 Networking

Clicando na opção “Networking options”, o utilizador acede ao seguinteformulário de opções.

Figura 6.124: SSH Server - Networking

205


Esta página permite que o utilizador possa configurar algumas opções derede do servidor SSH, tal como, os endereços e portas a escutar, proto-colos aceites, ou comportamentos e tempos de espera face ao crash deum cliente ou login. No final, o utilizador terá de clicar no botão "Guardar",para confirmar as alterações efetuadas.

6.9.3 Access Control

Clicando na opção “Access Control”, o utilizador acede à seguinte página.

Figura 6.125: SSH Server - Access Control

As opções disponibilizadas nesta seção permitem a configuração de con-trolo de acesso ao servidor SSH. Existem quatro principais listas de uti-lizadores, nomeadamente, utilizadores permitidos, grupos permitidos, uti-lizadores negados, e grupos negados. No final, o utilizador deve clicar nobotão “Guardar”, de modo a concluir o processo.

6.9.4 Miscellaneous Options

Clicando na opção “Miscellaneous Options”, o utilizador acede à seção degestão de opções avulsas que não cabem noutras categorias. Esta páginaoferece a possibilidade de configurar opções como, ativar X11 connectionforwarding, localização do programa xauth, e nível de verbosidade do reg-istro. A figura seguinte exibe esta seção e as respetivas opções.

206


Figura 6.126: SSH Server - Opções Avulsas

6.9.5 Client Host Options

Clicando na opção “Client Host Options”, o utilizador acede à página ex-ibida na figura seguinte.

Figura 6.127: SSH Server - Client Host Options

A página exibe opções para client hosts, permitindo também a sua gestãoe configuração. Para criar uma nova configuração de opções de client

207


host, o utilizador terá de clicar na ligação “Add options for cliente host”.Clicando nessa opção, o utilizador acede ao formulário de parâmetrosexibido parcialmente na figura seguinte.

Figura 6.128: SSH Server - Adicionar Opções para Client Host

O formulário permite a definição de opções como por exemplo, o utilizadordo login, comportamento face a um crash do servidor, porta de ligação, enível de compressão. No final o utilizador terá de clicar no botão “Criar”,para confirmar as alterações efetuadas.

208


6.9.6 User SSH Key Setup

Clicando na opção “User SSH Key Setup”, o utilizador acede à páginaapresentada na seguinte figura.

Figura 6.129: User SSH Key Setup

Esta página permite a configuração o setup automático do SSH paranovos utilizadores Unix criados no sistema. Deste modo, evita-se a ne-cessidade a execução prévia do ssh-keygen.

6.9.7 Host SSH Keys

Esta opção permite a visualização das Host SSH Keys, associadas aosficheiros:

• /etc/ssh/ssh_host_rsa_key.pub

• /etc/ssh/ssh_host_dsa_key.pub

• /etc/ssh/ssh_host_key.pub

209


6.9.8 Edit Config Files

Clicando na opção “Edit Config Files”, o utilizador acede à página apre-sentada na figura seguinte, que permite a edição manual dos ficheiros deconfiguração do servidor SSH, que constam na pasta /etc/ssh, nomeada-mente, o sshd_config, e o ssh_config.

Figura 6.130: SSH Server - Edição manual dos ficheiros de configuração

Após o processo de edição, o utilizador terá de clicar no botão “Guardar”,de modo a confirmar as alterações efetuadas.

210

7 Rede

Neste capítulo serão abordados diversos módulos agrupados na catego-ria “Rede”, que correspondem a diversos aspetos da rede associada aofuncionamento da ETFW. A figura seguinte exibe os módulos disponíveisnesta categoria que serão descritos ao longo deste capítulo.

Figura 7.1: Página de categoria Rede

7.1 Bandwidth Monitoring

Clicando na opção “Bandwidth Monitoring”, o utilizador acede ao móduloque permite configurar a monitorização de utilização de largura de banda

211

Capítulo 7. Rede

do sistema, por porta, host, protocolo, e tempo. Antes que esta funcional-idade possa ser utilizada, será necessária a configuração de diversas re-gras do firewall e um registro syslog de modo a capturar o tráfego enviadoe recebido pelo sistema. A figura seguinte exibe a página inicial destemódulo.

Figura 7.2: Monitorização de largura de banda

Nesta seção o utilizador deve selecionar qual a interface de rede a servisada pela monitorização de bandwidth. De seguida o utilizador deveclicar no botão “Setup Now”.

Figura 7.3: Monitorização de largura de banda

Tendo a monitorização ativada, o utilizador terá acesso a dois botões,“Update Statistics”, e “Turn Off Monitoring”, que permitem respetivamente,atualizar todas as estatísticas de tráfego de rede, tornando-as disponíveispara análise, e desligar a monitorização.

7.2 Configuração de Rede

Neste módulo é possível a configuração de um vasto conjunto de opçõesrelacionadas com a rede. Permite adicionar e configurar interfaces derede, regras de encaminhamento, configuração do cliente de DNS e cri-ação de hosts na ETFW. Na figura seguinte é exibido a página inicial daconfiguração de rede, e ao longo deste subcapítulo serão descritas assuas quatro seções principais.

212

Capítulo 7. Rede

Figura 7.4: Configuração de Rede - Página principal

7.2.1 Interfaces de Rede

Para proceder à configuração de interfaces de rede, novos IPs ou aliases,o utilizador deve selecionar a opção “Interfaces de Rede”. Clicando nestaopção o utilizador irá aceder a uma página que permite ver os interfacesde rede que estão atualmente configurados e ativados no arranque damáquina, e os IPs que lhe correspondem. Esta página tem dois sepa-radores, a primeira das quais é exibida na figura seguinte.

Figura 7.5: Interface de Rede - Inferfaces Ativadas no Arranque

Para editar as definições de qualquer interface existente, o utilizador deveclicar na ligação disponibilizada pelo nome do respetivo interface. Se o uti-lizador pretende adicionar um novo interface, terá de clicar na ligação “Adi-cionar nova interface”, e aceder à página apresentada na figura seguinte.

213

Capítulo 7. Rede

Figura 7.6: Adicionar Nova Interface de Rede

O formulário apresentado na figura anterior solicita a definição de opções,como por exemplo, o nome do interface, ativação no arranque, endereçoIPv4, e IPv6, e endereço de hardware. No final o utilizador pode clicarno botão “Criar”, para concluir o processo de criação do interface, ou nobotão “Create and Apply”, de modo a concluir o processo e aplicar imedi-atamente as alterações efetuadas. Para definir um alias de rede para umainterface específica, o utilizador terá que selecionar a respetiva interface,abrindo o formulário de edição, e clicar na opção “Adicionar interface vir-tual”, de modo a preencher os campos disponibilizados. Para criar umanova bridge de rede, o utilizador terá de clicar na ligação “Add a new

214

Capítulo 7. Rede

bridge”, acedendo deste modo a um formulário semelhante ao exibido nafigura anterior.

O separador "Interfaces Activas", exibe uma lista de interfaces atualmenteativas no sistema. Geralmente, as interfaces devem ser editadas sob oseparador “Interfaces Activadas no Arranque”.

7.2.2 Routing e Gateways

Clicando na opção “Routing e Gateways”, o utilizador acede à respetivaseção de gestão, sendo apresentada a página da seguinte figura.

Figura 7.7: Routing e Gateways - Configuração no Arranque

Esta seção disponibiliza opções agrupadas em dois separadores. O sep-arador “Boot time configuration”, permite definir o endereço do router pre-definido, as routes estáticas e locais. O separador “Active configuration”,exibe uma lista das routes configuradas no sistema. Permite ainda a cri-ação de uma route, solicitando o endereço destino, máscara de rede, e arespetiva interface ou gateway. O formulário deste separador é exibido naseguinte figura.

215

Capítulo 7. Rede

Figura 7.8: Routing e Gateways - Configuração Ativa

7.2.3 Cliente DNS

Clicando na opção “Client DNS”, o utilizador acede à seção que permite aconfiguração do cliente de nomes, i.e., a definição do nome que a ETFWassume localmente e os seus servidores de nomes. Permite estabelecertambém a ordem de resolução de nomes. No final, o utilizador deve clicarno botão “Guardar”, de modo a guardar as opções alteradas. Esta seçãoé apresentada na figura seguinte.

216

Capítulo 7. Rede

Figura 7.9: Configuração de Rede - Cliente DNS

7.2.4 Endereços do Anfitrião

Esta opção permite atribuir estaticamente vários nomes fixos e locais (oumesmo provenientes da Internet) a determinados endereços IP, de modoa diminuir o tempo de resposta do servidor de nomes. A figura seguinteexemplifica esta página.

Figura 7.10: Configuração de Rede - Endereços do Anfitrião

Para adicionar uma nova lista de endereços de anfitrião, o utilizador teráde clicar na ligação “Adicionar novos endereços do anfitrião”. Deste modo

217

Capítulo 7. Rede

o utilizador irá aceder a uma página que solicita o respetivo endereço deIP e os nomes de anfitrião.

7.3 Estatísticas de Rede - ntop

Neste módulo o utilizador acede a uma página que permite a visualizaçãode estatísticas relacionadas com a utilização da rede por interface (físicaou virtual caso existam VLANs). A página inicial desta seção é apresen-tada na figura seguinte.

Figura 7.11: Página Inicial - Estatisticas de Rede ntop

O módulo de estatísticas de rede ntop, disponibiliza um menu principaldisposto horizontalmente no topo da página. A página inicial apresenta al-gumas estatísticas globais da rede, num conjunto de quatro separadores.Neste subcapítulo serão abordados diversos exemplos de consulta dediferentes tipos de estatísticas.

7.3.1 Resumo do Tráfego

Sendo esta a página inicial referida na figura 7.11, e disponível no MenuSummary → Traffic, ao explorar os seus separadores, a página permitevisualizar a distribuição do volume de dados por interface, estatísticas so-bre os pacotes que circulam por interface, bem como a sua distribuiçãotemporal se seguirmos o link Historical Data, disponível ao fundo do sep-arador, eth0 Report.

218

Capítulo 7. Rede

Figura 7.12: Distribuição temporal do volume de dados

219

Capítulo 7. Rede

7.3.2 Resumo por Host

Clicando no Menu Summary → Hosts o ntop disponibiliza dados sobre autilização por Host da largura de banda. Esta opção é exemplificada nafigura seguinte.

Figura 7.13: Distribuição por Host da largura de banda utilizada

No Menu All Protocols → Traffic, esta informação é aprofundada commaior detalhe relativamente ao tipo de tráfego, tal como apresentado nafigura seguinte.

Figura 7.14: Distribuição por Host e protocolo da largura de banda uti-lizada

220

Capítulo 7. Rede

7.4 Serviços e Protocolos de Rede

Clicando na opção Network Services and Protocols, o utilizador acede àseguinte página.

Figura 7.15: Página Inicial de Serviços e Protocolos de Rede

A página permite a criação de novos serviços de internet, e programasRPC, enquanto exibe uma lista de programas RPC, e um campo de pesquisaque permite encontrar serviços de acordo com o critério digitado. Clicandona ligação “Create a new RPC program”, o utilizador acede ao formulárioapresentado na figura seguinte, que permite a criação de um novo pro-grama RPC.

221

Capítulo 7. Rede

Figura 7.16: Criação de novo programa RPC

Como se pode observar na figura anterior, a página disponibiliza dois gru-pos de opções. O primeiro grupo solicita apenas o nome e número doprograma e os respetivos aliases. O segundo grupo solicita opções, comopor exemplo, o estado e versão do programa, tipo de socket, protocolo,modo de espera, e utilizador de execução. No final o utilizador terá declicar no botão “Criar”, para concluir o processo.

Para editar um programa RPC existente, o utilizador terá de clicar na lig-ação disponibilizada pelo nome do programa a editar, acedendo destemodo ao mesmo formulário utilizado na criação de um novo RPC.

Para criar um novo serviço Internet, o utilizador deve aceder à respetivapágina clicando na ligação "Create a new Internet service". Esta página éexibida na figura seguinte.

222

Capítulo 7. Rede

Figura 7.17: Criação de novo serviço de Internet

A página de criação de serviço de internet, está organizada em dois gru-pos de opções. O primeiro solicita o nome do serviço, porta, protocoloe respetivos aliases. A seleção do protocolo do serviço é efetuado entreuma vasta lista de protocolos disponíveis. O segundo grupo de opçõessolicita opções, como por exemplo, o estado, os comandos a executar,o modo de espera, e utilizador de execução. No final, o utilizador deveconcluir a criação do serviço, clicando no botão “Criar”.

7.5 PPP Dialup Client

Clicando na opção PPP Dialup Client, o utilizador acede à página exem-plificada na figura seguinte.

223

Capítulo 7. Rede

Figura 7.18: Página Inicial de PPP Dialup Client

Esta seção permite a gestão de ligações PPP. Exibe uma lista de configu-rações existentes, e três botões permitindo respetivamente, estabelecer aconexão com um dos Dialer’s definidos, a ligação PPP a utilizar por omis-são, e a atualização da configuração. Para criar uma nova configuraçãode ISP dialer, o utilizador deve clicar na ligação “Add a new ISP dialerconfiguration”. Deste modo o utilizador acede à página apresentada nafigura seguinte.

Figura 7.19: Criar nova configuração de ISP dialer

224

Capítulo 7. Rede

Esta seção disponibiliza um formulário que solicita a definição de diversasopções, como por exemplo, o nome do ISP dialer, número de telefoneassociado, dados de autenticação, e comandos do modem. No final outilizador deve clicar no botão “Criar”, de modo a concluir o processo.

7.6 PPTP VPN Client

Clicando na opção PPTP 1 VPN 2 Client, o utilizador acede à página ex-emplificada na figura seguinte.

Figura 7.20: Página Inicial de PPTP VPN Client

A página possibilita a criação de túneis PPTP VPN, exibindo a lista detúneis atualmente existentes. Para definir um novo túnel PPTP VPN, outilizador deve clicar na ligação “Add a new PPTP VPN tunnel”, acedendoao respetivo formulário de opções. O formulário apresenta campos quepermitem definir o túnel PPTP VPN, como por exemplo, o nome do túnel,servidor, dados de autenticação, ficheiro de opções PPP, route por defeitoe routes a adicionar após a ligação. No final o utilizador deve clicar nobotão “Criar”, para concluir o processo. A figura seguinte apresenta oformulário de criação de túneis PPTP VPN.

1(Point-to-Point Tunneling Protocol) inicialmente desenvolvido pela Microsoft, permiteque o tráfego IP, IPX e NetBEUI sejam cifrados e encapsulados para serem enviadosatravés de redes IP privadas ou públicas como a Internet.

2Uma Rede Privada Virtual (Virtual Private Network - VPN) é uma rede de comuni-cações privada normalmente utilizada por uma empresa ou um conjunto de empresase/ou instituições, construída em cima de uma rede de comunicações pública (como porexemplo, a Internet).

225

Capítulo 7. Rede

Figura 7.21: Definir novo PPTP VPN tunnel

De novo na página inicial desta seção, o utilizador pode efetuar a ediçãode opções globais de PPP, clicando no botão “Edit Global PPP Options”. Outilizador acede deste modo ao formulário de opções exibido na imagemda figura seguinte.

Figura 7.22: Edição de Opções Globais de PPP

226

Capítulo 7. Rede

As opções definidas neste formulário aplicar-se-ão a todos os túneis queutilizam o ficheiro de opções globais padrão. Alguns dos parâmetros quepodem ser definidos são, por exemplo, tamanho máximo de packets, areceber e a enviar, para além de outros relacionados com a encriptaçãoMPPE. No final o utilizador deve clicar no botão “Guardar”, para confirmaras alterações efetuadas.

7.7 Servidor VPN PPTP

Neste módulo o utilizador acede à página apresentada na figura seguinte.

Figura 7.23: Página de Gestão de Servidor de VPN em PPTP

Esta página permite a configuração de uma VPN do tipo PPTP. Permite-nos adicionar, remover, ativar e desativar utilizadores de VPN, alterar asconfigurações do servidor PPTP e analisar quais os utilizadores de VPNque se encontram ativos. Esta página encontra-se dividida em quatroseções que serão descritas de seguida.

7.7.1 Opções do Servidor PPTP

Clicando na opção “Opções do Servidor PPTP”, o utilizador acede à seçãoapresentada na figura seguinte.

227

Capítulo 7. Rede

Figura 7.24: Opções do Servidor PPTP

Nas opções disponibilizadas nesta página, é possível modificar o compor-tamento do próprio servidor de PPTP, como por exemplo, alterar a taxa detransmissão do PPP, os endereços a monitorar, o ficheiro com as respeti-vas opções PPP, e o endereço de IP para o lado do servidor da ligação.A alteração do mapeamento de endereços IP que o servidor de PPTPtem configurado para os seus clientes, poderá ser efetuada através da al-teração do campo Endereço IP para alocar para os clientes, definindo umintervalo de endereços para atribuição. No final o utilizador deve confirmaras alterações efetuadas clicando no botão “Guardar”.

7.7.2 Opções PPP

Caso o utilizador pretende modificar as opções de autenticação do servi-dor PPTP, tal pode ser efetuado na respetiva seção “Opções PPP”. Oformulário apresentado nesta seção, oferece a possibilidade de definiropções, como por exemplo, tamanho máximo de pacotes para enviar ereceber, a política e servidor de autenticação, e opções de encriptaçãoMPPE. No final o utilizador deverá clicar no botão “Guardar”, de modo aconfirmar as alterações efetuadas. Esta seção é apresentada na seguintefigura.

228

Capítulo 7. Rede

Figura 7.25: Opções PPP

7.7.3 Contas PPP

Esta opção, permite ao utilizador, a criação ou remoção de utilizadoresde VPN PPTP que tenham como base de autenticação a própria ETFW.Permite ainda ativar ou desativar temporariamente um utilizador sem re-mover a sua configuração. Clicando na opção “Contas PPP”, o utilizadoracede à uma lista de utilizadores existentes. Para criar um novo utilizador,deve ser acedido a ligação “Criar novo”. De seguida poderá ser definido orespetivo nome do utilizador, nome de servidor, palavra chave e endereçoIP.

7.7.4 Ligações Activas

Clicando na opção “Conexões ativas”, o utilizador acede a uma lista d asligações de VPN PPTP que se encontram ativas. Estas ligações podemser terminadas clicando sobre o link Interface PPP.

229

Capítulo 7. Rede

7.8 Shoreline Firewall

A firewall existente na ETFW é baseada na Shoreline Firewall, vulgar-mente conhecida como a Shorewall. Clicando neste módulo, o utilizadoracede à respetiva página de gestão e configuração, apresentada na figuraseguinte.

Figura 7.26: Página Inicial de Configuração da Shorewall

7.8.1 Funcionamento geral

O objectivo da firewall é gerir o tráfego de rede permitindo o tráfego de-sejado e impedindo o restante. Esta configuração é feita através da al-teração de determinados ficheiros de configuração. O Shorewall lê esteficheiros e gera as regras que implementam a configuração desejada. A

230

Capítulo 7. Rede

Shorewall vê a rede como uma composição de zonas. Um exemplo daszonas préviamente configuradas pode ser encontrada na figura 7.27. Éimportante salientar que a própria firewall é considerada uma zona.

Posteriormente são adicionadas à zona as interfaces de rede que fazemparte da mesma e deste modo tráfego destas e para estas interfaces vaiutilizar a referência da zona em questão. Exemplo disso é a imagem 7.30.

Tráfego entre zonas vai ser permitido ou bloqueado consoante regras es-pecíficas (caso existam) ou então regras por omissão. As regras por omis-são (também denominadas de Default policies) definem o que aconteceao tráfego que passa de uma zona para a outra. Um exemplo disso éa figura 7.34. Nesta figura podemos encontrar que o tráfego da net (In-ternet) para a loc (rede local) tem como ação o DROP enquanto que otráfego da rede loc (rede local) para qualquer destino tem como ação oACCEPT.

Mesmo com estas regras por omissão, podemos restringir mais o acesso.Se colocarmos uma regra específica a indicar que o posto X da rede localnão tem acesso à Internet, esta regra vai-se sobrepôr à de omissão eimpedir o acesso. Alguns exemplos de regras específicas que podemosencontrar estão na figura 7.36. Um dos exemplos presentes na figuraefectua o DROP de tráfego da rede local para a firewall no protocolo TCPe na porta 139 e 445.

Quando queremos publicar um determinado servidor ou serviço na Inter-net é necessário encaminhar tráfego que venha da zona net para a zonalocal. Para tal usamos a ação DNAT como se pode ver na figura 7.41.

7.8.2 Zonas de rede

Clicando na opção “Zonas de rede”, o utilizador acede à respetiva páginade gestão, que exibe uma lista de zonas representando diferentes redesacessíveis a partir do sistema. Esta página é exemplificada na figuraseguinte.

231

Capítulo 7. Rede

Figura 7.27: Shorewall - Zonas de Rede

Para criar uma nova zona de rede, o utilizador pode clicar na ligação “Adi-cionar uma zona nova rede”, acedendo desta forma ao formulário apre-sentado na figura seguinte.

Figura 7.28: Criação de Nova zona de rede

232

Capítulo 7. Rede

Para a criação de uma nova zona, este formulário solicita o identificadorde zona, zona pai, tipo de zona, para além das respetivas opções dezona, entrada, e saída. No final o utilizador deve clicar no botão “Criar”,para concluir o processo.

O método alternativo de configuração de uma zona de rede será atravésda edição manual do ficheiro /etc/shorewall/zones. Clicando no botão“Editar manualmente arquivo”, o utilizador acede à seguinte página quedisponibiliza um campo de edição para o ficheiro de configuração de zonas.

Figura 7.29: Edição Manual de Zonas de rede

No final de qualquer edição, o utilizador deve clicar no botão “Guardar”,para terminar o processo.

7.8.3 Interfaces de rede

Clicando na opção “Interfaces de rede”, o utilizador acede à página apre-sentada na figura seguinte.

233

Capítulo 7. Rede

Figura 7.30: Interfaces de rede

A página exibe uma lista de interfaces de rede geridos pelo Shorewall.Para criar uma nova interface de rede, o utilizador deve clicar na lig-ação “Adicione uma nova interface de rede”, acedendo deste modo aoformulário apresentado na figura seguinte.

234

Capítulo 7. Rede

Figura 7.31: Shorewall - Criação de Nova Interface de Rede

O formulário solicita a definição de alguns parâmetros, como por exem-plo, a interface, nome da zona, e endereço de broadcast, para além depossibilitar a ativação de diversas opções, tal como, a utilização de DHCP,proxy ARP e verificação de flags ilegais de TCP. No final o utilizador deveclicar no botão “Criar”, para concluir o processo.

O utilizador poderá recorrer ainda configuração das interfaces de rede dashorewall, através da edição direta do respetivo ficheiro ao clicar no botão“Editar manualmente arquivo”.

7.8.4 Network interfaces

Clicando na opção “Network Interface”, o utilizador acede à página degestão de network interfaces a serem geridas pelo ETFW. Clicando naligação “Add a new network interface”, o utilizador acede a um formulárioque solicita o interface, tipo, e largura de banda de saída e entrada. Nofinal o utilizador deve clicar no botão “Criar”, para guardar a nova networkinterface. Este formulário é exibido na figura seguinte.

235

Capítulo 7. Rede

Figura 7.32: Shorewall - Criação de Nova Network Interface

Esta seção também permite a edição através do ficheiro de configuração,clicando no respetivo botão.

7.8.5 Network tcpri

Clicando na opção “Network TCPRI”, o utilizador acede à página de gestãode network TCPRI a serem geridas pelo ETFW. Clicando na ligação “Adda new network interface”, o utilizador acede à página exibida na figuraseguinte.

Figura 7.33: Shorewall - Criação de Nova Network TCPRI

236

Capítulo 7. Rede

O formulário apresentado nesta página, solicita a classificação do tráfegorelativamente à prioridade, o protocolo, porta, endereço e interface. Nofinal, o utilizador deve clicar no botão “Criar”, para terminar o processo.Esta seção também permite a edição através do ficheiro de configuração,clicando no respetivo botão.

7.8.6 Default policies

Clicando na opção “Default Policies”, o utilizador acede à seguinte páginade configuração de políticas por defeito do sistema.

Figura 7.34: Shorewall - Default Policies

A página apresenta uma lista de políticas por defeito, para tráfego en-tre determinadas zonas de firewall. Para criar uma nova política por de-feito, o utilizador deve clicar na ligação “Adicionar uma política de novopadrão”. Deste modo o utilizador deve aceder ao formulário exibido nafigura seguinte.

237

Capítulo 7. Rede

Figura 7.35: Criar Novo Default Policy

Este formulário solicita a definição da zona fonte, e destino, da políticaa aplicar entre quatro opções (ACCEPT, DROP, REJECT, CONTINUE),nível de syslog, e limite de tráfego. No final o utilizador deve clicar nobotão “Criar”, para terminar o processo. Esta seção também permite aedição através do ficheiro de configuração, clicando no respetivo botão"Editar manualmente arquivo".

7.8.7 Regras de firewall

Clicando nesta opção, o utilizador acede à página de gestão de regras dafirewall, exibindo a lista de exceções para as políticas padrão abordadasanteriormente. A figura seguinte exemplifica esta página.

Figura 7.36: Shorewall - Regras da Firewall

238

Capítulo 7. Rede

Clicando na ligação “Adicionar uma nova regra de firewall”, o utilizadoracede ao formulário de criação de regra apresentado na figura seguinte.

Figura 7.37: Criação de Nova Regra da Firewall

Este formulário permite a definição de uma nova regra, solicitando porexemplo, a ação, parâmetro, zona e porta de origem e destino, protocolo,e endereço de destino. No final o utilizador deve confirmar a operaçãoclicando no botão “Criar”. Esta seção também permite a edição através doficheiro de configuração, clicando no respetivo botão "Editar manualmentearquivo".

7.8.8 Types of services

Clicando na opção “Types of Services”, o utilizador acede à página degestão de tipos de serviços IP. Clicando na ligação “Adicionar um novotipo de serviço”, o utilizador acede à página exibida na figura seguinte.

239

Capítulo 7. Rede

Figura 7.38: Shorewall - Criação de Novo Tipo de Serviço

O formulário apresentado nesta página, solicita a zona e porta de origeme destino, protocolo, tipo de serviço entre quatro opções, concretamente,Normal-Service, Minimize-Cost, Maximize-Reliability, Maximize-Throughput,Minimize-Delay. No final, o utilizador deve clicar no botão “Criar”, paraterminar o processo. Esta seção também permite a edição através doficheiro de configuração, clicando no respetivo botão.

7.8.9 Masquerading

Clicando nesta opção, o utilizador acede à página de gestão de mas-querading. As entradas de masquerading listadas nesta página, permitemconfigurar a tradução de endereços de rede para tráfego encaminhado en-tre uma rede e interface particular. Esta página é exemplificada na figuraseguinte.

240

Capítulo 7. Rede

Figura 7.39: Shorewall - Masquerading

Para criar uma nova entrada de masquerading, o utilizador deve clicar naopção “Adicionar uma nova regra que aparece”. Deste modo acede-se aoformulário apresentado na figura seguinte.

Figura 7.40: Criação de uma nova entrada de Masquerading

O formulário solicita, por exemplo, a definição do interface de saída, en-dereço de rede para mascarar, endereço SNAT, e o protocolo e porta erestringir. No final o utilizador deve clicar no botão “Criar”, para concluiro processo. Esta seção também permite a edição através do ficheiro deconfiguração, clicando no respetivo botão.

241

Capítulo 7. Rede

7.8.10 Static NAT

Clicando na opção “Static NAT”, o utilizador acede à página de gestão detradução estática de endereços de rede. O NAT estático é geralmente uti-lizado para permitir ligações do exterior da rede a servidores internos. Cli-cando na ligação “Adicionar uma nova entrada NAT estática”, o utilizadoracede à página exibida na figura seguinte.

Figura 7.41: Shorewall - Criação de Nova NAT Estática

O formulário apresentado nesta página, solicita o endereço externo e in-terno, o interface externo, ativação para todos os hosts, e para o sistemade firewall. No final o utilizador deve clicar no botão “Criar”, para guardara nova entrada de NAT estática. No final, o utilizador deve clicar no botão“Criar”, para terminar o processo. Esta seção também permite a ediçãoatravés do ficheiro de configuração, clicando no respetivo botão.

7.8.11 Proxy ARP

Clicando na opção "Proxy ARP”, o utilizador acede à página de gestãode Proxy ARP, para resolução de requisições ARP externos à rede dosistema. Clicando na ligação “Adicionar um novo endereço proxy ARP”, outilizador acede à página exibida na figura seguinte.

Figura 7.42: Shorewall - Criação de novo endereço proxy ARP

242

Capítulo 7. Rede

O formulário apresentado nesta página, solicita o endereço da proxy ARP,e interface de ligação. No final o utilizador deve clicar no botão “Criar”,para terminar o processo. Esta seção também permite a edição atravésdo ficheiro de configuração, clicando no respetivo botão.

7.8.12 Quando parado

Clicando na opção "Quando parado", o utilizador acede à página de gestãode opções da Shorewall quando o firewall se encontra parado. Com afirewall parada, o acesso a todos os hosts será negado salvo os que es-tiverem definidos nesta seção. Clicando na ligação “Adicionar um novo en-dereço de paragem”, o utilizador acede à página exibida na figura seguinte.

Figura 7.43: Shorewall - Criação de novo endereço de paragem

O formulário apresentado nesta página, solicita, por exemplo, o interface,o conjunto de endereços acessíveis, e ativar a aceitação de tráfego devolta ao remetente. No final o utilizador deve clicar no botão “Criar”, paraterminar o processo. Esta seção também permite a edição através doficheiro de configuração, clicando no respetivo botão.

7.8.13 Túneis VPN

Clicando na opção "Túneis VPN", o utilizador acede à página de gestão detúneis VPN cuja passagem é permitida na Shorewall. Clicando na ligação“Adicionar um túnel VPN novo”, o utilizador acede à página exibida nafigura seguinte.

243

Capítulo 7. Rede

Figura 7.44: Shorewall - Criação de novo túnel VPN

O formulário apresentado nesta página, solicita, por exemplo, o tipo deVPN, zona para interface, gateway remota, e zona de gateway. No finalo utilizador deve clicar no botão “Criar”, para terminar o processo. Estaseção também permite a edição através do ficheiro de configuração, cli-cando no respetivo botão.

7.8.14 Zona Hosts

Clicando nesta opção, o utilizador acede à página de gestão de zonasde hosts. Esta página, exibe uma lista de hosts e endereços atualmenteconfiguradas como fazendo parte de determinadas zonas. Esta página éexemplificada na figura seguinte.

Figura 7.45: Shorewall - Zona Hosts

Para criar uma nova zona, o utilizador deve clicar na opção “Adicionar

244

Capítulo 7. Rede

uma série nova zona". Deste modo acede-se ao formulário apresentadona figura seguinte.

Figura 7.46: Criação de uma nova zona de hosts

O formulário solicita, por exemplo, a zona, interface de rede, endereçoIP, e ativação de tráfego de volta para remetente, rejeitar pacotes na listanegra, e verificar fontes de transmissão para pacotes. No final o utilizadordeve clicar no botão “Criar”, para concluir o processo. Esta seção tambémpermite a edição através do ficheiro de configuração, clicando no respetivobotão.

7.8.15 Blacklists Hosts

Clicando na opção "Blacklists Hosts", o utilizador acede à página de gestãode listas negras de hosts. As listas negras permitem bloquear o tráfegoproveniente dos hosts indicados. Clicando na ligação “Adicionar uma sérienegra de novo”, o utilizador acede à página exibida na figura seguinte.

Figura 7.47: Shorewall - Criação de nova Blacklisted host

245

Capítulo 7. Rede

O formulário apresentado nesta página, solicita, por exemplo, o endereçodo Host ou rede, protocolo, e portas. No final o utilizador deve clicar nobotão “Criar”, para terminar o processo. Esta seção também permite aedição através do ficheiro de configuração, clicando no respetivo botão.

7.8.16 Fornecedores de encaminhamento adicionais

Clicando na opção "Fornecedores de encaminhamento adicionais", o uti-lizador acede à página de gestão de tabelas de encaminhamento. Oencaminhamento é necessário caso existem ligações com mais de umfornecedor de Internet, várias ligações com o mesmo ISP, ou se o Squidestiver a ser executado como proxy transparente num host diferente dofirewall. Clicando na ligação “Adicionar um fornecedor de novo encamin-hamento”, o utilizador acede à página exibida na figura seguinte.

Figura 7.48: Shorewall - Criação de novo fornecedor de encaminhamento

O formulário apresentado nesta página, solicita, por exemplo, o nome enúmero do fornecedor, interface de rede, gateway, e a ativação de tráfegode equilíbrio de carga. No final o utilizador deve clicar no botão “Criar”,para terminar o processo. Esta seção também permite a edição atravésdo ficheiro de configuração, clicando no respetivo botão.

7.8.17 Routing Rules

Clicando na opção "Routing rules", o utilizador acede à página de gestãode regras de routing. Clicando na ligação “Add a new routing rule”, o

246

Capítulo 7. Rede

utilizador acede à página exibida na figura seguinte.

Figura 7.49: Shorewall - Criação de nova regra de routing

O formulário apresentado nesta página, solicita, por exemplo, a fonte edestino do tráfego, fornecedor de encaminhamento, prioridade da regra, euma marca para o pacote. No final o utilizador deve clicar no botão “Criar”,para terminar o processo. Esta seção também permite a edição atravésdo ficheiro de configuração, clicando no respetivo botão.

7.8.18 Parâmetros personalizados

Clicando na opção "Parâmetros personalizados", o utilizador acede à páginade configuração de parâmetros personalizados do Shorewall. Clicandona ligação “Adicionar um parâmetro novo costume”, o utilizador acede àpágina exibida na figura seguinte.

247

Capítulo 7. Rede

Figura 7.50: Shorewall - Criação de novo parâmetro

O formulário apresentado nesta página, solicita, o parâmetro, o valor e umcomentário. No final o utilizador deve clicar no botão “Criar”, para terminaro processo. Esta seção também permite a edição através do ficheiro deconfiguração, clicando no respetivo botão.

7.8.19 Arquivo de configuração principal

Clicando nesta opção, o utilizador acede à página de gestão de variáveisde configuração global. Esta página, exibe uma lista de variáveis o osrespetivos valores. Esta página é exemplificada na figura seguinte.

Figura 7.51: Shorewall - Configuração de variáveis

248

Capítulo 7. Rede

Para criar uma nova variável, o utilizador deve clicar na opção “Adicionaruma variável nova configuração". Deste modo acede-se ao formulárioapresentado na figura seguinte.

Figura 7.52: Criação de uma nova variável de configuração

O formulário solicita, a variável, o valor, e um comentário. No final o uti-lizador deve clicar no botão “Criar”, para concluir o processo. Esta seçãotambém permite a edição através do ficheiro de configuração, clicando norespetivo botão.

7.8.20 Botões de Operação

A página inicial do Shorewall disponibiliza um conjunto de botões de op-eração, que serão descritos de seguida.

• Aplicar configuração - Este botão ativa a configuração atual doShorewall.

• Atualizar configuração - Ativa apenas a configuração da lista negrae tabelas de traffic shapping.

• Clear Firewall - Limpa o Shorewall permitindo o acesso de todos oshosts sem restrição.

• Parar Firewall - Desliga o Shorewall bloqueando o acesso a todosos hosts, salvo os definidos na tabela quando parado.

249

Capítulo 7. Rede

• Show Status - Exibe o estado atual do shorewall.

• Verificar Firewall - Executa uma verificação da configuração daShorewall. Este processo é exemplificado com a imagem da figuraseguinte.

Figura 7.53: Verificação da Shorewall

• Dump Mostrar - Exibe informações do registro de dump da Shore-wall.

250

8 Avançado

Neste capítulo serão abordados diversos módulos agrupados na categoria“Avançado”, que correspondem a diversos aspetos de configuração dofuncionamento da ETFW. A figura seguinte exibe os módulos disponíveisnesta categoria que serão descritos ao longo deste capítulo.

Figura 8.1: Página de categoria Avançado

251

Capítulo 8. Avançado

8.1 Administrador de Ficheiros

Este módulo permite navegar no sistema de ficheiros da ETFW, permitindoactuar como um gestor de ficheiros em ambiente gráfico. A figura seguinteexemplifica esta seção.

Figura 8.2: Vista geral do módulo Administrador de Ficheiros

Este administrador de ficheiros está munido de um menu de opções quepermitem efetuar facilmente diversas operações com os ficheiros e direto-rias selecionados.

8.2 Comandos Personalizados

Este módulo permite simplificar a execução de comandos que são geral-mente complexos e de cariz repetitivo. Ao aceder a este módulo são ap-resentadas três ligações que serão descritas de seguida.

252


• Criar novo comando personalizadoAo clicar nesta ligação o utilizador acede ao formulário apresentadona figura seguinte.

Figura 8.3: Adicionar um Comando Personalizado

Algumas das opções disponibilizadas neste formulário são, por ex-emplo:

Descrição: Identifica o comando;

Comando: O comando que se pretende executar;

Run in directory: Diretoria onde o comando será executado;

Executar como utilizador: O utilizador de sistema com o qual ocomando será executado;

Hide command when executing: Ocultar comando durante a suaexecução.

No final o utilizador deve clicar no botão “Criar”, para concluir o pro-cesso.

• Create a new file editorClicando nesta opção, o utilizador acede à página apresentada nafigura seguinte.

253


Figura 8.4: Configurar novo editor de ficheiros

O formulário apresentado solicita a configuração de campos, comopor exemplo, a descrição, ficheiro a editar por defeito, proprietáriodo ficheiro, permissões do ficheiro, comandos a executar antes deeditar e guardar, e depois de guardar. No final o utilizador deve clicarno botão “Criar”, para terminar o processo.

• Create a new SQL commandAo clicar nesta ligação, o utilizador acede a uma página que per-mite configurar um novo comando de SQL. Este formulário solicitaparâmetros, como por exemplo, a descrição, tipo e nome de basede dados, comandos de SQL a executar, e dados de autenticação.No final o utilizador deve clicar no botão “Criar”, para concluir o pro-cesso. Esta seção é apresentada na seguinte figura.

254


Figura 8.5: Configurar novo comando de SQL

8.3 Comandos de Shell

O módulo Comandos de Shell dispõe de uma funcionalidade simples servindoapenas para a execução de comandos da ETFW, emulando um termi-nal remoto de CLI. Acedendo à página apresentada na figura seguinte,basta colocar o comando a executar na caixa de texto disponibilizado ede seguida premir o botão Executar comando.

Figura 8.6: Comandos de Shell

Os resultados dos comandos serão sempre visíveis até que estes sejameliminados, carregando no botão Limpar histórico.

255


8.4 Kerberos5

Clicando na opção “Kerberos5”, o utilizador acede à página de gestão doKerberos client, enquanto protocolo de autenticação de rede. Esta páginaé exibida na figura seguinte.

Figura 8.7: Configuração de Kerberos5

A página de configuração de Kerberos5, permite definir opções como, alocalização de diversos log files, o nome do domínio, e a ativação do DNSpara obtenção da KDC. No final o utilizador deve clicar no botão “UpdateConfiguration” para concluir o processo.

256


8.5 Linux Firewall - iptables

8.5.1 Conceitos Gerais

A firewall existente na ETFW é baseada em iptables, sendo esta com-posta por três “objectos” básicos:

1. Regras

2. Chains (Cadeias)

3. Tabelas

257


Figura 8.8: Esquema da firewall iptables

Regras: São os objectos de nível mais baixo que efectuam a filtragem oumanipulação de pacotes. Uma regra é composta por várias partes:

• A tabela a que esta regra será adicionada

• A chain a que esta regra será adicionada

• As instruções de filtragem ou manipulação

Chains: As regras organizam-se em chains, que são listas ordenadas

258


simples de regras. Uma chain é como uma lista de verificação deregras.

Tabelas: Devido à grande quantidade de possibilidades de regras quepoderão existir para filtrar e/ou manipular os pacotes, as própriaschains estão organizadas em tabelas.

O funcionamento processa-se da seguinte forma: se o cabeçalho do pa-cote atender aos requisitos da regra, o pacote seguirá o destino impostopela regra, caso contrário, passará adiante e será avaliada pela próximaregra, até que não haja mais regras para consultar. Nesta situação seráaplicado ao pacote a regra por omissão ou padrão que estiver definida.

259


8.5.2 Vista Geral

Figura 8.9: Vista Geral do Módulo Linux Firewall

Quando entramos neste módulo a primeira página apresenta-nos a listageral de regras existentes no nosso sistema na tabela de filter (Figura8.9). Caso se queira consultar as regras existentes no nosso sistema, emoutras tabelas, bastará escolher a tabela (clicar em Mostrar a Iptable, talcomo mostra a Figura 8.10).

Figura 8.10: Alterar a Tabela a Visualizar

260


8.5.3 Tabela FILTER (Packet Filtering)

A tabela filter é a tabela que o utilizador deverá usar para filtrar pacotesque passem através da firewall. Apresenta três chains pré-definidas:

INPUT - filtra pacotes cujo destino seja a própria firewall

OUTPUT - filtra pacotes cuja origem seja a firewall

FORWARD - filtra os pacotes que passam pela firewall (nem a origem,nem o destino são a firewall)

Figura 8.11: Esquema da tabela filter

O esquema da Figura 8.11 representa as três chains pré-definidas e o per-curso de um pacote na tabela filter. As opções mais comuns e utilizadasnas várias chains da tabela filter são as seguintes:

261


Figura 8.12: Opções comuns I (filter )

Comentários da regra: permite escrever um pequeno comentário paraidentificar a regra que irá ser criada

Acção a ser tomada: decide o que deverá ser feito com o pacote se estecorresponder à regra.

As acções mais importantes são:

Negar: elimina o pacote sem fazer mais nada.

Aceitar: a firewall deixa o pacote passar e os dados são enviadospara o destinatário.

Rejeitar: funciona da mesma forma que o Negar mas é enviado umerro ICMP de volta ao emissor do pacote.

Userspace: se esta opção estiver activa é feito, pelo kernel, o multi-cast do pacote para um socket na qual pode estar à escuta umprocesso.

Figura 8.13: Opções comuns II (filter )

Endereço de Origem ou rede: Estabelece a origem do pacote. Geral-mente é uma combinação do endereço IP com a máscara de sub-rede, separadas por uma barra.

Ex: 192.168.1.0/255.255.255.0 ou 192.168.1.0/24.

262


Endereço de Destino ou rede: Estabelece o destino do pacote. Tem amesma combinação que o anterior.

Interface de Entrada: Especifica o interface de entrada do pacote.

Interface de Saída: Especifica o interface de saída do pacote.

Fragmentação: Algumas vezes um pacote é muito grande para ser envi-ado de uma só vez. Quando isso acontece, o pacote é dividido emfragmentos e enviados como múltiplos pacotes. No destino estesfragmentos são reconstruídos, formando o pacote original. Assimpodemos fazer com que uma regra faça correspondência através depacotes fragmentados ou não.

Protocolo de Rede: Especifica a correspondência ao protocolo escolhido.

Figura 8.14: Opções comuns III (filter )

Origem TCP ou porta UDP: Define a correspondência por porta de en-trada, podendo ser facultado um intervalo de portas (exemplo: 1000:1050)ou uma lista de portas separadas por vírgulas.

Destino TCP ou porta UDP: Define a correspondência por porta de saída,podendo facultar-se um intervalo de portas (exemplo: 1000:1050) ouuma lista de portas separadas por vírgulas.

Porta(s) de origem e destino: Define a correspondência pela porta, tantode entrada como de saída, podendo ser indicado um intervalo deportas ou uma lista de portas separadas por vírgulas.

Figura 8.15: Opções comuns IV (filter )

263


Tipo de pacote ICMP: Tipo de pacote ICMP que vai fazer correspondên-cia.

Endereço ethernet: Identifica um endereço físico de rede que servirápara fazer correspondência com a regra.

Figura 8.16: Opções comuns V (filter )

Taxa de fluxo do pacote: Define o volume de pacotes com que a regrapassará a fazer correspondência.

Taxa de burst do pacote: Define o limite a partir do qual os pacotes começarãoa fazer correspondência com a regra.

Figura 8.17: Opções comuns VI (filter )

Estado da Conexão: Especifica o estado da ligação que vai fazer corre-spondência.

Tipo de Serviço: Define o tipo de serviço, para o qual desejamos que aregra faça correspondência.

Figura 8.18: Opções comuns VII (filter )

Módulos adicionais Iptables: Especifica directamente qual o módulo ondea regra será inserida.

264


Parâmetros adicionais: Especifica parâmetros adicionais, que vão serpassados directamente para a linha da firewall a ser executada.

Figura 8.19: Criação de uma regra na tabela filter I

Adicionando uma regra de exemplo, no frontend da ETFW, para aceitarunicamente as ligações para a porta 12345 do endereço IP 192.168.16.23será necessário clicar em Adicionar Regra da chain de INPUT (Figura 8.9)e preencher os campos indicados (exemplo Figura 8.19). Seguidamente,ao seleccionar Criar a regra será gravada para o ficheiro de regras e aFigura 8.20 será apresentada.

265


Figura 8.20: Criação de uma regra na tabela filter II

Por fim seria necessário acrescentar uma regra equivalente à anterior ne-gando tudo que tivesse como destino a porta 12345. A Figura 8.21 repre-senta o estado final deste exemplo.

266


Figura 8.21: Criação de uma regra na tabela filter III

Seleccionando Aplicar configuração as regras serão activadas (atençãoque as regras só serão activadas após clicar nesta opção). Dependendodas regras introduzidas, o acesso ao frontend da ETFW poderá ser per-dido (incluindo o seu acesso total), em caso de erro na configuração.Nesse sentido é necessário estar consciente da sensibilidade deste tipode configurações.

267


8.5.4 Tabela MANGLE (Packet Alteration)

Esta tabela não será abordada nesta versão do manual.

268


8.5.5 Tabela NAT (Network Address Translation)

Esta tabela é usada para tradução do endereço de rede (Network AddressTranslaction). A sua utilização é necessária quando se pretende traduzirum pacote com um determinado campo de origem ou destino. De notarque apenas o primeiro pacote será atingido por esta chain. Após isto,ao resto dos pacotes, serão aplicados as mesmas acções do primeiro(esquema na Figura 8.22). Esta tabela apresenta três chains pré-definidas(Figura 8.26):

PREROUNTING - aplica alterações aos pacotes quando o destino do pa-cote necessita de ser alterado

POSTROUTING - aplica alterações aos pacotes quando a origem do pa-cote necessita de ser alterada

OUTPUT - aplica alterações aos pacotes originados pela firewall

Figura 8.22: Esquema da tabela NAT

Os alvos actuais desta tabela são:

269


DNAT - usado nos casos em que se tem um endereço IP público na fire-wall e se quer redireccionar o acesso para outro host (numa DMZpor exemplo). Permite encaminhar tráfego.

SNAT - usado quando se quer alterar a origem do pacote, normalmentepara esconder os endereços locais da rede ou DMZ.

MASQUERADE - usado da mesma forma que o SNAT e para o mesmomotivo, mas o endereço IP de saída não é especificado, sendo uti-lizado o endereço de origem da interface de saída do pacote. Estaregra é usada principalmente para endereços IP’s dinâmicos, poisse o link cair, o endereço de origem que estava a ser utilizado édescartado, dando lugar ao novo endereço de origem da interfacequando o link for restabelecido.

As opções utilizadas na tabela de NAT são idênticas às da tabela de filter,possuindo também a mesma funcionalidade. A principal diferença é aprimeira tabela de opções (Figura 8.23).

Figura 8.23: Opções da tabela NAT

Acção a ser tomada : tem a mesma funcionalidade descrita na secçãoanterior (tabela filter ), mas possui duas opções diferentes. São elas:

Masquerade : Re-escreve o endereço IP de saída, quando se tratade endereços IP’s dinâmicos.

Origem NAT/Destino NAT : Dependendo da chain (PREROUTING,POSTROUTING ou OUTPUT) a opção disponível, poderá variarentre Origem e Destino. Re-escrevem os endereços IP’s de en-trada e saída respectivamente.

Adicionando uma regra de exemplo, no frontend da ETFW, para re-escrevero endereço IP de saída de uma máquina com o endereço 192.168.4.1

270


para o endereço externo 194.56.23.45, será necessário seleccionar atabela de NAT na página principal, e clicar em Mostrar IPtable, tal como émostrado na Figura 8.24.

Figura 8.24: Criação de uma regra na tabela SNAT I

Depois será necessário seleccionar a opção Adicionar Regra da chainPOSTROUTING e preencher as opções indicadas na Figura 8.25.

Figura 8.25: Criação de uma regra na tabela SNAT II

Após carregar em Criar a regra será gravada para o ficheiro de regras e apágina da Figura 8.26 será apresentada. Tal como no exemplo da tabelafilter, será necessário seleccionar a opção Aplicar configuração para asas regras serem activadas.

271


Figura 8.26: Criação de uma regra na tabela SNAT III

Outro exemplo será criar o inverso da regra acima exemplificada, ou seja,re-escrever o endereço IP de entrada existente na ETFW (ex. 194.56.23.45)para a máquina com o endereço 192.168.4.1. Para isso selecciona-se aopção Adicionar Regra da chain PREROUTING e preenche-se as opçõesindicadas na Figura 8.27. Seleccionando Criar a regra será gravada parao ficheiro de regras apresentando a página ilustrada na Figura 8.28.

Quando se seleccionar Aplicar configuração as regras visualizadas serãoactivadas e o endereço IP utilizado para exemplo (194.56.23.45) será ma-peado no endereço IP interno 192.168.4.1. Normalmente quando se fazuma configuração deste estilo, usa-se a tabela filter na chain de forwardpara filtrar as ligações não desejadas, ou não necessárias.

272


Figura 8.27: Criação de uma regra na tabela DNAT I

Figura 8.28: Criação de uma regra na tabela DNAT II

273


8.6 Login via SSH/Telnet

Através deste módulo é possível aceder ao sistema ETFW introduzindoos dados de autenticação: Login e Password, tal como apresentado nafigura seguinte. A execução correta desta funcionalidade pressupõe ainstalação do plugin adequado.

Figura 8.29: Login via SSH/Telnet

Após a introdução bem sucedida dos dados de autenticação, o utilizadorpoderá executar comandos Linux. A seguinte figura exibe o ecrã com orespetivo command prompt, aguardando a introdução de comandos.

274


Figura 8.30: Ecrã após o Login via SSH/Telnet

8.7 Samba - Partilha de Ficheiros e Serviçosde Impressão

Clicando na opção “Partilha de Ficheiros de Windows com Samba”, o uti-lizador acede à página de configuração do Samba, tratando-se de umservidor de partilha de ficheiros e serviços de impressão em rede. A suapágina inicial de configuração está estruturada em três seções distintasque serão descritas neste subcapítulo.

8.7.1 Partilha de Ficheiros e Impressora

Na zona superior da página inicial de gestão do Samba, surge uma listade todas as partilhas configuradas. Esta lista é exemplificada na figuraseguinte.

275


Figura 8.31: Configuração do Samba - Listagem de Partilhas

Para cada partilha existente é exibido o respetivo nome, localização, enível de segurança em questão (leitura/escrita, etc.).

8.7.1.1 Criar/Editar Partilha de Ficheiros

Para criar uma nova partilha de ficheiros, o utilizador terá de clicar naligação “Create a new file share”. Deste modo o utilizador acede ao for-mulário apresentado na seguinte figura.

Figura 8.32: Criação de nova partilha de ficheiros

276


Este formulário solicita os parâmetros que definem a partilha desejada,nomeadamente, o nome da partilha, e a diretoria a partilhar. Para umanova partilha é possível definir quatro opções que não estarão acessíveispara edição após a sua criação, concretamente, se a diretoria deve ser cri-ada automaticamente caso ainda não exista, e o utilizador, as permissõese grupo com que será criado. Por fim é possível ativar a disponibilidadee navegabilidade, e editar um comentário. No final o utilizador deve clicarno botão “Criar”, para concluir o processo.

Após a criação de uma partilha de ficheiros, o utilizador pode aceder àedição da mesma clicando na ligação constituída pelo próprio nome dapartilha. Deste modo o utilizador acede a uma página que disponibilizaum formulário igual ao que foi apresentado na figura 8.32, salvo a inex-istência das quatro opções referidas anteriormente. Existem no entanto,opções que estarão apenas disponíveis na edição de uma partilha exis-tente. Clicando no botão "View Connections", o utilizador acede a umalista de utilizadores atualmente ligados. De igual modo, imediatamenteabaixo do formulário, encontram-se as opções exibidas na figura seguinte.

Figura 8.33: Opções de Edição de Partilha de Ficheiros

Estas opções de partilha serão descritas de seguida. Security and Ac-cess Control Clicando nesta opção, o utilizador acede a um formulárioque permite a configuração de algumas opções de partilha e controlo deacesso, como por exemplo, ativar a possibilidade de escrita, gerir políticade utilizadores guest, hosts a permitir ou negar, e validação e atribuiçãode permissões para utilizadores e grupos. No final o utilizador deve clicarno botão “Guardar”, para confirmar as alterações introduzidas. Este for-mulário é apresentado na figura seguinte.

277


Figura 8.34: Segurança e Permissões de Acesso - Edição de Partilha deFicheiros

File Permissions

Clicando nesta opção, o utilizador acede ao respetivo formulário permiteconfigurar algumas opções, como por exemplo, as permissões de ficheiroe diretoria, diretorias a não listar, e permitir a remoção de ficheiros ape-nas para leitura. No final as alterações devem ser guardadas clicando norespetivo botão “Guardar”. A figura seguinte apresenta esta seção.

278


Figura 8.35: Opções de Permissões de Ficheiro - Edição de Partilha deFicheiros

File Naming

Clicando nesta opção, o utilizador acede ao formulário apresentado naseguinte figura. Este formulário permite a ativação de algumas carac-terísticas de nomeação de ficheiros, como por exemplo, case mangling,sensibilidade ao case, utilização por defeito de case maiúsculo ou minús-culo, e preservar o case existente. No final o utilizador deve clicar no botão“Guardar”, de modo a confirmar as alterações efetuadas.

279


Figura 8.36: File Naming - Edição de Partilha de Ficheiros

Miscellaneous Options

Clicando na opção “Miscellaneous Options”, o utilizador acede a umapágina de gestão de opções avulsas. Algumas das opções incluídas nesteformulário são por exemplo, a ativação de file locking, a quantidade máx-ima de ligações, opportunistic locking, sincronização após escrita, e co-mandos a serem executados ao ligar e desligar. No final o utilizador podeconfirmar as alterações efetuadas clicando no botão “Guardar”. Este for-mulário é apresentado na figura seguinte.

280


Figura 8.37: Opções Avulsas - Edição de Partilha de Ficheiros

8.7.1.2 Criar/Editar Partilha de Impressora

Para criar uma nova partilha de impressora, o utilizador terá de clicar naligação “Create a new printer share”. Deste modo o utilizador acede a umformulário que solicita a definição dos parâmetros da partilha, nomeada-mente, o nome da partilha, a impressora, a localização da spool, e ati-vação da respetiva disponibilidade e a navegabilidade. No final o utilizadordeve clicar no botão “Criar”, de modo a concluir o processo. Este for-mulário é apresentado na seguinte figura.

281


Figura 8.38: Criação de nova partilha de impressora

Para editar uma partilha de impressora existente, o utilizador deve clicarna ligação disponibilizada pelo nome da partilha. Deste modo o utilizadoracede ao formulário idêntico ao apresentado na figura anterior, dispondoainda de duas opções adicionais, Security and Access Control (abordadona figura 8.34), e Printer Options, que será descrito de seguida.

Printer Options

Este formulário permite a configuração de diversas opções de impressora,como por exemplo, estabelecer o limite mínimo de espaço livre, o driverda impressora, e definir comandos de operação de tarefas. No final outilizador deve clicar no botão “Guardar”, para confirmar as alteraçõesintroduzidas. A figura seguinte apresenta o formulário.

282


Figura 8.39: Edição de Partilha de Impressora - Opções de Impressora

8.7.1.3 Outras Opções

Clicando na ligação “Create a new copy”, o utilizador pode clonar umapartilha existente, criando uma nova que herda a mesma configuração.Para visualizar as ligações de utilizadores num dado momento, deve-seaceder à ligação “View all connections”.

8.7.2 Configuração Global

Na zona central da página inicial de gestão do Samba, encontram-seas opções apresentadas na seguinte figura, e que serão descritas nestaseção.

283


Figura 8.40: Configuração do Samba - Configuração Global

8.7.2.1 Unix Networking

Clicando na opção “Unix Networking”, o utilizador acede à página apre-sentada na seguinte figura.

Figura 8.41: Configuração Global - Unix Networking

284


Este formulário solicita a definição de opções de rede Unix, como porexemplo, o tempo de espera em minutos até desligar, a localização doficheiro para hosts e utilizadores seguros, interfaces e netmask, tamanhomáximo para pacotes, e opções de socket. Para concluir o processo outilizador deve clicar no botão “Guardar”.

8.7.2.2 Windows Networking

Clicando nesta opção, o utilizador acede à página apresentada na figuraseguinte.

Figura 8.42: Configuração Global - Windows Networking

285


Este formulário permite a configuração de opções de rede Windows, comopor exemplo, o nome do Workgroup, modo WINS, descrição, nome, e aliasdo servidor, serviço de partilha a assumir por defeito, nível de segurança,e servidor de password. As alterações efetuadas são guardadas após oclique no botão “Guardar”.

8.7.2.3 Authentication

Clicando na opção “Password Options”, o utilizador acede ao formulárioexibido na figura seguinte.

Figura 8.43: Configuração Global - Opções de Autenticação

286


Esta página possibilidade de alterar, por exemplo, a ativação de pass-word encriptados, passwords nulos, a especificação de um programa depasswords, e o mapeamento de nomes utilizadores, permitindo associarutilizadores de Unix a utilizadores Windows. No final o botão “Guardar”,permite confirmar as alterações efetuadas.

8.7.2.4 Windows to Unix Printing

Clicando na opção “Windows to Unix Printing”, o utilizador acede ao for-mulário apresentado na figura seguinte.

Figura 8.44: Configuração Global - Opções de Impressão

Este formulário disponibiliza opções que permitem, por exemplo, sele-cionar o estilo de impressão, exibir todas as impressoras, e indicar a lo-calização do ficheiro printcap. No final o utilizado deve clicar no botão“Guardar”, de modo a confirmar as alterações efetuadas.

8.7.2.5 Miscellaneous Options

Clicando nesta opção o utilizador acede ao formulário de opções avulsas.Este formulário permite, por exemplo, a configuração do nível de debug,ativação do cache getwd(), permitir leitura e escrita raw, a localizaçãoda diretoria chroot() e smbrun. No final o utilizador deve clicar no botão

287


“Guardar” de modo a confirmar as alterações efetuadas. A figura seguinteapresenta este formulário.

Figura 8.45: Configuração Global - Opções Avulsas

8.7.2.6 Winbind Options

Clicando na opção “Windbind Options”, o utilizador acede à respetivapágina de configuração. O Windbind é um serviço que permite resolverdiscrepâncias entre informação de utilizadores e grupos proveniente deservidores de Windows NT. Este formulário permite a gestão de opçõescomo, a ativação de Winbind para contas locais, permitir utilizadores doservidor do domínio, e atribuir uma gama de UIDs para utilizadores e gru-pos do Windows. No final o utilizador deve clicar no botão “Guardar”, demodo a confirmar as alterações efetuadas. A figura seguinte exibe esteformulário.

288


Figura 8.46: Configuração Global - Opções Winbind

8.7.2.7 File Share Defaults

Clicando na opção “File Share Defaults”, o utilizador acede ao formulárioapresentado na figura seguinte.

Figura 8.47: Configuração Global - File Share Defaults

289


O formulário permite definir a configuração por defeito para a partilha deficheiros e impressoras. O formulário solicita a localização da diretoria apartilhar para além das opções de disponibilidade e navegabilidade. Deresto esta página disponibiliza todas as opções apresentadas na figura8.33, abordadas anteriormente referentes à criação/edição de partilha deficheiros.

8.7.2.8 Printer Share Defaults

Clicando na opção "Printer Share Defaults”, o utilizador acede ao for-mulário apresentado na figura seguinte.

Figura 8.48: Configuração Global - Printer Share Defaults

O formulário permite definir a configuração por defeito para a partilha deimpressoras. O formulário solicita a . De resto esta página disponibilizatodas as opções abordadas anteriormente no capítulo 8.7.1.2 referentesà criação/edição de partilha de impressoras.

290


8.7.2.9 Edit Config File

Clicando na opção “Edit Config File”, o utilizador acede à janela de ediçãomanual do ficheiro de configuração do Samba, nomeadamente o /etc/samba/smb.conf.A figura seguinte exemplifica esta página.

Figura 8.49: Configuração Global - Editar Ficheiro de Configuração

Para confirmar quaisquer alterações ao ficheiro, o utilizador deve clicar nobotão “Guardar”.

291


8.7.3 Utilizadores Samba

Na zona inferior da página inicial de gestão do Samba, encontram-se asopções de gestão de utilizadores, apresentadas na seguinte figura, e queserão descritas nesta seção.

Figura 8.50: Configuração do Samba - Gestão de Utilizadores

8.7.3.1 Samba Users

Clicando na opção “Samba users”, o utilizador acede à listagem de uti-lizadores de Samba que estejam atualmente configurados.

8.7.3.2 Convert Users

Clicando nesta opção o utilizador acede ao formulário de gestão de con-versão de utilizadores. Este formulário permite a sincronização de uti-lizadores do Unix e Samba. O formulário solicita por exemplo, a lista deutilizadores ou gama de UIDs a converter. A conversão pode ser efetu-ada procedendo opcionalmente à atualização dos utilizadores do Samba,criação de novos utilizadores no Samba, e remoção de utilizadores doSamba que não existam no Unix. Solicita também a política de atribuiçãode password a aplicar a utilizadores novos, podendo ficar sem password,com a conta truncada, ou com uma password especificada. No final o uti-lizador deve clicar no botão “Convert Users”, para proceder à conversão.

292


A figura seguinte apresenta este formulário.

Figura 8.51: Utilizadores do Samba - Conversão

8.7.3.3 User Synchronisation

Clicando nesta opção o utilizador acede à seção apresentada na figuraseguinte.

Figura 8.52: Utilizadores do Samba - Sincronização

Este formulário permite configurar o Webmin de modo que quaisquer al-terações à lista de utilizadores do Unix, sejam automaticamente aplicadas

293


à lista de utilizadores do Samba. Esta funcionalidade apenas tem efeitoquando o módulo Webmin é utilizado na gestão de utilizadores. O for-mulário permite ao utilizador ativar a adição, alteração, remoção de umutilizador no Samba, quando um é adicionado no Unix, e o mesmo parao roaming profile. No final o utilizador deve clicar no botão “Apply”, paraconfirmar as alterações efetuadas.

8.7.3.4 Samba Groups

Clicando na opção “Samba Groups”, o utilizador acede à página que per-mite visualizar os grupos de utilizadores Samba atualmente existentes.Ao clicar na ligação “Add a new Samba group”, o utilizador acede ao for-mulário apresentado na seguinte figura, que permite criar um novo grupode utilizadores.

Figura 8.53: Criação de Grupo de Utilizadores do Samba

Este formulário solicita o nome e tipo do grupo, a seleção de um grupounix, a descrição, e os respetivos privilégios. No final o utilizador deveclicar no botão “Criar”, para concluir o processo.

294


8.7.3.5 Group Synchronisation

Este formulário permite a configuração do Webmin para que quaisquer al-terações efetuadas a grupos de utilizadores Unix serão automaticamenteaplicadas a grupos do Samba. Esta funcionalidade apenas terá efeito seo Webmin estiver encarregado com a gestão de utilizadores do Unix.

Figura 8.54: Utilizadores do Samba - Sincronização de Grupos

O formulário permite ativar a atualização, alteração, e remoção de umgrupo Samba quando um grupo Unix for adicionado. No final o utilizadordeve clicar no botão “Apply”, para aplicar as alterações efetuadas.

8.7.3.6 Bind to Domain

Clicando na opção “Bind to Domain”, o utilizador acede ao formulário ap-resentado na figura seguinte.

Figura 8.55: Utilizadores do Samba - Bind to Domain

295


Este formulário permite associar o Samba a um domínio Windows. Apágina solicita apenas os dados de autenticação e a localização do domínio.No final o utilizador deve clicar no botão “Bind Now”, para concluir o pro-cesso.

8.8 Text Login

O módulo Text Login dispõe de uma funcionalidade simples servindo ape-nas para a execução de comandos da ETFW, emulando um terminal re-moto de CLI. Este módulo distingue-se do módulo de Login via SSH, abor-dado no capítulo 8.6, na medida em que não necessita de qualquer pluginpara a sua utilização.

Figura 8.56: Login via SSH/Telnet

Após a introdução bem sucedida dos dados de autenticação, o utilizadorpoderá executar comandos Linux.

8.9 Upload e Download

Clicando na opção “Upload and Download”, o utilizador acede a umapágina que permite efetuar o download e upload de ficheiros com o servi-dor onde está a ser executado o ETFW. A página está organizada em trêsseparadores que serão descritos de seguida.

8.9.1 Download from Web

Este separador permite descarregar ficheiros da Web para o servidorETFW. O formulário, como se pode observar na figura seguinte, solicita

296


um URL para download, e um destino onde irá guardar o conteúdo descar-regado.

Figura 8.57: Descarregar ficheiros para o servidor

É também possível atribuir o utilizador e grupo proprietário do conteúdodescarregado, o modo de download, e solicitar o envio de um e-mail apósa sua conclusão. Esta seção permite, também, agendar o downloadsautomáticos para a ETFW numa data e hora à escolha. No final o uti-lizador deverá clicar no botão “Download URLs”, para efetivar o descar-regamento.

8.9.2 Upload to Server

Este separador acede ao formulário apresentado na figura seguinte.

297


Figura 8.58: Enviar ficheiros para o servidor

O separador permite o envio de ficheiros para o servidor, solicitando osficheiros a serem carregados, a diretoria destino, e utilizadores e grupoproprietário. No final o utilizador deve clicar no botão “Upload”, para con-firmar o upload.

8.9.3 Download from Server

Este separador permite efetuar o descarregamento de ficheiros do servi-dor, solicitando apenas a localização do ficheiro, e ativar a opção para queo descarregamento seja exibido em browser caso seja possível. No finalo utilizador deve clicar no botão “Download”, para concretizar o processo.O formulário deste separador é apresentado na figura seguinte.

298


Figura 8.59: Descarregar ficheiros do servidor

299

9 Suporte Eurotux

O suporte da Eurotux está disponível através de uma ferramenta criadapara facilitar a consulta e estado dos pedidos. Esta ferramenta está acessívelatravés da Web, e permite obter respostas a pedidos de informações e dehelp-desk de forma eficiente.

Sublinhamos que a utilização desta ferramenta é absolutamente essen-cial para garantir uma resposta rápida e o melhor acompanhamento dosproblemas reportados à Eurotux. O recurso à ajuda telefónica, em horáriolaboral, poderá acontecer sempre que for essencial através do número+351 253 680 301. Para os clientes que tiverem o serviço de suportedisponível em horário não laboral será fornecido um numero de um tele-fone móvel.

A ferramenta Web está acessível através do endereço https://suporte.eurotux.com (figura 9.1).

No ecrã que aparece imediatamente após o login, existe uma coluna nolado direito identificada como Pesquisa Rápida em que existe um únicoitem (queue). É nessa queue que estarão os pedidos de suporte/help-desk (tickets) ainda abertos (open) (figura 9.2).

9.1 Criar Ticket

Para criar um ticket será necessário seleccionar Novo Ticket Em e, pelomenos, preencher o campo Assunto e descrever o pedido em Descreva opedido, abaixo: (ver figura 9.3). Desta forma o pedido/problema fica reg-istado e acessível aos técnicos da Eurotux que irão aceder a informaçãoque foi registada e à qual darão o seguimento adequado.

A comunidade de utilizadores que acede a uma queue recebe sempre

300

https://suporte.eurotux.com

https://suporte.eurotux.com

Capítulo 9. Suporte Eurotux

Figura 9.1: Página de Autenticação

por email o conteúdo que for colocado nessa queue por qualquer um dosmembros da comunidade de utilizadores. A comunidade de utilizadores énormalmente constituída pelos endereços do cliente dessa queue (um oumais) e pelos endereços dos técnicos da Eurotux.

Após a recepção do email mencionado no parágrafo anterior é possível re-sponder a essa mensagem clicando em Responder normal, escrevendono corpo da mensagem as informações que se pretende transmitir e deimediato essa informação será adicionada ao ticket em causa ficando ime-diatamente também acessível via Web (sem necessidade de aceder direc-tamente à ferramenta).

NOTA: A aplicação web só registará mensagens cujo o endereço de emailcoincida com um dos emails registados na comunidade de utilizadores, oque significa se for usado qualquer outro, a mensagem não ficará regis-tada.

301


Figura 9.2: Página Inicial

Quando for efectuado reply às mensagens deve-se retirar o máximo deinformação não relevante da mensagem e colocar só o que correspondea informação nova porque a ferramenta por si já constitui um histórico dasdiversas interacções.

9.2 Fecho de Tickets

Os tickets devem ser encerrados pelo próprio cliente, constituindo o seuencerramento uma forma de aprovação e validação das actividades de-senvolvidas, significando ainda que a intervenção está concluída. Paraencerrar o ticket basta seleccionar a opção Resolver que aparece comouma das opções na lista Acções situada um pouco abaixo do canto supe-rior direito do ecrã onde se está a visualizar um determinado ticket.

Os tickets depois de encerrados não aparecerão na visualização por omis-são.

302


Figura 9.3: Criação de um Ticket

9.3 Pesquisas de Tickets

Podem ser efectuadas pesquisas nos tickets encerrados e ainda aber-tos, seleccionando no menu localizado na parte superior da página, olink Tickets, aparecendo um menu denominado Nova Pesquisa (ver figura9.4). De seguida deverão ser preenchidos os campos adequados paraobter os tickets que obedeçam aos critérios definidos.

Sabendo o número do ticket é possível visualizá-lo imediatamente bas-tando para isso introduzir esse número na caixa que diz Procurar (do ladodireito, quase no topo do ecrã).

303


Figura 9.4: Procurar Tickets

9.4 Preferências

No menu principal no topo do ecra, Ligado como aparece uma opção de-nominada Configurações - Acerca (ver figura 9.5) onde pode ser alteradaa password de acesso à ferramenta web (é conveniente fazê-lo), alteraro idioma (aconselhamos que optem pelo português), etc.

9.5 Observações

Qualquer dúvida ou informações adicionais relativamente à utilização destaferramenta podem ser obtidas através do email [email protected].

Seria importante que, logo que possível, fossem efectuados alguns testes

304


Figura 9.5: Alterar Preferências

de utilização à ferramenta. Sugerimos a criação de ticket com o Subject”teste“ para experimentar todas as opções mencionadas. Se assim acon-tecer será possível concretizar uma aprendizagem progressiva no uso daferramenta.

305

Manual de Eurotux Firewalldownloads.clientes.eurotux.com/etfw/manual-etfw-until-5.12.pdf ·...

Documents

Transcript of Manual de Eurotux Firewalldownloads.clientes.eurotux.com/etfw/manual-etfw-until-5.12.pdf ·...