Category Archives: Aker Security Solutions

Artigos Técnicos Prodrutos Aker Security

Agora sou um AFCP – Aker Firewall Certified Professional

Aê pessoal, tirei minha certificação AFCP-Aker Firewall Certified Professional e não foi fácil.

O Aker Firewall é um Firewall Brasileiro (orgulho de ser Brasileiro), onde já venho operando há algum tempo, pois a empresa onde trabalho é uma revenda, a WRA Gestão em TI. Se precisar de qualquer coisa sobre a Aker, fique a vontade para entrar em contato.

Para conhecer mais sobre a Aker Security Solution, acesse: www.aker.com.br

Para saber mais sobre o programa de Cerficação da Aker, acesse: http://www.aker.com.br/Entidade/528/Certificacoes/?slG=11831

Ao trabalho,

Abraços,

 

Saiu Nova Versão do Firewall Aker, 6.5.

Caros,

Foi lançado, durante esta semana, a mais nova versão do Firewall Aker, 6.5. O produto ficou mais robusto, não oferece mais suporte a instalação ao Fedora Core ou qualquer outra distribuição de Linux e ainda é voltado a Mobilidade Segura. A partir de agora, todos poderão se conectar via roaming através dos protocolos PPTP e L2TP. Isto é, antes as conexões só podiam ser feitas de Aker Client para Aker Firewall e agora é possível realizar a conexão de qualquer cliente VPN com o Aker Firewall como, por exemplo, telefone celular, sem a necessidade do Aker Client.

Novas Caracteristicas do Firewall Aker 6.5:

  • Suporte a novos hardwares com performance superiores à 10Gbit/s;
  • VPN Cliente PPTP com compatibilidade com clientes de 3o;
  • VPN Cliente L2TP/IPSEC com compatibilidade com clientes de 3o;
  • Mais agilidade nas atualizações das bases das novas versões dos plugins Aker Web Content Analyzer, Aker Antivírus e Aker Spam Meter;
  • Novo Sistema de Cluster;
  • Nova janela bloqueio do Filtro Web com informações do motivo do bloqueio para o usuário;
  • Novo sistema de licenciamento;
  • Novo filtro de MSN completo com log de conversação;

Mais Beneficios para os Usuários:

  • Otimização da detecção de drivers para IS/VM;
  • Novo padrão gráfico de relatórios;
  • Novos relatórios de geração automática Sites X Usuário e Categoria X Usuário;
  • Atualização de bibliotecas, Kernel e aumento de performance;
  • Novo sistema de aplicação de patch.

Para fazer download do produto, existem 3 tipos de instalação: CD, Pen Driver ou Maquina Virtual.

Mais informações, www.wra.com.br ou www.aker.com.br.

Abraços.

Informa̵̤es Importantes Sobre Filtro Web РFirewall Aker 6.1

Quando clicamos em Aplicação > Filtro WEB, nos deparamos com a aba “Geral”. Dentro dela temos a função “Tempos Limites”, “Performance”, “Quotas”, “Arquivos”.

Abaixo segue a explicação de cada item:

Tempos Limites

Leitura: Definir o tempo máximo, em segundos, que o proxy aguarda por uma requisição do cliente, a partir do momento que uma nova conexão for estabelecida. Caso este tempo seja atingido sem que o cliente faça uma requisição, a conexão será cancelada.

Resposta: Definir o tempo máximo, em segundos, que o proxy aguarda por uma resposta de uma requisição enviada para o servidor WWW remoto ou para o servidor de cache, caso a opção habilita cache esteja ativa. Caso este tempo seja atingido sem que o servidor comece a transmitir uma resposta, a conexão com o servidor será cancelada e o cliente receberá uma mensagem de erro.

HTTPS: Definir o tempo máximo, em segundos, que o proxy pode ficar sem receber dados do cliente ou do servidor em uma conexão HTTPS, sem que ele considere a conexão inativa e a cancele.

Manter ativo: Definir quanto tempo um usuário pode manter uma conexão keep-alive (HTTP 1.1) com o proxy inativa, antes que o proxy a encerre, liberando o processo para outro usuário. Recomenda-se manter este tempo bastante baixo, para evitar o uso desnecessário de todos os processos do sistema.

Timeout das sessões web: Indica quanto tempo uma sessão web vai ficar sendo monitorados permitindo ao administrador do Aker Firewall saber quais são as sessões web ativas no período. Exemplo: Se for marcado 30 segundos nesse campo, a janela de sessões web (Informação – Sessões Web) só vai mostrar as sessões ativas dos últimos 30 segundos.

Performance

Número de processos: Definir o número de processos do Filtro Web que vão permanecer ativos aguardando conexões. Como cada processo atende uma única conexão, este campo também define o número máximo de requisições que podem ser atendidas simultaneamente. Por razões de performance, os processos do proxy WWW ficarão ativos sempre, independente de estarem ou não atendendo requisições. Isto é feito com o objetivo de aumentar a performance. Normalmente, deve-se trabalhar com valores entre 5 e 60 neste campo, dependendo do número de máquinas clientes que utilizarão o proxy (cabe ressaltar que uma única máquina costuma abrir até 4 conexões simultâneas ao acessar uma única página WWW). O valor 0 inviabiliza a utilização do proxy.

Não permitir transferências comprimidas (menos CPU, maior largura de banda): Permite que o Aker Firewall não aceite transferências que estejam dados compactados. Em uma requisição http, pode ser especificado que os dados venham compactados. Caso os dados venham comprimidos, caso exista activex, java ou javascript compactados, o Firewall precisa descompactá-los para fazer a análise dos dados, por isso que nesses casos, essa opção é bastante importante. O mais aconselhado é deixar esta opção desmarcada, pois é o padrão da janela.

Quotas

Interromper transferências caso a quota seja excedida: Essa opção permite interromper a transferência dos arquivos caso a quota tenha excedido. Caso essa opção não esteja marcada o Aker Firewall vai verificar a quota do usuário antes dele começar a fazer download. Exemplo: Se o usuário tiver 50 MB de quota, e quer fazer um download de um arquivo de 100 MB, com certeza ele não irá conseguir finalizar essa transferência. Todas às vezes que essa opção estiver marcada, e for mais de um download simultâneo ou um download que não foi informado o seu tamanho, o Aker Firewall irá deixar iniciar o download, mas o interromperá antes do término.

Contabilizar duração de download: Permite que o tempo da quota seja “gasto” enquanto durar o tempo do download, por exemplo, se o usuário quiser fazer o download de um arquivo de 100 MB e esse download levar 30 minutos, vão ser gastos 100 MB de volume e 30 minutos de tempo da quota, caso essa opção não esteja marcada, só vão ser gastos 100 MB, e não os 30 minutos. Normalmente o tempo de quota só é utilizado quando o usuário fica navegando, mandando mensagens pelo MSN e etc. Quando ele está fazendo o download de um arquivo grande, não é gasto o tempo de sua quota, somente o volume de bytes.

Arquivos

Permitir a retomada de transferência de arquivo: Está opção deverá ser selecionada caso o usuário queira permitir, que um download continue de onde havia parado.

Abraços,

 

Como Funciona o Sistema de Quota do Firewall Aker 6.1

A produtividade dos funcionários é de fundamental importância para o desenvolvimento e o crescimento de uma empresa. Portanto, os seus recursos de rede devem ser utilizados de forma racional. A partir dessa necessidade, o Aker Firewall tornou-se uma ferramenta indispensável para o controle de acesso às páginas web, que são visitadas pelos empregados de uma corporação. Com o uso desse produto, os usuários só terão acesso à sites dentro dos limites estabelecidos pelas quotas de acesso. As Quotas são utilizadas para controlar e racionalizar o tempo gasto pelos funcionários, com acesso à sites da WEB. Assim as quotas são os limites em termos de tempo de acesso e volume de dados, por usuário. Estes limites são definidos na seguinte forma:

Quanto a periodicidade de acesso, pode ser definido diariamente, semanalmente e mensalmente.
Quanto a quantidade de horas e de dias disponíveis.
Quanto ao volume de dados de bytes trafegados.

Ao marcar qual o tipo de quota desejada, pode associar a ela o limite de tempo de acesso e/ou o limite de volume de dados.

Observação 1: A contagem do tempo funciona da seguinte forma: quando o usuário acessa uma página, conta um relógio de 31 segundos, se o usuário acessar uma outra página, começa a contar do zero, mas não deixa de contar, por exemplo, os 10 segundos que o usuário gastou ao acessar a página anterior.

Observação 2: Para o consumo de quota, funciona da seguinte forma: no MSN, para cada janela de conversação, o tempo é contato separadamente, já na WEB ser tiver acessando 10 sites, será contato somente o tempo de um.

Firewall Aker: LSR safety check engaged

Caros,

Segue solução para que seu Firewall Aker 6.1 para de mostrar o seguinte erro nos eventos:

05/31/2010 10:35:05 Mensagem do sistema operacional atencao – maquina: 192.168.200.2 ttyS1: LSR safety check engaged

Logue via SSH em seu Firewall e edite o seguinte arquivo inittab que fica no dirtorio /etc.

Dentro do mesmo coloque um # no inicio da linha abaixo:

Antes:
S1:2:respawn:/sbin/agetty -i -h -n -l /sbin/aklogin  ttyS1 9600 vt100

Depois:
#S1:2:respawn:/sbin/agetty -i -h -n -l /sbin/aklogin  ttyS1 9600 vt100

Após reinicie seu Firewall.

É isso ai, abraços.

Erivelto.

O que significa Aker?

Caros,

Estudando para certificação do Firewall Aker 6.1, na apostila encontrei o significado da palavra Aker. Achei interessante compartilhar, pois realmente tem a ver com segurança. 

Na mitologia egípcia, Aker era a personificação da Terra e Deus dos Mortos; o Guardião do portal através do qual o Faraó passava para ir ao mundo espiritual. Aker também provia uma passagem segura para a barca do sol durante a sua jornada noturna através do mundo espiritual. Ele era representado por um par de leões, um de costas para o outro, que olhavam tanto o nascer quanto o pôr do sol.

www.aker.com.br

Abraços.

Erivelto.

Cluster Cooperativo Firweall Aker 6.1

O que é um sistema Cooperativo?

No sistema de tolerância a falhas foi falado a respeito de alta disponibilidade e de agrupamento de recursos, mas no sistema cooperativo alem da alta disponibilidade ocorre o balanceamento de carga entre os sistemas. No sistema cooperativo todos os firewalls ficam ativos e se o peso entre eles for igual tratarão de forma balanceada as conexões e todos os processos entre eles. Load Balancing (Cooperativo): até 64 firewalls funcionando simultaneamente. Em caso de queda de um deles, todos os outros redistribuem o tráfego de rede, sem perdas de conexões.

Como trabalha o sistema Cooperativo do Aker Firewall?
Antes de tudo a diferença básica da configuração do cluster cooperativo e do fail over esta vinculada à licença. A licença do cluster cooperativo faz com que a convergência de dois firewalls com pesos iguais seja de 50% para cada um, já a licença do fail over faz com que ocorra convergência em apenas um dos firewalls. No Aker Firewall em modo cooperativo, mais de um host – os nodes do cluster – precisam receber os mesmos pacotes, para posteriormente cada um deles decidir se é de sua responsabilidade ou não. Como os switches não estão preparados nativamente para isso, uma de duas técnicas precisa ser empregada.

A primeira, chamada de modo unicast, implica em reconfigurar o switch para que ele saiba que um determinado endereço ethernet (MAC) está em duas ou mais portas simultaneamente, significando que ele deve copiar o pacote com esse endereço destino em todas elas, e jamais aprendê-lo como estando em uma porta apenas. Nesse modo, todos os firewalls do cluster usam o mesmo endereço MAC. O único inconveniente desse modo é que são raros os switches que o suportam.

A segunda, modo multicast, faz com que os firewalls de um cluster registrem um endereço ethernet multicast em suas interfaces e respondam as chamadas de ARP para o IP virtual com esse endereço. Se o switch não for configurado para limitar o espalhamento de pacotes multicast, todos os pacotes destinados ao firewall serão redistribuídos em todas as portas, como se fossem pacotes broadcast. Para fazer essa configuração, existem duas opções: ou se faz manualmente no switch, ou então se usa o protocolo IGMP, onde cada firewall anuncia ao switch que é membro do grupo multicast correspondente ao endereço escolhido.

Seu switch deve suportar uma dessas duas opções. Além disso, existem alguns roteadores que não aprendem o endereço multicast ethernet da resposta ARP enviada pelo firewall. Nesses casos, as entradas para o firewall devem ser adicionadas manualmente em suas tabelas.
 

Existem implicações sérias de performance (flooding, por exemplo) e segurança (requisição de associação IGMP por qualquer host da rede) no caso de cluster no modo multicast. Todos os problemas podem ser evitados com corretas configurações nos switches. Tenha certeza que você entende o funcionamento desse modo antes de colocá-lo em funcionamento.

Quando o cluster estiver no ar, qualquer alteração feita nas configurações de um firewall através da interface gráfica será replicada automaticamente para o outro firewall.

Cluster HA Firewall Aker 6.1

HA (High Availability): igual ao Fail over, com a diferença que os dois firewalls mantêm cópia da tabela de estados das conexões que trafegam pelo Firewall, lista de usuários autenticados e VPNs negociadas, não havendo perda de conexões em caso de queda. A exigência de se usar o mesmo sistema operacional se dá pelo fato de se poder aplicar correções através da interface gráfica e essas correções serem replicadas automaticamente de uma máquina para a outra.

Cluster Fail Over Firewall Aker 6.1

Um firewall Master funcionando e outro Slave em standby, que assume, em caso de queda do Master. Todas as conexões são perdidas neste caso. Esta conexão composta por dois sistemas idênticos, ou seja, duas máquinas com o mesmo Sistema Operacional, mesmas placas de rede e com a mesma versão do Firewall, conectadas entre si. Premissas para este cluster :

1. Firewalls iguais

2. Os firewalls devem ter a mesma licença

3. Os firewalls devem estar conectados aos mesmos destinos de rede

4. Os firewalls devem ter os mesmo ips, exceto o HEARTBEAT (interface de controle do cluster)

5. Todas as configurações são replicadas em tempo real.

Planejamento do Cluster Aker Firewall 6.1

O que é um sistema de tolerância às falhas?

Quanto mais os computadores ganham espaço nas empresas, nos escritórios e na vida das pessoas em geral, mais se ouve falar em “alta disponibilidade”. Por um simples e bom motivo: nenhum usuário quer que a sua máquina pare de funcionar ou que os recursos de rede não possam mais ser acessados. É justamente a alta disponibilidade que vai garantir a continuidade de operação do sistema na prestação de serviços de rede, armazenamento ou processamento, mesmo se houver falhas em um ou mais de seus elementos.

Assim, alta disponibilidade é hoje um assunto que interessa a um número cada vez maior de usuários. Tornou-se um requisito fundamental para os sistemas que ficam no ar 24 horas por dia, sete dias por semana, ou que não possam ficar fora do ar por até mesmo alguns minutos. Afinal, paradas não planejadas podem comprometer, no mínimo, a qualidade do serviço, sem contar os prejuízos financeiros.

Tolerância às falhas nada mais é que um agrupamento de recursos que fornece ao sistema a ilusão de um recurso único. A maioria dos seus componentes, encontram-se duplicados, desta forma, mesmo que um componente individual apresente falhas o serviço não é comprometido. Para possibilitar a redundância de recursos é necessário um mecanismo de gerência, de forma a tornar seu funcionamento transparente.

O que é um sistema Cooperativo?

No sistema de tolerância às falhas foi falado a respeito de alta disponibilitade e de agrupamento de recursos, mas no sistema cooperativo além da alta disponibilidade ocorre o balanceamento de carga entre os sistemas. No sistema cooperativo todos os sistemas ficam ativos e se o peso entre eles for igual tratarão de forma balanceada as conexões e todos os processos entre eles.

Como trabalha a Tolerância às Falhas do Aker Firewall?

A tolerância às falhas do Aker Firewall é composta por dois sistemas idênticos, ou seja, duas máquinas com o mesmo Sistema Operacional, mesmas placas de rede e com a mesma versão do Firewall, conectadas entre si. A exigência de se usar o mesmo sistema operacional se dá pelo fato de poder aplicar correções através da interface gráfica e essas correções serem replicadas automaticamente de uma máquina para a outra.

Além de estarem conectadas entre si, o que deve ser feito por uma interface de rede, é necessário que todas as placas de rede correspondentes das duas máquinas estejam conectadas em um mesmo hub ou switch, de forma que ambos os firewalls tenham acesso às mesmas máquinas e roteadores.

Como trabalha o sistema Cooperativo do Aker Firewall?

Antes de tudo a diferença básica da configuração do cluster cooperativo e do failover está vinculada à licença. A licença do cluster cooperativo faz com que a convergência de dois firewalls com pesos iguais seja de 50% para cada um, já a licença do failover faz com que ocorra convergência em apenas um dos firewalls.

O que são modos UNICAST e MULTICAST do sistema Cooperativo do Aker Firewall?

No Aker Firewall em modo cooperativo, mais de um host – os nodos do cluster – precisam receber os mesmos pacotes, para posteriormente cada um deles decidir se é de sua responsabilidade ou não. Como os switches não estão preparados nativamente para isso, uma de duas técnicas precisa ser empregada.

A primeira, chamada do modo unicast, implica em reconfigurar o switch para que ele saiba que um determinado endereço ethernet (MAC) está em duas ou mais portas simultaneamente, significando que ele deve copiar o pacote com esse endereço destino em todas elas, e jamais aprendê-lo como estando em uma porta apenas. Nesse modo, todos os firewalls do cluster usam o mesmo endereço MAC. O único incoveniente desse modo é que são raros os switches que o suportam.

A segunda, modo multicast, faz com que os firewalls de um cluster registrem um endereço ethernet multicast em suas interfaces e respondam as chamadas de ARP para o IP virtual com esse endereço. Se o switch não for configurado para limitar o espalhamento de pacotes multicast, todos os pacotes destinados ao firewall serão redistribuídos em todas as portas, como se fossem pacotes broadcast. Para fazer essa configuração, existem duas opções: ou o faz manualmente no switch, ou então utiliza o protocolo IGMP, onde cada firewall anuncia ao switch que é membro do grupo multicast correspondente ao endereço escolhido. Seu switch deve suportar uma dessas duas opções. Além disso, existem alguns roteadores que não aprendem o endereço multicast ethernet da resposta ARP enviada pelo firewall. Nesses casos, as entradas para o firewall devem ser adicionadas manualmente em suas tabelas.

Diferença entre BroadCast, UniCast e MultCast, clique aqui!

Existem implicações sérias de performance (flooding, por exemplo) e segurança (requisição de associação IGMP por qualquer host da rede) no caso de cluster no modo multicast. Todos os problemas podem ser evitados com corretas configurações nos switches. Tenha certeza que você entende o funcionamento desse modo antes de colocá-lo em funcionamento.

Quando o cluster estiver no ar, qualquer alteração feita nas configurações de um firewall através da interface gráfica será replicada automaticamente para o outro firewall.